ISO 27002 (International Organization for Standardization 27002)

ISO/IEC 27002 ist eine Sammlung an Security-Leitfäden für Unternehmen. Dieser ISO-Standard wird in der Regel zusammen mit ISO/IEC 27001 eingesetzt.

Der Standard ISO/IEC 27002 oder kürzer auch nur ISO 27002 genannt, ist eine Ansammlung an Informations-Security-Leitfäden. Der ISO-Standard soll Unternehmen helfen, Informations-Security-Management zu implementieren, zu warten und zu verbessern.

ISO 27002 stellt Hunderte an potenziellen Kontrollen und Kontroll-Mechanismen zur Verfügung, die dafür ausgelegt sind, um sie gemeinsam mit ISO 27001 zu implementieren. Die vorgeschlagenen, in dem Standard aufgelisteten Kontrollen sind gedacht, um spezielle Probleme zu adressieren, die man während einer formellen Risikobewertung identifiziert hat. Der Standard ist auch dafür gedacht, einen Leitfaden für die Entwicklung von Security-Standards und effiziente Security-Management-Praktiken bereit zu stellen.

ISO 27002 wurde von der International Organization for Standardization (ISO) und der International Electrotechnical Commision (IEC) veröffentlicht. ISO/IEC 27002 hieß ursprünglich ISO/IEC 1779 und wurde im Jahre 2000 ausgegeben. 

2005 hat man den Standard aktualisiert und er wurde vom neu veröffentlichten Standard ISO 27001 begleitet. Die beiden Standards sind für eine gemeinsame Nutzung ausgelegt, wobei einer den anderen ergänzt. Die Standards werden regelmäßig aktualisiert, damit sie Referenzen zu anderen ISO/IEC-Security-Standards enthalten. 

Dazu gehören zum Beispiel ISO/IEC 27000 und ISO/IEC 27005. Weiterhin erweitert man die Dokumente mit Security Best Practices, die sich nach früheren Ausgaben als wertvoll erwiesen haben. Dazu gehören die Auswahl, die Implementierung und das Management von Kontrollen, die auf der einzigartigen Informations-Security-Risiko-Umgebung des entsprechenden Unternehmens basieren.

Die Veröffentlichung von ISO/IEC 27002:2013 aus dem Jahre 2013 beinhaltet 114 Kontrollen. Darunter befinden sich:

  • Struktur
  • Security-Richtlinien
  • Organisation der Informations-Security
  • Personalmanagement-Security
  • Security der IT-Betriebsmittel
  • Kryptografie
  • Physische und Umgebungs-Security
  • Betriebs-Security
  • Kommunikations-Security
  • Akquise, Entwicklung und Wartung von Informations-Systemen
  • Beziehungen zu Lieferanten
  • Vorfalls-Management bei der Informations-Security
  • Informations-Security-Aspekte bezüglich Business Continuity
  • Konformität / Compliance

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Erfahren Sie mehr über IT-Sicherheits-Management