6.5 KiB
#iso27002/2022/NL
Standard: ISO 27002:2022 NL
+------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------+---------------------+ | Type | Informatie- | Cybersecurity- | Operationele | Beveiligings- | | | | | | | | beheersmaatregel | beveiligings- | concepten | capaciteiten | domeinen | | | | | | | | | eigenschappen | | | | +========================+====================================================+======================+==========================================================+=====================+ | #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Fysieke_beveiliging #Identiteits- _en_toegangsbeheer | #Bescherming | +------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------+---------------------+
Beheersmaatregel
Beveiligde zones behoren te worden beschermd door passende toegangscontroles en toegangspunten.
Doel
Bewerkstelligen dat er alleen bevoegde fysieke toegang tot de informatie en andere gerelateerde bedrijfsmiddelen van de organisatie plaatsvindt.
Richtlijn
Algemeen
Toegangspunten zoals laad- en loslocaties en andere punten waar onbevoegde personen het gebouw en/of terrein kunnen betreden, behoren te worden beheerst, en zo mogelijk te worden afgeschermd van informatieverwerkende faciliteiten om onbevoegde toegang te vermijden.
Met de volgende richtlijnen behoort rekening te worden gehouden:
a) uitsluitend bevoegd personeel toegang verlenen tot locaties en gebouwenet proces voor het beheer van toegangsrechten tot fysieke zones behoort het toekennen, periodiek herzien, bijwerken en intrekken van autorisaties te omvatten (zie 5.18);
b) veilig een fysiek logboek of elektronisch audittraject van alle toegang onderhouden en monitoren
en alle logbestanden (zie 5.33) en gevoelige authenticatie-informatie beschermen;
c) een proces en technische mechanismen voor het beheer van de toegang tot zones waar informatie wordt verwerkt of opgeslagen, opstellen en implementerenuthenticatiemechanismen omvatten het gebruik van toegangspassen, biometrische authenticatie of tweefactorauthenticatie, zoals een toegangspas en een geheime pincodeubbele veiligheidsdeuren behoren te worden overwogen voor toegang tot gevoelige zones;
d) een ontvangstgebied dat door personeel wordt gemonitord, opzetten of andere middelen om de
fysieke toegang tot de locatie of het gebouw te beheersen;
e) de persoonlijke bezittingen van personeel en belanghebbenden bij het binnenkomen en weggaan
inspecteren en onderzoeken;
OPMERKING Er kan lokale wet- en regelgeving bestaan inzake de mogelijkheid persoonlijke bezittingen te
inspecteren.
f) van al het personeel en alle belanghebbenden verlangen dat zij een bepaalde vorm van zichtbare identificatie dragen en dat zij onmiddellijk beveiligingspersoneel op de hoogte stellen als zij bezoekers zonder begeleiding en personen die geen zichtbare identificatie dragen, tegenkomenemakkelijk te herkennen badges behoren te worden overwogen om vaste werknemers, leveranciers en bezoekers beter te kunnen identificeren;
g) personeel van leveranciers alleen wanneer toegang vereist is, beperkte toegang verlenen tot beveiligde zones of informatieverwerkende faciliteiteneze toegang behoort gebaseerd te zijn op autorisatie en te worden gemonitord;
h) speciale aandacht geven aan de fysieke toegangsbeveiliging van gebouwen die bedrijfsmiddelen
voor meerdere organisaties bevatten;
i) fysieke beveiligingsmaatregelen dusdanig ontwerpen dat ze kunnen worden versterkt indien het
meer aannemelijk wordt dat er zich fysieke incidenten gaan voordoen;
j) andere toegangspunten zoals nooduitgangen tegen onbevoegde toegang beveiligen;
k) een sleutelbeheerproces opzetten om ervoor te zorgen dat de fysieke sleutels of authenticatie-
informatie (bijvlotcodes, combinatiesloten voor kantoren, ruimten en faciliteiten zoals
sleutelkasten) worden beheerd en om een logboek of jaarlijkse sleutelaudit te bewerkstelligen en
ervoor te zorgen dat de toegang tot fysieke sleutels of authenticatie-informatie wordt beveiligd (zie
5 voor verdere richtlijnen over authenticatie-informatie).
Bezoekers
Met de volgende richtlijnen behoort rekening te worden gehouden:
a) met passende middelen de identiteit van bezoekers vaststellen;
b) de datum en het tijdstip van binnenkomst en vertrek van bezoekers registreren;
c) bezoekers alleen toegang verlenen voor specifieke, toegestane doeleinden en ze instructies geven
over de veiligheidseisen voor de zone en over noodprocedures;
d) toezicht houden op alle bezoekers, tenzij er een uitdrukkelijke uitzondering is verleend.
Laad- en loslocaties en inkomend materiaal
Met de volgende richtlijnen behoort rekening te worden gehouden:
a) uitsluitend geïdentificeerd en bevoegd personeel toegang verlenen tot laad- en loslocaties van
buiten het gebouw;
b) de laad- en loslocaties dusdanig ontwerpen dat leveringen kunnen worden geladen en gelost
zonder dat de leverancier onbevoegde toegang heeft tot andere zones van het gebouw;
c) de buitendeuren van laad- en loslocaties beveiligen als deuren naar beperkt toegankelijke zones
open zijn;
d) inkomende leveringen controleren en onderzoeken op explosieven, chemicaliën of andere
gevaarlijke materialen voordat ze vanaf laad- en loslocaties worden overgebracht;
e) inkomende leveringen bij binnenkomst op de zone in overeenstemming met de procedures voor
bedrijfsmiddelenbeheer registreren (zie 5.9 en 7.10);
f) waar mogelijk, inkomende en uitgaande zendingen fysiek scheiden;
g) inkomende leveringen inspecteren op bewijs van manipulatie onderwegndien vervalsing wordt
ontdekt, behoort dit direct aan beveiligingspersoneel te worden gemeld.
Overige informatie Geen overige informatie.