Diferença entre ISO 27001 e ISO 27002

ISO 27001 vs ISO 27002
 

Como a ISO 27000 é uma série de padrões que foram iniciados pela ISO para garantir a segurança nas organizações em todo o mundo, vale a pena conhecer a diferença entre a ISO 27001 e a ISO 27002, duas das normas da série ISO 27000. Esses padrões foram iniciados para o benefício das organizações e também para fornecer um serviço de qualidade aos clientes. Este artigo analisa as diferenças entre a ISO 27001 e a ISO 27002.

O que é a ISO 27001?

A norma ISO 27001 é garantir a segurança da informação e a proteção de dados nas organizações em todo o mundo. Esse padrão é tão importante para as organizações de negócios na proteção de seus clientes e informações confidenciais da organização contra ameaças. A implementação do sistema de gerenciamento de segurança da informação garantiria a qualidade, a segurança, o serviço e a confiabilidade do produto da organização, que podem ser salvaguardados em seu nível mais alto.

O objetivo principal do padrão é fornecer requisitos para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gerenciamento de Segurança da Informação (ISMS). Na maioria das empresas, as decisões de adoção desses tipos de padrões são tomadas pela alta gerência. Além disso, o requisito de ter esse tipo de sistema de segurança da informação para a organização surge devido a vários fatores, como metas e objetivos organizacionais, requisitos de segurança, tamanho e estrutura da organização, etc..

Na versão anterior da norma em 2005, ela foi desenvolvida com base no modelo PDC do ciclo PDCA, para estruturar os processos e que refletia os princípios estabelecidos pelas diretrizes da OECG. A nova versão em 2013 enfatiza a medição e a avaliação da eficácia do desempenho organizacional no SGSI. Também incluiu uma seção baseada em terceirização e é dada maior concentração à segurança da informação nas organizações.

O que é ISO 27002?

O padrão ISO 27002 foi inicialmente originado como padrão ISO 17799, que se baseia no código de prática para segurança da informação. Destaca vários mecanismos de controle de segurança para organizações com a orientação da ISO 27001.

O padrão foi estabelecido com base em várias diretrizes e princípios para iniciar, implementar, melhorar e manter o gerenciamento de segurança da informação dentro de uma organização. Os controles reais no padrão atendem a requisitos específicos por meio de uma avaliação formal de riscos. O padrão consiste em diretrizes específicas para o desenvolvimento de padrões de segurança organizacional e práticas eficazes de gerenciamento de segurança que seriam úteis para criar confiança nas atividades interorganizacionais.

A versão existente do padrão foi publicada em 2013 como ISO 27002: 2013 com 114 controles. O fator mais importante a ser observado é que, ao longo dos anos, várias versões específicas da ISO 27002 foram desenvolvidas ou estão em desenvolvimento em áreas como setor de saúde, manufatura, etc..

Qual é a diferença entre ISO 27001 e ISO 27002?

• A norma ISO 27001 expressa os requisitos para o gerenciamento de segurança da informação nas organizações e a norma ISO 27002 fornece suporte e orientação para os responsáveis ​​em iniciar, implementar ou manter o ISMS (Information Security Management Systems).

• ISO 27001 é um padrão de auditoria baseado em requisitos auditáveis, enquanto ISO 27002 é um guia de implementação baseado em sugestões de melhores práticas.

• A ISO 27001 inclui uma lista de controles de gerenciamento para as organizações, enquanto a ISO 27002 possui uma lista de controles operacionais para as organizações..

• A ISO 27001 pode ser usada para auditar e certificar o Sistema de Gerenciamento de Segurança da Informação da organização e a ISO 27002 pode ser usada para avaliar a abrangência do Programa de Segurança da Informação da organização..

Atribuição de imagem: “CIAJMK1209” por John M. Kennedy T. (CC BY-SA 3.0)