ISO/IEC 27002 - Leitfaden für das Management der Informationssicherheit

Die ISO/IEC 27002 legt Richtlinien und allgemeine Grundsätze für die Einführung, Umsetzung, Aufrechterhaltung und Verbesserung des Informationssicherheits-Managements innerhalb einer Organisation fest.

Die umrissenen Ziele geben grundsätzliche Hinweise zu den allgemein anerkannten Zielen des Informationssicherheits-Managements. Die angegebenen Maßnahmenziele und Maßnahmen sind vorgesehen, um durch deren Umsetzung die mittels einer Risikobewertung identifizierten Anforderungen abzudecken.

Sie kann als Erweiterung des Annex A der ISO/IEC 27001 angesehen werden und dient als Praxisrichtlinie für die Entwicklung von organisationsspezifischen Sicherheitsstandards und effektiven Vorgehensweisen für das Sicherheitsmanagement.

Eine Zertifizierung nach ISO/IEC 27002 ist nicht möglich, da es sich bei der Norm um eine Sammlung von Empfehlungen und nicht um Anforderungen handelt.

ISO/IEC 27002 – Abschnitte

Die festgelegten Anforderungen der ISO/IEC 27002 sind allgemeiner Natur und auf alle Organisationen anwendbar, unabhängig von Art, Größe und Beschaffenheit.

Die ISO/IEC 27002 unterteilt sich in folgende Abschnitte:

  • Sicherheitspolitik
  • Organisation der Informationssicherheit
  • Personelle Sicherheit
  • Management von Vermögenswerten
  • Zugriffskontrolle
  • Kryptographie
  • Physische und umgebungsbezogene Sicherheit
  • Sicherheit des Betriebes
  • Sicherheit der Kommunikation
  • Beschaffung, Entwicklung und Wartung von Informationssystemen
  • Lieferantenbeziehungen
  • Management von Informationssicherheits-Vorfällen
  • Informationssicherheits-Aspekte des betriebliches Kontinuitätsmanagements
  • Einhaltung von Verpflichtungen

Verfügbarkeit

Die aktuelle Fassung der Norm ist auf der ISO-Homepage bzw. auf der Homepage des Österreichischen Normungsinstitutes in englischer Sprache kostenpflichtig zum Download verfügbar.

Weitere Informationen

Letzte Aktualisierung: 9. Juni 2021

Für den Inhalt verantwortlich: A-SIT Zentrum für sichere Informationstechnologie – Austria