Control 7.1 in der neuen ISO 27002:2022 deckt die Notwendigkeit ab, dass Organisationen Sicherheitsperimeter definieren und festlegen und diese Parameter verwenden, um Bereiche zu schützen, die Informationen und andere damit verbundene Vermögenswerte enthalten.
Informationen können als alle Daten, Informationen oder Kenntnisse definiert werden, die für Ihre Organisation oder Ihr Unternehmen von Wert sind. Dazu gehören alle erhobenen Daten über Einzelpersonen, Kunden, Partner, Mitarbeiter und andere Stakeholder.
Informationssicherheitsressourcen können grob unterteilt werden in:
Daten werden oft mit Informationen verwechselt, es gibt jedoch einen Unterschied zwischen Daten und Informationen. Daten sind roh, unverarbeitet und in ihrem aktuellen Zustand oft unbrauchbar, während es sich bei Informationen um Daten handelt, die in verwertbare Informationen wie eine E-Mail-Adresse oder eine Telefonnummer verarbeitet wurden.
Unter Infrastruktur versteht man alle Komponenten, aus denen ein Netzwerk besteht, einschließlich Servern und anderen Geräten wie Druckern, Routern usw.
Zur Infrastruktur kann auch Software wie Betriebssysteme und Anwendungen gehören, die ebenso wie Hardware vor Cyberangriffen geschützt werden sollten, da beide mit Patches und Korrekturen für von Hackern entdeckte Schwachstellen auf dem neuesten Stand gehalten werden müssen, damit sie nicht beschädigt werden können Wird von böswilligen Hackern ausgenutzt, die Zugriff auf sensible Daten erhalten möchten.
Physische Sicherheit bezieht sich auf alle physischen Maßnahmen, die die Einrichtungen und Vermögenswerte einer Organisation schützen. Die physische Sicherheit ist der grundlegendste und wichtigste Teil der Informationssicherheit. Es geht nicht nur darum, die Tür zu verschließen, sondern auch darum, zu wissen, wer wann, wo und wie Zugang zu was hat.
Physische Sicherheitsperimeter werden verwendet, um die physischen Grenzen eines Gebäudes oder Bereichs zu identifizieren und den Zugang dazu zu kontrollieren. Physische Sicherheitsbereiche können Zäune, Mauern, Tore und andere Barrieren umfassen, die den unbefugten Zutritt von Personen oder Fahrzeugen verhindern. Zusätzlich zu physischen Barrieren können elektronische Überwachungsgeräte wie Videoüberwachungskameras zur Überwachung der Aktivitäten außerhalb der Einrichtung eingesetzt werden.
Physische Sicherheitsbereiche bieten eine erste Verteidigungslinie gegen Eindringlinge, die versuchen könnten, über das Netzwerkkabel oder die drahtlose Verbindung in einem Unternehmen in Ihr Computersystem einzudringen. Sie werden häufig in Verbindung mit anderen Arten von Informationssicherheitskontrollen wie Identitätsmanagement, Zugangskontrolle und Einbruchmeldesystemen verwendet.
Attribute sind eine Möglichkeit, Steuerelemente zu klassifizieren. Mithilfe von Attributen können Sie Ihre Steuerelementauswahl schnell mit typischen Branchenspezifikationen und -terminologien abgleichen. Die folgenden Steuerelemente sind in Steuerung 7.1 verfügbar.
| Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
|---|---|---|---|---|
| #Präventiv | #Vertraulichkeit #Integrität #Verfügbarkeit | #Schützen | #Physische Sicherheit | #Schutz |
Kontrolle 7.1 stellt sicher, dass eine Organisation nachweisen kann, dass sie über angemessene physische Sicherheitsbereiche verfügt, um unbefugten physischen Zugriff auf Informationen und andere damit verbundene Vermögenswerte zu verhindern.
Dazu gehört die Vorbeugung von:
Physische Sicherheitsperimeter können über die folgenden zwei Kategorien implementiert werden:
Physische Zugangskontrolle: Bietet Kontrolle über den Zutritt zu Einrichtungen und Gebäuden sowie die Bewegung darin. Zu diesen Kontrollen gehören das Verriegeln von Türen, die Verwendung von Alarmen an Türen, die Verwendung von Zäunen oder Barrieren rund um Einrichtungen usw.
Hardware-Sicherheit: Bietet Kontrolle über physische Geräte (z. B. Computer), die von einer Organisation zur Verarbeitung von Daten verwendet werden, z. B. Drucker und Scanner, die möglicherweise vertrauliche Informationen enthalten.
Die Umsetzung dieser Kontrolle kann auch die unbefugte Nutzung von Räumlichkeiten, Geräten und Materialien der Einrichtung umfassen, um Informationen und andere damit verbundene Vermögenswerte wie vertrauliche Dokumente, Aufzeichnungen und Geräte zu schützen.
Die folgenden Richtlinien sollten für physische Sicherheitsbereiche berücksichtigt und gegebenenfalls umgesetzt werden:
Weitere Informationen dazu, was zur Erfüllung der Anforderungen an die Steuerung gehört, finden Sie im Normdokument ISO 27002:2022.
Die einzige Compliance
Lösung, die Sie brauchen
Buchen Sie Ihre Demo
Die neue Revision 2022 von ISO 27002 wurde am 15. Februar 2022 veröffentlicht und ist eine Aktualisierung von ISO 27002:2013.
Dieser Version von ISO 11 wurden 27002 neue Kontrollen hinzugefügt. Allerdings ist Kontrolle 7.1 keine neue Kontrolle, sondern eine modifizierte Version von Kontrolle 11.1.1 in der Version 2013 von ISO 27002. Der Hauptunterschied zwischen 2013 und 2022 Version ist die Änderungskontrollnummer.
Die Kontrollnummer 11.1.1 wurde durch 7.1 ersetzt. Abgesehen davon sind Kontext und Bedeutung weitgehend ähnlich, auch wenn die Ausdrucksweise unterschiedlich ist.
Ein weiterer Unterschied zwischen beiden Kontrollen besteht darin, dass die Implementierungsanforderungen in der Version 2022 reduziert wurden.
Die folgenden Anforderungen, die in Steuerung 11.1.1 von ISO 27002:2013 verfügbar sind, fehlen in Steuerung 7.1:
Diese Auslassungen machen den neuen Standard keineswegs weniger effektiv, vielmehr wurden sie entfernt, um die neue Steuerung benutzerfreundlicher zu machen.
Der Chief Information Officer ist die Person, die für die Informationssicherheit verantwortlich ist. Diese Person ist für die Umsetzung von Richtlinien und Verfahren zum Schutz der Daten und Systeme des Unternehmens verantwortlich. Der CIO arbeitet in der Regel mit anderen Führungskräften wie dem Finanzvorstand und dem Vorstandsvorsitzenden zusammen, um sicherzustellen, dass Sicherheitsmaßnahmen bei Geschäftsentscheidungen berücksichtigt werden.
Der Finanzvorstand ist auch an Entscheidungen über physische Sicherheitsbereiche beteiligt. Er oder sie arbeitet mit anderen Mitgliedern der Führungsebene – einschließlich des CIO – zusammen, um zu bestimmen, wie viel Geld für physische Sicherheitsmaßnahmen wie Überwachungskameras, Zugangskontrollen und Alarme bereitgestellt werden sollte.
Bei der neuen ISO 27002:2022 handelt es sich nicht um eine größere Überarbeitung. Daher müssen Sie keine gravierenden Änderungen vornehmen, um mit der neuesten Version von ISO 27002 konform zu sein.
Sie sollten jedoch erwägen, Ihre aktuelle Implementierung zu überprüfen und sicherzustellen, dass sie den neuen Anforderungen entspricht. Insbesondere wenn Sie seit der Veröffentlichung der Vorgängerversion im Jahr 2013 Änderungen vorgenommen haben. Es lohnt sich, noch einmal einen Blick auf diese Änderungen zu werfen, um zu sehen, ob sie noch gültig sind oder ob sie geändert werden müssen.
Weitere Informationen darüber, wie sich die neue ISO 27002 auf Ihre Informationssicherheitsprozesse und die ISO 27001-Zertifizierung auswirkt, erhalten Sie in unserem ISO 27002:2022-Leitfaden.
ISMS.online kann auch beim Nachweis der ISO 27002-Konformität helfen, indem es Ihnen ein Online-System zur Verfügung stellt, mit dem Sie alle Ihre Dokumente an einem Ort speichern und jedem zur Verfügung stellen können, der sie benötigt. Das System ermöglicht es Ihnen außerdem, Checklisten für jedes Dokument zu erstellen, sodass jeder, der Änderungen vornimmt oder Dokumente überprüft, leicht erkennen kann, was als nächstes getan werden muss und wann es getan werden sollte.
Willst du sehen wie es funktioniert?
Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.
Wir verschaffen Ihnen einen Vorsprung von 81 %
ab dem Moment, in dem Sie sich anmelden
Buchen Sie Ihre Demo
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 5.7 | Neu | Bedrohungsinformationen |
| 5.23 | Neu | Informationssicherheit bei der Nutzung von Cloud-Diensten |
| 5.30 | Neu | IKT-Bereitschaft für Geschäftskontinuität |
| 7.4 | Neu | Physische Sicherheitsüberwachung |
| 8.9 | Neu | Konfigurationsmanagement |
| 8.10 | Neu | Löschung von Informationen |
| 8.11 | Neu | Datenmaskierung |
| 8.12 | Neu | Verhinderung von Datenlecks |
| 8.16 | Neu | Überwachungsaktivitäten |
| 8.23 | Neu | Web-Filter |
| 8.28 | Neu | Sichere Codierung |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 6.1 | 07.1.1 | Untersuchungen |
| 6.2 | 07.1.2 | Beschäftigungsbedingungen |
| 6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
| 6.4 | 07.2.3 | Disziplinarverfahren |
| 6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| 6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| 6.7 | 06.2.2 | Fernarbeit |
| 6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 7.1 | 11.1.1 | Physische Sicherheitsbereiche |
| 7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
| 7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
| 7.4 | Neu | Physische Sicherheitsüberwachung |
| 7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| 7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
| 7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| 7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
| 7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
| 7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
| 7.12 | 11.2.3 | Verkabelungssicherheit |
| 7.13 | 11.2.4 | Wartung der Ausrüstung |
| 7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
