ISO 27001 vs ISO 27002
Como a ISO 27000 é uma série de normas que foram iniciadas pela ISO para garantir a segurança e proteção dentro das organizações em todo o mundo, vale a pena conhecer a diferença entre a ISO 27001 e a ISO 27002, duas das normas da série ISO 27000. Esses padrões foram iniciados para o benefício das organizações e também para fornecer um serviço de qualidade para os clientes. Este artigo analisa as diferenças entre ISO 27001 e ISO 27002.
O que é ISO 27001?
A norma ISO 27001 visa garantir a Segurança da Informação e proteção de dados em organizações em todo o mundo. Este padrão é tão importante para organizações empresariais na proteção de seus clientes e informações confidenciais da organização contra ameaças. A implementação do sistema de gerenciamento de segurança da informação garantiria a qualidade, segurança, serviço e confiabilidade do produto da organização, que pode ser protegida em seu nível mais alto.
O objetivo principal da norma é fornecer requisitos para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestão de Segurança da Informação (SGSI). Na maioria das empresas, as decisões de adoção desse tipo de padrão são tomadas pela alta administração. Além disso, a necessidade de ter este tipo de sistema de segurança da informação para a organização surge devido a vários fatores como metas e objetivos organizacionais, requisitos de segurança, tamanho e estrutura da organização, etc.
Na versão anterior da norma, em 2005, ela era desenvolvida com base no ciclo PDCA, modelo Plan-Do-Check-Act para estruturar os processos e que estava de forma a refletir os princípios estabelecidos pelas diretrizes da OECG. A nova versão em 2013 enfatiza medir e avaliar a eficácia do desempenho organizacional em SGSI. Também incluiu uma seção baseada em terceirização e mais concentração é dada à segurança da informação nas organizações.
O que é ISO 27002?
O padrão ISO 27002 foi inicialmente originado como padrão ISO 17799, que é baseado no código de prática para segurança da informação. Ele destaca vários mecanismos de controle de segurança para organizações com a orientação da ISO 27001.
O padrão foi estabelecido com base em várias diretrizes e princípios para iniciar, implementar, melhorar e manter a gestão da segurança da informação dentro de uma organização. Os controles reais no padrão tratam de requisitos específicos por meio de uma avaliação de risco formal. O padrão consiste em diretrizes específicas para os desenvolvimentos em padrões de segurança organizacional e práticas eficazes de gerenciamento de segurança que seriam úteis para aumentar a confiança nas atividades interorganizacionais.
A versão existente do padrão foi publicada em 2013 como ISO 27002: 2013 com 114 controles. O fator mais importante a ser observado é que ao longo dos anos uma série de versões específicas da indústria da ISO 27002 foram desenvolvidas ou estão em desenvolvimento em áreas como setor de saúde, manufatura, etc.
Qual é a diferença entre ISO 27001 e ISO 27002?
• O padrão ISO 27001 expressa os requisitos para o gerenciamento da segurança da informação em organizações e o padrão ISO 27002 fornece suporte e orientação para aqueles que são responsáveis por iniciar, implementar ou manter Sistemas de Gerenciamento de Segurança da Informação (SGSI).
• ISO 27001 é um padrão de auditoria baseado em requisitos auditáveis, enquanto ISO 27002 é um guia de implementação baseado em sugestões de melhores práticas.
• A ISO 27001 inclui uma lista de controles de gerenciamento para as organizações, enquanto a ISO 27002 inclui uma lista de controles operacionais para as organizações.
• A ISO 27001 pode ser usada para auditar e certificar o Sistema de Gerenciamento de Segurança da Informação da organização e a ISO 27002 pode ser usada para avaliar a abrangência do Programa de Segurança da Informação de uma organização.
Atribuição de imagem: “CIAJMK1209” por John M. Kennedy T. (CC BY-SA 3.0)
