ISO 27001:2022 Anhang A 7.2 betont die Anforderung an Organisationen, Bereiche durch den Einsatz geeigneter Zugangskontrollen und Zugangspunkte zu sichern.
Zutrittskontrollen und Zugangspunkte sind für das Sicherheitssystem eines jeden Gebäudes von entscheidender Bedeutung. Sie ermöglichen den Bewohnern den Ein- und Ausstieg unter Wahrung der Sicherheit und können Personen, die nicht dazu berechtigt oder erwünscht sind, am Zutritt hindern.
Zutrittskontrollsysteme ermöglichen den Zugang zu einem Gebäude über Türen und Tore, einschließlich Tastaturen, Kartenlesern, biometrischen Scannern und Anhängern. Darüber hinaus bieten sie Schließmechanismen für Türen und Tore sowie Drehkreuze und Karusselltüren.
Ein Access Point ist ein elektronisches Gerät, das die Sicherheit in großen Gewerbegebäuden gewährleistet. Es nutzt RFID-Technologie, um alle Bewegungen innerhalb und außerhalb des Geländes zu verfolgen. Der Zugangspunkt sendet Daten zurück an die Zentrale, sodass das Sicherheitspersonal beobachten kann, wann jemand die Einrichtung betritt oder verlässt und welche Bereiche er während seines Aufenthalts betritt.
Buchen Sie ein 30-minütiges Gespräch mit uns und wir zeigen Ihnen wie
ISO 27001:2022 Anhang A Control 7.2 garantiert nur autorisierten physischen Zugriff auf die Daten der Organisation und andere damit verbundene Vermögenswerte.
Die physische Sicherheit ist für die Wahrung der Vertraulichkeit, Integrität und Zugänglichkeit von Informationsressourcen von größter Bedeutung. Anhang A Kontrolle 7.2 von ISO 27001:2022 Es geht in erster Linie darum, Daten und andere damit verbundene Vermögenswerte vor unbefugtem Zugriff, Diebstahl oder Verlust zu schützen. Daher sollten die erforderlichen Zugangs- und Zugangspunkte implementiert werden, um sicherzustellen, dass nur autorisiertes Personal Zugang hat sichere Bereiche.
Es sollten Kontrollen implementiert werden, um eine angemessene Sicherheit dafür zu gewährleisten, dass nur autorisierte Personen physischen Zugang haben und dass sie genau identifiziert werden.
Der Einsatz von Schlössern, Schlüsseln (manuell und elektronisch), Sicherheitspersonal, Überwachungssystemen und anderen Barrieren an Eingängen und Zugangspunkten sollte implementiert werden. Zur Sicherung sensibler Bereiche innerhalb der Einrichtung sollten Zugangskontrollsysteme wie Passwörter, Kartenschlüssel oder biometrische Geräte eingesetzt werden.
Um die Anforderungen der Umsetzung von Anhang A 7.2 zu erfüllen, müssen Organisationen Zugangspunkte wie Liefer- und Ladezonen und andere Zugangspunkte zu den Räumlichkeiten von ihren IT-Einrichtungen kontrollieren und, wenn möglich, von ihren IT-Einrichtungen trennen, um unbefugten Zugriff zu verhindern. Diese Bereiche sollten nur autorisiertem Personal vorbehalten sein.
Das Dokument ISO 27001:2022 bietet Umsetzungsleitfäden für Anhang A 7.2, die dabei helfen, die Anforderungen an Personal, Besucher und Zusteller zu erfüllen. Um diese Richtlinien anzuzeigen, greifen Sie auf die überarbeitete Version des Standards zu.
Anhang A 7.2 in ISO 27001:2022 ist keine neue Maßnahme, sondern eine Kombination aus Annex A Controls 11.1.2 und 11.1.6 aus ISO 27001:2013. Diese Zwei Anhang-A-Kontrollen wurden in ISO 27001:2022 überarbeitet um es intuitiver als ISO 27001:2013 zu machen.
Anhang A Kontrolle 11.1.2 – Physische Zugangskontrollen erfordern, dass sichere Bereiche durch ordnungsgemäße Zugangskontrollen geschützt werden, sodass nur autorisiertes Personal Zutritt erhält. In diesem Teil der Norm werden die Maßnahmen beschrieben, die Organisationen ergreifen können, um sicherzustellen, dass nur Personen Zutritt zu bestimmten Zwecken erhalten.
Die Verordnung verlangt, dass für autorisiertes Personal eine Zwei-Faktor-Authentifizierung eingeführt wird, um Zugang zu sensiblen Bereichen der Informationssicherheit zu erhalten, mit einem physischen Logbuch oder einem elektronischen Prüfprotokoll zur Unterstützung.
Anhang A Kontrolle 11.1.6 – Liefer- und Ladebereiche schreibt vor, dass der Zugang zu diesen Bereichen nur autorisiertem Personal vorbehalten sein sollte. Es wird empfohlen, sie so zu gestalten, dass sie von den Betriebsbereichen getrennt sind und so verhindern, dass das Lieferpersonal andere Teile des Gebäudes betritt.
Letztendlich sind Annex A Control 7.2 und Annex A Controls 11.1.2 und 11.1.6 im Wesentlichen vergleichbar. Der Hauptunterschied besteht darin, dass Anhang A 11.1.2 und Anhang A 11.1.6 zur Verbesserung der Benutzerfreundlichkeit zusammengelegt wurden.
In der Version 2022 von ISO 27001 waren eine Attributtabelle und ein Kontrollzweck enthalten, die in den Kontrollen der Version 2013 fehlten.
In der folgenden Tabelle finden Sie weitere Informationen zu jeder einzelnen ISO 27001:2022 Anhang A-Kontrolle.
| Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
|---|---|---|---|
| Organisatorische Kontrollen | Anhang A 5.1 | Anhang A 5.1.1 Anhang A 5.1.2 | Richtlinien zur Informationssicherheit |
| Organisatorische Kontrollen | Anhang A 5.2 | Anhang A 6.1.1 | Rollen und Verantwortlichkeiten im Bereich Informationssicherheit |
| Organisatorische Kontrollen | Anhang A 5.3 | Anhang A 6.1.2 | Aufgabentrennung |
| Organisatorische Kontrollen | Anhang A 5.4 | Anhang A 7.2.1 | Führungsaufgaben |
| Organisatorische Kontrollen | Anhang A 5.5 | Anhang A 6.1.3 | Kontakt mit Behörden |
| Organisatorische Kontrollen | Anhang A 5.6 | Anhang A 6.1.4 | Kontakt mit speziellen Interessengruppen |
| Organisatorische Kontrollen | Anhang A 5.7 | NEU! | Threat Intelligence |
| Organisatorische Kontrollen | Anhang A 5.8 | Anhang A 6.1.5 Anhang A 14.1.1 | Informationssicherheit im Projektmanagement |
| Organisatorische Kontrollen | Anhang A 5.9 | Anhang A 8.1.1 Anhang A 8.1.2 | Inventar der Informationen und anderer damit verbundener Vermögenswerte |
| Organisatorische Kontrollen | Anhang A 5.10 | Anhang A 8.1.3 Anhang A 8.2.3 | Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten |
| Organisatorische Kontrollen | Anhang A 5.11 | Anhang A 8.1.4 | Rückgabe von Vermögenswerten |
| Organisatorische Kontrollen | Anhang A 5.12 | Anhang A 8.2.1 | Klassifizierung von Informationen |
| Organisatorische Kontrollen | Anhang A 5.13 | Anhang A 8.2.2 | Kennzeichnung von Informationen |
| Organisatorische Kontrollen | Anhang A 5.14 | Anhang A 13.2.1 Anhang A 13.2.2 Anhang A 13.2.3 | Informationsübertragung |
| Organisatorische Kontrollen | Anhang A 5.15 | Anhang A 9.1.1 Anhang A 9.1.2 | Access Control |
| Organisatorische Kontrollen | Anhang A 5.16 | Anhang A 9.2.1 | Identitätsmanagement |
| Organisatorische Kontrollen | Anhang A 5.17 | Anhang A 9.2.4 Anhang A 9.3.1 Anhang A 9.4.3 | Authentifizierungsinformationen |
| Organisatorische Kontrollen | Anhang A 5.18 | Anhang A 9.2.2 Anhang A 9.2.5 Anhang A 9.2.6 | Zugangsrechte |
| Organisatorische Kontrollen | Anhang A 5.19 | Anhang A 15.1.1 | Informationssicherheit in Lieferantenbeziehungen |
| Organisatorische Kontrollen | Anhang A 5.20 | Anhang A 15.1.2 | Adressierung der Informationssicherheit in Lieferantenvereinbarungen |
| Organisatorische Kontrollen | Anhang A 5.21 | Anhang A 15.1.3 | Management der Informationssicherheit in der IKT-Lieferkette |
| Organisatorische Kontrollen | Anhang A 5.22 | Anhang A 15.2.1 Anhang A 15.2.2 | Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen |
| Organisatorische Kontrollen | Anhang A 5.23 | NEU! | Informationssicherheit für die Nutzung von Cloud-Diensten |
| Organisatorische Kontrollen | Anhang A 5.24 | Anhang A 16.1.1 | Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen |
| Organisatorische Kontrollen | Anhang A 5.25 | Anhang A 16.1.4 | Bewertung und Entscheidung zu Informationssicherheitsereignissen |
| Organisatorische Kontrollen | Anhang A 5.26 | Anhang A 16.1.5 | Reaktion auf Informationssicherheitsvorfälle |
| Organisatorische Kontrollen | Anhang A 5.27 | Anhang A 16.1.6 | Aus Informationssicherheitsvorfällen lernen |
| Organisatorische Kontrollen | Anhang A 5.28 | Anhang A 16.1.7 | Beweissammlung |
| Organisatorische Kontrollen | Anhang A 5.29 | Anhang A 17.1.1 Anhang A 17.1.2 Anhang A 17.1.3 | Informationssicherheit bei Störungen |
| Organisatorische Kontrollen | Anhang A 5.30 | NEU! | IKT-Bereitschaft für Geschäftskontinuität |
| Organisatorische Kontrollen | Anhang A 5.31 | Anhang A 18.1.1 Anhang A 18.1.5 | Rechtliche, gesetzliche, behördliche und vertragliche Anforderungen |
| Organisatorische Kontrollen | Anhang A 5.32 | Anhang A 18.1.2 | Rechte an geistigem Eigentum |
| Organisatorische Kontrollen | Anhang A 5.33 | Anhang A 18.1.3 | Schutz von Aufzeichnungen |
| Organisatorische Kontrollen | Anhang A 5.34 | Anhang A 18.1.4 | Datenschutz und Schutz personenbezogener Daten |
| Organisatorische Kontrollen | Anhang A 5.35 | Anhang A 18.2.1 | Unabhängige Überprüfung der Informationssicherheit |
| Organisatorische Kontrollen | Anhang A 5.36 | Anhang A 18.2.2 Anhang A 18.2.3 | Einhaltung von Richtlinien, Regeln und Standards für die Informationssicherheit |
| Organisatorische Kontrollen | Anhang A 5.37 | Anhang A 12.1.1 | Dokumentierte Betriebsabläufe |
| Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
|---|---|---|---|
| Menschenkontrollen | Anhang A 6.1 | Anhang A 7.1.1 | Untersuchungen |
| Menschenkontrollen | Anhang A 6.2 | Anhang A 7.1.2 | Allgemeine Geschäftsbedingungen |
| Menschenkontrollen | Anhang A 6.3 | Anhang A 7.2.2 | Informationssicherheitsbewusstsein, Bildung und Schulung |
| Menschenkontrollen | Anhang A 6.4 | Anhang A 7.2.3 | Disziplinarverfahren |
| Menschenkontrollen | Anhang A 6.5 | Anhang A 7.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| Menschenkontrollen | Anhang A 6.6 | Anhang A 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| Menschenkontrollen | Anhang A 6.7 | Anhang A 6.2.2 | Fernarbeit |
| Menschenkontrollen | Anhang A 6.8 | Anhang A 16.1.2 Anhang A 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
| Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
|---|---|---|---|
| Physikalische Kontrollen | Anhang A 7.1 | Anhang A 11.1.1 | Physische Sicherheitsbereiche |
| Physikalische Kontrollen | Anhang A 7.2 | Anhang A 11.1.2 Anhang A 11.1.6 | Physischer Eintritt |
| Physikalische Kontrollen | Anhang A 7.3 | Anhang A 11.1.3 | Sicherung von Büros, Räumen und Einrichtungen |
| Physikalische Kontrollen | Anhang A 7.4 | NEU! | Physische Sicherheitsüberwachung |
| Physikalische Kontrollen | Anhang A 7.5 | Anhang A 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| Physikalische Kontrollen | Anhang A 7.6 | Anhang A 11.1.5 | Arbeiten in sicheren Bereichen |
| Physikalische Kontrollen | Anhang A 7.7 | Anhang A 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| Physikalische Kontrollen | Anhang A 7.8 | Anhang A 11.2.1 | Standort und Schutz der Ausrüstung |
| Physikalische Kontrollen | Anhang A 7.9 | Anhang A 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| Physikalische Kontrollen | Anhang A 7.10 | Anhang A 8.3.1 Anhang A 8.3.2 Anhang A 8.3.3 Anhang A 11.2.5 | Speichermedien |
| Physikalische Kontrollen | Anhang A 7.11 | Anhang A 11.2.2 | Unterstützende Dienstprogramme |
| Physikalische Kontrollen | Anhang A 7.12 | Anhang A 11.2.3 | Verkabelungssicherheit |
| Physikalische Kontrollen | Anhang A 7.13 | Anhang A 11.2.4 | Wartung der Ausrüstung |
| Physikalische Kontrollen | Anhang A 7.14 | Anhang A 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
| Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
|---|---|---|---|
| Technologische Kontrollen | Anhang A 8.1 | Anhang A 6.2.1 Anhang A 11.2.8 | Benutzer-Endpunktgeräte |
| Technologische Kontrollen | Anhang A 8.2 | Anhang A 9.2.3 | Privilegierte Zugriffsrechte |
| Technologische Kontrollen | Anhang A 8.3 | Anhang A 9.4.1 | Beschränkung des Informationszugriffs |
| Technologische Kontrollen | Anhang A 8.4 | Anhang A 9.4.5 | Zugang zum Quellcode |
| Technologische Kontrollen | Anhang A 8.5 | Anhang A 9.4.2 | Sichere Authentifizierung |
| Technologische Kontrollen | Anhang A 8.6 | Anhang A 12.1.3 | Kapazitätsmanagement |
| Technologische Kontrollen | Anhang A 8.7 | Anhang A 12.2.1 | Schutz vor Malware |
| Technologische Kontrollen | Anhang A 8.8 | Anhang A 12.6.1 Anhang A 18.2.3 | Management technischer Schwachstellen |
| Technologische Kontrollen | Anhang A 8.9 | NEU! | Configuration Management |
| Technologische Kontrollen | Anhang A 8.10 | NEU! | Löschen von Informationen |
| Technologische Kontrollen | Anhang A 8.11 | NEU! | Datenmaskierung |
| Technologische Kontrollen | Anhang A 8.12 | NEU! | Verhinderung von Datenlecks |
| Technologische Kontrollen | Anhang A 8.13 | Anhang A 12.3.1 | Informationssicherung |
| Technologische Kontrollen | Anhang A 8.14 | Anhang A 17.2.1 | Redundanz von Informationsverarbeitungseinrichtungen |
| Technologische Kontrollen | Anhang A 8.15 | Anhang A 12.4.1 Anhang A 12.4.2 Anhang A 12.4.3 | Protokollierung |
| Technologische Kontrollen | Anhang A 8.16 | NEU! | Überwachungsaktivitäten |
| Technologische Kontrollen | Anhang A 8.17 | Anhang A 12.4.4 | Uhrensynchronisation |
| Technologische Kontrollen | Anhang A 8.18 | Anhang A 9.4.4 | Verwendung von Privileged Utility-Programmen |
| Technologische Kontrollen | Anhang A 8.19 | Anhang A 12.5.1 Anhang A 12.6.2 | Installation von Software auf Betriebssystemen |
| Technologische Kontrollen | Anhang A 8.20 | Anhang A 13.1.1 | Netzwerksicherheit |
| Technologische Kontrollen | Anhang A 8.21 | Anhang A 13.1.2 | Sicherheit von Netzwerkdiensten |
| Technologische Kontrollen | Anhang A 8.22 | Anhang A 13.1.3 | Trennung von Netzwerken |
| Technologische Kontrollen | Anhang A 8.23 | NEU! | Web-Filter |
| Technologische Kontrollen | Anhang A 8.24 | Anhang A 10.1.1 Anhang A 10.1.2 | Verwendung von Kryptographie |
| Technologische Kontrollen | Anhang A 8.25 | Anhang A 14.2.1 | Sicherer Entwicklungslebenszyklus |
| Technologische Kontrollen | Anhang A 8.26 | Anhang A 14.1.2 Anhang A 14.1.3 | Anforderungen an die Anwendungssicherheit |
| Technologische Kontrollen | Anhang A 8.27 | Anhang A 14.2.5 | Sichere Systemarchitektur und technische Prinzipien |
| Technologische Kontrollen | Anhang A 8.28 | NEU! | Sichere Codierung |
| Technologische Kontrollen | Anhang A 8.29 | Anhang A 14.2.8 Anhang A 14.2.9 | Sicherheitstests in Entwicklung und Akzeptanz |
| Technologische Kontrollen | Anhang A 8.30 | Anhang A 14.2.7 | Ausgelagerte Entwicklung |
| Technologische Kontrollen | Anhang A 8.31 | Anhang A 12.1.4 Anhang A 14.2.6 | Trennung von Entwicklungs-, Test- und Produktionsumgebungen |
| Technologische Kontrollen | Anhang A 8.32 | Anhang A 12.1.2 Anhang A 14.2.2 Anhang A 14.2.3 Anhang A 14.2.4 | Änderungsmanagement |
| Technologische Kontrollen | Anhang A 8.33 | Anhang A 14.3.1 | Testinformationen |
| Technologische Kontrollen | Anhang A 8.34 | Anhang A 12.7.1 | Schutz von Informationssystemen während Audittests |
Die Kontrolle des physischen Zugangs ist für die Sicherheit jeder Organisation oder jedes Unternehmens von größter Bedeutung. Es ist wichtig sicherzustellen, dass kein unbefugtes Personal das Gelände betritt. Daher ist die Umsetzung strenger Maßnahmen unerlässlich.
Die Sicherheitsabteilung überwacht alle physischen Sicherheitsaspekte, beispielsweise die Zugangskontrolle. Sollten ihnen hierfür die nötigen Fachkenntnisse oder Ressourcen fehlen, können sie die Befugnisse einer anderen Abteilung übertragen.
IT-Teams sind auch für die physische Sicherheit von entscheidender Bedeutung. Sie gewährleisten, dass die zur physischen Sicherheit eingesetzten technischen Systeme aktuell und sicher sind. Wenn Ihre Organisation beispielsweise über ein Intrusion Detection System (IDS) am Eingang verfügt, die Software jedoch seit Monaten nicht erneuert wurde, ist sie möglicherweise nicht wirksam gegen Eindringlinge.
Ihr Unternehmen muss seine Informationssicherheitspraktiken nicht wesentlich ändern, da die überarbeitete Norm ISO 27001:2022 nur minimal angepasst wurde.
Wenn Sie über eine ISO 27001:2013-Zertifizierung verfügen, werden Sie feststellen, dass Ihr aktueller Informationssicherheitsmanagementansatz den neuen Standards entspricht.
Wenn Sie ganz von vorne beginnen, sollten Sie sich mit den Compliance-Anleitungen im neuen Standard vertraut machen.
Unsere Plattform Bietet Benutzern Zugriff auf alle relevanten Dokumentationen und Ressourcen, wie z. B. Richtlinien, Verfahren, Standards, Leitfäden und Informationen zu Compliance-Prozessen.
ISMS.online ist perfekt für Unternehmen, die Folgendes anstreben:
Unsere Plattform bietet maßgeschneiderte Dashboards, die Ihnen Echtzeit-Einblick in Ihren Compliance-Status gewähren.
Überwachen und verwalten Sie Ihre ISO 27001:2022-Compliance-Reise an einem Ort: Audits, Lückenanalyse, Schulungsmanagement, Risikobewertung und mehr.
Kontaktieren Sie uns jetzt, um Vereinbaren Sie eine Vorführung.
Ich habe ISO 27001 auf die harte Tour gemacht und schätze daher sehr, wie viel Zeit wir dadurch bei der Erlangung der ISO 27001-Zertifizierung gespart haben.
