ISO 27002 erklärt:Ihr Entwurf für robuste Informationssicherheitskontrollen

Die Internationale Organisation für Normung (ISO) ist eine nichtstaatliche Organisation, deren Aufgabe es ist, Standards für überwiegend technische Themen zu erstellen. Bei ISO 27002 handelt es sich um eine Reihe von Standards und Verfahren, die die Informationssicherheit und Kontrollen durchsetzen, die es einem Unternehmen ermöglichen, angemessene Sicherheit zu gewährleisten. Bis 2005 hatte ISO 27002 zwei andere Namen. Diese Norm wird weitgehend durch ISO 27001 ergänzt, in der die Managementaufgaben wie Risikobewertung und Sicherheitsüberprüfung detailliert beschrieben werden und nicht der Kontrollaspekt von 27002.

Vor der ISO 27002 gab es zwei Standards, die sich im Thema und in der Steuerung ähneln. Die erste Inkarnation erfolgte 1995 und erschien im Vereinigten Königreich (UK) als BS7799. Nach einer Bereinigung und Modernisierung wurde es erneut von der ISO veröffentlicht, diesmal als ISO 17799. Im Jahr 2005 wurde es nach weiteren Änderungen ISO 27002 genannt. Während jede Version anders ist und nacheinander modernere Probleme und Kontrollen hervorhebt, befassen sich alle drei Inkarnationen mit Informationssicherheit.

Der Standard 27002 beleuchtet Hunderte von Möglichkeiten zum Umgang mit Informationssicherheit und enthält viele verschiedene Kapitel für die verschiedenen Aspekte der Informationssicherheit. Einige Kapitel befassen sich mit Humanressourcen und deren Interaktion mit Informationen, während andere einem Unternehmen erklären, wie es den Zugriff und die Geschäftskontinuität mit seinem Sicherheitsverfahren kontrollieren kann. Informationssicherheit bezieht sich normalerweise auf Informationstechnologie (IT), aber ISO 27002 befasst sich auch mit Papierinformationen und -ressourcen, obwohl sich der größte Teil des Standards an die IT-Abteilung richtet.

In seiner ersten Veröffentlichung war der Standard 27002 als weitreichender Standard für alle Institutionen gedacht, die Informationssicherheit benötigen. Das bedeutet, dass ein Unternehmen, eine gemeinnützige Einrichtung, eine Regierungsbehörde und ein Unternehmen alle denselben Standard befolgen würden. Zukünftige Veröffentlichungen dieses Standards konzentrieren sich auf die Trennung des Standards für verschiedene Sektoren, um effizienter zu sein.

ISO 27002 geht ausführlich auf die Kontrollen und Verfahren ein, die zur Gewährleistung der Informationssicherheit erforderlich sind. Andere Standards, wie die ergänzende ISO 27001, bieten nur ein oder zwei Sätze zur Steuerung. Stattdessen geht 27002 sehr detailliert auf die Steuerung ein, bietet aber wenig Management. Mit der ISO 27001 werden alle Managementaspekte spezifiziert.

Viele Menschen verwechseln ISO 27001 und 27002, weil sie dieselben Themen auf unterschiedliche Weise behandeln. Daher fragen sich viele Menschen, warum der Standard in zwei Teile geteilt wurde. Der Grund dafür ist, dass es zu lang für eine Veröffentlichung wäre, wenn beide Teile zusammen existieren würden.

About Mechanics ist bestrebt, genaue und vertrauenswürdige Informationen bereitzustellen. Wir wählen sorgfältig seriöse Quellen aus und wenden einen strengen Faktenprüfungsprozess an, um die höchsten Standards aufrechtzuerhalten. Um mehr über unser Engagement für Genauigkeit zu erfahren, lesen Sie unseren Redaktionsprozess.