Definition ISO 27002

Was ist ISO 27002?

| Autor / Redakteur: Stefan Luber / Peter Schmitz

Die ISO 27002 ist ein Leitfaden für das Informationssicherheits-Management.
Die ISO 27002 ist ein Leitfaden für das Informationssicherheits-Management. (Bild: gemeinfrei / Pixabay)

ISO 27002 ist eine internationale Norm und stellt einen Leitfaden für das Informationssicherheits-Management zur Verfügung. Die Norm ist Teil der Teil der ISO-27000-Normenreihe und liefert allgemeine Richtlinien und Empfehlungen für ein verbessertes Informationssicherheits-Management in Organisationen. Die aktuelle Version der Norm ist ISO/IEC 27002:2013 und besteht aus 14 verschiedenen Bereichen.

Die vollständige Bezeichnung und der englische Titel von ISO 27002 lauten ISO/IEC 27002 "Information technology - Security techniques - Code of practice for information security management". Es handelt sich um einen von der ISO (International Organization for Standardization) und JTC (Joint Technical Committee) erstellen ISO/IEC-Standard, der auf dem British Standard BS7799 basiert und als Leitfaden für das Informationssicherheits-Management dient. Der Standard ist Teil der ISO-27000-Normenreihe, die verschiedene Ebenen der Informations-Sicherheitsmanagementsysteme (ISMS) behandelt. Der Inhalt der Norm ist in 14 Bereiche unterteilt. In den einzelnen Bereichen sind allgemeine Richtlinien und Empfehlungen für ein verbessertes Informationssicherheits-Management in Unternehmen oder Organisationen zu finden.

ISO 27002 kann als eine Art Praxisrichtlinie für die Entwicklung organisationsspezifischer Sicherheitsstandards gesehen werden. Die Norm bezieht sich auf ISO 27001, Anhang A und greift die dort beschriebenen Sicherheitsmaßnahmen im Sinne der praktischen Umsetzung auf. Eine Zertifizierung nach ISO 27002 ist nicht möglich, da es sich um einen ergänzenden Standard handelt, der nur Empfehlungen beinhaltet. ISO 27002 richtet sich an IT-Sicherheitsbeauftragte und stellt die Informationssicherheit als Gesamtaufgabe dar. Die enthaltenen Richtlinien und Empfehlungen sind eher allgemeiner Natur und auf verschiedene Organisationen beliebiger Größe anwendbar. Die aktuelle Ausgabe der Norm stammt aus dem Jahr 2013 und wird ISO/IEC 27002:2013 bezeichnet. Neue Versionen beinhalten die Anpassungen Cor 1:2014 und Cor 2:2015. Eine Deutsche Fassung ist unter der Bezeichnung EN ISO/IEC 27002:2017 verfügbar.

Inhalte der Norm ISO/IEC 27002:2013

Die Norm ISO/IEC 27002:2013 umfasst insgesamt 80 Seiten und kann über die ISO-Homepage kostenpflichtig bezogen werden. Logisch ist die Norm in 14 verschiedene Bereiche unterteilt. Im Folgenden ein kurzer Überblick über die 14 Überwachungsbereiche:

  • 1. Security Policy (Sicherheitsrichtlinien)
  • 2. Organization of Information Security (Organisation der Informationssicherheit)
  • 3. Human Resources Security (Sicherheit des Personals)
  • 4. Asset Management (Management der Vermögenswerte)
  • 5. Access Control (Zugangs- und Zugriffskontrolle)
  • 6. Cryptography (Verschlüsselung - Kryptographie)
  • 7. Physical and Environmental Security (Physische und umgebungsbezogene Sicherheit)
  • 8. Operations Security (Sicherheit im Betrieb)
  • 9. Communications Security (Sicherheit der Kommunikation)
  • 10. Information Systems Acquisition, Development, Maintenance (Beschaffung, Entwicklung und Wartung von Informationssystemen)
  • 11. Supplier Relationships (Beziehungen zu Lieferanten)
  • 12. Information Security Incident Management (Management von Vorfällen der Informationssicherheit)
  • 13. Information Security Aspects of Business Continuity (Business-Continuity-Aspekte der Informationssicherheit)
  • 14. Compliance (Einhaltung von Vorgaben)

ISO 27002 und weitere Sicherheitsstandards

ISO 27002 ist Bestandteil zahlreicher weiterer Sicherheitsstandards. Beispielsweise berücksichtigt der BSI-Standard 200-1 (allgemeine Anforderungen an ein Managementsystem für Informationssicherheit - ISMS) die Empfehlungen aus ISO 27002 und ist kompatibel zu ISO 27001. Die Entwicklung von COBIT 5 orientierte sich ebenfalls an den bestehenden Normen zum Sicherheitsmanagement wie der Norm ISO 27002. Auch der praxisorientierte Leitfaden des Information Security Forums (ISF) deckt die Anforderungen aus ISO 27002 ab.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Privilegien und Kontrolle für externe Mitarbeiter

Virtueller Wachmann filmt Externe

Privilegien und Kontrolle für externe Mitarbeiter

Bei der Zusammenarbeit über Unternehmensgrenzen hinweg gilt es, User mit erweiterten Privilegien und Zugriffsmöglichkeiten kontrolliert ins Netzwerk einzubinden. Mit „Privileged Access Management“ werden Zugriffe auf kritische Systeme und Daten sogar gefilmt. lesen

Handlungsempfehlungen für ein sicheres Smart Home

IoT-Sicherheit und Datenschutz

Handlungsempfehlungen für ein sicheres Smart Home

Alles wird smart – vom Home bis hin zum Auto. Allerdings sind Smart-Produkte inzwischen zum Einfallstor für Angriffe, Datenklau und Sabotageakte geworden und folglich zur Bewährungsprobe für Datenschutz und IT-Sicherheit. Beides muss deshalb im Unternehmen Hand in Hand gehen. lesen

Compliance in der Cloud

Regularien und Anforderungen

Compliance in der Cloud

Unternehmen, die ihre Anwendungen in die Cloud verlagern, müssen sich fragen, welche Regularien für sie gelten. Denn mit der Verlagerung der Daten zum Cloud Provider entbinden sie sich nicht der Verantwortung, die Sicherheit ihrer Daten und die Einhaltung von Compliance-Anforderungen zu gewährleisten. Wie also können Unternehmen dafür sorgen, dass sie die Cloud Compliance bewahren? lesen

Der lange Weg zur Identity Governance

IAM und Compliance

Der lange Weg zur Identity Governance

Eine umfassende und durchgängige Identity-Governance-Strategie fahren nur die wenigsten Unternehmen. Sie ist aber eine Grundvoraussetzung, um eine hohe IT-Sicherheit aufrechtzuerhalten und zielgerichtete interne wie externe Attacken abwehren zu können. Auch die EU-Datenschutz-Grundverordnung fordert Identity-Governance-Maßnahmen. lesen

Drei-Punkte-Plan für sichere Mission-Critical-Netze

Keymile nennt Sicherheitsmaßnahmen

Drei-Punkte-Plan für sichere Mission-Critical-Netze

Kritische Infrastrukturen von Stadtwerken, Energieversorgern, Eisenbahnen oder Behörden sind vermehrt Angriffen, Manipulations- und Spionageversuchen ausgesetzt. Keymile skizziert ein Sicherheitskonzept mit Verschlüsselungslösungen sowie Informations- und IT-Security-Standards. lesen

Cloud-Zertifizierung nach ISO/IEC 27018 nicht möglich

Uniscon-Chef Dr. Hubert Jäger macht den Fakten-Check

Cloud-Zertifizierung nach ISO/IEC 27018 nicht möglich

Seit Standards für den Datenschutz in der Cloud durch die ISO/IEC-Norm 27018 im April 2014 definiert sind, gibt es immer wieder Meldungen von Herstellern, die eine Zertifizierung für die Datenschutzanforderungen durchlaufen haben wollen. Dabei gibt es berechtigte Zweifel, ob es überhaupt möglich ist, eine Zertifizierung nach ISO/IEC 27018 zu erlangen. lesen

Open Source Information Security Management System

Compliance mit Verinice

Open Source Information Security Management System

Mit dem Open Source Information Security Management System (ISMS) Verinice können Unternehmen Regeln für den sicheren Umgang mit Daten im Unternehmen sicherstellen. Das Tool steht unter der kostenlosen Lizenz GPLv3 zur Verfügung. Unternehmen, die intern Regeln für den Datenschutz aufstellen wollen, sollten sich die Software ansehen. lesen

Neues ISO-Datenschutzzertifikat erleichtert Auswahl des Cloud-Anbieters

Zur CeBIT erscheint Anforderungskatalog nach Bundesdatenschutzgesetz

Neues ISO-Datenschutzzertifikat erleichtert Auswahl des Cloud-Anbieters

Der neue internationale Standard ISO/IEC 27018, der seit Mitte 2014 gilt, soll besseren Datenschutz in der Cloud gewährleisten. Anders als der Sicherheitsstandard ISO/IEC 27002 reguliert die neue ISO-Norm speziell die Verarbeitung personenbezogener Daten in der Cloud. lesen

Industrieanlagen vor Cyberangriffen schützen

IEC 62443 / ISA 99 als Basis für eine Verteidigungsstrategie gegen Cyberangriffe

Industrieanlagen vor Cyberangriffen schützen

Industrieanlagen benötigen Cyber-Schutz. Dabei sind Schwachstellen in einem ganzheitlichen Ansatz zu überprüfen und in ein Defense-in-Depth-Konzept nach IEC 62443 zu überführen. Eine noch nicht verabschiedete Norm, die aber schon heute aktuell ist. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46193525 / Definitionen)