Meteen naar de inhoud
ISMS.online

ISO 27002:2022 – Controle 7.5 – Bescherming tegen fysieke en ecologische bedreigingen

ISO 27002:2022 Control 7.5 benadrukt de noodzaak voor organisaties om fysieke en omgevingsbedreigingen (bijvoorbeeld natuurrampen, burgerlijke onrust en criminaliteit) te beoordelen en te beperken om kritieke infrastructuur en informatiemiddelen te beschermen. Het benadrukt risicobeoordelingen en preventieve maatregelen zoals brandbestrijding en beveiligingscontroles om vertrouwelijkheid, integriteit en beschikbaarheid van gegevens te waarborgen.

Auteur
Sam Peters
Bijgewerkt juli 25, 2025
4 / 5 sterren

Uw organisatie beschermen tegen fysieke en omgevingsbedreigingen

Bedreigingen voor informatiemiddelen zijn niet louter digitaal: de kritieke fysieke infrastructuur van een organisatie waarin informatiemiddelen worden gehost, wordt ook blootgesteld aan omgevings- en fysieke bedreigingen die kunnen leiden tot verlies, vernietiging, diefstal en compromittering van informatiemiddelen en gevoelige gegevens.

Deze bedreigingen kunnen natuurlijke gebeurtenissen omvatten, zoals aardbevingen, overstromingen en bosbranden. Hiertoe kunnen ook door de mens veroorzaakte rampen behoren, zoals burgerlijke onrust en criminele activiteiten.

Controle 7.5 behandelt hoe organisaties risico's voor kritieke fysieke infrastructuur als gevolg van fysieke en ecologische bedreigingen kunnen beoordelen, identificeren en beperken.

Doel van de controle 7.5

Met Control 7.5 kunnen organisaties de mogelijke nadelige effecten van ecologische en fysieke bedreigingen en deze effecten te verzachten en/of te elimineren door passende maatregelen te nemen.

Attributen Controletabel 7.5

Controle 7.5 is een preventieve vorm van controle vereist dat organisaties de gevolgen elimineren en/of verzachten die waarschijnlijk voortkomen uit externe risico's zoals natuurrampen en door de mens veroorzaakte incidenten.

controle Type Eigenschappen voor informatiebeveiliging Cyberbeveiligingsconcepten Operationele mogelijkheden Beveiligingsdomeinen
#Preventief #Vertrouwelijkheid #Beschermen #Fysieke bewaking #Bescherming
#Integriteit
#Beschikbaarheid

Eigendom van zeggenschap 7.5

Controle 7.5 vereist dat organisaties dit doen een diepgaande risicoanalyse uitvoeren voordat met werkzaamheden op een fysieke locatie wordt begonnen, en om de nodige maatregelen te implementeren die in verhouding staan ​​tot het geïdentificeerde risiconiveau.

Chief Security Officers moeten daarom verantwoordelijk zijn voor het creëren, beheren, implementeren en beoordelen van het hele proces.



ISMS.online geeft u een voorsprong van 81% vanaf het moment dat u inlogt

ISO 27001 eenvoudig gemaakt

Een voorsprong van 81% vanaf dag één

Wij hebben het harde werk voor u gedaan, waardoor u vanaf het moment dat u inlogt een voorsprong van 81% heeft. U hoeft alleen nog maar de lege plekken in te vullen.

Start


Algemene richtlijnen voor naleving

Controle 7.5 specificeert een proces in drie stappen om risico’s als gevolg van fysieke en omgevingsbedreigingen te identificeren en te elimineren:

  • Stap 1: Voer een risicobeoordeling uit

Organisaties zouden dat moeten doen een risicoanalyse uitvoeren om potentiële fysieke en ecologische rampen te identificeren die zich op elk specifiek fysiek terrein kunnen voordoen en vervolgens de effecten te meten die waarschijnlijk zullen optreden als gevolg van de geïdentificeerde fysieke en ecologische bedreigingen.

Gezien het feit dat elk fysiek gebouw en elke infrastructuur daarin onderworpen zal zijn aan verschillende omgevingsomstandigheden en fysieke risicofactoren, zal het type dreiging en het geïdentificeerde risiconiveau variëren per gebouw en locatie.

Hoewel een pand bijvoorbeeld het meest kwetsbaar is voor natuurbranden, kan een ander pand zich in een gebied bevinden waar regelmatig aardbevingen voorkomen.

Een andere kritische vereiste die in controle 7.5 wordt gesteld, is dat deze risicobeoordeling moet worden uitgevoerd vóór de start van de activiteiten op een fysiek terrein.

  • Stap 2: Identificeer en implementeer controles

Op basis van het type bedreiging en het risiconiveau dat in de eerste stap is geïdentificeerd, moeten organisaties passende controles invoeren, waarbij rekening wordt gehouden met de waarschijnlijke gevolgen van de bedreigingen vanuit het milieu en de fysieke omgeving.

Ter illustratie geeft Controle 7.5 voorbeelden van controles die kunnen worden ingevoerd voor de volgende bedreigingen:

Fire: Organisaties moeten systemen inzetten om alarmen te activeren wanneer er brand wordt gedetecteerd of om brandblussystemen te activeren die opslagmedia en informatiesystemen tegen schade kunnen beschermen.

Overstroming: Er moeten systemen worden ingezet en geconfigureerd om overstromingen te detecteren in gebieden waar informatiebronnen zijn opgeslagen. Bovendien moeten gereedschappen zoals waterpompen gereed zijn voor gebruik in geval van overstromingen.

Elektrische pieken: Servers en kritisch informatiemanagementsystemen moeten worden onderhouden en beschermd tegen stroomuitval.

Explosieven en wapens: Organisaties zouden dat moeten doen willekeurige audits uitvoeren en inspecties van alle personen, voorwerpen en voertuigen die gebouwen binnenkomen waar kritieke infrastructuur aanwezig is.

  • Stap 3: Monitoring

Gezien het feit dat het soort bedreigingen en het risiconiveau in de loop van de tijd kunnen veranderen, moeten organisaties de risicobeoordelingen voortdurend monitoren en indien nodig de controles die zij hebben geïmplementeerd, heroverwegen.

Aanvullende begeleiding

Controle 7.5 somt vier specifieke overwegingen op waar organisaties rekening mee moeten houden.

Overleg met deskundigen

Elk specifiek type milieu- en fysieke bedreiging, of het nu gaat om giftig afval, een aardbeving of een brand, is uniek wat betreft de aard ervan, de risico's die het met zich meebrengt en de tegenmaatregelen die het vereist.

Daarom moeten organisaties deskundig advies inwinnen over hoe ze de risico’s die uit deze bedreigingen voortkomen, kunnen identificeren en/of beperken.

Keuze van locatie voor gebouwen

Rekening houden met de lokale topografie, waterstanden en tektonische bewegingen van de potentiële locatie voor gebouwen kan ertoe bijdragen dat risico's in een vroeg stadium worden geïdentificeerd en geëlimineerd.

Bovendien moeten organisaties rekening houden met de risico's van door de mens veroorzaakte rampen in het gekozen stedelijke gebied, zoals politieke onrust en criminele activiteiten.

Extra beveiligingslaag

Naast de specifieke geïmplementeerde controles, veilige informatieopslag Methoden zoals kluizen kunnen een extra beveiligingslaag toevoegen tegen rampen zoals brand en overstromingen.

Misdaadpreventie door middel van milieuontwerp

Controle 7.5 beveelt organisaties aan dit concept in overweging te nemen bij het implementeren van controles om de beveiliging van gebouwen te verbeteren. Deze methode kan worden gebruikt om stedelijke bedreigingen zoals criminele activiteiten, burgerlijke onrust en terrorisme te elimineren.



ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.

Beheer al uw compliance op één plek

ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.

Boek uw demo


Wijzigingen en verschillen ten opzichte van ISO 27002:2013

27002:2022/7.5 replaces 27002:2013/(11.1.4)

Terwijl in de versie van 2013 werd beschreven hoe organisaties passende preventieve maatregelen tegen fysieke en ecologische bedreigingen moeten treffen, is de versie van 2022 veel uitgebreider in termen van specifieke nalevingsstappen die organisaties moeten nemen.

Over het geheel genomen zijn er twee belangrijke verschillen:

  • Versie 2022 biedt richtlijnen voor naleving

De versie uit 2013 bevatte geen richtlijnen over hoe organisaties risico's als gevolg van omgevings- en fysieke bedreigingen moesten identificeren en elimineren.

De 2022-versie beschrijft contractueel een proces dat uit drie stappen bestaat en dat organisaties moeten volgen, inclusief het uitvoeren van een risicobeoordeling.

  • De versie van 2022 raadt organisaties aan om een ​​extra laag maatregelen te implementeren

In de aanvullende leidraad verwijst de versie uit 2022 naar maatregelen zoals het gebruik van kluizen en misdaadpreventie door middel van milieuontwerpconcepten die kunnen worden gebruikt om de bescherming tegen bedreigingen te verbeteren.

In de versie van 2013 kwamen dergelijke aanvullende maatregelen echter niet aan de orde.

Nieuwe ISO 27002-controles

Nieuwe bedieningselementen
ISO/IEC 27002:2022 Controle-identificatie ISO/IEC 27002:2013 Controle-identificatie Controle naam
5.7 NIEUW Bedreigingsintelligentie
5.23 NIEUW Informatiebeveiliging voor gebruik van clouddiensten
5.30 NIEUW ICT gereed voor bedrijfscontinuïteit
7.4 NIEUW Fysieke beveiligingsmonitoring
8.9 NIEUW Configuratiebeheer
8.10 NIEUW Verwijdering van informatie
8.11 NIEUW Gegevensmaskering
8.12 NIEUW Preventie van gegevenslekken
8.16 NIEUW Monitoring activiteiten
8.23 NIEUW Web filtering
8.28 NIEUW Veilige codering
Organisatorische controles
ISO/IEC 27002:2022 Controle-identificatie ISO/IEC 27002:2013 Controle-identificatie Controle naam
5.1 05.1.1, 05.1.2 Beleid voor informatiebeveiliging
5.2 06.1.1 Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging
5.3 06.1.2 Scheiding van taken
5.4 07.2.1 Directie verantwoordelijkheden
5.5 06.1.3 Contact met autoriteiten
5.6 06.1.4 Contact met speciale belangengroepen
5.7 NIEUW Bedreigingsintelligentie
5.8 06.1.5, 14.1.1 Informatiebeveiliging in projectmanagement
5.9 08.1.1, 08.1.2 Inventarisatie van informatie en andere bijbehorende activa
5.10 08.1.3, 08.2.3 Aanvaardbaar gebruik van informatie en andere bijbehorende bedrijfsmiddelen
5.11 08.1.4 Teruggave van activa
5.12 08.2.1 Classificatie van informatie
5.13 08.2.2 Etikettering van informatie
5.14 13.2.1, 13.2.2, 13.2.3 Informatieoverdracht
5.15 09.1.1, 09.1.2 Toegangscontrole
5.16 09.2.1 Identiteitsbeheer
5.17 09.2.4, 09.3.1, 09.4.3 Authenticatie-informatie
5.18 09.2.2, 09.2.5, 09.2.6 Toegangsrechten
5.19 15.1.1 Informatiebeveiliging in leveranciersrelaties
5.20 15.1.2 Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten
5.21 15.1.3 Het beheren van informatiebeveiliging in de ICT-toeleveringsketen
5.22 15.2.1, 15.2.2 Het monitoren, beoordelen en wijzigen van de diensten van leveranciers
5.23 NIEUW Informatiebeveiliging voor gebruik van clouddiensten
5.24 16.1.1 Planning en voorbereiding van het beheer van informatiebeveiligingsincidenten
5.25 16.1.4 Beoordeling en besluitvorming over informatiebeveiligingsgebeurtenissen
5.26 16.1.5 Reactie op informatiebeveiligingsincidenten
5.27 16.1.6 Leren van informatiebeveiligingsincidenten
5.28 16.1.7 Verzameling van bewijs
5.29 17.1.1, 17.1.2, 17.1.3 Informatiebeveiliging tijdens verstoring
5.30 5.30 ICT gereed voor bedrijfscontinuïteit
5.31 18.1.1, 18.1.5 Wettelijke, wettelijke, regelgevende en contractuele vereisten
5.32 18.1.2 Intellectuele eigendomsrechten
5.33 18.1.3 Bescherming van documenten
5.34 18.1.4 Privacy en bescherming van PII
5.35 18.2.1 Onafhankelijke beoordeling van informatiebeveiliging
5.36 18.2.2, 18.2.3 Naleving van beleid, regels en standaarden voor informatiebeveiliging
5.37 12.1.1 Gedocumenteerde operationele procedures
Mensencontroles
ISO/IEC 27002:2022 Controle-identificatie ISO/IEC 27002:2013 Controle-identificatie Controle naam
6.1 07.1.1 Doorlichting
6.2 07.1.2 Arbeidsvoorwaarden
6.3 07.2.2 Bewustzijn, opleiding en training op het gebied van informatiebeveiliging
6.4 07.2.3 Disciplinair proces
6.5 07.3.1 Verantwoordelijkheden na beëindiging of verandering van dienstverband
6.6 13.2.4 Vertrouwelijkheids- of geheimhoudingsovereenkomsten
6.7 06.2.2 Werken op afstand
6.8 16.1.2, 16.1.3 Rapportage van informatiebeveiligingsgebeurtenissen
Fysieke controles
ISO/IEC 27002:2022 Controle-identificatie ISO/IEC 27002:2013 Controle-identificatie Controle naam
7.1 11.1.1 Fysieke veiligheidsperimeters
7.2 11.1.2, 11.1.6 Fysieke toegang
7.3 11.1.3 Beveiligen van kantoren, kamers en faciliteiten
7.4 NIEUW Fysieke beveiligingsmonitoring
7.5 11.1.4 Bescherming tegen fysieke en ecologische bedreigingen
7.6 11.1.5 Werken in beveiligde ruimtes
7.7 11.2.9 Overzichtelijk bureau en helder scherm
7.8 11.2.1 Locatie en bescherming van apparatuur
7.9 11.2.6 Beveiliging van activa buiten het terrein
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Opslag media
7.11 11.2.2 Ondersteunende nutsvoorzieningen
7.12 11.2.3 Beveiliging van de bekabeling
7.13 11.2.4 Apparatuuronderhoud
7.14 11.2.7 Veilige verwijdering of hergebruik van apparatuur
Technologische controles
ISO/IEC 27002:2022 Controle-identificatie ISO/IEC 27002:2013 Controle-identificatie Controle naam
8.1 06.2.1, 11.2.8 Eindpuntapparaten van gebruikers
8.2 09.2.3 Bevoorrechte toegangsrechten
8.3 09.4.1 Beperking van toegang tot informatie
8.4 09.4.5 Toegang tot broncode
8.5 09.4.2 Veilige authenticatie
8.6 12.1.3 Capaciteitsmanagement
8.7 12.2.1 Bescherming tegen malware
8.8 12.6.1, 18.2.3 Beheer van technische kwetsbaarheden
8.9 NIEUW Configuratiebeheer
8.10 NIEUW Verwijdering van informatie
8.11 NIEUW Gegevensmaskering
8.12 NIEUW Preventie van gegevenslekken
8.13 12.3.1 Informatie back-up
8.14 17.2.1 Redundantie van informatieverwerkingsfaciliteiten
8.15 12.4.1, 12.4.2, 12.4.3 Logging
8.16 NIEUW Monitoring activiteiten
8.17 12.4.4 klok synchronisatie
8.18 09.4.4 Gebruik van bevoorrechte hulpprogramma's
8.19 12.5.1, 12.6.2 Installatie van software op operationele systemen
8.20 13.1.1 Netwerkbeveiliging
8.21 13.1.2 Beveiliging van netwerkdiensten
8.22 13.1.3 Segregatie van netwerken
8.23 NIEUW Web filtering
8.24 10.1.1, 10.1.2 Gebruik van cryptografie
8.25 14.2.1 Veilige ontwikkelingslevenscyclus
8.26 14.1.2, 14.1.3 Beveiligingsvereisten voor applicaties
8.27 14.2.5 Veilige systeemarchitectuur en engineeringprincipes
8.28 NIEUW Veilige codering
8.29 14.2.8, 14.2.9 Beveiligingstesten in ontwikkeling en acceptatie
8.30 14.2.7 Uitbestede ontwikkeling
8.31 12.1.4, 14.2.6 Scheiding van ontwikkel-, test- en productieomgevingen
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Wijzig beheer
8.33 14.3.1 Test informatie
8.34 12.7.1 Bescherming van informatiesystemen tijdens audittests

Hoe ISMS.online helpt

De ISMS.online-platform biedt een reeks krachtige tools die de manier vereenvoudigen waarop u uw informatiebeveiligingsbeheersysteem (ISMS) kunt documenteren, implementeren, onderhouden en verbeteren en naleving van ISO 27002 kunt bereiken.

Het uitgebreide pakket aan tools biedt u één centrale plek waar u een op maat gemaakte set beleid en procedures kunt creëren die aansluiten bij uw wensen specifieke risico's en behoeften van de organisatie.

Neem vandaag nog contact op met boek een demo.

Sam Peters

Sam is Chief Product Officer bij ISMS.online en leidt de ontwikkeling van alle producteigenschappen en functionaliteit. Sam is een expert op veel gebieden van compliance en werkt samen met klanten aan maatwerk- of grootschalige projecten.

Volg een virtuele tour

Start nu uw gratis interactieve demo van 2 minuten en zie
ISMS.online in actie!

Probeer het nu
platform dashboard volledig in nieuwstaat

Wij zijn een leider in ons vakgebied

4 / 5 sterren
Gebruikers houden van ons
Leider - Winter 2026
Regionale leider - Winter 2026 VK
Regionale leider - Winter 2026 EU
Regionale leider - Winter 2026 Middenmarkt EU
Regionale leider - Winter 2026 EMEA
Regionale leider - Winter 2026 Middenmarkt EMEA

"ISMS.Online, uitstekende tool voor naleving van regelgeving"

— Jim M.

"Maakt externe audits een fluitje van een cent en koppelt alle aspecten van uw ISMS naadloos aan elkaar"

— Karen C.

"Innovatieve oplossing voor het beheer van ISO en andere accreditaties"

— Ben H.