Controle 7.2 behandelt de noodzaak voor organisaties om beveiligde gebieden te beschermen door gebruik te maken van passende toegangscontroles en toegangspunten.
Toegangscontroles en toegangspunten vormen een cruciaal onderdeel van het beveiligingssysteem van elk gebouw. Ze maken het voor u mogelijk om uw gebouw in en uit te gaan zonder de veiligheid ervan in gevaar te brengen, en ze kunnen ook voorkomen dat onbevoegde of ongewenste mensen binnenkomen.
Toegangscontroles zijn de apparaten waarmee u toegang krijgt tot een gebouw via deuren of poorten, zoals toetsenborden, kaartlezers, biometrische scanners en sleutelhangers. Ze kunnen ook andere voorzieningen bevatten, zoals sluitmechanismen voor deuren en poorten, maar ook tourniquets of draaideuren.
Een toegangspunt is een elektronisch apparaat dat beveiliging biedt in grote commerciële gebouwen. Het maakt gebruik van RFID-technologie (radiofrequentie-identificatie) om alle bewegingen in en uit de faciliteit te volgen. Het toegangspunt verzendt gegevens terug naar het hoofdkantoor, zodat beveiligingspersoneel kan controleren wanneer iemand de faciliteit binnenkomt of verlaat en tot welke gebieden zij toegang hebben terwijl zij daar zijn.
Attributen worden gebruikt om besturingselementen te classificeren. Met behulp hiervan kunt u uw besturingskeuze eenvoudig afstemmen op regelmatig gebruikte termen en eisen uit de branche. De attributen in controle 7.2 zijn als volgt.
| controle Type | Eigenschappen voor informatiebeveiliging | Cyberbeveiligingsconcepten | Operationele mogelijkheden | Beveiligingsdomeinen |
|---|---|---|---|---|
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Fysieke bewaking #Identiteits- en toegangsbeheer | #Bescherming |
Controle 7.2 zorgt ervoor dat alleen geautoriseerde fysieke toegang tot de informatie van de organisatie en andere bijbehorende activa plaatsvindt.
Fysieke beveiliging is van primair belang bij het beschermen van de vertrouwelijkheid, integriteit en beschikbaarheid van informatiemiddelen. Controle 7.2 houdt zich primair bezig met het beschermen van informatie en andere bijbehorende activa tegen ongeoorloofde toegang, diefstal of verlies. Daartoe moeten passende toegangscontroles en toegangspunten aanwezig zijn om ervoor te zorgen dat alleen geautoriseerde personen toegang krijgen tot beveiligde gebieden.
Deze controles moeten zo worden ontworpen dat ze een redelijke zekerheid bieden dat de fysieke toegang beperkt is tot bevoegde personen en dat deze personen daadwerkelijk zijn wie ze beweren te zijn.
Dit omvat het gebruik van sloten en sleutels (zowel handmatig als elektronisch), bewakers, bewakingssystemen en andere barrières rond ingangen en toegangspunten. Toegangscontrolesystemen zoals wachtwoorden, kaartsleutels of biometrische apparaten kunnen ook worden gebruikt om de toegang tot gevoelige gebieden in de faciliteit te controleren.
Om te voldoen aan de vereisten voor de implementatie van controle 7.2, zijn organisaties verplicht om toegangspunten zoals leverings- en laadruimtes en andere punten waar onbevoegde personen het pand kunnen betreden, te controleren en, indien mogelijk, te isoleren van informatieverwerkende faciliteiten, om onbevoegde toegang te voorkomen. Deze gebieden mogen alleen toegankelijk zijn voor bevoegd personeel.
Er zijn nogal wat implementatierichtlijnen in het ISO 27002-standaarddocument onder controle 7.2 die als basis kunnen dienen om aan de eisen voor deze controle te voldoen. Deze richtlijnen gelden voor het algemene personeel, bezoekers en bezorgers. U kunt de implementatierichtlijnen bekijken wanneer u de herziene versie van ISO 27002:2022 opent.
In de eerste plaats is controle 7.2 in ISO 27002:2022 geen nieuwe controle, maar een combinatie van controles 11.1.2 en 11.1.6 in ISO 27002:2013. Deze twee controles zijn in ISO 27002:2022 herzien om deze gebruiksvriendelijker te maken dan die van ISO 27002:2013.
Controle 11.1.2 – Fysieke toegangscontroles omvatten de noodzaak om beveiligde gebieden te beschermen door passende toegangscontroles om ervoor te zorgen dat alleen geautoriseerd personeel toegang krijgt. Zoals u kunt zien, omvat controle 11.1.2 in principe fysieke toegangscontroles en de implementatierichtlijnen in dat deel van de standaard kijken naar de stappen die organisaties kunnen nemen om ervoor te zorgen dat alleen mensen die geautoriseerd zijn, toegang krijgen tot specifieke doeleinden.
Het bepaalt ook dat passende maatregelen, zoals tweefactorauthenticatie, nodig zijn voor toegang tot informatiebeveiligingsgevoelige gebieden door bevoegde personen. Deze toegang moet ook worden ondersteund door een fysiek logboek of een elektronisch audittraject.
Controle 11.1.6 – Leverings- en laadruimtes dekt daarentegen alleen de toegang tot leverings- en laadruimtes door geautoriseerde personen. Het adviseert om dit gebied zo te ontwerpen dat het geïsoleerd is van de bedrijfsruimten, zodat het bezorgpersoneel geen toegang kan krijgen tot andere delen van het gebouw.
Zoals u kunt zien, zijn deze twee aanbevelingen samengevoegd tot één in control 7.2 in de bijgewerkte versie van ISO 27002.
Uiteindelijk zijn controle 7.2 en controles 11.1.2 en 11.1.6 enigszins vergelijkbaar in context. Het belangrijkste verschil is dat 11.1.2 en 11.1.6 zijn samengevoegd om de gebruiksvriendelijkheid te verbeteren.
Bovendien zijn in de 2022-versie van ISO 27002 een attributentabel en controledoel toegevoegd. Deze twee elementen zitten niet in de controles in de 2013-versie.
De controle op de fysieke toegang wordt gezien als een van de belangrijkste beveiligingsmaatregelen in een bedrijf of organisatie.
De afdeling Beveiliging is verantwoordelijk voor alle aspecten van de fysieke beveiliging, inclusief de toegangscontrole. Ze kunnen echter bevoegdheden aan een andere afdeling delegeren als ze het gevoel hebben dat ze niet over de expertise of middelen beschikken die nodig zijn om deze taak uit te voeren.
IT-teams spelen ook een belangrijke rol op het gebied van fysieke beveiliging. Ze helpen ervoor te zorgen dat de technologische systemen die voor de fysieke beveiliging worden gebruikt, up-to-date en veilig zijn. Als u bijvoorbeeld een inbraakdetectiesysteem (IDS) bij de voordeur van uw organisatie heeft geïnstalleerd, maar de software ervan al maanden niet is bijgewerkt, zal het weinig zin hebben als een indringer er langs probeert te komen.
Omdat de ISO 27002-norm slechts licht is gewijzigd, hoeft uw organisatie de informatiebeveiligingspraktijken niet veel te veranderen.
Als u al een ISO 27001-certificering heeft, zult u merken dat uw huidige aanpak van informatiebeveiligingsbeheer voldoet aan de nieuwe normen.
Als u echter helemaal opnieuw begint, moet u vertrouwd raken met de informatie in de nieuwe standaard.
Bekijk onze nieuwe ISO 27002:2022-gids voor meer informatie over de gevolgen van deze veranderingen voor uw organisatie.
Ons platform biedt gebruikers toegang tot alle benodigde documentatie en bronnen, zoals beleid, procedures, normen, richtlijnen en informatie met betrekking tot complianceprocessen.
Het ISMS.online-platform is ideaal voor bedrijven die:
Ons platform biedt u aanpasbare dashboards waarmee u realtime inzicht krijgt in uw nalevingsstatus.
U kunt alle aspecten van uw ISO 27002-compliancetraject vanaf één plek monitoren en beheren: auditbeheer, gap-analyse, trainingsbeheer, risicobeoordeling enz.
Het biedt een gebruiksvriendelijke, geïntegreerde oplossing die 24/7 toegankelijk is via elk apparaat met een internetverbinding. Met het platform kunnen alle medewerkers naadloos en veilig samenwerken om beveiligingsrisico's te beheren en de naleving van de organisatie te volgen, evenals het traject naar ISO 27001-certificering.
Neem vandaag nog contact op met boek een demo.
Wij geven u een voorsprong van 81%
vanaf het moment dat u inlogt
Boek uw demo
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 5.7 | New | Bedreigingsintelligentie |
| 5.23 | New | Informatiebeveiliging voor gebruik van clouddiensten |
| 5.30 | New | ICT gereed voor bedrijfscontinuïteit |
| 7.4 | New | Fysieke beveiligingsmonitoring |
| 8.9 | New | Configuratiebeheer |
| 8.10 | New | Verwijdering van informatie |
| 8.11 | New | Gegevensmaskering |
| 8.12 | New | Preventie van gegevenslekken |
| 8.16 | New | Monitoring activiteiten |
| 8.23 | New | Web filtering |
| 8.28 | New | Veilige codering |
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 6.1 | 07.1.1 | Doorlichting |
| 6.2 | 07.1.2 | Arbeidsvoorwaarden |
| 6.3 | 07.2.2 | Bewustzijn, opleiding en training op het gebied van informatiebeveiliging |
| 6.4 | 07.2.3 | Disciplinair proces |
| 6.5 | 07.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| 6.6 | 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| 6.7 | 06.2.2 | Werken op afstand |
| 6.8 | 16.1.2, 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 7.1 | 11.1.1 | Fysieke veiligheidsperimeters |
| 7.2 | 11.1.2, 11.1.6 | Fysieke toegang |
| 7.3 | 11.1.3 | Beveiligen van kantoren, kamers en faciliteiten |
| 7.4 | New | Fysieke beveiligingsmonitoring |
| 7.5 | 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| 7.6 | 11.1.5 | Werken in beveiligde ruimtes |
| 7.7 | 11.2.9 | Overzichtelijk bureau en helder scherm |
| 7.8 | 11.2.1 | Locatie en bescherming van apparatuur |
| 7.9 | 11.2.6 | Beveiliging van activa buiten het terrein |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Opslag media |
| 7.11 | 11.2.2 | Ondersteunende nutsvoorzieningen |
| 7.12 | 11.2.3 | Beveiliging van de bekabeling |
| 7.13 | 11.2.4 | Apparatuuronderhoud |
| 7.14 | 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
