SIST EN ISO/IEC 27002:2022
(Main)Information security, cybersecurity and privacy protection - Information security controls (ISO/IEC 27002:2022)
Information security, cybersecurity and privacy protection - Information security controls (ISO/IEC 27002:2022)
This document provides a reference set of generic information security controls including implementation guidance. This document is designed to be used by organizations:
a) within the context of an information security management system (ISMS) based on ISO/IEC27001;
b) for implementing information security controls based on internationally recognized best practices;
c) for developing organization-specific information security management guidelines.
Informationssicherheit, Cybersicherheit und Schutz der Privatsphäre - Informationssicherheitsmaßnahmen (ISO/IEC 27002:2022)
Dieses Dokument enthält einen Referenzsatz allgemeiner Informationssicherheitsmaßnahmen einschließlich einer Anleitung zur Umsetzung. Dieses Dokument wurde für Organisationen entwickelt:
a) im Rahmen eines Informationssicherheitsmanagementsystems (ISMS) auf der Basis von ISO/IEC 27001;
b) für die Umsetzung von Informationssicherheitsmaßnahmen auf der Grundlage international anerkannter bewährter Verfahren;
c) zur Entwicklung organisationsspezifischer Leitlinien für das Management der Informationssicherheit.
Sécurité de l'information, cybersécurité et protection de la vie privée - Mesures de sécurité de l'information (ISO/IEC 27002:2022)
Le présent document fournit un ensemble de référence de mesures de sécurité de l'information génériques, y compris des recommandations de mise en œuvre. Le présent document est conçu pour être utilisé par les organisations:
a) dans le contexte d'un système de gestion de la sécurité de l'information (SMSI) selon l'ISO/IEC 27001;
b) pour la mise en œuvre de mesures de sécurité de l'information basées sur les bonnes pratiques reconnues au niveau international;
c) pour l'élaboration des recommandations de gestion de la sécurité de l'information spécifiques à une organisation.
Informacijska varnost, kibernetska varnost in varovanje zasebnosti - Kontrole informacijske varnosti (ISO/IEC 27002:2022)
General Information
Relations
Standards Content (Sample)
SLOVENSKI STANDARD
01-december-2022
Nadomešča:
SIST EN ISO/IEC 27002:2017
Informacijska varnost, kibernetska varnost in varovanje zasebnosti - Kontrole
informacijske varnosti (ISO/IEC 27002:2022)
Information security, cybersecurity and privacy protection - Information security controls
(ISO/IEC 27002:2022)
Informationssicherheit, Cybersicherheit und Schutz der Privatsphäre -
Informationssicherheitsmaßnahmen (ISO/IEC 27002:2022)
Sécurité de l'information, cybersécurité et protection de la vie privée - Mesures de
sécurité de l'information (ISO/IEC 27002:2022)
Ta slovenski standard je istoveten z: EN ISO/IEC 27002:2022
ICS:
03.100.70 Sistemi vodenja Management systems
35.030 Informacijska varnost IT Security
2003-01.Slovenski inštitut za standardizacijo. Razmnoževanje celote ali delov tega standarda ni dovoljeno.
EUROPEAN STANDARD EN ISO/IEC 27002
NORME EUROPÉENNE
EUROPÄISCHE NORM
November 2022
ICS 35.030
Supersedes EN ISO/IEC 27002:2017
English version
Information security, cybersecurity and privacy protection
- Information security controls (ISO/IEC 27002:2022)
Sécurité de l'information, cybersécurité et protection Informationssicherheit, Cybersicherheit und Schutz
de la vie privée - Moyens de maîtrise de l'information der Privatsphäre -
(ISO/IEC 27002:2022) Informationssicherheitsmaßnahmen (ISO/IEC
27002:2022)
This European Standard was approved by CEN on 30 October 2022.
CEN and CENELEC members are bound to comply with the CEN/CENELEC Internal Regulations which stipulate the conditions for
giving this European Standard the status of a national standard without any alteration. Up-to-date lists and bibliographical
references concerning such national standards may be obtained on application to the CEN-CENELEC Management Centre or to
any CEN and CENELEC member.
This European Standard exists in three official versions (English, French, German). A version in any other language made by
translation under the responsibility of a CEN and CENELEC member into its own language and notified to the CEN-CENELEC
Management Centre has the same status as the official versions.
CEN and CENELEC members are the national standards bodies and national electrotechnical committees of Austria, Belgium,
Bulgaria, Croatia, Cyprus, Czech Republic, Denmark, Estonia, Finland, France, Germany, Greece, Hungary, Iceland, Ireland, Italy,
Latvia, Lithuania, Luxembourg, Malta, Netherlands, Norway, Poland, Portugal, Republic of North Macedonia, Romania, Serbia,
Slovakia, Slovenia, Spain, Sweden, Switzerland, Türkiye and United Kingdom.
CEN-CENELEC Management Centre:
Rue de la Science 23, B-1040 Brussels
© 2022 CEN/CENELEC All rights of exploitation in any form and by any means
Ref. No. EN ISO/IEC 27002:2022 E
reserved worldwide for CEN national Members and for
CENELEC Members.
Contents Page
European foreword . 3
European foreword
The text of ISO/IEC 27002:2022 has been prepared by Technical Committee ISO/IEC JTC 1 "Information
technology” of the International Organization for Standardization (ISO) and has been taken over as
Protection” the secretariat of which is held by DIN.
This European Standard shall be given the status of a national standard, either by publication of an
identical text or by endorsement, at the latest by May 2023, and conflicting national standards shall be
withdrawn at the latest by May 2023.
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. CEN-CENELEC shall not be held responsible for identifying any or all such patent rights.
This document supersedes EN ISO/IEC 27002:2017.
Any feedback and questions on this document should be directed to the users’ national standards body.
A complete listing of these bodies can be found on the CEN and CENELEC websites.
According to the CEN-CENELEC Internal Regulations, the national standards organizations of the
following countries are bound to implement this European Standard: Austria, Belgium, Bulgaria,
Croatia, Cyprus, Czech Republic, Denmark, Estonia, Finland, France, Germany, Greece, Hungary, Iceland,
Ireland, Italy, Latvia, Lithuania, Luxembourg, Malta, Netherlands, Norway, Poland, Portugal, Republic of
North Macedonia, Romania, Serbia, Slovakia, Slovenia, Spain, Sweden, Switzerland, Türkiye and the
United Kingdom.
Endorsement notice
The text of ISO/IEC 27002:2022 has been approved by CEN-CENELEC as EN ISO/IEC 27002:2022
without any modification.
INTERNATIONAL ISO/IEC
STANDARD 27002
Third edition
2022-02
Corrected version
2022-03
Information security, cybersecurity
and privacy protection — Information
security controls
Sécurité de l'information, cybersécurité et protection de la vie
privée — Mesures de sécurité de l'information
Reference number
ISO/IEC 27002:2022(E)
© ISO/IEC 2022
ISO/IEC 27002:2022(E)
© ISO/IEC 2022
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting on
the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address below
or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii
© ISO/IEC 2022 – All rights reserved
ISO/IEC 27002:2022(E)
Contents Page
Foreword . vi
Introduction .vii
1 Scope . 1
2 Normative references . 1
3 Terms, definitions and abbreviated terms . 1
3.1 Terms and definitions . 1
3.2 Abbreviated terms . 6
4 Structure of this document .7
4.1 Clauses . 7
4.2 Themes and attributes . 8
4.3 Control layout . 9
5 Organizational controls . 9
5.1 Policies for information security . . 9
5.2 Information security roles and responsibilities . 11
5.3 Segregation of duties. 12
5.4 Management responsibilities .13
5.5 Contact with authorities . 14
5.6 Contact with special interest groups . 15
5.7 Threat intelligence .15
5.8 Information security in project management . 17
5.9 Inventory of information and other associated assets . 18
5.10 Acceptable use of information and other associated assets . 20
5.11 Return of assets . 21
5.12 Classification of information . 22
5.13 Labelling of information .23
5.14 Information transfer . 24
5.15 Access control . 27
5.16 Identity management . 29
5.17 Authentication information . 30
5.18 Access rights . 32
5.19 Information security in supplier relationships . 33
5.20 Addressing information security within supplier agreements . 35
5.21 Managing information security in the ICT supply chain . 37
5.22 Monitoring, review and change management of supplier services .39
5.23 Information security for use of cloud services . 41
5.24 Information security incident management planning and preparation . 43
5.25 Assessment and decision on information security events . 45
5.26 Response to information security incidents . 45
5.27 Learning from information security incidents .46
5.28 Collection of evidence . . 47
5.29 Information security during disruption .48
5.30 ICT readiness for business continuity .48
5.31 Legal, statutory, regulatory and contractual requirements .50
5.32 Intellectual property rights . 51
5.33 Protection of records . 53
5.34 Privacy and protection of PII .
...
SIST EN ISO/IEC 27002
SL O V EN S K I
S T ANDAR D
december 2022
Informacijska varnost, kibernetska varnost in varstvo zasebnosti – Kontrole
informacijske varnosti (ISO/IEC 27002:2022)
Information security, cybersecurity and privacy protection – Information security
controls (ISO/IEC 27002:2022)
Informationssicherheit, Cybersicherheit und Schutz der Privatsphäre –
Informationssicherheitsmaßnahmen (ISO/IEC 27002:2022)
Sécurité de l'information, cybersécurité et protection de la vie privée – Mesures
de sécurité de l'information (ISO/IEC 27002:2022)
Referenčna oznaka
ICS 03.100.70; 35.030 SIST EN ISO/IEC 27002:2022 (sl)
Nadaljevanje na straneh II ter od 2 do 171
© 2025-09. Slovenski inštitut za standardizacijo. Razmnoževanje celote ali delov tega standarda ni dovoljeno.
SIST EN ISO/IEC 27002 : 2022
NACIONALNI UVOD
Standard SIST EN ISO/IEC 27002 (sl), Informacijska varnost, kibernetska varnost in varstvo
zasebnosti – Kontrole informacijske varnosti (ISO/IEC 27002:2022), 2022, ima status slovenskega
standarda in je enakovreden evropskemu standardu EN ISO/IEC 27002 (en, fr, de), Information
security, cybersecurity and privacy protection – Information security controls (ISO/IEC 27002:2022),
2022.
NACIONALNI PREDGOVOR
Besedilo standarda EN ISO/IEC 27002:2022 je pripravil združeni tehnični odbor Evropskega komiteja
za standardizacijo CEN-CENELEC/JTC 13 Kibernetska varnost in varstvo podatkov. Slovenski
standard SIST EN ISO/IEC 27002:2022 je prevod angleškega besedila evropskega standarda EN
ISO/IEC 27002:2022. V primeru spora glede besedila slovenskega prevoda v tem standardu je
odločilen izvirni evropski standard v angleškem jeziku. Slovensko izdajo standarda je pripravil
SIST/TC ITC Informacijska tehnologija.
Odločitev za privzem tega standarda je dne 29. novembra 2022 sprejel SIST/TC ITC Informacijska
tehnologija.
OSNOVA ZA IZDAJO STANDARDA
̶ privzem standarda EN ISO/IEC 27002:2022
PREDHODNA IZDAJA
̶ SIST EN ISO/IEC 27002:2017, Informacijska tehnologija – Varnostne tehnike – Pravila obnašanja
pri kontrolah informacijske varnosti (ISO/IEC 27002:2013, vključno s popravkoma Cor 1:2014 in
Cor 2:2015)
OPOMBE
̶ Povsod, kjer se v besedilu standarda uporablja izraz "evropski standard", v SIST EN ISO/IEC
27002:2022 to pomeni "slovenski standard".
̶ Nacionalni uvod in nacionalni predgovor nista sestavni del standarda.
̶ Ta nacionalni dokument je enakovreden EN ISO/IEC 27002:2022 in je objavljen z dovoljenjem
CEN-CENELEC
Upravni center
Rue de la Science 23
B-1040 Bruselj
̶ This national document is identical with EN ISO 27002:2022 and is published with the permission
of
CEN-CENELEC
Management Centre
Rue de la Science 23
B-1040 Brussels
II
EVROPSKI STANDARD EN ISO/IEC 27002
EUROPEAN STANDARD
NORME EUROPÉENNE
November 2022
EUROPÄISCHE NORM
ICS 35.030 Nadomešča EN ISO/IEC 27002:2017
Slovenska izdaja
Informacijska varnost, kibernetska varnost in varstvo zasebnosti –
Kontrole informacijske varnosti (ISO/IEC 27002:2022)
Information security, cybersecurity Sécurité de l'information, Informationssicherheit,
and privacy protection – cybersécurité et protection de la Cybersicherheit und Schutz der
Information security controls vie privée – Moyens de maîtrise de Privatsphäre –
(ISO/IEC 27002:2022) l'information (ISO/IEC 27002:2022) Informationssicherheitsmaßnahmen
(ISO/IEC 27002:2022)
Ta evropski standard je CEN sprejel 30. oktobra 2022.
Člani CEN in CENELEC morajo izpolnjevati notranje predpise CEN/CENELEC, s katerimi je predpisano, da mora biti ta
standard brez kakršnihkoli sprememb sprejet kot nacionalni standard. Seznami najnovejših izdaj teh nacionalnih
standardov in njihovi bibliografski podatki so na zahtevo na voljo pri Upravnem centru CEN-CENELEC ali kateremkoli
članu CEN in CENELEC.
Ta evropski standard obstaja v treh uradnih izdajah (angleški, francoski, nemški). Izdaje v drugih jezikih, ki jih člani
CEN in CENELEC na lastno odgovornost prevedejo in izdajo ter prijavijo pri Upravnem centru CEN-CENELEC, veljajo
kot uradne izdaje.
Člani CEN in CENELEC so nacionalni organi za standarde in nacionalni elektrotehniški odbori Avstrije, Belgije,
Bolgarije, Cipra, Češke republike, Danske, Estonije, Finske, Francije, Grčije, Hrvaške, Irske, Islandije, Italije, Latvije,
Litve, Luksemburga, Madžarske, Malte, Nemčije, Nizozemske, Norveške, Poljske, Portugalske, Republike Severna
Makedonija, Romunije, Slovaške, Slovenije, Srbije, Španije, Švedske, Švice, Turčije in Združenega kraljestva.
CEN-CENELEC
CEN-CENELEC Upravni center
Rue de la Science 23, B-1040 Bruselj
© 2022 CEN/CENELEC Lastnice vseh oblik avtorskih pravic so vse države članice Ref. oznaka EN ISO/IEC 27002:2022 E
CEN in CENELEC.
SIST EN ISO/IEC 27002 : 2022
VSEBINA Stran
Evropski predgovor . 3
SIST EN ISO/IEC 27002 : 2022
Evropski predgovor
Besedilo standarda ISO/IEC 27002:2022 je pripravil tehnični odbor ISO/IEC JTC 1 "Informacijska
tehnologija" Mednarodne organizacije za standardizacijo (ISO) in ga je kot EN ISO/IEC 27002:2022
sprejel tehnični odbor CEN-CENELEC/JTC 13 "Kibernetska varnost in varstvo podatkov", katerega
sekretariat vodi DIN.
Ta evropski standard mora z objavo istovetnega besedila ali z razglasitvijo dobiti status nacionalnega
standarda najpozneje do maja 2023, nacionalne standarde, ki so v nasprotju s tem standardom, pa je
treba razveljaviti najpozneje do maja 2023.
Opozoriti je treba na možnost, da je lahko nekaj elementov tega dokumenta predmet patentnih pravic.
CEN-CENELEC ni odgovoren za identificiranje katerekoli ali vseh takih patentnih pravic.
Ta dokument nadomešča EN ISO/IEC 27002:2017.
Uporabnik naj vse povratne informacije ali vprašanja o tem dokumentu posreduje nacionalnemu
organu za standarde v svoji državi. Celoten seznam teh organov je na voljo na spletnih mestih CEN in
CENELEC.
V skladu z notranjimi predpisi CEN-CENELEC morajo ta evropski standard obvezno uvesti nacionalne
organizacije za standardizacijo naslednjih držav: Avstrije, Belgije, Bolgarije, Cipra, Češke republike,
Danske, Estonije, Finske, Francije, Grčije, Hrvaške, Irske, Islandije, Italije, Latvije, Litve, Luksemburga,
Madžarske, Malte, Nemčije, Nizozemske, Norveške, Poljske, Portugalske, Republike Severna
Makedonija, Romunije, Slovaške, Slovenije, Srbije, Španije, Švedske, Švice, Turčije in Združenega
kraljestva.
Razglasitvena objava
Besedilo standarda ISO/IEC 27002:2022 je CEN-CENELEC odobril kot EN ISO/IEC 27002:2022 brez
sprememb.
SIST EN ISO/IEC 27002 : 2022
Vsebina Stran
Predgovor k mednarodnemu standardu . 7
Uvod .8
1 Področje uporabe . 11
2 Zveze s standardi . 11
3 Izrazi, definicije in kratice . 11
3.1 Izrazi in definicije . 11
3.2 Kratice . 16
4 Struktura tega dokumenta . 17
4.1 Točke . 17
4.2 Teme in atributi . 17
4.3 Ureditev kontrol . 19
5 Organizacijske kontrole . 19
5.1 Politike za informacijsko varnost . 19
5.2 Vloge in odgovornosti na področju informacijske varnosti. 21
5.3 Razmejitev dolžnosti . 22
5.4 Odgovornosti vodstva . 23
5.5 Stik s pristojnimi organi . 24
5.6 Stik s specifičnimi interesnimi skupinami . 25
5.7 Obveščanje o grožnjah . 25
5.8 Informacijska varnost pri vodenju projektov . 27
5.9 Seznam informacij in drugih povezanih sredstev . 28
5.10 Sprejemljiva uporaba informacij in drugih povezanih sredstev . 30
5.11 Vračilo sredstev . 31
5.12 Razvrstitev informacij . 32
5.13 Označevanje informacij . 34
5.14 Prenos informacij . 35
5.15 Nadzor dostopa . 37
5.16 Upravljanje identitete . 39
5.17 Informacije za avtentikacijo . 40
5.18 Pravice dostopa . 42
5.19 Informacijska varnost v odnosih z dobavitelji . 44
5.20 Obravnavanje informacijske varnosti v dogovorih z dobavitelji . 46
5.21 Vodenje informacijske varnosti v dobavni verigi informacijske in komunikacijske tehnologije
(IKT) . 48
5.22 Spremljanje, pregled in upravljanje sprememb storitev dobaviteljev . 50
5.23 Informacijska varnost za uporabo storitev v oblaku . 51
5.24 Načrtovanje in priprava vodenja informacijskih varnostnih incidentov . 53
5.25 Ocenjevanje informacijskih varnostnih dogodkov in odločanje o njih . 55
5.26 Odziv na informacijske varnostne incidente . 56
SIST EN ISO/IEC 27002 : 2022
5.27 Učenje iz informacijskih varnostnih incidentov . 57
5.28 Zbiranje dokazov . 58
5.29 Informacijska varnost med motnjo . 59
5.30 Pripravljenost informacijske in komunikacijske tehnologije za neprekinjeno poslovanje . 59
5.31 Pravne, zakonske, regulativne in pogodbene zahteve . 61
5.32 Pravice intelektualne lastnine . 63
5.33 Zaščita zapisov . 64
5.34 Zasebnost in zaščita osebno določljivih podatkov . 65
5.35 Neodvisni pregled informacijske varnosti . 66
5.36 Skladnost s politikami, pravili in standardi informacijske varnosti . 67
5.37 Dokumentirani postopki delovanja . 68
6 Kontrole oseb . 69
6.1 Preverjanje . 69
6.2 Določila in pogoji za zaposlitev . 71
6.3 Ozaveščenost, izobraževanje in usposabljanje o informacijski varnosti . 72
6.4 Disciplinski proces . 73
6.5 Odgovornosti po prekinitvi ali spremembi zaposlitve . 74
6.6 Dogovori o zaupnosti ali nerazkrivanju .
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.