ISO 27001 vs ISO 27002: 有何不同

如今，网络安全是一个持续存在的威胁。实施信息安全管理体系（ISMS）有助于企业管理信息安全风险，但对于一些企业来说，这可能是一个略显陌生的领域。ISO 27001（信息安全）和 ISO 27002（信息安全控制措施）会给它们带来很大帮助，这两项标准都属于 ISO/IEC 27000 系列，旨在帮助组织确保信息资产的安全。

在比较这两项标准之前，需要注意的是，虽然它们通常被称为 ISO 27001 和 ISO 27002，但实际上这种说法并不准确。这两项标准都是由国际标准化组织（ISO）和国际电工委员会（IEC）联合制定并发布的，正确名称应为 ISO/IEC 27001 和 ISO/IEC 27002。不过，许多人仍然将这两项标准称为 ISO 27001 和 ISO 27002。

了解 ISO 27001 和 ISO 27002 之间的区别，是实施恰当的信息安全管理实践的关键。

 

什么是 ISO/IEC 27001?

为了应对信息安全威胁，并遵守该领域的国家或地区法规，组织理想情况下应采用信息安全管理体系（ISMS）。ISO/IEC 27001 是最受认可的信息安全管理体系国际标准。ISO/IEC 27001的好处 包括: 它帮助组织制定信息安全管理方针、目标和流程，了解如何管理重要方面，实施必要的控制措施，并设定明确的目标以提高信息安全性。

它采用全面的方法来保障信息安全。需要保护的资产范围很广，从数字信息、纸质文件、物理资产（计算机和网络）到员工个人的知识都包含在内。需要解决的问题包括员工的能力培养以及防范计算机欺诈的技术保护等。

ISO/IEC 27001 旨在与其他公认的管理体系标准兼容和协调。因此，即使在其他领域，它也非常适合整合到现有的管理体系和流程中。

探索更多关于 ISO 27001 内审员培训课程 的信息

 

什么是 ISO 27002?

实施信息安全管理体系的一部分工作是了解所涉及的威胁和风险。ISO/IEC 27001 要求组织识别信息安全风险，并选择适当的控制措施来应对这些风险。对于员工能力不侧重于 IT 领域的中小企业来说，这可能是一项非常艰巨的任务。即使是拥有 IT 部门的大型组织，也可能无法全面意识到所有风险。

ISO/IEC 27001 的附录 A 是一个有用的部分，其中列出了组织可能需要考虑的 93 项安全控制措施。然而，对于这些控制措施具体如何应用，附录 A 的说明相对简略。

ISO/IEC 27002 是 ISO/IEC 27001 的补充指导标准，它对附录 A 中的信息进行了扩展，更详细地描述了每项控制措施，并提供了信息安全控制措施的实施规范。它为组织内部信息安全管理的启动、实施、维护和改进提供了指导方针和一般原则。

 

ISO 27001 和 ISO 27002 有什么区别？

ISO/IEC 27001 和 ISO/IEC 27002 之间的主要区别在于它们的侧重点和应用方式。ISO/IEC 27001 是一项可认证的标准，它规定了信息安全管理体系的要求。其中包括建立、实施、维护和持续改进信息安全管理体系的要求。获得认证的组织能够轻松向利益相关者证明它们重视信息安全。这可以让客户和业务合作伙伴放心，并让监管机构相信该组织符合法定要求。

另一方面，ISO/IEC 27002 不是一项可认证的标准，而是一份全面的指导文件，它概述了在组织信息安全管理体系范围内应考虑的信息安全控制措施最佳实践。它涵盖了关键的网络安全方面，包括访问控制、加密、人力资源安全和事件响应等。通过利用 ISO/IEC 27002 的指导方针，企业可以采取积极主动的网络安全风险管理方法，保护关键信息免受未授权访问和丢失的威胁。

 

企业应在何时使用每项标准？

希望建立正式的信息安全管理体系并寻求第三方独立认证，以证明其符合信息安全最佳实践的组织，应该使用 ISO/IEC 27001。在许多情况下，这可能是一笔 “交易门票”，因为客户和利益相关者希望保护他们自己的宝贵数据和个人信息。除此之外，它还能通过提供业务连续性策略和恢复能力来帮助保护企业。

ISO/IEC 27002 最适合作为在基于 ISO 27001 要求的信息安全管理体系中选择和实施控制措施的参考。对于那些希望改进其信息安全管理实践但不一定寻求认证的组织来说，它可能特别有用。即使不寻求 ISO/IEC 27001 认证，采用 ISO/IEC 27002 中规定的控制措施也会为组织提供一定程度的防范网络威胁的保护。