ISO/IEC 27002:2005

ISO/IEC 27002:2005 je sbírka nejlepších bezpečnostních praktik a může být využita jako kontrolní seznam všeho správného, co je nutno pro bezpečnost informací v organizaci udělat. Aktuální verze normy "ISO/IEC 27002:2005 Information technology - Security techniques - Code of practice for information security management" je mezinárodně přijatý standard, sbírka nejlepších praktik z oblasti bezpečnosti informací.
Cenová informace

11 základních oddílů

Norma obsahuje celkem 11 základních oddílů bezpečnosti, které jsou dále rozděleny do 39 kategorií bezpečnosti (počet je uvedený v závorce za názvem oddílu).

• Bezpečnostní politika (1)
• Organizace bezpečnosti (2)
• Klasifikace a řízení aktiv (2)
• Bezpečnost lidských zdrojů (3)
• Fyzická bezpečnost a bezpečnost prostředí (2)
• Řízení komunikací a řízení provozu (10)
• Řízení přístupu (7)
• Vývoj, údržba a rozšíření informačního systému (6)
• Zvládání bezpečnostních incidentů (2)
• Řízení kontinuity činností organizace (1)
• Soulad s požadavky (3)

Norma nepřikazuje, která opatření musí být bezpodmínečně aplikována, ale ponechává rozhodnutí na organizaci. Vhodná opatření jsou vybírána na základě hodnocení rizik a jejich implementace je závislá na konkrétní situaci. Cílem není implementovat vše, co norma popisuje, ale spíše naplnit všechny aplikovatelné cíle opatření.
Tento přístup zajišťuje, že norma je široce aplikovatelná a dává uživatelům velkou flexibilitu při implementaci. Nicméně toto přináší obtíže při certifikaci, kdy může být složité posoudit, zda jsou aktuální bezpečnostní opatření plně v souladu s normou. Navíc certifikace se týká zavedení ISMS a organizace je tak certifikována podle ISO/IEC 27001, které obsahuje shrnutí opatření z ISO/IEC 27002 vedle procesů k hodnocení rizik a výběru bezpečnostních opatření.