Diskussion:ISO/27002: Unterschied zwischen den Versionen
| Zeile 8: | Zeile 8: | ||
'''Inhalt (de)''' | '''Inhalt (de)''' | ||
# '''Nationales Vorwort''' | # '''Nationales Vorwort''' | ||
* Änderungen | #* Änderungen | ||
* Frühere Ausgaben | #* Frühere Ausgaben | ||
# '''Europäisches Vorwort''' | # '''Europäisches Vorwort''' | ||
# '''Anerkennungsnotiz''' | # '''Anerkennungsnotiz''' | ||
| Zeile 18: | Zeile 18: | ||
# '''Begriffe''' | # '''Begriffe''' | ||
# '''Kontext der Organisation''' | # '''Kontext der Organisation''' | ||
* Verstehen der Organisation und ihres Kontextes | #* Verstehen der Organisation und ihres Kontextes | ||
* Verstehen der Erfordernisse und Erwartungen interessierter Parteien | #* Verstehen der Erfordernisse und Erwartungen interessierter Parteien | ||
* Festlegen des Anwendungsbereichs des Informationssicherheitsmanagementsystems | #* Festlegen des Anwendungsbereichs des Informationssicherheitsmanagementsystems | ||
* Informationssicherheitsmanagementsystem | #* Informationssicherheitsmanagementsystem | ||
# '''Führung''' | # '''Führung''' | ||
* Führung und Verpflichtung | #* Führung und Verpflichtung | ||
* Politik | #* Politik | ||
* Rollen, Verantwortlichkeiten und Befugnisse in der Organisation | #* Rollen, Verantwortlichkeiten und Befugnisse in der Organisation | ||
# '''Planung''' | # '''Planung''' | ||
* Maßnahmen zum Umgang mit Risiken und Chancen | #* Maßnahmen zum Umgang mit Risiken und Chancen | ||
** Allgemeines | #** Allgemeines | ||
** Informationssicherheitsrisikobeurteilung | #** Informationssicherheitsrisikobeurteilung | ||
** Informationssicherheitsrisikobehandlung | #** Informationssicherheitsrisikobehandlung | ||
* Informationssicherheitsziele und Planung zu deren Erreichung | #* Informationssicherheitsziele und Planung zu deren Erreichung | ||
* Planung von Änderungen | #* Planung von Änderungen | ||
# '''Unterstützung''' | # '''Unterstützung''' | ||
* Ressourcen | #* Ressourcen | ||
* Kompetenz | #* Kompetenz | ||
* Bewusstsein | #* Bewusstsein | ||
* Kommunikation | #* Kommunikation | ||
* Dokumentierte Information | #* Dokumentierte Information | ||
** Allgemeines | #** Allgemeines | ||
** Erstellen und Aktualisieren | #** Erstellen und Aktualisieren | ||
** Steuerung dokumentierter Information | #** Steuerung dokumentierter Information | ||
# '''Betrieb''' | # '''Betrieb''' | ||
* Betriebliche Planung und Steuerung | #* Betriebliche Planung und Steuerung | ||
* Informationssicherheitsrisikobeurteilung | #* Informationssicherheitsrisikobeurteilung | ||
* Informationssicherheitsrisikobehandlung | #* Informationssicherheitsrisikobehandlung | ||
# '''Bewertung der Leistung''' | # '''Bewertung der Leistung''' | ||
* Überwachung, Messung, Analyse und Bewertung | #* Überwachung, Messung, Analyse und Bewertung | ||
* Internes Audit | #* Internes Audit | ||
** Allgemeines | #** Allgemeines | ||
** Internes Auditprogramm | #** Internes Auditprogramm | ||
* Managementbewertung | #* Managementbewertung | ||
** Allgemeines | #** Allgemeines | ||
** Eingaben für die Managementbewertung | #** Eingaben für die Managementbewertung | ||
** Ergebnisse der Managementbewertung | #** Ergebnisse der Managementbewertung | ||
# '''Verbesserung''' | # '''Verbesserung''' | ||
* Fortlaufende Verbesserung | #* Fortlaufende Verbesserung | ||
* Nichtkonformität und Korrekturmaßnahmen | #* Nichtkonformität und Korrekturmaßnahmen | ||
# Verweisung auf Informationssicherheitsmaßnahmen (normativ) | # Verweisung auf Informationssicherheitsmaßnahmen (normativ) | ||
# Literaturhinweise | # Literaturhinweise | ||
Version vom 22. Mai 2024, 16:59 Uhr
Beschreibung
Dieses Dokument legt die Anforderungen für die Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines Informationssicherheitsmanagementsystems im Kontext der Organisation fest.
- Darüber hinaus beinhaltet dieses Dokument Anforderungen für die Beurteilung und Behandlung von Informationssicherheitsrisiken entsprechend den individuellen Bedürfnissen der Organisation.
- Die in diesem Dokument festgelegten Anforderungen sind allgemein gehalten und sollen auf alle Organisationen, ungeachtet ihrer Art und Größe, anwendbar sein.
- Das zuständige nationale Normungsgremium ist der Gemeinschaftsarbeitsausschuss NA 043-04-13 GA "DIN/DKE Gemeinschaftsgremium Cybersecurity" im DIN-Normenausschuss Informationstechnik und Anwendungen (NIA).
Inhaltsverzeichnis
Inhalt (de)
- Nationales Vorwort
- Änderungen
- Frühere Ausgaben
- Europäisches Vorwort
- Anerkennungsnotiz
- Vorwort
- Einleitung
- Anwendungsbereich
- Normative Verweisungen
- Begriffe
- Kontext der Organisation
- Verstehen der Organisation und ihres Kontextes
- Verstehen der Erfordernisse und Erwartungen interessierter Parteien
- Festlegen des Anwendungsbereichs des Informationssicherheitsmanagementsystems
- Informationssicherheitsmanagementsystem
- Führung
- Führung und Verpflichtung
- Politik
- Rollen, Verantwortlichkeiten und Befugnisse in der Organisation
- Planung
- Maßnahmen zum Umgang mit Risiken und Chancen
- Allgemeines
- Informationssicherheitsrisikobeurteilung
- Informationssicherheitsrisikobehandlung
- Informationssicherheitsziele und Planung zu deren Erreichung
- Planung von Änderungen
- Maßnahmen zum Umgang mit Risiken und Chancen
- Unterstützung
- Ressourcen
- Kompetenz
- Bewusstsein
- Kommunikation
- Dokumentierte Information
- Allgemeines
- Erstellen und Aktualisieren
- Steuerung dokumentierter Information
- Betrieb
- Betriebliche Planung und Steuerung
- Informationssicherheitsrisikobeurteilung
- Informationssicherheitsrisikobehandlung
- Bewertung der Leistung
- Überwachung, Messung, Analyse und Bewertung
- Internes Audit
- Allgemeines
- Internes Auditprogramm
- Managementbewertung
- Allgemeines
- Eingaben für die Managementbewertung
- Ergebnisse der Managementbewertung
- Verbesserung
- Fortlaufende Verbesserung
- Nichtkonformität und Korrekturmaßnahmen
- Verweisung auf Informationssicherheitsmaßnahmen (normativ)
- Literaturhinweise
- Literaturhinweise (informativ)
ICS 03.100.70, 35.030
DOI https://dx.doi.org/10.31030/3479707