深入解析:ISO 27001与ISO 27002安全控制指南的核心差异

本文详细解析了ISO 27001信息安全管理体系标准与其配套指南ISO 27002之间的核心区别。ISO 27001规定了建立和维护ISMS的要求框架,而ISO 27002则为如何具体实施其中的安全控制措施提供了详细的实践指导。文章阐述了二者在目的、内容详略和实际应用中的不同角色。

ISO 27001 vs ISO 27002 控制指南差异

在Ignyte博客上,我们经常谈论ISO 27001作为一个有价值的信息安全国际框架。我们也经常提及两个相关文件:ISO 27002和附录A。

你可能知道,负责制定各种ISO标准的组织ISO/IEC,针对不同目的有很多不同的标准。ISO 9001管理质量控制,ISO 14001以环境管理为中心,ISO 45001则以职业健康与安全为中心,类似于国际版的OSHA。总共有超过25,000项ISO标准!

你很可能会想知道像ISO 27001和ISO 27002这样的相关文件之间有什么区别。你应该遵循哪一个?

幸运的是,这方面有个好消息:它们是同一个标准

那么,像ISO 27002这样的文件的目的是什么?它与ISO 27001有何不同,你又需要哪一个?

目录

BLUF - 底线先行 ISO 27001是建立和审计组织信息安全管理体系(ISMS)的全球标准。ISO 27002通过提供实施安全控制的详细指南来补充ISO 27001。ISO 27001概述了必要的安全目标,而ISO 27002则为实现这些目标提供了实用建议。ISO 27000系列中的其他相关文件,如ISO 27003、ISO 27004和ISO 27005,提供了额外的指导,帮助组织根据其特定需求定制安全系统。

在家跟随学习

在我们深入探讨之前,我们将参考ISO/IEC官方文件ISO 27001和ISO 27002中的大量信息。如果你想跟着学习,手头有这些文件会很有帮助。

如果你所在的组织正在实施ISO 27001,那么你的组织内部很可能已经有了这些文件的副本。在购买另一份之前,请务必仔细检查。

如果你需要获取副本,可以在这里找到:

ISO/IEC还提供了可以购买的补充文件,这些文件有助于整体安全标准的实际应用。它们可以单独购买,也可以作为套餐的一部分购买。例如:

  • ISO 27001 + ISO 27001实用指南
  • ISO 27000 + ISO 27001 + ISO 27002 + ISO 27005

我们今天只讨论ISO 27001和ISO 27002,但请注意,还有其他补充文件可以帮助实施,以及大量第三方信息,包括我们的指南。

现在,让我们深入了解ISO 27001和ISO 27002的具体内容。

什么是ISO 27001?

通俗地说,当我们谈论ISO 27001时,我们通常是指整个信息安全标准。但这并不是ISO 27001文件本身。

从ISO/IEC购买的特定文件ISO 27001,是一份详尽的纲要,指导你如何以一种能够被外部审计师验证为安全的方式,建立组织的信息安全策略和程序。它涵盖了信息安全的广泛主题,包括:

  • 如何确定适合你组织的范围
  • 如何进行差距分析
  • 如何识别漏洞
  • 如何解决已发现的漏洞
  • 如何制定相关策略和程序
  • 如何设置访问控制
  • 如何设置资产管理
  • 如何处理事件响应
  • 如何制定业务连续性计划
  • 如何就上述所有方面培训员工
  • 如何进行内部审计以验证上述内容
  • 如何接受外部审计以验证上述内容
  • 如何长期保持合规并通过再认证审计

内容很多,但有一个重要的注意事项:ISO 27001文件实际上相当简短。这是因为上述每一点的具体内容都比较简略。例如,关于建立ISMS的第4.4节,仅简单说明:

“组织应根据本文件的要求,建立、实施、维护并持续改进信息安全管理体系,包括所需的过程及其相互作用。”

你可以看出它在实践意义上可能不太有帮助,对吧?用“根据文件要求建立ISMS”来回答“我如何建立ISMS”这个问题,并没有多大帮助。

这有点不够全面。上面的引用是在列表中选取了一个简略的条目作为例子。前面的第4.3节更具代表性:

“4.3 确定信息安全管理体系的范围。 组织应确定信息安全管理体系的边界和适用性,以建立其范围。 在确定此范围时,组织应考虑:

  • 4.1中提及的外部和内部问题;
  • 4.2中提及的要求;
  • 组织执行的活动与其他组织执行的活动之间的接口和依赖关系。 范围应作为文件化信息提供。”

仍然是参考性的,仍然缺乏可遵循的具体步骤,但更精确一些。

这就是为什么ISO 27001更像一个生态系统,而不是一套具体的指导方针。如果你习惯了像CMMC这样更具体的框架——它们概述了要遵循和实施的具体安全控制措施——这可能会让你有些文化冲击。ISO 27001告诉你目标,但没有告诉你需要做什么来实现这些目标。

这就是像ISO 27002这样的补充文件发挥作用的地方。

什么是ISO 27002?

如果说ISO 27001给了你需要实现的目标清单,那么ISO 27002就是关于如何实现这些目标的更具体的指南。它是一个更加详尽、更加丰富的文件,逐项阐述了ISO 27001中概述的总体目标,并为每个目标提供了具体的关注点、考虑因素和实施指南。

从篇幅上看,ISO 27001大约有19页;而ISO 27002有150页。

ISO 27001会告诉你诸如“你必须为包含受保护信息的空间建立访问控制”和“信息必须根据组织需求进行适当加密”等内容。

与此同时,ISO 27002为你提供了在确定访问控制的含义或所需加密级别时应考虑的事项概述

这可能非常重要,因为“行业标准”选项并不总是标准的,甚至可能不存在。对于一个几乎不处理信息的小型企业来说,实施军用级加密是没有必要的。

即使有更详细的指南,许多组织仍可能觉得ISO 27002模糊得令人沮丧。这是因为ISO总体上不想列出具体的是否有效的检查清单。

为什么不呢?有几个原因。其中一个重要原因是,对于一个小型宠物用品供应商来说,“足够好”的标准,与对于一个国家军队的下属组织或一家国际航空航天公司来说,“足够好”的标准会非常不同。他们希望你真的思考你需要什么,以及什么对你的组织是合理的。

重要的是要记住,这些文件都不会给你一个逐步实施的指南。ISO 27002只是在帮助你确定自己可能没有想到的关注领域方面更加精确。

你还应该考虑哪些其他文件?

在ISO 27000系列中,除了ISO 27001和ISO 27002之外还有更多内容。除了这两个主要文件外,其他一些补充文件可能也非常有用。

  • ISO 27000 是ISO 27000系列的基础文件。它是对信息安全相关概念、ISO/IEC在其文件中使用的词汇以及需要满足的总体目标的高层概述。它也比核心文件更新更频繁,并计划很快被新版本取代。
  • ISO 27003 像是ISO 27001和ISO 27002之间的中间地带。它提供了更多的高层概念和概述解释,以及针对各种规模的组织在建立ISMS时的指导。
  • ISO 27004 本质上是一本指南,用于对安全状况和是否符合ISO 27001指南进行自我审计和分析。它不同于ISO 27001审计公司使用的文件,但它让你了解需要关注什么以及如何在实践层面分析你的安全性。
  • ISO 27005 是一本风险管理指南,详细说明了如何识别风险、分析和评估风险,以及如何处理风险。它扩展了ISO 27001中的要求,并为各种规模和行业的组织提供了更具体的指导方针。
  • ISO 27006、ISO 27007和ISO 27008 与目前提到的其他文件不同,因为它们是与ISO 27001相关但独立的标准。它们就像要求更高的ISO 27001,因为它们是提供ISO 27001审计的审计组织必须遵循的一套要求。它们定义了这些审计的标准以及如何根据ISO 27001标准审计ISMS。

此外,还有更多范围有限的ISO 27000系列文件和标准。

  • ISO 27011为电信公司和基于ISO 27002的组织提供了具体指导。
  • ISO 27013是一个综合文件,提供同时实施ISO 27001和ISO 20000(IT服务管理组织的标准)的指导。
  • ISO 27017与ISO 27011类似,但专门针对云服务提供商。
  • ISO 27102也类似,为网络保险提供商提供指导。

在大多数情况下,你不需要这些文件中的任何一个,尽管其中一些在特定情况下或对于特定角色的组织可能很有帮助。

你需要哪个:ISO 27001 还是 ISO 27002?

都不需要。都需要。所有这些甚至更多。

从技术上讲,你可以努力用ISMS保护你的业务,聘请第三方ISO 27001审计公司进行审计,验证你的安全性,通过审计并获得认证,而无需查看ISO 27001文件。

实际上,这不会发生。

并没有实际要求购买这些文件,但没有它们,你将会迷失方向。你仍然可以通过拼凑免费资源和聘请顾问来获取所有相关信息,但这比直接购买文件本身需要更多的时间、工作和费用。

你也可能仅通过购买ISO 27001文件,而不查看ISO 27002,就获得ISO 27001认证。

再次强调,实际上,这不会发生。你将不得不投入大量的时间和资源来思考ISMS的每个要素,确定所有需要解决的关注点,并实施它们。

既然可以购买蓝图,为什么要重新发明轮子呢?

ISO 27001包含附录A,这是你需要考虑和实施的93项安全控制的简要概述。但是,同样,它们停留在“为你的数据设置加密”这样的层面,而没有提供过程中需要考虑的具体细节。

ISO 27002是附录A中概述的每项安全控制的指南,提供了更详细的层次和更多的考虑因素。

最后,重要的是要理解ISO 27001是标准。审计将根据ISO 27001中的要求对你进行检查。包括ISO 27002在内的其他文件提供了实施指导和信息,但它们本身并不是标准。你不能获得“ISO 27002认证”或通过“ISO 27002审计”。它们都是补充信息。

回到主题,ISO 27001和ISO 27002在控制指南方面有什么区别?

这实际上只是详细程度的不同。具体的要求是相同的,因为ISO 27002的存在完全是为了正确实施ISO 27001。但是,在ISO 27001可能模糊得令人沮丧且过于通用的地方,ISO 27002提供了更具体的细节,说明你应该寻找什么、应该思考什么和考虑什么,以及为了成功实施需要做什么。

它们都无法为你提供逐步遵循的流程,也无法提供要实施的具体事项检查清单,但它们可以让你更接近目标。之后,就需要像我们这样的组织,即Ignyte Assurance Platform,来提供帮助。我们在ISO 27001方面的专业知识和我们与框架无关的平台都可以帮助你的实施。要查看实际操作并讨论我们可以为你做什么,请立即预约通话。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次