Was ist Control 7.1?
Control 7.1 in der neuen ISO 27002:2022 deckt die Notwendigkeit ab, dass Organisationen Sicherheitsperimeter definieren und festlegen und diese Parameter verwenden, um Bereiche zu schützen, die Informationen und andere damit verbundene Vermögenswerte enthalten.
Informationen und Informationssicherheitsressourcen erklärt
Informationen können als alle Daten, Informationen oder Kenntnisse definiert werden, die für Ihre Organisation oder Ihr Unternehmen von Wert sind. Dazu gehören alle erhobenen Daten über Einzelpersonen, Kunden, Partner, Mitarbeiter und andere Stakeholder.
Informationssicherheitsressourcen können grob unterteilt werden in:
Datum
Daten werden oft mit Informationen verwechselt, es gibt jedoch einen Unterschied zwischen Daten und Informationen. Daten sind roh, unverarbeitet und in ihrem aktuellen Zustand oft unbrauchbar, während es sich bei Informationen um Daten handelt, die in verwertbare Informationen wie eine E-Mail-Adresse oder eine Telefonnummer verarbeitet wurden.
Infrastruktur
Unter Infrastruktur versteht man alle Komponenten, aus denen ein Netzwerk besteht, einschließlich Servern und anderen Geräten wie Druckern, Routern usw.
Zur Infrastruktur kann auch Software wie Betriebssysteme und Anwendungen gehören, die ebenso wie Hardware vor Cyberangriffen geschützt werden sollten, da beide mit Patches und Korrekturen für von Hackern entdeckte Schwachstellen auf dem neuesten Stand gehalten werden müssen, damit sie nicht beschädigt werden können Wird von böswilligen Hackern ausgenutzt, die Zugriff auf sensible Daten erhalten möchten.
Physische Sicherheitsbereiche erklärt
Physische Sicherheit bezieht sich auf alle physischen Maßnahmen, die die Einrichtungen und Vermögenswerte einer Organisation schützen. Die physische Sicherheit ist der grundlegendste und wichtigste Teil der Informationssicherheit. Es geht nicht nur darum, die Tür zu verschließen, sondern auch darum, zu wissen, wer wann, wo und wie Zugang zu was hat.
Physische Sicherheitsperimeter werden verwendet, um die physischen Grenzen eines Gebäudes oder Bereichs zu identifizieren und den Zugang dazu zu kontrollieren. Physische Sicherheitsbereiche können Zäune, Mauern, Tore und andere Barrieren umfassen, die den unbefugten Zutritt von Personen oder Fahrzeugen verhindern. Zusätzlich zu physischen Barrieren können elektronische Überwachungsgeräte wie Videoüberwachungskameras zur Überwachung der Aktivitäten außerhalb der Einrichtung eingesetzt werden.
Physische Sicherheitsbereiche bieten eine erste Verteidigungslinie gegen Eindringlinge, die versuchen könnten, über das Netzwerkkabel oder die drahtlose Verbindung in einem Unternehmen in Ihr Computersystem einzudringen. Sie werden häufig in Verbindung mit anderen Arten von Informationssicherheitskontrollen wie Identitätsmanagement, Zugangskontrolle und Einbruchmeldesystemen verwendet.
ISO 27001 leicht gemacht
Ein Vorsprung von 81 % vom ersten Tag an
Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.
Attributtabelle der Steuerung 7.1
Attribute sind eine Möglichkeit, Steuerelemente zu klassifizieren. Mithilfe von Attributen können Sie Ihre Steuerelementauswahl schnell mit typischen Branchenspezifikationen und -terminologien abgleichen. Die folgenden Steuerelemente sind in Steuerung 7.1 verfügbar.
| Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
|---|---|---|---|---|
| #Präventiv | #Vertraulichkeit | #Schützen | #Physische Sicherheit | #Schutz |
| #Integrität | ||||
| #Verfügbarkeit |
Kontrolle 7.1 stellt sicher, dass eine Organisation nachweisen kann, dass sie über angemessene physische Sicherheitsbereiche verfügt, um unbefugten physischen Zugriff auf Informationen und andere damit verbundene Vermögenswerte zu verhindern.
Dazu gehört die Vorbeugung von:
- Unbefugter Zutritt zu Gebäuden, Räumen oder Bereichen, die Informationswerte enthalten;
- Unbefugte Entfernung von Vermögenswerten aus Räumlichkeiten;
- Unbefugte Nutzung von Vermögenswerten auf dem Gelände (z. B. Computer und computerbezogene Geräte); Und
- Unbefugter Zugriff auf elektronische Kommunikationsgeräte wie Telefone, Faxgeräte und Computerterminals (z. B. unbefugte Manipulation).
Physische Sicherheitsperimeter können über die folgenden zwei Kategorien implementiert werden:
Physische Zugangskontrolle: Bietet Kontrolle über den Zutritt zu Einrichtungen und Gebäuden sowie die Bewegung darin. Zu diesen Kontrollen gehören das Verriegeln von Türen, die Verwendung von Alarmen an Türen, die Verwendung von Zäunen oder Barrieren rund um Einrichtungen usw.
Hardware-Sicherheit: Bietet Kontrolle über physische Geräte (z. B. Computer), die von einer Organisation zur Verarbeitung von Daten verwendet werden, z. B. Drucker und Scanner, die möglicherweise vertrauliche Informationen enthalten.
Die Umsetzung dieser Kontrolle kann auch die unbefugte Nutzung von Räumlichkeiten, Geräten und Materialien der Einrichtung umfassen, um Informationen und andere damit verbundene Vermögenswerte wie vertrauliche Dokumente, Aufzeichnungen und Geräte zu schützen.
Was dazugehört und wie man die Anforderungen erfüllt
Die folgenden Richtlinien sollten für physische Sicherheitsbereiche berücksichtigt und gegebenenfalls umgesetzt werden:
- Definieren von Sicherheitsperimetern sowie der Lage und Stärke jedes Perimeters in Übereinstimmung mit den Informationssicherheitsanforderungen in Bezug auf die Vermögenswerte innerhalb des Perimeters.
- Physisch einwandfreie Umzäunungen für ein Gebäude oder einen Standort mit Einrichtungen zur Informationsverarbeitung (dh es sollten keine Lücken in der Umzäunung oder Bereiche vorhanden sein, in denen es leicht zu einem Einbruch kommen kann).
- Die Außendächer, -wände, -decken und -böden des Standorts sollten solide gebaut sein und alle Außentüren sollten durch Kontrollmechanismen (z. B. Gitter, Alarmanlagen, Schlösser) angemessen vor unbefugtem Zutritt geschützt sein.
- Türen und Fenster sollten verschlossen sein, wenn sie unbeaufsichtigt sind, und es sollte ein externer Schutz für Fenster, insbesondere auf Bodenhöhe, in Betracht gezogen werden; Auch Belüftungspunkte sollten berücksichtigt werden.
Weitere Informationen dazu, was zur Erfüllung der Anforderungen an die Steuerung gehört, finden Sie im Normdokument ISO 27002:2022.
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
Änderungen und Unterschiede zu ISO 27002:2013
Die neue Revision 2022 von ISO 27002 wurde am 15. Februar 2022 veröffentlicht und ist eine Aktualisierung von ISO 27002:2013.
Dieser Version von ISO 11 wurden 27002 neue Kontrollen hinzugefügt. Allerdings ist Kontrolle 7.1 keine neue Kontrolle, sondern eine modifizierte Version von Kontrolle 11.1.1 in der Version 2013 von ISO 27002. Der Hauptunterschied zwischen 2013 und 2022 Version ist die Änderungskontrollnummer.
Die Kontrollnummer 11.1.1 wurde durch 7.1 ersetzt. Abgesehen davon sind Kontext und Bedeutung weitgehend ähnlich, auch wenn die Ausdrucksweise unterschiedlich ist.
Ein weiterer Unterschied zwischen beiden Kontrollen besteht darin, dass die Implementierungsanforderungen in der Version 2022 reduziert wurden.
Die folgenden Anforderungen, die in Steuerung 11.1.1 von ISO 27002:2013 verfügbar sind, fehlen in Steuerung 7.1:
- Es sollte ein bemannter Empfangsbereich oder andere Mittel zur Kontrolle des physischen Zugangs zum Standort oder Gebäude vorhanden sein.
- Der Zugang zu Standorten und Gebäuden sollte nur autorisiertem Personal vorbehalten sein.
- Gegebenenfalls sollten physische Barrieren errichtet werden, um unbefugten physischen Zugang und Umweltverschmutzung zu verhindern.
- Geeignete Einbruchmeldesysteme sollten nach nationalen, regionalen oder internationalen Standards installiert und regelmäßig getestet werden, um alle Außentüren und zugänglichen Fenster abzudecken.
- Unbewohnte Bereiche sollten jederzeit alarmiert werden.
- Auch andere Bereiche, z. B. Computerräume oder Kommunikationsräume, sollten abgedeckt werden.
- Von der Organisation verwaltete Informationsverarbeitungseinrichtungen sollten physisch von denen getrennt sein, die von externen Parteien verwaltet werden.
Diese Auslassungen machen den neuen Standard keineswegs weniger effektiv, vielmehr wurden sie entfernt, um die neue Steuerung benutzerfreundlicher zu machen.
Wer ist für diesen Prozess verantwortlich?
Der Chief Information Officer ist die Person, die für die Informationssicherheit verantwortlich ist. Diese Person ist für die Umsetzung von Richtlinien und Verfahren zum Schutz der Daten und Systeme des Unternehmens verantwortlich. Der CIO arbeitet in der Regel mit anderen Führungskräften wie dem Finanzvorstand und dem Vorstandsvorsitzenden zusammen, um sicherzustellen, dass Sicherheitsmaßnahmen bei Geschäftsentscheidungen berücksichtigt werden.
Der Finanzvorstand ist auch an Entscheidungen über physische Sicherheitsbereiche beteiligt. Er oder sie arbeitet mit anderen Mitgliedern der Führungsebene – einschließlich des CIO – zusammen, um zu bestimmen, wie viel Geld für physische Sicherheitsmaßnahmen wie Überwachungskameras, Zugangskontrollen und Alarme bereitgestellt werden sollte.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Was bedeuten diese Veränderungen für Sie?
Bei der neuen ISO 27002:2022 handelt es sich nicht um eine größere Überarbeitung. Daher müssen Sie keine gravierenden Änderungen vornehmen, um mit der neuesten Version von ISO 27002 konform zu sein.
Sie sollten jedoch erwägen, Ihre aktuelle Implementierung zu überprüfen und sicherzustellen, dass sie den neuen Anforderungen entspricht. Insbesondere wenn Sie seit der Veröffentlichung der Vorgängerversion im Jahr 2013 Änderungen vorgenommen haben. Es lohnt sich, noch einmal einen Blick auf diese Änderungen zu werfen, um zu sehen, ob sie noch gültig sind oder ob sie geändert werden müssen.
Weitere Informationen darüber, wie sich die neue ISO 27002 auf Ihre Informationssicherheitsprozesse und die ISO 27001-Zertifizierung auswirkt, erhalten Sie in unserem ISO 27002:2022-Leitfaden.
Neue ISO 27002-Kontrollen
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 5.7 | NEU | Bedrohungsinformationen |
| 5.23 | NEU | Informationssicherheit bei der Nutzung von Cloud-Diensten |
| 5.30 | NEU | IKT-Bereitschaft für Geschäftskontinuität |
| 7.4 | NEU | Physische Sicherheitsüberwachung |
| 8.9 | NEU | Konfigurationsmanagement |
| 8.10 | NEU | Löschung von Informationen |
| 8.11 | NEU | Datenmaskierung |
| 8.12 | NEU | Verhinderung von Datenlecks |
| 8.16 | NEU | Überwachungsaktivitäten |
| 8.23 | NEU | Web-Filter |
| 8.28 | NEU | Sichere Codierung |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 6.1 | 07.1.1 | Rekrutierung |
| 6.2 | 07.1.2 | Beschäftigungsbedingungen |
| 6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
| 6.4 | 07.2.3 | Disziplinarverfahren |
| 6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| 6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| 6.7 | 06.2.2 | Fernarbeit |
| 6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 7.1 | 11.1.1 | Physische Sicherheitsbereiche |
| 7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
| 7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
| 7.4 | NEU | Physische Sicherheitsüberwachung |
| 7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| 7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
| 7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| 7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
| 7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
| 7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
| 7.12 | 11.2.3 | Verkabelungssicherheit |
| 7.13 | 11.2.4 | Wartung der Ausrüstung |
| 7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
Wie ISMS.Online hilft
ISMS.online kann auch beim Nachweis der ISO 27002-Konformität helfen, indem es Ihnen ein Online-System zur Verfügung stellt, mit dem Sie alle Ihre Dokumente an einem Ort speichern und jedem zur Verfügung stellen können, der sie benötigt. Das System ermöglicht es Ihnen außerdem, Checklisten für jedes Dokument zu erstellen, sodass jeder, der Änderungen vornimmt oder Dokumente überprüft, leicht erkennen kann, was als nächstes getan werden muss und wann es getan werden sollte.
Willst du sehen wie es funktioniert?
Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.
