Der Maßnahmenkatalog der ISO 27002 – operativ nutzbar gemacht
ISO 27002 umfasst 93 Sicherheitsmaßnahmen (Controls) – die Herausforderung ist, sie in Aufgaben zu übersetzen, die sich im Alltag tatsächlich erledigen lassen. Rizzqo stellt Ihnen den gesamten Katalog einsatzbereit bereit: mit klaren Verantwortlichen, Nachweisen an einem Ort und sichtbarem Fortschritt bis zur Erledigung.
Durchsuchen Sie den Katalog nach Themen
Die Revision von 2022 ordnet jede Maßnahme einem von vier Themen zu. In Rizzqo sind alle bereits hinterlegt – mit klaren Verantwortlichkeiten und vom ersten Tag an audit-fähig.
Organisatorisch
Richtlinien, Rollen, Lieferantenregeln und die Governance, die den Rahmen für alles Weitere setzt.
Beispielmaßnahmen
- Richtlinien für Informationssicherheit
- Aufgabentrennung
- Inventar von Informationen & Assets
- Informationssicherheit in Lieferantenbeziehungen
Personenbezogen
Wie Mitarbeitende, die mit Informationen umgehen, überprüft, geschult und in die Verantwortung genommen werden.
Beispielmaßnahmen
- Sicherheitsüberprüfung
- Arbeitsvertragliche Bedingungen
- Sensibilisierung & Schulung
- Mobiles Arbeiten
Physisch
Schutz der Gebäude, Geräte und Datenträger, die Informationen speichern oder verarbeiten.
Beispielmaßnahmen
- Physische Sicherheitsperimeter
- Sicherung von Büros, Räumen & Einrichtungen
- Platzierung & Schutz von Geräten
- Sichere Entsorgung & Wiederverwendung
Technologisch
Die technischen Maßnahmen: Zugriffssteuerung, Kryptografie, Protokollierung, sichere Entwicklung und mehr.
Beispielmaßnahmen
- Benutzerendgeräte
- Management technischer Schwachstellen
- Protokollierung & Überwachung
- Sicherer Entwicklungslebenszyklus
Anatomie einer Maßnahme: vom Leitfaden zur Aufgabe
Auf dem Papier ist eine Maßnahme nur eine Zeile im Katalog. In Rizzqo ist jede Maßnahme sofort umsetzbar: mit praxisnahem Leitfaden, zugeschnitten auf das, wofür sie wirklich gilt, und übersetzt in nachverfolgte Aufgaben für die richtigen Verantwortlichen.
Die Maßnahme
Ausgangspunkt ist ein Katalogeintrag – der ISO-27002-Umsetzungsleitfaden ist bereits hinterlegt.
Genau dort, wo es zählt
Die Maßnahme greift nur dort, wo sie relevant ist – keine pauschale Checkliste über alles, was Sie besitzen.
Konkrete Schritte
Jede Maßnahme wird zu konkreter, praxisnaher Arbeit – was eine gute Umsetzung wirklich bedeutet, statt vager Absicht.
Bis zur Erledigung verfolgt
Verantwortliche, Nachweise und Fortschritt an einem Ort – Sie sehen jederzeit, wie weit jede Maßnahme ist.
Fünf Attribute zum Filtern des gesamten Katalogs
Über die vier Themen hinaus versieht ISO 27002 jede Maßnahme mit fünf Attributen. Damit filtern Sie den Katalog so, wie Sie tatsächlich arbeiten: alle präventiven Maßnahmen, alle, die die Vertraulichkeit schützen, oder alle, die sich einem weiteren Framework zuordnen lassen, das Sie parallel betreiben.
Maßnahmentyp
Wann die Maßnahme wirkt – vor, während oder nach einem Vorfall.
Eigenschaften der Informationssicherheit
Welches Schutzziel der Information die Maßnahme absichert.
Cybersicherheitskonzepte
An welcher Stelle des Cybersicherheits-Lebenszyklus die Maßnahme ansetzt.
Operative Fähigkeiten
Die operative Fähigkeit, der die Maßnahme zugeordnet ist.
Sicherheitsdomänen
Der übergeordnete Bereich, zu dem die Maßnahme beiträgt.
ISO 27002 vs. ISO 27001: das Wie und das System
Die beiden Normen greifen ineinander: Die eine beschreibt, wie Sie eine Maßnahme umsetzen; die andere ist das Managementsystem, das festlegt, welche Maßnahmen Sie brauchen – und nachweist, dass das Ganze in der Praxis funktioniert.
Ein Katalog mit Umsetzungsanleitung
Eine Referenz mit 93 Maßnahmen und detaillierter, praxisnaher Anleitung für die Umsetzung jeder einzelnen. Nach ISO 27002 können Sie sich nicht zertifizieren lassen – sie ist der Werkzeugkasten, nicht die Norm, nach der auditiert wird.
- 93 Maßnahmen mit Umsetzungsleitfaden
- 4 Themen, 5 Attribute
- Direkte Zuordnung zu Anhang A der ISO 27001
- Best-Practice-Referenz, nicht zertifizierbar
Ein zertifizierbares ISMS
Das Managementsystem, nach dem Sie sich zertifizieren lassen. Es legt fest, wie Sie den Anwendungsbereich definieren, Informationssicherheit betreiben und kontinuierlich verbessern – und nutzt Anhang A (dieselben Maßnahmen), um über die Erklärung zur Anwendbarkeit (SoA) festzulegen, was dazugehört und was nicht.
- Das zertifizierbare Managementsystem
- Risikobasierter Anwendungsbereich & Erklärung zur Anwendbarkeit
- PDCA: planen, umsetzen, prüfen, handeln
- Anhang A greift auf die 27002-Maßnahmen zurück
Bringen Sie den gesamten Maßnahmenkatalog zum Einsatz
Aktivieren Sie ISO 27002, und alle 93 Maßnahmen stehen einsatzbereit – keine Excel-Listen, kein Neuanfang und keine Doppelarbeit mit ISO 27001.