ISO/IEC 27002 - Leitfaden für das Management der Informationssicherheit

Die ISO/IEC 27002 legt Richtlinien und allgemeine Grundsätze für die Einführung, Umsetzung, Aufrechterhaltung und Verbesserung des Informationssicherheits-Managements innerhalb einer Organisation fest.

Die umrissenen Ziele geben grundsätzliche Hinweise zu den allgemein anerkannten Zielen des Informationssicherheits-Managements. Die angegebenen Maßnahmenziele und Maßnahmen sind vorgesehen, um durch deren Umsetzung die mittels einer Risikobewertung identifizierten Anforderungen abzudecken.

Sie kann als Erweiterung des Annex A der ISO/IEC 27001 angesehen werden und dient als Praxisrichtlinie für die Entwicklung von organisationsspezifischen Sicherheitsstandards und effektiven Vorgehensweisen für das Sicherheitsmanagement.

Eine Zertifizierung nach ISO/IEC 27002 ist nicht möglich, da es sich bei der Norm um eine Sammlung von Empfehlungen und nicht um Anforderungen handelt.

ISO/IEC 27002 – Abschnitte

Die festgelegten Anforderungen der ISO/IEC 27002 sind allgemeiner Natur und auf alle Organisationen anwendbar, unabhängig von Art, Größe und Beschaffenheit.

Die ISO/IEC 27002 unterteilt sich in folgende Abschnitte:

  • Sicherheitspolitik
  • Organisation der Informationssicherheit
  • Personelle Sicherheit
  • Management von Vermögenswerten
  • Zugriffskontrolle
  • Kryptographie
  • Physische und umgebungsbezogene Sicherheit
  • Sicherheit des Betriebes
  • Sicherheit der Kommunikation
  • Beschaffung, Entwicklung und Wartung von Informationssystemen
  • Lieferantenbeziehungen
  • Management von Informationssicherheits-Vorfällen
  • Informationssicherheits-Aspekte des betriebliches Kontinuitätsmanagements
  • Einhaltung von Verpflichtungen

Umfang und Verfügbarkeit

Die aktuelle Fassung der Norm (ISO/IEC 27002:2013) wurde im September 2013 veröffentlicht und umfasst 80 Seiten. Sie ist auf der ISO-Homepage bzw. auf der Homepage des Österreichischen Normungsinstitutes in englischer Sprache kostenpflichtig zum Download verfügbar.

Weitere Informationen

Weitere Informationen zur Norm unter www.iso.org und www.as-institute.at.

> rechtlicher Hinweis

< zurück

Datum der Veröffentlichung: 24.03.2017

Für den Inhalt verantwortlich:
  • A-SIT Zentrum für sichere Informationstechnologie – Austria