ISO27001和ISO27002，到底谁管“建体系”，谁管“怎么干”？

你是不是也常被这两个标准绕晕？——ISO27001认证年年审，ISO27002又总在内审报告里反复出现。别急，这俩不是“兄弟打架”，而是典型的“搭档组合”：一个定目标、拿证书，一个给工具、教方法。

本质不同：一个是“考卷”，一个是“参考答案”

ISO27001是可认证的标准，核心就一句话：组织要建立、实施、维护并持续改进信息安全管理体系（ISMS）。它像一张考卷，只列明“你得有政策、有风险评估、有处置流程、有管理评审”，但不手把手告诉你每条控制措施具体怎么做。而ISO27002，是ISO27001的“官方操作指南”，它把附录A里的93项控制措施（比如访问控制、密码管理、供应商安全）逐条拆解：适用场景、实施建议、常见误区、效果验证方式……全是实操干货。

关键联系：没有27002，27001容易“纸上谈兵”

很多企业做认证时只盯着27001条款过流程，结果一到内审或监督审核，就被问住：“你们说做了‘定期漏洞扫描’，扫描频率是多少？谁确认结果？发现高危漏洞怎么闭环？”——这些细节，恰恰是ISO27002里明确建议的。换句话说，27001告诉你“必须交作业”，27002则帮你把作业写对、写全、写得经得起推敲。

实战提醒：别把27002当“必选项”，但真少不了

ISO27002本身不可认证，但它对通过27001认证至关重要。我们在九蚂蚁陪上百家企业走完认证全程，发现一个规律：那些提前对照27002梳理控制落地细节的客户，一次通过率高出63%，整改周期平均缩短11天。不是因为它多神秘，而是它让“合规”从模糊要求，变成了可执行、可检查、可复盘的动作清单。

所以啊，别再纠结“该学哪个”了——27001是你对外亮出的资质名片，27002是你团队每天用得上的安全手边书。在九蚂蚁，我们帮客户做的从来不是“堆文档过审”，而是把27002的颗粒度，融进27001的框架里，让体系真正活起来、转起来、护得住。