Lexikon · Recht & Normen
ISO 27002
ISO/IEC 27002 ist der Leitfaden, der die Controls aus Annex A der ISO 27001 ausführlich erläutert und konkrete Umsetzungshinweise gibt. Anders als die ISO 27001 ist sie selbst nicht zertifizierbar.
Ausführliche Erklärung
Während die ISO 27001 nur benennt, welche Controls es gibt, beschreibt die ISO 27002 im Detail, wie sie umzusetzen sind, mit Zweck, Anleitung und weiterführenden Hinweisen je Maßnahme. Sie ist damit das praktische Handbuch zur Control-Umsetzung.
Die Fassung 2022 hat die Controls neu strukturiert (93 Controls in vier Themengruppen) und Attribute eingeführt. Diese Struktur wurde in Annex A der ISO 27001:2022 übernommen. Die ISO 27002 dient der Umsetzung, die Zertifizierung erfolgt gegen die ISO 27001.
Verwandte Begriffe
ISO 27001
ISO/IEC 27001 ist der international führende Standard für Informationssicherheits-Managementsysteme (ISMS) und definiert die Anforderungen, nach denen sich Organisationen zertifizieren lassen können.
Annex A
Annex A der ISO 27001:2022 ist der Katalog von 93 Sicherheitscontrols in vier Themengruppen (organisatorisch, personell, physisch, technologisch), aus denen sich Organisationen risikobasiert bedienen.
Control (Maßnahme)
Ein Control (deutsch: Maßnahme oder Kontrolle) ist eine konkrete Sicherheitsvorkehrung, die ein Risiko vermindert, etwa eine Zugriffsbeschränkung, Verschlüsselung oder ein Schulungsprozess.
ISO 27002 in der Praxis umsetzen
CompliantDesk bringt ISO 27001, NIS2, DSGVO und weitere Frameworks in einer Plattform zusammen, mit gemeinsamem Kern-Modell statt doppelter Dokumentation.
