Zum Inhalt springen
📞 Praxisbezogene & bezahlbare ISO 27001 / TISAX Beratung: Jetzt kostenloses Erstgespräch sichern → Termin vereinbaren
Anfrage
NIS2
TISAX®
Startseite » Unser Blog » ISO 27002 – Leitfaden für die Umsetzung der Informationssicherheit

ISO 27002 – Leitfaden für die Umsetzung der Informationssicherheit

ISO 27002 – Leitfaden für die Umsetzung der Informationssicherheit

Die ISO 27002 ist der zentrale Leitfaden zur praktischen Umsetzung der in der ISO/IEC 27001 beschriebenen Maßnahmen (Controls). Sie bietet detaillierte Hinweise, wie Unternehmen Informationssicherheit wirksam in ihre Abläufe integrieren können – unabhängig von Größe, Branche oder Komplexität der Organisation.

Die aktuelle ISO/IEC 27002:2022 ersetzt die Vorgängerversionen (2013, 2017) und berücksichtigt neue Bedrohungsszenarien wie Cloud Security, Remote Work und Threat Intelligence. Damit ist sie ein unverzichtbares Werkzeug für alle, die ein robustes Informationssicherheits-Managementsystem nach ISO 27001 aufbauen oder verbessern möchten.

Inhalt und Struktur des ISO 27002 Leitfadens

Die ISO 27002 beschreibt den praktischen Umgang mit den Maßnahmenzielen (Control Objectives) und Maßnahmen (Controls) der ISO 27001. Sie enthält eine detaillierte Anleitung für die Umsetzung der Sicherheitsanforderungen und erklärt, wie diese in Organisationen angewendet werden können.

  • 🧩 14 Themenabschnitte über Sicherheitsmaßnahmen
  • 📂 35 Kategorien mit klar definierten Anforderungen
  • 🔐 93 Maßnahmen (Controls) zur Gewährleistung der Informationssicherheit

Aufbau einer Maßnahme im ISO 27002 Leitfaden

Jede Maßnahme innerhalb des ISO 27002 Leitfadens folgt einem strukturierten Aufbau. Dadurch wird sichergestellt, dass Organisationen einheitlich vorgehen und die Wirksamkeit der umgesetzten Sicherheitsmaßnahmen überprüfen können.

1️⃣ Maßnahme
Eine Beschreibung der konkreten Handlung, die umgesetzt werden muss, um das Ziel der Informationssicherheit zu erreichen.
2️⃣ Anleitung zur Umsetzung
Erläuterung, wie die Maßnahme in der Praxis angewendet wird – inklusive Beispielprozesse, Richtlinien oder Kontrollmechanismen.
3️⃣ Weitere Informationen
Hinweise auf verwandte Themen, ergänzende Standards (z. B. ISO 27005 für Risikomanagement) oder gesetzliche Anforderungen.

Bedeutung für Unternehmen

Die ISO 27002 bietet praxisorientierte Unterstützung bei der Umsetzung der ISO 27001-Anforderungen. Unternehmen profitieren von:

  • Praxisnähe: Konkrete Beispiele und Umsetzungsanleitungen statt abstrakter Anforderungen
  • Standardisierte Vorgehensweise: Einheitlicher Rahmen für Planung, Implementierung und Kontrolle
  • Auditvorbereitung: Unterstützt bei internen und externen Audits zur ISO 27001-Zertifizierung
  • Compliance & Risikoreduktion: Erfüllt Anforderungen aus Datenschutz (DSGVO), NIS2 und KRITIS
  • Integration in Managementsysteme: Lässt sich leicht mit anderen ISO-Normen (z. B. 9001, 14001) kombinieren

Fazit

Der ISO 27002 Leitfaden ist das Herzstück der praktischen Umsetzung der Informationssicherheitsnorm ISO 27001. Er bietet Unternehmen konkrete Handlungsanweisungen, praxisnahe Beispiele und eine klare Struktur, um die 93 Kontrollen der aktuellen Norm effektiv zu implementieren.

Damit dient er als unverzichtbares Werkzeug für alle Organisationen, die ihre Informationssicherheit systematisch aufbauen, verbessern und auditfähig gestalten möchten.

ISO 27001 Anforderungen - 2700k Familie
ISO 27001 Anforderungen – 2700k Familie

Praxisbeispiel für eine Maßnahme aus der ISO 27002

Die ISO 27002 beschreibt jede Maßnahme (Control) mit klarer Zielsetzung, Umsetzungshinweisen und Hintergrundinformationen. So wird sichergestellt, dass Unternehmen die Anforderungen der ISO 27001 nicht nur theoretisch verstehen, sondern praktisch umsetzen können.

📘 Maßnahme: Zugriffskontrolle (Access Control)

Ziel dieser Maßnahme ist es, sicherzustellen, dass nur autorisierte Personen auf Systeme und Daten zugreifen können. Der Zugriff auf Informationen muss nach dem Grundsatz des „Need-to-know“ erfolgen.

🛠️ Anleitung zur Umsetzung

  • Erstellen Sie ein rollenbasiertes Zugriffskonzept (RBAC) mit klaren Berechtigungsstufen.
  • Implementieren Sie Multi-Faktor-Authentifizierung (MFA) für alle kritischen Systeme.
  • Führen Sie regelmäßig Rezertifizierungen durch, um alte oder ungenutzte Zugänge zu entfernen.
  • Protokollieren Sie alle Zugriffsversuche und werten Sie diese im Rahmen des ISMS-Monitorings aus.
  • Definieren Sie klare Verantwortlichkeiten für die Freigabe und Überwachung von Benutzerrechten.

ℹ️ Weitere Informationen

Die Maßnahme „Zugriffskontrolle“ gehört zu den technologischen Controls (A.8) der ISO 27002:2022. Sie steht in direktem Zusammenhang mit anderen Sicherheitsaspekten wie Benutzeridentitätsmanagement, Kryptografie und Monitoring. In Verbindung mit der ISO 27001 sollte sie im Risikobehandlungsplan (Risk Treatment Plan) als aktive Maßnahme dokumentiert werden.

  • Verknüpfte Controls: A.8.2 „User Access Management“, A.8.3 „User Authentication“
  • Empfohlene Normen: ISO 27005 (Risikomanagement), ISO 27035 (Incident Management)
  • Bezug zur DSGVO: Artikel 32 – Sicherheit der Verarbeitung personenbezogener Daten

Weitere Praxisbeispiele aus der ISO 27002:2022

Die nachfolgenden Beispiele zeigen, wie zentrale Sicherheitsmaßnahmen (Controls) aus der ISO 27002 in der Praxis angewendet werden können. Sie illustrieren, wie technische, organisatorische und physische Sicherheitsaspekte effektiv ineinandergreifen – von Datensicherung über Kryptografie bis hin zur physischen Sicherheit.

📁 Maßnahme: Datensicherung (Backup Management)

Backups sind ein unverzichtbarer Bestandteil jeder Informationssicherheitsstrategie. Sie gewährleisten, dass Daten im Falle eines Systemausfalls, Cyberangriffs oder menschlichen Fehlers wiederhergestellt werden können.

  • Definieren Sie eine Backup-Strategie (z. B. 3-2-1-Prinzip: 3 Kopien, 2 Medien, 1 extern).
  • Testen Sie regelmäßig die Wiederherstellbarkeit Ihrer Datensicherungen.
  • Verschlüsseln Sie alle Backup-Daten, um unbefugten Zugriff zu verhindern.
  • Lagern Sie eine Kopie physisch getrennt oder in der Cloud.

Verknüpfte Controls: A.8.12 Data Leakage Prevention · A.8.13 Information Backup

🔐 Maßnahme: Kryptografische Maßnahmen

Kryptografie schützt Daten vor unbefugtem Zugriff – sowohl während der Übertragung als auch bei der Speicherung. Sie ist ein zentraler Bestandteil moderner IT-Sicherheitsarchitekturen und trägt zur Einhaltung gesetzlicher Anforderungen (z. B. DSGVO Artikel 32) bei.

  • Nutzen Sie Ende-zu-Ende-Verschlüsselung für vertrauliche Kommunikation.
  • Implementieren Sie Key-Management-Prozesse, um kryptografische Schlüssel sicher zu verwalten.
  • Setzen Sie bei Cloud-Diensten auf Anbieter, die eigene Verschlüsselungslösungen unterstützen.
  • Überprüfen Sie regelmäßig die Schlüsselrotation und Verschlüsselungsalgorithmen auf Aktualität.

Verknüpfte Controls: A.8.24 Cryptographic Controls · A.8.25 Key Management

🏢 Maßnahme: Physische Sicherheit und Zutrittskontrolle

Physische Sicherheitsmaßnahmen verhindern unbefugten Zutritt zu sensiblen Bereichen wie Serverräumen, Archiven oder Produktionsstätten. Sie sind ein wesentlicher Bestandteil der ganzheitlichen Informationssicherheit nach ISO 27001.

  • Setzen Sie Zutrittskontrollsysteme (z. B. Badge-Karten, biometrische Verfahren) ein.
  • Nutzen Sie Videoüberwachung und Alarmanlagen an kritischen Standorten.
  • Regeln Sie Besucherzugänge mit Anmeldeprozeduren und Begleitungspflicht.
  • Erstellen Sie Pläne für Brandschutz, Evakuierung und physische Schadensbegrenzung.

Verknüpfte Controls: A.7.1 Physical Security Perimeter · A.7.4 Physical Security Monitoring

FAQ – ISO 27002:2022 Leitfaden für Informationssicherheit

1 Was ist die ISO 27002:2022?
Die ISO 27002:2022 ist ein international anerkannter Leitfaden, der die Umsetzung der in der ISO 27001 definierten Sicherheitsmaßnahmen (Controls) erläutert. Sie bietet praktische Hinweise, wie Unternehmen Informationssicherheit effektiv gestalten und technische sowie organisatorische Maßnahmen korrekt anwenden.
2 Wie unterscheidet sich die ISO 27002 von der ISO 27001?
Die ISO 27001 ist der zertifizierbare Standard, der Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) stellt. Die ISO 27002 hingegen ist ein begleitender Leitfaden, der beschreibt, wie diese Anforderungen praktisch umgesetzt werden können – also eine Sammlung von Best Practices und Empfehlungen.
3 Wie viele Kontrollen (Controls) enthält die ISO 27002:2022?
Die aktuelle Version umfasst 93 Kontrollen, die in vier Hauptkategorien gegliedert sind:
  • Organizational Controls (37)
  • People Controls (8)
  • Physical Controls (14)
  • Technological Controls (34)
Diese Struktur ersetzt die früheren 114 Kontrollen der Version 2013 und spiegelt aktuelle Technologien und Risiken wider.
4 Welche neuen Themen behandelt die ISO 27002:2022?
Neu sind unter anderem die Controls zu Threat Intelligence, Cloud Security, Physical Security Monitoring, Data Leakage Prevention und Secure Coding. Damit trägt die Norm aktuellen Trends wie Cloud-Computing, Remote Work und modernen Cyberbedrohungen Rechnung.
5 Für wen ist die ISO 27002 relevant?
Die ISO 27002 richtet sich an alle Organisationen, die Informationssicherheitsmaßnahmen planen, umsetzen oder bewerten – unabhängig von Branche oder Größe. Besonders nützlich ist sie für ISMS-Verantwortliche, Auditoren, IT-Security-Beauftragte und Compliance-Teams.
6 Wie kann die ISO 27002 praktisch angewendet werden?
Unternehmen nutzen die ISO 27002, um Kontrollen aus Anhang A der ISO 27001 konkret umzusetzen. Der Leitfaden beschreibt für jede Maßnahme das Ziel, die Umsetzung und zusätzliche Hintergrundinformationen – eine wertvolle Grundlage für Risikoanalysen, Schulungen und interne Audits.

Weiterführende Themen zur ISO 27002 & ISO 27001

Vertiefen Sie Ihr Wissen zur praktischen Umsetzung der ISO-Normen. Diese Beiträge erklären zentrale Aspekte – von Risikomanagement bis hin zur Auditvorbereitung.

Jetzt Ihr kostenloses Erstgespräch sichern

Sie möchten die Anforderungen der ISO 27002:2022 oder ISO 27001 effizient umsetzen? Wir begleiten Sie – von der ersten Gap-Analyse bis zur auditfesten Zertifizierung. Profitieren Sie von unserer Erfahrung, praxisnahen Tools und einer klaren Roadmap zur erfolgreichen Umsetzung.

📩 Jetzt kostenloses Erstgespräch anfragen

Individuelle Beratung für Unternehmen aller Größen – schnell, praxisorientiert und zertifizierungssicher.

Schlagwörter:
Stefan Stroessenreuther

Stefan Stroessenreuther

Consulting Qualitätsmanagement ISO 9001 | Personenzertifizierter IATF 16949 und VDA 6.3 Auditor | Information Security Officer ISO/IEC 27001 | Dozent IMB Integrations Modell Bayreuth | Mitglied der Deutschen Gesellschaft für Qualität | Lead Auditor ISO 14001 | Lead Auditor ISO 45001 | Lead Auditor ISO 9001

Berechnung der durchschnittlichen Zertifizierungskosten ISO 9001

Qualitätsmanagement Beratung ISO 9001 - kompetent und flexibel