https://wiki-de.moshellshocker.dns64.de/index.php?action=history&feed=atom&title=ISO%2FIEC_27002ISO/IEC 27002 - Versionsgeschichte2026-06-07T18:55:02ZVersionsgeschichte dieser Seite in Wikipedia (Deutsch) – Lokale KopieMediaWiki 1.43.8https://wiki-de.moshellshocker.dns64.de/index.php?title=ISO/IEC_27002&diff=237154&oldid=previmported>Aka: typografische Anführungszeichen, Kleinkram2025-09-02T20:30:08Z<p>typografische Anführungszeichen, Kleinkram</p>
<p><b>Neue Seite</b></p><div>{{Infobox Norm<br />
| Typ = ISO/IEC<br />
| Nummer = 27002<br />
| Bereich = Informationstechnik<br />
| Titel = [[IT-Sicherheitsverfahren]] – Leitfaden für das Informationssicherheits-Management<br />
| Beschreibung = <br />
| Stand = 2022-02<ref name="2022-02">{{Internetquelle |url=https://www.beuth.de/de/norm/iso-iec-27002/352094880 |titel=ISO/IEC 27002:2022-02 |abruf=2022-05-26 |werk=beuth.de}}</ref><br />
| Berichtigung Titel = <br />
| Berichtigung = <br />
| ICS = 03.100.70, 35.030<br />
| nationale Übernahmen = <br />
}}<br />
<br />
Die '''ISO/IEC 27002''' (bis 1. Juli 2007: [[International Organization for Standardization|ISO]]/[[International Electrotechnical Commission|IEC]] 17799) ist eine internationale [[Normung|Norm]], die Empfehlungen für diverse Kontrollmechanismen für die [[Informationssicherheit]] beinhaltet. Dabei geht es um Sicherheit gegen Angriffe (engl. {{lang|en|''security''}}). Die Norm für die funktionale Sicherheit (engl. {{lang|en|''safety''}}) ist die [[IEC 61508]]. Dieser referenziert Security betreffend die IEC 62443, welche Security Aspekte der Automatisierungstechnik betrachtet und inhaltlich kompatibel mit der ISO-27000-Reihe ist. Diese geht jedoch spezifisch auf die Aspekte ein, welche im Bereich der Automatisierungstechnik besondere Bedeutung genießen (z.&nbsp;B. Echtzeitfähigkeit, Verifikation von Updates und Patches etc.).<br />
<br />
Eine Zertifizierung nach ISO/IEC 27002 ist grundsätzlich nicht möglich, da es sich bei der Norm um eine Sammlung von Vorschlägen („sollte“, im Englischen: „should“) und nicht Forderungen („muss“, im Englischen: „shall“) handelt. Soll ein [[Information Security Management System|Informationssicherheitsmanagementsystem (ISMS)]] zertifiziert werden, ist dies nur über die Erfüllung der Anforderungen nach [[ISO/IEC 27001]] möglich.<br />
<br />
== Historische Entwicklung ==<br />
=== Entstehung bei der British Standards Institution ===<br />
Grundlage für die Normung war hierbei eine Sammlung von Erfahrungen, Verfahren und Methoden aus der Praxis, also ähnlich [[ITIL]] um einen „Best Practice“-Ansatz zu erreichen. Diese Sammlung erschien als Ergebnis der Bemühungen einer ab Januar 1993 tätigen Industriearbeitsgruppe im September 1993 als ''DTI Code of Practice''. Diese Praxisleitlinie war die Basis zur Erstellung des BS 7799.<br />
<br />
Im Februar 1995 veröffentlichte das BSI ([[British Standards Institution]]) mit dem BS 7799-1:1995 den ersten Standard im Bereich der Informationssicherheit, um die Sicherheitsaspekte in Zusammenhang mit dem aufkommenden [[Elektronischer Handel|E-Commerce]] zu adressieren. Allerdings war die Durchdringung aufgrund einiger aktueller Probleme wie der bevorstehenden [[Jahr-2000-Problem|Y2K-Problematik]] eher gering. Das änderte sich auch nicht mit der Ausgabe des zweiten Standards BS 7799-2:1998 im Februar 1998, der die Anforderungen an ein Sicherheitsmanagementsystem beschreibt. Es änderte sich erst, als das BSI im April 1999 eine komplett überarbeitete Version beider Standards vorlegte (BS 7799-1:1999 und BS 7799-2:1999) und somit erneut das Interesse der ISO weckte.<br />
<br />
=== Überführung in eine ISO-Norm ===<br />
Die ISO übernahm die BS 7799-1:1999 mit unverändertem Inhalt als Norm an und veröffentlichte diese im Jahr 2000 unter der Bezeichnung ISO/IEC 17799:2000. Noch im Jahr 2007 wurde die Norm in ISO/IEC 27002 umbenannt und damit auch namentlich in die Familie [[ISO/IEC 27000-Reihe]] aufgenommen. Mit Ausgabe September 2008 liegt die Norm auch als [[DIN-Norm]] DIN ISO/IEC 27002 vor. Die Normenfamilie behandelt verschiedene Ebenen von Informationssicherheitsmanagementsystemen (ISMS).<br />
<br />
== Betreuung in Deutschland ==<br />
Der deutsche Anteil an dieser internationalen Normungsarbeit des [[SC 27|ISO/IEC JTC 1/SC 27 Information Technology - Security Techniques]] wird vom ''DIN NIA-01-27 IT-Sicherheitsverfahren'' betreut.<br />
<br />
== Versionen und Inhalte ==<br />
=== Ausgabe ISO/IEC 17799:2000 ===<br />
Im Zuge der Überarbeitung der ISO/IEC 17799:2000 wurden jeweils neue Hauptkategorien und Sicherheitsmaßnahmen hinzugefügt. Die Norm wurde im Zuge dieser Überarbeitung auch bzgl. ihres Aufbaus geringfügig umstrukturiert, d.&nbsp;h., es wurde u.&nbsp;a. ein neuer Überwachungsbereich geschaffen (Information security incident management - Umgang mit Sicherheitsvorfällen). Er baut auf Inhalten auf, die sich bis dahin in einem anderen Kapitel befanden.<br />
<br />
=== Ausgabe ISO/IEC 27002:2005 ===<br />
Die ISO/IEC 27002:2005 befasst sich mit den folgenden 11 Überwachungsbereichen:<br />
<br />
# Information Security Policy – Weisungen und Richtlinien zur Informationssicherheit<br />
# Organization of information security – Organisatorische Sicherheitsmaßnahmen und Managementprozess<br />
# Asset management – Verantwortung und Klassifizierung von Informationswerten<br />
# Human resources security – Personelle Sicherheit<br />
# Physical and Environmental Security – Physische Sicherheit und öffentliche Versorgungsdienste<br />
# Communications and Operations Management – Netzwerk- und Betriebssicherheit (Daten und Telefonie)<br />
# Access Control – Zugriffskontrolle<br />
# Information systems acquisition, development and maintenance – Systementwicklung und Wartung<br />
# Information security incident management – Umgang mit Sicherheitsvorfällen<br />
# Business Continuity Management – Notfallvorsorgeplanung<br />
# Compliance – Einhaltung rechtlicher Vorgaben, der Sicherheitsrichtlinien und Überprüfungen durch [[Audit]]s<br />
<br />
Diese 11 Überwachungsbereiche untergliedern sich in 39 Hauptkategorien, sogenannte Kontrollziele. Diese sind mit insgesamt 133 Sicherheitsmaßnahmen untersetzt, deren Anwendung die Erreichung der Kontrollziele unterstützt.<br />
<br />
=== Ausgabe ISO/IEC 27002:2013 ===<br />
Die ISO/IEC 27002:2013 befasst sich mit den folgenden 14 Überwachungsbereichen<ref name="2013-10">{{Internetquelle |url=https://www.beuth.de/de/norm/iso-iec-27002/194462674 |titel=ISO/IEC 27002:2013-10 |abruf=2021-12-16 |werk=beuth.de}}</ref>:<br />
# Information security policies<br />
# Organization of information security<br />
# Human resources security<br />
# Asset management<br />
# Access control<br />
# Cryptography<br />
# Physical and environmental security<br />
# Operations security<br />
# Communications security<br />
# System acquisition, development and maintenance<br />
# Supplier relationships<br />
# Information security incident management<br />
# Information security aspects of business continuity management<br />
# Compliance<br />
Diese 14 Überwachungsbereiche untergliedern sich in 35 Hauptkategorien, sogenannte Kontrollziele. Diese sind mit insgesamt 114 Sicherheitsmaßnahmen untersetzt, deren Anwendung die Erreichung der Kontrollziele unterstützt.<br />
<br />
=== {{Anker|EN ISO/IEC 27002}} Ausgabe EN ISO/IEC 27002:2017 ===<br />
{{Infobox Norm<br />
|Typ = EN ISO/IEC<br />
|Nummer = 27002<br />
|Bereich = Informationstechnik<br />
|Titel = [[IT-Sicherheitsverfahren]] – Leitfaden für das Informationssicherheits-Management<br />
|Beschreibung = ISO/IEC 27002:2013 einschließlich Cor 1:2014 und Cor 2:2015<br />
|Stand = 2017-06<ref>{{Literatur|DOI=10.31030/2634934 |Titel=DIN EN ISO/IEC 27002:2017-06 |Hrsg=beuth.de}}</ref><br />
|nationale Übernahmen= EN ISO/IEC 27002:2017-02,<br />DIN EN ISO/IEC 27002:2017-06,<br />ÖNORM EN ISO/IEC 27002:2017-07-01,<br />SN EN ISO/IEC 27002:2017-05<br />
}}<br />
Der Text von ISO/IEC 27002:2013 + Cor. 1:2014 + Cor. 2:2015 wurde vom Technischen Komitee ISO/IEC JTC 1 „Information technology“ der Internationalen Organisation für Normung (ISO) und der Internationalen Elektrotechnischen Kommission (IEC) erarbeitet und von CEN als Europäische Norm „EN ISO/IEC 27002:2017“ ohne Abänderung am 26. Januar 2017 genehmigt.<br />
<br />
=== Aktueller Stand ISO/IEC 27002:2022 ===<br />
Die ISO/IEC 27002:2022 wurde im Zuge einer Überarbeitung bzgl. seines Aufbaus geringfügig umstrukturiert, d.&nbsp;h., es gibt nur noch vier Kapitel (Überwachungsbereiche), welche die Sicherheitsmaßnahmen enthalten. Ebenso wurden Sicherheitsmaßnahmen ersetzt, zusammengeführt oder entfernt. Jeder Sicherheitsmaßnahme wird nach ihren Eigenschaften kategorisiert.<br />
# Organizational controls<br />
# People controls<br />
# Physical controls<br />
# Technological controls<br />
<br />
Diese vier Überwachungsbereiche untergliedern sich in 93 Sicherheitsmaßnahmen, deren Anwendung die Erreichung der Kontrollziele unterstützt.<br />
<br />
== Weblinks ==<br />
* [https://www.iso.org/standard/75652.html Offizielle Seite der ISO der Veröffentlichung der ISO 27002:2022 (englisch)]<br />
* [https://www.din.de/de/mitwirken/normenausschuesse/nia/nationale-gremien/wdc-grem:din21:54770248 DIN-Normenausschuss Informationstechnik und Anwendungen NA 043-01-27 AA IT-Sicherheitsverfahren]<br />
* [http://www.jtc1sc27.din.de/en ISO/IEC JTC 1/SC 27 IT Security Techniques]<br />
<br />
== Einzelnachweise ==<br />
<references responsive /><br />
<br />
{{SORTIERUNG:Iso Iec 27002}}<br />
[[Kategorie:Wirtschaftsinformatik]]<br />
[[Kategorie:IT-Sicherheit]]<br />
[[Kategorie:ISO-Norm|27002]]<br />
[[Kategorie:DIN|Iso 27002]]<br />
[[Kategorie:IEC-Norm|27002]]</div>imported>Aka