ISO27001与27002的比较

ISO27001与27002的比较
ISO 27001是一个信息安全管理体系规范。它使用的词汇像“应该”和“必须”。它规定我们的需求。它是对其中第一、第二和第三方的审计进行规范的。

第一方的审计是一个组织对该组织自己的行为进行审核，即自审。第二方审计的工作由一个合作组织进行，这个合作组织通常是有一些商业关系的合作伙伴。第三方审计是由独立的第三方进行，如认证机构或外部审计师。

实施细则或一套指引，使用的字眼例如“可以”和“建议”，它允许单个的组织机构选择执行哪些标准元素，和不执行哪些。这种内在的元素可选择性意味着ISO 27002并不适合为审计提供坚实的标准。而在这方面，ISO27001就不提供任何回旋余地。

任何实施ISMS的并且希望得到ISO 27001评审的组织，将必需遵守这个标准中的规格。

作为一个通用的规则，实施了以ISO 27001为基础的ISMS的组织需要密切注意该标准本身的措辞，并要密切注意它的任何修改。与官方修改的任何不符，通常发生在3年和5年的认证周期内，将会影响到现有的认证。

恰当的第一步是获取和阅读ISO 27001的副本。副本可从ISO网站或国家标准机构购买。