ISO/IEC 27002

Táto všeobecne uznávaná medzinárodná norma, poskytujúca usmernenia pre riadenie informačnej bezpečnosti. Je súčasťou rodiny noriem ISO/IEC 27000, ktorá sa zameriava na systémy riadenia informačnej bezpečnosti (ISMS). ISO/IEC 27002 konkrétne poskytuje súbor najlepších postupov a kontrol, ktoré môžu organizácie implementovať na zabezpečenie dôvernosti, integrity a dostupnosti svojich informačných aktív.

Norma pokrýva širokú škálu tém súvisiacich s informačnou bezpečnosťou, vrátane, ale nie výlučne:

Bezpečnostná politika: Vytvorenie rámca pre informačnú bezpečnosť v rámci organizácie.

Organizácia informačnej bezpečnosti: Definovanie rolí a zodpovedností za riadenie informačnej bezpečnosti.

Správa aktív: Identifikácia a správa informačných aktív, ako sú údaje, systémy a fyzické zdroje.

Bezpečnosť ľudských zdrojov: Riešenie bezpečnostných aspektov týkajúcich sa personálu, vrátane náboru, školenia a informovanosti.
Fyzická a environmentálna bezpečnosť: Ochrana fyzických priestorov a zariadení, v ktorých sa nachádzajú informačné aktíva.

Manažment komunikácie a prevádzky: Zabezpečenie bezpečnej prevádzky zariadení na spracovanie informácií, bezpečnosť siete a správa technických zraniteľností.

Kontrola prístupu: Riadenie prístupu používateľov k systémom a údajom a implementácia vhodných mechanizmov autentifikácie a autorizácie.

Akvizícia, vývoj a údržba informačných systémov: Integrácia bezpečnostných opatrení do životného cyklu vývoja informačných systémov.

Správa incidentov bezpečnosti informácií: Reakcia na incidenty a narušenia bezpečnosti informácií a obnova z nich.

Riadenie kontinuity podnikania: Zabezpečenie schopnosti organizácie pokračovať v prevádzke aj napriek prerušeniam.

Súlad: Splnenie právnych, regulačných a zmluvných bezpečnostných požiadaviek.

Norma ISO/IEC 27002 je navrhnutá tak, aby predstavovala komplexný rámec, ktorý môžu organizácie prijať na vytvorenie a udržiavanie efektívnych postupov v oblasti bezpečnosti informácií. Poskytuje návod, ktorý možno prispôsobiť špecifickým potrebám a rizikám organizácie. Implementácia ISO 27002 môže pomôcť organizáciám zlepšiť ich celkovú bezpečnostnú pozíciu, chrániť citlivé informácie a demonštrovať zainteresovaným stranám ich záväzok voči informačnej bezpečnosti.

Je dôležité poznamenať, že ISO/IEC 27002 nie je sama osebe certifikačnou normou; organizácie môžu požiadať o certifikáciu svojho systému riadenia informačnej bezpečnosti (ISMS) podľa normy ISO/IEC 27001, ktorá vyžaduje dodržiavanie kontrol a smerníc ISO/IEC 27002 ako súčasť certifikačného procesu.