TISAX® Kapitel 3.1.1
Inwieweit werden Sicherheitszonen für den Schutz von Informationswerten gemanagt?
Erschlagen von den Anforderungen? Sie wissen nicht, wie ausführlich Sie bestimmte Anforderungen erfüllen müssen?
Testen Sie jetzt kostenlos & unverbindlich unser TISAX®-Vorlagenpaket.
Ziel
Sicherheitszonen dienen dem physischen Schutz von Informationswerten. Je sensibler die zu verarbeitenden Informationswerte sind, desto mehr Schutzmaßnahmen sind erforderlich.
Anforderungen
- Muss
- Ein Sicherheitszonenkonzept einschließlich der zugehörigen Schutzmaßnahmen basierend auf den Anforderungen an den Umgang mit Informationswerten ist vorhanden:
- Muss
- Physische Bedingungen (z.B. Gelände/Gebäude/Räume) werden in der Definition von Sicherheitszonen berücksichtigt
- Muss
- Dies schließt auch Anlieferungs und Versandbereiche mit ein.
- Muss
- Die definierten Schutzmaßnahmen sind umgesetzt.
- Muss
- Die Verhaltensregeln für Sicherheitszonen sind allen beteiligten Personen bekannt.
- Sollte
- Verfahren zur Vergabe und zum Entzug von Zutrittsberechtigungen sind etabliert.
- Sollte
- Richtlinien für das Besuchermanagement (einschließlich Registrierung und Begleitung von Besuchern) sind definiert.
- Sollte
- Richtlinien für Einbringen und Nutzung von mobilen IT-Geräten und mobilen Datenträgern (z.B. Registrierung vor Mitnahme, Kennzeichnungspflichten) sind definiert und umgesetzt.
- Sollte
- Netzwerk-/Infrastrukturkomponenten (eigene oder Kundennetzwerke) sind vor unbefugtem Zugang geschützt.
- Sollte
- Externe Liegenschaften zur Lagerung und Verarbeitung von Informationswerten sind im Rahmen des Sicherheitszonenkonzeptes berücksichtigt (z.B. Lagerräume, Garagen, Werkstätten, Teststrecken, Datenverarbeitungszentren).
- Schutzbedarf hoch
- Maßnahmen zum Schutz gegen einfaches Mithören und Einsichtnahme sind umgesetzt. (C)
Umsetzung
Management von Sicherheitszonen zur Erfüllung von TISAX-Anforderungen
Das Management von Sicherheitszonen ist ein kritischer Aspekt in der Informationssicherheit, dessen strategische Planung entscheidend für den Schutz sensibler Informationen ist. Ein essenzieller Schritt hierbei ist die Entwicklung und Implementierung eines umfassenden Sicherheitszonenkonzepts. Dieses Konzept sollte eine detaillierte Identifikation und Kategorisierung aller Räumlichkeiten beinhalten, von Bürogebäuden über Lagerräume bis hin zu Anlieferungs- und Versandbereichen. Die Berücksichtigung der physischen Bedingungen jeder Zone ermöglicht die Anpassung geeigneter Schutzmaßnahmen.
Zur wirksamen Umsetzung des Konzepts sind klare Verhaltensregeln für alle Sicherheitszonen festzulegen und zu kommunizieren. Es ist essentiell, dass jede Person, die Zugang zu diesen geschützten Bereichen hat, über die geltenden Regeln informiert wird.
Parallel dazu ist ein effizientes Zutrittskontrollsystem zu implementieren, das nicht nur die Vergabe von Zugangsberechtigungen regelt, sondern auch deren Entzug bei Bedarf ermöglicht. Ergänzend müssen Richtlinien für den Umgang mit Besuchern etabliert werden, die Aspekte wie Registrierung und notwendige Begleitung beinhalten. Ebenso ist der Umgang mit mobilen IT-Geräten und Datenträgern innerhalb der Sicherheitszonen zu regeln, einschließlich Vorschriften zur Registrierung und Kennzeichnung.
Für Netzwerke und Infrastrukturkomponenten, die kritische Informationen verarbeiten oder speichern, gilt es, zusätzliche Schutzmechanismen vor unbefugtem Zugriff zu implementieren. Dies bezieht sich sowohl auf physische als auch auf IT-basierte Sicherheitsmaßnahmen.
Besonderes Augenmerk ist auf externe Liegenschaften zu legen, die zur Lagerung oder Verarbeitung von Informationswerten genutzt werden. Diese Standorte müssen ebenfalls nach den vorgegebenen Sicherheitsstandards des Unternehmens gesichert und in das Gesamtkonzept integriert werden.
Besitzt das Unternehmen Bereiche mit besonders hohem Schutzbedarf, so sind Maßnahmen gegen einfaches Mithören oder Einsichtnehmen strikt umzusetzen. Dies könnte etwa durch schalldichte Wände oder Blickschutzvorrichtungen geschehen.
Insgesamt bedarf die Implementierung und Aufrechterhaltung von Sicherheitszonen einer kontinuierlichen Überprüfung und Anpassung, um den Schutz von Informationswerten dauerhaft zu gewährleisten und den Anforderungen des TISAX-Labels gerecht zu werden.
