iso27002与27001的区别：ISO 27001和27002标准有什么区别呢?

ISO 27001与ISO 27002:有什么区别?

如果您正在准备构建信息安全管理系统，那么您可能已经遇到了ISO 27001和ISO 27002。

两者都是由国际标准化组织创建的信息安全标准，解释了如何创建健壮的ISMS。两者都讨论了组织可以用来保护其数据的安全控制。

那么ISO 27001和27002标准有什么区别呢?

虽然他们的目的是重叠的，但每个人都有不同的重点。

ISO 27001解释了公司如何建立合规的ISMS，从确定系统范围和制定政策到培训员工。

ISO 27002特别关注控制。它扩展了ISO 27001附录A的概述，深入探讨了每个控制的目的、设计和实施。

这是tl;dr版本。

但是ISO 27001和27002有很多细微差别。

在这篇文章中，我们将介绍基本的区别，并解释何时使用每种标准。

什么是ISO 27001?

ISO 27001是一个信息安全框架。它概述了如何建立信息安全管理系统(ISMS)来存放敏感数据，包括:

确定ISMS的范围

进行差距分析

制定政策和控制措施

创建文档

培训员工

进行内部审计

完成认证审核

通过监督和重新认证审核保持合规性

获得ISO 27001认证是公司向客户证明其数据安全的一种方式。ISO 27001作为一项国际认可的标准，也是企业获得竞争优势和拓展全球市场的一种方式。

什么是ISO 27002?

ISO 27002概述了组织可能选择实现的特定控制，以构建合规的ISMS。

ISO 27001标准包括附录A，简要讨论了公司可以实施的特定信息安全控制措施，以确保其ISMS的安全。

但是，虽然附件A用一两句话涵盖了每个控制，但ISO 27002更详细。它包括每个控制的目标，它是如何工作的，以及公司可以做些什么来成功地实现它。

ISO 27001和ISO 27002有什么不同?

ISO 27001被称为管理标准。管理标准解释了如何运行一个系统——以ISO 27001为例，它是一个信息安全管理系统。

ISO 27002不是一个管理标准。这是一套指导方针和安全技术。

虽然您可以通过审核获得ISO 27001认证，但您无法获得ISO 27002认证。

每个标准所涉及的细节程度也有很大的不同。

例如，ISO 27001标准解释了如何实施ISMS:公司管理的责任，如何设置和测量目标，如何进行内部审核，以及公司可以实施的控制。

但它并没有深入到每一个控制的基本细节。ISO 27002可以。

您应该使用哪个ISO标准?何时使用?

ISO 27000系列的每个标准都有特定的目的和重点。

对于ISO 27001，重点是建立ISMS。实施ISMS的特定控制是ISO 27002的重点。ISO 27005是关于风险评估和管理的。等等......

使用ISO 27001要求来指导您如何设计和构建ISMS以实现合规性。一旦您确定了要实现哪些控制，请使用ISO 27002作为参考，以了解每个控制的具体工作原理。

如果您已准备好开始ISO 27001认证之旅，我们的合规自动化平台可以从头到尾简化整个流程。我们将帮助您建立合规的ISMS，管理风险，缩小差距，并在创纪录的时间内为您提供的审核准备。

ISO 27001与ISO 27002:有什么区别?

通常情况下，当您赢得新客户或进入新地区时，您必须令人信服地展示数据安全性，以激发信心和信任。ISO 27000系列是由国际标准化组织(ISO)与国际电工委员会(IEC)合作制定的，在这方面提供了一个全球公认的信息安全基准。

但是您知道并不是所有的ISO 27000系列管理标准都与您相关吗?在本文中，我们将讨论ISO 27001与ISO 27002之间的明显差异，并详细介绍ISO 20001和ISO 27002最近宣布的变化。

ISO 27001与ISO 27002:控制有何不同?

ISO 27001和ISO 27002之间的主要区别在于:ISO 27001概述了组织如何通过采用信息安全管理系统(ISMS)系统且经济有效地保护其信息。对于外行来说，ISMS是一种有组织的方法，用于维护组织的机密性、完整性和可用性。

它基于通过风险评估识别对组织信息的潜在威胁，然后通过实现安全控制来消除这些风险。

在实施ISMS时，组织必须生成“适用性声明”，该声明包括从ISO 27001和ISO 27002附录a中选择的控制措施，尽管结构相似，但通过详细说明附录a中列出的控制措施的更佳实践，补充了安全ISO 20071要求(但随着最近的更新，这有所变化)。阅读ISO 27002:有什么新内容?)。

因此，它是实施这些安全管理控制的参考指南，应该与ISO 27001一起阅读。简单地说，如果ISO 27001是一张餐厅的菜单卡，那么ISO 27002就是菜单上每一道菜的配方!是的，ISO 27002的好处就是它非常详细。

ISO 27002不是认证标准

ISO 27001是组织可以认证的标准，而ISO 27002是一组控制的更佳实践，您可以将其作为ISO 27001框架的一部分实施。你不能被证明是对的。

ISO 27002比ISO 27001更详细

ISO 27001标准在附录a中列出了组织需要遵循的特定安全控制措施，但没有提供这些控制措施的详细信息。此外，ISO 27002详细说明了ISO 27001附录A中概述的所有安全控制措施。

ISO 27001允许风险评估

ISO 27001检查表标准为组织提供了可操作的ISMS控制风险评估。在风险评估的基础上，ISO认证允许组织确定控制的适用范围和适用程度。相反，补充标准没有做出任何这样的区分。它只是详细说明了控制。

ISO 27001有强制性条款

ISO 27001有强制性条款(第4条至第10条)，必须遵守ISO 27001认证。此外，ISO 27002控制并不是强制性的。它们充其量只是组织可以使用的一组信息安全控制的参考。

同时查看:ISO 27004标准

什么时候应该使用ISO 27002和ISO 27001?

ISO 27001和ISO 27002有不同的目标，适用于不同的情况。如果您正在规划ISMS实施框架，ISO 27001是一个理想的选择。框架要求作为设计ISMS和获得认证的指南。一旦您确定了为实现ISO 27001合规性而将实施的控制措施，您可以参考ISO 27002以了解有关每种控制措施如何工作的更多信息。

ISO 27002:有什么新内容?

ISO 27002在今年早些时候更新之前，与ISO 27001附件A中概述的控制列表保持一致。但现在情况发生了变化。虽然意图仍然是支持ISO 27001和ISO 27002，但这些变化将信息安全管理、网络安全和隐私纳入了同一组控制。

减少控制计数

控件的数量(更改后)从114个减少到93个。请注意，控件的减少是由于合并了类似/冗余的控件，而不是删除了控件。

增加了11个新的控件

威胁情报

使用云服务的信息安全管理

为业务连续性做好信息通信技术准备

物理安全监控

配置管理

信息删除

数据屏蔽

防止数据泄露

监控活动

网络过滤

安全代码

类别重组

控件被重新组织为四个类别，而不是之前的14个域，如下所示:

第5条:组织

第6条:人

条款7:物理

第8条:技术

添加属性

现在每个控件都有五个属性。具体如下:

控制类型-预防，检测，纠正

安全属性——机密性、完整性、可用性

网络安全概念-识别，保护，检测，响应，恢复

安全领域-治理和生态系统，保护，防御，弹性

运营能力——治理、资产管理、信息保护、人力资源安全、物理安全、系统和网络安全、应用安全、安全配置、身份和访问管理、威胁和漏洞管理、连续性、供应商关系安全、法律和合规、信息安全事件管理和信息安全保证。

这些ISO 27001和27002的变化对您的组织意味着什么?

ISO 27002反映了ISO 27001附件A中的控制清单，并为其实施提供了详细的指导。因此，我们可以将ISO 27002:2022中所做的更改作为有用的指南，为年底的ISO认证更改做准备。

因此，如果您的组织目前正在根据ISO 27001进行评估，那么将11项新的控制措施也包括进来可能是一个好主意。但是，如果您还没有开始您的合规之旅，请积极主动地为新的控制做好准备。

Sprinto如何帮助您获得ISO 27001认证?

ISO 27001是一个注重细节和大量文档的合规性标准。在14个组中有超过114个安全控制，这可能相当令人生畏。

Sprinto的合规自动化平台帮助SaaS公司在安全之旅中自信地大步迈进。它智能地映射和最小化风险，并将整个过程分解为简单，合乎逻辑且易于理解的步骤。从定义ISMS的范围到设置健壮的信息安全策略，部署实体级检查和为员工实施信息安全培训计划，Sprinto无所不包。更重要的是，甚至框架中的更改和更新都是为您管理和自动化的。

Sprinto的持续监控系统验证您是否符合证据，并在未完成或错误完成时提醒您。它取代了所有的手动，容易出错，重复繁忙的工作与自动化，给你一个仪表板视图的一切!

ISO 27001与ISO 27002

如果你遇到过ISO 27001和ISO 27002标准，你可能会注意到ISO 27002更详细、更——那么，ISO 27001的目的是什么呢?

普遍差异

首先，你不能通过ISO 27002认证，因为它不是一个管理标准。管理标准是什么意思?这意味着这样的标准定义了如何运行系统，在ISO 27001的情况下，它定义了信息安全管理系统(ISMS) -因此，针对ISO 27001的认证是可能的。

哪些元素不是ISO 27002标准的核心组成部分?

管理体系意味着必须规划、实施、监视、评审和改进信息安全。这意味着管理层有其明确的责任;必须设定、衡量和审查目标;必须进行内部审计;等等......所有这些核心组件在ISO 27001中都有定义，但在ISO 27002中没有。

ISO 27002和ISO 27001控制之间的差异

ISO 27002中的控制与ISO 27001附件A中的控制命名相同——例如，在ISO 27002中，控制5.3被命名为“职责分离”，而在ISO 27001中，它被命名为“A.5.3职责分离”。但是，不同之处在于详细程度——平均而言，ISO 27002用一整页来解释一个控制项，而ISO 27001对每个控制项只用了一句话。

最后，不同之处在于ISO 27002没有区分适用于特定组织的控制和不适用于特定组织的控制。另一方面，ISO 27001规定了要执行的风险评估，以确定每个控制是否需要降低风险，如果需要，则应应用到何种程度。

问题是:为什么这两个标准是分开存在的，为什么它们没有被合并，把两个标准的积极方面结合在一起?答案是可用性——如果它是一个单一的标准，那么对于实际使用来说，它将过于复杂和庞大。

新版ISO 27002:2022 -您需要了解的内容

如果你有手机，你可能知道苹果公司几乎每年都会发布一款新版本的iPhone。但有时，这些版本看起来如此相似，你会想知道不同型号之间的区别是什么，在你掏出血汗钱之前，你必须深入研究每个型号的规格。

当谈到ISO 27002的最新更新时，你不必以同样的方式感到惊讶-我们长期以来习惯的2013版本和新的2022版本之间的差异是明显的。但这并不意味着你不需要检查细节——事实上，如果你想遵守ISO 27001，你必须这样做。

但作为一个ISO认证机构，我们在这里提供帮助，我们一直意识到这些标准的更大更新是什么。在本文中，我们将解释我们之前在全国各地的演讲活动中所了解的内容- 2013版ISO 27002与2022版ISO 27002之间的差异，包括对控制集和术语的广泛了解。

过渡期已经开始了，所以请继续阅读，帮助您简化转换和适应新标准的工作。

当然，切换到ISO 27002:2022的更大关注点将是控制集和要求。如果您已经通过了ISO 27001认证，那么保持该认证将意味着将来要遵守这个新的控制集，那么它包含什么呢?

为了使控制集现代化，新版本将这些域浓缩为4个控制类别(也称为主题)，这些可以在4个单独的子句中找到:

第6条-人员(涉及个人的控制)

条款7 -物理(涉及物理对象的控制)

第8条-技术(与技术有关的控制)

第5条-组织性(涉及其他方面的控制)

ISO 27002控制集

作为现代化的一部分，为了简化，27002:2013中的57项控制被合并为24项。在新标准中还引入了11个全新的控件。

旧版本有114个总控制项，但ISO 27002:2022现在只有93个，净减少了21个，旨在删除过时的参考，并更好地帮助组织理解这一重建集。这些控制中有75%在前面提到的组织和技术主题中。

令人高兴的是，2013版本的所有控件都映射到2022版本的控件集——实际上，从2013版本到2022版本，58个控件大致是一对一的(尽管更新是为了控制上下文)。

ISO 27002控制集有哪些内容?

当谈到ISO 27002的最新更新时，你不必以同样的方式感到惊讶-我们长期以来习惯的2013版本和新的2022版本之间的差异是明显的。但这并不意味着你不需要检查细节——事实上，如果你想遵守ISO 27001，你必须这样做。

但作为一个ISO认证机构，我们在这里提供帮助，我们一直意识到这些标准的更大更新是什么。在本文中，我们将解释我们之前在全国各地的演讲活动中所了解的内容- 2013版ISO 27002与2022版ISO 27002之间的差异，包括对控制集和术语的广泛了解。

过渡期已经开始了，所以请继续阅读，帮助您简化转换和适应新标准的工作。

ISO 27002:2013控制与ISO 27002:2022控制

当然，切换到ISO 27002:2022的更大关注点将是控制集和要求。如果您已经通过了ISO 27001认证，那么保持该认证将意味着将来要遵守这个新的控制集，那么它包含什么呢?

ISO 27002:2013术语与ISO 27002:2022术语

毫无疑问，当您过渡到新版本的标准时，控件将引起您的大量注意，但您也应该注意到措辞上的重要变化。

1. 目的与目标

在2013年的版本中，我们看到了所谓目标的细节。举个例子:

2 -移动

目的:确保远程办公和移动设备使用的安全性。

但在2022年的版本中，您将看到这些信息已被重新配置为现在的“目的”。下面是我们的意思的一个例子:

1 -用户端点设备

目的:保护信息免受使用用户端点设备带来的风险。

这个变化背后的想法是描述“为什么”——“为什么要实现这个控件?”与此同时，还提供了其他工具，包括帮助您回答“应该如何实现此控制”问题的广泛指导。所有这些都是为了提供进一步的澄清。

也就是说，请记住这是指导而不是要求。ISO 27002的一个好处是，尽管有这些规范，控制是非常广泛的——没有单一的方法来实现每个控制，它们旨在应用于任何类型的组织和IT环境

属性介绍

但也许对ISO 27002:2022措词更有影响的变化是属性的推出，其指南可以在新标准的附件A中找到。有五个属性类别:

控制类型(预防、检测和纠正)

信息安全原则(保密性、完整性、可用性)

网络安全概念(识别、保护、检测、响应、恢复)

操作功能

(例如:治理、资产管理、信息保护、人力资源安全、物理安全、系统与网络安全、应用安全等)

安全领域(治理和生态系统、保护、防御、弹性)

每个控件可以有一个或多个与每个类别相关联的属性，但需要注意的是，属性并不是硬性要求——引入属性是为了帮助创建不同的视图，或者基于相似属性对控件进行不同的分类。

没错，属性不是需求，甚至也不需要使用它们，但是它们可以在风险评估和风险处理/控制实现过程中提供帮助。因为它们是通用的，并且可以定制以适应不同的需求，所以任何类型的组织都可以使用这个新工具来获得关于控件之间的接口和关系的新视角。

有关属性的更多信息，请阅读此处的更深入文章。

向ISO 27001认证迈进

最后，ISO 27002提供了关于如何正确建立控制集以减轻通过信息安全管理系统(ISMS)风险评估过程识别的风险的指导，只有当您努力获得ISO 27001认证时才会这样做。

ISO 27001标准已与27002一起更新，但两者及其更新是密不可分的- ISO 27002:2022控制集取代了ISO 27001:2013 (A.5-A.18)中的控制集“附件A”)，之前是基于ISO 27002:2013，这使得您刚刚阅读的内容对您的下一个认证至关重要。

话虽如此，向这些相关标准的新版本的过渡仍在进行中——有关这方面的详细信息，请参阅我们关于过渡要求的文章。同时，如果您对上述内容有任何疑问或对这些标准的重大更新有任何其他考虑，请随时与我们联系。您将与我们的一位专家联系，他们随时准备帮助您放松心情。

Iso 27001:2022客户过渡指南

ISO 27001:2022“信息安全、网络安全和隐私保护-信息安全管理体系-要求”于2022年10月发布，将通过三年过渡期取代ISO 27001:2013。所有希望保持ISO 27001认证的组织都需要在2025年10月结束的设定过渡期内过渡到标准的2022版。

NQA的目标是保持一个清晰的过渡方法，便于我们的客户理解和应用。我们的目标是为组织提供指导和工具，以尽可能顺利地从ISO 27001:2013过渡到ISO 27001:2022。

ISO 27001标准的两个版本仍然有效，可以根据以下规则对两个版本进行审核，但应制定计划，使组织在过渡期结束之前完全完成过渡。

详细过渡期

2022年10月25日- ISO/IEC 27001:2022第三版-发布日期

2022年10月31日——过渡期开始

2024年5月1日—在此日期之后，所有初始(新)认证应采用ISO 27001:2022版本，建议所有再认证审核使用此日期之后的ISO 27001:2022版本。

在此日期之前，NQA将继续接受认证申请，并根据ISO 27001:2013标准颁发新的证书。

2025年7月31日-所有过渡审计应在此日期之前进行。

2025年10月31日-过渡期结束

ISO/IEC 27001:2013证书在此日期之后将不再有效。

下载完整的过渡计划(PDF)

ISO 27001:2022变化分析

ISO 27001标准的主体已作出更改，以更好地配合管理体系标准的协调结构(即附件SL)。

值得注意的是，下列要求有所改变:

4.2了解相关方的需求和期望

4.4信息安全管理体系

6.2信息安全目标和实现这些目标的计划

6.3变更策划

8.1运行计划和控制

9.1监视、测量、分析和评价

9.3.2管理评审输入

10的改进

附件A控制已从14个控制目标重新分组为4个广泛的主题，包括:组织、人员、物理和技术控制

附件A内的控件总数为93个，而前一版为114个

但是，以前的一些控制已合并为更广泛的新控制;新增了11项控制，包括:

威胁情报

使用云服务的信息安全

物理安全监控

配置管理

信息删除

数据屏蔽

防止数据泄露

网络过滤

安全代码

此外，ISO 27002:2022确定了5个控制属性，以对控制进行不同的分类;属性包括:

控制类型

信息安全属性

网络安全的概念

操作功能

安全域

ISO 27002:2022还定义了每个单独控制的目的，以更好地解释每个控制的意图

为了确保客户成功完成转型，NQA建议采取以下步骤:

准备您的ISO 27001转版

在进行转版审核之前，组织必须按照ISO 27001:2022的要求对其管理体系进行转版。这应包括任何文档更改，以及任何新的或更改的工艺要求的证据。

值得注意的是，在进行核质量保证(NQA)过渡审核之前，组织必须对新的/变更的要求进行内部审核和管理评审。

组织在正式的过渡审核之前，可由核质量保证(NQA)进行过渡差距评估。这可以与早期的ISO 27001:2013监督一起进行，也可以在过渡审核之前的任何其他独立时间进行。

我们制作了《差距指南》和《差距分析工具》，以帮助您顺利过渡，因此请下载这些文件，了解更多信息并开始过渡。

您的ISO 27001转版审核

所有组织都必须进行过渡审核，以确认修订后标准的实施。过渡审计可以与现有的审计一起进行，也可以是单独的审计。

如果转版审核与现有的监督(即转版监督)或再认证审核(即转版再评估)同时进行，审核持续时间可能会增加，以涵盖ISO 27001:2022引入的新要求/概念。

如果对过渡审计进行独立审计，则应根据单个组织计算持续时间。

注:具体的审核过渡时间取决于组织的实际情况，包括组织的规模和ISMS的复杂程度。您的核质量保证客户代表将告知您具体的过渡审核持续时间

修订ISO 27001:2022证书

与任何审核一样，在过渡审核期间发现的不符合项将需要提交并批准纠正措施。在纠正措施批准后，将颁发更新的ISO 27001:2022认证。

更新后的ISO 27001:2022证书的签发和有效性如下:

过渡监督——组织现有的“有效期至日期”将保持不变。

过渡期重新评估-更新后的3年期间将发布新的“有效期至日期”。

独立过渡-组织现有的“有效期至日期”将保持不变。

核质量保证(NQA) ISO 27001:2022过渡检查表

核质量保证局(NQA)正在制定ISO 27001:2022过渡检查表，该检查表为根据ISO 27001:2022的要求评估你们的管理体系提供了一个简单的框架。一旦发布，我们鼓励组织使用此检查表作为工具，以促进和记录其管理体系内的变更，并保留此文件以供过渡审核时审查。

请在未来几周内查看或注册InTouch，我们的定期通讯，以获得其出版的通知。

额外的支持

核质量保证团队将在整个过渡过程中为您提供支持。如果您有任何问题或需要任何帮助，我们可以支持您:

•技术咨询

有任何问题请打电话给我们。csr精通许多过渡方面，可以解决许多初始问题。如果您需要更深入的答案，您可以拨打由cto和业务部门领导组成的NQA技术团队的电话。

•过渡培训

NQA将以点播(在线学习)和现场(虚拟)两种形式提供27001:2022过渡培训。请访问NQA网站进行注册。

•外部援助(培训/咨询)

虽然NQA不提供咨询服务，但CSR可以为NQA了解的许多知名培训和咨询公司提供联系。

•过渡差距评估

CSR可以安排过渡差距评估，以确定在您的过渡审核之前符合ISO 27001:2022要求的水平。