Anhang A 7.5 Schutz vor physischen und umweltbedingten Bedrohungen
(nach ISO/IEC 27001:2022 und ISO/IEC 27002:2022)
Physische und umweltbedingte Bedrohungen wie Feuer, Wasser, extreme Temperaturen, Stromausfälle oder Naturereignisse können erhebliche Auswirkungen auf Informationsverarbeitungssysteme, Informationen und Infrastrukturen haben. Ohne geeignete Schutzmaßnahmen besteht das Risiko von Datenverlust, Systemausfällen oder dauerhaften Schäden. Dieses Control stellt sicher, dass Informationen und Systeme vor physischen und umweltbedingten Bedrohungen angemessen geschützt werden.
Zweck des Controls
A 7.5 soll gewährleisten, dass physische und umweltbedingte Risiken für Informationsverarbeitungseinrichtungen systematisch identifiziert und durch geeignete Maßnahmen reduziert werden. Ziel ist es, die Verfügbarkeit, Integrität und Vertraulichkeit von Informationen zu schützen und die Auswirkungen von Umwelt- und Gefährdungseinflüssen zu minimieren.
Anforderungen und Maßnahmen
1. Identifikation relevanter Bedrohungen
Organisationen müssen physische und umweltbedingte Bedrohungen identifizieren, insbesondere:
Feuer, Rauch und Explosionen
Wasser, Feuchtigkeit oder Überschwemmungen
extreme Temperaturen oder Klimaschwankungen
Stromausfälle oder Spannungsschwankungen
Naturereignisse oder externe Gefährdungen
Die Identifikation muss risikoorientiert erfolgen.
2. Umsetzung geeigneter Schutzmaßnahmen
Geeignete Schutzmaßnahmen müssen umgesetzt werden, zum Beispiel:
Brandmelde- und Löschsysteme
Klimatisierungs- und Lüftungssysteme
Schutz vor Wassereintritt
unterbrechungsfreie Stromversorgung (USV)
physische Schutzvorrichtungen
Die Maßnahmen müssen dem Schutzbedarf entsprechen.
3. Berücksichtigung von Standort- und Umgebungsfaktoren
Standort- und Umgebungsbedingungen müssen berücksichtigt werden:
Lage der Gebäude und Räume
bauliche Gegebenheiten
Nähe zu Gefahrenquellen
infrastrukturelle Abhängigkeiten
Dies unterstützt eine realistische Risikobewertung.
4. Integration in Notfall- und Wiederherstellungsplanung
Der Schutz vor physischen und umweltbedingten Bedrohungen muss in Notfallpläne integriert sein:
Abstimmung mit Business-Continuity- und Notfallkonzepten
Mitarbeitende müssen über Risiken und Schutzmaßnahmen informiert sein:
Schulungen zu Notfall- und Sicherheitsmaßnahmen
Verhalten bei Brand, Wasser oder Stromausfall
Kenntnis von Meldewegen und Zuständigkeiten
regelmäßige Auffrischungen
So wird die Reaktionsfähigkeit erhöht.
7. Überwachung und Bewertung von Ereignissen
Physische und umweltbedingte Ereignisse müssen bewertet werden:
Erfassung von Störungen oder Beinahe-Ereignissen
Bewertung der Auswirkungen auf Informationssicherheit
Ableitung von Verbesserungsmaßnahmen
Integration in Incident- und Risikomanagement
Dies unterstützt kontinuierliche Verbesserung.
8. Dokumentation und Integration ins ISMS
Maßnahmen zum Schutz vor Bedrohungen müssen dokumentiert sein:
Beschreibung identifizierter Risiken
umgesetzte Schutzmaßnahmen
Verantwortlichkeiten und Wartungspläne
Integration in Risiko- und Sicherheitsprozesse
Die Dokumentation ist wichtig für Audits und Nachvollziehbarkeit.
Zusammenfassung
A 7.5 fordert, dass Organisationen physische und umweltbedingte Bedrohungen systematisch identifizieren und durch geeignete Maßnahmen adressieren. Durch risikoorientierte Schutzmaßnahmen, Berücksichtigung von Standortfaktoren, Integration in Notfallplanung, regelmäßige Wartung sowie Schulung der Mitarbeitenden wird sichergestellt, dass Informationen und Systeme auch bei physischen oder umweltbedingten Ereignissen wirksam geschützt sind. Das Control ist ein zentraler Bestandteil der physischen Sicherheitsmaßnahmen im Informationssicherheitsmanagementsystem.
