Diskussion:ISO/27002: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
|||
| (3 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
== Beschreibung == | == Beschreibung == | ||
Dieses Dokument legt die Anforderungen für die Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines Informationssicherheitsmanagementsystems im Kontext der Organisation fest. Darüber hinaus beinhaltet dieses Dokument Anforderungen für die Beurteilung und Behandlung von Informationssicherheitsrisiken entsprechend den individuellen Bedürfnissen der Organisation. Die in diesem Dokument festgelegten Anforderungen sind allgemein gehalten und sollen auf alle Organisationen, ungeachtet ihrer Art und Größe, anwendbar sein. Das zuständige nationale Normungsgremium ist der Gemeinschaftsarbeitsausschuss NA 043-04-13 GA "DIN/DKE Gemeinschaftsgremium Cybersecurity" im DIN-Normenausschuss Informationstechnik und Anwendungen (NIA). | Dieses Dokument legt die Anforderungen für die Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines Informationssicherheitsmanagementsystems im Kontext der Organisation fest. | ||
* Darüber hinaus beinhaltet dieses Dokument Anforderungen für die Beurteilung und Behandlung von Informationssicherheitsrisiken entsprechend den individuellen Bedürfnissen der Organisation. | |||
* Die in diesem Dokument festgelegten Anforderungen sind allgemein gehalten und sollen auf alle Organisationen, ungeachtet ihrer Art und Größe, anwendbar sein. | |||
* Das zuständige nationale Normungsgremium ist der Gemeinschaftsarbeitsausschuss NA 043-04-13 GA "DIN/DKE Gemeinschaftsgremium Cybersecurity" im DIN-Normenausschuss Informationstechnik und Anwendungen (NIA). | |||
== Inhaltsverzeichnis == | == Inhaltsverzeichnis == | ||
'''Inhalt (de)''' | # '''Inhalt (de)''' | ||
# '''Nationales Vorwort''' | |||
* Änderungen | #* Änderungen | ||
* Frühere Ausgaben | #* Frühere Ausgaben | ||
'''Europäisches Vorwort''' | # '''Europäisches Vorwort''' | ||
'''Anerkennungsnotiz''' | # '''Anerkennungsnotiz''' | ||
'''Vorwort''' | # '''Vorwort''' | ||
'''Einleitung''' | # '''Einleitung''' | ||
'''Anwendungsbereich''' | # '''Anwendungsbereich''' | ||
'''Normative Verweisungen''' | # '''Normative Verweisungen''' | ||
'''Begriffe''' | # '''Begriffe''' | ||
'''Kontext der Organisation''' | # '''Kontext der Organisation''' | ||
* Verstehen der Organisation und ihres Kontextes | #* Verstehen der Organisation und ihres Kontextes | ||
* Verstehen der Erfordernisse und Erwartungen interessierter Parteien | #* Verstehen der Erfordernisse und Erwartungen interessierter Parteien | ||
* Festlegen des Anwendungsbereichs des Informationssicherheitsmanagementsystems | #* Festlegen des Anwendungsbereichs des Informationssicherheitsmanagementsystems | ||
* Informationssicherheitsmanagementsystem | #* Informationssicherheitsmanagementsystem | ||
'''Führung''' | # '''Führung''' | ||
* Führung und Verpflichtung | #* Führung und Verpflichtung | ||
* Politik | #* Politik | ||
* Rollen, Verantwortlichkeiten und Befugnisse in der Organisation | #* Rollen, Verantwortlichkeiten und Befugnisse in der Organisation | ||
'''Planung''' | # '''Planung''' | ||
* Maßnahmen zum Umgang mit Risiken und Chancen | #* Maßnahmen zum Umgang mit Risiken und Chancen | ||
** Allgemeines | #** Allgemeines | ||
** Informationssicherheitsrisikobeurteilung | #** Informationssicherheitsrisikobeurteilung | ||
** Informationssicherheitsrisikobehandlung | #** Informationssicherheitsrisikobehandlung | ||
* Informationssicherheitsziele und Planung zu deren Erreichung | #* Informationssicherheitsziele und Planung zu deren Erreichung | ||
* Planung von Änderungen | #* Planung von Änderungen | ||
'''Unterstützung''' | # '''Unterstützung''' | ||
* | #* Ressourcen | ||
* | #* Kompetenz | ||
* | #* Bewusstsein | ||
* | #* Kommunikation | ||
* | #* Dokumentierte Information | ||
** Allgemeines | #** Allgemeines | ||
** Erstellen und Aktualisieren | #** Erstellen und Aktualisieren | ||
** Steuerung dokumentierter Information | #** Steuerung dokumentierter Information | ||
'''Betrieb''' | # '''Betrieb''' | ||
* Betriebliche Planung und Steuerung | #* Betriebliche Planung und Steuerung | ||
* Informationssicherheitsrisikobeurteilung | #* Informationssicherheitsrisikobeurteilung | ||
* Informationssicherheitsrisikobehandlung | #* Informationssicherheitsrisikobehandlung | ||
'''Bewertung der Leistung''' | # '''Bewertung der Leistung''' | ||
* | #* Überwachung, Messung, Analyse und Bewertung | ||
* | #* Internes Audit | ||
** Allgemeines | #** Allgemeines | ||
** Internes Auditprogramm | #** Internes Auditprogramm | ||
* Managementbewertung | #* Managementbewertung | ||
** Allgemeines | #** Allgemeines | ||
** Eingaben für die Managementbewertung | #** Eingaben für die Managementbewertung | ||
** Ergebnisse der Managementbewertung | #** Ergebnisse der Managementbewertung | ||
'''Verbesserung''' | # '''Verbesserung''' | ||
* Fortlaufende Verbesserung | #* Fortlaufende Verbesserung | ||
* Nichtkonformität und Korrekturmaßnahmen | #* Nichtkonformität und Korrekturmaßnahmen | ||
# Verweisung auf Informationssicherheitsmaßnahmen (normativ) | |||
# Literaturhinweise | |||
# Literaturhinweise (informativ) | |||
ICS | ICS | ||
Aktuelle Version vom 22. Mai 2024, 17:01 Uhr
Beschreibung
Dieses Dokument legt die Anforderungen für die Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines Informationssicherheitsmanagementsystems im Kontext der Organisation fest.
- Darüber hinaus beinhaltet dieses Dokument Anforderungen für die Beurteilung und Behandlung von Informationssicherheitsrisiken entsprechend den individuellen Bedürfnissen der Organisation.
- Die in diesem Dokument festgelegten Anforderungen sind allgemein gehalten und sollen auf alle Organisationen, ungeachtet ihrer Art und Größe, anwendbar sein.
- Das zuständige nationale Normungsgremium ist der Gemeinschaftsarbeitsausschuss NA 043-04-13 GA "DIN/DKE Gemeinschaftsgremium Cybersecurity" im DIN-Normenausschuss Informationstechnik und Anwendungen (NIA).
Inhaltsverzeichnis
- Inhalt (de)
- Nationales Vorwort
- Änderungen
- Frühere Ausgaben
- Europäisches Vorwort
- Anerkennungsnotiz
- Vorwort
- Einleitung
- Anwendungsbereich
- Normative Verweisungen
- Begriffe
- Kontext der Organisation
- Verstehen der Organisation und ihres Kontextes
- Verstehen der Erfordernisse und Erwartungen interessierter Parteien
- Festlegen des Anwendungsbereichs des Informationssicherheitsmanagementsystems
- Informationssicherheitsmanagementsystem
- Führung
- Führung und Verpflichtung
- Politik
- Rollen, Verantwortlichkeiten und Befugnisse in der Organisation
- Planung
- Maßnahmen zum Umgang mit Risiken und Chancen
- Allgemeines
- Informationssicherheitsrisikobeurteilung
- Informationssicherheitsrisikobehandlung
- Informationssicherheitsziele und Planung zu deren Erreichung
- Planung von Änderungen
- Maßnahmen zum Umgang mit Risiken und Chancen
- Unterstützung
- Ressourcen
- Kompetenz
- Bewusstsein
- Kommunikation
- Dokumentierte Information
- Allgemeines
- Erstellen und Aktualisieren
- Steuerung dokumentierter Information
- Betrieb
- Betriebliche Planung und Steuerung
- Informationssicherheitsrisikobeurteilung
- Informationssicherheitsrisikobehandlung
- Bewertung der Leistung
- Überwachung, Messung, Analyse und Bewertung
- Internes Audit
- Allgemeines
- Internes Auditprogramm
- Managementbewertung
- Allgemeines
- Eingaben für die Managementbewertung
- Ergebnisse der Managementbewertung
- Verbesserung
- Fortlaufende Verbesserung
- Nichtkonformität und Korrekturmaßnahmen
- Verweisung auf Informationssicherheitsmaßnahmen (normativ)
- Literaturhinweise
- Literaturhinweise (informativ)
ICS 03.100.70, 35.030
DOI https://dx.doi.org/10.31030/3479707