🚨 NIS2 już obowiązuje. Edukacja w zakresie bezpieczeństwa jest teraz wymagana przez prawo w UE.

Sprawdź zgodność
Rozpocznij bezpłatny okres próbny
Powrót do Centrum zasobów

Różnica między normami ISO 27001 i ISO 27002

Często mówi się o normach ISO 27001 i ISO 27002 w jednym tchu, ale to nie to samo. Jedna z nich to norma certyfikacyjna, a druga – praktyczny przewodnik. Każdy, kto poważnie podchodzi do kwestii bezpieczeństwa informacji, skorzysta na obu, ale w różny sposób.

Czym jest norma ISO 27001?

ISO 27001 to międzynarodowa norma dotycząca bezpieczeństwa informacji. Określa ona wymagania dotyczące systemu zarządzania bezpieczeństwem informacji (ISMS): spójnego zestawu zasad, procesów i środków służących ochronie informacji. Organizacje mogą uzyskać certyfikat zgodności z normą ISO 27001, co oznacza, że niezależny audytor sprawdza, czy spełniają one jej wymagania.

Norma określa, co musisz zapewnić, a nie w jaki sposób. Pomyśl o: ocenie ryzyka, audytach wewnętrznych, zaangażowaniu kierownictwa oraz szkoleniach pracowników z zakresu świadomości bezpieczeństwa. Ta ostatnia kwestia jest wyraźnie wymieniona w załączniku A do normy.

Czym jest norma ISO 27002?

Norma ISO 27002 stanowi praktyczne rozwinięcie środków kontroli bezpieczeństwa wymaganych przez normę ISO 27001. Tam, gdzie norma 27001 nakazuje podjęcie określonych działań, norma 27002 wyjaśnia, jak je wdrożyć. Nie można uzyskać certyfikatu zgodności z normą ISO 27002: jest to wytyczna, a nie norma certyfikacyjna.

W 2022 roku norma ISO 27002 została gruntownie zaktualizowana. Liczba środków kontroli spadła ze 114 do 93 i została podzielona na cztery kategorie: organizacyjne, personalne, fizyczne i technologiczne. Szkolenia z zakresu świadomości bezpieczeństwa należą do kategorii środków personalnych.

Różnice w skrócie

ISO 27001 ISO 27002
Typ Norma certyfikacyjna Wytyczne
Cel Wymagania dotyczące systemu zarządzania bezpieczeństwem informacji (ISMS) Wskazówki dotyczące wdrażania środków kontroli
Czy można uzyskać certyfikat? Tak Nie
Liczba elementów sterujących 93 (zgodnie z załącznikiem A) 93 (w podziale na grupy kontrolne)
Czy to obowiązkowe? Do certyfikacji: tak Warto mieć pod ręką
Grupa docelowa Kierownictwo, audytorzy Zespoły ds. bezpieczeństwa, osoby odpowiedzialne za wdrażanie

Który standard ci potrzebny?

Jeśli chcesz pokazać klientom, partnerom lub organom regulacyjnym, że poważnie podchodzisz do kwestii bezpieczeństwa informacji, certyfikat ISO 27001 jest tym, do czego powinieneś dążyć. Norma ISO 27002 stanowi punkt odniesienia podczas wdrażania: pomaga zrozumieć, które środki kontroli są uzasadnione i jak je wprowadzić w życie.

Te dwie normy wzajemnie się uzupełniają. ISO 27001 bez ISO 27002 to jak budowanie bez planu. ISO 27002 bez ISO 27001 to wiedza o tym, jak coś zrobić, ale bez zrozumienia, dlaczego.

Rola szkolenia security awareness

Zarówno norma ISO 27001, jak i ISO 27002 wymagają, żeby pracownicy przeszli szkolenie z zakresu bezpieczeństwa informacji. Norma ISO 27001 określa to jako wymóg (załącznik A, środek kontroli 6.3), natomiast norma ISO 27002 wyjaśnia, jak sprawić, by szkolenie to było skuteczne: powinno być regularne, dostosowane do pełnionych funkcji i możliwe do zmierzenia.

W praktyce pojedyncze szkolenia online czy coroczne warsztaty rzadko spełniają te wymagania. Guardey pomaga firmom spełnić wymagania normy ISO 27001 dotyczące świadomości bezpieczeństwa, oferując cotygodniowe mikroszkolenia, symulacje ataków phishingowych oraz raporty gotowe do audytu.

Szkolenie z zakresu świadomości bezpieczeństwa zgodne z normą ISO 27001

Guardey pomaga firmom spełnić wymagania szkoleniowe normy ISO 27001 bez zbędnych kłopotów. Poproś o prezentację i przekonaj się sam, co ta platforma może zrobić dla Twojej firmy.

Zaplanuj demo
Dinela Lokvancic
Dinela Lokvancic Specjalista ds. marketingu Dinela dba o aktualność informacji dotyczących firmy Guardey w Internecie. Tworzy treści, które sprawiają, że złożone tematy związane z cyberbezpieczeństwem stają się przystępne, oraz pomaga organizacjom zrozumieć, dlaczego szkolenia z zakresu świadomości bezpieczeństwa są ważne dla waszych zespołów.
Gotowy, żeby zacząć?

Dołącz do ponad 500 firm, które już chronią swoje zespoły dzięki Guardey

Rozpocznij bezpłatny 14-dniowy okres próbny
14 dni za darmo · Bez karty kredytowej · Pełny dostęp · Konfiguracja w 5 minut
Albo umów się na spersonalizowaną prezentację