ISMS

ISO/IEC 27002

ISO/IEC 27002

Code of practice for information security management / Leitfaden zum Informationssicherheitsmanagemen

Titel: Informationstechnik
Arbeitsgebiet: IT-Sicherheitsverfahren
Name des Standards: Code of practice for information security management Leitfaden zum Informationssicherheitsmanagement

Inhalt und Anwendungsbereich

Ziel von ISO/IEC 27002 ist es, Informationssicherheit als Gesamtaufgabe darzustellen, da es “guidelines and general principles for [...] information security management in an organization” enthält. In den Prozess der Informationssicherheit sind alle Bereiche der Organisation einzubeziehen, da alle an der Erhebung, Verarbeitung, Speicherung, Löschung von Informationen beteiligt sind. Der Anwendungsbereich ist somit ohne einen konkreten Bezug zu den Anforderungen in einer Organisation nicht abgrenzbar. Das Dokument richtet sich an IT-Sicherheitsbeauftragte.

Methodik

Der Standard legt Richtlinien und allgemeine Prinzipien für das Initiieren, Umsetzen, Aufrechterhalten und Verbessern des Informationssicherheitsmanagements in einer Organisation fest. Er ist logisch in vierzehn Überwachungsbereiche gegliedert, auf die das Sicherheitsmanagement thematisch angewendet wird:

• Sicherheitsleitlinien (information security policies)
• Organisation der Informationssicherheit (organization of information security)
• Personalsicherheit (human resources security)
• Management von organisationseigenen Werten (asset managment )
• Zugangskontrolle (access control)
• Kryptographie (cryptography)
• Physische und umgebungsbezogene Sicherheit (physical and environmental security)
• Betriebssicherheit (operations security)
• Kommunikationssicherheit (communications security)
• Beschaffung, Entwicklung und Wartung von Informationssystemen (information systems acquisition, development and maintenance)
• Lieferantenbeziehungen (supplier relationships)
• Umgang mit Informationssicherheitsvorfällen (information security incident management)
• Sicherstellung des Geschäftsbetriebs (business continuity management)
• Einhaltung von Vorgaben (compliance)

ISO/IEC 27002 ist ursprünglich als ISO/IEC 17799 aus dem Teil 1 des britischen Standards BS 7799-1 hervorgegangen. Aufgrund der Bestrebungen, alle Standards, die ISMS betreffen, als ISO/IEC 27000er-Reihe zusammenzuführen, wurde ISO/IEC 17799 im Jahr 2007 in ISO/IEC 27002:2005 umbenannt.
Die ISO/IEC 27002:2005 wurde als DIN ISO/IEC 27002:2009 ins Deutsche Normenwerk übernommen.

Bisherige Ausgaben

ISO/IEC 17799:2000
ISO/IEC 17799:2005 (2. Ausgabe)
ISO/IEC 27002:2005 (textgleich mit ISO/IEC 17799:2005)
ISO/IEC 27002: 2013

Standards in diesem Bereich

ISO/IEC 27013
Titel: Informationstechnik
Arbeitsgebiet:IT-Sicherheitsverfahren
Name des Standards: Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1
BSI-Standard 200-1
Titel: Informationstechnik
Arbeitsgebiet:IT-Sicherheitsverfahren
Name des Standards:Managementsysteme für Informationssicherheit
BSI-Standard 200-2
Titel: Informationstechnik
Arbeitsgebiet:IT-Sicherheitsverfahren
Name des Standards:IT-Grundschutz-Methodik
BSI-Standard 100-4
Titel: Informationstechnik
Arbeitsgebiet:IT-Sicherheitsverfahren
Name des Standards:BSI-Standard 100-4: Notfallmanagement
IT-Grundschutz-Kompendium
Titel: Informationstechnik
Arbeitsgebiet:IT-Sicherheitsverfahren
Name des Standards:IT-Grundschutz-Kompendium
ISO/IEC 27001
Titel: Informationstechnik
Arbeitsgebiet:IT-Sicherheitsverfahren
Name des Standards:Information security management systems - Requirements Informationssicherheitsmanagementsysteme – Anforderungen
ISO/IEC 27002
Titel: Informationstechnik
Arbeitsgebiet:IT-Sicherheitsverfahren
Name des Standards: Code of practice for information security management Leitfaden zum Informationssicherheitsmanagement
ISO/IEC 27003
Titel: Informationstechnik
Arbeitsgebiet:IT-Sicherheitsverfahren
Name des Standards:Information security management system implementation guidance
ISO/IEC 27006
Titel: Informationstechnik
Arbeitsgebiet:IT-Sicherheitsverfahren
Name des Standards: Requirements for bodies providing audit and certification of information security management systems Anforderungen an Stellen, die Auditierung und Zertifizierung von Informationssicherheitsmanagementsystemen bereitstellen
ISO/IEC 27007
Titel: Informationstechnik
Arbeitsgebiet:IT-Sicherheitsverfahren
Name des Standards:Guidelines for information security management systems auditing
ISO/IEC TR 27008
Titel: Informationstechnik
Arbeitsgebiet:IT-Sicherheitsverfahren
Name des Standards:Guidelines for auditors on information security controls