(nach ISO/IEC 27001:2022 und ISO/IEC 27002:2022)

Werte wie Geräte, Datenträger und Informationen werden häufig außerhalb der kontrollierten Räumlichkeiten der Organisation genutzt oder transportiert, beispielsweise bei mobiler Arbeit, Dienstreisen oder externen Einsätzen. Außerhalb der eigenen Räumlichkeiten sind diese Werte erhöhten Risiken wie Verlust, Diebstahl, Beschädigung oder unbefugter Einsicht ausgesetzt. Dieses Control stellt sicher, dass Werte auch außerhalb der Unternehmensräume angemessen geschützt werden.

Zweck des Controls

A 7.9 soll gewährleisten, dass Informationswerte außerhalb der Räumlichkeiten der Organisation vor physischen Risiken geschützt sind. Ziel ist es, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen auch bei mobiler Nutzung oder Transport sicherzustellen und Risiken durch externe Einflüsse wirksam zu minimieren.

Anforderungen und Maßnahmen

1. Identifikation von Werten außerhalb der Räumlichkeiten

Organisationen müssen festlegen, welche Werte regelmäßig oder gelegentlich außerhalb der eigenen Räumlichkeiten genutzt werden, insbesondere:

• mobile Endgeräte wie Laptops, Tablets und Smartphones
• Datenträger und Dokumente
• Arbeitsmittel für Außeneinsätze oder Dienstreisen
• Geräte von Mitarbeitenden oder externen Parteien

Die Identifikation muss risikoorientiert erfolgen.

2. Festlegung von Schutzanforderungen

Für Werte außerhalb der Räumlichkeiten müssen geeignete Schutzanforderungen definiert werden:

• Schutz vor Verlust, Diebstahl oder Beschädigung
• Schutz vor unbefugter Einsichtnahme
• Berücksichtigung der Informationsklassifizierung
• Anforderungen an Transport und Aufbewahrung

Die Anforderungen müssen dem Schutzbedarf entsprechen.

3. Schutzmaßnahmen bei Transport und Nutzung

Geeignete Maßnahmen müssen umgesetzt werden, zum Beispiel:

• sichere Transportbehältnisse
• ständige Beaufsichtigung von Werten
• Vermeidung unbeaufsichtigter Lagerung
• Nutzung technischer Schutzmaßnahmen bei Geräten

So werden Risiken während Transport und Nutzung reduziert.

4. Regelungen für mobile und externe Nutzung

Die Nutzung von Werten außerhalb der Räumlichkeiten muss geregelt sein:

• klare Vorgaben für mobiles Arbeiten
• Einschränkungen für besonders schützenswerte Informationen
• Nutzung nur genehmigter Geräte und Arbeitsmittel
• Berücksichtigung öffentlicher oder gemeinsamer Umgebungen

Dies unterstützt ein einheitliches Sicherheitsniveau.

5. Schutz vor unbefugtem Zugriff

Werte außerhalb der Räumlichkeiten müssen vor Zugriff geschützt werden:

• physische Sicherung von Geräten und Unterlagen
• Schutz vor Einsicht durch Dritte
• Nutzung von Bildschirmsperren und Sichtschutz
• sichere Aufbewahrung bei Nichtbenutzung

So wird die Vertraulichkeit gewahrt.

6. Verhalten bei Verlust oder Diebstahl

Es müssen klare Regelungen für den Umgang mit Verlusten bestehen:

• unverzügliche Meldung von Verlust oder Diebstahl
• Einleitung geeigneter Gegenmaßnahmen
• Bewertung der Auswirkungen auf Informationssicherheit
• Dokumentation des Vorfalls

Schnelles Handeln reduziert Schäden.

7. Sensibilisierung und Schulung

Mitarbeitende müssen für Risiken außerhalb der Räumlichkeiten sensibilisiert werden:

• Schulungen zu sicherem mobilen Arbeiten
• Awareness für typische Gefahren unterwegs
• klare Verhaltensregeln
• regelmäßige Auffrischungen

Bewusstsein ist entscheidend für Sicherheit außerhalb des Unternehmens.

8. Dokumentation und Überprüfung

Regelungen und Maßnahmen müssen dokumentiert und überprüft werden:

• Dokumentation der Schutzanforderungen
• Nachweise über Schulungen und Kontrollen
• Bewertung von Vorfällen oder Beinahe-Vorfällen
• Anpassung der Maßnahmen bei Bedarf

Dies unterstützt eine kontinuierliche Verbesserung.

Zusammenfassung

A 7.9 fordert, dass Organisationen Informationswerte außerhalb ihrer Räumlichkeiten angemessen schützen. Durch Identifikation relevanter Werte, klare Schutzanforderungen, geeignete Maßnahmen bei Transport und Nutzung, geregelten Umgang bei Verlusten sowie Sensibilisierung der Mitarbeitenden wird sichergestellt, dass physische Risiken auch außerhalb der eigenen Räumlichkeiten wirksam minimiert werden. Das Control ist ein wichtiger Bestandteil der physischen Sicherheitsmaßnahmen im Informationssicherheitsmanagementsystem.