ISO 27002 — wytyczne dotyczące zabezpieczeń informacji
Przeznaczenie normy
ISO/IEC 27002 to zbiór praktycznych wytycznych dotyczących doboru, wdrażania i zarządzania zabezpieczeniami bezpieczeństwa informacji. W przeciwieństwie do ISO 27001 norma ta nie podlega samodzielnej certyfikacji — pełni funkcję pomocniczą, rozwijając zapisy załącznika A normy 27001.
Kategorie zabezpieczeń
Wytyczne pogrupowane są w cztery obszary tematyczne: zabezpieczenia organizacyjne (np. polityki, role i odpowiedzialności), zabezpieczenia dotyczące ludzi (np. szkolenia, umowy o poufności), zabezpieczenia fizyczne (np. kontrola dostępu do pomieszczeń) oraz zabezpieczenia technologiczne (np. kontrola dostępu do systemów, kryptografia, kopie zapasowe).
Dla każdego zabezpieczenia norma podaje cel, opis oraz wskazówki dotyczące wdrożenia, co ułatwia dobór odpowiednich środków w zależności od specyfiki organizacji.
Relacja do ISO 27001
Organizacje wdrażające system zarządzania bezpieczeństwem informacji zgodnie z ISO 27001 wykorzystują ISO 27002 jako materiał pomocniczy przy opracowywaniu Deklaracji Stosowania oraz przy projektowaniu konkretnych mechanizmów kontrolnych wskazanych w załączniku A.