Deckt ISO 27001 physische Sicherheit ab?

19/12/2022 By Amywright

In diesem Artikel geht es um:

Was ist ISO/IEC 27001?
Was verstehen wir unter physischer und umgebungsbezogener Sicherheit?
Warum ist physische Sicherheit und Umgebungssicherheit für den Schutz von Unternehmen unerlässlich?
Deckt ISO/IEC 27001 physische Sicherheit ab?
Was ist Abschnitt 7 von Anhang A in ISO/IEC 27001:2022?

Was ist ISO/IEC 27001?

ISO/IEC 27001 ist der internationale Standard für die Aufrechterhaltung eines Informationssicherheits-Managementsystems (ISMS). Die Implementierung eines ISMS ist für jedes Unternehmen unerlässlich, das sicher vor Sicherheitsrisiken oder Datenschutzverletzungen geschützt sein möchte.

ISO/IEC 27001 versetzt Ihr Unternehmen in die Lage, seine Informationen und Daten, seien es Kunden-, Mitarbeiter- oder Lieferantendaten, vor potenziellen Bedrohungen zu schützen.

Diese potenziellen Bedrohungen können Folgendes umfassen:

• Diebstahl von geistigem Eigentum
• Identitätsdiebstahl
• Informationserpressung
• Geräte- oder Informationsdiebstahl
• Sabotage und Hacking
• Viren, Würmer, Phishing-Angriffe und Trojaner

Der ISO/IEC 27001-Standard zielt darauf ab, die Wahrscheinlichkeit möglicher Bedrohungen in Ihrem Unternehmen zu verringern. Es werden Prozesse gemäß ISO/IEC 27001 implementiert, die es Ihrer Organisation ermöglichen, Gefahren zu erkennen und Korrekturmaßnahmen zu ihrer Vermeidung zu ergreifen.

Was verstehen wir unter physischer und umgebungsbezogener Sicherheit?

Physische und umgebungsbezogene Sicherheit beziehen sich auf die Vorkehrungen Ihres Unternehmens, um physische Bedrohungen zu verhindern. Ihre Organisation muss vor allen möglichen Gefahren geschützt werden, egal wie groß oder klein sie sind.

Bedrohungen, die aus Ihrer physischen Umgebung auf Ihr Unternehmen gerichtet sind, können irreversible Reputationsschäden verursachen und die Sicherheit Ihrer Kunden, Kunden, Mitarbeiter und Lieferanten beeinträchtigen.

Physische Bedrohungen können sein:

• Vorsätzliche Zerstörung, gegen Ihre Organisation oder eine bestimmte Person gerichtet
• Unbeabsichtigte Zerstörung
• Hardwarefehler aufgrund von Unfällen oder vorsätzlicher Manipulation
• Stromausfälle

ISO/IEC 27001 versetzt Ihr Unternehmen in die Lage, in seine physische Umgebung zu schauen und zu verstehen, wo es potenzielle Nonkonformitäten in Ihrem Unternehmen gibt. Mit den Richtlinien von ISO/IEC 27001 kann Ihr Unternehmen das bereits bestehende Rahmenwerk verbessern und darauf aufbauen, um ein System mit minimierten Fehlern einzurichten.

Ein Beispiel wäre die Implementierung einer Richtlinie, bei der Daten zweifach geprüft und an einem Ort gespeichert werden, an dem nur ausgewählte autorisierte Personen darauf zugreifen können. Für diejenigen, die keinen Zugriff auf diese Daten haben, sind vorbeugende Maßnahmen und Strategien vorhanden, um die Wahrscheinlichkeit von Bedrohungen zu minimieren.

Warum ist physische und umgebungsbezogene Sicherheit für den Schutz von Unternehmen unerlässlich?

Ein Sicherheitsmanagementsystem gegen physische oder umgebungsbedingte Bedrohungen ist entscheidend für die Aufrechterhaltung guter Geschäftspraktiken in Bezug auf Daten- und Informationssicherheit.

Angenommen, eine unbekannte Quelle hackt sich in Ihre Systeme ein oder verschafft sich physischen Zugriff auf Ihre Geräte und Software. In diesem Fall werden alle auf diesem Gerät gespeicherten Daten und Informationen zur Nutzung oder Sabotage verfügbar.

Umgebungsbedingte und physische Bedrohungen können in jedem Unternehmen auftreten, das Daten oder Informationen verwendet und speichert.

Es gibt drei Arten von personenbezogenen Daten:

• Allgemeine Personaldaten
• Sensible personenbezogene Daten
• Angaben zu Straftaten

Allgemeine personenbezogene Daten können die personenbezogenen Daten Ihres Klienten oder Kunden umfassen, wie z. B. Namen, E-Mail-Adressen oder physische Adressen. Informationen wie Passwörter, Sicherheitsnummern, Finanzunterlagen und Beschäftigungsdaten gelten neben vielen anderen auch als allgemeine personenbezogene Daten.

Daten, die gemäß der DSGVO als sensible Daten oder Daten einer besonderen Kategorie eingestuft sind, benötigen ein höheres Schutzniveau, da sie sensibel sind. Diese Daten umfassen:

• Ethnische oder rassische Herkunft
• Politische, religiöse oder philosophische Meinungen
• Gewerkschaftsmitgliedschaften
• Genetische Daten
• Biometrische Daten (sofern sie zu Identifikationszwecken verwendet werden)
• Gesundheitsbezogene Daten
• Sexualleben oder sexuelle Orientierung

Mit ISO/IEC 27001 werden Daten und Informationen sicher und angemessen verwaltet, um Missbrauch zu verhindern. Daten dürfen ausschließlich für ihren Zweck und gemäß den Regeln und Vorschriften der DSGVO aufbewahrt werden.

Deckt ISO/IEC 27001 physische Sicherheit ab?

ISO/IEC 27001 enthält einen Abschnitt darüber, wie Ihr Unternehmen im Falle einer Datenschutzverletzung in der physischen Umgebung Ihres Unternehmens geführt werden sollte.

ISO/IEC 27001:2022 umfasst Kontrollen, die auf vier Kategorien verteilt sind: dazu gehören Organisationen, Menschen, physische und technologische Klauseln. Abschnitt 7 von Anhang A enthält physische Kontrollen, die zum Schutz der physischen Sicherheit mit hoher Effizienz aufrechterhalten werden müssen.

Die Umgebung, in der Daten gehandhabt werden, sollte sachkundig auf Abweichungen und Gefahren, die unerwartet auftreten könnten, bewertet werden.

Durch die Implementierung von ISO/IEC 27001 in Ihrem Unternehmen wird die Wahrscheinlichkeit des Auftretens von Umwelt- und physischen Sicherheitsrisiken erheblich reduziert. Sie können sicher sein, dass Ihre Systeme kontinuierlich auf hohem Niveau bewertet werden, und Sie können die Kompetenz Ihres Unternehmens regelmäßig erhalten.

Die in Abschnitt 7 von Anhang A von ISO/IEC 27001:2022 beschriebenen Kontrollen sind:

• 7.1 Physische Sicherheitsperimeter
• 7.2 Physischer Eingang
• 7.3 Sicherung von Büros, Räumen und Einrichtungen
• 7.4 Physische Sicherheitsüberwachung
• 7.5 Schutz vor physischen und umgebungsbezogenen Bedrohungen
• 7.6 Arbeiten in Sicherheitsbereichen
• 7.7 Aufgeräumter Schreibtisch und aufgeräumter Bildschirm
• 7.8 Aufstellung und Schutz der Ausrüstung
• 7.9 Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes
• 7.10 Speichermedien
• 7.11 Unterstützende Programme
• 7.12 Verkabelungssicherheit
• 7.13 Gerätewartung
• 7.14 Sichere Entsorgung oder Wiederverwendung von Geräten

Beispielsweise wird in Kontrolle 7.2, physische Zugangskontrollen, detailliert beschrieben, dass sichere Bereiche durch geeignete Zugangskontrollen und Zugangspunkte geschützt werden sollten. Dadurch wird sichergestellt, dass nur autorisiertes Personal physischen Zugriff auf die Informationen Ihres Unternehmens hat. Physische Zugangskontrollen umfassen technische Mechanismen zur Verwaltung von Zugangsbereichen, wie z. B. Eingangstüren, Tore, Kartenleser, ID-Scanner, Tastaturen und Karusselltüren.

In Kontrolle 7.10, Speichermedien, befasst sich ISO/IEC 27001 damit, wie Organisationen ihre Speichermedien wie SSDs, USB-Sticks, externe Laufwerke und mobile Geräte über ihren Lebenszyklus von Anschaffung, Nutzung, Transport und Entsorgung entsprechend ihren Handhabungsanforderungen verwaltet werden.

ISO/IEC 27001 enthält Kontrollen und Klauseln, die die physische Sicherheit in Ihrem Unternehmen abdecken. Daher können Sie sicher sein, dass Ihre Kontrollen und Ihr Sicherheitsmanagement durch die Einhaltung von ISO/IEC 27001 vor physischen Sicherheitsrisiken geschützt sind.

Ich interessiere mich für ISO/IEC 27001. Was kann ich als nächstes tun?

Möchten Sie mehr darüber erfahren, wie ISO/IEC 27001 Ihrem Unternehmen helfen kann? Bitte finden Sie hier, laden Sie unseren kostenlosen Leitfaden herunter, um weitere Informationen zu erhalten.

Wenn Sie an ISO/IEC 27001 interessiert sind, kontaktieren Sie uns einfach und vereinbaren eine kostenlose Beratung mit einem unserer Spezialisten. Hier bei IMSM haben wir eine transparente Festgebühr und einen flexiblen Ansatz, der Ihnen dabei hilft, nahtlos eine Zertifizierung zu erhalten.

Haben Sie bereits ISO/IEC 27001? Sie können sich für die Durchführung interner Audits als „ISO/IEC 27001 Interner Auditor“ durch einen unserer Live-Online-Schulungen zertifizieren lassen.

Quellen:
https://www.verizon.com/business/en-au/resources/reports/dbir/

Get your free quote today

Kontaktieren Sie uns

Für ein kostenloses Angebot oder einen kostenlosen Besuch bei Ihnen vor Ort.

Düsseldorf
IMSM GmbH
Fritz-Vomfelde-Straße 34
40547 Düsseldorf

Anrufe aus Deutschland: +49 211 5388 33 90