Anhang A 7.8 Platzierung und Schutz von Geräten und Betriebsmitteln
(nach ISO/IEC 27001:2022 und ISO/IEC 27002:2022)
Geräte und Betriebsmittel zur Informationsverarbeitung sind häufig physisch exponiert und damit potenziellen Risiken wie Diebstahl, Beschädigung, Manipulation oder Umwelteinflüssen ausgesetzt. Eine ungeeignete Platzierung oder unzureichender Schutz kann zu Sicherheitsvorfällen, Ausfällen oder Informationsverlust führen. Dieses Control stellt sicher, dass Geräte und Betriebsmittel so platziert und geschützt werden, dass physische Risiken für die Informationssicherheit minimiert werden.
Zweck des Controls
A 7.8 soll gewährleisten, dass Geräte und Betriebsmittel angemessen platziert und geschützt sind, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sicherzustellen. Ziel ist es, physische Bedrohungen zu reduzieren und einen sicheren Betrieb von Informationsverarbeitungseinrichtungen zu unterstützen.
Anforderungen und Maßnahmen
1. Geeignete Platzierung von Geräten und Betriebsmitteln
Geräte und Betriebsmittel müssen so platziert werden, dass Risiken minimiert werden, insbesondere durch:
Vermeidung öffentlich zugänglicher oder ungesicherter Standorte
Platzierung außerhalb direkter Sicht- oder Zugriffsmöglichkeiten Unbefugter
Trennung von Arbeits- und Besucherbereichen
Berücksichtigung des Schutzbedarfs der verarbeiteten Informationen
Die Platzierung muss risikoorientiert erfolgen.
2. Schutz vor Diebstahl und unbefugtem Zugriff
Geeignete Maßnahmen müssen umgesetzt werden, um Geräte zu schützen:
physische Sicherungen (z. B. Schlösser, Verankerungen)
sichere Aufbewahrung außerhalb der Betriebszeiten
Kontrolle des Zugangs zu Geräten
Kennzeichnung und Inventarisierung
Dies reduziert Risiken durch unbefugte Nutzung.
3. Schutz vor Umwelteinflüssen
Geräte und Betriebsmittel müssen vor Umwelteinflüssen geschützt werden:
Maßnahmen müssen verhindern, dass Informationen unbeabsichtigt eingesehen werden:
Ausrichtung von Bildschirmen
Einsatz von Sichtschutzfiltern
Einschränkung der Anzeige sensibler Informationen
Berücksichtigung mobiler oder gemeinsam genutzter Bereiche
Dies schützt die Vertraulichkeit.
5. Sicherer Einsatz mobiler Geräte
Mobile Geräte erfordern besondere Schutzmaßnahmen:
sichere Aufbewahrung bei Nichtbenutzung
Schutz vor Verlust oder Diebstahl
Nutzung geeigneter Transportbehältnisse
Vermeidung unbeaufsichtigter Nutzung
So werden Risiken mobiler Arbeitsmittel reduziert.
6. Regelungen für Wartung und Instandhaltung
Wartung und Instandhaltung müssen sicher erfolgen:
Durchführung durch berechtigte Personen
Schutz sensibler Informationen während Wartungsarbeiten
Kontrolle externer Wartungskräfte
Dokumentation der durchgeführten Arbeiten
Dies verhindert unbeabsichtigte Risiken.
7. Regelmäßige Überprüfung der Schutzmaßnahmen
Die Wirksamkeit der Schutzmaßnahmen muss überprüft werden:
regelmäßige Kontrollen der Platzierung
Bewertung von Vorfällen oder Beinahe-Vorfällen
Anpassung der Maßnahmen bei veränderten Bedingungen
Integration in interne Audits
So bleibt der Schutz aktuell.
8. Dokumentation und Integration ins ISMS
Platzierung und Schutz von Geräten müssen dokumentiert sein:
Beschreibung der Schutzmaßnahmen
Zuordnung von Verantwortlichkeiten
Integration in Risiko- und Sicherheitsprozesse
Bereitstellung für Audits und Prüfungen
Die Dokumentation unterstützt Nachvollziehbarkeit und Compliance.
Zusammenfassung
A 7.8 fordert, dass Organisationen Geräte und Betriebsmittel zur Informationsverarbeitung angemessen platzieren und schützen. Durch risikoorientierte Platzierung, Schutz vor Diebstahl, Umwelteinflüssen und unbeabsichtigter Einsichtnahme, sichere Nutzung mobiler Geräte sowie regelmäßige Überprüfung wird sichergestellt, dass physische Risiken für Informationen und Systeme wirksam reduziert werden. Das Control ist ein wesentlicher Bestandteil der physischen Sicherheitsmaßnahmen im Informationssicherheitsmanagementsystem.
Leave a comment