ISO 27001 与 ISO 27002：有何不同？

如今，网络安全威胁无处不在。实施信息安全管理体系（ISMS）能帮助企业管理信息安全风险，但对一些企业来说，这可能有点陌生。ISO 27001（信息安全）和 ISO 27002（信息安全控制）都属于 ISO/IEC 27000 系列标准，旨在助力组织保护信息资产安全。

 

在对比这两个标准前，需要注意的是，虽然大家常把它们叫做 ISO 27001 和 ISO 27002，但这其实并不准确。这两个标准是由国际标准化组织（ISO）和国际电工委员会（IEC）联合制定并发布的，正确名称是 ISO/IEC 27001 和 ISO/IEC 27002。不过，很多人还是习惯叫 ISO 27001 和 ISO 27002。

 

搞清楚 ISO 27001 和 ISO 27002 之间的差异，是实施正确信息安全管理实践的关键。

 

什么是 ISO/IEC 27001？

为应对信息安全威胁，遵守国家或地区在这方面的法规，组织最好采用信息安全管理体系。ISO/IEC 27001 是认可度最高的信息安全管理体系国际标准之一。它能带来诸多好处，比如协助组织制定信息安全管理政策、目标和流程，让组织清楚知道如何管理重要环节，实施必要的控制措施，并设定明确目标来提升信息安全性。

 

它采用全面的信息安全管理方法。需要保护的资产多种多样，从数字信息、纸质文件、物理资产（电脑和网络）到员工个人知识。需要处理的问题也很广泛，从员工能力培养到防范计算机欺诈的技术保护措施等。

 

ISO/IEC 27001 在设计上与其他公认的管理体系标准兼容且协调。所以，它很适合融入现有的管理体系和流程，哪怕是其他领域的体系和流程。

 

什么是 ISO/IEC 27002 ？

实施信息安全管理体系的一个重要环节，是了解其中涉及的威胁和风险。ISO/IEC 27001 要求组织识别信息安全风险，并选择合适的控制措施来应对。对中小型企业来说，如果员工的专业能力并非聚焦于信息技术，这项任务可能会让人望而生畏。就算是有 IT 部门的大型组织，也未必能清楚认识到所有风险。

 

ISO/IEC 27001 的附录 A 很实用，列出了组织可能需要考虑的 93 项安全控制措施。但它在具体如何应用这些控制措施方面，给出的建议有点简略。

 

ISO/IEC 27002 是 ISO/IEC 27001 的补充指导标准，对附录 A 中的信息进行了扩展，更详细地描述了每项控制措施，还提供了信息安全控制的操作规范。它为组织内部启动、实施、维护和改进信息安全管理提供了指导方针和一般原则。

 

ISO 27001 和 ISO 27002 有什么区别？

ISO/IEC 27001 和 ISO/IEC 27002 的主要区别体现在侧重点和应用方面。

 

ISO/IEC 27001 是可认证的标准，规定了信息安全管理体系的标准。它涵盖建立、实施、维护和持续改进信息安全管理体系的各项要求。通过认证的组织能轻松向利益相关方展示其对信息安全的重视。这既能让客户和商业伙伴放心，也能让监管机构相信组织符合法定要求。

 

而 ISO/IEC 27002 是不可认证的，它是一份全面的指导文件，概述了在组织信息安全管理体系背景下应考虑的信息安全控制最佳实践。它涵盖访问控制、加密、人力资源安全和事件响应等关键网络安全方面。企业借助 ISO/IEC 27002 的指导方针，能主动管理网络安全风险，保护关键信息不被未经授权访问和丢失。

 

企业该何时使用这两个标准？

如果组织希望建立正式的信息安全管理体系，并通过独立第三方认证来证明其符合信息安全最佳实践，那就应该选择 ISO/IEC 27001。在很多情况下，这就像是一张 “入场券”，毕竟客户和利益相关方都很重视保护自身的宝贵数据和个人信息。除此之外，它还能通过提供业务连续性策略和恢复能力，助力企业保护自身业务。

 

ISO/IEC 27002 最适合作为依据 ISO 27001 要求选择和实施控制措施的参考。对于那些希望改进信息安全管理实践，但不一定追求认证的组织来说，它特别有用。即便不打算获取 ISO/IEC 27001 认证，采用 ISO/IEC 27002 中规定的控制措施，也能让组织在一定程度上抵御网络威胁。

 

 

这两个标准会定期更新，以适应快速变化的威胁和需求领域中的新发展和新实践。