Vertraulichkeit

Unverletzbarkeit

Integrität

Die Informationssicherheitsrisiken bewerten

Einen Plan für die Behandlung von Informationssicherheitsrisiken formulieren

Maßnahmen, die zur Umsetzung der gewählte(n) Option(en) für die Behandlung von Informationssicherheitsrisiken erforderlich sind, festlegen

Die Wirksamkeit des ISMS

Die Genauigkeit des ISMS

Die Gesetzmäßigkeit des ISMS

Interne Audits werden durch die oberste Leitung (Top-Management) durchgeführt

Managementbewertungen müssen in geplanten Abständen durchgeführt werden

Eine Managementbewertung wird durch die oberste Leitung (Top-Management) durchgeführt

ISO/IEC 27002 behandelt die gleichen Maßnahmen (Controls), die auch im Anhang A der Norm ISO/IEC 27001 definiert sind

Im Anhang A der Norm ISO/IEC 27001 sind immer ein oder mehrere Maßnahmenziele (Control Objectives) einer Maßnahme (Control) zugeordnet

Maßnahmen (Controls) sind in Anhang A der Norm ISO/IEC 27001 definiert

Er muss systematisch sein

Er muss durch eine externe Partei gesteuert werden

Er muss dokumentiert sein

Der Anhang A ist normativ, und sofern Ausschlüsse vorgenommen werden, müssen diese begründet werden.

Der Anhang A enthält Bedrohungs- und Gefährdungskataloge.

Im Anhang A sind Maßnahmenziele (Control Objectives) definiert.