Stärkung der physischen Sicherheit durch Einhaltung der ISO 27001:2022
Für den Fall, dass unbefugter Zutritt zu eingeschränkten physischen Bereichen wie Serverräumen und IT-Geräteräumen gewährt wird, Informationsvermögen kann hinsichtlich Vertraulichkeit, Verfügbarkeit, Integrität und Sicherheit beeinträchtigt sein.
In ISO 27001:2022 Anhang A 7.4 wird verhindert, dass Eindringlinge ohne Genehmigung sensible physische Räumlichkeiten betreten.
Der Zweck von ISO 27001:2022 Anhang A 7.4?
Anhang A Kontrolle 7.4 verlangt von Organisationen die Implementierung geeigneter Überwachungsinstrumente. Dies dient dazu, externe und interne Eindringlinge zu erkennen und daran zu hindern, ohne Erlaubnis gesperrte physische Bereiche zu betreten.
Überwachungstools, die in der Lage sind, zugangsbeschränkte Bereiche zu überwachen und aufzuzeichnen, schützen vor Risiken, die durch unbefugten Zugriff auf zugangsbeschränkte Bereiche entstehen, einschließlich, aber nicht beschränkt auf:
- Datendiebstahl.
- Der Verlust von Informationsressourcen.
- Finanzieller Schaden.
- Entfernen von Wechselmedienbeständen für böswillige Zwecke.
- Malware-Infektion von IT-Ressourcen.
- Angriffe werden von einem Eindringling mittels Ransomware durchgeführt.
ISO 27001 leicht gemacht
Ein Vorsprung von 81 % vom ersten Tag an
Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.
Wem gehört Anhang A 7.4?
Gemäß ISO 27001 Anhang A Kontrolle 7.4: Die Einhaltung dieser Kontrolle erfordert die Identifizierung aller Sperrbereiche. Es erfordert auch die Identifizierung von Überwachungsinstrumenten, die für den spezifischen zu überwachenden physischen Bereich geeignet sind.
Daher muss der Chief Security Officer für die wirksame Implementierung, Wartung, Verwaltung und Überprüfung von Überwachungssystemen verantwortlich sein.
Leitfaden zur Einhaltung von ISO 27001:2022 Anhang A 7.4
Gemäß ISO 27001 Annex A Control 7.4 müssen Organisationen die folgenden drei Schritte umsetzen, um unbefugten Zugriff auf Einrichtungen, in denen sich wichtige Informationsressourcen befinden, zu erkennen und abzuschrecken und zu verhindern, dass diese gefährdet werden.
Richten Sie ein Videoüberwachungssystem ein, um die Situation im Auge zu behalten
Um den Zugang zu eingeschränkten Bereichen, in denen sich wichtige Informationsressourcen befinden, kontinuierlich zu überwachen, sollte eine Organisation über ein Videoüberwachungssystem, beispielsweise CCTV-Kameras, verfügen. Dies ist ein Beispiel für ein solches System. Darüber hinaus ist es auch wichtig, dass dieses Überwachungssystem alle Ein- und Ausgänge auf dem Gelände protokolliert.
Installation von Detektoren zur Auslösung eines Alarms
Die Möglichkeit, einen Alarm auszulösen, wenn ein Eindringling das physische Gelände betritt, ermöglicht es dem Sicherheitsteam, schnell auf jede Sicherheitsverletzung zu reagieren. Es kann auch eine wirksame Möglichkeit sein, Eindringlinge davon abzuhalten, in Ihr Zuhause einzudringen.
Es wird empfohlen, dass Organisationen Bewegungs-, Ton- und Kontaktmelder kaufen, die sie alarmieren, wenn ungewöhnliche Aktivitäten innerhalb der physischen Räumlichkeiten der Organisation festgestellt werden.
Dies beinhaltet, ist aber nicht beschränkt auf:
- In der Umgebung sollte ein Kontaktmelder installiert werden. Wenn ein unbekanntes Objekt oder eine unbekannte Person mit einem bestimmten Objekt in Kontakt kommt oder den Kontakt mit einem bestimmten Objekt abbricht, sollte ein Alarm aktiviert werden. Ein Kontaktmelder kann beispielsweise so konfiguriert werden, dass er einen Alarm auslöst, wenn der Kontaktmelder ein Fenster oder eine Tür berührt.
- Die Bewegungsmelder können so konfiguriert werden, dass sie Sie warnen, wenn sie in ihrem Sichtbereich eine Bewegung eines sich in ihrem Sichtbereich bewegenden Objekts erkennen.
- Ein Geräuschdetektor, beispielsweise ein Glasbruchmelder, kann aktiviert werden, wenn er ein Geräusch erkennt, was dazu beitragen kann, Autounfälle zu verhindern.
Konfiguration von Alarmen für alle internen Räumlichkeiten
Es ist unbedingt darauf zu achten, dass das Alarmsystem entsprechend konfiguriert wurde. Dadurch wird sichergestellt, dass alle sensiblen Bereiche, einschließlich aller Außentüren, Fenster, unbewohnten Bereiche und Computerräume, innerhalb der Reichweite des Alarmsystems liegen. Dadurch wird verhindert, dass Schwachstellen ausgenutzt werden.
Beispielsweise können Eindringlinge Raucherbereiche oder Eingänge von Fitnessstudios als Angriffsvektoren nutzen, wenn diese nicht überwacht werden.
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
Die Arten der verfügbaren Überwachungssysteme
Obwohl ISO 27001 Annex A Control 7.4 schreibt nicht vor, dass Organisationen ein Überwachungssystem einem anderen vorziehen, sondern listet mehrere Überwachungstools auf, die einzeln oder in Kombination mit anderen verwendet werden können, darunter:
- Überwachungskameras.
- Sicherheitskräfte.
- Einbruchmeldeanlagen.
- Software für das physische Sicherheitsmanagement.
ISO 27001:2022 Anhang A 7.4 Ergänzende Leitlinien
Die folgenden Überlegungen sollten bei der Implementierung physischer Sicherheitsüberwachungssysteme gemäß Anhang A Kontrolle 7.4 berücksichtigt werden:
- Die Wahrung der Vertraulichkeit über den Aufbau und die Funktionsweise von Überwachungssystemen ist von wesentlicher Bedeutung.
- Um das Risiko einer Ferndeaktivierung von Überwachungssystemen durch böswillige Parteien auszuschließen, sollten geeignete Maßnahmen umgesetzt werden. Diese Maßnahmen sollten umgesetzt werden, um die Offenlegung von zu verhindern Überwachungsaktivitätenund Video-Feeds an Unbefugte.
- Es ist wichtig, dass sich die Alarmzentrale in einem mit Alarmanlagen ausgestatteten Bereich befindet. Darüber hinaus ist es wichtig, dass die Person, die den Alarm auslöst, sicheren und einfachen Zugang zum Verlassen des Bereichs hat.
- Es sollten ein manipulationssicherer Melder und eine Alarmzentrale verwendet werden.
- Einzelpersonen sollten mithilfe von Überwachungssystemen nur für legitime Zwecke überwacht und aufgezeichnet werden. Diese Überwachung und Aufzeichnung sollte allen geltenden Gesetzen und Vorschriften, einschließlich Datenschutzgesetzen, entsprechen. Zum Beispiel die EU und Großbritannien Datenschutz kann von Organisationen verlangen, vor dem Einsatz von CCTV-Kameras eine Folgenabschätzung durchzuführen. Darüber hinaus sollten bei der Aufzeichnung von Video-Feeds die in den geltenden lokalen Gesetzen festgelegten Datenaufbewahrungsfristen eingehalten werden.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Was sind die Änderungen gegenüber ISO 27001:2013?
Es ist wichtig zu beachten, dass es sich bei der Kontrolle 7.4 um eine brandneue Anhang-A-Kontrolle handelt, die in ISO 27001:2013 nicht behandelt wird.
Tabelle aller ISO 27001:2022 Anhang A-Kontrollen
In der folgenden Tabelle finden Sie weitere Informationen zu jeder einzelnen ISO 27001:2022 Anhang A-Kontrolle.
| Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
|---|---|---|---|
| Organisatorische Kontrollen | Anhang A 5.1 |
Anhang A 5.1.1 Anhang A 5.1.2 |
Richtlinien zur Informationssicherheit |
| Organisatorische Kontrollen | Anhang A 5.2 | Anhang A 6.1.1 | Rollen und Verantwortlichkeiten im Bereich Informationssicherheit |
| Organisatorische Kontrollen | Anhang A 5.3 | Anhang A 6.1.2 | Aufgabentrennung |
| Organisatorische Kontrollen | Anhang A 5.4 | Anhang A 7.2.1 | Führungsaufgaben |
| Organisatorische Kontrollen | Anhang A 5.5 | Anhang A 6.1.3 | Kontakt mit Behörden |
| Organisatorische Kontrollen | Anhang A 5.6 | Anhang A 6.1.4 | Kontakt mit speziellen Interessengruppen |
| Organisatorische Kontrollen | Anhang A 5.7 | NEU | Threat Intelligence |
| Organisatorische Kontrollen | Anhang A 5.8 |
Anhang A 6.1.5 Anhang A 14.1.1 |
Informationssicherheit im Projektmanagement |
| Organisatorische Kontrollen | Anhang A 5.9 |
Anhang A 8.1.1 Anhang A 8.1.2 |
Inventar der Informationen und anderer damit verbundener Vermögenswerte |
| Organisatorische Kontrollen | Anhang A 5.10 |
Anhang A 8.1.3 Anhang A 8.2.3 |
Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten |
| Organisatorische Kontrollen | Anhang A 5.11 | Anhang A 8.1.4 | Rückgabe von Vermögenswerten |
| Organisatorische Kontrollen | Anhang A 5.12 | Anhang A 8.2.1 | Klassifizierung von Informationen |
| Organisatorische Kontrollen | Anhang A 5.13 | Anhang A 8.2.2 | Kennzeichnung von Informationen |
| Organisatorische Kontrollen | Anhang A 5.14 |
Anhang A 13.2.1 Anhang A 13.2.2 Anhang A 13.2.3 |
Informationsübertragung |
| Organisatorische Kontrollen | Anhang A 5.15 |
Anhang A 9.1.1 Anhang A 9.1.2 |
Zugangskontrolle |
| Organisatorische Kontrollen | Anhang A 5.16 | Anhang A 9.2.1 | Identitätsmanagement |
| Organisatorische Kontrollen | Anhang A 5.17 |
Anhang A 9.2.4 Anhang A 9.3.1 Anhang A 9.4.3 |
Authentifizierungsinformationen |
| Organisatorische Kontrollen | Anhang A 5.18 |
Anhang A 9.2.2 Anhang A 9.2.5 Anhang A 9.2.6 |
Zugangsrechte |
| Organisatorische Kontrollen | Anhang A 5.19 | Anhang A 15.1.1 | Informationssicherheit in Lieferantenbeziehungen |
| Organisatorische Kontrollen | Anhang A 5.20 | Anhang A 15.1.2 | Adressierung der Informationssicherheit in Lieferantenvereinbarungen |
| Organisatorische Kontrollen | Anhang A 5.21 | Anhang A 15.1.3 | Management der Informationssicherheit in der IKT-Lieferkette |
| Organisatorische Kontrollen | Anhang A 5.22 |
Anhang A 15.2.1 Anhang A 15.2.2 |
Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen |
| Organisatorische Kontrollen | Anhang A 5.23 | NEU | Informationssicherheit für die Nutzung von Cloud-Diensten |
| Organisatorische Kontrollen | Anhang A 5.24 | Anhang A 16.1.1 | Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen |
| Organisatorische Kontrollen | Anhang A 5.25 | Anhang A 16.1.4 | Bewertung und Entscheidung zu Informationssicherheitsereignissen |
| Organisatorische Kontrollen | Anhang A 5.26 | Anhang A 16.1.5 | Reaktion auf Informationssicherheitsvorfälle |
| Organisatorische Kontrollen | Anhang A 5.27 | Anhang A 16.1.6 | Aus Informationssicherheitsvorfällen lernen |
| Organisatorische Kontrollen | Anhang A 5.28 | Anhang A 16.1.7 | Beweissammlung |
| Organisatorische Kontrollen | Anhang A 5.29 |
Anhang A 17.1.1 Anhang A 17.1.2 Anhang A 17.1.3 |
Informationssicherheit bei Störungen |
| Organisatorische Kontrollen | Anhang A 5.30 | NEU | IKT-Bereitschaft für Geschäftskontinuität |
| Organisatorische Kontrollen | Anhang A 5.31 |
Anhang A 18.1.1 Anhang A 18.1.5 |
Rechtliche, gesetzliche, behördliche und vertragliche Anforderungen |
| Organisatorische Kontrollen | Anhang A 5.32 | Anhang A 18.1.2 | Rechte an geistigem Eigentum |
| Organisatorische Kontrollen | Anhang A 5.33 | Anhang A 18.1.3 | Schutz von Aufzeichnungen |
| Organisatorische Kontrollen | Anhang A 5.34 | Anhang A 18.1.4 | Datenschutz und Schutz personenbezogener Daten |
| Organisatorische Kontrollen | Anhang A 5.35 | Anhang A 18.2.1 | Unabhängige Überprüfung der Informationssicherheit |
| Organisatorische Kontrollen | Anhang A 5.36 |
Anhang A 18.2.2 Anhang A 18.2.3 |
Einhaltung von Richtlinien, Regeln und Standards für die Informationssicherheit |
| Organisatorische Kontrollen | Anhang A 5.37 | Anhang A 12.1.1 | Dokumentierte Betriebsabläufe |
| Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
|---|---|---|---|
| Menschenkontrollen | Anhang A 6.1 | Anhang A 7.1.1 | Rekrutierung |
| Menschenkontrollen | Anhang A 6.2 | Anhang A 7.1.2 | Allgemeine Geschäftsbedingungen |
| Menschenkontrollen | Anhang A 6.3 | Anhang A 7.2.2 | Informationssicherheitsbewusstsein, Bildung und Schulung |
| Menschenkontrollen | Anhang A 6.4 | Anhang A 7.2.3 | Disziplinarverfahren |
| Menschenkontrollen | Anhang A 6.5 | Anhang A 7.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| Menschenkontrollen | Anhang A 6.6 | Anhang A 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| Menschenkontrollen | Anhang A 6.7 | Anhang A 6.2.2 | Fernarbeit |
| Menschenkontrollen | Anhang A 6.8 |
Anhang A 16.1.2 Anhang A 16.1.3 |
Berichterstattung über Informationssicherheitsereignisse |
| Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
|---|---|---|---|
| Physikalische Kontrollen | Anhang A 7.1 | Anhang A 11.1.1 | Physische Sicherheitsbereiche |
| Physikalische Kontrollen | Anhang A 7.2 |
Anhang A 11.1.2 Anhang A 11.1.6 |
Physischer Eintritt |
| Physikalische Kontrollen | Anhang A 7.3 | Anhang A 11.1.3 | Sicherung von Büros, Räumen und Einrichtungen |
| Physikalische Kontrollen | Anhang A 7.4 | NEU | Physische Sicherheitsüberwachung |
| Physikalische Kontrollen | Anhang A 7.5 | Anhang A 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| Physikalische Kontrollen | Anhang A 7.6 | Anhang A 11.1.5 | Arbeiten in sicheren Bereichen |
| Physikalische Kontrollen | Anhang A 7.7 | Anhang A 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| Physikalische Kontrollen | Anhang A 7.8 | Anhang A 11.2.1 | Standort und Schutz der Ausrüstung |
| Physikalische Kontrollen | Anhang A 7.9 | Anhang A 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| Physikalische Kontrollen | Anhang A 7.10 |
Anhang A 8.3.1 Anhang A 8.3.2 Anhang A 8.3.3 Anhang A 11.2.5 |
Speichermedien |
| Physikalische Kontrollen | Anhang A 7.11 | Anhang A 11.2.2 | Unterstützende Dienstprogramme |
| Physikalische Kontrollen | Anhang A 7.12 | Anhang A 11.2.3 | Verkabelungssicherheit |
| Physikalische Kontrollen | Anhang A 7.13 | Anhang A 11.2.4 | Wartung der Ausrüstung |
| Physikalische Kontrollen | Anhang A 7.14 | Anhang A 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
| Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
|---|---|---|---|
| Technologische Kontrollen | Anhang A 8.1 |
Anhang A 6.2.1 Anhang A 11.2.8 |
Benutzer-Endpunktgeräte |
| Technologische Kontrollen | Anhang A 8.2 | Anhang A 9.2.3 | Privilegierte Zugriffsrechte |
| Technologische Kontrollen | Anhang A 8.3 | Anhang A 9.4.1 | Beschränkung des Informationszugriffs |
| Technologische Kontrollen | Anhang A 8.4 | Anhang A 9.4.5 | Zugang zum Quellcode |
| Technologische Kontrollen | Anhang A 8.5 | Anhang A 9.4.2 | Sichere Authentifizierung |
| Technologische Kontrollen | Anhang A 8.6 | Anhang A 12.1.3 | Kapazitätsmanagement |
| Technologische Kontrollen | Anhang A 8.7 | Anhang A 12.2.1 | Schutz vor Malware |
| Technologische Kontrollen | Anhang A 8.8 |
Anhang A 12.6.1 Anhang A 18.2.3 |
Management technischer Schwachstellen |
| Technologische Kontrollen | Anhang A 8.9 | NEU | Configuration Management |
| Technologische Kontrollen | Anhang A 8.10 | NEU | Löschen von Informationen |
| Technologische Kontrollen | Anhang A 8.11 | NEU | Datenmaskierung |
| Technologische Kontrollen | Anhang A 8.12 | NEU | Verhinderung von Datenlecks |
| Technologische Kontrollen | Anhang A 8.13 | Anhang A 12.3.1 | Informationssicherung |
| Technologische Kontrollen | Anhang A 8.14 | Anhang A 17.2.1 | Redundanz von Informationsverarbeitungseinrichtungen |
| Technologische Kontrollen | Anhang A 8.15 |
Anhang A 12.4.1 Anhang A 12.4.2 Anhang A 12.4.3 |
Protokollierung |
| Technologische Kontrollen | Anhang A 8.16 | NEU | Überwachungsaktivitäten |
| Technologische Kontrollen | Anhang A 8.17 | Anhang A 12.4.4 | Uhrensynchronisation |
| Technologische Kontrollen | Anhang A 8.18 | Anhang A 9.4.4 | Nutzung privilegierter DienstprogrammeZugriffsrechte |
| Technologische Kontrollen | Anhang A 8.19 |
Anhang A 12.5.1 Anhang A 12.6.2 |
Installation von Software auf Betriebssystemen |
| Technologische Kontrollen | Anhang A 8.20 | Anhang A 13.1.1 | Netzwerksicherheit |
| Technologische Kontrollen | Anhang A 8.21 | Anhang A 13.1.2 | Sicherheit von Netzwerkdiensten |
| Technologische Kontrollen | Anhang A 8.22 | Anhang A 13.1.3 | Trennung von Netzwerken |
| Technologische Kontrollen | Anhang A 8.23 | NEU | Web-Filter |
| Technologische Kontrollen | Anhang A 8.24 |
Anhang A 10.1.1 Anhang A 10.1.2 |
Verwendung von Kryptographie |
| Technologische Kontrollen | Anhang A 8.25 | Anhang A 14.2.1 | Sicherer Entwicklungslebenszyklus |
| Technologische Kontrollen | Anhang A 8.26 |
Anhang A 14.1.2 Anhang A 14.1.3 |
Anforderungen an die Anwendungssicherheit |
| Technologische Kontrollen | Anhang A 8.27 | Anhang A 14.2.5 | Sichere Systemarchitektur und technische Prinzipien. Lernen aus Informationssicherheitsvorfällen. |
| Technologische Kontrollen | Anhang A 8.28 | NEU | Sichere Codierung |
| Technologische Kontrollen | Anhang A 8.29 |
Anhang A 14.2.8 Anhang A 14.2.9 |
Sicherheitstests in Entwicklung und Akzeptanz |
| Technologische Kontrollen | Anhang A 8.30 | Anhang A 14.2.7 | Ausgelagerte Entwicklung |
| Technologische Kontrollen | Anhang A 8.31 |
Anhang A 12.1.4 Anhang A 14.2.6 |
Trennung von Entwicklungs-, Test- und Produktionsumgebungen |
| Technologische Kontrollen | Anhang A 8.32 |
Anhang A 12.1.2 Anhang A 14.2.2 Anhang A 14.2.3 Anhang A 14.2.4 |
Change Control |
| Technologische Kontrollen | Anhang A 8.33 | Anhang A 14.3.1 | Testinformationen |
| Technologische Kontrollen | Anhang A 8.34 | Anhang A 12.7.1 | Schutz von Informationssystemen während Audittests |
Die Vorteile von ISMS.online
ISMS.online bietet eine breite Palette leistungsstarker Tools, die die Implementierung, Wartung und Verbesserung Ihres Informationssicherheits-Managementsystems (ISMS) vereinfachen, um die ISO 27001-Compliance-Anforderungen zu erfüllen.
Neben der Bereitstellung umfassender Tools, ISMS.online ermöglicht Ihnen die Erstellung maßgeschneiderte Richtlinien und Verfahren, die auf die Risiken und Anforderungen Ihrer Organisation zugeschnitten sind. Es ermöglicht auch die Zusammenarbeit zwischen Kollegen und externen Partnern wie Lieferanten oder externen Prüfern.
Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.