iso 27001标准(iso 27001)和iso 27002标准(iso 27002)的区别

iso 27001与iso 27002

由于ISO 27000是由ISO发起的一系列标准，旨在确保全球组织内的安全，因此了解ISO 27001和ISO 27002之间的差异是值得的，这是ISO 27000系列中的两个标准。这些标准的制定是为了组织的利益，也是为了向顾客提供优质的服务。本文分析了iso27001与iso27002的区别。

ISO27001标准旨在确保全球组织的信息安全和数据保护。本标准对于商业组织在保护其客户和组织的机密信息免受威胁方面非常重要。实施信息安全管理系统将确保本组织的质量、安全、服务和产品可靠性，并在最高一级得到保障。

本标准的主要目标是提供建立、实施、维护和持续改进信息安全管理系统（ISMS）的要求。在大多数公司中，采用这类标准的决定是由最高管理层作出的。同时，由于组织目标、安全要求、组织规模和结构等多种因素的影响，组织对这种信息安全体系的需求也随之产生。

在2005年的前一个版本中，该标准是基于PDCA循环、计划-执行-检查-行动模式制定的，以构建流程，这是在某种程度上反映了OECG指南所规定的原则。2013年新版ISMS强调衡量和评估ISMS中组织绩效的有效性。它还包括一个以外包为基础的部分，并将更多的注意力放在组织的信息安全上。

iso27002标准最初是作为iso17799标准而产生的，它是基于信息安全实施规程的。它强调了在ISO27001的指导下，组织的各种安全控制机制。

本标准是根据组织内启动、实施、改进和维护信息安全管理的各种准则和原则制定的。标准中的实际控制通过正式的风险评估来处理具体要求。该标准包括制定组织安全标准和有效安全管理做法的具体准则，这些准则将有助于在组织间活动中建立信任。

本标准的现有版本于2013年发布为ISO 27002:2013，共有114个控件。值得注意的最重要因素是，多年来，在卫生部门、**业等领域，已经开发或正在开发一些行业特定版本的ISO 27002。

•ISO 27001标准表达了组织对信息安全管理的要求，ISO 27002标准为负责启动、实施或维护信息安全管理系统（ISMS）的人员提供支持和指导。

•ISO 27001是基于可审核要求的审核标准，而ISO 27002是基于最佳实践建议的实施指南。

•ISO 27001的组织控制列表包括27001的组织控制。

•ISO 27001可用于审核和认证组织的信息安全管理体系，ISO 27002可用于评估组织信息安全计划的全面性。