ISO 27001 vs ISO 27002 差異比較:該選哪個?完整解析
- 快速比較表
- ISO 27001 詳解
- 標準定位
- 認證價值
- 適用對象
- ISO 27002 詳解
- 標準定位
- 與 27001 的關係
- 如何使用 27002
- 兩者如何搭配使用
- 導入流程中的應用
- 實務建議
- ISO 27000 系列家族
- ISO 27000:詞彙與概念
- ISO 27003:ISMS 實施指南
- ISO 27004:量測指南
- ISO 27005:風險管理指南
- ISO 27007:稽核指南
- ISO 27701:隱私資訊管理
- 系列標準總覽
- FAQ:常見問題
- Q1: 我只需要買哪個標準?
- Q2: ISO 27002 可以單獨認證嗎?
- Q3: 做完 ISO 27001 還要做 ISO 27002 嗎?
- Q4: ISO 27005 是必須的嗎?
- 下一步
- 延伸閱讀
- 參考資料
ISO 27001 vs ISO 27002 差異比較:該選哪個?完整解析
「ISO 27001 和 ISO 27002,到底差在哪?」
這是很多人剛接觸資安標準時的疑問。
簡單說:
- ISO 27001 可以認證,是「要求」
- ISO 27002 不能認證,是「指引」
但這樣說太簡略。這篇文章會完整說明兩者的差異,以及整個 ISO 27000 系列家族。
完整的 ISO 27001 介紹,請參考 ISO 27001 完整指南。
快速比較表
💡 重點摘要:先看重點:
| 項目 | ISO 27001 | ISO 27002 |
|---|---|---|
| 性質 | 要求標準(Requirements) | 指引標準(Guidelines) |
| 可否認證 | ✅ 可以 | ❌ 不行 |
| 內容 | ISMS 框架 + 控制措施清單 | 控制措施的詳細實作指引 |
| 用途 | 建立管理系統、取得認證 | 實作參考、技術指引 |
| 最新版本 | 2022 | 2022 |
| 頁數 | 約 30 頁 | 約 150 頁 |
| 附錄 A | 列出 93 項控制措施(清單) | 93 項控制措施的詳細說明 |
一句話總結:
- ISO 27001 告訴你「要做什麼」
- ISO 27002 告訴你「怎麼做」
ISO 27001 詳解
標準定位
ISO 27001 是資訊安全管理系統(ISMS)的要求標準。
它規定了:
- 建立 ISMS 的要求
- 實施 ISMS 的要求
- 維護 ISMS 的要求
- 持續改進 ISMS 的要求
核心結構:
| 部分 | 內容 |
|---|---|
| 條文本文(Clause 4-10) | ISMS 框架的要求 |
| 附錄 A | 93 項控制措施清單 |
條文本文是「必須」遵守的要求。 附錄 A 的控制措施需要評估適用性。
認證價值
ISO 27001 可以認證,這是它最大的價值。
認證的好處:
| 好處 | 說明 |
|---|---|
| 商業門檻 | 很多客戶、標案要求有證書 |
| 信任背書 | 第三方驗證,比自己說可信 |
| 國際認可 | 全球通用的標準 |
| 法規遵循 | 可滿足某些法規的資安要求 |
認證流程:
- 建立 ISMS
- 運行一段時間
- 申請認證稽核
- 通過後取得證書
- 每年監督稽核
適用對象
需要 ISO 27001 的人:
| 對象 | 原因 |
|---|---|
| 想取得認證的企業 | 這是唯一可認證的標準 |
| 負責導入的人員 | 要知道標準要求什麼 |
| 資安管理者 | 要依據標準建立管理系統 |
| 稽核員 | 稽核依據就是這個標準 |
ISO 27002 詳解
標準定位
ISO 27002 是控制措施的實作指引。
它提供:
- 每項控制措施的詳細說明
- 為什麼要做(目的)
- 可以怎麼做(指引)
- 其他參考資訊
結構:
每項控制措施都有:
| 欄位 | 內容 |
|---|---|
| 控制措施 | 控制措施的定義 |
| 目的 | 為什麼要實施這項控制 |
| 指引 | 如何實施的建議 |
| 其他資訊 | 額外的參考資料 |
2022 版還新增了屬性標籤:
- 控制類型(預防、偵測、矯正)
- 資安屬性(機密性、完整性、可用性)
- 網路安全概念
- 運作能力
- 安全領域
與 27001 的關係
ISO 27002 是 ISO 27001 的「說明書」。
舉例:
ISO 27001 附錄 A 說:「5.15 存取控制」
這只告訴你「要做存取控制」,但沒說怎麼做。
ISO 27002 的 5.15 則詳細說明:
- 存取控制的目的是什麼
- 應該考慮哪些面向
- 具體可以怎麼實施
- 相關的參考資訊
頁數對比:
| 標準 | 頁數 | 控制措施說明 |
|---|---|---|
| ISO 27001 附錄 A | 約 10 頁 | 只有控制措施名稱 |
| ISO 27002 | 約 150 頁 | 每項控制措施都有詳細說明 |
如何使用 27002
使用時機:
| 情境 | 如何用 |
|---|---|
| 寫 SOP 時 | 參考指引,設計具體做法 |
| 不知道怎麼做時 | 查閱對應的控制措施說明 |
| 稽核準備時 | 確認做法是否符合指引精神 |
| 教育訓練時 | 作為教材參考 |
重要提醒:
- ISO 27002 是「指引」,不是「要求」
- 你不需要完全照做
- 可以根據公司實際情況調整
- 只要能達到控制目的即可
兩者如何搭配使用
導入流程中的應用
| 階段 | 用 27001 | 用 27002 |
|---|---|---|
| 規劃 | 了解 ISMS 框架要求 | 了解控制措施的意圖 |
| 風險評鑑 | 依據 6.1.2 執行 | 參考控制措施分類 |
| 選擇控制措施 | 從附錄 A 選擇 | 了解每項的詳細內容 |
| 撰寫文件 | 確保符合條文要求 | 參考指引設計做法 |
| 實施 | 依據條文要求 | 參考指引落實 |
| 稽核 | 稽核依據是 27001 | 稽核員會參考 27002 判斷 |
實務建議
1. 先讀 ISO 27001
了解整體框架和要求,這是基礎。
2. 用 ISO 27002 當參考書
遇到不知道怎麼做的控制措施時再查。
3. 不用照抄
27002 的指引是建議,不是規定。根據公司實際情況調整。
4. 稽核時的準備
稽核員會問:「你們怎麼做 XX 控制?」
你的回答只要能說明「做了、有效果」就好,不需要跟 27002 一字不差。
ISO 27000 系列家族
ISO 27001 和 27002 只是 ISO 27000 系列的一部分。
ISO 27000:詞彙與概念
用途: 定義 ISMS 相關的術語
內容:
- 資訊安全的定義
- ISMS 的定義
- 各種專有名詞解釋
特色: 免費下載(ISO 官網)
ISO 27003:ISMS 實施指南
用途: 如何實施 ISO 27001
內容:
- 導入 ISMS 的步驟
- 各條文的實施指引
- 實務案例
適合: 第一次導入 ISMS 的人
ISO 27004:量測指南
用途: 如何量測 ISMS 的效果
內容:
- 績效指標的設計
- 量測方法
- 報告方式
適合: 想建立資安 KPI 的人
ISO 27005:風險管理指南
用途: 如何做資訊安全風險管理
內容:
- 風險評鑑方法論
- 風險識別、分析、評估
- 風險處理選項
- 風險溝通
適合: 負責風險評鑑的人
重點: ISO 27001 只說「要做風險評鑑」,27005 詳細說明「怎麼做」。風險評鑑的實務操作,可以參考 ISMS 建置實務指南 中的說明。
ISO 27007:稽核指南
用途: 如何稽核 ISMS
內容:
- 稽核計畫
- 稽核執行
- 稽核報告
- 稽核員能力
適合: 內部稽核員、準備考 LA 的人
ISO 27701:隱私資訊管理
用途: 擴展 ISO 27001 以涵蓋隱私保護
內容:
- 隱私資訊管理系統(PIMS)
- 個資處理者的要求
- 個資控管者的要求
適合: 需要符合 GDPR 或個資法的企業
重要: ISO 27701 是 ISO 27001 的擴展,必須先有 27001 才能加掛 27701。
系列標準總覽
| 標準 | 用途 | 可否認證 |
|---|---|---|
| ISO 27000 | 詞彙定義 | ❌ |
| ISO 27001 | ISMS 要求 | ✅ |
| ISO 27002 | 控制措施指引 | ❌ |
| ISO 27003 | 實施指南 | ❌ |
| ISO 27004 | 量測指南 | ❌ |
| ISO 27005 | 風險管理指南 | ❌ |
| ISO 27006 | 認證機構要求 | ❌ |
| ISO 27007 | 稽核指南 | ❌ |
| ISO 27701 | 隱私管理 | ✅(擴展) |
FAQ:常見問題
Q1: 我只需要買哪個標準?
如果要認證: 至少要買 ISO 27001
建議: ISO 27001 + ISO 27002
ISO 27002 雖然不是必須,但實作時非常有用。
Q2: ISO 27002 可以單獨認證嗎?
不行。
ISO 27002 是指引,不是要求標準,沒有「認證」的概念。
只有 ISO 27001 可以認證。
Q3: 做完 ISO 27001 還要做 ISO 27002 嗎?
ISO 27002 不是用來「做」的。
它是參考資料,在導入 ISO 27001 的過程中會用到。
不是另外一個要「做完」的標準。
Q4: ISO 27005 是必須的嗎?
不是必須,但很有用。
ISO 27001 只說要做風險評鑑,沒說怎麼做。 ISO 27005 提供詳細的方法論。
如果你不知道怎麼做風險評鑑,可以參考 27005。
下一步
理解 ISO 27001 和 ISO 27002 的差異後,你可以:
- 如果要認證:專注在 ISO 27001 的要求
- 如果要實作:用 ISO 27002 當參考書
- 如果要做風險評鑑:參考 ISO 27005
- 如果要處理個資:考慮 ISO 27701
想深入了解 ISO 27000 系列?歡迎聯繫我們,讓專家為你解答。
延伸閱讀
- 完整標準介紹,請見 ISO 27001 完整指南
- 條文詳細解讀,請見 ISO 27001 條文詳細解讀
- ISMS 實務建置,請見 ISMS 建置實務指南
- 2022 版改版重點,請見 ISO 27001:2022 改版重點詳解