ISO 27001 lwn ISO 27002
Memandangkan ISO 27000 ialah satu siri piawaian yang telah dimulakan oleh ISO untuk memastikan keselamatan dan keselamatan dalam organisasi di seluruh dunia, adalah berbaloi untuk mengetahui perbezaan antara ISO 27001 dan ISO 27002, dua daripada piawaian dalam ISO 27000 siri. Piawaian ini telah dimulakan untuk manfaat organisasi dan juga untuk menyediakan perkhidmatan yang berkualiti untuk pelanggan. Artikel ini menganalisis perbezaan antara ISO 27001 dan ISO 27002.
Apakah itu ISO 27001?
Piawaian ISO 27001 adalah untuk memastikan Keselamatan Maklumat dan perlindungan data dalam organisasi di seluruh dunia. Piawaian ini sangat penting untuk organisasi perniagaan dalam melindungi pelanggan mereka dan maklumat sulit organisasi daripada ancaman. Pelaksanaan sistem pengurusan keselamatan maklumat akan memastikan kualiti, keselamatan, perkhidmatan dan kebolehpercayaan produk organisasi yang boleh dilindungi pada tahap tertingginya.
Objektif utama piawaian adalah untuk menyediakan keperluan untuk mewujudkan, melaksana, menyelenggara dan menambah baik secara berterusan Sistem Pengurusan Keselamatan Maklumat (ISMS). Dalam kebanyakan syarikat, keputusan menerima pakai jenis piawaian ini diambil oleh pengurusan atasan. Selain itu, keperluan untuk memiliki sistem keselamatan maklumat seperti ini untuk organisasi timbul disebabkan oleh pelbagai faktor seperti matlamat dan objektif organisasi, keperluan keselamatan, saiz dan struktur organisasi, dsb.
Dalam versi standard sebelumnya pada tahun 2005, ia dibangunkan berdasarkan kitaran PDCA, model Plan-Do-Check-Act untuk menstrukturkan proses dan itu adalah dalam cara mencerminkan prinsip yang ditetapkan oleh OECG garis panduan. Versi baharu pada tahun 2013 menekankan pengukuran dan penilaian keberkesanan prestasi organisasi dalam ISMS. Ia juga telah memasukkan bahagian berdasarkan penyumberan luar dan lebih tumpuan diberikan kepada keselamatan maklumat dalam organisasi.
Apakah itu ISO 27002?
Piawaian ISO 27002 pada mulanya berasal sebagai piawaian ISO 17799 yang berdasarkan kod amalan untuk keselamatan maklumat. Ia menyerlahkan pelbagai mekanisme kawalan keselamatan untuk organisasi dengan panduan ISO 27001.
Standard telah ditubuhkan berdasarkan pelbagai garis panduan dan prinsip untuk memulakan, melaksanakan, menambah baik dan mengekalkan pengurusan keselamatan maklumat dalam sesebuah organisasi. Kawalan sebenar dalam piawaian menangani keperluan khusus melalui penilaian risiko formal. Piawaian ini terdiri daripada garis panduan khusus untuk perkembangan dalam piawaian keselamatan organisasi dan amalan pengurusan keselamatan yang berkesan yang berguna dalam membina keyakinan dalam aktiviti antara organisasi.
Versi standard sedia ada telah diterbitkan pada 2013 sebagai ISO 27002:2013 dengan 114 kawalan. Faktor paling penting yang perlu diberi perhatian ialah selama bertahun-tahun beberapa versi ISO 27002 khusus industri telah dibangunkan atau sedang dibangunkan dalam bidang seperti sektor kesihatan, pembuatan, dll.
Apakah perbezaan antara ISO 27001 & ISO 27002?
• Piawaian ISO 27001 menyatakan keperluan untuk pengurusan keselamatan maklumat dalam organisasi dan piawaian ISO 27002 menyediakan sokongan dan bimbingan bagi mereka yang bertanggungjawab dalam memulakan, melaksana atau menyelenggara Sistem Pengurusan Keselamatan Maklumat (ISMS).
• ISO 27001 ialah standard pengauditan berdasarkan keperluan boleh diaudit, manakala ISO 27002 ialah panduan pelaksanaan berdasarkan cadangan amalan terbaik.
• ISO 27001 termasuk senarai kawalan pengurusan kepada organisasi manakala ISO 27002 mempunyai senarai kawalan operasi kepada organisasi.
• ISO 27001 boleh digunakan untuk mengaudit dan memperakui Sistem Pengurusan Keselamatan Maklumat organisasi dan ISO 27002 boleh digunakan untuk menilai kesempurnaan Program Keselamatan Maklumat organisasi.
Atribusi Imej: “CIAJMK1209” oleh John M. Kennedy T. (CC BY-SA 3.0)
