ISO 27701 Clausule 6.8: Versterking van fysieke en omgevingsbeveiliging
Naast digitale beveiligingsmaatregelen (RBAC, encryptie en authenticatiecontroles) moeten organisaties fysieke locaties (sites, kantoren, faciliteiten) bouwen en beheren die een verhoogde bescherming bieden aan PII, waar deze ook wordt verwerkt of opgeslagen.
ISO schetst talrijke menselijke, ecologische en stedelijke bedreigingen die moeten worden bestreden door middel van bouwplanning, risicobeheer en robuuste fysieke controles.
Wat wordt er behandeld in ISO 27701, clausule 6.8
De richtlijnen van ISO 27701 6.8 zijn verdeeld over zes subclausules, die elk begeleiding vanuit diverse controles binnen ISO 27002, toegepast in het kader van PII en privacybescherming:
- ISO 27701 6.8.1.1 – Fysieke veiligheidsperimeter (referenties ISO 27002 Controle 7.1)
- ISO 27701 6.8.1.2 – Fysieke toegangscontroles (referenties ISO 27002 Controle 7.2)
- ISO 27701 6.8.1.3 – Beveiliging van kantoren, kamers en faciliteiten (referenties ISO 27002 Controle 7.3)
- ISO 27701 6.8.1.4 – Bescherming tegen bedreigingen van buitenaf en vanuit het milieu (referenties ISO 27002 Controle 7.5)
- ISO 27701 6.8.1.5 – Werken in beveiligde gebieden (referenties ISO 27002 Controle 7.6)
- ISO 27701 6.8.1.6 – Leverings- en laadruimtes (referenties ISO 27002 Controle 7.2)
ISO 27701 Clausule 6.8 bevat geen aanvullende richtlijnen voor de implementatie en het beheer van een PIMS, noch zijn er Britse AVG-artikelen waarmee rekening moet worden gehouden.
ISO 27001 eenvoudig gemaakt
Een voorsprong van 81% vanaf dag één
Wij hebben het harde werk voor u gedaan, waardoor u vanaf het moment dat u inlogt een voorsprong van 81% heeft. U hoeft alleen nog maar de lege plekken in te vullen.
ISO 27701 Clausule 6.8.1.1 – Fysieke beveiligingsperimeter
Referenties ISO 27002 Controle 7.1
Perimeterbeveiliging werkt op basis van het principe van het creëren van continue interne fysieke barrières, die ongeautoriseerde toegang tot privé-informatie voorkomen.
Om een end-to-end perimeterbeveiligingsoperatie te handhaven, moeten organisaties fysieke toegang tot PII voorkomen door:
- Het definiëren en implementeren van beveiligingsperimeters die rekening houden met de opslag van gevoelige gegevens (PII).
- Het handhaven van 'fysiek gezonde' perimeters die 24/7 veilige toegang bieden.
- Het vergrendelen van alle externe in- en uitgangen als er geen personeel aanwezig is (en het beveiligen van ventilatiepunten, indien van toepassing).
- Deuren beveiligen met alarmen en veilige toegangsmaatregelen (sleutelcodes, automatische vergrendelingsmechanismen, enz.).
- Het onderhouden van een robuuste set gealarmeerde branddeuren, die rekening houden met de geldende wetgeving inzake de constructie van externe en interne toegangspunten.
- Het opstellen van noodplannen die zorgen voor meer veiligheid tijdens kritieke situaties of veiligheidsincidenten.
ISO 27701 Clausule 6.8.1.2 – Fysieke toegangscontroles
Referenties ISO 27002 Controle 7.2
Terwijl ISO 27701 6.8.1.1 zich richt op beveiligingsperimeters, schetst clausule 6.8.1.2 algemene principes om ervoor te zorgen dat alleen geautoriseerd personeel toegang heeft tot gebieden die PII en privacygerelateerde activa bevatten.
Algemene richtlijnen
Organisaties moeten:
- Beperk de toegang tot volledige locaties, gebouwen en kantoorfaciliteiten op uniforme wijze tot uitsluitend geautoriseerd personeel (inclusief nooduitgangen).
- Voer periodieke beoordelingen van toegangsniveaus uit, inclusief een algemene update van alle toegangsniveaus, indien nodig (zie ISO 27002 controle 5.18).
- Houd een logboek bij, of maak een digitaal audittraject, van de toegang tot de locatie en de ruimte (zie ISO 27002 controle 5.33).
- Ontwikkel en installeer technische toegangsmaatregelen (sleutelkaarten, fobs, biometrische toegangssystemen, gecodeerde alarmen enz.).
- Zorg voor een bewaakte ontvangstruimte.
- Onderzoek de persoonlijke bezittingen van intern en extern personeel, vóór binnenkomst (NB: regionale wetten inzake de inspectie van persoonlijke eigendommen kunnen organisaties ervan weerhouden dit te doen).
- Handhaaf de regelgeving voor identiteitsbewijzen met foto voor de hele site.
- Bezoekers beperkte toegang bieden tot elk gebied waar PII of privacygerelateerde informatie wordt opgeslagen of verwerkt.
- Maak noodplannen voor incidenten en kritieke scenario's.
- Onderhoud een sleutelbeheersysteem dat de toegang tot authenticatiemethoden zoals deurtoegangssystemen en combinatiesloten registreert, controleert, onderhoudt, verleent en intrekt (zie ISO 27002 controle 5.17).
bezoekers
Wanneer organisaties bezoekers toegang verlenen tot beperkte gebieden, moeten zij:
- Verifieer de identiteit van de bezoeker voordat u toegang verleent.
- Registreer de datum en tijd van een bezoek.
- Zorg ervoor dat de aard van het bezoek wordt begrepen en vastgelegd, en passend is binnen de context van de fysieke ruimte die wordt betreden.
- Zorg ervoor dat de bezoeker, indien relevant, onder toezicht staat.
Leverings- en laadgebieden
Bij het ontwerpen en exploiteren van een laadruimte moeten organisaties:
- Beperk de toegang tot laadruimtes tot geverifieerde bedrijven en individuen.
- Richt de laadruimte zo in dat geen enkel ander deel van het terrein zonder de juiste toestemming toegankelijk is.
- Controleer ontvangen leveringen op gevaarlijke, illegale en explosieve materialen en op manipulatie, voordat u de inhoud ervan door het pand verplaatst.
- Log inkomende leveringen in overeenstemming met de beheercontroles van de organisatie (zie ISO 27002 controles 5.9 en 7.10).
- Bied een ruimte voor personeel om inkomend en uitgaand materiaal fysiek te scheiden.
Relevante ISO 27002-controles
- ISO 27002 5.9
- ISO 27002 5.17
- ISO 27002 5.18
- ISO 27002 5.33
- ISO 27002 7.10
Bevrijd jezelf van een berg spreadsheets
Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.
ISO 27701 Clausule 6.8.1.3 – Beveiliging van kantoren, kamers en faciliteiten
Referenties ISO 27002 Controle 7.3
De fysieke bescherming van PII en privacygerelateerde activa strekt zich ook uit tot kamers binnen een vastgestelde veiligheidsperimeter. Om kantoren, kamers en faciliteiten te beveiligen moeten organisaties:
Om interne faciliteiten te beschermen, moeten organisaties:
- Vermijd het bouwen van kantoorfaciliteiten die leden van het publiek vrije toegang bieden, zonder de juiste toestemming.
- Als het om PII-verwerkingsfaciliteiten gaat, vermijd dan borden die het doel van de faciliteit aangeven (intern of extern).
- Bouw faciliteiten die voorkomen dat personeel zichtbaar is voor het publiek, waarbij indien nodig passende elektromagnetische afscherming wordt geïnstalleerd.
- Verberg de aanwezigheid van PII-verwerkingsfaciliteiten op online kaartplatforms en communicatiegidsen.
ISO 27701 Clausule 6.8.1.4 – Bescherming tegen bedreigingen van buitenaf en vanuit het milieu
Referenties ISO 27002 Controle 7.5
Een 'bedreiging' kan worden geïnterpreteerd als elke grote gebeurtenis die de potentie heeft om PII of privacygerelateerde activa te beïnvloeden.
Organisaties moeten een dreigingsrisicobeoordeling uitvoeren voordat ze 'kritieke operaties' uitvoeren, waarbij rekening wordt gehouden met veranderingen in de dreigingsomgeving, waaronder zowel fysieke (bijvoorbeeld criminele activiteiten) als ecologische (overstromingen, branden enz.) bedreigingen.
Bij het bouwen van fysieke gebouwen moeten organisaties rekening houden met:
- Lokale geografische en topologische factoren, waaronder landkenmerken, nabijgelegen water en de kans op een aardbeving.
- Alle dreigingen die uitgaan van menselijke bronnen binnen stedelijke gebieden, zoals terroristische of criminele activiteiten, en politiek geweld/onrust.
Zodra de risicobeoordeling is voltooid, moeten organisaties een reeks controlemaatregelen ontwikkelen die erop gericht zijn het risico dat een bedreiging zich voordoet of opnieuw voordoet, te voorkomen en te minimaliseren.
ISO vermeldt brand, overstroming, elektrische spanningen en explosieven/wapens als van bijzonder belang. Als de middelen onder druk komen te staan, moeten organisaties zich met prioriteit op deze vier gebieden concentreren.
Beheer al uw compliance op één plek
ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.
ISO 27701 Clausule 6.8.1.5 – Werken in beveiligde gebieden
Referenties ISO 27002 Controle 7.6
Organisaties moeten PII en privacygerelateerde activa beschermen door een veilig werkbeleid voor al het personeel te implementeren, dat rekening houdt met functierollen en fysieke beschermingsmaatregelen.
Bij het formuleren van werkbeleid in veilige gebieden moeten organisaties:
- Zorg ervoor dat het personeel op een 'need to know'-basis werkt.
- Laat het personeel niet gedurende langere tijd zonder toezicht achter.
- Zorg ervoor dat alle relevante deuren gesloten zijn en dat weinig bezoekers of permanent leegstaande ruimtes periodiek worden geïnspecteerd.
- Bewaak en beheer het gebruik van persoonlijke en organisatorische eindpuntapparaten, tot een niveau dat in verhouding staat tot de gegevens die worden bewaard.
- Geef noodplannen en noodprocedures duidelijk weer, zodat het personeel begrijpt hoe te reageren op kritieke scenario's.
ISO 27701 Clausule 6.8.1.6 – Leverings- en laadruimtes
Referenties ISO 27002 Controle 7.2
Zie ISO 27701 clausule 6.8.1.2 (hierboven).
Ondersteunende controles van ISO 27002 en AVG
| ISO 27701-clausule-identificatie | ISO 27701 Clausulenaam | ISO 27002-vereiste | Bijbehorende AVG-artikelen |
|---|---|---|---|
| 6.8.1.1 | Fysieke beveiligingsperimeter |
7.1 – Fysieke beveiligingsgrenzen voor ISO 27002 |
Geen |
| 6.8.1.2 | Fysieke toegangscontroles |
7.2 – Fysieke invoer voor ISO 27002 |
Geen |
| 6.8.1.3 | Beveiliging van kantoren, kamers en faciliteiten |
7.3 – Kantoren, kamers en faciliteiten beveiligen voor ISO 27002 |
Geen |
| 6.8.1.4 | Bescherming tegen externe en ecologische bedreigingen |
7.5 – Bescherming tegen fysieke en ecologische bedreigingen voor ISO 27002 |
Geen |
| 6.8.1.5 | Werken in beveiligde gebieden |
7.6 – Werken in beveiligde gebieden voor ISO 27002 |
Geen |
| 6.8.1.6 | Leverings- en laadgebieden |
7.2 – Fysieke invoer voor ISO 27002 |
Geen |
Hoe ISMS.online helpt
Hoe helpen we?
Om ISO 27701 te behalen moet u een Privacy Informatie Management Systeem (PIMS) bouwen. Met ons voorgeconfigureerde PIMS kunt u snel en eenvoudig klant-, leveranciers- en personeelsinformatie organiseren en beheren om volledig te voldoen aan ISO 27701.
Ook kunt u op het ISMS.online platform tegemoet komen aan het groeiende aantal mondiale, regionale en sectorspecifieke privacyregelgeving die wij ondersteunen.
Om certificering volgens ISO 27701 te behalen, moet u eerst de certificering volgens ISO 27001 behalen. Het goede nieuws is dat ons platform u kan helpen beide te bereiken.
Meer informatie via het boeken van een hands-on demo.
