ISO27001与27002的关系
ISO27001和ISO27002之间的工作关系需要理解的非常明确,因为ISO27001对ISO27002有相当程度的依赖,实际上它必需要用到ISO27002。
开发信息安全管理的国际标准ISO 27002的原因最初在BSI的网站上的描述如下:
许多组织都表示需要有一个共同的关于信息安全管理最佳实践的标准,他们希望能够部署信息安全控制措施,以满足他们自己的业务需求以及与他们有业务关系的其它机构。这些组织认为有必要分享通用最佳实践的好处,并以此作为一个真正的国际水平,以确保它们能够保护他们的业务流程和活动,以满足业务的需要。
它并没有提供一个用于获得国际认证的基本方案。认证方案只有BS7799的第二部分和现在的ISO 27001可以做到。
两个标准之间的对应关系
ISO27001:2005的附件A中列出了ISO17799:2005也就是新编号ISO27002中的133个控件,并且遵循相同的编号系统,和使用同样的关于控制措施的语言用词。
ISO27001的前言中指出:控制目标和控制措施直接来自ISO17799:2005,并且和它保持一致。
ISO27001规定:应该从附件A中选择控制目标和控制措施,以满足“风险评估和风险处理过程中确定的控管要求”。
ISO27002还提供了有关如何实现特定的控制措施的实质性指导。任何一个ISO27001 ISMS的实施都将需要获取和研究ISO27001和ISO27002两份标准。
尽管ISO27001强制指定ISO27002作为一个控制措施选择和部署的指导来源,它并不限制该组织对控制措施的选择。序言接着指出:“ISO标准中的控制目标和控制措施可能并不是很详尽,组织可能需要考虑和采取更多的控制目标和控制措施。”
