ISO 27000シリーズの規格は、すべて情報セキュリティに関連する国際規格をまとめたものです。違いは、ISO 27001標準には組織の焦点があり、組織の情報セキュリティ管理システム(ISMS)を監査できる要件の詳細があることです。一方、ISO 27002は個人に重点を置いており、組織内の個人が使用するための実践コードを提供します。それらを比較すると、それらは同様に構造化されており、相互にマッピングされていることがわかります。
違いは詳細レベルにあります。ISO27002は1つのページ全体で1つのコントロールを説明しますが、ISO 27001は各コントロールに1つの文のみを示します。または情報セキュリティ管理システム(ISMS)の保守。一方、ISO 27001は監査要件を定義しています。
ISO 27001は要件を確立します。組織がその情報セキュリティ管理システム(ISMS)を認証したい場合は、ISO 27001のすべての要件に準拠する必要があります。
一方、ISO 27002は必須ではないベストプラクティスです。つまり、組織はISO 27002に準拠する必要はありませんが、ISO 27001の要件を実装するためのインスピレーションとしてそれを使用できます。
たとえば、ISO 27001では、組織がバックアップを実行する必要があるコントロールがあり、ISO 27002では同じコントロールですが、より開発されており、バックアップは計画された間隔で実行する必要がある、テストする必要がある、バックアップする必要があると述べていますデータやソフトウェアなど.
ISO 27002はより複雑で準拠するのが困難ですが、コンテキストや組織のビジネスによっては別の方法で制御を実装できるため、これは必須ではありません。 ISO 27001は、あなたがしなければならないことを確立しますが、方法は確立しません。 ISO 27002はその方法を説明しています。
27002に関しては、27001には次のように記載されていることに注意してください。
これらの表からの制御目標と制御は、4.2.1で指定されたISMSプロセスの一部として選択されます。
ここで、「これらの表」は、附属書A(特に27002)を意味します。
そのため、理由を論じることができる場合(たとえば、ソフトウェア開発が行われない場合やリスクが低すぎる場合)、それらを範囲外に置くことができる場合でも、Annex Aの制御を範囲内で行う必要があります。