Suchen

Definition ISO 27002 Was ist ISO 27002?

| Autor / Redakteur: Dipl.-Ing. (FH) Stefan Luber / Peter Schmitz

ISO 27002 ist eine internationale Norm und stellt einen Leitfaden für das Informationssicherheits-Management zur Verfügung. Die Norm ist Teil der Teil der ISO-27000-Normenreihe und liefert allgemeine Richtlinien und Empfehlungen für ein verbessertes Informationssicherheits-Management in Organisationen. Die aktuelle Version der Norm ist ISO/IEC 27002:2013 und besteht aus 14 verschiedenen Bereichen.

Firma zum Thema

Die ISO 27002 ist ein Leitfaden für das Informationssicherheits-Management.
Die ISO 27002 ist ein Leitfaden für das Informationssicherheits-Management.
(Bild: gemeinfrei / Pixabay )

Die vollständige Bezeichnung und der englische Titel von ISO 27002 lauten ISO/IEC 27002 "Information technology - Security techniques - Code of practice for information security management". Es handelt sich um einen von der ISO (International Organization for Standardization) und JTC (Joint Technical Committee) erstellen ISO/IEC-Standard, der auf dem British Standard BS7799 basiert und als Leitfaden für das Informationssicherheits-Management dient. Der Standard ist Teil der ISO-27000-Normenreihe, die verschiedene Ebenen der Informations-Sicherheitsmanagementsysteme (ISMS) behandelt. Der Inhalt der Norm ist in 14 Bereiche unterteilt. In den einzelnen Bereichen sind allgemeine Richtlinien und Empfehlungen für ein verbessertes Informationssicherheits-Management in Unternehmen oder Organisationen zu finden.

ISO 27002 kann als eine Art Praxisrichtlinie für die Entwicklung organisationsspezifischer Sicherheitsstandards gesehen werden. Die Norm bezieht sich auf 7001-a-626958/' class='inf-text__link inf-text__keyword'>ISO 27001, Anhang A und greift die dort beschriebenen Sicherheitsmaßnahmen im Sinne der praktischen Umsetzung auf. Eine Zertifizierung nach ISO 27002 ist nicht möglich, da es sich um einen ergänzenden Standard handelt, der nur Empfehlungen beinhaltet. ISO 27002 richtet sich an IT-Sicherheitsbeauftragte und stellt die Informationssicherheit als Gesamtaufgabe dar. Die enthaltenen Richtlinien und Empfehlungen sind eher allgemeiner Natur und auf verschiedene Organisationen beliebiger Größe anwendbar. Die aktuelle Ausgabe der Norm stammt aus dem Jahr 2013 und wird ISO/IEC 27002:2013 bezeichnet. Neue Versionen beinhalten die Anpassungen Cor 1:2014 und Cor 2:2015. Eine Deutsche Fassung ist unter der Bezeichnung EN ISO/IEC 27002:2017 verfügbar.

Inhalte der Norm ISO/IEC 27002:2013

Die Norm ISO/IEC 27002:2013 umfasst insgesamt 80 Seiten und kann über die ISO-Homepage kostenpflichtig bezogen werden. Logisch ist die Norm in 14 verschiedene Bereiche unterteilt. Im Folgenden ein kurzer Überblick über die 14 Überwachungsbereiche:

  • 1. Security Policy (Sicherheitsrichtlinien)
  • 2. Organization of Information Security (Organisation der Informationssicherheit)
  • 3. Human Resources Security (Sicherheit des Personals)
  • 4. Asset Management (Management der Vermögenswerte)
  • 5. Access Control (Zugangs- und Zugriffskontrolle)
  • 6. Cryptography (Verschlüsselung - Kryptographie)
  • 7. Physical and Environmental Security (Physische und umgebungsbezogene Sicherheit)
  • 8. Operations Security (Sicherheit im Betrieb)
  • 9. Communications Security (Sicherheit der Kommunikation)
  • 10. Information Systems Acquisition, Development, Maintenance (Beschaffung, Entwicklung und Wartung von Informationssystemen)
  • 11. Supplier Relationships (Beziehungen zu Lieferanten)
  • 12. Information Security Incident Management (Management von Vorfällen der Informationssicherheit)
  • 13. Information Security Aspects of Business Continuity (Business-Continuity-Aspekte der Informationssicherheit)
  • 14. Compliance (Einhaltung von Vorgaben)

ISO 27002 und weitere Sicherheitsstandards

ISO 27002 ist Bestandteil zahlreicher weiterer Sicherheitsstandards. Beispielsweise berücksichtigt der BSI-Standard 200-1 (allgemeine Anforderungen an ein Managementsystem für Informationssicherheit - ISMS) die Empfehlungen aus ISO 27002 und ist kompatibel zu ISO 27001. Die Entwicklung von COBIT 5 orientierte sich ebenfalls an den bestehenden Normen zum Sicherheitsmanagement wie der Norm ISO 27002. Auch der praxisorientierte Leitfaden des Information Security Forums (ISF) deckt die Anforderungen aus ISO 27002 ab.

(ID:46193525)

Über den Autor