- Weitere Informationen finden Sie auch in den ISO 27002:2022 Kontrolle 7.5 .
- Weitere Informationen finden Sie auch in den ISO 27001:2013 Anhang A 11.1.4 .
ISO 27001 Anhang A 7.5: Stärkung der Sicherheit gegen physische und umweltbedingte Bedrohungen
Organisationen müssen die Risiken berücksichtigen, die durch physische Bedrohungen ihrer Informationsressourcen entstehen.
Zu diesen Bedrohungen können Umweltschäden, Diebstahl, Zerstörung und Gefährdung der Daten gehören. Diese Probleme können alle zu einem Informationsverlust und der Möglichkeit der Offenlegung sensibler Daten führen.
Naturereignisse wie Erdbeben, Überschwemmungen und Waldbrände sowie von Menschen verursachte Katastrophen wie Unruhen und Straftaten stellen eine Bedrohung dar.
ISO 27001:2022 Anhang A 7.5 verlangt von Organisationen, die Risiken für lebenswichtige physische Infrastruktur durch physische und umweltbedingte Gefahren zu bewerten, zu erkennen und zu reduzieren.
Zweck von ISO 27001:2022 Anhang A 7.5
ISO 27001:2022 Anhang A 7.5 ermöglicht es Organisationen, die potenziellen Risiken durch Umwelt- und physische Bedrohungen einzuschätzen und diese Risiken durch die Umsetzung geeigneter Maßnahmen zu reduzieren oder zu beseitigen.
ISO 27001 leicht gemacht
Ein Vorsprung von 81 % vom ersten Tag an
Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.
Eigentum an Anlage A 7.5
ISO 27001:2022 Anhang A 7.5 verlangt von Organisationen, dass sie eine umfassende Risikobewertung durchführen, bevor sie physische Arbeiten am Betriebsgelände durchführen, und geeignete Maßnahmen ergreifen, die im Verhältnis zum identifizierten Risiko stehen.
Oberste Sicherheitsbeamte sind für die Erstellung, Steuerung, Implementierung und Bewertung des gesamten Prozesses verantwortlich.
Leitfaden zur Einhaltung von ISO 27001:2022 Anhang A 7.5
ISO 27001:2022 Anhang A 7.5 beschreibt eine dreiteilige Strategie zur Erkennung und Beseitigung potenzieller Gefahren aus physischen und umweltbedingten Quellen.
Schritt 1 – Führen Sie eine Risikobewertung durch
Organisationen sollten Folgendes durchführen: Risikobewertung um alle potenziellen physischen und umweltbedingten Gefahren zu identifizieren, die auf ihrem Gelände auftreten können, und dann die möglichen Auswirkungen dieser identifizierten physischen und umweltbezogenen Risiken abzuschätzen.
Angesichts der Vielfalt der Umweltbedingungen und physischen Risiken, denen jedes Gebäude und jede Infrastruktur ausgesetzt sein kann, unterscheiden sich die Art der Bedrohung und das festgestellte Risikoniveau je nach Standort.
Ein Grundstück kann besonders anfällig für Waldbrände sein, während ein anderes in einem erdbebengefährdeten Gebiet liegt.
Es ist unbedingt erforderlich, dass vor Beginn der Tätigkeiten vor Ort eine Gefährdungsbeurteilung gemäß Anhang A 7.5 durchgeführt wird.
Schritt 2 – Kontrollen einrichten und anwenden
Angesichts der Art der Bedrohung und des damit verbundenen Risikos, die zunächst identifiziert wurden, sollten Unternehmen die richtigen Kontrollen implementieren und dabei die möglichen Folgen von Umwelt- und physischen Bedrohungen berücksichtigen.
ISO 27001:2022 Anhang A 7.5 bietet Beispiele für Kontrollen, die zur Bekämpfung verschiedener Bedrohungen implementiert werden können:
- Organisationen sollten Systeme installieren, die sie vor Bränden warnen und Feuerlöschsysteme aktivieren können, um digitale Medien und Informationssysteme vor Zerstörung zu schützen.
- Es sollten Systeme implementiert und eingerichtet werden, um Überschwemmungen an Orten zu erkennen, an denen Daten gespeichert werden. Darüber hinaus sollten Wasserpumpen für den Einsatz im Hochwasserfall vorbereitet sein.
- Server und Datenverarbeitungssysteme müssen vor Überspannungen geschützt werden. Regelmäßige Wartung und Schutz sind für eine optimale Leistung unerlässlich.
- Organisationen sollten regelmäßig auditieren und inspizieren Sie Personen, Gegenstände und Fahrzeuge, die kritische Infrastrukturstandorte betreten.
Schritt 3 – Überwachung
Verfolgen Sie den Fortschritt und nehmen Sie bei Bedarf Anpassungen vor. Bewerten Sie die Ergebnisse regelmäßig und nehmen Sie Änderungen vor, um sicherzustellen, dass die Ziele erreicht werden. Stellen Sie sicher, dass Sie alle Änderungen zum späteren Nachschlagen dokumentieren.
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
Ergänzende Hinweise zu Anhang A 7.5
ISO 27001:2022 Anhang A 7.5 beschreibt vier Überlegungen, die Organisationen berücksichtigen sollten.
Beratung mit Experten
Jede Umwelt- und physische Bedrohung, wie Giftmüll, Erdbeben und Feuer, unterscheidet sich hinsichtlich ihrer Eigenschaften, der von ihr ausgehenden Gefahr und der zu ergreifenden Maßnahmen.
Organisationen sollten sich von Experten beraten lassen, wie sie die von diesen Bedrohungen ausgehenden Risiken erkennen, reduzieren und/oder bewältigen können.
Standortwahl für Räumlichkeiten
Die Berücksichtigung des örtlichen Geländes, des Wasserstands und der tektonischen Aktivität eines potenziellen Standorts für ein Gebäude kann dabei helfen, potenzielle Risiken frühzeitig zu erkennen und zu beseitigen.
Organisationen sollten die Gefahren von durch Menschen verursachten Katastrophen im ausgewählten Stadtgebiet berücksichtigen, beispielsweise politische Unruhen und kriminelles Verhalten.
Zusätzliche Sicherheitsebene
Der Einsatz sicherer Aufbewahrungsmethoden wie Tresore bietet zusätzlich zu den bestehenden Sicherheitsmaßnahmen einen zusätzlichen Schutz vor Katastrophen wie Bränden und Überschwemmungen.
Kriminalprävention durch Umweltdesign
ISO 27001:2022 Anhang A 7.5 schlägt vor, dass Organisationen dieses Konzept bei der Einführung von Kontrollen zur Stärkung der Gebäudesicherheit berücksichtigen. Dieser Ansatz kann zur Bekämpfung städtischer Bedrohungen wie krimineller Aktivitäten, Unruhen und Terrorismus eingesetzt werden.
Änderungen und Unterschiede zu ISO 27001:2013
ISO 27001:2022 Anhang A 7.5 ersetzt ISO 27001:2013 Anhang A 11.1.4 in der überarbeiteten Norm.
Die Version 2013 konzentrierte sich darauf, wie Organisationen vorbeugende Maßnahmen gegen physische und umweltbedingte Bedrohungen ergreifen sollten, während die Version 2022 umfassender ist und die spezifischen Schritte darlegt, die Organisationen unternehmen sollten, um die Anforderungen einzuhalten.
Zusammenfassend fallen zwei Hauptunterschiede auf.
Die Version 2022 bietet Hinweise zu Versammlungsbestimmungen
Die Ausgabe 2013 enthielt keine Leitlinien dazu, wie Organisationen Risiken erkennen und reduzieren können, die durch Umwelt- und physikalische Gefahren verursacht werden.
Die Version 2022 beschreibt einen dreistufigen Prozess, den Organisationen implementieren müssen, beginnend mit einer Risikobewertung.
Die Revision 2022 ermutigt Organisationen, eine zusätzliche Maßnahmenebene einzuführen
Die ergänzenden Leitlinien für 2022 umfassen den Einsatz von Tresoren und die Kriminalprävention durch Umweltdesign als Mittel zur Erhöhung der Sicherheit vor Bedrohungen.
Im Jahr 2013 wurden jedoch keine zusätzlichen Schritte unternommen.
Tabelle aller ISO 27001:2022 Anhang A-Kontrollen
In der folgenden Tabelle finden Sie weitere Informationen zu jeder einzelnen ISO 27001:2022 Anhang A-Kontrolle.
| Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
|---|---|---|---|
| Organisatorische Kontrollen | Anhang A 5.1 |
Anhang A 5.1.1 Anhang A 5.1.2 |
Richtlinien zur Informationssicherheit |
| Organisatorische Kontrollen | Anhang A 5.2 | Anhang A 6.1.1 | Rollen und Verantwortlichkeiten im Bereich Informationssicherheit |
| Organisatorische Kontrollen | Anhang A 5.3 | Anhang A 6.1.2 | Aufgabentrennung |
| Organisatorische Kontrollen | Anhang A 5.4 | Anhang A 7.2.1 | Führungsaufgaben |
| Organisatorische Kontrollen | Anhang A 5.5 | Anhang A 6.1.3 | Kontakt mit Behörden |
| Organisatorische Kontrollen | Anhang A 5.6 | Anhang A 6.1.4 | Kontakt mit speziellen Interessengruppen |
| Organisatorische Kontrollen | Anhang A 5.7 | NEU | Threat Intelligence |
| Organisatorische Kontrollen | Anhang A 5.8 |
Anhang A 6.1.5 Anhang A 14.1.1 |
Informationssicherheit im Projektmanagement |
| Organisatorische Kontrollen | Anhang A 5.9 |
Anhang A 8.1.1 Anhang A 8.1.2 |
Inventar der Informationen und anderer damit verbundener Vermögenswerte |
| Organisatorische Kontrollen | Anhang A 5.10 |
Anhang A 8.1.3 Anhang A 8.2.3 |
Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten |
| Organisatorische Kontrollen | Anhang A 5.11 | Anhang A 8.1.4 | Rückgabe von Vermögenswerten |
| Organisatorische Kontrollen | Anhang A 5.12 | Anhang A 8.2.1 | Klassifizierung von Informationen |
| Organisatorische Kontrollen | Anhang A 5.13 | Anhang A 8.2.2 | Kennzeichnung von Informationen |
| Organisatorische Kontrollen | Anhang A 5.14 |
Anhang A 13.2.1 Anhang A 13.2.2 Anhang A 13.2.3 |
Informationsübertragung |
| Organisatorische Kontrollen | Anhang A 5.15 |
Anhang A 9.1.1 Anhang A 9.1.2 |
Zugangskontrolle |
| Organisatorische Kontrollen | Anhang A 5.16 | Anhang A 9.2.1 | Identitätsmanagement |
| Organisatorische Kontrollen | Anhang A 5.17 |
Anhang A 9.2.4 Anhang A 9.3.1 Anhang A 9.4.3 |
Authentifizierungsinformationen |
| Organisatorische Kontrollen | Anhang A 5.18 |
Anhang A 9.2.2 Anhang A 9.2.5 Anhang A 9.2.6 |
Zugangsrechte |
| Organisatorische Kontrollen | Anhang A 5.19 | Anhang A 15.1.1 | Informationssicherheit in Lieferantenbeziehungen |
| Organisatorische Kontrollen | Anhang A 5.20 | Anhang A 15.1.2 | Adressierung der Informationssicherheit in Lieferantenvereinbarungen |
| Organisatorische Kontrollen | Anhang A 5.21 | Anhang A 15.1.3 | Management der Informationssicherheit in der IKT-Lieferkette |
| Organisatorische Kontrollen | Anhang A 5.22 |
Anhang A 15.2.1 Anhang A 15.2.2 |
Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen |
| Organisatorische Kontrollen | Anhang A 5.23 | NEU | Informationssicherheit für die Nutzung von Cloud-Diensten |
| Organisatorische Kontrollen | Anhang A 5.24 | Anhang A 16.1.1 | Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen |
| Organisatorische Kontrollen | Anhang A 5.25 | Anhang A 16.1.4 | Bewertung und Entscheidung zu Informationssicherheitsereignissen |
| Organisatorische Kontrollen | Anhang A 5.26 | Anhang A 16.1.5 | Reaktion auf Informationssicherheitsvorfälle |
| Organisatorische Kontrollen | Anhang A 5.27 | Anhang A 16.1.6 | Aus Informationssicherheitsvorfällen lernen |
| Organisatorische Kontrollen | Anhang A 5.28 | Anhang A 16.1.7 | Beweissammlung |
| Organisatorische Kontrollen | Anhang A 5.29 |
Anhang A 17.1.1 Anhang A 17.1.2 Anhang A 17.1.3 |
Informationssicherheit bei Störungen |
| Organisatorische Kontrollen | Anhang A 5.30 | NEU | IKT-Bereitschaft für Geschäftskontinuität |
| Organisatorische Kontrollen | Anhang A 5.31 |
Anhang A 18.1.1 Anhang A 18.1.5 |
Rechtliche, gesetzliche, behördliche und vertragliche Anforderungen |
| Organisatorische Kontrollen | Anhang A 5.32 | Anhang A 18.1.2 | Rechte an geistigem Eigentum |
| Organisatorische Kontrollen | Anhang A 5.33 | Anhang A 18.1.3 | Schutz von Aufzeichnungen |
| Organisatorische Kontrollen | Anhang A 5.34 | Anhang A 18.1.4 | Datenschutz und Schutz personenbezogener Daten |
| Organisatorische Kontrollen | Anhang A 5.35 | Anhang A 18.2.1 | Unabhängige Überprüfung der Informationssicherheit |
| Organisatorische Kontrollen | Anhang A 5.36 |
Anhang A 18.2.2 Anhang A 18.2.3 |
Einhaltung von Richtlinien, Regeln und Standards für die Informationssicherheit |
| Organisatorische Kontrollen | Anhang A 5.37 | Anhang A 12.1.1 | Dokumentierte Betriebsabläufe |
| Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
|---|---|---|---|
| Menschenkontrollen | Anhang A 6.1 | Anhang A 7.1.1 | Rekrutierung |
| Menschenkontrollen | Anhang A 6.2 | Anhang A 7.1.2 | Allgemeine Geschäftsbedingungen |
| Menschenkontrollen | Anhang A 6.3 | Anhang A 7.2.2 | Informationssicherheitsbewusstsein, Bildung und Schulung |
| Menschenkontrollen | Anhang A 6.4 | Anhang A 7.2.3 | Disziplinarverfahren |
| Menschenkontrollen | Anhang A 6.5 | Anhang A 7.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| Menschenkontrollen | Anhang A 6.6 | Anhang A 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| Menschenkontrollen | Anhang A 6.7 | Anhang A 6.2.2 | Fernarbeit |
| Menschenkontrollen | Anhang A 6.8 |
Anhang A 16.1.2 Anhang A 16.1.3 |
Berichterstattung über Informationssicherheitsereignisse |
| Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
|---|---|---|---|
| Physikalische Kontrollen | Anhang A 7.1 | Anhang A 11.1.1 | Physische Sicherheitsbereiche |
| Physikalische Kontrollen | Anhang A 7.2 |
Anhang A 11.1.2 Anhang A 11.1.6 |
Physischer Eintritt |
| Physikalische Kontrollen | Anhang A 7.3 | Anhang A 11.1.3 | Sicherung von Büros, Räumen und Einrichtungen |
| Physikalische Kontrollen | Anhang A 7.4 | NEU | Physische Sicherheitsüberwachung |
| Physikalische Kontrollen | Anhang A 7.5 | Anhang A 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| Physikalische Kontrollen | Anhang A 7.6 | Anhang A 11.1.5 | Arbeiten in sicheren Bereichen |
| Physikalische Kontrollen | Anhang A 7.7 | Anhang A 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| Physikalische Kontrollen | Anhang A 7.8 | Anhang A 11.2.1 | Standort und Schutz der Ausrüstung |
| Physikalische Kontrollen | Anhang A 7.9 | Anhang A 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| Physikalische Kontrollen | Anhang A 7.10 |
Anhang A 8.3.1 Anhang A 8.3.2 Anhang A 8.3.3 Anhang A 11.2.5 |
Speichermedien |
| Physikalische Kontrollen | Anhang A 7.11 | Anhang A 11.2.2 | Unterstützende Dienstprogramme |
| Physikalische Kontrollen | Anhang A 7.12 | Anhang A 11.2.3 | Verkabelungssicherheit |
| Physikalische Kontrollen | Anhang A 7.13 | Anhang A 11.2.4 | Wartung der Ausrüstung |
| Physikalische Kontrollen | Anhang A 7.14 | Anhang A 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
| Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
|---|---|---|---|
| Technologische Kontrollen | Anhang A 8.1 |
Anhang A 6.2.1 Anhang A 11.2.8 |
Benutzer-Endpunktgeräte |
| Technologische Kontrollen | Anhang A 8.2 | Anhang A 9.2.3 | Privilegierte Zugriffsrechte |
| Technologische Kontrollen | Anhang A 8.3 | Anhang A 9.4.1 | Beschränkung des Informationszugriffs |
| Technologische Kontrollen | Anhang A 8.4 | Anhang A 9.4.5 | Zugang zum Quellcode |
| Technologische Kontrollen | Anhang A 8.5 | Anhang A 9.4.2 | Sichere Authentifizierung |
| Technologische Kontrollen | Anhang A 8.6 | Anhang A 12.1.3 | Kapazitätsmanagement |
| Technologische Kontrollen | Anhang A 8.7 | Anhang A 12.2.1 | Schutz vor Malware |
| Technologische Kontrollen | Anhang A 8.8 |
Anhang A 12.6.1 Anhang A 18.2.3 |
Management technischer Schwachstellen |
| Technologische Kontrollen | Anhang A 8.9 | NEU | Configuration Management |
| Technologische Kontrollen | Anhang A 8.10 | NEU | Löschen von Informationen |
| Technologische Kontrollen | Anhang A 8.11 | NEU | Datenmaskierung |
| Technologische Kontrollen | Anhang A 8.12 | NEU | Verhinderung von Datenlecks |
| Technologische Kontrollen | Anhang A 8.13 | Anhang A 12.3.1 | Informationssicherung |
| Technologische Kontrollen | Anhang A 8.14 | Anhang A 17.2.1 | Redundanz von Informationsverarbeitungseinrichtungen |
| Technologische Kontrollen | Anhang A 8.15 |
Anhang A 12.4.1 Anhang A 12.4.2 Anhang A 12.4.3 |
Protokollierung |
| Technologische Kontrollen | Anhang A 8.16 | NEU | Überwachungsaktivitäten |
| Technologische Kontrollen | Anhang A 8.17 | Anhang A 12.4.4 | Uhrensynchronisation |
| Technologische Kontrollen | Anhang A 8.18 | Anhang A 9.4.4 | Nutzung privilegierter DienstprogrammeZugriffsrechte |
| Technologische Kontrollen | Anhang A 8.19 |
Anhang A 12.5.1 Anhang A 12.6.2 |
Installation von Software auf Betriebssystemen |
| Technologische Kontrollen | Anhang A 8.20 | Anhang A 13.1.1 | Netzwerksicherheit |
| Technologische Kontrollen | Anhang A 8.21 | Anhang A 13.1.2 | Sicherheit von Netzwerkdiensten |
| Technologische Kontrollen | Anhang A 8.22 | Anhang A 13.1.3 | Trennung von Netzwerken |
| Technologische Kontrollen | Anhang A 8.23 | NEU | Web-Filter |
| Technologische Kontrollen | Anhang A 8.24 |
Anhang A 10.1.1 Anhang A 10.1.2 |
Verwendung von Kryptographie |
| Technologische Kontrollen | Anhang A 8.25 | Anhang A 14.2.1 | Sicherer Entwicklungslebenszyklus |
| Technologische Kontrollen | Anhang A 8.26 |
Anhang A 14.1.2 Anhang A 14.1.3 |
Anforderungen an die Anwendungssicherheit |
| Technologische Kontrollen | Anhang A 8.27 | Anhang A 14.2.5 | Sichere Systemarchitektur und technische Prinzipien. Lernen aus Informationssicherheitsvorfällen. |
| Technologische Kontrollen | Anhang A 8.28 | NEU | Sichere Codierung |
| Technologische Kontrollen | Anhang A 8.29 |
Anhang A 14.2.8 Anhang A 14.2.9 |
Sicherheitstests in Entwicklung und Akzeptanz |
| Technologische Kontrollen | Anhang A 8.30 | Anhang A 14.2.7 | Ausgelagerte Entwicklung |
| Technologische Kontrollen | Anhang A 8.31 |
Anhang A 12.1.4 Anhang A 14.2.6 |
Trennung von Entwicklungs-, Test- und Produktionsumgebungen |
| Technologische Kontrollen | Anhang A 8.32 |
Anhang A 12.1.2 Anhang A 14.2.2 Anhang A 14.2.3 Anhang A 14.2.4 |
Change Control |
| Technologische Kontrollen | Anhang A 8.33 | Anhang A 14.3.1 | Testinformationen |
| Technologische Kontrollen | Anhang A 8.34 | Anhang A 12.7.1 | Schutz von Informationssystemen während Audittests |
[case_study_slider ids=”88859,101932,92016″ autoplay=”true” autoplay_speed=”5000″]
Wie ISMS.online hilft
Die ISMS.online-Plattform bietet eine Vielzahl leistungsstarker Tools zur Dokumentation, Implementierung, Bewahrung und Verbesserung Ihrer Informationssicherheits-Managementsystem (ISMS) und die Einhaltung der ISO 27001:2022 wird einfacher.
Diese umfassende Sammlung von Tools bietet einen zentralen Ort, an dem Sie eine Reihe von Richtlinien und Verfahren anpassen können, um sie an die besonderen Risiken und Anforderungen Ihres Unternehmens anzupassen.
Kontaktieren Sie uns noch heute zu Vereinbaren Sie eine Vorführung.