Information technology - Security techniques - Code of practice for information security controls (ISO/IEC 27002:2013 including Cor 1:2014 and Cor 2:2015)

This International Standard gives guidelines for organizational information security standards and
information security management practices including the selection, implementation and management
of controls taking into consideration the organization’s information security risk environment(s).
This International Standard is designed to be used by organizations that intend to:
a) select controls within the process of implementing an Information Security Management System
based on ISO/IEC 27001;[10]
b) implement commonly accepted information security controls;
c) develop their own information security management guidelines.

Informationstechnik - Sicherheitsverfahren - Leitfaden für Informationssicherheitsmaßnahmen (ISO/IEC 27002:2013 einschließlich Cor 1:2014 und Cor 2:2015)

Technologies de l'information - Techniques de sécurité - Code de bonne pratique pour le management de la sécurité de l'information (ISO/IEC 27002:2013 y compris Cor 1:2014 et Cor 2:2015)

Informacijska tehnologija - Varnostne tehnike - Pravila obnašanja pri kontrolah informacijske varnosti (ISO/IEC 27002:2013, vključno s popravkoma Cor 1:2014 in Cor 2:2015)

Ta mednarodni standard podaja smernice za standarde informacijske varnosti organizacij in načine uporabe upravljanja informacijske varnosti, kar vključuje izbiro, izvajanje in upravljanje kontrol, pri čemer upošteva informacijska varnostna tveganja okolja(-ij) organizacije.
Ta mednarodni standard je zasnovan, da ga uporabijo organizacije, ki želijo:
a)   izbrati kontrole znotraj procesa izvajanja sistema upravljanja informacijske varnosti na podlagi ISO/IEC 27001,[10]
b)   izvajati splošno sprejete kontrole informacijske varnosti,
c)   razvijati lastne smernice za upravljanje informacijske varnosti.

General Information

Status
Withdrawn
Publication Date
21-Feb-2017
Withdrawal Date
08-Nov-2022
Current Stage
9960 - Withdrawal effective - Withdrawal
Completion Date
09-Nov-2022

Relations

Buy Standard

Standard
EN ISO/IEC 27002:2017
English language
95 pages
sale 10% off
Preview
sale 10% off
Preview
e-Library read for
1 day
Standard – translation
EN ISO/IEC 27002:2017
Slovenian language
89 pages
sale 10% off
Preview
sale 10% off
Preview
e-Library read for
1 day

Standards Content (Sample)


SLOVENSKI STANDARD
01-maj-2017
,QIRUPDFLMVNDWHKQRORJLMD9DUQRVWQHWHKQLNH3UDYLODREQDãDQMDSULNRQWURODK
LQIRUPDFLMVNHYDUQRVWL ,62,(&YNOMXþQRVSRSUDYNRPD&RULQ
&RU
Information technology - Security techniques - Code of practice for information security
controls (ISO/IEC 27002:2013 including Cor 1:2014 and Cor 2:2015)
Informationstechnik - Sicherheitsverfahren - Leitfaden für
Informationssicherheitsmaßnahmen (ISO/IEC 27002:2013 einschließlich Cor 1:2014 und
Cor 2:2015)
Technologies de l'information - Techniques de sécurité - Code de bonne pratique pour le
management de la sécurité de l'information (ISO/IEC 27002:2013 y compris Cor 1:2014
et Cor 2:2015)
Ta slovenski standard je istoveten z: EN ISO/IEC 27002:2017
ICS:
03.100.70 Sistemi vodenja Management systems
35.030 Informacijska varnost IT Security
2003-01.Slovenski inštitut za standardizacijo. Razmnoževanje celote ali delov tega standarda ni dovoljeno.

EN ISO/IEC 27002
EUROPEAN STANDARD
NORME EUROPÉENNE
February 2017
EUROPÄISCHE NORM
ICS 03.100.70; 35.030
English Version
Information technology - Security techniques - Code of
practice for information security controls (ISO/IEC
27002:2013 including Cor 1:2014 and Cor 2:2015)
Technologies de l'information - Techniques de sécurité Informationstechnik - Sicherheitsverfahren - Leitfaden
- Code de bonne pratique pour le management de la für Informationssicherheitsmaßnahmen (ISO/IEC
sécurité de l'information (ISO/IEC 27002:2013 y 27002:2013 einschließlich Cor 1:2014 und Cor 2:2015)
compris Cor 1:2014 et Cor 2:2015)
This European Standard was approved by CEN on 26 January 2017.

CEN and CENELEC members are bound to comply with the CEN/CENELEC Internal Regulations which stipulate the conditions
for giving this European Standard the status of a national standard without any alteration. Up-to-date lists and bibliographical
references concerning such national standards may be obtained on application to the CEN-CENELEC Management Centre or to
any CEN and CENELEC member.
This European Standard exists in three official versions (English, French, German). A version in any other language made by
translation under the responsibility of a CEN and CENELEC member into its own language and notified to the CEN-CENELEC
Management Centre has the same status as the official versions.

CEN and CENELEC members are the national standards bodies of Austria, Belgium, Bulgaria, Croatia, Cyprus, Czech Republic,
Denmark, Estonia, Finland, Former Yugoslav Republic of Macedonia, France, Germany, Greece, Hungary, Iceland, Ireland, Italy,
Latvia, Lithuania, Luxembourg, Malta, Netherlands, Norway, Poland, Portugal, Romania, Serbia, Slovakia, Slovenia, Spain, Sweden,
Switzerland, Turkey and United Kingdom.

EUROPEAN COMMITTEE FOR STANDARDIZATION
COMITÉ EUROPÉEN DE NORMALISATIO N

EUROPÄISCHES KOMITEE FÜR NORMUN G

CEN-CENELEC Management Centre: Avenue Marnix 17, B-1000 Brussels
© 2017 CEN and CENELEC All rights of exploitation in any form and by any means Ref. No. EN ISO/IEC 27002:2017 E
reserved worldwide for CEN and CENELEC national
Members.
Contents Page
European foreword . 3
European foreword
The text of ISO/IEC 27002:2013 including Cor 1:2014 and Cor 2:2015 has been prepared by Technical
Committee ISO/IEC JTC 1 “Information technology” of the International Organization for
Standardization (ISO) and the International Electrotechnical Commission (IEC) and has been taken over
as EN ISO/IEC 27002:2017.
This European Standard shall be given the status of a national standard, either by publication of an
identical text or by endorsement, at the latest by August 2017, and conflicting national standards shall
be withdrawn at the latest by August 2017.
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. CEN [and/or CENELEC] shall not be held responsible for identifying any or all such patent
rights.
According to the CEN-CENELEC Internal Regulations, the national standards organizations of the
following countries are bound to implement this European Standard: Austria, Belgium, Bulgaria,
Croatia, Cyprus, Czech Republic, Denmark, Estonia, Finland, Former Yugoslav Republic of Macedonia,
France, Germany, Greece, Hungary, Iceland, Ireland, Italy, Latvia, Lithuania, Luxembourg, Malta,
Netherlands, Norway, Poland, Portugal, Romania, Serbia, Slovakia, Slovenia, Spain, Sweden, Switzerland,
Turkey and the United Kingdom.
Endorsement notice
The text of ISO/IEC 27002:2013 including Cor 1:2014 and Cor 2:2015 has been approved by CEN as
INTERNATIONAL ISO/IEC
STANDARD 27002
Second edition
2013-10-01
Information technology — Security
techniques — Code of practice for
information security controls
Technologies de l’information — Techniques de sécurité — Code de
bonne pratique pour le management de la sécurité de l’information
Reference number
ISO/IEC 27002:2013(E)
©
ISO/IEC 2013
ISO/IEC 27002:2013(E)
© ISO/IEC 2013
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized otherwise in any form
or by any means, electronic or mechanical, including photocopying, or posting on the internet or an intranet, without prior
written permission. Permission can be requested from either ISO at the address below or ISO’s member body in the country of
the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO/IEC 2013 – All rights reserved

ISO/IEC 27002:2013(E)
Contents Page
Foreword .v
0 Introduction .vi
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Structure of this standard . 1
4.1 Clauses . 1
4.2 Control categories . 1
5 Information security policies . 2
5.1 Management direction for information security . 2
6 Organization of information security . 4
6.1 Internal organization . 4
6.2 Mobile devices and teleworking . 6
7 Human resource security . 9
7.1 Prior to employment . 9
7.2 During employment .10
7.3 Termination and change of employment .13
8 Asset management .13
8.1 Responsibility for assets .13
8.2 Information classification .15
8.3 Media handling .17
9 Access control .19
9.1 Business requirements of access control .19
9.2 User access management .21
9.3 User responsibilities .24
9.4 System and application access control .25
10 Cryptography .28
10.1 Cryptographic controls .28
11 Physical and environmental security .30
11.1 Secure areas .30
11.2 Equipment .33
12 Operations security .38
12.1 Operational procedures and responsibilities .38
12.2 Protection from malware .41
12.3 Backup .42
12.4 Logging and monitoring .43
12.5 Control of operational software .45
12.6 Technical vulnerability management .46
12.7 Information systems audit considerations .48
13 Communications security .49
13.1 Network security management .49
13.2 Information transfer .50
14 System acquisition, development and maintenance
...


SLOVENSKI SIST EN ISO/IEC 27002

STANDARD
maj 2017
Informacijska tehnologija – Varnostne tehnike – Pravila obnašanja pri
kontrolah informacijske varnosti (ISO/IEC 27002:2013, vključno s
popravkoma Cor 1:2014 in Cor 2:2015)

Information technology – Security techniques – Code of practice for information
security controls (ISO/IEC 27002:2013 including Cor 1:2014 and Cor 2:2015)

Technologies de l'information – Techniques de sécurité – Code de bonne pratique
pour le management de la sécurité de l'information (ISO/IEC 27002:2013 y compris
Cor 1:2014 et Cor 2:2015)
Informationstechnik – Sicherheitsverfahren – Leitfaden für Informationssicher-
heitsmaßnahmen (ISO/IEC 27002:2013 einschließlich Cor 1:2014 und Cor 2:2015)

Referenčna oznaka
ICS 03.100.70; 35.030 SIST EN ISO/IEC 27002:2017 (sl)

Nadaljevanje na straneh II in od 1 do 88

© 2018-10. Slovenski inštitut za standardizacijo. Razmnoževanje celote ali delov tega standarda ni dovoljeno.

SIST EN ISO/IEC 27002 : 2017
NACIONALNI UVOD
Standard SIST EN ISO/IEC 27002 (sl, en), Informacijska tehnologija – Varnostne tehnike – Pravila
obnašanja pri kontrolah informacijske varnosti (ISO/IEC 27002:2013, vključno s popravkoma Cor 1:2014
in Cor 2:2015), 2017, ima status slovenskega standarda in je enakovreden evropskemu standardu EN
ISO/IEC 27002, Information technology – Security techniques – Code of practice for information security
controls (ISO/IEC 27002:2013 including Cor 1:2014 and Cor 2:2015), 2017.

NACIONALNI PREDGOVOR
Besedilo standarda EN ISO/IEC 27002:2017 je pripravil združeni tehnični odbor Mednarodne
organizacije za standardizacijo (ISO) in Mednarodne elektrotehniške komisije (IEC) ISO/IEC JTC 1
Informacijska tehnologija. Slovenski standard SIST EN ISO/IEC 27002:2017 je prevod angleškega
besedila evropskega standarda EN ISO/IEC 27002:2017. V primeru spora glede besedila slovenskega
prevoda v tem standardu je odločilen izvirni evropski standard v angleškem jeziku. Slovensko-angleško
izdajo standarda je pripravil SIST/TC ITC Informacijska tehnologija.

Odločitev za privzem tega standarda je dne 25. marca 2017 sprejel SIST/TC ITC Informacijska
tehnologija.
OSNOVA ZA IZDAJO STANDARDA
– privzem standarda EN ISO/IEC 27002:2017

PREDHODNA IZDAJA
– SIST ISO/IEC 27002:2013, Informacijska tehnologija – Varnostne tehnike – Pravila obnašanja pri
kontrolah informacijske varnosti

OPOMBE
– Povsod, kjer se v besedilu standarda uporablja izraz "mednarodni standard", v SIST EN ISO/IEC
27002:2017 to pomeni “slovenski standard”.
– Nacionalni uvod in nacionalni predgovor nista sestavni del standarda.
– Ta nacionalni dokument je istoveten EN ISO/IEC 27002:2017 in je objavljen z dovoljenjem

CEN
Avenue Marnix 17
1050 Bruselj
Belgija
This national document is identical with EN ISO/IEC 27002:2017 and is published with the
permission of
CEN
Avenue Marnix 17
1050 Bruxelles
Belgium
II
EVROPSKI STANDARD EN ISO/IEC 27002
EUROPEAN STANDARD
EUROPÄISCHE NORM
NORME EUROPÉENNE februar 2017

ICS: 03.100.70; 35.030
Slovenska izdaja
Informacijska tehnologija – Varnostne tehnike – Pravila obnašanja
pri kontrolah informacijske varnosti (ISO/IEC 27002:2013, vključno s
popravkoma Cor 1:2014 in Cor 2:2015)

Information technology – Security Technologies de l'information – Informationstechnik –
techniques – Code of practice for Techniques de sécurité – Code de Sicherheitsverfahren – Leitfaden für
information security controls bonne pratique pour le Informationssicher-
(ISO/IEC 27002:2013 including Cor management de la sécurité de heitsmaßnahmen (ISO/IEC
1:2014 and Cor 2:2015) l'information (ISO/IEC 27002:2013 27002:2013 einschließlich Cor
y compris Cor 1:2014 et Cor 1:2014 und Cor 2:2015)
2:2015)
Ta evropski standard je CEN sprejel 26. januarja 2017.
Člani CEN in CENELEC morajo izpolnjevati notranje predpise CEN/CENELEC, s katerimi je
predpisano, da mora biti ta standard brez kakršnih koli sprememb sprejet ko nacionalni standard.
Seznami najnovejših izdaj teh nacionalnih standardov in njihovi bibliografski podatki so na zahtevo na
voljo pri Upravnem centru CEN-CENELEC ali pri kateremkoli članu CEN in CENELEC.
Ta evropski standard obstaja v treh uradnih izdajah (angleški, francoski, nemški). Izdaje v drugih
jezikih, ki jih člani CEN in CENELEC na lastno odgovornost prevedejo in izdajo ter prijavijo pri
Upravnem centru CEN-CENELEC, veljajo kot uradne izdaje.
Člani CEN in CENELEC so nacionalni organi za standarde Avstrije, Belgije, Bolgarije, Cipra, Češke
republike, Danske, Estonije, Finske, Francije, Grčije, Hrvaške, Irske, Islandije, Italije, Latvije, Litve,
Luksemburga, Madžarske, Malte, Nekdanje jugoslovanske republike Makedonije, Nemčije,
Nizozemske, Norveške, Poljske, Portugalske, Romunije, Slovaške, Slovenije, Srbije, Španije,
Švedske, Švice, Turčije, in Združenega kraljestva.

CEN-CENELEC
Evropski komite za standardizacijo
European Committee for Standardization
Europäisches Komitee für Normung
Comité Européen de Normalisation

Upravni center CEN-CENELEC: Avenue Marnix 17, B-1000 Bruselj

© 2017. Lastnice avtorskih pravic so vse države članice CEN in CENELEC. Ref. oznaka: EN ISO/IEC 27002:2017 E

SIST EN ISO/IEC 27002 : 2017
Vsebina Stran
Predgovor k evropskemu standardu .7
Predgovor k mednarodnemu standardu . 8
0 Uvod . 9
0.1 Ozadje in kontekst . 9
0.2 Zahteve informacijske varnosti . 9
0.3 Izbiranje kontrol . 10
0.4 Razvijanje lastnih smernic . 10
0.5 Razmisleki o življenjskem ciklu . 10
0.6 Sorodni standardi . 10
1 Področje uporabe . 11
2 Zveze s standardi . 11
3 Izrazi in definicije . 11
4 Struktura tega standarda . 11
4.1 Točke . 11
4.2 Kategorije kontrol . 11
5 Informacijske varnostne politike . 12
5.1 Usmeritev vodstva za informacijsko varnost . 12
5.1.1 Politike za informacijsko varnost . 12
5.1.2 Pregled politik za informacijsko varnost . 13
6 Organiziranje informacijske varnosti . 13
6.1 Notranja organizacija . 13
6.1.1 Vloge in odgovornosti na področju informacijske varnosti . 13
6.1.2 Razmejitev dolžnosti . 14
6.1.3 Stik s pristojnimi organi . 14
6.1.4 Stik s specifičnimi interesnimi skupinami . 15
6.1.5 Informacijska varnost v upravljanju projektov . 15
6.2 Mobilne naprave in delo na daljavo . 16
6.2.1 Politika na področju mobilnih naprav . 16
6.2.2 Delo na daljavo . 17
7 Varnost človeških virov . 18
7.1 Pred zaposlovanjem . 18
7.1.1 Preverjanje . 18
7.1.2 Določila in pogoji za zaposlitev . 19
7.2 Med zaposlitvijo . 20
7.2.1 Odgovornosti vodstva . 20
7.2.2 Ozaveščenost, izobraževanje in usposabljanje o informacijski varnosti . 20
7.2.3 Disciplinski proces . 21
7.3 Prekinitev ali sprememba zaposlitve . 22
7.3.1 Prekinitev ali sprememba zaposlitveniih odgovornosti . 22
8 Upravljanje dobrin . 22
8.1 Odgovornost za dobrine . 22
8.1.1 Popis dobrin . 22
8.1.2 Lastništvo nad dobrinami . 23
SIST EN ISO/IEC 27002 : 2017
8.1.3 Sprejemljiva uporaba dobrin . 23
8.1.4 Vračilo dobrin . 24
8.2 Razvrstitev informacij . 24
8.2.1 Razvrstitev informacij . 24
8.2.2 Označevanje informacij . 25
8.2.3 Ravnanje z dobrinami . 25
8.3 Ravnanje z nosilci podatkov/informacij . 26
8.3.1 Upravljanje izmenljivih nosilcev podatkov/informacij. 26
8.3.2 Odstranjevanje nosilcev podatkov/informacij . 26
8.3.3 Prenos fizičnih nosilcev podatkov/informacij . 27
9 Nadzor dostopa . 28
9.1 Nadzor dostopa . 28
9.1.1 Politika nadzora dostopa . 28
9.1.2 Dostop do omrežij in omrežnih storitev . 29
9.2 Upravljanje uporabniškega dostopa . 29
9.2.1 Registracija in izbris registracije uporabnika . 29
9.2.2 Zagotavljanje dostopa uporabnikom . 30
9.2.3 Upravljanje posebnih pravic dostopa . 30
9.2.4 Upravljanje tajnih informacij uporabnikov za preverjanje verodostojnosti . 31
9.2.5 Pregled upor
...

Questions, Comments and Discussion

Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.