ISO 27001 – Anhang A.11: Physische und Umgebungssicherheit

Was ist das Ziel von Anhang A.11.1?

In Anhang A.11.1 geht es um die Gewährleistung sicherer physischer und ökologischer Bereiche. Das Ziel dieser Anhang-A-Kontrolle besteht darin, unbefugten physischen Zugriff sowie Schäden und Eingriffe in die Informationen und Informationsverarbeitungseinrichtungen der Organisation zu verhindern.

Es ist ein wichtiger Bestandteil des Informationssicherheits-Managementsystems (ISMS), insbesondere wenn Sie eine ISO 27001-Zertifizierung erreichen möchten.

A.11.1.1 Physischer Sicherheitsbereich

Damit werden die Sicherheitsperimeter und -grenzen beschrieben, die Bereiche umfassen, die entweder sensible oder kritische Informationen enthalten, sowie alle Informationsverarbeitungseinrichtungen wie Computer, Laptops usw. Ein physischer Sicherheitsperimeter ist definiert als „jede Übergangsgrenze zwischen zwei Bereichen mit unterschiedlichen Sicherheitsschutzanforderungen“.

Dies kann sehr spezifisch sein, z. An der äußersten Grundstücksgrenze und mit Außen- und Innenräumen; Zwischen außerhalb und innerhalb eines Gebäudes; Zwischen Flur und Büro oder zwischen der Außenseite und dem Inneren eines Lagerschranks. Es könnte auch einfach gesagt werden, dass es sich um das Hauptquartier mit seiner Adresse und den umliegenden Grenzen handelt.

Beispiele für die Arten von Eigentum und Räumlichkeiten, die die Organisation im Hinblick auf die physische Sicherheit berücksichtigen muss, könnten sein:

• Die Rechenzentren, die Informationsressourcen hosten;
• Hauptsitz;
• Arbeitnehmer, die dazu neigen, von zu Hause aus zu arbeiten; Und
• Arbeitnehmer, die reisen und daher Hotels, Kundengelände usw. nutzen. Angesichts der zunehmenden Auslagerung, z. B. für Rechenzentren und die Nutzung gemieteter Büros, ist es auch wichtig, diese Kontrollen mit der Lieferantenrichtlinie in A15.1 und den zahlreichen anderen Richtlinien zu verknüpfen, die Heim-/Mobil-/Arbeitsplätze betreffen. auch Telearbeiter. Dies passt auch zu Ihrem Geltungsbereich in 4.3 und bezieht sich auf diesen.

Vereinfacht ausgedrückt muss die Organisation sichere Bereiche einrichten, die die wertvollen Informationen und Informationsbestände schützen, auf die nur autorisierte Personen zugreifen können. Dies hängt auch mit der Risikobewertung und Risikobereitschaft einer Organisation gemäß 6.1 Maßnahmen zur Bewältigung von Risiken und Chancen zusammen.

Als einfaches Beispiel sollte der Zugang zu Büros, die wertvolle Informationen enthalten, nur von Mitarbeitern dieser Organisation oder nach Erteilung einer Erlaubnis für andere, z. B. Besucher, und externe Reinigungs-/Einrichtungswartungsressourcen, die gemäß der Lieferantenrichtlinie genehmigt wurden, erfolgen.

A.11.1.2 Physische Zugangskontrollen

Sichere Bereiche müssen durch geeignete Zutrittskontrollen geschützt werden, um sicherzustellen, dass nur autorisiertem Personal Zutritt gewährt wird. Um ein ganz einfaches Beispiel zu nennen: Nur diejenigen Mitarbeiter, die den Alarm-Zugangscode erhalten und einen Schlüssel erhalten haben, haben Zutritt zum Büro. Risikoscheuere Organisationen und/oder Unternehmen mit gefährdeteren vertraulichen Informationen könnten mit Richtlinien, die auch biometrische und Scan-Lösungen umfassen, viel tiefer gehen.

Zutrittskontrollen müssen basierend auf der Art und Lage des zu schützenden Gebiets sowie der Möglichkeit zur Implementierung solcher Kontrollen ausgewählt und implementiert werden, wenn sich der Standort beispielsweise nicht im Besitz der Organisation befindet. Die Prozesse zur Gewährung des Zugangs durch die Zutrittskontrollen müssen robust sein, getestet und überwacht werden und möglicherweise auch protokolliert und geprüft werden.

Besonders wichtig wird auch die Besucherkontrolle sein und die damit verbundenen Prozesse sollten berücksichtigt werden. Besonderes Augenmerk sollte auf die Gewährung des Zugangs zu Bereichen gelegt werden, in denen sensible oder vertrauliche Informationen verarbeitet oder gespeichert werden. Dabei müssen insbesondere Bereiche mit wichtigen IT-Infrastrukturgeräten stärker geschützt und der Zugang auf diejenigen beschränkt werden, die sich dort wirklich aufhalten müssen. Der Prüfer erwartet, dass angemessene Kontrollen vorhanden sind und regelmäßig getestet und überwacht werden.

A.11.1.3 Sicherung von Büros, Räumen und Einrichtungen

Die Sicherheit von Büros, Räumen und Einrichtungen mag einfach und selbstverständlich erscheinen, dennoch lohnt es sich, darüber nachzudenken und regelmäßig zu überprüfen, wer wann und wie Zutritt haben soll. Einige der Dinge, die oft übersehen werden, sind: Wer kann von außen ins Büro sehen oder gar hören und was kann man dagegen tun?; Wird der Zugang aktualisiert, wenn Mitarbeiter das Zimmer verlassen oder wechseln, so dass kein Zugang mehr zu diesem bestimmten Raum erforderlich ist; Müssen Besucher in diesem Bereich begleitet werden und ist dies der Fall?; Und sind die Mitarbeiter wachsam, wenn es darum geht, Personen, die sie nicht kennen, herauszufordern und zu melden?

Für Räume, die mit anderen geteilt werden (z. B. wenn es sich um einen gemieteten Büro-Besprechungsraum handelt), umfassen die Richtlinien auch den Schutz und/oder die Entfernung wertvoller Vermögenswerte, wenn diese nicht von der Organisation genutzt werden – von Laptops bis hin zu Informationen, die auf Whiteboards, Flipcharts usw. angebracht sind .

Der externe Prüfer wird die Sicherheitskontrollen für Büros, Räume und Einrichtungen inspizieren und regelmäßig prüfen, ob Belege für eine angemessene, risikobasierte Kontrollimplementierung, -durchführung und -überprüfung vorliegen.

A.11.1.4 Schutz vor externen und umweltbedingten Bedrohungen

Diese Kontrolle beschreibt, wie der physische Schutz vor Naturkatastrophen, böswilligen Angriffen oder Unfällen verhindert wird.

Umweltbedrohungen können natürlicher Natur sein (z. B. Überschwemmungen, Tornados, Blitze usw.) oder vom Menschen verursacht werden (z. B. Wasseraustritt aus Anlagen, Unruhen usw.). Es müssen Überlegungen zu solchen Bedrohungen angestellt und Risiken identifiziert, bewertet und angemessen behandelt werden. Einige Bedrohungen (z. B. das Sitzen in einem Überschwemmungsgebiet) können ohne erhebliche Kosten oder Unannehmlichkeiten unvermeidbar sein. Dies bedeutet jedoch nicht, dass keine Maßnahmen ergriffen werden können. Für einige Aspekte des Umweltmanagements kann eine Fachberatung erforderlich sein, die bei Bedarf in Betracht gezogen werden sollte.

Um potenzielle Risiken zu erkennen, ist es wichtig, Ihren Standort und die Umgebung zu kennen. Der Prüfer wird nach Beweisen dafür suchen, dass potenzielle Bedrohungen und Schwachstellen (sowohl natürliche als auch vom Menschen verursachte) sorgfältig identifiziert wurden und dass Umweltrisiken bewertet und entsprechend entweder behandelt oder toleriert wurden.

A.11.1.5 Arbeiten in sicheren Bereichen

Nachdem die Zugangskontrollen für Sicherheitsbereiche identifiziert und implementiert wurden, ist es wichtig, dass diese durch Verfahrenskontrollen in Bezug auf Risiken ergänzt werden, die im Sicherheitsbereich auftreten können. Beispielsweise könnte Folgendes erforderlich sein:

Ein eingeschränktes Bewusstsein für die Lage und Funktion von Sicherheitsbereichen;
Beschränkungen für die Verwendung von Aufzeichnungsgeräten in sicheren Bereichen;
Beschränkung des unbeaufsichtigten Arbeitens in sicheren Bereichen, wo immer möglich;
Ein- und Ausgangsüberwachung und Protokollierung.
Nach der Inspektion der Zugangskontrollen zum sicheren Bereich wird der Prüfer prüfen, ob diese unterstützt werden, gegebenenfalls durch geeignete Richtlinien und Verfahren, und dass der Nachweis ihrer Verwaltung geführt wird.

A.11.1.6 Liefer- und Ladeflächen

Zugangspunkte wie Liefer- und Ladebereiche und andere Punkte, an denen Unbefugte das Gelände betreten könnten, müssen kontrolliert und nach Möglichkeit von Einrichtungen zur Informationsverarbeitung isoliert werden, um unbefugten Zugriff zu verhindern. Für reine Cloud- oder digitale Arbeitsplätze ist möglicherweise keine Richtlinie oder Kontrolle rund um Liefer- und Ladebereiche erforderlich. In diesem Fall würden sie dies vermerken und dies ausdrücklich aus der Erklärung zur Anwendbarkeit (Statement of Applicability, SOA) ausschließen.

Bei einigen Organisationen stehen Liefer-/Ladebereiche entweder nicht zur Verfügung oder werden nicht von der Organisation kontrolliert (z. B. gemeinsame Büroräume). Wo die Organisation diese Bereiche jedoch kontrollieren oder beeinflussen kann, ist es wichtig, dass Risiken identifiziert und bewertet werden und daher geeignete Kontrollen implementiert werden. Beispiele für diese Kontrollen können sein: Lage abseits des Hauptbürogebäudes; Zusätzliche Bewachung; CCTV-Überwachung und -Aufzeichnung; Und Verfahren, um zu verhindern, dass externer und interner Zugriff gleichzeitig offen sind.

Der Prüfer prüft den Liefer- und Ladeschutz, um sicherzustellen, dass angemessene Kontrollen in Bezug auf die Kontrolle eingehender Materialien (z. B. Lieferungen) und die Kontrolle ausgehender Materialien (z. B. zur Verhinderung von Informationslecks) vorhanden sind. Allerdings hängt der Grad der Sicherheit in Bezug auf Lieferung und Verladung im Verhältnis zu den bewerteten Risikoniveaus, den der Prüfer anstrebt, von der Verfügbarkeit und dem Eigentum solcher Einrichtungen ab.

Was ist das Ziel von Anhang A.11.2?

Anhang A.11.2 befasst sich mit der Ausrüstung. Das Ziel dieser Anhang-A-Kontrolle besteht darin, Verlust, Beschädigung, Diebstahl oder Gefährdung von Vermögenswerten sowie Unterbrechungen des Betriebs der Organisation zu verhindern.

A.11.2.1 Standort und Schutz der Ausrüstung

Die Ausrüstung muss so platziert und geschützt werden, dass die Risiken durch Umweltbedrohungen und -gefahren sowie vor unbefugtem Zugriff verringert werden. Der Standort der Ausrüstung wird durch eine Reihe von Faktoren bestimmt, darunter die Größe und Art der Ausrüstung, ihre geplante Verwendung sowie Zugänglichkeit und Umweltanforderungen. Die für den Standort der Ausrüstung Verantwortlichen müssen eine Risikobewertung durchführen und, soweit möglich, entsprechend den Risikostufen Folgendes anwenden:

• Informationsverarbeitungseinrichtungen (Laptops, Desktops usw.), die sensible Daten verarbeiten, sollten so positioniert und der Betrachtungswinkel eingeschränkt werden, dass das Risiko verringert wird, dass Informationen während ihrer Verwendung von Unbefugten eingesehen werden.
• Die Lagerräume sind gesichert, um unbefugten Zugriff mit Schlüsseln zu verhindern, die von autorisierten Schlüsselinhabern gehalten werden.
• Lebensmittel und Getränke sollten von IKT-Geräten ferngehalten werden.
• WLAN-Router, gemeinsam genutzte Drucker usw. sollten so positioniert werden, dass sie bei Bedarf leicht zugänglich sind und niemanden von der Arbeit ablenken oder Informationen auf dem Drucker hinterlassen, die nicht dort sein sollten.
• Informationsverarbeitungseinrichtungen wie Laptops sind so platziert, dass sie bei Nichtgebrauch sicher aufbewahrt werden und bei Bedarf leicht zugänglich sind.
• Auch Heimarbeiter müssen den Standort und die Positionierung der Geräte sorgfältig abwägen, um Risiken zu vermeiden, die denen für Arbeitnehmer in Büros ähneln, sowie eine unbeabsichtigte Nutzung oder einen unbeabsichtigten Zugriff durch Familie und Freunde.

A.11.2.2 Unterstützende Dienstprogramme

Geräte müssen vor Stromausfällen und anderen Störungen geschützt werden, die durch Ausfälle unterstützender Versorgungsunternehmen verursacht werden. Beispielsweise sollten Risiken im Zusammenhang mit ausgefallenen oder fehlerhaften Netzteilen bewertet und berücksichtigt werden. Dies könnte Folgendes umfassen: Doppelte Stromversorgung aus verschiedenen Unterstationen; Notstromerzeugungsanlagen; Regelmäßige Prüfung der Stromversorgung und -verwaltung. Um die Fähigkeit zur Fortführung der Telekommunikation aufrechtzuerhalten, könnten folgende Überlegungen in Betracht gezogen werden: Duales oder mehrfaches Routing; Lastausgleich und Redundanz in Vermittlungsgeräten; Überwachung und Warnung der Bandbreitenkapazität.

Viele der Risiken hängen mit der „Verfügbarkeit“ von Informationsverarbeitungssystemen zusammen. Daher sollten Kontrollen die Geschäftsanforderungen an die Verfügbarkeit im Einklang mit allen zu diesem Zweck durchgeführten Geschäftskontinuitätsplanungen und Folgenabschätzungen unterstützen. Der Prüfer wird nach Beweisen dafür suchen, dass die Kontrollen regelmäßig getestet wurden, um sicherzustellen, dass sie auf dem gewünschten Niveau ordnungsgemäß funktionieren (Notstromgeneratoren usw.).

A.11.2.3 Verkabelungssicherheit

Strom- und Telekommunikationskabel, die Daten transportieren oder Informationsdienste unterstützen, müssen vor Abhören, Störungen oder Schäden geschützt werden. Wenn Strom- und Netzwerkkabel nicht ausreichend verlegt und geschützt sind, besteht die Möglichkeit, dass ein Angreifer die Kommunikation abfangen oder unterbrechen oder die Stromversorgung unterbrechen kann.

Wo immer möglich, sollten Netzwerk- und Stromkabel zum Schutz vor Störungen unterirdisch verlegt oder anderweitig geschützt und getrennt verlegt werden. Abhängig von der Sensibilität oder Klassifizierung der Daten kann es erforderlich sein, Kommunikationskabel für verschiedene Ebenen zu trennen und zusätzlich Abschlusspunkte auf nicht autorisierte Geräte zu überprüfen. Der Prüfer führt eine Sichtprüfung der Kabel durch und fordert, wenn sie für die Klassifizierungs-/Risikostufe relevant sind, einen Nachweis der Sichtprüfung an.

A.11.2.4 Wartung der Ausrüstung

Die Ausrüstung muss ordnungsgemäß gewartet werden, um ihre kontinuierliche Verfügbarkeit und Integrität sicherzustellen. Die Anforderungen an die routinemäßige, vorbeugende und reaktive Wartung von Geräten variieren je nach Typ, Beschaffenheit, Standortumgebung und Zweck der Geräte sowie etwaigen vertraglichen Vereinbarungen mit Herstellern und Drittanbietern. Die Wartung der Geräte muss in angemessenen Abständen durchgeführt werden, um sicherzustellen, dass sie effektiv funktionsfähig bleibt und das Ausfallrisiko verringert wird.

Es ist eine gute Idee, Wartungspläne als Nachweis für den Prüfer aufzubewahren, wenn Ihre Ausrüstung gewartet oder repariert werden muss (dies kann bei Bedarf problemlos in das Informationsbestandsverzeichnis A8.1.1 eingebunden werden). In den Protokollen dieser Wartung sollte enthalten sein, wer die Wartung durchgeführt hat, was getan wurde und wer die Wartung autorisiert hat. Der Prüfer überprüft diese Protokolle, um sicherzustellen, dass die Zeitpläne angemessen und verhältnismäßig sind und dass die Aktivitäten ordnungsgemäß genehmigt und durchgeführt wurden.

A.11.2.5 Entfernung von Vermögenswerten

Auch Geräte, Informationen oder Software, die außerhalb des Standorts mitgenommen werden, müssen verwaltet werden. Dies könnte durch eine Art Check-in-out-Prozess gesteuert werden oder einfacher einem Mitarbeiter als Teil seiner Rolle zugeordnet und in Übereinstimmung mit seinen Beschäftigungsbedingungen verwaltet werden – Anhang A 7, der sich natürlich mit der Informationssicherheit befassen sollte!

In der immer mobiler werdenden Arbeitswelt werden bestimmte Vermögenswerte, wie z. B. mobile Geräte, routinemäßig aus den Räumlichkeiten des Unternehmens entfernt, um mobiles Arbeiten oder Arbeiten zu Hause zu ermöglichen. Wenn Vermögenswerte nicht dafür vorgesehen sind, routinemäßig vom Standort entfernt zu werden, oder wenn sie sensibler, streng geheimer, wertvoller oder zerbrechlicher Natur sind, sollten Prozesse vorhanden sein, um die Entfernung zu beantragen und zu genehmigen und die Rückgabe der Vermögenswerte zu überprüfen.

Überlegungen zur Begrenzung der Zeitspanne, in der Vermögenswerte entfernt werden dürfen, sollten risikobasiert erfolgen. Der Prüfer wird darauf achten, dass diese Risikobewertungen durchgeführt wurden, wenn es zu einer nicht routinemäßigen Entnahme von Vermögenswerten kommt, und für Richtlinien, die bestimmen, was routinemäßig ist und was nicht.

A.11.2.6 Sicherheit von Ausrüstung und Vermögenswerten außerhalb des Betriebsgeländes

Sicherheitskontrollen müssen auf externe Vermögenswerte angewendet werden, wobei die unterschiedlichen Risiken zu berücksichtigen sind, die mit der Arbeit außerhalb der Räumlichkeiten der Organisation verbunden sind. Dies ist ein allgemeiner Schwachstellenbereich und daher ist es wichtig, dass ein angemessenes Maß an Kontrollen implementiert und mit anderen mobilen Kontrollen und Richtlinien für Heimarbeiter usw. verknüpft wird.

Für Vermögenswerte, die routinemäßig oder ausnahmsweise außerhalb des Standorts verbracht werden, sollten Überlegungen angestellt und Risikobewertungen durchgeführt werden. Die Kontrollen umfassen wahrscheinlich eine Mischung aus: Technische Kontrollen wie Zugriffskontrollrichtlinien, Passwortverwaltung, Verschlüsselung; Auch physische Kontrollen wie Kensington-Schlösser könnten in Betracht gezogen werden; neben Richtlinien- und Prozesskontrollen wie der Anweisung, Vermögenswerte niemals unbeaufsichtigt in der Öffentlichkeit liegen zu lassen (z. B. im Kofferraum des Autos einzuschließen).

Es ist besonders wichtig, Trends bei Sicherheitsvorfällen im Zusammenhang mit externen Vermögenswerten zu überprüfen. Der Prüfer erwartet, Beweise dafür zu sehen, dass diese Risikobewertung durchgeführt wird und dass die angemessenen Kontrollen entsprechend den bewerteten Risikoniveaus ausgewählt werden. Sie erwarten auch Beweise für die Einhaltung der Richtlinien.

A.11.2.7 Sichere Entsorgung oder Wiederverwendung von Geräten

Alle Geräte, einschließlich Speichermedien, sollten überprüft werden, um sicherzustellen, dass alle sensiblen Daten und lizenzierten Software vor der Entsorgung oder Wiederverwendung entfernt oder sicher überschrieben wurden. Dies ist ein weiterer Bereich allgemeiner Schwachstellen, in dem viele Vorfälle auf schlechte Entsorgungs- oder Wiederverwendungspraktiken zurückzuführen sind.

Wenn Geräte entsorgt werden, die sensible Informationen enthielten, ist es von entscheidender Bedeutung, dass datentragende Geräte und Komponenten entweder physisch zerstört oder mithilfe geeigneter Tools und Technologien sicher gelöscht werden. Wenn Geräte wiederverwendet werden sollen, ist es wichtig, dass alle vorherigen Daten und möglicherweise installierte Software sicher „gelöscht“ werden und das Gerät in einen bekanntermaßen „sauberen“ Zustand zurückversetzt wird. Abhängig vom Grad der Sensibilität der in den zu zerstörenden Geräten enthaltenen Daten kann es erforderlich sein, die physische Zerstörung sicherzustellen. Dies sollte mithilfe eines Prozesses erfolgen, der vollständig überprüfbar ist.

Für die Entsorgung werden häufig Drittunternehmen eingesetzt. Wenn dies der Fall ist, muss unbedingt sichergestellt werden, dass ein entsprechendes „Vernichtungszertifikat“ bereitgestellt wird. Mächtige Kunden können damit rechnen, dies auch zu sehen, wenn Sie über wertvolle Kundendaten und einen Teil davon verfügen Ihr Vertrag mit ihnen sieht eine sichere Vernichtung vor.

Bei dieser Kontrolle wird der Prüfer darauf achten, dass geeignete Technologien, Richtlinien und Prozesse vorhanden sind und dass der Nachweis der Vernichtung oder sicheren Löschung bei Bedarf korrekt durchgeführt wurde (ggf. auch im Zusammenhang mit der Stilllegung in Ihrem Informationsbestandsinventar). .

A.11.2.8 Unbeaufsichtigte Benutzerausrüstung

Wie bei der Sicherung von Büros müssen Benutzer sicherstellen, dass alle unbeaufsichtigten Geräte angemessen geschützt sind, auch wenn es sich dabei um ein Passwort und einen Sperrbildschirm für die grundlegende Informationssicherheit handelt. Es ist vernünftig, Geräte zu schützen, wenn man sie unbeaufsichtigt lässt. Dies hängt jedoch vom Grad des Vertrauens ab, das dem Ort entgegengebracht wird, an dem das Gerät zurückgelassen wird (z. B. Hotelzimmer, Konferenzräume usw.). Auch organisatorische Räumlichkeiten müssen berücksichtigt werden, wenn ein Risiko besteht, z. B. hohes Besucheraufkommen, Hot Desking durch häufig wechselndes Personal mit unterschiedlichen Rollen.

Wenn Geräte über Nacht dort gelassen werden, wo Reinigungskräfte und andere Auftragnehmer außerhalb der normalen Bürozeiten Zugang haben, ist es wichtig, die Risiken von Diebstahl und Manipulation zu berücksichtigen und sinnvolle und angemessene Kontrollen anzuwenden. Es sollten Richtlinien, Prozesse und Sensibilisierungsprogramme vorhanden sein, um sicherzustellen, dass Benutzer sich ihrer Verantwortung bewusst sind, wenn sie Geräte innerhalb der Organisation oder außerhalb, wenn sie mobil sind, unbeaufsichtigt lassen.

Der Prüfer wird darauf achten, dass Kontrollebenen vorhanden sind, die dem Risikoniveau angemessen sind, und dass es Belege für die Einhaltung der Vorschriften gibt (z. B. sind Rundgänge nach Geschäftsschluss oder in der Mittagspause eine beliebte Methode für Vor-Ort-Prüfungen).

A.11.2.9 Richtlinie für klare Schreibtische und Bildschirme

Grundsätzlich sollten Betriebsverfahren für Papiere und Wechselspeichermedien sowie eine Klarsichtrichtlinie für Informationsverarbeitungsanlagen übernommen werden, es sei denn, sie sind aufgrund aller anderen Kontrollen und Risiken nicht erforderlich. Richtlinien für klare Schreibtische und klare Bildschirme gelten als gute Praxis und sind relativ einfach umzusetzen. In einigen zeitkritischen Betriebsumgebungen sind sie jedoch möglicherweise nicht praktikabel.

In diesem Fall können stattdessen andere Kontrollen zur Steuerung der Risiken implementiert werden. Verfügt ein Büro beispielsweise über ein strenges Maß an physischer Zugangskontrolle und nur sehr wenig Verkehr von Besuchern und externen Auftragnehmern, können solche Kontrollen als unnötig erachtet werden. Das Risiko einer „Insider-Bedrohung“ kann jedoch dennoch relevant sein und möglicherweise ein inakzeptables Maß erreichen. Letztlich sollten, wie bei allen Sicherheitsüberlegungen, die Entscheidungen bezüglich der Implementierung oder Nichtimplementierung von Clear-Desk- und Clear-Screen-Richtlinien auf einer Risikobewertung basieren.

Der Prüfer wird prüfen, wie die Entscheidungen zur Umsetzung oder Nichtimplementierung von Clear-Desk- und Clear-Screen-Richtlinien getroffen und in angemessener Häufigkeit überprüft wurden. Wenn solche Richtlinien vorhanden sind, werden sie nach Beweisen für Compliance-Tests sowie für die Meldung und Bewältigung etwaiger Verstöße suchen.