Diskussion:ISO/27002
Beschreibung
Dieses Dokument legt die Anforderungen für die Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines Informationssicherheitsmanagementsystems im Kontext der Organisation fest.
- Darüber hinaus beinhaltet dieses Dokument Anforderungen für die Beurteilung und Behandlung von Informationssicherheitsrisiken entsprechend den individuellen Bedürfnissen der Organisation.
- Die in diesem Dokument festgelegten Anforderungen sind allgemein gehalten und sollen auf alle Organisationen, ungeachtet ihrer Art und Größe, anwendbar sein.
- Das zuständige nationale Normungsgremium ist der Gemeinschaftsarbeitsausschuss NA 043-04-13 GA "DIN/DKE Gemeinschaftsgremium Cybersecurity" im DIN-Normenausschuss Informationstechnik und Anwendungen (NIA).
Inhaltsverzeichnis
Inhalt (de)
- Nationales Vorwort
- Änderungen
- Frühere Ausgaben
Europäisches Vorwort Anerkennungsnotiz Vorwort Einleitung Anwendungsbereich Normative Verweisungen Begriffe Kontext der Organisation
- Verstehen der Organisation und ihres Kontextes
- Verstehen der Erfordernisse und Erwartungen interessierter Parteien
- Festlegen des Anwendungsbereichs des Informationssicherheitsmanagementsystems
- Informationssicherheitsmanagementsystem
Führung
- Führung und Verpflichtung
- Politik
- Rollen, Verantwortlichkeiten und Befugnisse in der Organisation
Planung
- Maßnahmen zum Umgang mit Risiken und Chancen
- Allgemeines
- Informationssicherheitsrisikobeurteilung
- Informationssicherheitsrisikobehandlung
- Informationssicherheitsziele und Planung zu deren Erreichung
- Planung von Änderungen
Unterstützung
- Ressourcen
- Kompetenz
- Bewusstsein
- Kommunikation
- Dokumentierte Information
- Allgemeines
- Erstellen und Aktualisieren
- Steuerung dokumentierter Information
Betrieb
- Betriebliche Planung und Steuerung
- Informationssicherheitsrisikobeurteilung
- Informationssicherheitsrisikobehandlung
Bewertung der Leistung
- Überwachung, Messung, Analyse und Bewertung
- Internes Audit
- Allgemeines
- Internes Auditprogramm
- Managementbewertung
- Allgemeines
- Eingaben für die Managementbewertung
- Ergebnisse der Managementbewertung
Verbesserung
- Fortlaufende Verbesserung
- Nichtkonformität und Korrekturmaßnahmen
- Verweisung auf Informationssicherheitsmaßnahmen (normativ)
- Literaturhinweise
- Literaturhinweise (informativ)
ICS 03.100.70, 35.030
DOI https://dx.doi.org/10.31030/3479707