Control 7.3 in der neuen ISO 27002:2022 deckt die Notwendigkeit ab, physische Sicherheit für Büros, Räume und Einrichtungen zu entwerfen und umzusetzen.
Diese Kontrolle soll Organisationen dazu ermutigen, geeignete Maßnahmen zu ergreifen, um unbefugten Zugang zu Räumen, Büros und Einrichtungen zu verhindern, insbesondere dort, wo es um Informationssicherheit geht, und zwar durch den Einsatz von Schlössern, Alarmanlagen, Sicherheitspersonal oder anderen geeigneten Mitteln, um Informationen zu verhindern Sicherheitsprobleme.
Die physische Sicherheit ist ein entscheidendes Element der Informationssicherheit. Beides geht Hand in Hand und muss gemeinsam betrachtet werden. Unter Informationssicherheit versteht man den Schutz von Informationen und Informationssystemen vor unbefugtem Zugriff, unbefugter Nutzung, Offenlegung, Störung, Änderung oder Zerstörung.
Physische Sicherheit bezieht sich auf Schutzmaßnahmen, die ergriffen werden, um Personal, Einrichtungen, Ausrüstung und andere Vermögenswerte vor natürlichen oder vom Menschen verursachten Gefahren zu schützen, indem Risiken im Zusammenhang mit Einbruch, Sabotage, Terrorismus und anderen kriminellen Handlungen verringert werden.
Der erste Schritt zur physischen Sicherheit informationssensibler Standorte besteht darin, festzustellen, ob Sie über einen solchen verfügen. Informationssensible Orte sind Räume, Büros und Einrichtungen, in denen sich Computer befinden, die sensible Daten enthalten, oder in denen sich Personen befinden, die Zugriff auf sensible Daten haben.
Physische Sicherheit kann umfassen.
Verriegeln von Türen, Fenstern und Schränken; Verwendung von Sicherheitssiegeln auf Laptops und Mobilgeräten; Passwortschutz für Computer; Verschlüsselung für sensible Daten.
Videoüberwachungskameras sind eine hervorragende Möglichkeit, Aktivitäten rund um das Gelände oder in bestimmten Bereichen eines Gebäudes zu überwachen.
Diese können durch Bewegung, Wärme oder Geräusche aktiviert werden und dienen dazu, Sie auf Eindringlinge oder Personen aufmerksam zu machen, die sich nicht in einem bestimmten Bereich aufhalten sollten (z. B. ein Alarm, der ertönt, wenn jemand versucht, in das Büro einzubrechen).
Mithilfe von Attributen können Sie Ihre Steuerelementauswahl schnell mit typischen Branchenspezifikationen und -terminologien abgleichen. Die folgenden Steuerelemente sind in Steuerelement 7.3 verfügbar.
| Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
|---|---|---|---|---|
| #Präventiv | #Vertraulichkeit #Integrität #Verfügbarkeit | #Schützen | #Sicherheit von Lieferantenbeziehungen | #Governance und Ökosystem #Schutz |
Der Zweck von Kontrolle 7.3 besteht darin, unbefugten physischen Zugriff sowie Schäden und Eingriffe in die Informationen der Organisation und andere damit verbundene Vermögenswerte in Büros, Räumen und Einrichtungen zu verhindern.
Der Hauptzweck von Kontrolle 7.3 besteht darin, das Risiko des unbefugten physischen Zutritts zu Büros, Räumen und Einrichtungen auf ein akzeptables Maß zu reduzieren, indem:
Kontrolle 7.3 gilt für alle Gebäude, die von der Organisation für Büros oder Verwaltungszwecke genutzt werden. Dies gilt auch für Räume, in denen vertrauliche Informationen gespeichert oder verarbeitet werden, einschließlich Besprechungsräumen, in denen sensible Diskussionen stattfinden.
Sie gilt nicht für Empfangsbereiche oder andere öffentliche Bereiche auf dem Gelände einer Organisation, es sei denn, diese werden für Verwaltungszwecke genutzt (z. B. ein Empfangsbereich, der gleichzeitig als Büro dient).
Die Regelung 7.3 legt fest, dass Räume und Einrichtungen gesichert sein müssen. Um die Sicherheit von Räumen und Einrichtungen zu gewährleisten, können gemäß den Kontrollrichtlinien der ISO 27002:2022 folgende Sicherheitsmaßnahmen ergriffen werden:
Weitere Informationen dazu, was zur Erfüllung der Anforderungen an die Steuerung gehört, finden Sie im Normdokument ISO 27002:2022.
Die einzige Compliance
Lösung, die Sie brauchen
Buchen Sie Ihre Demo
Ursprünglich im Jahr 2013 veröffentlicht, wurde die überarbeitete Fassung 2022 von ISO 27002 am 15. Februar 2022 veröffentlicht.
Kontrolle 7.3 ist keine neue Kontrolle. Es handelt sich um eine modifizierte Version der Kontrolle 11.1.3 in ISO 27002. Ein wesentlicher Unterschied zwischen den Versionen 2013 und 2022 ist die Änderung der Kontrollnummer. Die Kontrollnummer 11.1.3 wurde durch 7.3 ersetzt. Ansonsten sind Kontext und Bedeutung weitgehend gleich, auch wenn die Ausdrucksweise unterschiedlich ist.
Ein weiterer Unterschied zwischen beiden Steuerelementen besteht darin, dass die Version 2022 eine Attributtabelle und eine Zweckerklärung enthält. Diese Abschnitte sind in der Version 2013 nicht verfügbar.
Die erste Person, die bei der Sicherung von Büros, Räumen und Einrichtungen berücksichtigt werden muss, ist die Person, die die größte Kontrolle über das physische Gebäude und seinen Inhalt hat. Bei dieser Person handelt es sich in der Regel um den Facility Manager oder Direktor.
Dann ist da noch der Sicherheitsmanager. Der Sicherheitsmanager ist dafür verantwortlich, dass alle Bereiche, einschließlich der Büroräume und -einrichtungen, sicher sind. Der Sicherheitsmanager ist außerdem dafür verantwortlich, den Überblick über alle Mitarbeiter zu behalten, die Zugang zu diesen Bereichen haben, und sicherzustellen, dass sie ihren Zugang angemessen nutzen.
In manchen Fällen teilen sich jedoch mehrere Personen die Verantwortung für die Sicherheit. Wenn beispielsweise eine Person Zugriff auf vertrauliche Informationen hat, die gegen die Interessen Ihres Unternehmens oder das Privatleben anderer Mitarbeiter verwendet werden könnten, ist es wichtig, dass mehrere Personen an ihrem Schutz beteiligt sind.
Eine Personalabteilung kümmert sich möglicherweise um die Versicherungspolicen und Sozialleistungen der Mitarbeiter, während sich die IT um Computersysteme und Netzwerke kümmert. Beide Abteilungen können bei der Bewältigung der physischen Sicherheit sowie bei Cybersicherheitsbedenken wie Phishing-Betrügereien und unbefugten Zugriffsversuchen eine Rolle spielen.
Zur Einhaltung der neuesten Version von ISO 27002 sind keine größeren Änderungen erforderlich.
Sie sollten jedoch Ihre aktuelle Informationssicherheitslösung bewerten, um sicherzustellen, dass sie dem überarbeiteten Standard entspricht. Wenn Sie seit der Veröffentlichung der letzten Ausgabe im Jahr 2013 Änderungen vorgenommen haben, lohnt es sich, diese Anpassungen noch einmal zu überprüfen, um festzustellen, ob sie noch relevant sind oder aktualisiert werden müssen.
Unsere Plattform wurde speziell für diejenigen entwickelt, die neu in der Informationssicherheit sind oder eine einfache Möglichkeit benötigen, sich mit ISO 27002 vertraut zu machen, ohne Zeit damit verbringen zu müssen, von Grund auf neu zu lernen oder lange Dokumente durchzulesen.
ISMS.Online ist mit allen Tools ausgestattet, die zum Erreichen der Compliance erforderlich sind, einschließlich Dokumentvorlagen, Checklisten und Richtlinien, die an Ihre Bedürfnisse angepasst werden können.
Willst du sehen wie es funktioniert?
Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.
Wir verschaffen Ihnen einen Vorsprung von 81 %
ab dem Moment, in dem Sie sich anmelden
Buchen Sie Ihre Demo
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 5.7 | Neu | Bedrohungsinformationen |
| 5.23 | Neu | Informationssicherheit bei der Nutzung von Cloud-Diensten |
| 5.30 | Neu | IKT-Bereitschaft für Geschäftskontinuität |
| 7.4 | Neu | Physische Sicherheitsüberwachung |
| 8.9 | Neu | Konfigurationsmanagement |
| 8.10 | Neu | Löschung von Informationen |
| 8.11 | Neu | Datenmaskierung |
| 8.12 | Neu | Verhinderung von Datenlecks |
| 8.16 | Neu | Überwachungsaktivitäten |
| 8.23 | Neu | Web-Filter |
| 8.28 | Neu | Sichere Codierung |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 6.1 | 07.1.1 | Untersuchungen |
| 6.2 | 07.1.2 | Beschäftigungsbedingungen |
| 6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
| 6.4 | 07.2.3 | Disziplinarverfahren |
| 6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| 6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| 6.7 | 06.2.2 | Fernarbeit |
| 6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 7.1 | 11.1.1 | Physische Sicherheitsbereiche |
| 7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
| 7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
| 7.4 | Neu | Physische Sicherheitsüberwachung |
| 7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| 7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
| 7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| 7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
| 7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
| 7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
| 7.12 | 11.2.3 | Verkabelungssicherheit |
| 7.13 | 11.2.4 | Wartung der Ausrüstung |
| 7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
