Registrieren Anmelden
RegistrierenAnmelden
Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Breadcrumb-Navigation
Free

ISO/IEC 27002:2021 – Struktur, Inhalt und praktische Anwendung

Die ISO/IEC 27002:2021 ist das zentrale Leitdokument zur praktischen Umsetzung von Informationssicherheit in Unternehmen. Sie richtet sich an Verantwortliche, die ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 betreiben oder einführen und bietet praxisorientierte Hinweise zur Auswahl und Umsetzung von Sicherheitsmaßnahmen. Die Norm bildet die Grundlage für den Schutz digitaler und physischer Werte in Organisationen jeder Größe und Branche.

Grundlagen und Definitionen
Lesezeit 6 Min.

Im Folgenden werden Aufbau, Struktur, zentrale Inhalte und Anwendungstipps der ISO/IEC 27002:2021 ausführlich erläutert – von der Einteilung der Maßnahmen bis hin zu Tipps für die Integration in eigene Prozesse.

Struktur und Kategorisierung der ISO/IEC 27002:2021

Die Gliederung der ISO/IEC 27002:2021 folgt einer klaren Struktur. Die Maßnahmen (Controls) sind in vier Hauptkategorien unterteilt, die alle wesentlichen Bereiche der Informationssicherheit abdecken: organisatorische, personenbezogene, physische und technische Aspekte.

Organisatorische Maßnahmen umfassen die übergreifenden Rahmenbedingungen und Prozesse für die Informationssicherheit. Hierzu zählen die Definition von Richtlinien, Verantwortlichkeiten, das Management von Risiken, Compliance-Anforderungen und die Steuerung externer Dienstleister. Diese Kategorie sorgt für klare Zuständigkeiten, steuert die Zusammenarbeit mit Partnern und sichert die Integration der Informationssicherheit in die Unternehmensführung.

Personenbezogene Maßnahmen konzentrieren sich auf alle Themen rund um die Beschäftigten. Dazu gehören Schulungen, Sensibilisierung, Verhaltensregeln und die Zuweisung von Zugriffsberechtigungen. Es werden Anforderungen für alle Phasen der Beschäftigung definiert – vom Eintritt bis zum Austritt. Ziel ist es, Risiken durch menschliches Fehlverhalten zu minimieren und das Sicherheitsbewusstsein zu stärken.

Physische Maßnahmen betreffen den Schutz von Gebäuden, Arbeitsplätzen, Geräten und anderen physischen Ressourcen. Die Zutrittskontrolle, die Absicherung sensibler Bereiche, der Schutz vor Umwelteinflüssen und die sichere Verwaltung von Geräten und Speichermedien sind zentrale Bestandteile. Diese Kategorie sorgt dafür, dass Informationen auch außerhalb digitaler Systeme zuverlässig geschützt bleiben.

Technische Maßnahmen setzen den Fokus auf IT-Infrastrukturen und -Prozesse. Hierzu gehören Netzwerksicherheit, Kryptografie, Zugriffskontrollen, sichere Entwicklung, Monitoring, Logging und das Management von Sicherheitsvorfällen sowie Backup und Wiederherstellung. Die technische Umsetzung macht einen Großteil der täglichen Sicherheitsarbeit aus und ist eng mit organisatorischen und physischen Maßnahmen verbunden.

Inhalte und Schwerpunkte der Controls

Die ISO/IEC 27002:2021 bietet 93 Maßnahmen, die für einen wirksamen Schutz von Informationen sorgen. Jedes Control ist mit einem klaren Ziel und praxisnahen Umsetzungshinweisen versehen. So lässt sich nachvollziehen, welche Anforderungen erfüllt werden sollen und wie die Umsetzung schrittweise erfolgt.

Die Maßnahmen reichen von grundlegenden Richtlinien über die Steuerung von Zugriffsrechten und die physische Absicherung bis hin zu technischen Themen wie Netzwerkschutz, sichere Entwicklung, Monitoring und Incident Response. Auch aktuelle Anforderungen wie der Schutz von Cloud-Umgebungen, die Identifikation und Bewertung von Bedrohungen sowie die sichere Löschung und Maskierung von Daten werden behandelt.

Organisationen profitieren von einer konsistenten Struktur, die es erlaubt, Themen über den gesamten Lebenszyklus von Informationen hinweg zu betrachten – von der Beschaffung bis zur Entsorgung. Die Controls sind so gestaltet, dass sie sowohl für kleine Unternehmen als auch für große, komplexe Organisationen anwendbar sind.

Das Attribut-System – Filter, Steuerung und Integration

Ein zentrales Merkmal der ISO/IEC 27002:2021 ist das Attribut-System. Jeder Maßnahme werden Attribute zugeordnet, die eine flexible Filterung und Steuerung ermöglichen. Diese Attribute umfassen:

  • Art der Maßnahme (präventiv, detektiv, korrektiv)
  • Schutzziel (Vertraulichkeit, Integrität, Verfügbarkeit)
  • Cybersecurity-Konzepte (Identify, Protect, Detect, Respond, Recover)
  • Operative Fähigkeiten (z. B. Governance, Asset-Management, Schutzmaßnahmen)
  • Sicherheitsdomänen (z. B. Steuerung, Schutz, Verteidigung, Resilienz)

Mit diesem System lassen sich die Maßnahmen gezielt nach bestimmten Kriterien auswerten und steuern. Verantwortliche können zum Beispiel alle detektiven Maßnahmen für ein bestimmtes Asset identifizieren oder Maßnahmen für einen speziellen Vorfallstyp zusammenstellen. Die Integration in GRC-Tools oder ISMS-Software wird durch die strukturierte Attributierung deutlich erleichtert.

Eigene Attribute lassen sich ergänzen, beispielsweise für Verantwortlichkeiten, Status oder Priorität. Dabei empfiehlt es sich, die Zahl der individuellen Attribute überschaubar zu halten, um die Übersichtlichkeit zu bewahren und die Pflege zu vereinfachen.

Typische Beispiele für Controls

Die ISO/IEC 27002:2021 greift viele klassische Aspekte der Informationssicherheit auf und integriert zugleich Themen, die heute für Unternehmen besonders relevant sind. Dazu zählen unter anderem:

  • Die kontinuierliche Beobachtung und Bewertung von Bedrohungen (Threat Intelligence)
  • Maßnahmen zum Schutz und zur Kontrolle der Nutzung von Cloud-Diensten
  • Die systematische Verwaltung von System- und Softwarekonfigurationen
  • Sichere Löschung und Maskierung sensibler Daten
  • Monitoring und Detektion von Sicherheitsereignissen in Echtzeit
  • Regelungen für den sicheren Umgang mit Arbeitsgeräten und mobilen Endgeräten
  • Technische und organisatorische Vorkehrungen zur Verhinderung von Datenabflüssen

Diese Beispiele zeigen, wie umfassend die Norm die verschiedenen Dimensionen der Informationssicherheit abdeckt.

Anwendung in der Praxis und Integration ins ISMS

Die ISO/IEC 27002:2021 ist als Werkzeugkasten für das ISMS zu verstehen. Sie liefert nicht nur die einzelnen Maßnahmen, sondern auch Hinweise zur Priorisierung, Umsetzung und kontinuierlichen Verbesserung. Organisationen können Controls auswählen, die ihrem spezifischen Risiko entsprechen, und sie an ihre eigenen Gegebenheiten anpassen.

Das Attribut-System unterstützt dabei, die relevantesten Maßnahmen zu filtern und gezielt umzusetzen. Für die Audit-Vorbereitung und die Berichterstattung an das Management lässt sich die Attributstruktur nutzen, um Fortschritte, Lücken und Verantwortlichkeiten transparent zu machen.

Die Norm ist so angelegt, dass sie vielfältige Anforderungen abdeckt: vom Schutz personenbezogener Daten über die Absicherung von Geschäftsprozessen und die Vorbereitung auf Notfälle bis zur Integration neuer Technologien und Arbeitsweisen.

Zusammenspiel mit anderen Standards und Frameworks

Die ISO/IEC 27002:2021 lässt sich nahtlos mit anderen Sicherheitsstandards verbinden. Die Attribute erleichtern das Mapping zu Rahmenwerken wie dem NIST Cybersecurity Framework oder dem BSI IT-Grundschutz. Auch branchenspezifische Anforderungen, wie etwa aus der Automobilindustrie (TISAX) oder regulatorische Vorgaben wie die NIS-2-Richtlinie, lassen sich abbilden.

Durch die klare Struktur und die Definition der Maßnahmen nach internationalen Standards ist die Norm weltweit anwendbar und anerkannt. Sie eignet sich auch als Basiskomponente für Multi-Framework-Ansätze und hybride Sicherheitsstrategien.

Tipps und Empfehlungen für die tägliche Anwendung

Eine konsistente und durchdachte Nutzung der Controls und Attribute ist entscheidend für den Erfolg des ISMS. Organisationen sollten regelmäßig überprüfen, ob alle Maßnahmen wirksam umgesetzt sind und den aktuellen Anforderungen entsprechen. Die Dokumentation der Maßnahmen, der Verantwortlichkeiten und des Umsetzungsstatus erleichtert die Auditierbarkeit und das Management-Reporting.

Die Nutzung von Tools und ISMS-Software, die das Attribut-System unterstützen, vereinfacht die Steuerung erheblich. Auch die regelmäßige Schulung aller Beteiligten trägt dazu bei, dass die Maßnahmen im Alltag gelebt werden und nicht nur auf dem Papier existieren.

Integration in den kontinuierlichen Verbesserungsprozess

Informationssicherheit ist kein einmaliges Projekt, sondern ein fortlaufender Prozess. Die ISO/IEC 27002:2021 unterstützt diesen Ansatz, indem sie die regelmäßige Überprüfung, Bewertung und Anpassung der Maßnahmen empfiehlt. Die Attribute helfen, Schwachstellen zu erkennen und gezielt Verbesserungen umzusetzen.

Organisationen profitieren, wenn sie die Umsetzung der Controls regelmäßig überprüfen, Lessons Learned dokumentieren und das ISMS flexibel gestalten. Dadurch kann auf neue Bedrohungen oder veränderte Rahmenbedingungen schnell und wirksam reagiert werden.

Fazit

Die ISO/IEC 27002:2021 bietet eine umfassende, klar strukturierte und flexibel anwendbare Grundlage für die praktische Umsetzung von Informationssicherheit. Sie adressiert alle wesentlichen Themen – von organisatorischen Vorgaben über technische Maßnahmen bis hin zum Schutz von Personen und physischen Ressourcen. Das Attribut-System sorgt für Transparenz, Filterbarkeit und eine effiziente Steuerung der Maßnahmen. Unternehmen jeder Größe und Branche finden in der Norm einen praxisnahen Leitfaden, der sich problemlos in bestehende Managementsysteme integrieren lässt und die Grundlage für nachhaltige Informationssicherheit bildet.

(Dieser Artikel basiert auf Inhalten aus dem <kes>-Archiv sowie externen Fachquellen. Er wurde mithilfe von KI erstellt und durch die Redaktion geprüft.)

Diesen Beitrag teilen:

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.