ISO 27001 مقابل ISO 27002
نظرًا لأن ISO 27000 عبارة عن سلسلة من المعايير التي أطلقتها ISO لضمان السلامة والأمن داخل المنظمات في جميع أنحاء العالم ، فمن المفيد معرفة الفرق بين ISO 27001 و ISO 27002 ، وهما معياران في ISO 27000 سلسلة. تم إطلاق هذه المعايير لصالح المؤسسات وأيضًا لتوفير خدمة عالية الجودة للعملاء. تحلل هذه المقالة الاختلافات بين ISO 27001 و ISO 27002.
ما هو ISO 27001؟
معيار ISO 27001 هو ضمان أمن المعلومات وحماية البيانات في المنظمات في جميع أنحاء العالم.هذا المعيار مهم جدًا لمنظمات الأعمال في حماية عملائها والمعلومات السرية للمؤسسة ضد التهديدات. سيضمن تنفيذ نظام إدارة أمن المعلومات الجودة والسلامة والخدمة وموثوقية المنتج للمؤسسة التي يمكن حمايتها على أعلى مستوى.
الهدف الأساسي للمعيار هو توفير متطلبات إنشاء وتنفيذ وصيانة وتحسين نظام إدارة أمن المعلومات (ISMS) بشكل مستمر. في معظم الشركات ، تتخذ الإدارة العليا قرارات اعتماد هذه الأنواع من المعايير. أيضًا ، تنشأ متطلبات وجود هذا النوع من نظام أمن المعلومات للمؤسسة بسبب عوامل مختلفة مثل الأهداف والغايات التنظيمية ، ومتطلبات الأمان ، وحجم وهيكل المنظمة ، وما إلى ذلك.
في الإصدار السابق من المعيار في عام 2005 ، تم تطويره بناءً على دورة PDCA ، ونموذج Plan-Do-Check-Act لهيكلة العمليات وكان ذلك بطريقة تعكس المبادئ التي حددتها OECG القواعد الارشادية.تؤكد النسخة الجديدة لعام 2013 على قياس وتقييم فعالية الأداء التنظيمي في نظام إدارة أمن المعلومات. وقد تضمنت أيضًا قسمًا يعتمد على الاستعانة بمصادر خارجية ويتم التركيز بشكل أكبر على أمن المعلومات في المنظمات.
ما هو ISO 27002؟
نشأ معيار ISO 27002 في البداية كمعيار ISO 17799 الذي يعتمد على كود الممارسة لأمن المعلومات. يسلط الضوء على آليات مراقبة الأمان المختلفة للمؤسسات بتوجيه من ISO 27001.
تم وضع المعيار بناءً على إرشادات ومبادئ مختلفة لبدء وتنفيذ وتحسين وصيانة إدارة أمن المعلومات داخل المنظمة. الضوابط الفعلية في المعيار تتناول متطلبات محددة من خلال تقييم رسمي للمخاطر. يتكون المعيار من إرشادات محددة للتطورات في معايير الأمن التنظيمي وممارسات إدارة الأمن الفعالة التي من شأنها أن تكون مفيدة في بناء الثقة داخل الأنشطة المشتركة بين المنظمات.
تم نشر الإصدار الحالي من المعيار في 2013 كـ ISO 27002: 2013 مع 114 عنصر تحكم. العامل الأكثر أهمية الذي يجب ملاحظته هو أنه على مر السنين تم تطوير عدد من الإصدارات الخاصة بالصناعة من ISO 27002 أو قيد التطوير في مجالات مثل قطاع الصحة والتصنيع وما إلى ذلك.
ما الفرق بين ISO 27001 و ISO 27002؟
• يعبر معيار ISO 27001 عن متطلبات إدارة أمن المعلومات في المنظمات ويوفر معيار ISO 27002 الدعم والتوجيه لأولئك المسؤولين عن بدء أو تنفيذ أو صيانة أنظمة إدارة أمن المعلومات (ISMS).
• ISO 27001 هو معيار تدقيق يعتمد على متطلبات قابلة للتدقيق ، بينما ISO 27002 هو دليل تنفيذ يستند إلى اقتراحات أفضل الممارسات.
• يتضمن ISO 27001 قائمة بضوابط الإدارة للمؤسسات بينما يحتوي ISO 27002 على قائمة بضوابط التشغيل للمؤسسات.
• يمكن استخدام ISO 27001 لتدقيق واعتماد نظام إدارة أمن المعلومات الخاص بالمؤسسة ويمكن استخدام ISO 27002 لتقييم مدى شمولية برنامج أمن المعلومات الخاص بالمنظمة.
إسناد الصورة: "CIAJMK1209" بقلم جون إم كينيدي ت. (CC BY-SA 3.0)