ISO 27001 vs ISO 27002
Oleh kerana ISO 27000 adalah serangkaian standard yang telah dimulakan oleh ISO untuk memastikan keselamatan dan keselamatan dalam organisasi di seluruh dunia, perlu mengetahui perbezaan antara ISO 27001 dan ISO 27002, dua dari standard dalam siri ISO 27000. Piawaian ini telah dimulai untuk kepentingan organisasi dan juga untuk memberikan perkhidmatan yang berkualiti untuk pelanggan. Artikel ini menganalisis perbezaan antara ISO 27001 dan ISO 27002.
Apa itu ISO 27001?
Piawaian ISO 27001 adalah untuk memastikan Keselamatan Maklumat dan perlindungan data dalam organisasi di seluruh dunia. Piawaian ini sangat penting bagi organisasi perniagaan dalam melindungi pelanggan mereka dan maklumat sulit organisasi daripada ancaman. Pelaksanaan sistem pengurusan keselamatan maklumat akan memastikan kualiti, keselamatan, perkhidmatan dan kebolehpercayaan produk organisasi yang dapat dijaga pada tahap tertinggi.
Objektif utama piawaian ini adalah untuk menyediakan keperluan untuk menetapkan, menerapkan, memelihara dan terus meningkatkan Sistem Pengurusan Keselamatan Maklumat (ISMS). Di kebanyakan syarikat, keputusan mengadopsi jenis standard ini diambil oleh pihak pengurusan atasan. Juga, keperluan untuk mempunyai sistem keselamatan maklumat semacam ini untuk organisasi timbul kerana pelbagai faktor seperti tujuan dan objektif organisasi, keperluan keselamatan, ukuran dan struktur organisasi, dll.
Pada versi standar sebelumnya pada tahun 2005, model ini dikembangkan berdasarkan kitaran PDCA, model Plan-Do-Check-Act untuk menyusun proses-proses dan itu dengan cara yang mencerminkan prinsip-prinsip yang ditetapkan oleh garis panduan OECG. Versi baru pada tahun 2013 menekankan mengukur dan menilai keberkesanan prestasi organisasi di ISMS. Ini juga termasuk bagian berdasarkan penyumberan luar dan penumpuan lebih diberikan kepada keselamatan maklumat dalam organisasi.
Apa itu ISO 27002?
Piawaian ISO 27002 pada mulanya berasal dari standard ISO 17799 yang berdasarkan kod amalan keselamatan maklumat. Ia menyoroti pelbagai mekanisme kawalan keselamatan untuk organisasi dengan panduan ISO 27001.
Piawaian ini dibuat berdasarkan pelbagai panduan dan prinsip untuk memulakan, melaksanakan, memperbaiki dan mengekalkan pengurusan keselamatan maklumat dalam organisasi. Kawalan sebenar dalam standard menangani keperluan khusus melalui penilaian risiko formal. Piawaian ini terdiri daripada panduan khusus untuk perkembangan standard keselamatan organisasi dan amalan pengurusan keselamatan yang berkesan yang akan berguna dalam membina keyakinan dalam aktiviti antara organisasi.
Versi standard yang ada diterbitkan pada tahun 2013 sebagai ISO 27002: 2013 dengan 114 kawalan. Faktor terpenting yang perlu diperhatikan adalah bahawa selama bertahun-tahun sejumlah versi industri khusus ISO 27002 telah dikembangkan atau sedang dikembangkan dalam bidang seperti sektor kesihatan, pembuatan, dll.
Apakah perbezaan antara ISO 27001 & ISO 27002?
• Piawaian ISO 27001 menyatakan keperluan untuk pengurusan keselamatan maklumat dalam organisasi dan standard ISO 27002 memberikan sokongan dan panduan bagi mereka yang bertanggungjawab dalam memulakan, melaksanakan atau menyelenggara Sistem Pengurusan Keselamatan Maklumat (ISMS).
• ISO 27001 adalah standard pengauditan berdasarkan keperluan yang dapat diaudit, sementara ISO 27002 adalah panduan pelaksanaan berdasarkan cadangan amalan terbaik.
• ISO 27001 merangkumi senarai kawalan pengurusan kepada organisasi sementara ISO 27002 mempunyai senarai kawalan operasi kepada organisasi.
• ISO 27001 dapat digunakan untuk mengaudit dan mengesahkan Sistem Pengurusan Keselamatan Maklumat organisasi dan ISO 27002 dapat digunakan untuk menilai kelengkapan Program Keselamatan Maklumat organisasi.
Atribusi Imej: "CIAJMK1209" oleh John M. Kennedy T. (CC BY-SA 3.0)