ISO 27001 und physische Zugangskontrolle

Deutsche Rahmenbedingungen

In Deutschland ist die ISO/IEC 27001-Zertifizierung in der IT-Branche, im Finanzsektor, im Gesundheitswesen und in der öffentlichen Verwaltung weit verbreitet. Die Norm wird als DIN EN ISO/IEC 27001 durch das DIN herausgegeben. Akkreditierte Zertifizierungsstellen sind TÜV Rheinland, TÜV SÜD, BSI Group, DNV und DQS. Für Bundesbehörden gilt das IT-Grundschutz-Kompendium des BSI, das inhaltlich auf ISO 27001 aufbaut und physische Sicherheitsmaßnahmen in den Bausteinen INF.1 bis INF.9 detailliert beschreibt. Die DSGVO verweist in Art. 32 auf technisch-organisatorische Maßnahmen (TOM), zu denen physische Zugangskontrolle zählt.

Schlüsselbegriffe

Anhang A (Annex A)

Beilage zu ISO 27001 mit einem Katalog von Maßnahmen, darunter physische Sicherheitsmaßnahmen in Abschnitt A.7 (ISO 27001:2022).

Statement of Applicability (SoA)

Dokument, in dem die Organisation für jede Maßnahme aus Anhang A darlegt, ob sie anwendbar ist und wie sie umgesetzt wird.

Physischer Sicherheitsperimeter

Die Außengrenze des gesicherten Bereichs, wie Außenwand, Zufahrtstore und Empfang.

Clean Desk / Clear Screen

Organisationsrichtlinie, nach der Arbeitsplätze und Bildschirme aufgeräumt zu hinterlassen sind, um unbefugten Zugriff auf Informationen zu verhindern.

Was das Gesetz fordert

ISO 27001:2022 behandelt physische Sicherheit in Anhang A, Abschnitt A.7. Maßnahme A.7.1 verlangt, dass physische Sicherheitsperimeter definiert und geschützt sind. A.7.2 stellt sicher, dass der Zutritt zu Gebäuden und Räumen, in denen Informationen verarbeitet werden, auf befugte Personen beschränkt ist. A.7.3 fordert die Sicherung von Büros, Räumen und Einrichtungen. A.7.4 schreibt die Überwachung der physischen Sicherheit vor.

Für den Facility Manager bedeutet das konkret: Es muss eine dokumentierte Zutrittspolitik geben, das Zonenmodell muss zur Informationsklassifikation passen, Zutrittsprotokolle müssen geführt und regelmäßig überprüft werden, und die physische Sicherheit muss getestet werden. Bei einer ISO 27001-Auditierung wird überprüft, ob die physischen Maßnahmen tatsächlich funktionieren – eine Tür mit einem Kartenleser, die dauerhaft offensteht, ist eine Abweichung.

Die Zusammenarbeit mit dem CISO oder dem Informationssicherheitsbeauftragten ist unerlässlich. FM liefert die physischen Maßnahmen, der CISO bestimmt das erforderliche Sicherheitsniveau auf Basis der Risikoanalyse. Nehmen Sie physische Sicherheit als festen Tagesordnungspunkt in das Informationssicherheitsgremium auf und stellen Sie sicher, dass bauliche Veränderungen (Umbauten, Umzüge) auf ihre Auswirkungen auf die Informationssicherheit bewertet werden.