Your-ultimate-guide-to-ISO-27001-Certification-Background

Navigating ISO 27001

Physische Controls der ISO 27001

Die wichtigsten Maßnahmen für die Informationssicherheit

Kostenlosen Leitfaden herunterladen

 

Get your free guide

Die ISO 27001 ist eine internationale Norm für Informationssicherheits-Managementsysteme (ISMS). Sie definiert Anforderungen an die Implementierung, Umsetzung und Aufrechterhaltung eines ISMS, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu schützen.

Ein nach ISO 27001 zertifiziertes Informationssicherheits-Managementsystem ist eine weltweit anerkannte Möglichkeit, Informationen einer Organisation angemessen zu schützen. Dabei besteht ISMS aus einer Reihe von Maßnahmen, die dazu beitragen, die Sicherheit von Informationen zu gewährleisten.

Physische Controls sind ein wichtiger Bestandteil eines ISMS. In dieser Kategorie geht es darum, wie Sie sich gegen physische und umweltbedingte Bedrohungen wie Diebstahl, Naturkatastrophen und vorsätzliche Zerstörung schützen.

Control Kategorien aus Anhang A: Organisatorisch, personalbezogen, physisch und technologisch

Anhang A der ISO 27001:2022 enthält eine Liste von 93 Controls, die Organisationen implementieren können, um ihre Informationssicherheit zu verbessern. Um die Anforderungen der Maßnahmen an die aktuellen Sicherheitsanforderungen anzupassen, sind diese Controls  in vier Kategorien unterteilt:

  • Organisatorische Controls

  • Menschliche Controls

  • Technologische Controls

  • Physische Controls

Dieser Artikel konzentriert sich auf die physischen Controls aus Anhang A der ISO 27001:2022.

 

Was sind physische Controls?

Zu den physischen Controls gehören die Sicherheitsüberwachung, die Wartung, die Sicherheit der Einrichtungen und die Speichermedien. Physische Controls sind Maßnahmen, die die physische Sicherheit von Informationen und Informationssystemen schützen. Sie umfassen Maßnahmen zur Sicherung von Gebäuden, Räumen und Anlagen, zur Kontrolle des Zugangs zu diesen Bereichen und zur Verhinderung von Schäden an Informationen und Informationssystemen.

Das heißt: Mit den physischen Maßnahmen wird sichergestellt, dass die Räumlichkeiten und Speichermedien der Organisation instandgehalten, überwacht und vor unerlaubtem Zutritt und Zerstörung geschützt werden.

Physische Controls umfassen unter anderem:

  • Den Schutz aller physischen Räumlichkeiten und die Kontrolle der Zutritte, um unbefugten Zugang und Beschädigungen zu verhindern

  • Den Schutz der Räumlichkeiten und Informationen vor physischen und umweltbedingten Schäden

  • Sichere Arbeitsorte, um den Schutz von Informationen in Sicherheitsbereichen vor Beschädigung zu ermöglichen

  • Richtlinien zum Umgang mit Equipment und Speichermedien, um Schäden, Verlust oder Diebstahl zu vermeiden

Schnell zur ISO 27001-Zertifizierung mit Experten an Ihrer Seite

Reduzierung der manuellen Arbeit um bis zu 75 % 

Reduzieren Sie Ihre Kosten um die Hälfte, indem Sie bis zu 40 % Arbeitskraft einsparen 

Demo buchen
DG Seal ISO 27001

ISO 27001: Neue physische Controls

Die ISO 27001:2022 enthält im Vergleich zu ihrer Vorgängerversion neue physische Maßnahmen, die auf die aktuellen Herausforderungen der Informationssicherheit reagiert. Das ist:

7.4: Physical security monitoring: Organisationen sollten ihre physischen Räumlichkeiten konstant überwachen, um unerlaubten Zutritt zu vermeiden.

 

Welche physischen Controls gibt es?

Physische Controls sind ein wichtiger Bestandteil einer umfassenden Informationssicherheitsstrategie, der insbesondere auf die angemessene Sicherung der Räumlichkeiten, Zugänge und Aufbewahrung von Informationen ausgerichtet ist.

Der Bereich umfasst 14 Maßnahmen, die Sie umsetzen können. Wir haben Ihnen eine Liste mit einem umfassenden Überblick über alle physischen Controls aus Anhang A der ISO 27001 erstellt:

Physical Controls

Annex A 7.1

Physical Security Perimeters

Physical Controls

Annex A 7.2

Physical Entry

Physical Controls

Annex A 7.3

Securing Offices, Rooms and Facilities

Physical Controls

Annex A 7.4

Physical Security Monitoring

Physical Controls

Annex A 7.5

Protecting Against Physical and Environmental Threats

Physical Controls

Annex A 7.6

Working In Secure Areas

Physical Controls

Annex A 7.7

Clear Desk and Clear Screen

Physical Controls

Annex A 7.8

Equipment Siting and Protection

Physical Controls

Annex A 7.9

Security of Assets Off-Premises

Physical Controls

Annex A 7.10

Storage Media

Physical Controls

Annex A 7.11

Supporting Utilities

Physical Controls

Annex A 7.12

Cabling Security

Physical Controls

Annex A 7.13

Equipment Maintenance

Physical Controls

Annex A 7.14

Secure Disposal or Re-Use of Equipment

Wie werden physische Controls implementiert?

Die Implementierung von physischen Controls sollte auf einer Risikobewertung basieren. Die Organisation sollte die potenziellen Bedrohungen für ihre Informationen und Informationssysteme identifizieren und dann die geeigneten Controls implementieren, um diese Bedrohungen zu mindern.

Der Prozess der Implementierung von physischen Controls kann in folgende Schritte unterteilt werden:

  1. Risikobewertung

    Die erste Phase besteht darin, die potenziellen Bedrohungen für die Informationen und Informationssysteme der Organisation zu identifizieren. Dazu können folgende Faktoren berücksichtigt werden:
     
    • Externe Bedrohungen: Diebstahl, Sabotage, Naturkatastrophen

    • Interne Bedrohungen: Mitarbeiterfehler, Betrug, Spionage

  2. Control-Auswahl

    Nach der Risikobewertung kann die Organisation die geeigneten Controls auswählen, um die identifizierten Bedrohungen zu mindern. Dabei ist es wichtig, die Kosten und den Nutzen der Controls abzuwägen.

  3. Control-Design

    In der dritten Phase wird das Design der Controls festgelegt. Dazu gehören die Spezifikation der technischen und organisatorischen Maßnahmen, die zur Umsetzung der Controls erforderlich sind.

  4. Control-Implementierung

    In der vierten Phase werden die Controls implementiert. Dazu gehören die Beschaffung und Installation der erforderlichen Hardware und Software sowie die Schulung der Mitarbeiter.

  5. Control-Überwachung

    Die Controls müssen regelmäßig überwacht werden, um sicherzustellen, dass sie ordnungsgemäß funktionieren und die gewünschten Ergebnisse erzielen. Dazu gehören regelmäßige Audits und Tests der Controls.

 

Physische Controls zur Stärkung Ihrer Informationssicherheit

Physische Controls sind ein wichtiger Bestandteil eines ISMS. Sie tragen dazu bei, Informationen und Informationssysteme vor physischen Bedrohungen wie Diebstahl, Zerstörung und Beschädigung zu schützen.

Mit der Version der ISO 27001 aus 2022 werden die aktuellen Herausforderungen der Informationssicherheit berücksichtigt und Möglichkeiten geboten, einen angemessenen Umgang mit aktuellen Bedingungen zu etablieren.

Finden Sie die richtigen Controls für Ihr Unternehmen und informieren Sie sich in unserer ISO 27001 Checkliste darüber, welche Maßnahmen Sie zur Umsetzung der ISO 27001 implementieren müssen.

Save Money with ISO 27001

Bis zu 50%

Günstiger als externe Berater

Opt-in

Bis zu 300%

Erhöhen Sie Ihre Opt-in-Rate mit Consent & Preference Management

Scale Fast with ISO 27001

3 Monate

In nur drei Monaten bereit für den Audit

ISO 27001 Certificate

100%

Bislang haben alle unsere Kunden beim ersten Versuch bestanden

ISO 27001 certification to reduce Workload

Spart bis zu 100 Std.

an manueller Arbeit für die ISO 27001-Zertifizierung oder Label für eine Zertifizierung nach TISAX®

ISO 27001 Certification creates trust

Viele namhafte Marken vertrauen auf uns

Demo buchen

P I C

p

PRIVACY

Externer DSB
Audit und Risikoanalyse
Betroffenenanfragen
Online-Trainings
Cookie & Preference Manager
Beratung durch zertifizierte Experten

i

INFOSEC

Vorbereitung auf ISO 27001
Aufbau eines ISMS
Cybersecurity
Asset-Management
Risikominimierung
Internes Audit

c

COMPLIANCE

Digitales Whistleblowing-System
Whistleblowing-Support
Compliance-Audit
Risikominimierung
Online-Trainings
Geprüfte Vorlagen

ISO 27001:2022 Anforderungen

4.1 Verstehen der Organisation und ihres Kontextes

4.2 Verständnis für die Bedürfnisse und Erwartungen der interessierten Parteien

4.3 Der Geltungsbereich des ISMS

4.4 Prozess des Informationssicherheits-Managementsystems

5.1 Führung und Verpflichtung

5.2 Informationssicherheitsrichtlinie

5.3 Rollen, Verantwortlichkeiten und Befugnisse in der Organisation

6.1 Tätigkeiten zur Adressierung von Risiken und Chancen

6.2 Informationssicherheitsziele und Planung zur Zielerreichung

7.1 Ressourcen

7.2 Kompetenzen

7.3 Aufmerksamkeit

7.4 Kommunikation

7.5 Dokumentierte Informationen

8.1 Operative Planung und Kontrolle

8.2 Informationssicherheits-Risikobewertung

8.3 Informationssicherheits-Risikobehandlung

9.1 Überwachung, Messung, Analyse und Bewertung

9.2 Internes Audit

9.3 Management Review

10.1 Nicht-Konformität und berichtigende Maßnahmen

10.2 Fortlaufende Verbesserungen

 

ISO 27001 Anhang A

 

Bereits Unternehmen vertrauen uns

Canon-4 Hyatt-3 Burger King Unicef UK-1 Free Now

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Alle Angaben dienen lediglich der Information und beruhen auf internen Schätzungen. Diese Informationen sind kein Indikator für KPIs und werden ohne ausdrückliche oder stillschweigende Zusicherungen oder Garantien in Bezug auf Genauigkeit und Zuverlässigkeit gegeben.