תקן ISO 27001 ותקן ISO 27002 (מוכר גם כ- ת״י 27002) שייכים למשפחת תקני אבטחת מידע.
ייתכן ונתקלתם בשני התקנים הללו במהלך סקירת מערכות ניהול לאבטחת מידע עבור ארגונכם. במסגרת בלוג זה אפרט את ההבדל והקשר בין שני תקנים אלו.
תקן ISO 27001 מוטמע בארגונים במטרה ליישם שיטה לניהול מערך אבטחת המידע לצמצום פריצות ומניעת זליגה של מידע חיוני אל מחוץ לשערי הארגון, בכל שכבות הארגון, בעוד שתקן ISO 27002 דומה במבנהו לתקן ISO 27001, אך זהו נועד להשלים את הדרישות המתוארות בתקן ISO 27001 על ידי כך שמתווה רשימת בקרות ומנגנוני בקרה פוטנציאליים ליישום במסגרת ההנחיות שהארגון הגדיר במסגרת ISO 27001.
תקן ISO 27002 קובע הנחיות ועקרונות כלליים ליישום, אחזקה ושיפור ניהול מערך אבטחת המידע בארגון.
ההנחיות המפורטות בתקן נועדו לתת מענה לדרישות הספציפיות שזוהו באמצעות הערכת הסיכונים. בנוסף, הוא נועד לספק מדריך לפיתוח תקני אבטחת מידע ארגוניים, שיטות ניהול מערך אבטחה יעילות וכן בכדי לסייע בבניית אמון בפעילות הפנים ארגונית.
בשונה מתקן ISO 27001, ארגונים אינם יכולים להיות מוסמכים לתקן ISO 27002. כלומר, אין כל מעורבות של מכון התעדה בתהליך. לעומת זאת, הדרך בה יכול ארגון להציג שהנו פועל לפי דרישות תקן ISO 27002 היא על ידי הצהרת תאימות שהנו מיישם התקן, אך חשוב להבין כי הצהרת הארגון על עמידתו בדרישות תקן מחייבת לא פחות (אף יותר) מתעודה הניתנת לו על ידי גורם חיצוני שבדק אותו.
לכן, בהתבסס על הרחבת ההנחיות שמספק תקן ISO 27002, אנו ממליצים לארגונים להתייחס לשני תקני אבטחת המידע בעת הקמת, יישום או שיפור של מערכת ניהול מערך אבטחת המידע.
התקן מיועד לארגונים המעוניינים לשלב בקרות מבוססות כחלק מתהליכי ניהול אבטחת מידע לפי תקן ISO 27001 או תקני אבטחת מידע אחרים או נוספים, לארגונים שיישמו בקרות אבטחת מידע מקובלות ולכאלה המעוניינים לפתח באופן עצמאי קווים מנחים לניהול אבטחת מידע בארגונם.
מאחר ותהליך הסמכת תקן ISO 27001 מתבצע על ידי מכון התעדה וכן הצהרת תאימות לתקן 27002 ISO הנה הבטחת הארגון שעומד מאחוריה, חשוב ליישם באופן נכון ומסודר את תקנים אלו ואנו ממליצים לעבוד עם יועץ מקצועי בעל ניסיון בתקני אבטחת מידע ובמערכות ניהול אבטחת מידע.
אנו בסינק פרויקטים בעלי ניסיון רב של כמעט 20 שנה בניהול ובתקני אבטחת מידע ומחויבים ליישום התקן באופן מקצועי, אישי ויעיל.