Was ist Control 7.3?
Control 7.3 in der neuen ISO 27002:2022 deckt die Notwendigkeit ab, physische Sicherheit für Büros, Räume und Einrichtungen zu entwerfen und umzusetzen.
Diese Kontrolle soll Organisationen dazu ermutigen, geeignete Maßnahmen zu ergreifen, um unbefugten Zugang zu Räumen, Büros und Einrichtungen zu verhindern, insbesondere dort, wo es um Informationssicherheit geht, und zwar durch den Einsatz von Schlössern, Alarmanlagen, Sicherheitspersonal oder anderen geeigneten Mitteln, um Informationen zu verhindern Sicherheitsprobleme.
Physische Sicherheit für Büros, Räume und Einrichtungen erklärt
Die physische Sicherheit ist ein entscheidendes Element der Informationssicherheit. Beides geht Hand in Hand und muss gemeinsam betrachtet werden. Unter Informationssicherheit versteht man den Schutz von Informationen und Informationssystemen vor unbefugtem Zugriff, unbefugter Nutzung, Offenlegung, Störung, Änderung oder Zerstörung.
Physische Sicherheit bezieht sich auf Schutzmaßnahmen, die ergriffen werden, um Personal, Einrichtungen, Ausrüstung und andere Vermögenswerte vor natürlichen oder vom Menschen verursachten Gefahren zu schützen, indem Risiken im Zusammenhang mit Einbruch, Sabotage, Terrorismus und anderen kriminellen Handlungen verringert werden.
Der erste Schritt zur physischen Sicherheit informationssensibler Standorte besteht darin, festzustellen, ob Sie über einen solchen verfügen. Informationssensible Orte sind Räume, Büros und Einrichtungen, in denen sich Computer befinden, die sensible Daten enthalten, oder in denen sich Personen befinden, die Zugriff auf sensible Daten haben.
Physische Sicherheit kann umfassen.
Schlösser und Schlüssel
Verriegeln von Türen, Fenstern und Schränken; Verwendung von Sicherheitssiegeln auf Laptops und Mobilgeräten; Passwortschutz für Computer; Verschlüsselung für sensible Daten.
CCTV
Videoüberwachungskameras sind eine hervorragende Möglichkeit, Aktivitäten rund um das Gelände oder in bestimmten Bereichen eines Gebäudes zu überwachen.
Einbruchalarme
Diese können durch Bewegung, Wärme oder Geräusche aktiviert werden und dienen dazu, Sie auf Eindringlinge oder Personen aufmerksam zu machen, die sich nicht in einem bestimmten Bereich aufhalten sollten (z. B. ein Alarm, der ertönt, wenn jemand versucht, in das Büro einzubrechen).
Attributtabelle der Steuerung 7.3
Mithilfe von Attributen können Sie Ihre Steuerelementauswahl schnell mit typischen Branchenspezifikationen und -terminologien abgleichen. Die folgenden Steuerelemente sind in Steuerelement 7.3 verfügbar.
| Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
|---|---|---|---|---|
| #Präventiv | #Vertraulichkeit | #Schützen | #Sicherheit von Lieferantenbeziehungen | #Governance und Ökosystem |
| #Integrität | #Schutz | |||
| #Verfügbarkeit |
ISO 27001 leicht gemacht
Ein Vorsprung von 81 % vom ersten Tag an
Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.
Was ist der Zweck von Kontrolle 7.3?
Der Zweck von Kontrolle 7.3 besteht darin, unbefugten physischen Zugriff sowie Schäden und Eingriffe in die Informationen der Organisation und andere damit verbundene Vermögenswerte in Büros, Räumen und Einrichtungen zu verhindern.
Der Hauptzweck von Kontrolle 7.3 besteht darin, das Risiko des unbefugten physischen Zutritts zu Büros, Räumen und Einrichtungen auf ein akzeptables Maß zu reduzieren, indem:
- Verhinderung des unbefugten physischen Zugangs zu Büros, Räumen und Einrichtungen durch andere als autorisierte Personen.
- Verhindern Sie Schäden oder Eingriffe in die Informationen der Organisation und andere damit verbundene Vermögenswerte in Büros, Räumen und Einrichtungen.
- Sicherstellen, dass sensible Bereiche der Informationssicherheit unauffällig sind, um es den Menschen schwer zu machen, ihren Zweck zu bestimmen.
- Minimierung des Risikos von Diebstahl oder Verlust von Eigentum in Büros, Räumen und Einrichtungen.
- Sicherstellen, dass Personen identifiziert werden, die autorisierten physischen Zutritt haben (dies kann durch die Verwendung einer Kombination aus einheitlichen Ausweisen, elektronischen Türzugangssystemen und Besucherausweisen erreicht werden).
- Wenn möglich, sollten CCTV oder andere Überwachungsgeräte zur Sicherheitsüberwachung wichtiger Bereiche wie Ein- und Ausgänge eingesetzt werden.
Kontrolle 7.3 gilt für alle Gebäude, die von der Organisation für Büros oder Verwaltungszwecke genutzt werden. Dies gilt auch für Räume, in denen vertrauliche Informationen gespeichert oder verarbeitet werden, einschließlich Besprechungsräumen, in denen sensible Diskussionen stattfinden.
Sie gilt nicht für Empfangsbereiche oder andere öffentliche Bereiche auf dem Gelände einer Organisation, es sei denn, diese werden für Verwaltungszwecke genutzt (z. B. ein Empfangsbereich, der gleichzeitig als Büro dient).
Was dazugehört und wie man die Anforderungen erfüllt
Die Regelung 7.3 legt fest, dass Räume und Einrichtungen gesichert sein müssen. Um die Sicherheit von Räumen und Einrichtungen zu gewährleisten, können gemäß den Kontrollrichtlinien der ISO 27002:2022 folgende Sicherheitsmaßnahmen ergriffen werden:
- Kritische Einrichtungen so anordnen, dass sie nicht für die Öffentlichkeit zugänglich sind.
- Gegebenenfalls muss sichergestellt werden, dass Gebäude unauffällig sind und einen minimalen Hinweis auf ihren Zweck geben, ohne offensichtliche Anzeichen außerhalb oder innerhalb des Gebäudes, die auf das Vorhandensein von Informationsverarbeitungsaktivitäten hinweisen.
- Konfigurieren von Einrichtungen, um zu verhindern, dass vertrauliche Informationen oder Aktivitäten von außen sichtbar und hörbar sind. Auch eine elektromagnetische Abschirmung sollte gegebenenfalls berücksichtigt werden.
- Verzeichnisse, interne Telefonbücher und online zugängliche Karten, auf denen die Standorte vertraulicher Informationsverarbeitungsanlagen aufgeführt sind, dürfen Unbefugten nicht leicht zugänglich gemacht werden.
Weitere Informationen dazu, was zur Erfüllung der Anforderungen an die Steuerung gehört, finden Sie im Normdokument ISO 27002:2022.
Änderungen und Unterschiede zu ISO 27002:2013
Ursprünglich im Jahr 2013 veröffentlicht, wurde die überarbeitete Fassung 2022 von ISO 27002 am 15. Februar 2022 veröffentlicht.
Kontrolle 7.3 ist keine neue Kontrolle. Es handelt sich um eine modifizierte Version der Kontrolle 11.1.3 in ISO 27002. Ein wesentlicher Unterschied zwischen den Versionen 2013 und 2022 ist die Änderung der Kontrollnummer. Die Kontrollnummer 11.1.3 wurde durch 7.3 ersetzt. Ansonsten sind Kontext und Bedeutung weitgehend gleich, auch wenn die Ausdrucksweise unterschiedlich ist.
Ein weiterer Unterschied zwischen beiden Steuerelementen besteht darin, dass die Version 2022 eine Attributtabelle und eine Zweckerklärung enthält. Diese Abschnitte sind in der Version 2013 nicht verfügbar.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Wer ist für diesen Prozess verantwortlich?
Die erste Person, die bei der Sicherung von Büros, Räumen und Einrichtungen berücksichtigt werden muss, ist die Person, die die größte Kontrolle über das physische Gebäude und seinen Inhalt hat. Bei dieser Person handelt es sich in der Regel um den Facility Manager oder Direktor.
Dann ist da noch der Sicherheitsmanager. Der Sicherheitsmanager ist dafür verantwortlich, dass alle Bereiche, einschließlich der Büroräume und -einrichtungen, sicher sind. Der Sicherheitsmanager ist außerdem dafür verantwortlich, den Überblick über alle Mitarbeiter zu behalten, die Zugang zu diesen Bereichen haben, und sicherzustellen, dass sie ihren Zugang angemessen nutzen.
In manchen Fällen teilen sich jedoch mehrere Personen die Verantwortung für die Sicherheit. Wenn beispielsweise eine Person Zugriff auf vertrauliche Informationen hat, die gegen die Interessen Ihres Unternehmens oder das Privatleben anderer Mitarbeiter verwendet werden könnten, ist es wichtig, dass mehrere Personen an ihrem Schutz beteiligt sind.
Eine Personalabteilung kümmert sich möglicherweise um die Versicherungspolicen und Sozialleistungen der Mitarbeiter, während sich die IT um Computersysteme und Netzwerke kümmert. Beide Abteilungen können bei der Bewältigung der physischen Sicherheit sowie bei Cybersicherheitsbedenken wie Phishing-Betrügereien und unbefugten Zugriffsversuchen eine Rolle spielen.
Was bedeuten diese Veränderungen für Sie?
Zur Einhaltung der neuesten Version von ISO 27002 sind keine größeren Änderungen erforderlich.
Sie sollten jedoch Ihre aktuelle Informationssicherheitslösung bewerten, um sicherzustellen, dass sie dem überarbeiteten Standard entspricht. Wenn Sie seit der Veröffentlichung der letzten Ausgabe im Jahr 2013 Änderungen vorgenommen haben, lohnt es sich, diese Anpassungen noch einmal zu überprüfen, um festzustellen, ob sie noch relevant sind oder aktualisiert werden müssen.
Neue ISO 27002-Kontrollen
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 5.7 | NEU | Bedrohungsinformationen |
| 5.23 | NEU | Informationssicherheit bei der Nutzung von Cloud-Diensten |
| 5.30 | NEU | IKT-Bereitschaft für Geschäftskontinuität |
| 7.4 | NEU | Physische Sicherheitsüberwachung |
| 8.9 | NEU | Konfigurationsmanagement |
| 8.10 | NEU | Löschung von Informationen |
| 8.11 | NEU | Datenmaskierung |
| 8.12 | NEU | Verhinderung von Datenlecks |
| 8.16 | NEU | Überwachungsaktivitäten |
| 8.23 | NEU | Web-Filter |
| 8.28 | NEU | Sichere Codierung |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 6.1 | 07.1.1 | Rekrutierung |
| 6.2 | 07.1.2 | Beschäftigungsbedingungen |
| 6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
| 6.4 | 07.2.3 | Disziplinarverfahren |
| 6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| 6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| 6.7 | 06.2.2 | Fernarbeit |
| 6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 7.1 | 11.1.1 | Physische Sicherheitsbereiche |
| 7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
| 7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
| 7.4 | NEU | Physische Sicherheitsüberwachung |
| 7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| 7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
| 7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| 7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
| 7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
| 7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
| 7.12 | 11.2.3 | Verkabelungssicherheit |
| 7.13 | 11.2.4 | Wartung der Ausrüstung |
| 7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
Wie ISMS.Online hilft
Unsere Plattform wurde speziell für diejenigen entwickelt, die neu in der Informationssicherheit sind oder eine einfache Möglichkeit benötigen, sich mit ISO 27002 vertraut zu machen, ohne Zeit damit verbringen zu müssen, von Grund auf neu zu lernen oder lange Dokumente durchzulesen.
ISMS.Online ist mit allen Tools ausgestattet, die zum Erreichen der Compliance erforderlich sind, einschließlich Dokumentvorlagen, Checklisten und Richtlinien, die an Ihre Bedürfnisse angepasst werden können.
Willst du sehen wie es funktioniert?
Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.
