Що таке ISO 27002 2013?
ISO/IEC 27002:2013 дає рекомендації щодо організаційних стандартів інформаційної безпеки та практик управління інформаційною безпекою, включаючи вибір, впровадження та управління засобами контролю, враховуючи середовище ризиків інформаційної безпеки організації.
ISO 27002 надає довідковий набір засобів контролю інформаційної безпеки, кібербезпеки та захисту конфіденційності, включаючи вказівки щодо впровадження на основі міжнародно визнаних передових практик. Загалом кажучи, він дає вказівки щодо впровадження СУІБ ISO 27001.
ISO/IEC 27002 — це міжнародний стандарт, який містить вказівки для організацій, які прагнуть створити, запровадити та вдосконалити систему управління інформаційною безпекою (ISMS), орієнтовану на кібербезпеку.
Простіше кажучи, ISO 27002 надає вказівки щодо впровадження засобів контролю з додатку A ISO 27001. Зовсім недавно — 15 лютого 2022 року — ISO 27002: 2013 було оновлено до 27002: 2022. Найбільші відмінності включають зміни, внесені до Додатку А, групування доменів і введення нових елементів керування.
Яка різниця між ISO 27001 та ISO 27002? ISO 27001 є стандартом для міжнародного управління інформаційною безпекою, а ISO 27002 є допоміжним стандартом, який керує тим, як можуть бути реалізовані засоби контролю інформаційної безпеки.. Зверніть увагу, що сертифікувати можна лише стандарти ISO, які закінчуються на «1».
ISO 27001 містить обов’язкові пункти (пункти 4–10), яких необхідно дотримуватися для сертифікації ISO 27001. Крім того, Контроль ISO 27002 не є обов’язковим. У кращому випадку вони є еталонним набором засобів контролю інформаційної безпеки, які можуть використовувати організації.