ISO/IEC 27001与CISSP CBK的区别

Question

很抱歉问这个问题，我对保安区很陌生。最近，我试图介绍一些安全标准。

经过一些搜索，我在这个文档中找到了这个

其中，ISO是最著名的ISMS标准，它通过不断的改进来帮助建立和维护一个有效的信息管理系统。

这句话在这个站点中

最受欢迎的IT认证之一是CISSP，用于认证的信息系统安全专业人员。

我想一个一个地检查域名，以确保安全管理建立在世界先进标准的基础上。

但是正如你所看到的，在这些标准中有不同的领域。

下面是我在ISO/IEC 27002和CBK基础上起草的领域比较。

我应该求助于哪一个？去说服我的老板申请？

顺便说一句，对我来说，CBK更像是一种考试的东西，而且非常不切实际。

Answer 1

我能看到你对这个话题的困惑。

首先，您之所以陷入困境，是因为ISO 27001、ISO 27002和CISSP都是不同的。

ISO 27001是一个以组织为中心的标准，并为您的公司的ISMS提供了可审计的要求。

ISO 27002侧重于个人层面上的最佳实践(供公司内个人使用的业务守则)。

CISSP CBK是一个完整的框架，包含了安全专业人员应该熟悉的所有相关主题(这不是一个可以证明您的ISMS的公司标准)。

尽管如此，如果您想要正式承认(认证)您的公司的ISMS，然后选择ISO 27001。ISO 27002和CISSP CBK涉及到公司内部个人的安全最佳实践。