2 Implementierung
Top-down-Ansatz
Bereits die ISO/IEC 27002:2013 und ihre Vorgängerin sind die meistverbreiteten Informationssicherheitsstandards weltweit. Auch die dritte Edition ISO/IEC 27002:2022 wird dies fortschreiben. Die Norm orientiert sich stark an dem Top-down-Ansatz und enthält in erster Linie Sicherheitsmaßnahmen, die dem Stand der Technik entsprechen. Diese decken die wesentlichen Informationssicherheitsprobleme ab, mit denen vor allem größere Organisationen heute konfrontiert sind. Generell beschränkt sich die Norm nicht auf ein spezifisches Sicherheitsniveau. Zur Anwendung in einem ISMS sollten die Maßnahmenempfehlungen auf der Basis einer Risikoanalyse ausgewählt und implementiert werden, um die Anforderungen der zugrundeliegenden Geschäftsprozesse in angemessener Weise zu erfüllen. Die dritte Edition kann aber auch einfach als Katalog für Maßnahmen genutzt werden, aus dem eine Organisation die für sie passenden auswählen kann. Hier gibt es allerdings weitaus umfangreichere und vielseitigere Kataloge. Die Maßnahmenempfehlungen sind in keiner Weise bindend oder vollständig und können jederzeit um weitere Maßnahmen ergänzt werden.
Bereits die ISO/IEC 27002:2013 und ihre Vorgängerin sind die meistverbreiteten Informationssicherheitsstandards weltweit. Auch die dritte Edition ISO/IEC 27002:2022 wird dies fortschreiben. Die Norm orientiert sich stark an dem Top-down-Ansatz und enthält in erster Linie Sicherheitsmaßnahmen, die dem Stand der Technik entsprechen. Diese decken die wesentlichen Informationssicherheitsprobleme ab, mit denen vor allem größere Organisationen heute konfrontiert sind. Generell beschränkt sich die Norm nicht auf ein spezifisches Sicherheitsniveau. Zur Anwendung in einem ISMS sollten die Maßnahmenempfehlungen auf der Basis einer Risikoanalyse ausgewählt und implementiert werden, um die Anforderungen der zugrundeliegenden Geschäftsprozesse in angemessener Weise zu erfüllen. Die dritte Edition kann aber auch einfach als Katalog für Maßnahmen genutzt werden, aus dem eine Organisation die für sie passenden auswählen kann. Hier gibt es allerdings weitaus umfangreichere und vielseitigere Kataloge. Die Maßnahmenempfehlungen sind in keiner Weise bindend oder vollständig und können jederzeit um weitere Maßnahmen ergänzt werden.
Managementorientierung
Der Aufwand für die Implementierung eines Informationssicherheitsmanagements ist natürlich von der Organisation abhängig, die Informationssicherheit einführen möchte. Erfahrung im Qualitätsmanagement, z. B. nach ISO 9000 ff., kann hier vorteilhaft für die erforderliche Dokumentation sein. Dennoch ist spezielle Fachkenntnis im Bereich Informationssicherheit zwingend erforderlich.
Der Aufwand für die Implementierung eines Informationssicherheitsmanagements ist natürlich von der Organisation abhängig, die Informationssicherheit einführen möchte. Erfahrung im Qualitätsmanagement, z. B. nach ISO 9000 ff., kann hier vorteilhaft für die erforderliche Dokumentation sein. Dennoch ist spezielle Fachkenntnis im Bereich Informationssicherheit zwingend erforderlich.
