Die ISO 27002 bietet eine extrem gute Hilfestellung für die Umsetzung der ISO 27001 und konkretisiert diese.

Was beschreibt die ISO 27002?

Die ISO 27001, welche die Grundlage für die Zertifizierung einer Organisation darstellt, beschreibt ja Maßnahmen nur auf einem sehr hohen Level. Die ISO 27002 konkretisiert die Inhalte der ISO 27001 und des Annex A weiter und beschreibt eine Maßnahmen genauer. Allerdings wird auch hier nicht gesagt ‚Konfiguriere die Windows Group Policy mit diesen Wert.‘ oder ‚Die Namneskonvention für Administratoren sollte immer mit ADM beginnen.‘. Für die Benutzerzugangssteuerung werden eher Hinweise gegeben, wie ‚Es muss eine eindeutige Benutzerkennung für jeden Benutzer existieren.‘.

Auch dies ist noch auf einem sehr hohen Level und muss für jede Organisation angepasst werden, aber anders kann die ISO auch nicht formuliert, da diese auf eine Vielzahl von Organisationen Anwendung finden können muss.

Ist die ISO 27002 zwingend einzuhalten?

Da das Zertifikat ’nach ISO 27001′ erteilt wird, ist auch nur diese Norm ausschlaggebend. Die ISO 27002 dient nur als Hilfestellung und muss nicht zwingend beachtet werden. Allerdings hilft ein Blick hier hin, wenn man mit Formulierungen der ISO 27001 nicht klar kommt oder Unsicherheit besteht.

Die ISO 27002 ist also hilfreich, aber nicht zwingend einzuhalten. Eine klassische Hilfestellung.


2 Kommentare

ISO 2700x Überblick – Maxanit Consulting · Oktober 11, 2020 um 6:58 pm

[…] ISO 27002: Gibt Empfehlungen für die Kontrollmechanismen aus dem Anhang A der ISO 27001 […]

Überblick Informationssicherheitsmanagement – Maxanit Consulting · Oktober 11, 2020 um 6:58 pm

[…] ISO 27002 […]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.