ISO27001和ISO27002有什么区别

中标通认证介绍，当组织决定实施信息安全管理系统时，他们经常想知道ISO27001和ISO27002之间有什么区别？简而言之，ISO27001符合信息安全管理系统标准的要求，而ISO27002则为旨在获得认证或实施自己的安全流程和控制的组织提供了指南和最佳实践。

ISO27001标准

ISO/IEC27001：2013（ISO27001）是一项国际标准，可帮助组织管理其信息资产的安全性，它提供了一个用于实施ISMS（信息安全管理系统）的管理框架，以确保所有公司数据（例如财务信息，知识产权，员工详细信息或由第三方管理的信息）的机密性，完整性和可用性。

它于2013年由ISO（国际标准化组织）和IEC（国际电工委员会）发布，属于ISO27000系列标准。它是唯一的国际认可的可认证信息安全标准。

ISO27001和ISO27002区别

ISO27000是一系列与信息安全有关的国际标准，ISO27001标准关注组织并详细说明了可以审核组织的ISMS（信息安全管理系统）的要求，ISO27001管理系统标准，因此建立了可以由第三方认可的注册服务机构进行认证的特定要求，如果组织要认证其信息安全管理系统（ISMS），则需要遵守ISO 27001中的所有要求。

另一方面，ISO27002更加侧重于特定示例，指南，并提供了供组织内个人使用的行为准则，不能通过ISO27002认证，因为它不是管理系统标准。

相反，它是根据各种准则和原则建立的，用于在组织内启动，实施，改进和维护信息安全管理，该标准中的实际控制措施通过正式的风险评估来满足特定要求，该标准包括针对组织安全标准和有效的安全管理实践的发展的特定准则，这将有助于建立组织间活动的信心。

ISO27000系列中还有十多个其他标准，旨在帮助公司保护其组织信息，其中包括针对寻求更多有关如何进行风险评估和风险处理的组织的ISO27005，以及ISO27004，该指南提供了旨在帮助组织对其信息安全性能及其ISMS有效性进行监控，度量，分析和评估的指南。

ISO27000系列中的每个标准在设计时都考虑了特定的重点，但是如果您要在组织中建立信息安全的基础并设计其框架，则应使用ISO27001；否则，您将使用ISO27001，ISO27002旨在作为一种工具来帮助组织实施ISO27001或为希望实施自己的管理准则和控制信息安全的组织提供工具。