Control 7.2 deckt die Notwendigkeit ab, dass Organisationen sichere Bereiche durch den Einsatz geeigneter Zugangskontrollen und Zugangspunkte schützen müssen.
Zutrittskontrollen und Zugangspunkte sind ein entscheidender Bestandteil des Sicherheitssystems eines jeden Gebäudes. Sie ermöglichen es Ihnen, Ihr Gebäude zu betreten und zu verlassen, ohne die Sicherheit zu gefährden, und sie können auch den Zutritt unbefugter oder unerwünschter Personen verhindern.
Zutrittskontrollen sind Geräte, die Ihnen den Zugang zu einem Gebäude durch Türen oder Tore ermöglichen, wie z. B. Tastaturen, Kartenleser, biometrische Scanner und Schlüsselanhänger. Sie können auch weitere Funktionen wie Schließmechanismen für Türen und Tore sowie Drehkreuze oder Karusselltüren umfassen.
Ein Access Point ist ein elektronisches Gerät, das in großen Gewerbegebäuden für Sicherheit sorgt. Es nutzt die Radiofrequenz-Identifikationstechnologie (RFID), um alle Bewegungen innerhalb und außerhalb der Einrichtung zu verfolgen. Der Zugangspunkt überträgt Daten zurück an die Zentrale, sodass das Sicherheitspersonal überwachen kann, wann jemand die Einrichtung betritt oder verlässt und welche Bereiche er während seines Aufenthalts betritt.
Attribute werden zur Klassifizierung von Steuerelementen verwendet. Mithilfe dieser können Sie Ihre Steuerungsauswahl ganz einfach mit häufig verwendeten Branchenbegriffen und -anforderungen abgleichen. Die Attribute in Steuerung 7.2 lauten wie folgt.
| Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
|---|---|---|---|---|
| #Präventiv | #Vertraulichkeit #Integrität #Verfügbarkeit | #Schützen | #Physische Sicherheit #Identitäts- und Zugriffsmanagement | #Schutz |
Kontrolle 7.2 stellt sicher, dass nur autorisierter physischer Zugriff auf die Informationen der Organisation und andere damit verbundene Vermögenswerte erfolgt.
Beim Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Informationsressourcen ist die physische Sicherheit von größter Bedeutung. Bei Control 7.2 geht es in erster Linie um den Schutz von Informationen und anderen zugehörigen Vermögenswerten vor unbefugtem Zugriff, Diebstahl oder Verlust. Zu diesem Zweck müssen entsprechende Zutrittskontrollen und Zugangspunkte vorhanden sein, um sicherzustellen, dass nur autorisierte Personen Zugang zu sicheren Bereichen haben.
Diese Kontrollen sollten so gestaltet sein, dass sie hinreichende Sicherheit bieten, dass der physische Zugang auf autorisierte Personen beschränkt ist und dass diese Personen tatsächlich die sind, für die sie sich ausgeben.
Dazu gehört die Verwendung von Schlössern und Schlüsseln (sowohl manuell als auch elektronisch), Sicherheitspersonal, Überwachungssystemen und anderen Barrieren rund um Eingänge und Zugangspunkte. Zur Kontrolle des Zugangs zu sensiblen Bereichen in der Einrichtung können auch Zugangskontrollsysteme wie Passwörter, Kartenschlüssel oder biometrische Geräte eingesetzt werden.
Um die Anforderungen für die Implementierung von Kontrolle 7.2 zu erfüllen, müssen Organisationen Zugangspunkte wie Liefer- und Ladebereiche und andere Punkte, an denen Unbefugte die Räumlichkeiten betreten können, kontrollieren und, wenn möglich, von Einrichtungen zur Informationsverarbeitung isolieren, um unbefugten Zugriff zu verhindern. Diese Bereiche sollten nur autorisiertem Personal vorbehalten sein.
Im ISO 27002-Standarddokument unter Kontrolle 7.2 finden sich zahlreiche Umsetzungshinweise, die als Grundlage für die Erfüllung der Anforderungen dieser Kontrolle dienen können. Diese Richtlinien gelten für das allgemeine Personal, Besucher und Zusteller. Die Umsetzungsrichtlinien können Sie einsehen, wenn Sie auf die überarbeitete Version der ISO 27002:2022 zugreifen.
Erstens handelt es sich bei der Kontrolle 7.2 in ISO 27002:2022 nicht um eine neue Kontrolle, sondern um eine Kombination der Kontrollen 11.1.2 und 11.1.6 in ISO 27002:2013. Diese beiden Kontrollen wurden in ISO 27002:2022 überarbeitet, um sie im Vergleich zu ISO 27002:2013 benutzerfreundlicher zu machen.
Steuer 11.1.2 – Physische Zutrittskontrollen decken die Notwendigkeit ab, sichere Bereiche durch geeignete Zutrittskontrollen zu schützen, um sicherzustellen, dass nur autorisiertem Personal Zutritt gewährt wird. Wie Sie sehen, deckt Kontrolle 11.1.2 im Wesentlichen physische Zutrittskontrollen ab, und die Implementierungsrichtlinien in diesem Abschnitt des Standards befassen sich mit den Schritten, die Organisationen unternehmen können, um sicherzustellen, dass nur autorisierte Personen Zutritt zu bestimmten Zwecken erhalten.
Es legt außerdem fest, dass für den Zugriff autorisierter Personen auf sensible Bereiche der Informationssicherheit geeignete Maßnahmen wie die Zwei-Faktor-Authentifizierung erforderlich sind. Dieser Zugriff sollte auch durch ein physisches Logbuch oder einen elektronischen Prüfpfad gesichert sein.
Steuer 11.1.6 – „Liefer- und Ladebereiche“ hingegen umfasst den Zugang zu Liefer- und Ladebereichen nur durch autorisierte Personen. Es wird empfohlen, diesen Bereich so zu gestalten, dass er vom Betriebsgelände isoliert ist, sodass das Zustellpersonal keinen Zugang zu anderen Teilen des Gebäudes erhält.
Wie Sie sehen können, wurden diese beiden Empfehlungen in Control 7.2 in der aktualisierten Version von ISO 27002 zu einer zusammengefasst.
Letztlich sind die Kontrolle 7.2 und die Kontrollen 11.1.2 und 11.1.6 im Kontext etwas ähnlich. Der Hauptunterschied besteht darin, dass 11.1.2 und 11.1.6 zusammengeführt wurden, um eine verbesserte Benutzerfreundlichkeit zu ermöglichen.
Darüber hinaus wurden in der Version 2022 von ISO 27002 eine Attributtabelle und ein Kontrollzweck hinzugefügt. Diese beiden Elemente sind in den Kontrollen der Version 2013 nicht enthalten.
Die einzige Compliance
Lösung, die Sie brauchen
Buchen Sie Ihre Demo
Die Kontrolle des physischen Zugangs zählt zu den wichtigsten Sicherheitsmaßnahmen in einem Unternehmen oder einer Organisation.
Die Sicherheitsabteilung ist für alle Aspekte der physischen Sicherheit verantwortlich, einschließlich der Zugangskontrolle. Sie können jedoch die Befugnisse an eine andere Abteilung delegieren, wenn sie der Meinung sind, dass ihnen das Fachwissen oder die Ressourcen fehlen, um diese Aufgabe zu bewältigen.
Auch bei der physischen Sicherheit spielen IT-Teams eine wichtige Rolle. Sie tragen dazu bei, sicherzustellen, dass die von der physischen Sicherheit verwendeten Technologiesysteme aktuell und sicher sind. Wenn Sie beispielsweise an der Haustür Ihres Unternehmens über ein Einbruchmeldesystem (Intrusion Detection System, IDS) verfügen, dessen Software jedoch seit Monaten nicht mehr aktualisiert wurde, wird es nicht viel nützen, wenn ein Eindringling versucht, daran vorbeizukommen.
Da der ISO 27002-Standard nur geringfügig geändert wurde, muss Ihr Unternehmen seine Informationssicherheitspraktiken nicht wesentlich ändern.
Wenn Sie bereits über eine ISO 27001-Zertifizierung verfügen, werden Sie feststellen, dass Ihr aktueller Informationssicherheitsmanagementansatz den neuen Standards entspricht.
Wenn Sie jedoch bei Null anfangen, müssen Sie sich mit den Informationen im neuen Standard vertraut machen.
Bitte lesen Sie unseren neuen ISO 27002:2022-Leitfaden, um mehr darüber zu erfahren, wie sich diese Änderungen auf Ihr Unternehmen auswirken könnten.
Unsere Plattform bietet Benutzern Zugriff auf alle erforderlichen Dokumentationen und Ressourcen wie Richtlinien, Verfahren, Standards, Richtlinien und Informationen im Zusammenhang mit Compliance-Prozessen.
Die Plattform ISMS.online ist ideal für Unternehmen, die Folgendes benötigen:
Unsere Plattform bietet Ihnen anpassbare Dashboards, die Ihnen Echtzeit-Einblick in Ihren Compliance-Status verschaffen.
Sie können alle Aspekte Ihrer ISO 27002-Compliance-Reise von einem Ort aus überwachen und verwalten – Auditmanagement, Lückenanalyse, Schulungsmanagement, Risikobewertung usw.
Es bietet eine benutzerfreundliche, integrierte Lösung, auf die rund um die Uhr über jedes Gerät mit Internetverbindung zugegriffen werden kann. Die Plattform ermöglicht allen Mitarbeitern eine nahtlose und sichere Zusammenarbeit, um Sicherheitsrisiken zu verwalten und die Compliance des Unternehmens sowie den Weg zur ISO 24-Zertifizierung zu verfolgen.
Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.
Wir verschaffen Ihnen einen Vorsprung von 81 %
ab dem Moment, in dem Sie sich anmelden
Buchen Sie Ihre Demo
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 5.7 | Neu | Bedrohungsinformationen |
| 5.23 | Neu | Informationssicherheit bei der Nutzung von Cloud-Diensten |
| 5.30 | Neu | IKT-Bereitschaft für Geschäftskontinuität |
| 7.4 | Neu | Physische Sicherheitsüberwachung |
| 8.9 | Neu | Konfigurationsmanagement |
| 8.10 | Neu | Löschung von Informationen |
| 8.11 | Neu | Datenmaskierung |
| 8.12 | Neu | Verhinderung von Datenlecks |
| 8.16 | Neu | Überwachungsaktivitäten |
| 8.23 | Neu | Web-Filter |
| 8.28 | Neu | Sichere Codierung |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 6.1 | 07.1.1 | Untersuchungen |
| 6.2 | 07.1.2 | Beschäftigungsbedingungen |
| 6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
| 6.4 | 07.2.3 | Disziplinarverfahren |
| 6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| 6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| 6.7 | 06.2.2 | Fernarbeit |
| 6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 7.1 | 11.1.1 | Physische Sicherheitsbereiche |
| 7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
| 7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
| 7.4 | Neu | Physische Sicherheitsüberwachung |
| 7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| 7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
| 7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| 7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
| 7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
| 7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
| 7.12 | 11.2.3 | Verkabelungssicherheit |
| 7.13 | 11.2.4 | Wartung der Ausrüstung |
| 7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
