ISO 27001:2022 Bijlage A Controle 7.2

Fysieke toegang

Boek een demo

verschillende zakenmensen lopen in de gang

ISO 27001:2022 bijlage A 7.2 benadrukt de eis voor organisaties om gebieden te beveiligen door het gebruik van geschikte toegangscontroles en toegangspunten.

Wat is ISO 27001:2022 bijlage A 7.2?

Toegangscontroles en toegangspunten zijn cruciaal voor het beveiligingssysteem van elk gebouw. Ze zorgen ervoor dat bewoners naar binnen en naar buiten kunnen gaan met behoud van de veiligheid, en kunnen degenen die niet geautoriseerd of gewenst zijn, tegenhouden om binnen te komen.

Toegangscontroles

Toegangscontrolesystemen bieden toegang tot een gebouw via deuren en poorten, inclusief toetsenborden, kaartlezers, biometrische scanners en fobs. Daarnaast bieden ze vergrendelingsmechanismen voor deuren en poorten, naast tourniquets en draaideuren.

Toegangspunten

Een toegangspunt is een elektronisch apparaat dat de veiligheid in grote commerciële gebouwen garandeert. Het maakt gebruik van RFID-technologie om alle bewegingen binnen en buiten het pand te volgen. Het toegangspunt stuurt gegevens terug naar het hoofdkantoor, zodat beveiligingspersoneel kan observeren wanneer iemand de faciliteit binnenkomt of verlaat en tot welke gebieden hij toegang heeft tijdens zijn verblijf.

Wat is het doel van ISO 27001:2022 bijlage A 7.2?

ISO 27001:2022 bijlage A Controle 7.2 garandeert alleen geautoriseerde fysieke toegang tot de gegevens van de organisatie en andere gerelateerde activa.

Fysieke beveiliging is van cruciaal belang voor het waarborgen van de vertrouwelijkheid, integriteit en toegankelijkheid van informatiebronnen. Bijlage A Controle 7.2 van ISO 27001:2022 houdt zich voornamelijk bezig met het beschermen van gegevens en andere gerelateerde activa tegen ongeoorloofde toegang, diefstal of verlies. Daarom moeten de noodzakelijke toegangs- en toegangspunten worden geïmplementeerd om te garanderen dat alleen geautoriseerd personeel toegang heeft beveiligde gebieden.

Er moeten controles worden uitgevoerd om redelijke zekerheid te garanderen dat alleen geautoriseerde personen fysieke toegang hebben en dat zij nauwkeurig worden geïdentificeerd.

Het gebruik van sloten, sleutels (handmatig en elektronisch), bewakers, bewakingssystemen en andere barrières bij ingangen en toegangspunten moet worden geïmplementeerd. Toegangscontrolesystemen zoals wachtwoorden, kaartsleutels of biometrische apparaten moeten worden gebruikt om gevoelige gebieden binnen de faciliteit te beveiligen.

Wat komt erbij kijken en hoe kan aan de vereisten worden voldaan

Organisaties moeten toegangspunten zoals leverings- en laadzones en andere toegangspunten tot het pand controleren en, indien mogelijk, scheiden van hun IT-faciliteiten om ongeautoriseerde toegang te voorkomen, om te voldoen aan de eisen van de implementatie van Bijlage A 7.2. Deze gebieden mogen alleen toegankelijk zijn voor bevoegd personeel.

Het ISO 27001:2022-document biedt implementatierichtlijnen voor bijlage A 7.2, die helpt bij het voldoen aan de eisen voor personeel, bezoekers en bezorgers. Om deze richtlijnen te bekijken, gaat u naar de herziene versie van de standaard.

Wijzigingen en verschillen ten opzichte van ISO 27001:2013

Bijlage A 7.2 in ISO 27001:2022 is geen nieuwe maatregel, maar eerder een combinatie van bijlage A Controles 11.1.2 en 11.1.6 uit ISO 27001:2013. Deze twee bijlage A-controles zijn herzien in ISO 27001:2022 om het intuïtiever te maken dan ISO 27001:2013.

Bijlage A Controle 11.1.2 – Fysieke toegangscontroles vereisen dat beveiligde gebieden worden beveiligd met goede toegangscontroles, zodat alleen geautoriseerd personeel toegang kan krijgen. Dit deel van de norm schetst de maatregelen die organisaties kunnen nemen om ervoor te zorgen dat alleen degenen die daartoe zijn toegelaten voor specifieke doeleinden toegang krijgen.

De verordening vereist dat tweefactorauthenticatie wordt geïmplementeerd voor geautoriseerd personeel om toegang te krijgen tot informatiebeveiligingsgevoelige gebieden, met een fysiek logboek of elektronisch audittraject om dit te ondersteunen.

Bijlage A Controle 11.1.6 – Leverings- en laadruimtes bepalen dat de toegang tot deze gebieden uitsluitend mag worden beperkt tot bevoegd personeel. Het is raadzaam deze zo te ontwerpen dat ze gescheiden zijn van de operationele ruimtes, zodat bezorgers geen toegang hebben tot andere delen van het gebouw.

Uiteindelijk zijn bijlage A Controle 7.2 en Bijlage A Controles 11.1.2 en 11.1.6 in essentie vergelijkbaar. Het belangrijkste verschil is dat bijlage A 11.1.2 en bijlage A 11.1.6 zijn samengevoegd om de gebruiksvriendelijkheid te vergroten.

In de 2022-versie van ISO 27001 waren een attributentabel en controledoel opgenomen, die ontbraken in de bedieningselementen van de 2013-versie.

Tabel met alle ISO 27001:2022 bijlage A-controles

In de onderstaande tabel vindt u meer informatie over elke afzonderlijke ISO 27001:2022 Annex A-controle.

ISO 27001:2022 Organisatorische controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Organisatorische controlesBijlage A 5.1Bijlage A 5.1.1
Bijlage A 5.1.2
Beleid voor informatiebeveiliging
Organisatorische controlesBijlage A 5.2Bijlage A 6.1.1Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging
Organisatorische controlesBijlage A 5.3Bijlage A 6.1.2Scheiding van taken
Organisatorische controlesBijlage A 5.4Bijlage A 7.2.1Directie verantwoordelijkheden
Organisatorische controlesBijlage A 5.5Bijlage A 6.1.3Contact met autoriteiten
Organisatorische controlesBijlage A 5.6Bijlage A 6.1.4Contact met speciale interessegroepen
Organisatorische controlesBijlage A 5.7NIEUWBedreiging Intelligentie
Organisatorische controlesBijlage A 5.8Bijlage A 6.1.5
Bijlage A 14.1.1
Informatiebeveiliging in projectmanagement
Organisatorische controlesBijlage A 5.9Bijlage A 8.1.1
Bijlage A 8.1.2
Inventarisatie van informatie en andere bijbehorende activa
Organisatorische controlesBijlage A 5.10Bijlage A 8.1.3
Bijlage A 8.2.3
Aanvaardbaar gebruik van informatie en andere bijbehorende activa
Organisatorische controlesBijlage A 5.11Bijlage A 8.1.4Teruggave van activa
Organisatorische controlesBijlage A 5.12Bijlage A 8.2.1Classificatie van informatie
Organisatorische controlesBijlage A 5.13Bijlage A 8.2.2Etikettering van informatie
Organisatorische controlesBijlage A 5.14Bijlage A 13.2.1
Bijlage A 13.2.2
Bijlage A 13.2.3
Informatieoverdracht
Organisatorische controlesBijlage A 5.15Bijlage A 9.1.1
Bijlage A 9.1.2
Access Controle
Organisatorische controlesBijlage A 5.16Bijlage A 9.2.1Identiteitsbeheer
Organisatorische controlesBijlage A 5.17Bijlage A 9.2.4
Bijlage A 9.3.1
Bijlage A 9.4.3
Authenticatie-informatie
Organisatorische controlesBijlage A 5.18Bijlage A 9.2.2
Bijlage A 9.2.5
Bijlage A 9.2.6
Toegangsrechten
Organisatorische controlesBijlage A 5.19Bijlage A 15.1.1Informatiebeveiliging in leveranciersrelaties
Organisatorische controlesBijlage A 5.20Bijlage A 15.1.2Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten
Organisatorische controlesBijlage A 5.21Bijlage A 15.1.3Beheer van informatiebeveiliging in de ICT-toeleveringsketen
Organisatorische controlesBijlage A 5.22Bijlage A 15.2.1
Bijlage A 15.2.2
Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten
Organisatorische controlesBijlage A 5.23NIEUWInformatiebeveiliging voor gebruik van cloudservices
Organisatorische controlesBijlage A 5.24Bijlage A 16.1.1Planning en voorbereiding van informatiebeveiligingsincidentbeheer
Organisatorische controlesBijlage A 5.25Bijlage A 16.1.4Beoordeling en beslissing over informatiebeveiligingsgebeurtenissen
Organisatorische controlesBijlage A 5.26Bijlage A 16.1.5Reactie op informatiebeveiligingsincidenten
Organisatorische controlesBijlage A 5.27Bijlage A 16.1.6Leren van informatiebeveiligingsincidenten
Organisatorische controlesBijlage A 5.28Bijlage A 16.1.7Verzameling van bewijsmateriaal
Organisatorische controlesBijlage A 5.29Bijlage A 17.1.1
Bijlage A 17.1.2
Bijlage A 17.1.3
Informatiebeveiliging tijdens disruptie
Organisatorische controlesBijlage A 5.30NIEUWICT-gereedheid voor bedrijfscontinuïteit
Organisatorische controlesBijlage A 5.31Bijlage A 18.1.1
Bijlage A 18.1.5
Wettelijke, statutaire, regelgevende en contractuele vereisten
Organisatorische controlesBijlage A 5.32Bijlage A 18.1.2Intellectuele eigendomsrechten
Organisatorische controlesBijlage A 5.33Bijlage A 18.1.3Bescherming van records
Organisatorische controlesBijlage A 5.34 Bijlage A 18.1.4Privacy en bescherming van PII
Organisatorische controlesBijlage A 5.35Bijlage A 18.2.1Onafhankelijke beoordeling van informatiebeveiliging
Organisatorische controlesBijlage A 5.36Bijlage A 18.2.2
Bijlage A 18.2.3
Naleving van beleid, regels en normen voor informatiebeveiliging
Organisatorische controlesBijlage A 5.37Bijlage A 12.1.1Gedocumenteerde operationele procedures

ISO 27001:2022 Personeelscontroles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
MensencontrolesBijlage A 6.1Bijlage A 7.1.1Doorlichting
MensencontrolesBijlage A 6.2Bijlage A 7.1.2Arbeidsvoorwaarden
MensencontrolesBijlage A 6.3Bijlage A 7.2.2Informatiebeveiligingsbewustzijn, onderwijs en training
MensencontrolesBijlage A 6.4Bijlage A 7.2.3Disciplinair proces
MensencontrolesBijlage A 6.5Bijlage A 7.3.1Verantwoordelijkheden na beëindiging of verandering van dienstverband
MensencontrolesBijlage A 6.6Bijlage A 13.2.4Vertrouwelijkheids- of geheimhoudingsovereenkomsten
MensencontrolesBijlage A 6.7Bijlage A 6.2.2Werken op afstand
MensencontrolesBijlage A 6.8Bijlage A 16.1.2
Bijlage A 16.1.3
Rapportage van informatiebeveiligingsgebeurtenissen

ISO 27001:2022 Fysieke controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Fysieke controlesBijlage A 7.1Bijlage A 11.1.1Fysieke beveiligingsperimeters
Fysieke controlesBijlage A 7.2Bijlage A 11.1.2
Bijlage A 11.1.6
Fysieke toegang
Fysieke controlesBijlage A 7.3Bijlage A 11.1.3Beveiliging van kantoren, kamers en faciliteiten
Fysieke controlesBijlage A 7.4NIEUWFysieke beveiligingsmonitoring
Fysieke controlesBijlage A 7.5Bijlage A 11.1.4Bescherming tegen fysieke en ecologische bedreigingen
Fysieke controlesBijlage A 7.6Bijlage A 11.1.5Werken in beveiligde gebieden
Fysieke controlesBijlage A 7.7Bijlage A 11.2.9Duidelijk bureau en helder scherm
Fysieke controlesBijlage A 7.8Bijlage A 11.2.1Apparatuurlocatie en bescherming
Fysieke controlesBijlage A 7.9Bijlage A 11.2.6Beveiliging van activa buiten gebouwen
Fysieke controlesBijlage A 7.10Bijlage A 8.3.1
Bijlage A 8.3.2
Bijlage A 8.3.3
Bijlage A 11.2.5
Opslag media
Fysieke controlesBijlage A 7.11Bijlage A 11.2.2Ondersteunende nutsvoorzieningen
Fysieke controlesBijlage A 7.12Bijlage A 11.2.3Beveiliging van bekabeling
Fysieke controlesBijlage A 7.13Bijlage A 11.2.4Equipment Maintenance
Fysieke controlesBijlage A 7.14Bijlage A 11.2.7Veilige verwijdering of hergebruik van apparatuur

ISO 27001:2022 Technologische controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Technologische controlesBijlage A 8.1Bijlage A 6.2.1
Bijlage A 11.2.8
Eindpuntapparaten van gebruikers
Technologische controlesBijlage A 8.2Bijlage A 9.2.3Bevoorrechte toegangsrechten
Technologische controlesBijlage A 8.3Bijlage A 9.4.1Beperking van toegang tot informatie
Technologische controlesBijlage A 8.4Bijlage A 9.4.5Toegang tot broncode
Technologische controlesBijlage A 8.5Bijlage A 9.4.2Veilige authenticatie
Technologische controlesBijlage A 8.6Bijlage A 12.1.3Capaciteitsmanagement
Technologische controlesBijlage A 8.7Bijlage A 12.2.1Bescherming tegen malware
Technologische controlesBijlage A 8.8Bijlage A 12.6.1
Bijlage A 18.2.3
Beheer van technische kwetsbaarheden
Technologische controlesBijlage A 8.9NIEUWConfiguration Management
Technologische controlesBijlage A 8.10NIEUWInformatie verwijderen
Technologische controlesBijlage A 8.11NIEUWGegevensmaskering
Technologische controlesBijlage A 8.12NIEUWPreventie van gegevenslekken
Technologische controlesBijlage A 8.13Bijlage A 12.3.1Informatieback-up
Technologische controlesBijlage A 8.14Bijlage A 17.2.1Redundantie van informatieverwerkingsfaciliteiten
Technologische controlesBijlage A 8.15Bijlage A 12.4.1
Bijlage A 12.4.2
Bijlage A 12.4.3
Logging
Technologische controlesBijlage A 8.16NIEUWBewakingsactiviteiten
Technologische controlesBijlage A 8.17Bijlage A 12.4.4Kloksynchronisatie
Technologische controlesBijlage A 8.18Bijlage A 9.4.4Gebruik van bevoorrechte hulpprogramma's
Technologische controlesBijlage A 8.19Bijlage A 12.5.1
Bijlage A 12.6.2
Installatie van software op besturingssystemen
Technologische controlesBijlage A 8.20Bijlage A 13.1.1Netwerkbeveiliging
Technologische controlesBijlage A 8.21Bijlage A 13.1.2Beveiliging van netwerkdiensten
Technologische controlesBijlage A 8.22Bijlage A 13.1.3Segregatie van netwerken
Technologische controlesBijlage A 8.23NIEUWWeb filtering
Technologische controlesBijlage A 8.24Bijlage A 10.1.1
Bijlage A 10.1.2
Gebruik van cryptografie
Technologische controlesBijlage A 8.25Bijlage A 14.2.1Levenscyclus van veilige ontwikkeling
Technologische controlesBijlage A 8.26Bijlage A 14.1.2
Bijlage A 14.1.3
Beveiligingsvereisten voor applicaties
Technologische controlesBijlage A 8.27Bijlage A 14.2.5Veilige systeemarchitectuur en engineeringprincipes
Technologische controlesBijlage A 8.28NIEUWVeilig coderen
Technologische controlesBijlage A 8.29Bijlage A 14.2.8
Bijlage A 14.2.9
Beveiligingstesten bij ontwikkeling en acceptatie
Technologische controlesBijlage A 8.30Bijlage A 14.2.7Uitbestede ontwikkeling
Technologische controlesBijlage A 8.31Bijlage A 12.1.4
Bijlage A 14.2.6
Scheiding van ontwikkel-, test- en productieomgevingen
Technologische controlesBijlage A 8.32Bijlage A 12.1.2
Bijlage A 14.2.2
Bijlage A 14.2.3
Bijlage A 14.2.4
Change Management
Technologische controlesBijlage A 8.33Bijlage A 14.3.1Test informatie
Technologische controlesBijlage A 8.34Bijlage A 12.7.1Bescherming van informatiesystemen tijdens audittests

Wie is verantwoordelijk voor dit proces?

Het controleren van fysieke toegang is van cruciaal belang voor de veiligheid van elke organisatie of bedrijf. Het is van essentieel belang dat ervoor wordt gezorgd dat er geen onbevoegd personeel het pand betreedt. Daarom is de implementatie van strenge maatregelen essentieel.

De afdeling Beveiliging houdt toezicht op alle fysieke beveiligingsaspecten, zoals de toegangscontrole. Als ze niet over de nodige expertise of middelen beschikken om dit te beheren, kunnen ze de bevoegdheid aan een andere afdeling toewijzen.

IT-teams zijn ook cruciaal voor de fysieke beveiliging. Ze garanderen dat de technologische systemen die worden gebruikt voor fysieke beveiliging actueel en veilig zijn. Als uw organisatie bijvoorbeeld een Inbraakdetectiesysteem (IDS) bij de ingang heeft, maar de software al maanden niet is vernieuwd, is het mogelijk niet effectief tegen indringers.

Wat betekenen deze veranderingen voor u?

Uw organisatie hoeft de informatiebeveiligingspraktijken niet significant te wijzigen, aangezien de herziene ISO 27001:2022-norm slechts minimaal is aangepast.

Als u over een ISO 27001:2013-certificering beschikt, zult u ontdekken dat uw huidige informatiebeveiligingsbeheeraanpak in overeenstemming is met de nieuwe normen.

Als u vanaf het begin begint, moet u zich vertrouwd maken met de nalevingsrichtlijnen in de nieuwe standaard.

Hoe ISMS.Online helpt

Ons platform geeft gebruikers toegang tot alle relevante documentatie en bronnen, zoals beleid, procedures, normen, richtlijnen en informatie over complianceprocessen.

ISMS.online is perfect voor bedrijven die:

  • Beheer het ISO-certificeringsproces effectiever.
  • Garandeer klanttevredenheid met ons bewijs van naleving van ISO 27001.
  • Maximaliseer de output door één systeem in te zetten voor alle audits en controles.
  • Zorg voor een uniform uitmuntendheidsmanagement in het hele bedrijf om de klanttevredenheid te vergroten.

Ons platform biedt op maat gemaakte dashboards waarmee u realtime inzicht krijgt in uw compliancestatus.

Bewaak en beheer uw ISO 27001:2022-compliancetraject allemaal op één plek: audits, gap-analyse, trainingsbeheer, risicobeoordeling en meer.

Neem nu contact met ons op een demonstratie plannen.

Ik heb ISO 27001 op de moeilijke manier gedaan, dus ik waardeer echt hoeveel tijd het ons heeft bespaard bij het behalen van de ISO 27001-certificering.

Carl Vaughan
Infosec-leider, MetCloud

Boek uw demo

Krijg een voorsprong op ISO 27001
  • Allemaal bijgewerkt met de 2022-besturingsset
  • Boek 81% vooruitgang vanaf het moment dat u inlogt
  • Eenvoudig en makkelijk te gebruiken
Boek uw demo
img

Verken het platform van ISMS.online met een zelfgeleide tour - Begin nu