ISO 27001與ISO27002的差異
27001比較屬於框架式的資訊,而27002則提供若要落實這個框架推薦使用的手法等(如先前提到的各種關於條款的描述)。27002也針對如何選擇27001裡提供的114種安全控制進行補充,讓企業選擇最合適的控制導入資安系統中。關於除了關於導入控制的補充內容外還包刮這些控制的機制、目的與手段等。
ISO 27001與ISO 27003的差異
27003提供所有ISMS系統該有的需求,依據不同的要求還有分成recommendations(“should”)、possibilities(‘can’)與permissions(‘may’)。
因此,真正認證的項目是27001,而27002、27003比較像是補充讀物。