Zum Inhalt
ISMS.online

ISO 27002:2022 – Kontrolle 7.5 – Schutz vor physischen und umweltbedingten Bedrohungen

ISO 27002:2022 Control 7.5 unterstreicht die Notwendigkeit für Organisationen, physische und ökologische Bedrohungen (z. B. Naturkatastrophen, Unruhen und Kriminalität) zu bewerten und einzudämmen, um kritische Infrastrukturen und Informationsressourcen zu schützen. Es betont Risikobewertungen und vorbeugende Maßnahmen wie Brandbekämpfung und Sicherheitskontrollen, um die Vertraulichkeit, Integrität und Verfügbarkeit von Daten zu gewährleisten.

Autorin
Sam Peters
Aktualisiert Juli 25, 2025
4 / 5 Sterne

Schutz Ihres Unternehmens vor physischen und umweltbedingten Bedrohungen

Bedrohungen für Informationsressourcen sind nicht nur digitaler Natur: Die kritische physische Infrastruktur einer Organisation, die Informationsressourcen hostet, ist auch Umwelt- und physischen Bedrohungen ausgesetzt, die zu Verlust, Zerstörung, Diebstahl und Gefährdung von Informationsressourcen und sensiblen Daten führen können.

Zu diesen Bedrohungen können Naturereignisse wie Erdbeben, Überschwemmungen und Waldbrände gehören. Dazu können auch von Menschen verursachte Katastrophen wie Unruhen und kriminelle Aktivitäten gehören.

Control 7.5 befasst sich damit, wie Organisationen Risiken für kritische physische Infrastrukturen aufgrund physischer und umweltbedingter Bedrohungen bewerten, identifizieren und mindern können.

Zweck der Kontrolle 7.5

Control 7.5 ermöglicht es Unternehmen, die zu messen mögliche nachteilige Auswirkungen von Umwelt- und physischen Bedrohungen und diese Auswirkungen durch die Einführung geeigneter Maßnahmen zu mildern und/oder zu beseitigen.

Attributtabelle der Steuerung 7.5

Bei der Kontrolle 7.5 handelt es sich um eine vorbeugende Art der Kontrolle verlangt von Organisationen, die Folgen zu beseitigen und/oder abzumildern die wahrscheinlich aus externen Risiken wie Naturkatastrophen und vom Menschen verursachten Vorfällen entstehen.

Steuerungstyp Eigenschaften der Informationssicherheit Cybersicherheitskonzepte Operative Fähigkeiten Sicherheitsdomänen
#Präventiv #Vertraulichkeit #Schützen #Physische Sicherheit #Schutz
#Integrität
#Verfügbarkeit

Eigentum an der Kontrolle 7.5

Control 7.5 verlangt von Organisationen dies eine ausführliche Risikobewertung durchführen vor Beginn jeglicher Arbeiten auf einem physischen Gelände und zur Umsetzung notwendiger Maßnahmen, die dem festgestellten Risikoniveau entsprechen.

Daher sollten leitende Sicherheitsbeauftragte für die Erstellung, Verwaltung, Implementierung und Überprüfung des gesamten Prozesses verantwortlich sein.



ISMS.online verschafft Ihnen einen Vorsprung von 81 % ab dem Moment Ihrer Anmeldung

ISO 27001 leicht gemacht

Ein Vorsprung von 81 % vom ersten Tag an

Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.

Los geht´s


Allgemeine Richtlinien zur Compliance

Control 7.5 spezifiziert einen dreistufigen Prozess zur Identifizierung und Beseitigung von Risiken aufgrund physischer und umgebungsbedingter Bedrohungen:

  • Schritt 1: Führen Sie eine Risikobewertung durch

Organisationen sollten eine Gefährdungsbeurteilung durchführen um potenzielle physische und Umweltkatastrophen zu identifizieren, die an jedem einzelnen physischen Standort auftreten können, und dann die Auswirkungen zu messen, die aufgrund der identifizierten physischen und umweltbedingten Bedrohungen wahrscheinlich entstehen.

In Anbetracht der Tatsache, dass jedes physische Gebäude und jede darin befindliche Infrastruktur unterschiedlichen Umgebungsbedingungen und physischen Risikofaktoren unterliegen, variieren die Art der Bedrohung und das festgestellte Risikoniveau je nach Gebäude und Standort.

Während beispielsweise ein Gebäude am anfälligsten für Waldbrände ist, kann ein anderes Gebäude in einem Gebiet liegen, in dem es häufig zu Erdbeben kommt.

Eine weitere wichtige Anforderung der Kontrolle 7.5 besteht darin, dass diese Risikobewertung vor der Aufnahme des Betriebs auf einem physischen Gelände durchgeführt werden sollte.

  • Schritt 2: Identifizieren und implementieren Sie Kontrollen

Basierend auf der Art der Bedrohung und dem im ersten Schritt identifizierten Risikoniveau sollten Organisationen geeignete Kontrollen einrichten, die die wahrscheinlichen Folgen der Umwelt- und physischen Bedrohungen berücksichtigen.

Zur Veranschaulichung bietet Control 7.5 Beispiele für Kontrollen, die für die folgenden Bedrohungen eingerichtet werden können:

Fire: Organisationen sollten Systeme einsetzen, um Alarme auszulösen, wenn ein Feuer erkannt wird, oder um Feuerlöschsysteme zu aktivieren, die in der Lage sind, Speichermedien und Informationssysteme vor Schäden zu schützen.

Überschwemmung: Systeme sollten bereitgestellt und konfiguriert werden, um Überschwemmungen in Bereichen zu erkennen, in denen Informationsressourcen gespeichert sind. Darüber hinaus sollten Werkzeuge wie Wasserpumpen für den Fall einer Überschwemmung einsatzbereit sein.

Elektrische Überspannungen: Server und kritisch Informationsmanagementsysteme sollten gewartet und vor Stromausfällen geschützt werden.

Sprengstoffe und Waffen: Organisationen sollten stichprobenartige Audits durchführen und Inspektionen aller Personen, Gegenstände und Fahrzeuge, die Räumlichkeiten mit kritischer Infrastruktur betreten.

  • Schritt 3: Überwachung

Da sich die Art der Bedrohungen und das Ausmaß der Risiken im Laufe der Zeit ändern können, sollten Unternehmen die Risikobewertungen kontinuierlich überwachen und bei Bedarf die von ihnen implementierten Kontrollen überdenken.

Ergänzende Anleitung

Control 7.5 listet vier spezifische Überlegungen auf, die Organisationen berücksichtigen sollten.

Beratung mit Experten

Jede spezifische Art von Umwelt- und physischer Bedrohung, ob Giftmüll, Erdbeben oder Feuer, ist einzigartig in Bezug auf ihre Natur, die damit verbundenen Risiken und die erforderlichen Gegenmaßnahmen.

Daher sollten Organisationen fachkundigen Rat einholen, um die aus diesen Bedrohungen resultierenden Risiken zu erkennen und/oder zu mindern.

Standortwahl für Räumlichkeiten

Die Berücksichtigung der lokalen Topographie, des Wasserstands und der tektonischen Bewegungen des potenziellen Standorts für ein Grundstück kann dabei helfen, Risiken frühzeitig zu erkennen und zu beseitigen.

Darüber hinaus sollten Organisationen die Risiken von vom Menschen verursachten Katastrophen im ausgewählten Stadtgebiet berücksichtigen, wie etwa politische Unruhen und kriminelle Aktivitäten.

Zusätzliche Sicherheitsebene

Zusätzlich zu den spezifischen implementierten Kontrollen, sichere Informationsspeicherung Methoden wie Safes können eine zusätzliche Sicherheitsebene gegen Katastrophen wie Feuer und Überschwemmungen bieten.

Kriminalprävention durch Umweltdesign

Control 7.5 empfiehlt, dass Organisationen dieses Konzept berücksichtigen, wenn sie Kontrollen implementieren, um die Sicherheit von Räumlichkeiten zu erhöhen. Mit dieser Methode können städtische Bedrohungen wie kriminelle Aktivitäten, Unruhen und Terrorismus beseitigt werden.



ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Verwalten Sie Ihre gesamte Compliance an einem Ort

ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Buchen Sie Ihre Demo


Änderungen und Unterschiede zu ISO 27002:2013

27002:2022/7.5 replaces 27002:2013/(11.1.4)

Während in der Version 2013 dargelegt wurde, wie Unternehmen geeignete Präventivmaßnahmen gegen physische und umweltbedingte Bedrohungen ergreifen sollten, ist die Version 2022 im Hinblick auf spezifische Compliance-Schritte, die Unternehmen ergreifen sollten, viel umfassender.

Insgesamt gibt es zwei wesentliche Unterschiede:

  • Die Version 2022 bietet Leitlinien zur Compliance

Die Version von 2013 enthielt keine Leitlinien dazu, wie Organisationen Risiken aufgrund von Umwelt- und physischen Bedrohungen identifizieren und beseitigen sollten.

Die Vertragsversion 2022 beschreibt einen dreistufigen Prozess, dem Organisationen folgen sollten, einschließlich der Durchführung einer Risikobewertung.

  • In der Version 2022 wird Organisationen empfohlen, die Implementierung einer zusätzlichen Maßnahmenebene in Betracht zu ziehen

Im ergänzenden Leitfaden verweist die Version 2022 auf Maßnahmen wie den Einsatz von Tresoren und die Kriminalitätsprävention durch umweltgerechte Gestaltungskonzepte, die zur Verbesserung des Schutzes vor Bedrohungen eingesetzt werden können.

In der Fassung von 2013 wurden solche zusätzlichen Maßnahmen hingegen nicht thematisiert.

Neue ISO 27002-Kontrollen

Neue Steuerelemente
ISO/IEC 27002:2022 Kontrollkennung ISO/IEC 27002:2013 Kontrollkennung Kontrollname
5.7 NEU Bedrohungsinformationen
5.23 NEU Informationssicherheit bei der Nutzung von Cloud-Diensten
5.30 NEU IKT-Bereitschaft für Geschäftskontinuität
7.4 NEU Physische Sicherheitsüberwachung
8.9 NEU Konfigurationsmanagement
8.10 NEU Löschung von Informationen
8.11 NEU Datenmaskierung
8.12 NEU Verhinderung von Datenlecks
8.16 NEU Überwachungsaktivitäten
8.23 NEU Web-Filter
8.28 NEU Sichere Codierung
Organisatorische Kontrollen
ISO/IEC 27002:2022 Kontrollkennung ISO/IEC 27002:2013 Kontrollkennung Kontrollname
5.1 05.1.1, 05.1.2 Richtlinien zur Informationssicherheit
5.2 06.1.1 Rollen und Verantwortlichkeiten im Bereich Informationssicherheit
5.3 06.1.2 Aufgabentrennung
5.4 07.2.1 Führungsaufgaben
5.5 06.1.3 Kontakt mit Behörden
5.6 06.1.4 Kontakt zu speziellen Interessengruppen
5.7 NEU Bedrohungsinformationen
5.8 06.1.5, 14.1.1 Informationssicherheit im Projektmanagement
5.9 08.1.1, 08.1.2 Inventar der Informationen und anderer damit verbundener Vermögenswerte
5.10 08.1.3, 08.2.3 Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten
5.11 08.1.4 Rückgabe von Vermögenswerten
5.12 08.2.1 Klassifizierung von Informationen
5.13 08.2.2 Kennzeichnung von Informationen
5.14 13.2.1, 13.2.2, 13.2.3 Informationsübertragung
5.15 09.1.1, 09.1.2 Zugriffskontrolle
5.16 09.2.1 Identitätsmanagement
5.17 09.2.4, 09.3.1, 09.4.3 Authentifizierungsinformationen
5.18 09.2.2, 09.2.5, 09.2.6 Zugangsrechte
5.19 15.1.1 Informationssicherheit in Lieferantenbeziehungen
5.20 15.1.2 Adressierung der Informationssicherheit innerhalb von Lieferantenvereinbarungen
5.21 15.1.3 Management der Informationssicherheit in der IKT-Lieferkette
5.22 15.2.1, 15.2.2 Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen
5.23 NEU Informationssicherheit bei der Nutzung von Cloud-Diensten
5.24 16.1.1 Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen
5.25 16.1.4 Beurteilung und Entscheidung zu Informationssicherheitsereignissen
5.26 16.1.5 Reaktion auf Informationssicherheitsvorfälle
5.27 16.1.6 Aus Informationssicherheitsvorfällen lernen
5.28 16.1.7 Sammlung von Beweisen
5.29 17.1.1, 17.1.2, 17.1.3 Informationssicherheit bei Störungen
5.30 5.30 IKT-Bereitschaft für Geschäftskontinuität
5.31 18.1.1, 18.1.5 Gesetzliche, gesetzliche, behördliche und vertragliche Anforderungen
5.32 18.1.2 Rechte am geistigen Eigentum
5.33 18.1.3 Schutz von Aufzeichnungen
5.34 18.1.4 Privatsphäre und Schutz personenbezogener Daten
5.35 18.2.1 Unabhängige Überprüfung der Informationssicherheit
5.36 18.2.2, 18.2.3 Einhaltung von Richtlinien, Regeln und Standards zur Informationssicherheit
5.37 12.1.1 Dokumentierte Betriebsabläufe
Menschenkontrollen
ISO/IEC 27002:2022 Kontrollkennung ISO/IEC 27002:2013 Kontrollkennung Kontrollname
6.1 07.1.1 Rekrutierung
6.2 07.1.2 Beschäftigungsbedingungen
6.3 07.2.2 Bewusstsein für Informationssicherheit, Aus- und Weiterbildung
6.4 07.2.3 Disziplinarverfahren
6.5 07.3.1 Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses
6.6 13.2.4 Vertraulichkeits- oder Geheimhaltungsvereinbarungen
6.7 06.2.2 Fernarbeit
6.8 16.1.2, 16.1.3 Berichterstattung über Informationssicherheitsereignisse
Physikalische Kontrollen
ISO/IEC 27002:2022 Kontrollkennung ISO/IEC 27002:2013 Kontrollkennung Kontrollname
7.1 11.1.1 Physische Sicherheitsbereiche
7.2 11.1.2, 11.1.6 Physischer Eintritt
7.3 11.1.3 Absicherung von Büros, Räumen und Anlagen
7.4 NEU Physische Sicherheitsüberwachung
7.5 11.1.4 Schutz vor physischen und umweltbedingten Bedrohungen
7.6 11.1.5 Arbeiten in sicheren Bereichen
7.7 11.2.9 Klarer Schreibtisch und klarer Bildschirm
7.8 11.2.1 Standort und Schutz der Ausrüstung
7.9 11.2.6 Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Speichermedium
7.11 11.2.2 Unterstützende Versorgungsunternehmen
7.12 11.2.3 Verkabelungssicherheit
7.13 11.2.4 Wartung der Ausrüstung
7.14 11.2.7 Sichere Entsorgung oder Wiederverwendung von Geräten
Technologische Kontrollen
ISO/IEC 27002:2022 Kontrollkennung ISO/IEC 27002:2013 Kontrollkennung Kontrollname
8.1 06.2.1, 11.2.8 Benutzerendpunktgeräte
8.2 09.2.3 Privilegierte Zugriffsrechte
8.3 09.4.1 Beschränkung des Informationszugriffs
8.4 09.4.5 Zugriff auf Quellcode
8.5 09.4.2 Sichere Authentifizierung
8.6 12.1.3 Kapazitätsmanagement
8.7 12.2.1 Schutz vor Malware
8.8 12.6.1, 18.2.3 Management technischer Schwachstellen
8.9 NEU Konfigurationsmanagement
8.10 NEU Löschung von Informationen
8.11 NEU Datenmaskierung
8.12 NEU Verhinderung von Datenlecks
8.13 12.3.1 Informationssicherung
8.14 17.2.1 Redundanz der Informationsverarbeitungseinrichtungen
8.15 12.4.1, 12.4.2, 12.4.3 Protokollierung
8.16 NEU Überwachungsaktivitäten
8.17 12.4.4 Uhrzeitsynchronisation
8.18 09.4.4 Verwendung privilegierter Hilfsprogramme
8.19 12.5.1, 12.6.2 Installation von Software auf Betriebssystemen
8.20 13.1.1 Netzwerksicherheit
8.21 13.1.2 Sicherheit von Netzwerkdiensten
8.22 13.1.3 Trennung von Netzwerken
8.23 NEU Web-Filter
8.24 10.1.1, 10.1.2 Verwendung von Kryptographie
8.25 14.2.1 Sicherer Entwicklungslebenszyklus
8.26 14.1.2, 14.1.3 Anforderungen an die Anwendungssicherheit
8.27 14.2.5 Sichere Systemarchitektur und technische Prinzipien
8.28 NEU Sichere Codierung
8.29 14.2.8, 14.2.9 Sicherheitstests in Entwicklung und Abnahme
8.30 14.2.7 Ausgelagerte Entwicklung
8.31 12.1.4, 14.2.6 Trennung von Entwicklungs-, Test- und Produktionsumgebungen
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Änderungsmanagement
8.33 14.3.1 Testinformationen
8.34 12.7.1 Schutz von Informationssystemen während der Auditprüfung

Wie ISMS.online hilft

Die ISMS.online-Plattform bietet eine Reihe leistungsstarker Tools, die Ihnen die Dokumentation, Implementierung, Wartung und Verbesserung Ihres Informationssicherheits-Managementsystems (ISMS) und die Einhaltung von ISO 27002 erleichtern.

Das umfassende Paket an Tools bietet Ihnen einen zentralen Ort, an dem Sie maßgeschneiderte Richtlinien und Verfahren erstellen können, die auf Ihre Bedürfnisse abgestimmt sind spezifischen Risiken und Bedürfnissen der Organisation.

Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.

Sam Peters

Sam ist Chief Product Officer bei ISMS.online und leitet die Entwicklung aller Produktmerkmale und -funktionen. Sam ist ein Experte in vielen Compliance-Bereichen und arbeitet mit Kunden an maßgeschneiderten oder groß angelegten Projekten.

Machen Sie eine virtuelle Tour

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und sehen Sie
ISMS.online im Einsatz!

Probieren Sie es jetzt
Plattform-Dashboard voll auf Mint

Wir sind führend auf unserem Gebiet

4 / 5 Sterne
Benutzer lieben uns
Leiter – Winter 2026
Regionalleiter – Winter 2026 (Großbritannien)
Regionalleiter – Winter 2026 EU
Regionalleiter – Winter 2026, Mittelstand EU
Regionalleiter – Winter 2026 EMEA
Regionalleiter – Winter 2026, Mittelstand EMEA

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

— Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

— Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

— Ben H.