Physische Controls der ISO 27001

  • Überblick über alle physischen Controls aus Anhang A der ISO 27001:2022 – inklusive neuer Anforderungen wie Physical Security Monitoring

  • Konkrete Maßnahmen zum Schutz von Gebäuden, Zugängen, Equipment und Speichermedien vor physischen und umweltbedingten Bedrohungen

  • Schritt-für-Schritt-Ansatz zur risikobasierten Implementierung physischer Controls im ISMS

ISO 27001 Physical Controls

Die ISO 27001 ist eine internationale Norm für Informationssicherheits-Managementsysteme (ISMS). Sie definiert Anforderungen an die Implementierung, Umsetzung und Aufrechterhaltung eines ISMS, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu schützen.

Ein nach ISO 27001 zertifiziertes Informationssicherheits-Managementsystem ist eine weltweit anerkannte Möglichkeit, Informationen einer Organisation angemessen zu schützen. Dabei besteht ISMS aus einer Reihe von Maßnahmen, die dazu beitragen, die Sicherheit von Informationen zu gewährleisten.

Physische Controls sind ein wichtiger Bestandteil eines ISMS. In dieser Kategorie geht es darum, wie Sie sich gegen physische und umweltbedingte Bedrohungen wie Diebstahl, Naturkatastrophen und vorsätzliche Zerstörung schützen.

Was sind die Control-Kategorien aus Anhang A? Organisatorisch, personalbezogen, physisch und technologisch

Anhang A der ISO 27001:2022 enthält eine Liste von 93 Controls, die Organisationen implementieren können, um ihre Informationssicherheit zu verbessern. Um die Anforderungen der Maßnahmen an die aktuellen Sicherheitsanforderungen anzupassen, sind diese Controls in vier Kategorien unterteilt:

  • Organisatorische Controls
  • Menschliche Controls
  • Technologische Controls
  • Physische Controls

Dieser Artikel konzentriert sich auf die physischen Controls aus Anhang A der ISO 27001:2022.


Was sind physische Controls?

Zu den physischen Controls gehören die Sicherheitsüberwachung, die Wartung, die Sicherheit der Einrichtungen und die Speichermedien. Physische Controls sind Maßnahmen, die die physische Sicherheit von Informationen und Informationssystemen schützen. Sie umfassen Maßnahmen zur Sicherung von Gebäuden, Räumen und Anlagen, zur Kontrolle des Zugangs zu diesen Bereichen und zur Verhinderung von Schäden an Informationen und Informationssystemen.

Das heißt: Mit den physischen Maßnahmen wird sichergestellt, dass die Räumlichkeiten und Speichermedien der Organisation instandgehalten, überwacht und vor unerlaubtem Zutritt und Zerstörung geschützt werden.

Physische Controls umfassen unter anderem:

  • Den Schutz aller physischen Räumlichkeiten und die Kontrolle der Zutritte, um unbefugten Zugang und Beschädigungen zu verhindern
  • Den Schutz der Räumlichkeiten und Informationen vor physischen und umweltbedingten Schäden
  • Sichere Arbeitsorte, um den Schutz von Informationen in Sicherheitsbereichen vor Beschädigung zu ermöglichen
  • Richtlinien zum Umgang mit Equipment und Speichermedien, um Schäden, Verlust oder Diebstahl zu vermeiden
PILLAR_DE_ISO27001_Popup_image cta

Stärken Sie Ihre Informationssicherheit

Vom Aufbau eines ISMS bis hin zum Risikomanagement und Mitarbeiterschulungen – DataGuard hilft Ihnen, das zu schützen, was am wichtigsten ist.

Was sind die neuen physischen Controls der ISO 27001?

Die ISO 27001:2022 enthält im Vergleich zu ihrer Vorgängerversion neue physische Maßnahmen, die auf die aktuellen Herausforderungen der Informationssicherheit reagiert. Das ist:

7.4: Physical security monitoring: Organisationen sollten ihre physischen Räumlichkeiten konstant überwachen, um unerlaubten Zutritt zu vermeiden.


Welche physischen Controls gibt es?

Physische Controls sind ein wichtiger Bestandteil einer umfassenden Informationssicherheitsstrategie, der insbesondere auf die angemessene Sicherung der Räumlichkeiten, Zugänge und Aufbewahrung von Informationen ausgerichtet ist.

Der Bereich umfasst 14 Maßnahmen, die Sie umsetzen können. Wir haben Ihnen eine Liste mit einem umfassenden Überblick über alle physischen Controls aus Anhang A der ISO 27001 erstellt:

Physical Controls

Annex A 7.1

Physical Security Perimeters

Physical Controls

Annex A 7.2

Physical Entry

Physical Controls

Annex A 7.3

Securing Offices, Rooms and Facilities

Physical Controls

Annex A 7.4

Physical Security Monitoring

Physical Controls

Annex A 7.5

Protecting Against Physical and Environmental Threats

Physical Controls

Annex A 7.6

Working In Secure Areas

Physical Controls

Annex A 7.7

Clear Desk and Clear Screen

Physical Controls

Annex A 7.8

Equipment Siting and Protection

Physical Controls

Annex A 7.9

Security of Assets Off-Premises

Physical Controls

Annex A 7.10

Storage Media

Physical Controls

Annex A 7.11

Supporting Utilities

Physical Controls

Annex A 7.12

Cabling Security

Physical Controls

Annex A 7.13

Equipment Maintenance

Physical Controls

Annex A 7.14

Secure Disposal or Re-Use of Equipment

Wie werden physische Controls implementiert?

Die Implementierung von physischen Controls sollte auf einer Risikobewertung basieren. Die Organisation sollte die potenziellen Bedrohungen für ihre Informationen und Informationssysteme identifizieren und dann die geeigneten Controls implementieren, um diese Bedrohungen zu mindern.

Der Prozess der Implementierung von physischen Controls kann in folgende Schritte unterteilt werden:

  1. Risikobewertung
    Die erste Phase besteht darin, die potenziellen Bedrohungen für die Informationen und Informationssysteme der Organisation zu identifizieren. Dazu können folgende Faktoren berücksichtigt werden:
    • Externe Bedrohungen: Diebstahl, Sabotage, Naturkatastrophen
    • Interne Bedrohungen: Mitarbeiterfehler, Betrug, Spionage
  2. Control-Auswahl
    Nach der Risikobewertung kann die Organisation die geeigneten Controls auswählen, um die identifizierten Bedrohungen zu mindern. Dabei ist es wichtig, die Kosten und den Nutzen der Controls abzuwägen.
  3. Control-Design
    In der dritten Phase wird das Design der Controls festgelegt. Dazu gehören die Spezifikation der technischen und organisatorischen Maßnahmen, die zur Umsetzung der Controls erforderlich sind.
  4. Control-Implementierung
    In der vierten Phase werden die Controls implementiert. Dazu gehören die Beschaffung und Installation der erforderlichen Hardware und Software sowie die Schulung der Mitarbeiter.
  5. Control-Überwachung
    Die Controls müssen regelmäßig überwacht werden, um sicherzustellen, dass sie ordnungsgemäß funktionieren und die gewünschten Ergebnisse erzielen. Dazu gehören regelmäßige Audits und Tests der Controls.

Physische Controls zur Stärkung Ihrer Informationssicherheit

Physische Controls sind ein wichtiger Bestandteil eines ISMS. Sie tragen dazu bei, Informationen und Informationssysteme vor physischen Bedrohungen wie Diebstahl, Zerstörung und Beschädigung zu schützen.

Mit der Version der ISO 27001 aus 2022 werden die aktuellen Herausforderungen der Informationssicherheit berücksichtigt und Möglichkeiten geboten, einen angemessenen Umgang mit aktuellen Bedingungen zu etablieren.

Finden Sie die richtigen Controls für Ihr Unternehmen und informieren Sie sich in unserer ISO 27001 Checkliste darüber, welche Maßnahmen Sie zur Umsetzung der ISO 27001 implementieren müssen.

🏢 Organization Schema Preview (Development Only)
{
  "@context": "https://schema.org",
  "@graph": [
    {
      "@type": "Organization",
      "@id": "www.dataguard.de#organization",
      "name": "DataGuard",
      "legalName": "DataCo GmbH",
      "description": "DataGuard ist der führende europäische Anbieter von Security- und Compliance-Software und wird von über 4.000 Organisationen in mehr als 50 Ländern weltweit geschätzt. Wir helfen Ihnen, Sicherheits- und Compliance-Risiken zu identifizieren und zu managen, Compliance-Anforderungen zu erfüllen und Zertifizierungen schneller zu erreichen. Dabei kombinieren wir maßgeschneiderte Expertenberatung mit KI-gestützter Automatisierung. Unsere speziell entwickelte All-in-One-Plattform basiert auf mehr als 1,5 Millionen Stunden Erfahrung eines Teams zertifizierter Security- und Compliance-Experten.",
      "foundingDate": "2018",
      "taxID": "DE315880213",
      "logo": "https://7759810.fs1.hubspotusercontent-na1.net/hubfs/7759810/DataGuardLogo.svg",
      "url": "www.dataguard.de",
      "email": "info@dataguard.de",
      "telephone": "+49 89 452459 900",
      "address": {
        "@type": "PostalAddress",
        "streetAddress": "Sandstrasse 33",
        "addressLocality": "München",
        "addressRegion": "Bayern",
        "postalCode": "80335",
        "addressCountry": "Deutschland"
      },
      "sameAs": [
        "https://www.linkedin.com/company/dataguard1/",
        "https://www.youtube.com/channel/UCEQzPZ6sCBCj9cAoBvaLL6w",
        "https://x.com/i/flow/login?redirect_after_login=%2FDataGuard_dg"
      ]
    }
  ]
}

✅ Organization schema markup for "DataGuard" has been injected into the document head.