HomeNewsWozu brauchen wir Standards?Welche Standards gibt es?Anwendung im UnternehmenIT-Sicherheits- und RisikomanagementAllgemeine Informationssicherheits-Managementsysteme (ISMS)ISO/IEC 27001ISO/IEC 27002ISO/IEC 27003ISO/IEC 27006ISO/IEC 27007ISO/IEC 27013ISO/IEC TR 27008IT-GSSektorspezifische ISMSSicherheitsmaßnahmen und MonitoringRisikomanagementStandards mit IT-SicherheitsanforderungenVorschriftenEvaluierung von IT-SicherheitNormen zu kryptographischen und IT-SicherheitsverfahrenPhysische SicherheitDanksagung

Schnelleinstieg: 

Logo: Inhalte Verbessern

In Zusammenarbeit mit

Logo: DIN

|||

ISO/IEC 27002

ISO/IEC 27002 (zuvor 17799)

 

 Arbeitsgebiet:  Informationstechnik: IT-Sicherheitsverfahren
 Name des Standards:  Code of practice for information security management
 Leitfaden zum Informationssicherheitsmanagement

Inhalt und Anwendungsbereich

Ziel von ISO/IEC 27002 ist es, Informationssicherheit als Gesamtaufgabe darzustellen, da es “guidelines and general principles for [...] information security management in an organization” enthält. In den Prozess der Informationssicherheit sind alle Bereiche der Organisation einzubeziehen, da alle an der Erhebung, Verarbeitung, Speicherung, Löschung von Informationen beteiligt sind. Der Anwendungsbereich ist somit ohne einen konkreten Bezug zu den Anforderungen in einer Organisation nicht abgrenzbar. Das Dokument richtet sich an IT-Sicherheitsbeauftragte.

Methodik

Der Standard legt Richtlinien und allgemeine Prinzipien für das Initiieren, Umsetzen, Aufrechterhalten und Verbessern des Informationssicherheitsmanagements in einer Organisation fest. Er ist logisch in vierzehn Überwachungsbereiche gegliedert, auf die das Sicherheitsmanagement thematisch angewendet wird:

• Sicherheitsleitlinien (information security policies)
• Organisation der Informationssicherheit (organization of information security)
• Personalsicherheit (human resources security)
• Management von organisationseigenen Werten (asset managment )
• Zugangskontrolle (access control)
• Kryptographie (cryptography)
• Physische und umgebungsbezogene Sicherheit (physical and environmental security)
• Betriebssicherheit (operations security)
• Kommunikationssicherheit (communications security)
• Beschaffung, Entwicklung und Wartung von Informationssystemen (information systems acquisition, development and maintenance)
• Lieferantenbeziehungen (supplier relationships)
• Umgang mit Informationssicherheitsvorfällen (information security incident management)
• Sicherstellung des Geschäftsbetriebs (business continuity management)
• Einhaltung von Vorgaben (compliance)

ISO/IEC 27002 ist ursprünglich als ISO/IEC 17799 aus dem Teil 1 des britischen Standards BS 7799-1 hervorgegangen. Aufgrund der Bestrebungen, alle Standards, die ISMS betreffen, als ISO/IEC 27000er-Reihe zusammenzuführen, wurde ISO/IEC 17799 im Jahr 2007 in ISO/IEC 27002:2005 umbenannt.
Die ISO/IEC 27002:2005 wurde als DIN ISO/IEC 27002:2009 ins Deutsche Normenwerk übernommen.

Bisherige Ausgaben

ISO/IEC 17799:2000
ISO/IEC 17799:2005 (2. Ausgabe)
ISO/IEC 27002:2005 (textgleich mit ISO/IEC 17799:2005)
ISO/IEC 27002: 2013

 

© 2017, BITKOM - Nutzungsbedingungen für Inhalte der BITKOM-Internetseite