11 Physische und umgebungsbezogene Sicherheit
11 Physische und umgebungsbezogene Sicherheit
Da die automIT AG derzeit in den eigenen Büroräume über kein Rechenzentrum oder technische Räumlichkeiten verfügt, sondern Remote bzw. vor Ort beim Kunden arbeitet, sind hier nur eingeschränkte Regelungen erforderlich. Trotzdem betreibt die automIT Dienste in Rechenzentren, die nicht im Eigentum der automIT stehen sondern es werden Dienstleistungen aus Cloud Diensten bezogen. Diese werden nur von Cloud Dienstleistern bezogen, die zertifiziert, geprüft und die unten beschriebenen Standards erfüllen.
Die Vorgaben beim Kunden sind von den Beschäftigungen in vollem Umfang einzuhalten.
Sollte sich dieser Zustand ändern und ein eigenes Rechenzentrum oder eigene technische Räumlichkeiten betrieben werden, sind entsprechend Regelungen anzupassen.
Zweck der Richtlinie
Die physische Sicherheitsrichtlinie soll sicherstellen, dass alle Räumlichkeiten, Systeme und Geräte des Unternehmens physisch gegen unbefugten Zugriff, Diebstahl, Beschädigung, Sabotage und Umweltschäden geschützt sind. Ziel ist es, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und IT-Systemen des Unternehmens zu gewährleisten.
Geltungsbereich
Die physische Sicherheitsrichtlinie gilt für alle Mitarbeiter, Auftragnehmer und Besucher, die auf die Räumlichkeiten, Systeme und Geräte des Unternehmens zugreifen. Sie gilt auch für externe Dienstleister, die Zugriff auf die Systeme des Unternehmens haben.
Verantwortlichkeiten
Die Geschäftsführung ist für die Umsetzung der physischen Sicherheitsrichtlinie verantwortlich. Sie muss sicherstellen, dass alle Mitarbeiter, Auftragnehmer und Besucher über die Richtlinie informiert werden und sich daran halten. Jeder Mitarbeiter ist verpflichtet, die Sicherheitsmaßnahmen einzuhalten und Verstöße unverzüglich zu melden.
Zugangskontrolle
Zugang zu den Räumlichkeiten und Systemen des Unternehmens darf nur autorisierten Personen gewährt werden. Der Zugang ist durch geeignete Maßnahmen wie Schlüssel, Karten, Biometrie oder Passwörter zu kontrollieren. Die Zugangskontrolle ist auf die minimal erforderlichen Berechtigungen zu beschränken.
Überwachung
Die Räumlichkeiten und Systeme des Unternehmens sind durch Überwachungskameras und Alarmsysteme zu schützen. Die Überwachung ist so einzurichten, dass unbefugtes Betreten, Diebstahl und Vandalismus erkannt und gemeldet werden können. Die Überwachungsdaten sind vertraulich zu behandeln und nur autorisierten Personen zugänglich zu machen.
Umweltschutz
Die Räumlichkeiten und Systeme des Unternehmens sind gegen Umweltschäden wie Feuer, Wasser und Staub zu schützen. Dazu sind geeignete Maßnahmen wie Feuerlöscher, Rauchmelder, Wasserschutzsysteme und Klimaanlagen zu installieren und regelmäßig zu überprüfen. Alle Mitarbeiter sind aufgefordert, sorgsam mit den Geräten umzugehen und Umweltschäden zu vermeiden.
Datenträgerentsorgung
Datenträger wie Festplatten, USB-Sticks und CDs müssen vor der Entsorgung oder Wiederverwendung sicher gelöscht oder physisch zerstört werden, um ein unbefugtes Auslesen von Daten zu verhindern. Siehe Richtlinie zu Datenträger.
Externe Dienstleister
Externe Dienstleister, die Zugriff auf die Systeme des Unternehmens haben, müssen sich an die physische Sicherheitsrichtlinie halten und entsprechende Maßnahmen ergreifen, um die Sicherheit zu gewährleisten.
Schulungen und Sensibilisierung
Alle Mitarbeiter, Auftragnehnehmer und Besucher des Unternehmens sind verpflichtet, regelmäßig an Schulungen und Sensibilisierungsmaßnahmen teilzunehmen, um sich über die physischen Sicherheitsmaßnahmen des Unternehmens zu informieren und ihr Bewusstsein für die Bedeutung der Sicherheit zu erhöhen.
Prüfung und Überprüfung
Die physische Sicherheitsrichtlinie wird regelmäßig von der Geschäftsführung überprüft und aktualisiert, um sicherzustellen, dass sie den aktuellen Bedrohungen und Anforderungen entspricht. Die Einhaltung der Richtlinie wird durch interne und externe Überprüfungen sowie Audits überwacht.
Schlussfolgerung
Die physische Sicherheitsrichtlinie ist ein wesentlicher Bestandteil des Informationssicherheitsmanagementsystems (ISMS) des Unternehmens, das derzeit im Aufbau ist. Sie dient dazu, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und IT-Systemen durch geeignete physische Sicherheitsmaßnahmen zu gewährleisten. Alle Mitarbeiter, Auftragnehmer und Besucher des Unternehmens sind aufgefordert, sich an die Richtlinie zu halten und aktiv zur Sicherheit des Unternehmens beizutragen.