Norm: DIN EN ISO/IEC 27002

Zuletzt bearbeitet am 12.04.2024 um 12:53:50.
Name:
DIN EN ISO/IEC 27002
Titel (Deutsch):
Informationssicherheit, Cybersicherheit und Schutz der Privatsphäre - Informationssicherheitsmaßnahmen
Titel (Englisch):
Information security, cybersecurity and privacy protection - Information security controls
letzte Aktualisierung:
:2024-01
letzte Aktualisierung:
01.01.2024
Seiten:
209
Link (Herausgeber):
https://dx.doi.org/10.31030/3394753

Systematik

Änderungsvermerk

Dieses Dokument ersetzt DIN EN ISO/IEC 27002:2017-06

Gegenüber DIN EN ISO/IEC 27002:2017-06 wurden folgende Änderungen vorgenommen:

  • a) der Titel wurde geändert;
  • b) die Struktur des Dokuments wurde geändert, die Maßnahmen werden nun mit einer einfachen Taxonomie und den zugehörigen Attributen dargestellt;
  • c) einige Maßnahmen wurden zusammengelegt, einige wurden gelöscht und mehrere neue Maßnahmen wurden eingeführt. Die Zusammenhänge werden in Anhang B dargestellt;
  • d) redaktionelle Überarbeitung der Norm.

Dieses Dokument wurde von NA 043-04-13 GA "DIN DKE Gemeinschaftsgremium Cybersecurity" erarbeitet.

Beschreibung

Dieses Dokument enthält die deutsche Sprachfassung der ISO/IEC 27002:2022 und gibt Empfehlungen für das Informationssicherheitsmanagement zur Anwendung durch diejenigen Personen, die in einer Organisation für die Einführung, Implementierung und Erhaltung der Sicherheit verantwortlich sind.

Diese sollten eine gemeinsame Basis zur Entwicklung von organisationsbezogenen Sicherheitsnormen und effektiven Sicherheitsmanagementpraktiken bilden und Vertrauen in die Geschäftsbeziehungen zwischen Organisationen herstellen.

Inhalt

Nationales Vorwort
Europäisches Vorwort
Anerkennungsnotiz
Vorwort
Einleitung

1 Anwendungsbereich

2 Normative Verweisungen

3 Begriffe und Abkürzungen

Begriffe

  • Zugangssteuerung
  • Wert
  • Angriff
  • Authentisierung
  • Authentizität
  • Nachweiskette
  • vertrauliche Informationen
  • Maßnahme
  • Störung
  • Endpunktgerät
  • Entität
  • informationsverarbeitende Einrichtung
  • Informationssicherheitsverletzung
  • Informationssicherheitsereignis
  • Informationssicherheitsvorfall
  • Handhabung von Informationssicherheitsvorfällen
  • Informationssystem
  • interessierte Partei
  • Nichtabstreitbarkeit
  • Personal
  • personenbezogene Daten (pbD)
  • Betroffene(r)
  • Auftragsdatenverarbeiter
  • Politik
  • Datenschutz-Folgenabschätzung (DSFA)
  • Verfahren
  • Prozess
  • Aufzeichnung
  • Wiederherstellungspunkt , en: recovery point objective (RPO)
  • Wiederherstellungsdauer, en: recovery time objective (RTO)
  • Zuverlässigkeit
  • Regel
  • sensible Informationen
  • Bedrohung
  • themenspezifische Richtlinie
  • Benutzer
  • Endpunktgerät des Benutzers
  • Schwachstelle

Vermerk: vgl. DIN EN ISO/IEC 27018, DIN EN ISO/IEC 29100, DIN EN ISO/IEC 29184

Abkürzungen

4 Aufbau dieses Dokuments

Abschnitte
Themen und Attribute
Maßnahmengestaltung

5 Organisatorische Maßnahmen

Informationssicherheitspolitik und -richtlinien
Informationssicherheitsrollen und -verantwortlichkeiten
Aufgabentrennung
Verantwortlichkeiten der Leitung
Kontakt mit Behörden
Kontakt mit speziellen Interessengruppen
Informationen über die Bedrohungslage
Informationssicherheit im Projektmanagement
Inventar der Informationen und anderer damit verbundener Werte
Zulässiger Gebrauch von Informationen und anderen damit verbundenen Werten
Rückgabe von Werten
Klassifizierung von Informationen
Kennzeichnung von Informationen
Informationsübermittlung
Zugangssteuerung
Identitätsmanagement
Authentisierungsinformationen
Zugangsrechte
Informationssicherheit in Lieferantenbeziehungen
Behandlung von Informationssicherheit in Lieferantenvereinbarungen
Umgang mit der Informationssicherheit in der IKT-Lieferkette
Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen
Informationssicherheit für die Nutzung von Cloud-Diensten
Planung und Vorbereitung der Handhabung von Informationssicherheitsvorfällen
Beurteilung und Entscheidung über Informationssicherheitsereignisse
Reaktion auf Informationssicherheitsvorfälle
Erkenntnisse aus Informationssicherheitsvorfällen
Sammeln von Beweismaterial
Informationssicherheit bei Störungen
IKT-Bereitschaft für Business-Continuity
Juristische, gesetzliche, regulatorische und vertragliche Anforderungen
Geistige Eigentumsrechte
Schutz von Aufzeichnungen
Datenschutz und Schutz personenbezogener Daten (pbD)
Unabhängige Überprüfung der Informationssicherheit
Einhaltung von Richtlinien, Vorschriften und Normen für die Informationssicherheit
Dokumentierte Betriebsabläufe

6 Personenbezogene Maßnahmen

Sicherheitsüberprüfung
Beschäftigungs- und Vertragsbedingungen
Informationssicherheitsbewusstsein, -ausbildung und -schulung
Maßregelungsprozess
Verantwortlichkeiten bei Beendigung oder Änderung der Beschäftigung
Vertraulichkeits- oder Geheimhaltungsvereinbarungen
Remote-Arbeit
Meldung von Informationssicherheitsereignissen

7 Physische Maßnahmen

Physische Sicherheitsperimeter
Physischer Zutritt
Sichern von Büros, Räumen und Einrichtungen
Physische Sicherheitsüberwachung
Schutz vor physischen und umweltbedingten Bedrohungen
Arbeiten in Sicherheitsbereichen
Aufgeräumte Arbeitsumgebung und Bildschirmsperren
Platzierung und Schutz von Geräten und Betriebsmitteln
Sicherheit von Werten außerhalb der Räumlichkeiten
Speichermedien
Versorgungseinrichtungen
Sicherheit der Verkabelung
Instandhaltung von Geräten und Betriebsmitteln
Sichere Entsorgung oder Wiederverwendung von Geräten und Betriebsmitteln

8 Technologische Maßnahmen

Endpunktgeräte des Benutzers
Privilegierte Zugangsrechte
Informationszugangsbeschränkung
Zugriff auf den Quellcode
Sichere Authentisierung
Kapazitätssteuerung
Schutz gegen Schadsoftware
Handhabung von technischen Schwachstellen
Konfigurationsmanagement
Löschung von Informationen
Datenmaskierung
Verhinderung von Datenlecks
Sicherung von Informationen
Redundanz von informationsverarbeitenden Einrichtungen
Protokollierung
Überwachung von Aktivitäten
Uhrensynchronisation
Gebrauch von Hilfsprogrammen mit privilegierten Rechten
Installation von Software auf Systemen in Betrieb
Netzwerksicherheit
Sicherheit von Netzwerkdiensten
Trennung von Netzwerken
Webfilterung
Verwendung von Kryptographie
Lebenszyklus einer sicheren Entwicklung
Anforderungen an die Anwendungssicherheit
Sichere Systemarchitektur und Entwicklungsgrundsätze
Sichere Codierung
Sicherheitsprüfung bei Entwicklung und Abnahme
Ausgegliederte Entwicklung
Trennung von Entwicklungs-, Test- und Produktionsumgebungen
Änderungssteuerung
Testdaten
Schutz der Informationssysteme während Tests im Rahmen von Audits

Anhang 1 - Verwendung von Attributen (informativ)

Allgemeines
Organisatorische Sichten

Anhang 2 - Übereinstimmung von ISO/IEC 27002:2022 (dieses Dokument) mit ISO/IEC 27002:2013 (informativ)

Literaturhinweise

Literaturhinweise (informativ)