Bedrohungen für Informationsressourcen sind nicht nur digitaler Natur: Die kritische physische Infrastruktur einer Organisation, die Informationsressourcen hostet, ist auch Umwelt- und physischen Bedrohungen ausgesetzt, die zu Verlust, Zerstörung, Diebstahl und Gefährdung von Informationsressourcen und sensiblen Daten führen können.
Zu diesen Bedrohungen können Naturereignisse wie Erdbeben, Überschwemmungen und Waldbrände gehören. Dazu können auch von Menschen verursachte Katastrophen wie Unruhen und kriminelle Aktivitäten gehören.
Control 7.5 befasst sich damit, wie Organisationen Risiken für kritische physische Infrastrukturen aufgrund physischer und umweltbedingter Bedrohungen bewerten, identifizieren und mindern können.
Control 7.5 ermöglicht es Unternehmen, die zu messen mögliche nachteilige Auswirkungen von Umwelt- und physischen Bedrohungen und diese Auswirkungen durch die Einführung geeigneter Maßnahmen zu mildern und/oder zu beseitigen.
Bei der Kontrolle 7.5 handelt es sich um eine vorbeugende Art der Kontrolle verlangt von Organisationen, die Folgen zu beseitigen und/oder abzumildern die wahrscheinlich aus externen Risiken wie Naturkatastrophen und vom Menschen verursachten Vorfällen entstehen.
Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
---|---|---|---|---|
#Präventiv | #Vertraulichkeit #Integrität #Verfügbarkeit | #Schützen | #Physische Sicherheit | #Schutz |
Control 7.5 verlangt von Organisationen dies eine ausführliche Risikobewertung durchführen vor Beginn jeglicher Arbeiten auf einem physischen Gelände und zur Umsetzung notwendiger Maßnahmen, die dem festgestellten Risikoniveau entsprechen.
Daher sollten leitende Sicherheitsbeauftragte für die Erstellung, Verwaltung, Implementierung und Überprüfung des gesamten Prozesses verantwortlich sein.
Control 7.5 spezifiziert einen dreistufigen Prozess zur Identifizierung und Beseitigung von Risiken aufgrund physischer und umgebungsbedingter Bedrohungen:
Organisationen sollten eine Gefährdungsbeurteilung durchführen um potenzielle physische und Umweltkatastrophen zu identifizieren, die an jedem einzelnen physischen Standort auftreten können, und dann die Auswirkungen zu messen, die aufgrund der identifizierten physischen und umweltbedingten Bedrohungen wahrscheinlich entstehen.
In Anbetracht der Tatsache, dass jedes physische Gebäude und jede darin befindliche Infrastruktur unterschiedlichen Umgebungsbedingungen und physischen Risikofaktoren unterliegen, variieren die Art der Bedrohung und das festgestellte Risikoniveau je nach Gebäude und Standort.
Während beispielsweise ein Gebäude am anfälligsten für Waldbrände ist, kann ein anderes Gebäude in einem Gebiet liegen, in dem es häufig zu Erdbeben kommt.
Eine weitere wichtige Anforderung der Kontrolle 7.5 besteht darin, dass diese Risikobewertung vor der Aufnahme des Betriebs auf einem physischen Gelände durchgeführt werden sollte.
Basierend auf der Art der Bedrohung und dem im ersten Schritt identifizierten Risikoniveau sollten Organisationen geeignete Kontrollen einrichten, die die wahrscheinlichen Folgen der Umwelt- und physischen Bedrohungen berücksichtigen.
Zur Veranschaulichung bietet Control 7.5 Beispiele für Kontrollen, die für die folgenden Bedrohungen eingerichtet werden können:
Fire: Organisationen sollten Systeme einsetzen, um Alarme auszulösen, wenn ein Feuer erkannt wird, oder um Feuerlöschsysteme zu aktivieren, die in der Lage sind, Speichermedien und Informationssysteme vor Schäden zu schützen.
Überschwemmung: Systeme sollten bereitgestellt und konfiguriert werden, um Überschwemmungen in Bereichen zu erkennen, in denen Informationsressourcen gespeichert sind. Darüber hinaus sollten Werkzeuge wie Wasserpumpen für den Fall einer Überschwemmung einsatzbereit sein.
Elektrische Überspannungen: Server und kritisch Informationsmanagementsysteme sollten gewartet und vor Stromausfällen geschützt werden.
Sprengstoffe und Waffen: Organisationen sollten stichprobenartige Audits durchführen und Inspektionen aller Personen, Gegenstände und Fahrzeuge, die Räumlichkeiten mit kritischer Infrastruktur betreten.
Da sich die Art der Bedrohungen und das Ausmaß der Risiken im Laufe der Zeit ändern können, sollten Unternehmen die Risikobewertungen kontinuierlich überwachen und bei Bedarf die von ihnen implementierten Kontrollen überdenken.
Die einzige Compliance
Lösung, die Sie brauchen
Buchen Sie Ihre Demo
Control 7.5 listet vier spezifische Überlegungen auf, die Organisationen berücksichtigen sollten.
Jede spezifische Art von Umwelt- und physischer Bedrohung, ob Giftmüll, Erdbeben oder Feuer, ist einzigartig in Bezug auf ihre Natur, die damit verbundenen Risiken und die erforderlichen Gegenmaßnahmen.
Daher sollten Organisationen fachkundigen Rat einholen, um die aus diesen Bedrohungen resultierenden Risiken zu erkennen und/oder zu mindern.
Die Berücksichtigung der lokalen Topographie, des Wasserstands und der tektonischen Bewegungen des potenziellen Standorts für ein Grundstück kann dabei helfen, Risiken frühzeitig zu erkennen und zu beseitigen.
Darüber hinaus sollten Organisationen die Risiken von vom Menschen verursachten Katastrophen im ausgewählten Stadtgebiet berücksichtigen, wie etwa politische Unruhen und kriminelle Aktivitäten.
Zusätzlich zu den spezifischen implementierten Kontrollen, sichere Informationsspeicherung Methoden wie Safes können eine zusätzliche Sicherheitsebene gegen Katastrophen wie Feuer und Überschwemmungen bieten.
Control 7.5 empfiehlt, dass Organisationen dieses Konzept berücksichtigen, wenn sie Kontrollen implementieren, um die Sicherheit von Räumlichkeiten zu erhöhen. Mit dieser Methode können städtische Bedrohungen wie kriminelle Aktivitäten, Unruhen und Terrorismus beseitigt werden.
27002:2022/7.5 replaces 27002:2013/(11.1.4)
Während in der Version 2013 dargelegt wurde, wie Unternehmen geeignete Präventivmaßnahmen gegen physische und umweltbedingte Bedrohungen ergreifen sollten, ist die Version 2022 im Hinblick auf spezifische Compliance-Schritte, die Unternehmen ergreifen sollten, viel umfassender.
Insgesamt gibt es zwei wesentliche Unterschiede:
Die Version von 2013 enthielt keine Leitlinien dazu, wie Organisationen Risiken aufgrund von Umwelt- und physischen Bedrohungen identifizieren und beseitigen sollten.
Die Vertragsversion 2022 beschreibt einen dreistufigen Prozess, dem Organisationen folgen sollten, einschließlich der Durchführung einer Risikobewertung.
Im ergänzenden Leitfaden verweist die Version 2022 auf Maßnahmen wie den Einsatz von Tresoren und die Kriminalitätsprävention durch umweltgerechte Gestaltungskonzepte, die zur Verbesserung des Schutzes vor Bedrohungen eingesetzt werden können.
In der Fassung von 2013 wurden solche zusätzlichen Maßnahmen hingegen nicht thematisiert.
Das ISMS.online-Plattform bietet eine Reihe leistungsstarker Tools, die Ihnen die Dokumentation, Implementierung, Wartung und Verbesserung Ihres Informationssicherheits-Managementsystems (ISMS) und die Einhaltung von ISO 27002 erleichtern.
Das umfassende Paket an Tools bietet Ihnen einen zentralen Ort, an dem Sie maßgeschneiderte Richtlinien und Verfahren erstellen können, die auf Ihre Bedürfnisse abgestimmt sind spezifischen Risiken und Bedürfnissen der Organisation.
Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.
Wir verschaffen Ihnen einen Vorsprung von 81 %
ab dem Moment, in dem Sie sich anmelden
Buchen Sie Ihre Demo
ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
---|---|---|
5.7 | Neu | Bedrohungsinformationen |
5.23 | Neu | Informationssicherheit bei der Nutzung von Cloud-Diensten |
5.30 | Neu | IKT-Bereitschaft für Geschäftskontinuität |
7.4 | Neu | Physische Sicherheitsüberwachung |
8.9 | Neu | Konfigurationsmanagement |
8.10 | Neu | Löschung von Informationen |
8.11 | Neu | Datenmaskierung |
8.12 | Neu | Verhinderung von Datenlecks |
8.16 | Neu | Überwachungsaktivitäten |
8.23 | Neu | Web-Filter |
8.28 | Neu | Sichere Codierung |
ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
---|---|---|
6.1 | 07.1.1 | Untersuchungen |
6.2 | 07.1.2 | Beschäftigungsbedingungen |
6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
6.4 | 07.2.3 | Disziplinarverfahren |
6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
6.7 | 06.2.2 | Fernarbeit |
6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
---|---|---|
7.1 | 11.1.1 | Physische Sicherheitsbereiche |
7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
7.4 | Neu | Physische Sicherheitsüberwachung |
7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
7.12 | 11.2.3 | Verkabelungssicherheit |
7.13 | 11.2.4 | Wartung der Ausrüstung |
7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
Wir sind kostengünstig und schnell