ISO/IEC 27002 - Leitfaden für das Management der Informationssicherheit

Die ISO/IEC 27002 legt Richtlinien und allgemeine Grundsätze für die Einführung, Umsetzung, Aufrechterhaltung und Verbesserung des Informationssicherheits-Managements innerhalb einer Organisation fest.

Die umrissenen Ziele geben grundsätzliche Hinweise zu den allgemein anerkannten Zielen des Informationssicherheits-Managements. Die angegebenen Maßnahmenziele und Maßnahmen sind vorgesehen, um durch deren Umsetzung die mittels einer Risikobewertung identifizierten Anforderungen abzudecken.

Sie kann als Erweiterung des Annex A der ISO/IEC 27001 angesehen werden und dient als Praxisrichtlinie für die Entwicklung von organisationsspezifischen Sicherheitsstandards und effektiven Vorgehensweisen für das Sicherheitsmanagement.

Eine Zertifizierung nach ISO/IEC 27002 ist nicht möglich, da es sich bei der Norm um eine Sammlung von Empfehlungen und nicht um Anforderungen handelt.

ISO/IEC 27002 – Abschnitte

Die festgelegten Anforderungen der ISO/IEC 27002 sind allgemeiner Natur und auf alle Organisationen anwendbar, unabhängig von Art, Größe und Beschaffenheit.

Die ISO/IEC 27002 unterteilt sich in folgende Abschnitte:

• Sicherheitspolitik
• Organisation der Informationssicherheit
• Personelle Sicherheit
• Management von Vermögenswerten
• Zugriffskontrolle
• Kryptographie
• Physische und umgebungsbezogene Sicherheit
• Sicherheit des Betriebes
• Sicherheit der Kommunikation
• Beschaffung, Entwicklung und Wartung von Informationssystemen
• Lieferantenbeziehungen
• Management von Informationssicherheits-Vorfällen
• Informationssicherheits-Aspekte des betriebliches Kontinuitätsmanagements
• Einhaltung von Verpflichtungen

Verfügbarkeit

Die aktuelle Fassung der Norm ist auf der ISO-Homepage bzw. auf der Homepage des Österreichischen Normungsinstitutes in englischer Sprache kostenpflichtig zum Download verfügbar.

Weitere Informationen

• Weitere Informationen zur Norm unter www.iso.org und www.austrian-standards.at.