ISO 27001 vs ISO 27002: Srovnání norem

Kybernetická bezpečnost je v dnešní době neustálou hrozbou. Zavedení systému řízení bezpečnosti informací (ISMS) může společnostem pomoci řídit rizika v oblasti bezpečnosti informací, ale pro některé společnosti to může být trochu neznámá oblast.  Velkou pomocí jim budou normy ISO 27001 (bezpečnost informací) a ISO 27002 (kontroly bezpečnosti informací), které jsou součástí rodiny norem ISO/IEC 27000 a jsou navrženy tak, aby pomáhaly organizacím chránit informační aktiva.

Před porovnáním těchto dvou norem je třeba poznamenat, že ačkoli se jim běžně říká ISO 27001 a ISO 27002, ve skutečnosti je to nesprávné. Obě normy byly vyvinuty a zveřejněny společně Mezinárodní organizací pro normalizaci (ISO) a Mezinárodní elektrotechnickou komisí (IEC) a jejich správný název je ISO/IEC 27001 a ISO/IEC 27002. Mnozí však stále označují tyto dvě normy jako ISO 27001 a ISO 27002.

Porozumění rozdílům mezi normami ISO 27001 a ISO 27002 je klíčové pro zavedení správných postupů řízení bezpečnosti informací.

 

Co je norma ISO/IEC 27001?

Aby organizace mohly řešit hrozby pro bezpečnost informací a dodržovat národní nebo regionální předpisy v této oblasti, měly by v ideálním případě zavést systém ISMS. ISO/IEC 27001 je nejuznávanější mezinárodní norma pro ISMS. Mezi výhody normy ISO/IEC 27001 patří: pomáhá organizacím zavést politiku, cíle a procesy řízení bezpečnosti informací a pochopit, jak lze řídit významné aspekty, zavést nezbytné kontroly a stanovit jasné cíle pro zlepšení bezpečnosti informací.

Zaujímá komplexní přístup k informační bezpečnosti. Aktiva, která vyžadují ochranu, sahají od digitálních informací, papírových dokumentů a fyzických aktiv (počítače a sítě) až po znalosti jednotlivých zaměstnanců. Řešené otázky sahají od rozvoje kompetencí zaměstnanců až po technickou ochranu před počítačovým podvodem.

Norma ISO/IEC 27001 je navržena tak, aby byla kompatibilní a harmonizovaná s jinými uznávanými normami pro systémy řízení. Je proto ideální pro integraci do stávajících systémů a procesů řízení, i když v jiných oblastech.

 

Co je norma ISO 27002?

Součástí implementace ISMS je pochopení souvisejících hrozeb a rizik. Norma ISO/IEC 27001 vyžaduje, aby organizace identifikovaly rizika v oblasti bezpečnosti informací a vybraly vhodná opatření k jejich řešení. V malých a středních podnicích, kde se kompetence zaměstnanců nezaměřují na IT, to může být velmi náročný úkol. Ani pro větší organizace s IT oddělením nemusí být celý rozsah rizik zřejmý.

Norma ISO/IEC 27001 obsahuje v příloze A užitečný prvek, kterým je seznam 93 bezpečnostních kontrolních opatření, která by organizace měla zvážit. Je však poněkud strohá, pokud jde o konkrétní návrhy, jak tato kontrolní opatření aplikovat.

ISO/IEC 27002 je doplňková norma k ISO/IEC 27001, která rozšiřuje informace v příloze A, podrobněji popisuje jednotlivá opatření a poskytuje kodex postupů pro opatření v oblasti bezpečnosti informací. Nabízí pokyny a obecné zásady pro zavedení, implementaci, udržování a zlepšování řízení bezpečnosti informací v rámci organizace.

 

Jaký je rozdíl mezi ISO 27001 a ISO 27002?

Hlavní rozdíl mezi normami ISO/IEC 27001 a ISO/IEC 27002 spočívá v jejich zaměření a použití. ISO/IEC 27001 je certifikovatelná norma, která stanoví kritéria pro ISMS. Zahrnuje požadavky na zavedení, implementaci, udržování a neustálé zlepšování ISMS. Organizace, které získají certifikaci, mohou snadno prokázat zainteresovaným stranám, že berou bezpečnost informací vážně. To může poskytnout jistotu zákazníkům a obchodním partnerům a uspokojit regulační orgány, že organizace splňuje zákonné požadavky.

Na druhé straně ISO/IEC 27002 není certifikovatelnou normou, ale komplexním dokumentem s pokyny, který nastiňuje osvědčené postupy pro kontrolu bezpečnosti informací, které by měly být zohledněny v kontextu ISMS organizace. Pokrývá klíčové aspekty kybernetické bezpečnosti, včetně kontroly přístupu, kryptografie, bezpečnosti lidských zdrojů a reakce na incidenty. Využitím pokynů normy ISO/IEC 27002 mohou společnosti zaujmout proaktivní přístup k řízení rizik kybernetické bezpečnosti a chránit kritické informace před neoprávněným přístupem a ztrátou.

 

Kdy by měly podniky používat jednotlivé normy?

Norma ISO/IEC 27001 by měla být používána organizacemi, které chtějí zavést formální systém ISMS a usilují o certifikaci nezávislou třetí stranou, aby prokázaly soulad s osvědčenými postupy v oblasti bezpečnosti informací. V mnoha případech to může být „vstupenka do obchodu“, protože zákazníci a zainteresované strany se snaží chránit své cenné a osobní údaje. Kromě toho může tato norma pomoci chránit podnikání tím, že poskytuje strategie pro zajištění kontinuity podnikání a odolnosti.

ISO/IEC 27002 se nejlépe používá jako reference pro výběr a implementaci kontrolních mechanismů v rámci ISMS na základě požadavků ISO 27001. Může být obzvláště užitečná pro organizace, které chtějí zlepšit své postupy řízení bezpečnosti informací, aniž by nutně usilovaly o certifikaci. I když organizace neusiluje o certifikaci podle normy ISO/IEC 27001, přijetí kontrolních mechanismů stanovených v normě ISO/IEC 27002 jí poskytne určitou míru ochrany před kybernetickými hrozbami.

Obě normy jsou pravidelně aktualizovány, aby zohledňovaly nové vývojové trendy a postupy v rychle se vyvíjející oblasti hrozeb a požadavků.