Senhor
Em primeiro lugar, você não pode obter a certificação ISO 27002 porque ela não é uma norma de gestão. O significa ser uma norma de gestão? Significa que essa norma define como administrar um sistema. No caso da ISO 27001, ela define o sistema de gestão da segurança da informação (SGSI), portanto, a certificação para a ISO 27001 é possível.
Esse sistema de gestão significa que a segurança da informação deve ser planejada, implementada, monitorada, analisada e aperfeiçoada. Significa que a gestão tem suas responsabilidades definidas, que os objetivos devem ser estabelecidos, medidos e analisados, que deve haver auditorias internas e assim por diante. Todos esses elementos são definidos na norma ISO 27001, mas não na ISO 27002.
Os controles da ISO 27002 tem os mesmos nomes do Anexo A da ISO 27001. Por exemplo, na norma ISO 27002 6.1.6, o controle é chamado de Contato com autoridades, enquanto na norma ISO 27001 é A.6.1.6 Contato com autoridades. Porém, a diferença está no nível de detalhamento – em média, a ISO 27002 explica um controle em uma página inteira, enquanto a ISO 27001 dedica apenas uma frase para cada controle.
Por fim, a diferença é que a ISO 27002 não faz distinção entre os controles aplicáveis a uma determinada organização, e aqueles que não são. Por outro lado, a ISO 27001 determina uma avaliação de riscos a ser executada a fim de identificar, para cada controle, se ela é necessária para diminuir os riscos, e se for, em que medida deve ser aplicada.
A pergunta é: por que essas duas normas existem separadamente, porque não foram fundidas, reunindo os lados positivos de ambas as normas? A resposta é a usabilidade: se fosse uma única norma, ela seria muito complexa e muito grande para uso prático.
Cada norma da série ISO 27000 é projetada com um determinado foco. Se você