ISO/IEC 27002

ISO/IEC 27002 ist ein Informationssicherheit Standard veröffentlicht von der Internationale Standardisierungsorganisation (ISO) und durch die Internationale Elektrotechnische Kommission (IEC) mit dem Titel " Informationssicherheit, Cybersicherheit und Datenschutzschutz - Informationssicherheitskontrollen.

Das ISO/IEC 27000-Serie Die Standards stammen von einem von Unternehmenssicherheitsstandard ab, der von gespendet wurde Hülse an eine britische Regierungsinitiative Anfang der neunziger Jahre.^[1] Der Shell-Standard wurde Mitte der neunziger Jahre zu British Standard BS 7799 entwickelt und im Jahr 2000 als ISO/IEC 17799 übernommen. Der ISO/IEC-Standard wurde 2005 überarbeitet und 2007 nummerierte ISO/IEC 27002, um sich mit den anderen auszurichten ISO/IEC 27000-Serie Standards. Es wurde 2013 und jetzt im Jahr 2022 erneut überarbeitet ISO/IEC 27017 wurde aus diesem Standard erstellt, um zusätzliche Sicherheitskontrollen für die Cloud vorzuschlagen, die in ISO/IEC 27002 nicht vollständig definiert waren.

ISO/IEC 27002 bietet beste Übung Empfehlungen zu Informationssicherheitskontrollen zur Verwendung durch diejenigen, die für die Initiierung, Implementierung oder Wartung verantwortlich sind Systeme für Informationssicherheitsmanagementsysteme (ISMS). Informationssicherheit wird im Standard im Kontext des CIA Triade:

die Erhaltung von Vertraulichkeit (Stellen Sie sicher, dass die Informationen nur für diejenigen zugänglich sind, die zu Zugang zugelassen sind.) Integrität (Schutz der Genauigkeit und Vollständigkeit von Informationen und Verarbeitungsmethoden) und Verfügbarkeit (Stellen Sie sicher, dass autorisierte Benutzer bei Bedarf Zugriff auf Informationen und zugehörige Vermögenswerte haben.).^[2]

Umriss

Umriss für ISO/IEC 27002: 2013

Der Standard beginnt mit 5 Einführungskapiteln:

Einführung
Zielfernrohr
Normative Verweisungen
Begriffe und Definitionen
Struktur dieses Standards

Darauf folgen 14 Hauptkapitel:

Informationssicherheitsrichtlinien
Organisation der Informationssicherheit
Personalsicherheit
Anlagenmanagement
Zugangskontrolle
Kryptographie
Körperliche und Umweltsicherheit
Operation Security- Verfahren und Verantwortlichkeiten, Schutz vor Malware, Sicherung, Protokollierung und Überwachung, Kontrolle der operativen Software, technischer Verwaltungsmanagement- und Informationssystem-Audit-Koordination
Kommunikationssicherheit - Netzwerksicherheitsmanagement und Informationstransfer
Systemakquisition, Entwicklung und Wartung - Sicherheitsanforderungen von Informationssystemen, Sicherheit in Entwicklungs- und Unterstützungsprozessen und Testdaten
Lieferantenbeziehungen - Informationssicherheit in Lieferantenbeziehungen und Lieferantendienstleistungsmanagement
Incident Management für Informationssicherheit - Verwaltung von Vorfällen und Verbesserungen der Informationssicherheit
Informationssicherheitsaspekte des Geschäftskontinuitätsmanagements - Kontinuität für Informationssicherheit und Entlassungen
Compliance - Einhaltung rechtlicher und vertraglicher Anforderungen sowie Überprüfungen zur Informationssicherheit

In jedem Kapitel Informationen Sicherheitskontrollen und ihre Ziele werden angegeben und umrissen. Die Informationssicherheitskontrollen gelten allgemein als bewährtes Mittel zur Erreichung dieser Ziele. Für jedes der Kontrollen wird die Anleitung zur Implementierung erteilt.

Spezifische Kontrollen sind nicht vorgeschrieben, da:

Von jeder Organisation wird erwartet, dass sie einen strukturierten Informationssicherheitsrisikobewertungsprozess durchführt, um ihre spezifischen Anforderungen zu ermitteln, bevor die Kontrollen ausgewählt werden, die ihren bestimmten Umständen angemessen sind. Der Abschnitt zur Einführung beschreibt einen Risikobewertungsprozess, obwohl es spezifischere Standards gibt, die diesen Bereich abdecken, wie z. B. ISO/IEC 27005. Die Verwendung der Risikoanalyse der Informationssicherheit zur Auswahl und Implementierung von Informationssicherheitskontrollen ist ein wichtiges Merkmal der ISO/IEC 27000-Serie Standards: Dies bedeutet, dass die generische gute Praxisberatung in diesem Standard auf den spezifischen Kontext jeder Benutzerorganisation zugeschnitten wird, anstatt von Rote angewendet zu werden. Nicht alle 39 Kontrollziele sind beispielsweise für jede Organisation notwendigerweise relevant, weshalb keine Kontrollkategorien nicht als notwendig erachtet werden. Die Standards sind auch offen in dem Sinne, dass die Informationssicherheitskontrollen „vorgeschlagen“ werden, sodass die Tür den Benutzern geöffnet werden, um alternative Steuerelemente zu übernehmen, wenn sie dies wünschen, sofern die wichtigsten Steuerungsziele in Bezug auf die Minderung von Risiken für Informationssicherheit. sind zufrieden. Dies hilft, den Standard trotz der sich entwickelnden Natur von Bedrohungen für Informationssicherheit, Schwachstellen und Auswirkungen und Trends bei der Verwendung bestimmter Informationssicherheitskontrollen relevant zu halten.
Es ist praktisch unmöglich, alle denkbaren Kontrollen in einem allgemeinen Standard -Standard aufzulisten. Branchenspezifische Implementierungsrichtlinien für ISO/IEC 27001: 2013 und ISO/IEC 27002 bieten Ratschläge, die auf Organisationen in der Telekommunikationsbranche (siehe ISO/IEC 27011) und Gesundheitswesen (siehe siehe siehe ISO/IEC 27011) zugeschnitten sind. ISO 27799).

Die meisten Organisationen implementieren eine breite Palette von Kontrollen im Zusammenhang mit Informationssicherheit, von denen viele von ISO/IEC 27002 im Allgemeinen empfohlen werden. Die Strukturierung der Infrastruktur für Informationssicherheit in Übereinstimmung mit ISO/IEC 27002 kann vorteilhaft sein, da sie:

Ist mit einem angesehenen internationalen Standard verbunden
Vermeiden Sie die Abdeckung von Lücken und Überlappungen
Wird wahrscheinlich von denen erkannt, die mit dem ISO/IEC -Standard vertraut sind

Implementierungsbeispiel für ISO/IEC 27002

Hier einige Beispiele für typische Richtlinien für Informationssicherheit und andere Kontrollen in Bezug auf drei Teile von ISO/IEC 27002. (Hinweis: Dies ist lediglich eine Abbildung. Die Liste der Beispielkontrollen ist unvollständig und nicht allgemein anwendbar.)

Körperliche und Umweltsicherheit

Physischer Zugang zu Räumlichkeiten und Unterstützungsinfrastruktur (Kommunikation, Strom, Klimaanlage usw.) muss überwacht und beschränkt werden, um die Auswirkungen von unbefugtem und unangemessenem Zugang, Manipulationen, Vandalismus, krimineller Schäden, Diebstahl usw. zu verhindern, zu erkennen und zu minimieren.
Die Liste der Personen, die für den Zugriff auf sichere Bereiche befugt sind, muss regelmäßig (mindestens einmal im Jahr) von Verwaltung oder Abteilung für physische Sicherheit überprüft und genehmigt und von ihren Abteilungsleitern geprüft werden.
Die Fotografie oder Videoaufzeichnung ist in eingeschränkten Bereichen ohne vorherige Erlaubnis der benannten Behörde verboten.
Geeignete Videoüberwachungskameras müssen sich an allen Eingängen und Ausgaben an den Räumlichkeiten und anderen strategischen Punkten wie eingeschränkten Bereichen befinden, die mindestens einen Monat lang aufgezeichnet und gespeichert und rund um die Uhr von geschultem Personal überwacht werden.
Zugriffskarten, die zeitlich begrenzten Zugang zu allgemeinen und/oder bestimmten Bereichen ermöglichen, können Auszubildenden, Anbietern, Beratern, Dritten und anderen Mitarbeitern zur Verfügung gestellt werden, die identifiziert, authentifiziert und berechtigt sind, auf diese Bereiche zuzugreifen.
Abgesehen von öffentlichen Bereichen wie dem Empfangsfoyer und privaten Bereichen wie Resträumen sollten Besucher jederzeit von einem Mitarbeiter in den Räumlichkeiten begleitet werden.
Das Datum und die Uhrzeit des Eintritts und der Abreise von Besuchern sowie der Zweck der Besuche müssen in einem Register erfasst werden, das von der Sicherheit oder dem Empfang vor Ort gewartet und kontrolliert wird.
Jeder vor Ort (Mitarbeiter und Besucher) muss jederzeit ihren gültigen, ausgegebenen Pass tragen und auf Anfrage eines Managers, eines Sicherheitsbeamten oder eines betroffenen Angestellten auf Anfrage vorlegen.
Zugangskontrollsysteme müssen selbst an ausreichend nicht autorisierten/unangemessenen Zugriff und anderen Kompromissen gesichert werden.
Brand-/Evakuierungsübungen müssen regelmäßig (mindestens einmal im Jahr) durchgeführt werden.
Rauchen ist in den Räumlichkeiten als in ausgewiesenen Raucherzonen verboten.

Personalsicherheit

Alle Mitarbeiter müssen vor der Beschäftigung untersucht werden, einschließlich der Identitätsüberprüfung unter Verwendung eines Reisepasses oder einer ähnlichen Foto -ID und mindestens zwei zufriedenstellende berufliche Referenzen. Für Mitarbeiter, die vertrauenswürdige Positionen einnehmen, sind zusätzliche Schecks erforderlich.
Alle Mitarbeiter müssen formell eine verbindliche Vertraulichkeits- oder Nichtoffenlegungsvereinbarung über persönliche und proprietäre Informationen akzeptieren, die im Laufe der Beschäftigung von ihnen bereitgestellt oder von ihnen generiert wurden.
Die Personalabteilung muss die Verwaltung, Finanzierung und Operationen informieren, wenn ein Mitarbeiter eingesetzt, übertragen, zurücktritt, ausgesetzt oder in langfristigem Urlaub freigelassen wird, oder deren Beschäftigung wird beendet.
Nach Erhalt der Benachrichtigung von der Personalabteilung, dass sich der Status eines Mitarbeiters geändert hat, muss die Verwaltung ihre physischen Zugriffsrechte aktualisieren und die IT -Sicherheitsverwaltung muss ihre logischen Zugriffsrechte entsprechend aktualisieren.
Der Manager eines Mitarbeiters muss sicherstellen, dass alle Zugriffskarten, Schlüssel, IT -Geräte, Speichermedien und andere wertvolle Unternehmensgüter vom Mitarbeiter an oder vor seinem letzten Tag der Beschäftigung zurückgegeben werden.

Zugangskontrolle

Benutzerzugriff auf Unternehmenssysteme, Netzwerke, Anwendungen und Informationen müssen gemäß den von den relevanten Informationsanlageneigentümern angegebenen Zugriffsanforderungen normalerweise gemäß der Rolle des Benutzers gesteuert werden.
Generische oder Test -IDs dürfen auf Produktionssystemen nicht erstellt oder aktiviert werden, es sei denn, Eigentümer der relevanten Information Asset.
Nach einer vordefinierten Anzahl erfolgloser Anmeldeversuche müssen Sicherheitsprotokolleinträge und (gegebenenfalls entsprechende) Sicherheitswarnungen generiert werden und Benutzerkonten müssen nach Bedarf der relevanten Eigentümer von Information Asset gesperrt werden.
Passwörter oder Pass -Phrasen müssen langwierig und komplex sein, bestehend aus einer Mischung aus Buchstaben, Ziffern und Sonderzeichen, die schwer zu erraten wären.
Passwörter oder Pass -Phrasen dürfen nicht in lesbarem Format abgeschrieben oder gespeichert werden.
Authentifizierungsinformationen wie Passwörter, Sicherheitsprotokolle, Sicherheitskonfigurationen usw. müssen angemessen gegen unbefugten oder unangemessenen Zugriff, Änderung, Beschädigung oder Verlust gesichert werden.
Privilegierte Zugriffsrechte, die normalerweise zur Verwaltung, Konfiguration, Verwaltung, Sicherung von IT-Systemen erforderlich sind, müssen regelmäßig (mindestens zweimal im Jahr) durch Informationssicherheit überprüft und von den entsprechenden Abteilungsleitern überprüft werden.
Benutzer müssen ihre Sitzungen entweder abmelden oder Kennwort verkaufen, bevor sie unbeaufsichtigt bleiben.
Kennwortgeschützte Bildschirmschoner mit einer Inaktivitätszeitüberschreitung von nicht mehr als 10 Minuten müssen auf allen Workstations/PCs aktiviert werden.
Schreibzugriff auf abnehmbare Medien (USB -Laufwerke, CD/DVD -Autoren usw.) müssen auf allen Desktops deaktiviert werden, sofern nicht aus legitimen geschäftlichen Gründen ausdrücklich autorisiert werden.

Geschichte

Jahr	Beschreibung
2005	ISO/IEC 27002 (1. Auflage)
2013	ISO/IEC 27002 (2. Auflage)
2022	ISO/IEC 27002 (3. Auflage)

Nationale äquivalente Standards

ISO/IEC 27002 hat in mehreren Ländern direkt gleichwertige nationale Standards. Übersetzungs- und lokale Veröffentlichungen führt häufig zu einer Verzögerung von mehreren Monaten, nachdem der Haupt -ISO/IEC -Standard überarbeitet und veröffentlicht wurde. Die nationalen Standardkörper sind jedoch große Anstrengungen, um sicherzustellen, dass der übersetzte Inhalt genau und vollständig ISO/IEC 27002 widerspiegelt.

Länder	Äquivalenter Standard
Argentinien	IRAM-ISO-IC 27002: 2008
Australien Neuseeland	AS/NZS ISO/IEC 27002: 2006
Brasilien	ISO/IEC NBR 17799/2007 - 27002
Indonesien	SNI ISO/IEC 27002: 2014
Chile	NCH2777 ISO/IEC 17799/2000
China	GB/T 22081-2008
Tschechische Republik	Čsn ISO/IEC 27002: 2006
Kroatien	HRN ISO/IEC 27002: 2013
Dänemark	DS/ISO27002: 2014 (DK)
Estland	EVS-ISO/IEC 17799: 2003, 2005 Version in Übersetzung
Frankreich	NF ISO/CEI 27002: 2014
Deutschland	DIN ISO/IEC 27002: 2008
Japan	JIS Q 27002
Litauen	LST ISO/IEC 27002: 2009 (adoptierte ISO/IEC 27002: 2005, ISO/IEC 17799: 2005)
Mexiko	NMX-I-27002-NYCE-2015
Niederlande	Nen-ISO/IEC 27002: 2013
Peru	NTP-ISO/IEC 17799: 2007
Polen	PN-ISO/IEC 17799: 2007, basierend auf ISO/IEC 17799: 2005
Russland	Го р р и и ээк 27002-2012 basierend auf ISO/IEC 27002: 2005
Slowakei	STN ISO/IEC 27002: 2006
Südafrika	SANS 27002: 2014/ISO/IEC 27002: 2013^[3]
Spanien	UNE 71501
Schweden	SS-ISO/IEC 27002: 2014
Truthahn	TS ISO/IEC 27002
Thailand	Einheit/ISO
Ukraine	Дсту ISO/IEC 27002: 2015
Vereinigtes Königreich	BS ISO/IEC 27002: 2005
Uruguay	Einheit/ISO 17799: 2005

Zertifizierung

ISO/IEC 27002 ist ein Beratungsstandard, der nach den jeweiligen Informationssicherheitsrisiken, mit denen sie ausgesetzt sind, interpretiert und auf alle Arten und Organisationsgrößen angewendet werden soll. In der Praxis gibt diese Flexibilität den Benutzern viel Breitengrad, um die Informationssicherheitskontrollen zu übernehmen, die für sie sinnvoll sind, aber sie für die relativ einfachen Compliance -Tests, die in den meisten formalen Zertifizierungsschemata impliziert sind, ungeeignet sind.

ISO/IEC 27001: 2013 (Informationstechnologie - Sicherheitstechniken - Informationssicherheitsmanagementsysteme - Anforderungen) ist ein weithin anerkannter zertifizierbarer Standard. ISO/IEC 27001 gibt eine Reihe von Unternehmensanforderungen an die Festlegung, Implementierung, Wartung und Verbesserung eines ISMS an. In Anhang A gibt es eine Reihe von Kontrollpersonen für Informationssicherheit, die Organisationen ermutigt werden, gegebenenfalls innerhalb ihres ISMS zu übernehmen. Die Kontrollen in Anhang A sind abgeleitet und mit ISO/IEC 27002 ausgerichtet.

Laufende Entwicklung

Beide ISO/IEC 27001: 2013 und ISO/IEC 27002 werden von überarbeitet von überarbeitet von ISO/IEC JTC1/SC27 alle paar Jahre, um sie aktuell und relevant zu halten. Die Revision beinhaltet beispielsweise die Verweise auf andere herausgegebene Sicherheitsstandards (wie z. ISO/IEC 27000, ISO/IEC 27004 und ISO/IEC 27005) und verschiedene gute Sicherheitspraktiken, die seit ihrer letzten Veröffentlichung vor Ort aufgetaucht sind. Aufgrund der erheblichen "installierten Basis" von Organisationen, die bereits ISO/IEC 27002 verwenden, insbesondere in Bezug auf die Informationssicherheitskontrollen, die ein ISMS unterstützen, der sich einhält ISO/IEC 27001Änderungen müssen gerechtfertigt sein und, wo immer möglich, eher evolutionär als revolutionär.

Siehe auch

BS 7799, der ursprüngliche britische Standard, von dem ISO/IEC 17799 und dann ISO/IEC 27002 abgeleitet wurde
ISO/IEC 27000-Serie
Es Basisschutz
IT -Risikomanagement
Liste der ISO -Standards
Sarbanes -Oxley Act
Standard der guten Praxis veröffentlicht von der Informationssicherheitsforum
ISO/IEC JTC 1/SC 27 - IT -Sicherheitstechniken
NIST Cybersecurity Framework
Quantifizierung des Cyberrisikos

Verweise

^ "ISO27K Timeline". ISO27001security.com. Isect Ltd. Abgerufen 9. März 2016.
^ ISC CISSP Offizieller Studienführer. Sybex. 15. September 2015. ISBN 978-1119042716. Abgerufen 1. November 2016.
^ "SANS 27002: 2014 (Hrsg. 2.00)". SABS Web Store. Abgerufen 25. Mai 2015.

Externe Links

[1] "ISO27K Timeline". ISO27001security.com. Isect Ltd. Abgerufen 9. März 2016.

[2] ISC CISSP Offizieller Studienführer. Sybex. 15. September 2015. ISBN 978-1119042716. Abgerufen 1. November 2016.

[3] "SANS 27002: 2014 (Hrsg. 2.00)". SABS Web Store. Abgerufen 25. Mai 2015.

[1]

[2]

[3]

ISO Standards Standardnummer
Liste von ISO -Standards/ Iso -Romanisierungen/ IEC -Standards
1–9999	1 2 3 4 5 6 7 9 16 17 31 -0 -1 -2 -3 -4 -5 -6 -7 -8 -9 -10 -11 -12 -13 68-1 128 216 217 226 228 233 259 261 262 269 302 306 361 428 500 518 519 639 -1 -2 -3 -5 -6 646 657 668 690 704 732 764 838 843 860 898 965 999 1000 1004 1007 1073-1 1073-2 1155 1413 1538 1629 1745 1989 2014 2015 2022 2033 2047 2108 2145 2146 2240 2281 2533 2709 2711 2720 2788 2848 2852 3029 3103 3166 -1 -2 -3 3297 3307 3601 3602 3864 3901 3950 3977 4031 4157 4165 4217 4909 5218 5426 5427 5428 5725 5775 5776 5800 5807 5964 6166 6344 6346 6385 6425 6429 6438 6523 6709 6943 7001 7002 7010 7027 7064 7098 7185 7200 7498 -1 7637 7736 7810 7811 7812 7813 7816 7942 8000 8093 8178 8217 8373 8501-1 8571 8583 8601 8613 8632 8651 8652 8691 8805/8806 8807 8820-5 8859 -1 -2 -3 -4 -5 -6 -7 -8 -8-i -9 -10 -11 -12 -13 -14 -15 -16 8879 9000/9001 9036 9075 9126 9141 9227 9241 9293 9314 9362 9407 9496 9506 9529 9564 9592/9593 9594 9660 9797-1 9897 9899 9945 9984 9985 9995
10000–19999	10005 10006 10007 10116 10118-3 10160 10161 10165 10179 10206 10218 10303 -11 -21 -22 -28 -238 10383 10487 10585 10589 10628 10646 10664 10746 10861 10957 10962 10967 11073 11170 11179 11404 11544 11783 11784 11785 11801 11889 11898 11940 (-2) 11941 11941 (tr) 11992 12006 12182 12207 12234-2 12620 13211 -1 -2 13216 13250 13399 13406-2 13450 13485 13490 13567 13568 13584 13616 13816 14000 14031 14224 14289 14396 14443 14496 -2 -3 -6 -10 -11 -12 -14 -17 -20 14617 14644 14649 14651 14698 14764 14882 14971 15022 15189 15288 15291 15292 15398 15408 15444 -3 15445 15438 15504 15511 15686 15693 15706 -2 15707 15897 15919 15924 15926 15926 WIP 15930 16023 16262 16355-1 16485 16612-2 16750 16949 (TS) 17024 17025 17100 17203 17369 17442 17506 17799 18000 18004 18014 18245 18629 18916 19005 19011 19092 -1 -2 19114 19115 19125 19136 19407 19439 19500 19501 19502 19503 19505 19506 19507 19508 19509 19510 19600 19752 19757 19770 19775-1 19794-5 19831
20000–29999	20000 20022 20121 20400 20802 21000 21047 21500 21827 22000 22300 22395 23090-3 23270 23271 23360 24517 24613 24617 24707 25178 25964 26000 26262 26300 26324 27000 Serie 27000 27001 27002 27005 27006 27729 28000 29110 29148 29199-2 29500
30000+	30170 31000 32000 37001 38500 40500 42010 45001 50001 55000 56000 80000
Kategorie

Informationssicherheitszertifizierungen
CompTia	Sicherheit+ (S+) Cysa+ (ehemals CSA+) Casp Pentest+
Cisco	CCNA -Sicherheit CCNP -Sicherheit CCIE -Sicherheit
EC-Council	CEH CNDA ECSA
Eitci	Eitca/ist
Isaca	Cisa Cism CRISC
(ISC) ²	CISSP SSCP ISSMP ISSEP ISSAP
Meile2	CPTE
Offensive Sicherheit	OSCP
Elearnsecurity	ECPPT
GIAC	GISF GSEC Gcia Gcih Gcux Gcwn Gced Gpen Gwapt Gawn Gicsp G7799 GSNA Gisp GSLC GCPM GSSP-Java Gssp -.net GWEB Gcfe GCFA Grem GNFA Gleg GSE

IEC -Standards
IEC -Standards	60027 60034 60038 60062 60063 60068 60112 60228 60269 60297 60309 60320 60364 60446 60559 60601 60870 60870-5 60870-6 60906-1 60908 60929 60958 61030 61131 61131-3 61131-9 61158 61162 61334 61355 61360 61400 61499 61508 61511 61784 61850 61851 61883 61960 61968 61970 62014-4 62026 62056 62061 62196 62262 62264 62304 62325 62351 62365 62366 62379 62386 62455 62680 62682 62700 63110 63119 63382
ISO/IEC -Standards	646 2022 4909 5218 6429 6523 7810 7811 7812 7813 7816 7942 8613 8632 8652 8859 9126 9293 9496 9529 9592 9593 9899 9945 9995 10021 10116 10165 10179 10646 10967 11172 11179 11404 11544 11801 12207 13250 13346 13522-5 13568 13816 13818 14443 14496 14651 14882 15288 15291 15408 15444 15445 15504 15511 15693 15897 15938 16262 16485 17024 17025 18000 18004 18014 19752 19757 19770 19788 20000 20802 21000 21827 23000 23003 23008 23270 23360 24707 24727 24744 24752 26300 27000 27000 Serie 27002 27040 29110 29119 33001 38500 42010 80000 81346
Verwandt	Internationale Elektrotechnische Kommission