1 Zielsetzung
Anleitung für die Praxis
Die international anerkannte Sicherheitsnorm ISO/IEC 27002:2013 [1] aus der ISO-27000er-Normenreihe wurde 2005 erstmals überarbeitet und 2013 nach erneuter, mehrjähriger Überarbeitung neu veröffentlicht. Zuletzt ist sie mit erheblichen Änderungen als ISO/IEC 27002:2022 – Information security, cybersecurity and privacy protection – Information security controls [2] in der dritten Edition erschienen. Es wurden im Rahmen dieser Überarbeitung über zehntausend Änderungsvorschläge bearbeitet. Die Norm wurde für die Belange von Industrie, Handel und Behörden überarbeitet und bildet die Basis zur Entwicklung organisationsbezogener Sicherheitsrichtlinien und unterstützt den Betrieb eines Managementsystems für Informationssicherheit. Dabei hat sich auch die Zielsetzung ein wenig verändert. Sollte die zweite Edition noch ein „Code of practice for information security controls" sein, so nennt sich die dritte Edition nur noch „Information Security Controls”. Sie ist als Sammlung von Sicherheitsmaßnahmen ausgelegt, die unter anderem
Die international anerkannte Sicherheitsnorm ISO/IEC 27002:2013 [1] aus der ISO-27000er-Normenreihe wurde 2005 erstmals überarbeitet und 2013 nach erneuter, mehrjähriger Überarbeitung neu veröffentlicht. Zuletzt ist sie mit erheblichen Änderungen als ISO/IEC 27002:2022 – Information security, cybersecurity and privacy protection – Information security controls [2] in der dritten Edition erschienen. Es wurden im Rahmen dieser Überarbeitung über zehntausend Änderungsvorschläge bearbeitet. Die Norm wurde für die Belange von Industrie, Handel und Behörden überarbeitet und bildet die Basis zur Entwicklung organisationsbezogener Sicherheitsrichtlinien und unterstützt den Betrieb eines Managementsystems für Informationssicherheit. Dabei hat sich auch die Zielsetzung ein wenig verändert. Sollte die zweite Edition noch ein „Code of practice for information security controls" sein, so nennt sich die dritte Edition nur noch „Information Security Controls”. Sie ist als Sammlung von Sicherheitsmaßnahmen ausgelegt, die unter anderem
| • | im Rahmen eines ISMS gemäß ISO/IEC 27001, |
| • | als Guideline zur Implementation von Schutzmaßnahmen zur Unterstützung anderer Best Practice Ansätze und |
| • | zur Entwicklung eigener Regelwerke zur Informationssicherheit |
angewendet werden können.
Best Practice-Maßnahmen
Die Norm ist mit einer umfassenden Sammlung von Maßnahmen einerseits als Leitfaden zum Management von Informationssicherheit, andererseits als Katalog für Informationssicherheitsfragen und Empfehlungen zu verstehen [1]. Die Norm umfasst in der dritten Edition von 2022 eine Sammlung von über 93 anerkannten und praxiserprobten Maßnahmen, die sich in vier Themenbereiche gliedern:
Die Norm ist mit einer umfassenden Sammlung von Maßnahmen einerseits als Leitfaden zum Management von Informationssicherheit, andererseits als Katalog für Informationssicherheitsfragen und Empfehlungen zu verstehen [1]. Die Norm umfasst in der dritten Edition von 2022 eine Sammlung von über 93 anerkannten und praxiserprobten Maßnahmen, die sich in vier Themenbereiche gliedern:
