Az ISO/IEC 27001 és az ISO/IEC 27002 egyaránt felülvizsgálat alatt áll. Az ISO/IEC 27002 a tervek szerint 2022 januárban jelenik meg, az ISO/IEC 27001 pedig nem sokkal később követi. A Nemzetközi Szabványügyi Szervezet (ISO)/Nemzetközi Elektrotechnikai Bizottság (IEC) közös műszaki bizottsága, az ISO/IEC JTC 1 közel 20 év után megváltoztatja az ISO/IEC 27001/27002 ellenőrzési keretrendszer szerkezetét.
Mi a különbség az ISO/IEC 27001 és az ISO/IEC 27002 között?
A szervezetek az ISO/IEC 27001 szabvány szerint tanúsítást szerezhetnek, de az ISO/IEC 27002 szabvány szerint nem. Az ISO/IEC 27001 az információbiztonsági irányítási rendszer létrehozására, bevezetésére, fenntartására és folyamatos fejlesztésére vonatkozó követelményeket dokumentálja, míg az ISO/IEC 27002-t úgy tervezték, hogy a szervezetek referenciaként használhassák a kontrollok kiválasztásához, és iránymutatást ad az információbiztonsági irányítási gyakorlatokra, beleértve a kontrollok végrehajtását és irányítását, figyelembe véve a szervezet információbiztonsági kockázati környezetét. A szervezetek olyan szabványok alapján tanúsíthatók, amelyek követelményeket fogalmaznak meg, útmutatást nyújtó szabványok alapján nem.