深入解析:ISO 27001与ISO 27002控制指南的核心区别

本文详细对比了ISO 27001与ISO 27002标准的核心差异。ISO 27001是信息安全管理体系(ISMS)的认证标准,规定了必须达成的安全目标;而ISO 27002则是一份详细的操作指南,为如何具体实现这些控制目标提供实用建议和考量因素。

ISO 27001 vs ISO 27002 控制指南差异

我们在Ignyte博客上经常讨论ISO 27001,它是一个宝贵的信息安全国际框架。我们也经常提及两个相关文档:ISO 27002和附录A。

如您所知,负责制定各类ISO标准的组织ISO/IEC,为各种不同目的制定了许多不同的标准。ISO 9001管理质量控制,ISO 14001关注环境管理,ISO 45001关注职业健康与安全,类似于国际版的OSHA。总计有超过25,000个ISO标准!

您可能会想知道像ISO 27001和ISO 27002这样的相关文档之间有何区别。您应该遵循哪一个?

幸运的是,这方面有个好消息:它们是同一个标准

那么,像ISO 27002这样的文档目的是什么?它与ISO 27001有何不同,您需要哪一个?

内容提要

ISO 27001是一个用于建立和审核组织信息安全管理体系(ISMS)的全球标准。ISO 27002通过提供实施安全控制的详细指导来补充ISO 27001。ISO 27001概述了必要的安全目标,而ISO 27002则提供了实现这些目标的实用建议。ISO 27000系列中的其他相关文档,如ISO 27003、ISO 27004和ISO 27005,提供了额外的指导,帮助组织根据其特定需求定制安全系统。

同步阅读

在我们深入探讨之前,会引用很多来自ISO 27001和ISO 27002官方文档的信息。如果您想同步阅读,手头有这些文档会很有帮助。

如果您所在的组织正在实施ISO 27001,很可能您组织内部某处已经有这些文档的副本。在购买另一份副本之前,请务必再次确认。

如果您需要获取副本,可以在这里找到:

  • ISO 27001:2022
  • ISO 27002:2022

ISO/IEC还提供了可以购买的补充文档,它们有助于该整体安全标准的实际应用。它们可以单独购买或作为套餐的一部分。例如:

  • ISO 27001 + ISO 27001实用指南
  • ISO 27000 + ISO 27001 + ISO 27002 + ISO 27005

我们今天只讨论ISO 27001和ISO 27002,但请注意,还有其他补充文档可以帮助实施,以及大量的第三方信息,包括我们的指南。

现在,让我们深入探讨ISO 27001和ISO 27002的具体内容。

什么是ISO 27001?

通俗地说,当我们谈论ISO 27001时,我们通常广泛地指整个信息安全标准。但ISO 27001这个具体的文档并非如此。

您从ISO/IEC购买的特定文档ISO 27001,是一份全面的纲要,说明如何以外部审计师能够验证为安全的方式建立组织的信息安全策略和程序。它涵盖了信息安全范围内的广泛主题,包括:

  • 如何为您的组织确定适当的范围
  • 如何进行差距分析
  • 如何识别漏洞
  • 如何处理发现的漏洞
  • 如何制定相关策略和程序
  • 如何建立访问控制
  • 如何建立资产管理
  • 如何处理事件响应
  • 如何建立业务连续性计划
  • 如何对员工进行上述所有方面的培训
  • 如何进行内部审计以验证上述内容
  • 如何进行外部审计以验证上述内容
  • 如何随着时间的推移保持合规性并通过重新认证审计

内容很多,但有一个重要的注意事项:ISO 27001文档实际上相当简短。这是因为上述各点的具体内容相当简略。例如,关于建立ISMS的第4.4节只是这样说的: “组织应根据本文件的要求,建立、实施、维护并持续改进信息安全管理体系,包括所需的过程及其相互作用。” 您可以看出为什么它在实际操作中可能没有帮助,对吧?用“根据本文件建立ISMS”来回答“如何建立ISMS”这个问题并没有太大帮助。

这说得有点不准确。上面的引用是在清单中挑选了一个简略的条目。前面的第4.3节更具代表性。 “4.3 确定信息安全管理体系的范围。 组织应确定信息安全管理体系的边界和适用性,以建立其范围。 在确定此范围时,组织应考虑:

  • 4.1中提及的内外部问题;
  • 4.2中提及的要求;
  • 组织执行的活动与其他组织执行的活动之间的接口和依赖关系。

范围应作为文件化信息提供。” 仍然是参照性的,仍然缺乏可遵循的具体步骤,但更精确一些。

这就是为什么ISO 27001更像一个生态系统,而不是一套具体的指南。如果您习惯于像CMMC这样更具体、概述了需要遵循和实施的具体安全控制的框架,可能会有点文化冲击。ISO 27001告诉您目标,但没有告诉您需要做什么才能达到这些目标。

这就是像ISO 27002这样的补充文档发挥作用的地方。

什么是ISO 27002?

如果说ISO 27001列出了您需要实现的目标清单,那么ISO 27002就是一份关于如何实现这些目标的、更具体的指南。它是一个更加详尽、充实的文档,逐一审视ISO 27001中概述的总体目标,并为每一个目标提供具体的关注点、考量和实施指南。

从篇幅上看,ISO 27001大约有19页;ISO 27002则有150页。

ISO 27001会告诉您诸如“您必须为包含受保护信息的空间建立访问控制”和“信息必须根据您的组织需求进行适当加密”之类的内容。

与此同时,ISO 27002为您提供了在确定访问控制的含义或需要何种级别的加密时应考虑的事项的概述。

这可能非常重要,因为“行业标准”选项并不总是标准的,甚至不总是可选项。对于一家几乎不处理信息(更不用说接近机密级别的信息)的小型企业来说,实施军用级加密毫无理由。

即使有了增强的指导,许多组织仍可能觉得ISO 27002模糊得令人沮丧。这是因为ISO总体上不希望列出什么是有效、什么是无效的具体清单。

为什么不呢?有几个原因。一个很大的原因就是,对于一个小的宠物用品供应商来说,“足够好”的标准,与一个国家军队的下属组织或国际航空航天公司“足够好”的标准,是非常不同的。他们希望您真正思考您需要什么,什么对您的组织是合理的。

重要的是要记住,这些文档都不会为您提供一步一步的实施指南。ISO 27002只是在帮助您确定您可能自己没想到的关注领域方面更为精确。

还应考虑哪些其他文档?

在ISO 27000系列中,不仅仅是ISO 27001和ISO 27002。除了这两大文档之外,其他一些补充文档可能也非常有用。

ISO 27000 是ISO 27000系列的基础文档。它是对信息安全相关概念、ISO/IEC在其所有文档中使用的词汇以及需要满足的总体目标的高级概述。它也比核心文档更新得更频繁,并且计划很快被新版本取代。

ISO 27003 在某种程度上是ISO 27001和ISO 27002之间的中间地带。它包含更多关于为各种规模的组织建立ISMS的高级概念和概述性解释以及指导。

ISO 27004 本质上是一本关于执行自我审计和分析您的安全态势以及您对ISO 27001指南合规性的指导手册。它与ISO 27001审计公司使用的文档不同,但它让您了解要寻找什么以及如何在实践层面分析您的安全状况。

ISO 27005 是一本风险管理指南,详细说明了如何识别风险、分析和评估风险,以及如何处理风险。它扩展了ISO 27001中的要求,并为各种规模和行业的组织提供了更具体的指导。

ISO 27006ISO 27007ISO 27008 与目前提到的其他文档不同,因为它们是一个独立但相关于ISO 27001的标准。它们就像要求更高的ISO 27001,因为它们是提供ISO 27001审计的审计组织必须遵循的一套要求。它们定义了这些审计的标准以及如何根据ISO 27001标准审计ISMS。

此外,还有更多范围有限的ISO 27000系列文档和标准。

  • ISO 27011 基于ISO 27002为电信公司和组织提供具体指导。
  • ISO 27013 是一份综合文档,为同时实施ISO 27001和ISO 20000(IT服务管理组织的标准)提供指导。
  • ISO 27017 与ISO 27011类似,但专门针对云服务提供商。
  • ISO 27102 也类似,为网络保险提供商提供指导。

在大多数情况下,您不需要这些文档中的任何一个,尽管其中一些在特定情况下或对特定角色的组织可能有帮助。

您需要哪一个:ISO 27001还是ISO 27002?

都不需要。都需要。所有这些甚至更多。

从技术上讲,您可以努力用ISMS保护您的业务,聘请第三方ISO 27001审计公司进来,接受审计并验证您的安全性,通过审计并获得认证,而无需查看ISO 27001文档。

但现实情况是,这不会发生。

实际上并没有购买这些文档的要求,但没有它们,您会迷失方向。您仍然可以通过拼凑免费资源和聘请顾问来获取所有相关信息,但这比直接购买文档本身需要更多时间、更多工作和更多费用。

您也可能仅通过购买ISO 27001文档,而无需查看ISO 27002,就获得ISO 27001认证。

同样,现实情况是,这不会发生。您将不得不投入大量时间和资源来思考ISMS的每个要素,确定所有需要解决的可能关注点,并加以实施。

既然可以购买蓝图,为什么要重新发明轮子呢?

ISO 27001包含附录A,这是他们需要您考虑和实施的93项安全控制的简表。但是,同样,它们停留在“对您的数据进行加密”这样的层面,而没有提供您在此过程中需要思考的具体细节。

ISO 27002是针对附录A中概述的每项安全控制的指南,提供了更详细的层次和更多的考量因素。

最后,理解ISO 27001是标准这一点很重要。审计将根据ISO 27001中的要求对您进行检查。包括ISO 27002在内的其他文档,提供实施的指导和信息,但它们本身不是标准。您不能获得“ISO 27002认证”或通过“ISO 27002审计”。它们都是补充信息。

回到正题,ISO 27001和ISO 27002在控制指南方面有什么区别?

实际上只是细节层次的不同。具体要求是相同的,因为ISO 27002的存在仅仅是为了正确实施ISO 27001。但是,在ISO 27001可能模糊得令人沮丧且泛泛而谈的地方,ISO 27002提供了更具体的细节,说明您应该寻找什么、应该思考和考虑什么,以及需要做什么才能成功实施。

它们都无法为您提供可供遵循的分步流程,也无法提供需要实施的具体事项清单,但它们能让您更接近目标。之后,就需要像我们Ignyte Assurance Platform这样的组织来提供帮助了。我们在ISO 27001方面的专业知识和我们与框架无关的平台都可以帮助您的实施工作。要亲身体验并讨论我们能为您做些什么,请立即安排通话。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次