Anhang A 7.3 Sichern von Büros, Räumen und Einrichtungen
(nach ISO/IEC 27001:2022 und ISO/IEC 27002:2022)
Büros, Räume und Einrichtungen beherbergen häufig Informationsverarbeitungssysteme, sensible Informationen und unterstützende Infrastrukturen. Unzureichend gesicherte Arbeitsumgebungen können zu unbefugtem Zugriff, Informationsverlust, Manipulation oder Sabotage führen. Dieses Control stellt sicher, dass Büros, Räume und Einrichtungen angemessen geschützt werden, um physische Risiken für die Informationssicherheit zu minimieren.
Zweck des Controls
A 7.3 soll gewährleisten, dass physische Arbeitsumgebungen so gestaltet und gesichert sind, dass Informationen, Systeme und Einrichtungen vor unbefugtem Zugriff, Beschädigung oder Verlust geschützt werden. Ziel ist es, physische Sicherheitsrisiken zu reduzieren und einen sicheren Betrieb der Informationsverarbeitung zu unterstützen.
Anforderungen und Maßnahmen
1. Schutz von Büros und Arbeitsbereichen
Büros und Arbeitsbereiche müssen angemessen gesichert werden, insbesondere durch:
räumliche Abgrenzung von öffentlich zugänglichen Bereichen
abschließbare Türen und Fenster
angemessene Zutrittsregelungen
klare Zuordnung von Verantwortlichkeiten
Der Schutz muss dem jeweiligen Schutzbedarf entsprechen.
2. Sicherung sensibler Räume und Einrichtungen
Räume mit erhöhtem Schutzbedarf müssen besonders gesichert werden, zum Beispiel:
Server- und Technikräume
Archive mit vertraulichen Unterlagen
Räume mit sicherheitskritischer Infrastruktur
Bereiche mit besonders schützenswerten Informationen
Für diese Räume sind verstärkte Schutzmaßnahmen umzusetzen.
3. Schutz vor unbefugtem Zutritt und Einsichtnahme
Maßnahmen müssen unbefugten Zutritt und Einsichtnahme verhindern:
geeignete bauliche Maßnahmen
Sichtschutz für Arbeitsplätze und Bildschirme
sichere Aufbewahrung von Unterlagen und Datenträgern
Dies reduziert das Risiko von Informationsabfluss.
4. Berücksichtigung von Umwelt- und Gefährdungsrisiken
Büros, Räume und Einrichtungen müssen vor Umweltgefahren geschützt werden:
Schutz vor Feuer, Wasser, Hitze oder Staub
Berücksichtigung von Stromausfällen oder technischen Defekten
Einhaltung von Brandschutz- und Sicherheitsvorgaben
regelmäßige Wartung technischer Einrichtungen
So wird die Verfügbarkeit von Informationen unterstützt.
5. Regelungen für Reinigung, Wartung und Fremdpersonal
Der Einsatz externer Personen muss geregelt sein:
Begleitung oder Überwachung von Fremdpersonal
zeitliche und räumliche Einschränkungen
Sensibilisierung für Informationssicherheitsanforderungen
vertragliche Regelungen zur Vertraulichkeit
Dies reduziert Risiken durch externe Zugriffe.
6. Sicherer Umgang mit Arbeitsmitteln und Einrichtungen
Arbeitsmittel und Einrichtungen müssen sicher genutzt werden:
sichere Aufstellung von Geräten
Schutz vor Diebstahl oder Manipulation
ordnungsgemäße Nutzung gemäß Vorgaben
Meldung von Beschädigungen oder Auffälligkeiten
So wird die Betriebssicherheit erhöht.
7. Regelmäßige Überprüfung der Sicherheitsmaßnahmen
Die Wirksamkeit der Sicherungsmaßnahmen muss überprüft werden:
regelmäßige Begehungen
Überprüfung von Schlössern und Sicherungseinrichtungen
Bewertung von Vorfällen oder Beinahe-Vorfällen
Anpassung der Maßnahmen bei Bedarf
Dies stellt eine dauerhafte Wirksamkeit sicher.
8. Dokumentation und Integration ins ISMS
Sicherungsmaßnahmen für Büros, Räume und Einrichtungen müssen dokumentiert sein:
Beschreibung der Schutzmaßnahmen
Zuordnung von Verantwortlichkeiten
Integration in Risiko- und Sicherheitsbewertungen
Bereitstellung für Audits und Prüfungen
Die Dokumentation unterstützt Nachvollziehbarkeit und Compliance.
Zusammenfassung
A 7.3 fordert, dass Organisationen Büros, Räume und Einrichtungen angemessen sichern, um physische Risiken für die Informationssicherheit zu minimieren. Durch räumliche Abgrenzung, Schutz sensibler Bereiche, Vermeidung unbefugter Einsicht, Berücksichtigung von Umweltgefahren, geregelten Umgang mit Fremdpersonal sowie regelmäßige Überprüfung wird sichergestellt, dass Informationen und Systeme auch in der physischen Arbeitsumgebung wirksam geschützt sind. Das Control ist ein wesentlicher Bestandteil der physischen Sicherheitsmaßnahmen im Informationssicherheitsmanagementsystem.
