Titel: |
Informationstechnik |
Arbeitsgebiet: |
IT-Sicherheitsverfahren |
Name des Standards: |
Code of practice for information security management Leitfaden zum Informationssicherheitsmanagement |
Inhalt und Anwendungsbereich
Ziel von ISO/IEC 27002 ist es, Informationssicherheit als Gesamtaufgabe darzustellen, da es “guidelines and general principles for [...] information security management in an organization” enthält. In den Prozess der Informationssicherheit sind alle Bereiche der Organisation einzubeziehen, da alle an der Erhebung, Verarbeitung, Speicherung, Löschung von Informationen beteiligt sind. Der Anwendungsbereich ist somit ohne einen konkreten Bezug zu den Anforderungen in einer Organisation nicht abgrenzbar. Das Dokument richtet sich an IT-Sicherheitsbeauftragte.
Methodik
Der Standard legt Richtlinien und allgemeine Prinzipien für das Initiieren, Umsetzen, Aufrechterhalten und Verbessern des Informationssicherheitsmanagements in einer Organisation fest. Er ist logisch in vierzehn Überwachungsbereiche gegliedert, auf die das Sicherheitsmanagement thematisch angewendet wird:
• Sicherheitsleitlinien (information security policies)
• Organisation der Informationssicherheit (organization of information security)
• Personalsicherheit (human resources security)
• Management von organisationseigenen Werten (asset managment )
• Zugangskontrolle (access control)
• Kryptographie (cryptography)
• Physische und umgebungsbezogene Sicherheit (physical and environmental security)
• Betriebssicherheit (operations security)
• Kommunikationssicherheit (communications security)
• Beschaffung, Entwicklung und Wartung von Informationssystemen (information systems acquisition, development and maintenance)
• Lieferantenbeziehungen (supplier relationships)
• Umgang mit Informationssicherheitsvorfällen (information security incident management)
• Sicherstellung des Geschäftsbetriebs (business continuity management)
• Einhaltung von Vorgaben (compliance)
ISO/IEC 27002 ist ursprünglich als ISO/IEC 17799 aus dem Teil 1 des britischen Standards BS 7799-1 hervorgegangen. Aufgrund der Bestrebungen, alle Standards, die ISMS betreffen, als ISO/IEC 27000er-Reihe zusammenzuführen, wurde ISO/IEC 17799 im Jahr 2007 in ISO/IEC 27002:2005 umbenannt.
Die ISO/IEC 27002:2005 wurde als DIN ISO/IEC 27002:2009 ins Deutsche Normenwerk übernommen.
Bisherige Ausgaben
ISO/IEC 17799:2000
ISO/IEC 17799:2005 (2. Ausgabe)
ISO/IEC 27002:2005 (textgleich mit ISO/IEC 17799:2005)
ISO/IEC 27002: 2013