ISO 27002 解释:强大的信息安全控制蓝图
国际标准化组织 (ISO) 是一个非政府实体,主要为技术主题制定标准。 ISO 27002 是一组强制实施信息安全和控制的标准和程序,使企业能够执行适当的安全措施。 2005 年之前,ISO 27002 曾使用过另外两个名称。该标准在很大程度上得到了 ISO 27001 的补充,ISO 27001 详细介绍了风险评估和安全审查等管理任务,而不是 27002 的控制方面。
ISO 27002 之前有两个标准,每个标准在主题和控制方面都很相似。第一个版本于 1995 年在英国 (UK) 出现,名称为 BS7799。经过清理和现代化后,它再次由 ISO 发布,这次是 ISO 17799。2005 年,经过进一步编辑,它被称为 ISO 27002。虽然每个版本都不同,并相继强调了更多现代问题和控制,但三个版本都涉及信息安全。
27002 标准强调了数百种处理信息安全的方法,并针对信息安全的不同方面提供了许多不同的章节。有些章节涉及人力资源及其与信息的交互,而其他章节则告诉企业如何通过其安全程序来控制访问和业务连续性。信息安全通常意味着信息技术 (IT),但 ISO 27002 也涉及纸质信息和资产,尽管该标准大部分是针对 IT 部门的。
在其第一个版本中,27002 标准旨在成为所有需要信息安全的机构的广泛标准。这意味着企业、非营利机构、政府机构和企业都将遵循相同的标准。该标准未来的发布重点是将不同行业的标准分开,以提高效率。
ISO 27002 详细介绍了保护信息安全所涉及的控制和程序。其他标准,例如补充性 ISO 27001,仅提供一两句话有关控制的内容。相反,27002 进行了非常详细的控制,但在管理方面提供的很少。 ISO 27001 规定了所有管理方面。
许多人混淆了 ISO 27001 和 27002,因为它们以不同的方式处理相同的主题。这意味着许多人想知道为什么该标准分为两部分。原因是,如果两部分同时存在,对于一份出版物来说就太长了。
About Mechanics 致力于提供准确且值得信赖的信息。我们精心选择信誉良好的来源,并采用严格的事实核查流程来维持最高标准。要了解更多关于我们对准确性的承诺,请阅读我们的编辑流程。
工业设备