ISO 27001 en fysieke toegangscontrole
ISO 27001 is de internationale norm voor informatiebeveiliging. Hoewel de norm primair gericht is op informatiebeveiliging, bevat Annex A expliciete beheersmaatregelen voor fysieke beveiliging en toegangscontrole. Voor organisaties die gecertificeerd zijn of willen worden, legt dit concrete verplichtingen op aan de facilitaire dienstverlening.
Nederlandse context
In Nederland is ISO 27001-certificering wijdverbreid in de IT-sector, financiële dienstverlening, zorg en overheid. De norm is beschikbaar via NEN als NEN-EN-ISO/IEC 27001. De certificering wordt uitgevoerd door geaccrediteerde instanties als BSI, TÜV, DNV en Kiwa. De overheid hanteert de Baseline Informatiebeveiliging Overheid (BIO) die gebaseerd is op ISO 27001.
Kernbegrippen
- Annex A
- Bijlage bij ISO 27001 die een catalogus bevat van beheersmaatregelen, waaronder fysieke beveiligingsmaatregelen in sectie A.7 (ISO 27001:2022).
- Statement of Applicability
- Document waarin de organisatie per beheersmaatregel uit Annex A aangeeft of deze van toepassing is en hoe deze is ingevuld.
- Fysieke beveiligingsperimeter
- De buitengrens van het beveiligde gebied, zoals de buitenmuur, toegangshekken en de receptie.
- Clear desk/clear screen
- Beleidsregel dat werkplekken en schermen leeg worden achtergelaten om onbevoegde toegang tot informatie te voorkomen.
Wat de wet vereist
ISO 27001:2022 behandelt fysieke beveiliging in Annex A, sectie A.7. Beheersmaatregel A.7.1 vereist dat fysieke beveiligingsperimeters zijn gedefinieerd en beschermd. A.7.2 stelt dat toegang tot gebouwen en ruimtes waar informatie wordt verwerkt, is beperkt tot bevoegde personen. A.7.3 vereist beveiliging van kantoren, ruimtes en faciliteiten. A.7.4 schrijft bewaking van de fysieke beveiliging voor.
Voor de facility manager betekent dit concreet: er moet een gedocumenteerd toegangsbeleid zijn, het zonemodel moet aansluiten bij de informatieclassificatie, toegangslogs moeten worden bijgehouden en periodiek gereviewed, en de fysieke beveiliging moet worden getest. Bij een ISO 27001-audit wordt gecontroleerd of de fysieke maatregelen daadwerkelijk functioneren — een deur met een kaartlezer die permanent open staat, is een bevinding.
De samenwerking met de CISO of informatiebeveiligingsfunctionaris is essentieel. FM levert de fysieke maatregelen, de CISO bepaalt het vereiste beveiligingsniveau op basis van de risicoanalyse. Neem fysieke beveiliging op als vast agendapunt in het informatiebeveiligingsoverleg en zorg dat wijzigingen in de fysieke omgeving (verbouwingen, verhuizingen) worden beoordeeld op informatiebeveiligingsimpact.
Verwante onderwerpen
Volg het laatste nieuws over dit onderwerp via Toegangscontrole op FM Radar →