Logo der activeMind AG

ISO 27002Kapitel 5.1 Informationssicherheitsleitlinien

Im Kapitel 5.1 der ISO 27002 geht es um Richtlinien für die Informationssicherheit. Diese Richtlinien beschäftigen sich vorranging mit organisatorischen Lösungen zur Sicherung von Informationen. Wir zeigen einige Beispiele für organisatorische Lösungen auf, die in diesem Kapitel der Norm ISO 27002 empfohlen werden.

Hinweis: Die folgenden Erklärungen beziehen sich auf die deutschen Versionen der Normen DIN EN ISO/IEC 27001:2024 sowie ISO 27002:2022.

Richtlinien und Verfahren

Organisationen sollten klare Richtlinien und Verfahren zur Informationssicherheit entwickeln und umsetzen. Diese Richtlinien und Verfahren sollten die Sicherheitsziele, Verantwortlichkeiten, Zuständigkeiten, Schulungen, Überwachung und Reaktion auf Sicherheitsvorfälle sowie die Einhaltung gesetzlicher und behördlicher Anforderungen abdecken.

Organisationales Engagement

Die Führungskräfte der Organisation sollten sich aktiv für die Informationssicherheit engagieren. Sie sollten das Bewusstsein für die Bedeutung von Informationssicherheit erhöhen, Budgets bereitstellen, Schulungen durchführen und sicherstellen, dass alle Mitarbeiter sich an die Richtlinien und Verfahren halten.

Risikobewertung und Risikomanagement

Organisationen sollten Risiken identifizieren, bewerten und bewältigen, die mit der Verarbeitung von Informationen verbunden sind. Eine Risikobewertung hilft, Bedrohungen und Schwachstellen zu erkennen und die geeigneten Gegenmaßnahmen zu ergreifen, um das Risiko zu minimieren. Für die Durchführung der Risikoanalyse sollten entsprechende Richtlinien entworfen werden.

Schulung und Sensibilisierung

Mitarbeiter sollten regelmäßig geschult und sensibilisiert werden, um sichere Verhaltensweisen zu fördern und das Bewusstsein für die Bedeutung der Informationssicherheit zu erhöhen.

Ein Schulungskonzept oder eine Richtlinie für die regelmäßige Schulung der Mitarbeiter sollte durch die Organisation erstellt werden.

Überwachung und Bewertung

Organisationen sollten regelmäßig ihre Informationssicherheitsprozesse überwachen und bewerten, um sicherzustellen, dass sie effektiv sind. Regelmäßige interne Audits und Bewertungen helfen, Schwachstellen zu identifizieren und Verbesserungen vorzunehmen.

Eine Richtlinie, die die regelmäßige Überwachung der zentralen Prozesse sicherstellt, sollte durch die Organisationsleitung erstellt und freigegeben werden.

Richtlinie zur Bewältigung von Betriebsunterbrechungen

Um im Rahmen von Betriebsunterbrechung eine schnellstmögliche Wiederherstellung des Regelbetriebs erreichen zu können, ist es ratsam, ein entsprechendes Notfallkonzept mit Handlungsanweisungen zu erstellen. Neben den Handlungsanweisung für mögliche Ausfallszenarien sollte eine Planung für die Übung entsprechender Wiederherstellungsmaßnahmen erstellt und diese Handlungsanweisung regelmäßig dokumentiert überprüft werden.

Es ist ratsam, einen erfahrenen Experten für Informationssicherheit hinzuzuziehen, um sicherzustellen, dass die Umsetzung korrekt erfolgt.

Hinweise zur Umsetzung von Kapitel 5.1 der ISO 27002

Es ist wichtig zu beachten, dass die Umsetzung der ISO 27002 ein langfristiger Prozess ist, der regelmäßige Überwachung und Verbesserung erfordert. Organisationen sollten die ISO 27002 nicht als Checkliste betrachten, sondern als eine umfassende Anleitung zur Entwicklung einer wirksamen Informationssicherheitsstrategie bzw. eines Informationssicherheits-Managementsystems (ISMS). Durch die Umsetzung der Empfehlungen der ISO 27002 können Organisationen ihre Informationen sicher halten und das Vertrauen ihrer Kunden und Partner stärken.

Unterstützung im Rahmen der Zertifizierung nach ISO 27001

Wenn Ihr Unternehmen die Vorgaben aus Kapitel 5.1 der ISO 27002 erfüllen will, unterstützen wir Sie gerne bei der Erstellung maßgeschneiderter Richtlinien und Konzepte, etwa zu: Beschaffung- und Entwicklung, Compliance, Organisation, Kryptografie, Notfällen, Lieferanten, IT-Betrieb, Kommunikation, Werte, Personal, Zutritt sowie Berechtigungen.

Sichern Sie sich das Wissen unserer Experten!​

Abonnieren Sie unseren Newsletter:

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.