ISO 27001:2022 Anhang A Kontrolle 7.5

Schutz vor physischen und umweltbedingten Bedrohungen

Demo buchen

Innenraum, eines, modernen, mehrstöckigen, Geschäftszentrums, mit, großen, Fenstern und

Organisationen müssen die Risiken berücksichtigen, die durch physische Bedrohungen ihrer Informationsressourcen entstehen.

Zu diesen Bedrohungen können Umweltschäden, Diebstahl, Zerstörung und Gefährdung der Daten gehören. Diese Probleme können alle zu einem Informationsverlust und der Möglichkeit der Offenlegung sensibler Daten führen.

Naturereignisse wie Erdbeben, Überschwemmungen und Waldbrände sowie von Menschen verursachte Katastrophen wie Unruhen und Straftaten stellen eine Bedrohung dar.

ISO 27001:2022 Anhang A 7.5 verlangt von Organisationen, die Risiken für lebenswichtige physische Infrastruktur durch physische und umweltbedingte Gefahren zu bewerten, zu erkennen und zu reduzieren.

Zweck von ISO 27001:2022 Anhang A 7.5

ISO 27001:2022 Anhang A 7.5 ermöglicht es Organisationen, die potenziellen Risiken durch Umwelt- und physische Bedrohungen einzuschätzen und diese Risiken durch die Umsetzung geeigneter Maßnahmen zu reduzieren oder zu beseitigen.

Eigentum an Anlage A 7.5

ISO 27001:2022 Anhang A 7.5 verlangt von Organisationen, dass sie eine umfassende Risikobewertung durchführen, bevor sie physische Arbeiten am Betriebsgelände durchführen, und geeignete Maßnahmen ergreifen, die im Verhältnis zum identifizierten Risiko stehen.

Oberste Sicherheitsbeamte sind für die Erstellung, Steuerung, Implementierung und Bewertung des gesamten Prozesses verantwortlich.

Zum Thema springen

Leitfaden zur Einhaltung von ISO 27001:2022 Anhang A 7.5

ISO 27001:2022 Anhang A 7.5 beschreibt eine dreiteilige Strategie zur Erkennung und Beseitigung potenzieller Gefahren aus physischen und umweltbedingten Quellen.

Schritt 1 – Führen Sie eine Risikobewertung durch

Organisationen sollten Folgendes durchführen: Risikobewertung um alle potenziellen physischen und umweltbedingten Gefahren zu identifizieren, die auf ihrem Gelände auftreten können, und dann die möglichen Auswirkungen dieser identifizierten physischen und umweltbezogenen Risiken abzuschätzen.

Angesichts der Vielfalt der Umweltbedingungen und physischen Risiken, denen jedes Gebäude und jede Infrastruktur ausgesetzt sein kann, unterscheiden sich die Art der Bedrohung und das festgestellte Risikoniveau je nach Standort.

Ein Grundstück kann besonders anfällig für Waldbrände sein, während ein anderes in einem erdbebengefährdeten Gebiet liegt.

Es ist unbedingt erforderlich, dass vor Beginn der Tätigkeiten vor Ort eine Gefährdungsbeurteilung gemäß Anhang A 7.5 durchgeführt wird.

Schritt 2 – Kontrollen einrichten und anwenden

Angesichts der Art der Bedrohung und des damit verbundenen Risikos, die zunächst identifiziert wurden, sollten Unternehmen die richtigen Kontrollen implementieren und dabei die möglichen Folgen von Umwelt- und physischen Bedrohungen berücksichtigen.

ISO 27001:2022 Anhang A 7.5 bietet Beispiele für Kontrollen, die zur Bekämpfung verschiedener Bedrohungen implementiert werden können:

  • Organisationen sollten Systeme installieren, die sie vor Bränden warnen und Feuerlöschsysteme aktivieren können, um digitale Medien und Informationssysteme vor Zerstörung zu schützen.

  • Es sollten Systeme implementiert und eingerichtet werden, um Überschwemmungen an Orten zu erkennen, an denen Daten gespeichert werden. Darüber hinaus sollten Wasserpumpen für den Einsatz im Hochwasserfall vorbereitet sein.

  • Server und Datenverarbeitungssysteme müssen vor Überspannungen geschützt werden. Regelmäßige Wartung und Schutz sind für eine optimale Leistung unerlässlich.

  • Organisationen sollten regelmäßig auditieren und inspizieren Sie Personen, Gegenstände und Fahrzeuge, die kritische Infrastrukturstandorte betreten.

Schritt 3 – Überwachung

Verfolgen Sie den Fortschritt und nehmen Sie bei Bedarf Anpassungen vor. Bewerten Sie die Ergebnisse regelmäßig und nehmen Sie Änderungen vor, um sicherzustellen, dass die Ziele erreicht werden. Stellen Sie sicher, dass Sie alle Änderungen zum späteren Nachschlagen dokumentieren.

Ergänzende Hinweise zu Anhang A 7.5

ISO 27001:2022 Anhang A 7.5 beschreibt vier Überlegungen, die Organisationen berücksichtigen sollten.

Beratung mit Experten

Jede Umwelt- und physische Bedrohung, wie Giftmüll, Erdbeben und Feuer, unterscheidet sich hinsichtlich ihrer Eigenschaften, der von ihr ausgehenden Gefahr und der zu ergreifenden Maßnahmen.

Organisationen sollten sich von Experten beraten lassen, wie sie die von diesen Bedrohungen ausgehenden Risiken erkennen, reduzieren und/oder bewältigen können.

Standortwahl für Räumlichkeiten

Die Berücksichtigung des örtlichen Geländes, des Wasserstands und der tektonischen Aktivität eines potenziellen Standorts für ein Gebäude kann dabei helfen, potenzielle Risiken frühzeitig zu erkennen und zu beseitigen.

Organisationen sollten die Gefahren von durch Menschen verursachten Katastrophen im ausgewählten Stadtgebiet berücksichtigen, beispielsweise politische Unruhen und kriminelles Verhalten.

Zusätzliche Sicherheitsebene

Der Einsatz sicherer Aufbewahrungsmethoden wie Tresore bietet zusätzlich zu den bestehenden Sicherheitsmaßnahmen einen zusätzlichen Schutz vor Katastrophen wie Bränden und Überschwemmungen.

Kriminalprävention durch Umweltdesign

ISO 27001:2022 Anhang A 7.5 schlägt vor, dass Organisationen dieses Konzept bei der Einführung von Kontrollen zur Stärkung der Gebäudesicherheit berücksichtigen. Dieser Ansatz kann zur Bekämpfung städtischer Bedrohungen wie krimineller Aktivitäten, Unruhen und Terrorismus eingesetzt werden.

Änderungen und Unterschiede zu ISO 27001:2013

ISO 27001:2022 Anhang A 7.5 ersetzt ISO 27001:2013 Anhang A 11.1.4 in der überarbeiteten Norm.

Die Version 2013 konzentrierte sich darauf, wie Organisationen vorbeugende Maßnahmen gegen physische und umweltbedingte Bedrohungen ergreifen sollten, während die Version 2022 umfassender ist und die spezifischen Schritte darlegt, die Organisationen unternehmen sollten, um die Anforderungen einzuhalten.

Zusammenfassend fallen zwei Hauptunterschiede auf.

Die Version 2022 bietet Hinweise zu Versammlungsbestimmungen

Die Ausgabe 2013 enthielt keine Leitlinien dazu, wie Organisationen Risiken erkennen und reduzieren können, die durch Umwelt- und physikalische Gefahren verursacht werden.

Die Version 2022 beschreibt einen dreistufigen Prozess, den Organisationen implementieren müssen, beginnend mit einer Risikobewertung.

Die Revision 2022 ermutigt Organisationen, eine zusätzliche Maßnahmenebene einzuführen

Die ergänzenden Leitlinien für 2022 umfassen den Einsatz von Tresoren und die Kriminalprävention durch Umweltdesign als Mittel zur Erhöhung der Sicherheit vor Bedrohungen.

Im Jahr 2013 wurden jedoch keine zusätzlichen Schritte unternommen.

Tabelle aller ISO 27001:2022 Anhang A-Kontrollen

In der folgenden Tabelle finden Sie weitere Informationen zu jeder einzelnen ISO 27001:2022 Anhang A-Kontrolle.

ISO 27001:2022 Organisationskontrollen

Anhang A KontrolltypISO/IEC 27001:2022 Anhang A KennungISO/IEC 27001:2013 Anhang A KennungAnhang A Name
Organisatorische KontrollenAnhang A 5.1Anhang A 5.1.1
Anhang A 5.1.2		Richtlinien zur Informationssicherheit
Organisatorische KontrollenAnhang A 5.2Anhang A 6.1.1Rollen und Verantwortlichkeiten im Bereich Informationssicherheit
Organisatorische KontrollenAnhang A 5.3Anhang A 6.1.2Aufgabentrennung
Organisatorische KontrollenAnhang A 5.4Anhang A 7.2.1Führungsaufgaben
Organisatorische KontrollenAnhang A 5.5Anhang A 6.1.3Kontakt mit Behörden
Organisatorische KontrollenAnhang A 5.6Anhang A 6.1.4Kontakt mit speziellen Interessengruppen
Organisatorische KontrollenAnhang A 5.7NEU!Threat Intelligence
Organisatorische KontrollenAnhang A 5.8Anhang A 6.1.5
Anhang A 14.1.1		Informationssicherheit im Projektmanagement
Organisatorische KontrollenAnhang A 5.9Anhang A 8.1.1
Anhang A 8.1.2		Inventar der Informationen und anderer damit verbundener Vermögenswerte
Organisatorische KontrollenAnhang A 5.10Anhang A 8.1.3
Anhang A 8.2.3		Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten
Organisatorische KontrollenAnhang A 5.11Anhang A 8.1.4Rückgabe von Vermögenswerten
Organisatorische KontrollenAnhang A 5.12Anhang A 8.2.1Klassifizierung von Informationen
Organisatorische KontrollenAnhang A 5.13Anhang A 8.2.2Kennzeichnung von Informationen
Organisatorische KontrollenAnhang A 5.14Anhang A 13.2.1
Anhang A 13.2.2
Anhang A 13.2.3		Informationsübertragung
Organisatorische KontrollenAnhang A 5.15Anhang A 9.1.1
Anhang A 9.1.2		Access Control
Organisatorische KontrollenAnhang A 5.16Anhang A 9.2.1Identitätsmanagement
Organisatorische KontrollenAnhang A 5.17Anhang A 9.2.4
Anhang A 9.3.1
Anhang A 9.4.3		Authentifizierungsinformationen
Organisatorische KontrollenAnhang A 5.18Anhang A 9.2.2
Anhang A 9.2.5
Anhang A 9.2.6		Zugangsrechte
Organisatorische KontrollenAnhang A 5.19Anhang A 15.1.1Informationssicherheit in Lieferantenbeziehungen
Organisatorische KontrollenAnhang A 5.20Anhang A 15.1.2Adressierung der Informationssicherheit in Lieferantenvereinbarungen
Organisatorische KontrollenAnhang A 5.21Anhang A 15.1.3Management der Informationssicherheit in der IKT-Lieferkette
Organisatorische KontrollenAnhang A 5.22Anhang A 15.2.1
Anhang A 15.2.2		Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen
Organisatorische KontrollenAnhang A 5.23NEU!Informationssicherheit für die Nutzung von Cloud-Diensten
Organisatorische KontrollenAnhang A 5.24Anhang A 16.1.1Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen
Organisatorische KontrollenAnhang A 5.25Anhang A 16.1.4Bewertung und Entscheidung zu Informationssicherheitsereignissen
Organisatorische KontrollenAnhang A 5.26Anhang A 16.1.5Reaktion auf Informationssicherheitsvorfälle
Organisatorische KontrollenAnhang A 5.27Anhang A 16.1.6Aus Informationssicherheitsvorfällen lernen
Organisatorische KontrollenAnhang A 5.28Anhang A 16.1.7Beweissammlung
Organisatorische KontrollenAnhang A 5.29Anhang A 17.1.1
Anhang A 17.1.2
Anhang A 17.1.3		Informationssicherheit bei Störungen
Organisatorische KontrollenAnhang A 5.30NEU!IKT-Bereitschaft für Geschäftskontinuität
Organisatorische KontrollenAnhang A 5.31Anhang A 18.1.1
Anhang A 18.1.5		Rechtliche, gesetzliche, behördliche und vertragliche Anforderungen
Organisatorische KontrollenAnhang A 5.32Anhang A 18.1.2Rechte an geistigem Eigentum
Organisatorische KontrollenAnhang A 5.33Anhang A 18.1.3Schutz von Aufzeichnungen
Organisatorische KontrollenAnhang A 5.34 Anhang A 18.1.4Datenschutz und Schutz personenbezogener Daten
Organisatorische KontrollenAnhang A 5.35Anhang A 18.2.1Unabhängige Überprüfung der Informationssicherheit
Organisatorische KontrollenAnhang A 5.36Anhang A 18.2.2
Anhang A 18.2.3		Einhaltung von Richtlinien, Regeln und Standards für die Informationssicherheit
Organisatorische KontrollenAnhang A 5.37Anhang A 12.1.1Dokumentierte Betriebsabläufe

ISO 27001:2022 Personenkontrollen

Anhang A KontrolltypISO/IEC 27001:2022 Anhang A KennungISO/IEC 27001:2013 Anhang A KennungAnhang A Name
MenschenkontrollenAnhang A 6.1Anhang A 7.1.1Untersuchungen
MenschenkontrollenAnhang A 6.2Anhang A 7.1.2Allgemeine Geschäftsbedingungen
MenschenkontrollenAnhang A 6.3Anhang A 7.2.2Informationssicherheitsbewusstsein, Bildung und Schulung
MenschenkontrollenAnhang A 6.4Anhang A 7.2.3Disziplinarverfahren
MenschenkontrollenAnhang A 6.5Anhang A 7.3.1Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses
MenschenkontrollenAnhang A 6.6Anhang A 13.2.4Vertraulichkeits- oder Geheimhaltungsvereinbarungen
MenschenkontrollenAnhang A 6.7Anhang A 6.2.2Fernarbeit
MenschenkontrollenAnhang A 6.8Anhang A 16.1.2
Anhang A 16.1.3		Berichterstattung über Informationssicherheitsereignisse

Physische Kontrollen nach ISO 27001:2022

Anhang A KontrolltypISO/IEC 27001:2022 Anhang A KennungISO/IEC 27001:2013 Anhang A KennungAnhang A Name
Physikalische KontrollenAnhang A 7.1Anhang A 11.1.1Physische Sicherheitsbereiche
Physikalische KontrollenAnhang A 7.2Anhang A 11.1.2
Anhang A 11.1.6		Physischer Eintritt
Physikalische KontrollenAnhang A 7.3Anhang A 11.1.3Sicherung von Büros, Räumen und Einrichtungen
Physikalische KontrollenAnhang A 7.4NEU!Physische Sicherheitsüberwachung
Physikalische KontrollenAnhang A 7.5Anhang A 11.1.4Schutz vor physischen und umweltbedingten Bedrohungen
Physikalische KontrollenAnhang A 7.6Anhang A 11.1.5Arbeiten in sicheren Bereichen
Physikalische KontrollenAnhang A 7.7Anhang A 11.2.9Klarer Schreibtisch und klarer Bildschirm
Physikalische KontrollenAnhang A 7.8Anhang A 11.2.1Standort und Schutz der Ausrüstung
Physikalische KontrollenAnhang A 7.9Anhang A 11.2.6Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes
Physikalische KontrollenAnhang A 7.10Anhang A 8.3.1
Anhang A 8.3.2
Anhang A 8.3.3
 Anhang A 11.2.5		Speichermedien
Physikalische KontrollenAnhang A 7.11Anhang A 11.2.2Unterstützende Dienstprogramme
Physikalische KontrollenAnhang A 7.12Anhang A 11.2.3Verkabelungssicherheit
Physikalische KontrollenAnhang A 7.13Anhang A 11.2.4Wartung der Ausrüstung
Physikalische KontrollenAnhang A 7.14Anhang A 11.2.7Sichere Entsorgung oder Wiederverwendung von Geräten

ISO 27001:2022 Technologische Kontrollen

Anhang A KontrolltypISO/IEC 27001:2022 Anhang A KennungISO/IEC 27001:2013 Anhang A KennungAnhang A Name
Technologische KontrollenAnhang A 8.1Anhang A 6.2.1
Anhang A 11.2.8		Benutzer-Endpunktgeräte
Technologische KontrollenAnhang A 8.2Anhang A 9.2.3Privilegierte Zugriffsrechte
Technologische KontrollenAnhang A 8.3Anhang A 9.4.1Beschränkung des Informationszugriffs
Technologische KontrollenAnhang A 8.4Anhang A 9.4.5Zugang zum Quellcode
Technologische KontrollenAnhang A 8.5Anhang A 9.4.2Sichere Authentifizierung
Technologische KontrollenAnhang A 8.6Anhang A 12.1.3Kapazitätsmanagement
Technologische KontrollenAnhang A 8.7Anhang A 12.2.1Schutz vor Malware
Technologische KontrollenAnhang A 8.8Anhang A 12.6.1
Anhang A 18.2.3		Management technischer Schwachstellen
Technologische KontrollenAnhang A 8.9NEU!Configuration Management
Technologische KontrollenAnhang A 8.10NEU!Löschen von Informationen
Technologische KontrollenAnhang A 8.11NEU!Datenmaskierung
Technologische KontrollenAnhang A 8.12NEU!Verhinderung von Datenlecks
Technologische KontrollenAnhang A 8.13Anhang A 12.3.1Informationssicherung
Technologische KontrollenAnhang A 8.14Anhang A 17.2.1Redundanz von Informationsverarbeitungseinrichtungen
Technologische KontrollenAnhang A 8.15Anhang A 12.4.1
Anhang A 12.4.2
Anhang A 12.4.3		Protokollierung
Technologische KontrollenAnhang A 8.16NEU!Überwachungsaktivitäten
Technologische KontrollenAnhang A 8.17Anhang A 12.4.4Uhrensynchronisation
Technologische KontrollenAnhang A 8.18Anhang A 9.4.4Verwendung von Privileged Utility-Programmen
Technologische KontrollenAnhang A 8.19Anhang A 12.5.1
Anhang A 12.6.2		Installation von Software auf Betriebssystemen
Technologische KontrollenAnhang A 8.20Anhang A 13.1.1Netzwerksicherheit
Technologische KontrollenAnhang A 8.21Anhang A 13.1.2Sicherheit von Netzwerkdiensten
Technologische KontrollenAnhang A 8.22Anhang A 13.1.3Trennung von Netzwerken
Technologische KontrollenAnhang A 8.23NEU!Web-Filter
Technologische KontrollenAnhang A 8.24Anhang A 10.1.1
Anhang A 10.1.2		Verwendung von Kryptographie
Technologische KontrollenAnhang A 8.25Anhang A 14.2.1Sicherer Entwicklungslebenszyklus
Technologische KontrollenAnhang A 8.26Anhang A 14.1.2
Anhang A 14.1.3		Anforderungen an die Anwendungssicherheit
Technologische KontrollenAnhang A 8.27Anhang A 14.2.5Sichere Systemarchitektur und technische Prinzipien
Technologische KontrollenAnhang A 8.28NEU!Sichere Codierung
Technologische KontrollenAnhang A 8.29Anhang A 14.2.8
Anhang A 14.2.9		Sicherheitstests in Entwicklung und Akzeptanz
Technologische KontrollenAnhang A 8.30Anhang A 14.2.7Ausgelagerte Entwicklung
Technologische KontrollenAnhang A 8.31Anhang A 12.1.4
Anhang A 14.2.6		Trennung von Entwicklungs-, Test- und Produktionsumgebungen
Technologische KontrollenAnhang A 8.32Anhang A 12.1.2
Anhang A 14.2.2
Anhang A 14.2.3
Anhang A 14.2.4		Änderungsmanagement
Technologische KontrollenAnhang A 8.33Anhang A 14.3.1Testinformationen
Technologische KontrollenAnhang A 8.34Anhang A 12.7.1Schutz von Informationssystemen während Audittests

Wie ISMS.online hilft

Die ISMS.online-Plattform bietet eine Vielzahl leistungsstarker Tools zur Dokumentation, Implementierung, Bewahrung und Verbesserung Ihrer Informationssicherheits-Managementsystem (ISMS) und die Einhaltung der ISO 27001:2022 wird einfacher.

Diese umfassende Sammlung von Tools bietet einen zentralen Ort, an dem Sie eine Reihe von Richtlinien und Verfahren anpassen können, um sie an die besonderen Risiken und Anforderungen Ihres Unternehmens anzupassen.

Kontaktieren Sie uns noch heute zu Vereinbaren Sie eine Vorführung.

Siehe ISMS.online
in Aktion

Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo

Unternehmen auf der ganzen Welt vertrauen darauf
  • Einfach und leicht zu bedienen
  • Entwickelt für den Erfolg von ISO 27001
  • Spart Ihnen Zeit und Geld
Buchen Sie Ihre Demo
img

ISMS.online unterstützt jetzt ISO 42001 – das weltweit erste KI-Managementsystem. Klicken Sie hier, um mehr zu erfahren