Die ISO 27001 ist eine internationale Norm für Informationssicherheits-Managementsysteme (ISMS). Sie definiert Anforderungen an die Implementierung, Umsetzung und Aufrechterhaltung eines ISMS, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu schützen.
Ein nach ISO 27001 zertifiziertes Informationssicherheits-Managementsystem ist eine weltweit anerkannte Möglichkeit, Informationen einer Organisation angemessen zu schützen. Dabei besteht ISMS aus einer Reihe von Maßnahmen, die dazu beitragen, die Sicherheit von Informationen zu gewährleisten.
Physische Controls sind ein wichtiger Bestandteil eines ISMS. In dieser Kategorie geht es darum, wie Sie sich gegen physische und umweltbedingte Bedrohungen wie Diebstahl, Naturkatastrophen und vorsätzliche Zerstörung schützen.
Control Kategorien aus Anhang A: Organisatorisch, personalbezogen, physisch und technologisch
Anhang A der ISO 27001:2022 enthält eine Liste von 93 Controls, die Organisationen implementieren können, um ihre Informationssicherheit zu verbessern. Um die Anforderungen der Maßnahmen an die aktuellen Sicherheitsanforderungen anzupassen, sind diese Controls in vier Kategorien unterteilt:
- Organisatorische Controls
- Menschliche Controls
- Technologische Controls
- Physische Controls
Dieser Artikel konzentriert sich auf die physischen Controls aus Anhang A der ISO 27001:2022.
Was sind physische Controls?
Zu den physischen Controls gehören die Sicherheitsüberwachung, die Wartung, die Sicherheit der Einrichtungen und die Speichermedien. Physische Controls sind Maßnahmen, die die physische Sicherheit von Informationen und Informationssystemen schützen. Sie umfassen Maßnahmen zur Sicherung von Gebäuden, Räumen und Anlagen, zur Kontrolle des Zugangs zu diesen Bereichen und zur Verhinderung von Schäden an Informationen und Informationssystemen.
Das heißt: Mit den physischen Maßnahmen wird sichergestellt, dass die Räumlichkeiten und Speichermedien der Organisation instandgehalten, überwacht und vor unerlaubtem Zutritt und Zerstörung geschützt werden.
Physische Controls umfassen unter anderem:
- Den Schutz aller physischen Räumlichkeiten und die Kontrolle der Zutritte, um unbefugten Zugang und Beschädigungen zu verhindern
- Den Schutz der Räumlichkeiten und Informationen vor physischen und umweltbedingten Schäden
- Sichere Arbeitsorte, um den Schutz von Informationen in Sicherheitsbereichen vor Beschädigung zu ermöglichen
- Richtlinien zum Umgang mit Equipment und Speichermedien, um Schäden, Verlust oder Diebstahl zu vermeiden
Schnell zur ISO 27001-Zertifizierung mit Experten an Ihrer Seite
Reduzierung der manuellen Arbeit um bis zu 75 %
Reduzieren Sie Ihre Kosten um die Hälfte, indem Sie bis zu 40 % Arbeitskraft einsparen
ISO 27001: Neue physische Controls
Die ISO 27001:2022 enthält im Vergleich zu ihrer Vorgängerversion neue physische Maßnahmen, die auf die aktuellen Herausforderungen der Informationssicherheit reagiert. Das ist:
7.4: Physical security monitoring: Organisationen sollten ihre physischen Räumlichkeiten konstant überwachen, um unerlaubten Zutritt zu vermeiden.
Welche physischen Controls gibt es?
Physische Controls sind ein wichtiger Bestandteil einer umfassenden Informationssicherheitsstrategie, der insbesondere auf die angemessene Sicherung der Räumlichkeiten, Zugänge und Aufbewahrung von Informationen ausgerichtet ist.
Der Bereich umfasst 14 Maßnahmen, die Sie umsetzen können. Wir haben Ihnen eine Liste mit einem umfassenden Überblick über alle physischen Controls aus Anhang A der ISO 27001 erstellt:
Physical Controls |
Annex A 7.1 |
Physical Security Perimeters |
Physical Controls |
Annex A 7.2 |
Physical Entry |
Physical Controls |
Annex A 7.3 |
Securing Offices, Rooms and Facilities |
Physical Controls |
Annex A 7.4 |
Physical Security Monitoring |
Physical Controls |
Annex A 7.5 |
Protecting Against Physical and Environmental Threats |
Physical Controls |
Annex A 7.6 |
Working In Secure Areas |
Physical Controls |
Annex A 7.7 |
Clear Desk and Clear Screen |
Physical Controls |
Annex A 7.8 |
Equipment Siting and Protection |
Physical Controls |
Annex A 7.9 |
Security of Assets Off-Premises |
Physical Controls |
Annex A 7.10 |
Storage Media |
Physical Controls |
Annex A 7.11 |
Supporting Utilities |
Physical Controls |
Annex A 7.12 |
Cabling Security |
Physical Controls |
Annex A 7.13 |
Equipment Maintenance |
Physical Controls |
Annex A 7.14 |
Secure Disposal or Re-Use of Equipment |
Wie werden physische Controls implementiert?
Die Implementierung von physischen Controls sollte auf einer Risikobewertung basieren. Die Organisation sollte die potenziellen Bedrohungen für ihre Informationen und Informationssysteme identifizieren und dann die geeigneten Controls implementieren, um diese Bedrohungen zu mindern.
Der Prozess der Implementierung von physischen Controls kann in folgende Schritte unterteilt werden:
- Risikobewertung
Die erste Phase besteht darin, die potenziellen Bedrohungen für die Informationen und Informationssysteme der Organisation zu identifizieren. Dazu können folgende Faktoren berücksichtigt werden:
- Externe Bedrohungen: Diebstahl, Sabotage, Naturkatastrophen
- Interne Bedrohungen: Mitarbeiterfehler, Betrug, Spionage
- Externe Bedrohungen: Diebstahl, Sabotage, Naturkatastrophen
- Control-Auswahl
Nach der Risikobewertung kann die Organisation die geeigneten Controls auswählen, um die identifizierten Bedrohungen zu mindern. Dabei ist es wichtig, die Kosten und den Nutzen der Controls abzuwägen. - Control-Design
In der dritten Phase wird das Design der Controls festgelegt. Dazu gehören die Spezifikation der technischen und organisatorischen Maßnahmen, die zur Umsetzung der Controls erforderlich sind. - Control-Implementierung
In der vierten Phase werden die Controls implementiert. Dazu gehören die Beschaffung und Installation der erforderlichen Hardware und Software sowie die Schulung der Mitarbeiter. - Control-Überwachung
Die Controls müssen regelmäßig überwacht werden, um sicherzustellen, dass sie ordnungsgemäß funktionieren und die gewünschten Ergebnisse erzielen. Dazu gehören regelmäßige Audits und Tests der Controls.
Physische Controls zur Stärkung Ihrer Informationssicherheit
Physische Controls sind ein wichtiger Bestandteil eines ISMS. Sie tragen dazu bei, Informationen und Informationssysteme vor physischen Bedrohungen wie Diebstahl, Zerstörung und Beschädigung zu schützen.
Mit der Version der ISO 27001 aus 2022 werden die aktuellen Herausforderungen der Informationssicherheit berücksichtigt und Möglichkeiten geboten, einen angemessenen Umgang mit aktuellen Bedingungen zu etablieren.
Finden Sie die richtigen Controls für Ihr Unternehmen und informieren Sie sich in unserer ISO 27001 Checkliste darüber, welche Maßnahmen Sie zur Umsetzung der ISO 27001 implementieren müssen.
Bis zu 50%
Günstiger als externe Berater
Bis zu 300%
Erhöhen Sie Ihre Opt-in-Rate mit Consent & Preference Management
3 Monate
In nur drei Monaten bereit für den Audit
100%
Bislang haben alle unsere Kunden beim ersten Versuch bestanden
Spart bis zu 100 Std.
an manueller Arbeit für die ISO 27001-Zertifizierung oder Label für eine Zertifizierung nach TISAX®
Viele namhafte Marken vertrauen auf uns
P I C
PRIVACY
Externer DSB
Audit und Risikoanalyse
Betroffenenanfragen
Online-Trainings
Cookie & Preference Manager
Beratung durch zertifizierte Experten
INFOSEC
Vorbereitung auf ISO 27001
Aufbau eines ISMS
Cybersecurity
Asset-Management
Risikominimierung
Internes Audit
COMPLIANCE
Digitales Whistleblowing-System
Whistleblowing-Support
Compliance-Audit
Risikominimierung
Online-Trainings
Geprüfte Vorlagen
ISO 27001:2022 Anforderungen
ISO 27001 Anhang A
A.5 Informationssicherheitsrichtlinien A.6 Organisation der Informationssicherheit A.9 Zugangssteuerung |
A.14 Anschaffung, Entwicklung und Instandhaltung von Systemen |
Bereits Unternehmen vertrauen uns
TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.
Alle Angaben dienen lediglich der Information und beruhen auf internen Schätzungen. Diese Informationen sind kein Indikator für KPIs und werden ohne ausdrückliche oder stillschweigende Zusicherungen oder Garantien in Bezug auf Genauigkeit und Zuverlässigkeit gegeben.