ISO 27701 Abschnitt 6.8: Stärkung der physischen und ökologischen Sicherheit
Neben digitalen Sicherheitsmaßnahmen (RBAC, Verschlüsselung und Authentifizierungskontrollen) müssen Unternehmen physische Standorte (Standorte, Büros, Einrichtungen) einrichten und verwalten, die einen erhöhten Schutz für PII bieten, wo immer sie verarbeitet oder gespeichert werden.
ISO beschreibt zahlreiche menschliche, ökologische und städtische Bedrohungen, die durch Gebäudeplanung, Risikomanagement und strenge physische Kontrollen bekämpft werden sollten.
Was in ISO 27701 Abschnitt 6.8 behandelt wird
Die Leitlinien von ISO 27701 6.8 sind auf sechs Unterabschnitte verteilt, von denen jeder Folgendes enthält Anleitung durch verschiedene Kontrollen innerhalb von ISO 27002, angewendet im Kontext von PII und Datenschutz:
- ISO 27701 6.8.1.1 – Physischer Sicherheitsbereich (Referenzen ISO 27002 Control 7.1)
- ISO 27701 6.8.1.2 – Physische Zugangskontrollen (Referenzen ISO 27002 Kontrolle 7.2)
- ISO 27701 6.8.1.3 – Sicherung von Büros, Räumen und Einrichtungen (Referenzen ISO 27002 Control 7.3)
- ISO 27701 6.8.1.4 – Schutz vor externen und umweltbedingten Bedrohungen (Referenzen ISO 27002 Control 7.5)
- ISO 27701 6.8.1.5 – Arbeiten in sicheren Bereichen (Referenzen ISO 27002 Control 7.6)
- ISO 27701 6.8.1.6 – Liefer- und Ladebereiche (Referenzen ISO 27002 Control 7.2)
ISO 27701 Abschnitt 6.8 enthält keine ergänzenden Leitlinien für die Implementierung und Verwaltung eines PIMS, noch gibt es Artikel der britischen DSGVO, die berücksichtigt werden sollten.
ISO 27001 leicht gemacht
Ein Vorsprung von 81 % vom ersten Tag an
Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.
ISO 27701 Abschnitt 6.8.1.1 – Physischer Sicherheitsbereich
Referenzen ISO 27002-Steuerung 7.1
Der Perimeterschutz basiert auf dem Prinzip der Schaffung kontinuierlicher interner physischer Barrieren, die den unbefugten Zugriff auf private Informationen verhindern.
Um einen durchgängigen Perimeterschutz aufrechtzuerhalten, sollten Unternehmen den physischen Zugriff auf PII verhindern, indem sie:
- Definieren und Implementieren von Sicherheitsperimetern, die die Speicherung sensibler Daten (PII) berücksichtigen.
- Aufrechterhaltung „physisch einwandfreier“ Perimeter, die rund um die Uhr sicheren Zugang ermöglichen.
- Verriegeln Sie alle äußeren Ein- und Ausgänge, wenn kein Personal anwesend ist (und sichern Sie ggf. Lüftungspunkte).
- Schützen Sie Türen mit Alarmen und sicheren Zugangsmaßnahmen (Schlüsselcodes, automatische Verriegelungsmechanismen usw.).
- Aufrechterhaltung eines robusten Satzes von Alarm-Brandschutztüren, die die geltende Gesetzgebung zum Bau von Außen- und Innenzugangspunkten berücksichtigen.
- Erstellen von Notfallplänen, die eine erhöhte Sicherheit in kritischen Situationen oder Sicherheitsvorfällen ermöglichen.
ISO 27701 Abschnitt 6.8.1.2 – Physische Zugangskontrollen
Referenzen ISO 27002-Steuerung 7.2
Während sich ISO 27701 6.8.1.1 auf Sicherheitsperimeter konzentriert, beschreibt Abschnitt 6.8.1.2 allgemeine Grundsätze, um sicherzustellen, dass nur autorisiertes Personal Zugang zu Bereichen hat, die PII und datenschutzrelevante Vermögenswerte enthalten.
Allgemeine Anleitung
Organisationen sollten:
- Beschränken Sie den Zugang zu gesamten Standorten, Gebäuden und Büroeinrichtungen einheitlich nur auf autorisiertes Personal (einschließlich Notausgangsstellen).
- Führen Sie regelmäßige Überprüfungen der Zugriffsebenen durch, die bei Bedarf eine pauschale Aktualisierung aller Zugriffsebenen umfassen sollten (siehe ISO 27002-Steuerung 5.18).
- Führen Sie ein Logbuch oder erstellen Sie einen digitalen Prüfpfad für den Standort- und Raumzugang (siehe ISO 27002-Steuerung 5.33).
- Entwickeln und installieren Sie technische Zugangsmaßnahmen (Schlüsselkarten, Schlüsselanhänger, biometrische Zugangssysteme, codierte Alarme usw.).
- Sorgen Sie für einen überwachten Empfangsbereich.
- Untersuchen Sie die persönlichen Gegenstände von internen und externen Mitarbeitern vor dem Betreten (Hinweis: Regionale Gesetze zur Kontrolle von persönlichem Eigentum können Organisationen daran hindern, dies zu tun).
- Setzen Sie standortweite Lichtbildausweisbestimmungen durch.
- Bereitstellung eingeschränkten Zugangs für Besucher zu allen Bereichen, in denen PII oder datenschutzbezogene Informationen gespeichert oder verarbeitet werden.
- Erstellen Sie Notfallpläne für Vorfälle und kritische Szenarien.
- Pflegen Sie ein Schlüsselverwaltungssystem, das den Zugriff auf Authentifizierungsmethoden wie Türzugangssysteme und Zahlenschlösser protokolliert, prüft, verwaltet, gewährt und widerruft (siehe ISO 27002-Steuerung 5.17).
Besucher
Wenn Organisationen Besuchern Zugang zu Sperrbereichen gewähren, sollten sie Folgendes tun:
- Überprüfen Sie die Identität des Besuchers, bevor Sie ihm Zugang gewähren.
- Protokollieren Sie Datum und Uhrzeit eines Besuchs.
- Stellen Sie sicher, dass die Art des Besuchs verstanden und aufgezeichnet wird und im Kontext des physischen Bereichs, auf den zugegriffen wird, angemessen ist.
- Stellen Sie sicher, dass der Besucher gegebenenfalls beaufsichtigt wird.
Liefer- und Ladeflächen
Beim Entwerfen und Betreiben einer Ladefläche sollten Organisationen Folgendes tun:
- Beschränken Sie den Zugang zu Ladeflächen auf geprüfte Unternehmen und Einzelpersonen.
- Gestalten Sie die Ladefläche so, dass kein anderer Teil des Betriebsgeländes ohne entsprechende Genehmigung zugänglich ist.
- Überprüfen Sie empfangene Lieferungen auf gefährliche, illegale und explosive Materialien sowie auf Manipulationen, bevor Sie deren Inhalt auf dem Gelände bewegen.
- Protokollieren Sie eingehende Lieferungen gemäß den organisatorischen Asset-Management-Kontrollen (siehe ISO 27002-Kontrollen 5.9 und 7.10).
- Bieten Sie dem Personal einen Raum, um eingehendes und ausgehendes Material physisch zu trennen.
Relevante ISO 27002-Kontrollen
- ISO 27002 5.9
- ISO 27002 5.17
- ISO 27002 5.18
- ISO 27002 5.33
- ISO 27002 7.10
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
ISO 27701 Abschnitt 6.8.1.3 – Sicherung von Büros, Räumen und Einrichtungen
Referenzen ISO 27002-Steuerung 7.3
Der physische Schutz personenbezogener Daten und datenschutzrelevanter Vermögenswerte erstreckt sich auch auf Räume innerhalb eines etablierten Sicherheitsbereichs. Um Büros, Räume und Einrichtungen zu sichern, sollten Organisationen:
Um interne Einrichtungen zu schützen, sollten Organisationen:
- Vermeiden Sie den Bau von Büroräumen, die der Öffentlichkeit ohne entsprechende Genehmigung freien Zugang ermöglichen.
- Wenn es sich um PII-Verarbeitungsanlagen handelt, vermeiden Sie Beschilderungen, die den Zweck der Anlage (intern oder extern) angeben.
- Bauen Sie Einrichtungen, die verhindern, dass das Personal für die Öffentlichkeit sichtbar ist, und installieren Sie bei Bedarf eine entsprechende elektromagnetische Abschirmung.
- Verstecken Sie das Vorhandensein von PII-Verarbeitungseinrichtungen vor Online-Kartenplattformen und Kommunikationsverzeichnissen.
ISO 27701 Abschnitt 6.8.1.4 – Schutz vor externen und umweltbedingten Bedrohungen
Referenzen ISO 27002-Steuerung 7.5
Unter einer „Bedrohung“ kann jedes größere Ereignis verstanden werden, das möglicherweise Auswirkungen auf personenbezogene Daten oder datenschutzbezogene Vermögenswerte hat.
Organisationen sollten eine Bedrohungsrisikobewertung durchführen, bevor sie „kritische Operationen“ durchführen, die Veränderungen in der Bedrohungsumgebung berücksichtigen, einschließlich physischer (z. B. krimineller Aktivitäten) und Umweltbedrohungen (Überschwemmungen, Brände usw.).
Beim Bau physischer Räumlichkeiten sollten Organisationen Folgendes berücksichtigen:
- Lokale geografische und topologische Faktoren, einschließlich Landmerkmale, nahegelegenes Wasser und die Möglichkeit eines Erdbebens.
- Jegliche Bedrohungen, die von menschlichen Quellen in städtischen Gebieten ausgehen, wie etwa terroristische oder kriminelle Aktivitäten sowie politische Gewalt/Unruhen.
Sobald die Risikobewertung abgeschlossen ist, sollten Organisationen eine Reihe von Kontrollen entwickeln, die darauf abzielen, das Risiko des Auftretens oder Wiederauftretens einer Bedrohung sowohl zu verhindern als auch zu minimieren.
ISO-Erwähnungen Feuer, Überschwemmung, elektrische Überspannungen und Sprengstoffe/Waffen als von besonderer Bedeutung. Wenn die Ressourcen knapp werden, sollten sich Organisationen vorrangig auf diese vier Bereiche konzentrieren.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
ISO 27701 Abschnitt 6.8.1.5 – Arbeiten in sicheren Bereichen
Referenzen ISO 27002-Steuerung 7.6
Unternehmen müssen personenbezogene Daten und datenschutzbezogene Vermögenswerte schützen, indem sie eine sichere Arbeitsrichtlinie für alle Mitarbeiter implementieren, die die beruflichen Rollen und physischen Schutzmaßnahmen berücksichtigt.
Bei der Formulierung von Arbeitsrichtlinien in sicheren Bereichen sollten Organisationen:
- Stellen Sie sicher, dass die Mitarbeiter auf der Grundlage des „Need-to-know“-Prinzips arbeiten.
- Vermeiden Sie es, das Personal über längere Zeiträume unbeaufsichtigt zu lassen.
- Stellen Sie sicher, dass alle relevanten Türen verschlossen sind und dass Bereiche mit geringem Personenaufkommen oder dauerhaft unbesetzte Bereiche regelmäßigen Inspektionen unterliegen.
- Überwachen und kontrollieren Sie die Nutzung persönlicher und organisatorischer Endgeräte in einem Maße, das in einem angemessenen Verhältnis zu den gespeicherten Daten steht.
- Stellen Sie Notfallpläne und Notfallverfahren klar dar, damit das Personal versteht, wie es auf kritische Szenarien reagieren muss.
ISO 27701 Abschnitt 6.8.1.6 – Liefer- und Ladebereiche
Referenzen ISO 27002-Steuerung 7.2
Siehe ISO 27701 Abschnitt 6.8.1.2 (oben).
Unterstützende Kontrollen von ISO 27002 und DSGVO
| ISO 27701-Klauselkennung | Name der ISO 27701-Klausel | ISO 27002-Anforderung | Zugehörige DSGVO-Artikel |
|---|---|---|---|
| 6.8.1.1 | Physischer Sicherheitsbereich |
7.1 – Physische Sicherheitsperimeter für ISO 27002 |
Non |
| 6.8.1.2 | Physische Zugangskontrollen |
7.2 – Physischer Eintrag für ISO 27002 |
Non |
| 6.8.1.3 | Sicherung von Büros, Räumen und Einrichtungen |
7.3 – Absicherung von Büros, Räumen und Einrichtungen nach ISO 27002 |
Non |
| 6.8.1.4 | Schutz vor externen und umweltbedingten Bedrohungen |
7.5 – Schutz vor physischen und umweltbedingten Bedrohungen für ISO 27002 |
Non |
| 6.8.1.5 | Arbeiten in sicheren Bereichen |
7.6 – Arbeiten in sicheren Bereichen gemäß ISO 27002 |
Non |
| 6.8.1.6 | Liefer- und Ladeflächen |
7.2 – Physischer Eintrag für ISO 27002 |
Non |
Wie ISMS.online hilft
Wie helfen wir?
Um ISO 27701 zu erreichen, müssen Sie ein Privacy Information Management System (PIMS) aufbauen. Mit unserem vorkonfigurierten PIMS können Sie Kunden-, Lieferanten- und Mitarbeiterinformationen schnell und einfach organisieren und verwalten, um vollständig der ISO 27701 zu entsprechen.
Sie können auch die wachsende Zahl globaler, regionaler und branchenspezifischer Datenschutzbestimmungen berücksichtigen, die wir auf der ISMS.online-Plattform unterstützen.
Um eine Zertifizierung nach ISO 27701 zu erhalten, müssen Sie zunächst eine Zertifizierung nach ISO 27001 erreichen. Die gute Nachricht ist, dass unsere Plattform Ihnen dabei helfen kann, beides zu erreichen.
Erfahren Sie mehr von Buchen Sie eine praktische Demo.
