Do I need this policy even as a cloud-only company?

Yes. Even if you run no servers on-premises, you have offices, equipment, storage media and people working outside the office. Controls A 7.7 (clear desk/screen), A 7.9 (off-premises security), A 7.10 (storage media) and A 7.14 (secure disposal) apply to every organisation. The scope of the policy just becomes leaner.

A double-door airlock where the inner door opens only after the outer door is closed. The template requires them for sensitive areas like data centres (Section 4). They prevent tailgating — an unauthorised person slipping through directly behind an authorised one.

How often do fire drills need to happen?

The template says “at planned intervals.” In many jurisdictions, annual evacuation drills are the minimum legal requirement. For data centres, a semi-annual schedule is recommended.

Does clear desk apply at home?

Yes. The template states this explicitly: home workplaces must meet the same clear desk and clear screen standards. That means: sensitive documents in a lockable cabinet, laptop secured with a cable lock or locked drawer, screen lock when stepping away.

What do I do with a damaged device that contains sensitive data?

The template requires a risk assessment: if the device contains sensitive data and is damaged, it is evaluated whether physical destruction makes more sense than repair or standard disposal. Hard drives from damaged laptops are destroyed separately and documented.

Do I need a key management process?

Yes. Section 4 of the template requires a comprehensive key management process for all physical keys and access codes: issuance, tracking, return, annual key audit. A key logbook or electronic register is mandatory.

Physical Security Policy · Cenedril Wiki

The physical security policy is the most comprehensive single document in your ISMS. With 14 controls (A 7.1 through A 7.14), it covers everything you can touch: buildings, rooms, equipment, cables, keys, storage media and even the printer at the end of the corridor. Physical security is often underestimated because it seems less dramatic than cyber attacks — yet many of the most consequential security incidents start with an open door.

BSI IT-Grundschutz dedicates several modules to the topic: INF.1 (Generic Building), INF.2 (Data Centre and Server Room), INF.7 (Office Workplace) and more. Further down you will find the complete template.

What does the policy cover?

The template is structured in three layers of protection:

Buildings and perimeters (A 7.1, A 7.5, A 7.11, A 7.12) — Security perimeters with no gaps, alarmed fire doors, lightning protection, redundant power supply (UPS + diesel), separated cable routes for power and data, underground routing where possible.

Rooms and areas (A 7.2, A 7.3, A 7.4, A 7.6, A 7.7) — Entry controls with badges and biometrics, mantraps for data centres, visitor management (identity check, escort, visitor log), CCTV monitoring of sensitive areas, clear desk and clear screen, secure area rules (no recording devices, minimum two persons present).

Equipment and media (A 7.8, A 7.9, A 7.10, A 7.13, A 7.14) — Siting in climate-controlled rooms, viewing angle protection against shoulder surfing, off-premises protection (no unattended laptop in public, remote wipe, privacy filters), storage media lifecycle from acquisition to destruction, maintenance programmes with manufacturer intervals, DIN 66399-compliant disposal.

What auditors focus on

From ISO 27001 audit experience, four areas receive the most attention:

Visitor management. Is there a visitor log? Is identity verified? Are visitors escorted? The template requires all three: identity verification through government-issued ID, date and time of entry and departure recorded, security briefing before entering the area, and escort at all times.

Clear desk. Sensitive documents lying open on desks? Screens unlocked? Printer output sitting in the tray for hours? Auditors look for these during walkthroughs. The template defines eight concrete rules — from locked cabinets to automatic screen lock to a “final sweep” when vacating the premises.

Maintenance records. Every maintenance activity must be documented: date, work performed, parts replaced, identity of the technician. External technicians are escorted and sign a confidentiality agreement. Remote maintenance is authorised, logged and terminated on completion.

Disposal. Hard drives in the bin are a guaranteed finding. The template requires destruction in accordance with DIN 66399 (security level depending on classification), a documented disposal log and — for external disposal providers — contractual confidentiality clauses and audit rights.

How to roll it out

01

Walk-through and risk assessment

Walk every building and every room that contains information processing systems, storage media or classified information. Document the current state: where do entry controls exist? Where are they missing? What about fire protection, climate control, UPS and cabling? The risk assessment determines which sections of the template are relevant to you.
02

Define security zones

The template works with perimeters: an outer perimeter (building shell) and inner perimeters (secure areas such as server rooms, archives). Draw the zones on a floor plan and define the entry rules, authentication mechanisms and monitoring measures for each zone.
03

Set up key and entry control system

The template requires a key management process: key logbook or electronic register, defined issuance and return processes, annual key audit. For secure areas: an entry control system with logging and real-time alerting on anomalous access.
04

Adapt the template

Remove what does not apply. No data centre? Sections on mantraps, fire suppression systems and climate control drop out. No loading dock? Remove Section 4.3. What remains must reflect your actual premises — not a fictional high-security building.
05

Training and walkthroughs

Clear desk works only when everyone knows the rules. Communicate the eight rules from Section 9, provide lockable cabinets, and conduct regular announced and unannounced walkthroughs. The first walkthrough is a good opportunity to remind people of the new rules — not to punish non-compliance.

Where it goes wrong in practice

1. Tailgating. The most common physical security gap: an authorised person opens the door, an unauthorised person follows right behind. Fix: awareness training, turnstiles or mantraps for sensitive areas, a culture of politely asking for identification.

2. Keys not returned. Former employees still hold building keys. Without an annual key audit, nobody notices. The template links key return to the offboarding process in the HR security policy.

3. Server room as storage room. The server room has entry controls, but inside there are cardboard boxes, old furniture and the facility manager’s kettle. Fire load and unauthorised equipment access in one.

4. Disposal via the dustbin. Hard drives, USB sticks or printed contracts in the regular waste. The template requires DIN 66399-compliant destruction and a documented disposal record.

5. No environmental monitoring. Temperature and humidity in the server room are not monitored. In summer, the temperature rises, equipment overheats. The template requires real-time monitoring with threshold alerts.

Template: Physical Security Policy

Dokumentenkontrolle
Eigentümer: [RICHTLINIEN_EIGENTÜMER_ROLLE, z. B. Informationssicherheitsbeauftragte/r]
Genehmigt von: [GENEHMIGER_NAME_UND_ROLLE]
Version: [VERSION]
Gültig ab: [GÜLTIGKEITSDATUM]
Nächste Überprüfung: [NÄCHSTES_ÜBERPRÜFUNGSDATUM]

1. Rechtliche/Regulatorische Grundlage

ISO/IEC 27001:2022 / ISO/IEC 27002:2022, Anhang A — Physische Maßnahmen:

A 7.1 — Physische Sicherheitsperimeter
A 7.2 — Physischer Zutritt
A 7.3 — Sicherung von Büros, Räumen und Einrichtungen
A 7.4 — Physische Sicherheitsüberwachung
A 7.5 — Schutz vor physischen und umweltbezogenen Bedrohungen
A 7.6 — Arbeiten in Sicherheitsbereichen
A 7.7 — Aufgeräumter Schreibtisch und Bildschirm
A 7.8 — Platzierung und Schutz von Geräten
A 7.9 — Sicherheit von Werten außerhalb der Räumlichkeiten
A 7.10 — Speichermedien
A 7.11 — Versorgungseinrichtungen
A 7.12 — Verkabelungssicherheit
A 7.13 — Wartung von Geräten
A 7.14 — Sichere Entsorgung oder Wiederverwendung von Geräten

BSI IT-Grundschutz:

INF.1 (Allgemeines Gebäude)
INF.2 (Rechenzentrum und Serverraum)
ORP.4 (Identitäts- und Berechtigungsmanagement)
INF.7 (Büroarbeitsplatz)
INF.5 (Raum oder Schrank für technische Infrastruktur)
SYS.2.1 (Allgemeiner Client)
INF.8 (Häuslicher Arbeitsplatz)
INF.9 (Mobiler Arbeitsplatz)
CON.7 (Informationssicherheit auf Auslandsreisen)
SYS.4.5 (Wechseldatenträger)
CON.6 (Löschen und Vernichten von Daten und Geräten)
INF.12 (Verkabelung)
INF.11 (Allgemeines Fahrzeug)
INF.13 (Technisches Gebäudemanagement)

Weitere jurisdiktionsspezifische Gesetze — insbesondere Arbeitsschutzrecht, Bauordnungen, Brandschutzvorschriften, Datenschutzrecht (für Videoüberwachung und Zugangsprotokollierung) und Betriebsverfassungsgesetz — sind im Rechtsregister aufgeführt und werden durch Verweis einbezogen.

2. Zweck & Geltungsbereich

Diese Richtlinie definiert die physischen und umweltbezogenen Sicherheitsmaßnahmen zum Schutz der Räumlichkeiten, Einrichtungen, Geräte und Informationswerte von [IHR_ORGANISATIONSNAME]. Sie deckt physische Sicherheitsperimeter, Zutrittskontrollen, Büro- und Raumsicherheit, Überwachung, Schutz vor Umweltgefahren, Arbeiten in Sicherheitsbereichen, Aufgeräumter-Schreibtisch- und Bildschirm-Praktiken, Geräteplatzierung, Sicherheit von Werten außerhalb der Räumlichkeiten, Management von Speichermedien, Versorgungseinrichtungen, Verkabelung, Gerätewartung und sichere Entsorgung ab.

Die Richtlinie gilt für alle Gebäude, Räume und Einrichtungen, die von der Organisation besessen, gemietet oder betrieben werden und die Informationsverarbeitungssysteme, Speichermedien oder Personen beherbergen, die klassifizierte Informationen handhaben. Sie ist für alle Beschäftigten, Auftragnehmer, Besucher und Drittanbieter mit physischem Zugang zu den Räumlichkeiten der Organisation verbindlich.

3. Physische Sicherheitsperimeter (A 7.1)

Sicherheitsperimeter werden definiert und zum Schutz von Bereichen verwendet, die Informationen und andere zugehörige Werte enthalten. Die Gebäudesicherheitsplanung deckt den gesamten Lebenszyklus einer Einrichtung ab, von der Standortwahl über Design, Bau, Betrieb bis zur Außerbetriebnahme. Perimetergrenzen werden dokumentiert und bei Änderungen der Raumaufteilung überprüft. Für Rechenzentren und Serverräume werden dedizierte Brandabschnitte mit angemessenem Feuerwiderstand aufrechterhalten.

Perimeterdefinition & Standortwahl: Sicherheitsperimeter werden auf Grundlage einer Risikobewertung definiert. Standort und Stärke jedes Perimeters spiegeln die Informationssicherheits- und Datenschutzanforderungen der innerhalb des Perimeters befindlichen Werte wider. Perimetergrenzen sind im Gebäudesicherheitsplan dokumentiert und werden jährlich überprüft.
Physische Stabilität: Alle Gebäude und Standorte mit Informationsverarbeitungseinrichtungen verfügen über physisch stabile Perimeter ohne Lücken oder Einbruchschwachstellen. Außenwände, Dächer, Decken und Böden sind von solider Bauart. Alle Außentüren sind gegen unbefugten Zugang durch Kontrollmechanismen wie Gitter, Alarme und Schlösser geschützt. Türen und Fenster sind bei Abwesenheit verschlossen, und ebenerdige Fenster erhalten externen Schutz. Lüftungspunkte werden bewertet und gegen unbefugten Zutritt gesichert.
Sicherheit von Brandschutztüren: Alle Brandschutztüren am Sicherheitsperimeter sind alarmgesichert, überwacht und werden in Verbindung mit den angrenzenden Wänden getestet, um das erforderliche Widerstandsniveau gemäß geltenden Brandschutzstandards zu bestätigen. Brandschutztüren arbeiten ausfallsicher und erhalten sowohl Brandabschottung als auch Sicherheitsintegrität.

4. Physische Zutrittskontrollen (A 7.2)

Sicherheitsbereiche sind durch angemessene Zutrittskontrollen geschützt, um sicherzustellen, dass nur autorisierten Personen der Zugang gestattet wird. Physische Zutrittsrechte werden gemäß dem Zugriffsmanagement-Prozess provisioniert, periodisch überprüft, aktualisiert und widerrufen (siehe Zugriffskontroll-Richtlinie). Ein umfassender Schlüsselmanagement-Prozess regelt die Ausgabe, Verfolgung und Rückgabe aller physischen Schlüssel und Authentifizierungstoken. Feuerübungen und Evakuierungsübungen werden in geplanten Intervallen durchgeführt.

4.1 Allgemeine Zutrittskontrollen

Nur autorisierte Personen: Der Zugang zu Standorten und Gebäuden ist auf autorisierte Personen beschränkt. Physische Zutrittsrechte werden über einen formalen Autorisierungsprozess provisioniert, periodisch überprüft, bei Rollenwechseln aktualisiert und bei Austritt oder Rollenwechsel widerrufen (siehe Zugriffskontroll-Richtlinie).
Zutrittsprotokollierung: Ein physisches Logbuch oder ein elektronischer Audit-Trail erfasst alle Zutrittsereignisse. Protokolle werden sicher geführt, auf Anomalien überwacht und gegen Manipulation, unbefugten Zugriff und Löschung geschützt (siehe Richtlinie zum IT-Betrieb).
Authentifizierungsmechanismen: Ein dokumentierter Prozess und technische Mechanismen regeln den Zugang zu Bereichen, in denen Informationen verarbeitet oder gespeichert werden. Authentifizierungsmechanismen umfassen Zutrittskarten, Biometrie oder Zweifaktor-Authentifizierung, etwa eine Zutrittskarte in Kombination mit einer geheimen PIN. Doppelte Sicherheitstüren (Mantraps) werden für den Zugang zu sensiblen Bereichen wie Rechenzentren verwendet.
Empfang & Überwachung: Ein mit Personal besetzter Empfangsbereich oder gleichwertige Mittel kontrollieren den physischen Zutritt zu jedem Standort und Gebäude. Empfangspersonal verifiziert die Identität, bevor Einlass gewährt wird.
Inspektion persönlicher Gegenstände: Persönliche Gegenstände von Personen und interessierten Parteien werden beim Ein- und Austritt inspiziert und geprüft, wo die Risikobewertung dies rechtfertigt.
Sichtbare Kennzeichnung: Alle Personen und interessierten Parteien tragen jederzeit sichtbare Kennzeichnung auf dem Gelände. Sicherheitspersonal wird unverzüglich benachrichtigt, wenn unbegleitete Besucher oder Personen ohne sichtbare Kennzeichnung angetroffen werden. Leicht unterscheidbare Ausweise differenzieren festangestellte Beschäftigte, Lieferanten und Besucher.
Lieferantenzutritt: Personal von Lieferanten erhält nur bei betrieblicher Notwendigkeit eingeschränkten Zugang zu Sicherheitsbereichen oder Informationsverarbeitungseinrichtungen. Solcher Zutritt wird formal autorisiert und während des gesamten Besuchs überwacht.
Gebäude mit mehreren Mietern: Wenn ein Gebäude Werte für mehrere Organisationen beherbergt, erhält die physische Zutrittssicherheit besondere Aufmerksamkeit. Zutrittskontrollen verhindern, dass Personen eines Mieters die Sicherheitsbereiche eines anderen Mieters betreten.
Skalierbare Sicherheitsmaßnahmen: Physische Sicherheitsmaßnahmen sind so gestaltet, dass sie bei erhöhter Wahrscheinlichkeit physischer Vorfälle verstärkt werden können, etwa bei erhöhter Bedrohungslage oder nach Sicherheitsvorfällen.
Sicherheit von Notausgängen: Notausgänge und andere sekundäre Zugangspunkte wie Feuertreppen, Laderampen und Kellerzugänge sind gegen unbefugte Nutzung gesichert und bleiben gleichzeitig für Notausstieg in Übereinstimmung mit den Brandschutzvorschriften funktionsfähig.
Schlüsselmanagement: Ein Schlüsselmanagement-Prozess regelt alle physischen Schlüssel und Authentifizierungsinformationen, einschließlich Schlosscodes und Zahlencodes für Büros, Räume, Einrichtungen und Schlüsselschränke. Ein Schlüsselbuch oder ein jährliches Schlüsselaudit verfolgt Ausgabe, Rückgabe und aktuelle Inhaber. Der Zugriff auf physische Schlüssel und Authentifizierungsinformationen wird kontrolliert.

4.2 Besuchermanagement

Identitätsprüfung von Besuchern: Die Identität jedes Besuchers wird vor der Gewährung des Zutritts mit angemessenen Mitteln authentifiziert. Gültige amtliche Lichtbildausweise werden geprüft und erfasst.
Besucherprotokoll: Datum und Uhrzeit von Ankunft und Abreise jedes Besuchers werden in einem Besucherprotokoll erfasst. Aufzeichnungen werden gemäß dem Aufbewahrungsplan der Organisation aufbewahrt.
Autorisierter Zweck & Einweisung: Besuchern wird Zutritt nur zu bestimmten, autorisierten Zwecken gewährt. Jeder Besucher erhält vor dem Betreten Anweisungen zu den Sicherheitsanforderungen des besuchten Bereichs und zu Notfallverfahren.
Besucheraufsicht: Alle Besucher werden jederzeit beaufsichtigt, sofern nicht eine ausdrückliche, dokumentierte Ausnahme von einer autorisierten Person genehmigt wurde.

4.3 Anlieferungs- & Ladebereiche

Eingeschränkter Außenzugang: Der Zugang zu Anlieferungs- und Ladebereichen von außerhalb des Gebäudes ist auf identifizierte und autorisierte Personen beschränkt. Lieferfahrer betreten keine internen Gebäudebereiche.
Bereichsgestaltung: Anlieferungs- und Ladebereiche sind so gestaltet, dass Lieferungen be- und entladen werden können, ohne dass Lieferpersonal unbefugten Zugang zu anderen Gebäudeteilen erhält.
Türverriegelung: Die Außentüren von Anlieferungs- und Ladebereichen sind gesichert, wenn Türen zu eingeschränkten internen Bereichen geöffnet werden, um das gleichzeitige Öffnen beider Türsätze zu verhindern.
Eingangsprüfung: Eingehende Lieferungen werden auf Sprengstoffe, Chemikalien oder andere gefährliche Materialien geprüft und untersucht, bevor sie vom Anlieferungs- und Ladebereich in das Gebäude gebracht werden.
Lieferungsregistrierung: Eingehende Lieferungen werden gemäß Asset-Management-Verfahren beim Eintreffen am Standort registriert. Aufzeichnungen enthalten Absender, Inhalt, Datum und Empfänger.
Trennung von Sendungen: Ein- und ausgehende Sendungen werden, wo möglich, physisch getrennt, um Vermischung zu vermeiden und das Risiko von Austausch oder Diebstahl zu reduzieren.
Manipulationsprüfung: Eingehende Lieferungen werden auf Anzeichen von Manipulation während des Transports untersucht. Festgestellte Manipulationen werden dem Sicherheitspersonal umgehend zur Untersuchung gemeldet.

5. Sicherung von Büros, Räumen & Einrichtungen (A 7.3)

Die physische Sicherheit für Büros, Räume und Einrichtungen wird entworfen und umgesetzt, um Informationen und zugehörige Werte vor unbefugtem Zugriff, Beschädigung und Störung zu schützen. Die Raumauswahl berücksichtigt die Sensibilität der darin durchgeführten Aktivitäten, und Räume mit Informationsverarbeitungsgeräten werden von öffentlichen Bereichen getrennt. Räume für technische Infrastruktur (Serverräume, Netzverteilerräume) erhalten erhöhten Schutz einschließlich verstärkter Türen, Klimatisierung und eingeschränktem Zutritt.

Standortwahl kritischer Einrichtungen: Kritische Einrichtungen werden so platziert, dass öffentlicher Zugang vermieden wird. Standorte werden so gewählt, dass die Exposition gegenüber unbefugter Beobachtung, gelegentlichem Fußgängerverkehr und externen Bedrohungen minimiert wird.
Unauffällige Gebäude: Wo anwendbar, sind Gebäude unauffällig und geben keinen Hinweis auf ihren Zweck. Weder außen noch innen weisen offensichtliche Schilder auf das Vorhandensein von Informationsverarbeitungsaktivitäten hin.
Verhinderung von Sicht- & Hörbarkeit: Einrichtungen sind so konfiguriert, dass vertrauliche Informationen oder Aktivitäten nicht von außen sicht- oder hörbar sind. Elektromagnetische Abschirmung wird angewendet, wo die Risikobewertung dies rechtfertigt.
Einschränkung von Verzeichnissen & Karten: Verzeichnisse, interne Telefonbücher und Online-Karten, die die Standorte vertraulicher Informationsverarbeitungseinrichtungen ausweisen, sind nicht ohne Weiteres für unbefugte Personen verfügbar. Der Zugriff auf solche Informationen ist auf Personen mit nachgewiesenem Need-to-know beschränkt.

6. Physische Sicherheitsüberwachung (A 7.4)

Die Räumlichkeiten werden kontinuierlich auf unbefugten physischen Zutritt überwacht. Überwachungssysteme werden in Übereinstimmung mit geltenden Datenschutzvorschriften und Anforderungen an den Arbeitsplatzschutz entworfen, installiert und gewartet. Videoaufzeichnungen und Alarmprotokolle werden für einen definierten Zeitraum aufbewahrt und nach Sicherheitsvorfällen überprüft.

Videoüberwachung: Geschlossene TV-Systeme (CCTV) oder gleichwertige Videoüberwachungssysteme sind installiert, um den Zutritt zu sensiblen Bereichen sowohl innerhalb als auch außerhalb der Räumlichkeiten der Organisation zu beobachten und aufzuzeichnen. Kameraposition, Aufzeichnungsaufbewahrung und der Zugriff auf Aufnahmen sind dokumentiert und entsprechen der geltenden Datenschutzgesetzgebung.
Einbrucherkennung: Kontakt-, Geräusch- oder Bewegungsmelder werden gemäß relevanten Standards installiert und periodisch getestet. Dazu gehören Tür- und Fensterkontaktmelder, Infrarot-Bewegungsmelder und Glasbruchmelder, die Einbruchsalarme auslösen, um Sicherheitspersonal zu warnen.
Alarmabdeckung: Alarme decken alle Außentüren und zugänglichen Fenster ab. Unbelegte Bereiche sind jederzeit alarmgesichert. Zusätzliche Abdeckung erstreckt sich auf kritische Bereiche wie Computerräume, Kommunikationsräume und Archivlager.

7. Schutz vor physischen & umweltbezogenen Bedrohungen (A 7.5)

Der Schutz vor physischen und umweltbezogenen Bedrohungen wird auf Grundlage einer Risikobewertung entworfen und umgesetzt, die die geografische Lage, Gebäudeeigenschaften und das Umfeld berücksichtigt. Der Brandschutz folgt geltenden Bauordnungen und umfasst Rauchmelder, Handfeuerlöscher und Brandbekämpfungssysteme. Rechenzentren enthalten dedizierte Brandabschnitte, unterbrechungsfreie Stromversorgungen und Notabschaltverfahren.

7.1 Standortwahl & Risikobewertung

Topografische Risiken: Standortwahl und Risikobewertungen berücksichtigen die lokale Topografie, einschließlich angemessener Höhe über Überschwemmungsgebieten, der Nähe zu Gewässern und des Abstands zu tektonischen Verwerfungslinien.
Urbane & standortbezogene Risiken: Standortwahl und Risikobewertungen bewerten urbane Bedrohungen, einschließlich der Frage, ob der Standort ein hohes Profil hat, das politische Unruhen, kriminelle Aktivitäten oder Terroranschläge anziehen könnte. Standorte mit erhöhtem Bedrohungsprofil erhalten zusätzliche physische Gegenmaßnahmen.

7.2 Bedrohungsspezifische Maßnahmen

Brandschutz: Brandmeldeanlagen werden installiert und so konfiguriert, dass Brände frühzeitig erkannt werden und Alarme oder Brandbekämpfungssysteme ausgelöst werden. Die Brandbekämpfung verwendet das für die Umgebung am besten geeignete Mittel — gasbasierte Löschsysteme in geschlossenen Räumen wie Serverräumen, wasserbasierte Systeme in allgemeinen Bereichen. Handfeuerlöscher sind an zugänglichen Stellen in allen Gebäuden platziert. Feuerübungen werden in geplanten Intervallen durchgeführt.
Hochwasserschutz: Wassermeldesysteme werden unter den Böden von Bereichen mit Speichermedien oder Informationsverarbeitungssystemen installiert. Wasserpumpen oder gleichwertige Entwässerungsmittel sind verfügbar. Kritische Geräte werden über Bodenniveau gehoben, wo Hochwasserrisiko festgestellt wird.
Überspannungsschutz: Überspannungsschutzsysteme schützen sowohl Server- als auch Client-Informationssysteme gegen elektrische Überspannungen und ähnliche Ereignisse. Blitzschutz wird an allen Gebäuden angewendet, und Blitzschutzfilter werden an allen eingehenden Strom- und Kommunikationsleitungen angebracht.
Sprengstoffe & Waffen: Stichprobenartige Kontrollen auf Sprengstoffe oder Waffen werden bei Personen, Fahrzeugen oder Waren durchgeführt, die sensible Informationsverarbeitungseinrichtungen betreten.
Kriminalprävention: Kriminalprävention durch gestalterische Maßnahmen (CPTED) wird bei Design und Auswahl von Maßnahmen zur Sicherung der Umgebung der Organisation angewendet. Dazu gehören natürliche Überwachung, Zugangskontrolle durch Landschaftsgestaltung, territoriale Verstärkung und Instandhaltung zur Reduzierung urbaner Bedrohungen.

8. Arbeiten in Sicherheitsbereichen (A 7.6)

Sicherheitsmaßnahmen für das Arbeiten in Sicherheitsbereichen werden entworfen und umgesetzt, um Informationen und zugehörige Werte in diesen Bereichen zu schützen. Sicherheitsbereiche umfassen Rechenzentren, Serverräume, Archivräume und jeden Bereich, der aufgrund der Sensibilität der darin enthaltenen Informationen oder Geräte als eingeschränkt ausgewiesen ist.

Need-to-know-Bewusstsein: Personen werden nur auf Need-to-know-Basis über die Existenz oder Aktivitäten in einem Sicherheitsbereich informiert. Standort und Zweck von Sicherheitsbereichen werden nicht an Personen weitergegeben, die keinen betrieblichen Bedarf für deren Zutritt haben.
Beaufsichtigte Arbeit: Unbeaufsichtigte Arbeit in Sicherheitsbereichen wird sowohl aus Sicherheitsgründen als auch zur Reduzierung der Gelegenheit für böswillige Aktivitäten vermieden. Mindestens zwei autorisierte Personen sind bei Arbeiten in Hochsicherheitsbereichen anwesend.
Inspektion leerer Bereiche: Leere Sicherheitsbereiche werden physisch abgeschlossen und periodisch inspiziert, um unbefugten Zutritt, Manipulation oder Umweltanomalien zu erkennen.
Einschränkungen für Aufnahmegeräte: Foto-, Video-, Audio- oder andere Aufnahmegeräte — einschließlich in Endgeräte eingebauter Kameras — sind in Sicherheitsbereichen nicht zulässig, sofern sie nicht ausdrücklich vom Facility Security Manager genehmigt wurden.
Kontrolle von Endgeräten: Das Mitführen und die Nutzung von Endgeräten in Sicherheitsbereichen wird kontrolliert. Geräte sind entweder untersagt, werden am Eingang sicher verwahrt oder unterliegen Inspektions- und Nutzungsbeschränkungen.
Notfallverfahren: Notfallverfahren — einschließlich Fluchtwege, Sammelpunkte und Notfallkontaktnummern — sind in allen Sicherheitsbereichen gut sichtbar oder zugänglich ausgehängt.

9. Aufgeräumter Schreibtisch & Bildschirm (A 7.7)

Regeln für aufgeräumte Schreibtische für Papiere und Wechseldatenträger sowie Regeln für aufgeräumte Bildschirme für Informationsverarbeitungseinrichtungen sind definiert und werden durchgesetzt. Diese Regeln minimieren das Risiko unbefugten Zugriffs, Verlusts oder Beschädigung von Informationen während und außerhalb der normalen Arbeitszeiten. Für häusliche Arbeitsplätze gelten dieselben Aufgeräumter-Schreibtisch- und Bildschirm-Standards.

Sichere Aufbewahrung sensibler Informationen: Sensible oder geschäftskritische Informationen — ob auf Papier oder auf elektronischen Speichermedien — werden in einem Safe, Schrank oder anderen sicheren Möbeln eingeschlossen, wenn sie nicht aktiv benötigt werden, insbesondere wenn das Büro verlassen wird.
Sperrung von Endgeräten: Endgeräte werden durch Schlüsselschlösser oder andere physische Sicherheitsmittel geschützt, wenn sie nicht in Gebrauch oder unbeaufsichtigt sind. Laptops werden mit Kabelschlössern gesichert oder in verschlossenen Schubladen oder Schränken verwahrt.
Bildschirmsperre & automatische Abmeldung: Endgeräte werden abgemeldet oder mit einem durch Benutzerauthentifizierung gesteuerten Bildschirm- und Tastatursperrmechanismus geschützt, wenn sie unbeaufsichtigt sind. Alle Computer und Systeme sind mit einem Sitzungstimeout oder einer automatischen Abmeldefunktion konfiguriert, die nach einer definierten Zeit der Inaktivität aktiv wird.
Abholung von Druckerausgaben: Urheber holen Ausgaben von Druckern oder Multifunktionsgeräten umgehend ab. Es werden Drucker mit Authentifizierungsfunktion verwendet, sodass nur der Urheber Ausdrucke abrufen kann, und nur, wenn er physisch am Drucker anwesend ist.
Entsorgung von Dokumenten & Medien: Dokumente und Wechseldatenträger mit sensiblen Informationen werden während des Gebrauchs sicher aufbewahrt und, wenn nicht mehr benötigt, über sichere Entsorgungsmechanismen wie Kreuzschnittvernichtung oder Degaussing entsorgt.
Konfiguration von Bildschirm-Pop-ups: Regeln und Leitlinien für die Konfiguration von Pop-ups auf Bildschirmen werden aufgestellt und kommuniziert. Neue E-Mail- und Messaging-Benachrichtigungs-Pop-ups werden während Präsentationen, Bildschirmfreigaben oder beim Arbeiten in öffentlichen Bereichen deaktiviert.
Reinigung von Whiteboards & Displays: Sensible oder kritische Informationen auf Whiteboards und anderen Anzeigeflächen werden gelöscht oder entfernt, wenn sie nicht mehr benötigt werden. Besprechungsräume werden nach Gebrauch inspiziert.
Letzte Kontrolle: Vor dem Verlassen oder Räumen der Einrichtungen wird eine letzte Kontrolle durchgeführt, um sicherzustellen, dass keine organisatorischen Werte — insbesondere Dokumente — zurückgelassen werden, einschließlich solcher, die hinter Schubladen oder Möbeln gefallen sein könnten.

10. Platzierung & Schutz von Geräten (A 7.8)

Geräte werden platziert und geschützt, um die Risiken durch physische und umweltbezogene Bedrohungen zu reduzieren und unbefugten Zugang, Beschädigung und Störung zu verhindern. Rechenzentrumsgeräte werden in klimatisierten Umgebungen mit redundanter Kühlung und Brandbekämpfung platziert. Geräte am Büroarbeitsplatz werden so positioniert, dass unbefugte Einsicht minimiert und Diebstahlschutz gewährleistet wird.

Minimierung des Arbeitsbereichszugangs: Geräte werden so platziert, dass unnötiger Zugang zu Arbeitsbereichen minimiert und unbefugter physischer Zugang verhindert wird. Server- und Netzwerkgeräte werden in dedizierten, zugangskontrollierten Räumen platziert.
Schutz vor Einsichtswinkel: Informationsverarbeitungseinrichtungen, die sensible Daten verarbeiten, werden sorgfältig positioniert, um das Risiko zu reduzieren, dass Informationen während der Nutzung von unbefugten Personen eingesehen werden. Bildschirme zeigen von Fenstern, Korridoren und öffentlichen Bereichen weg; Sichtschutzfilter werden bei Bedarf angewendet.
Maßnahmen gegen physische & umweltbezogene Bedrohungen: Maßnahmen minimieren das Risiko potenzieller physischer und umweltbezogener Bedrohungen, einschließlich Diebstahl, Feuer, Sprengstoff, Rauch, Wasser und Wasserversorgungsausfall, Staub, Vibration, chemische Einwirkungen, Stromversorgungsstörungen, Kommunikationsstörungen, elektromagnetische Strahlung und Vandalismus.
Leitlinien für Essen & Trinken: Leitlinien untersagen Essen, Trinken und Rauchen in der Nähe von Informationsverarbeitungseinrichtungen, insbesondere in Serverräumen, Rechenzentren und Räumen der technischen Infrastruktur.
Umweltüberwachung: Umweltbedingungen — einschließlich Temperatur und Feuchtigkeit — werden in Echtzeit auf Bedingungen überwacht, die den Betrieb von Informationsverarbeitungseinrichtungen beeinträchtigen können. Alarme werden bei Überschreiten von Schwellenwerten erzeugt. Rechenzentrumsumgebungen halten Temperatur und Feuchtigkeit innerhalb der vom Hersteller spezifizierten Bereiche.
Blitzschutz: Blitzschutz wird an allen Gebäuden angewendet. Blitzschutzfilter werden an allen eingehenden Strom- und Kommunikationsleitungen angebracht, um Schäden durch elektrische Überspannungen zu verhindern.
Besondere Schutzmethoden: Besondere Schutzmethoden — wie Tastaturmembranen, versiegelte Gehäuse und robuste Ausführungen — werden für Geräte verwendet, die in industriellen, fertigungsbezogenen oder anderen rauen Umgebungen eingesetzt werden.
Schutz vor elektromagnetischer Abstrahlung: Geräte, die vertrauliche Informationen verarbeiten, werden geschützt, um das Risiko von Informationsabfluss durch elektromagnetische Abstrahlung zu minimieren. Abschirmung, Filterung und Emissionsreduktion werden auf Basis der Klassifizierung der verarbeiteten Informationen angewendet.
Trennung von Einrichtungen: Von der Organisation verwaltete Informationsverarbeitungseinrichtungen sind physisch von solchen getrennt, die nicht von der Organisation verwaltet werden. Co-lokierte Geräte verschiedener Organisationen teilen sich ohne dokumentierte Risikoakzeptanz nicht dieselben physischen Gehäuse oder Racks.

11. Sicherheit von Werten außerhalb der Räumlichkeiten (A 7.9)

Werte außerhalb der Räumlichkeiten werden gemäß der Risikobewertung geschützt. Geräte und Speichermedien, die außerhalb der Räumlichkeiten der Organisation mitgeführt werden, unterliegen demselben Schutzniveau wie Werte vor Ort, angepasst an das höhere Risiko der Umgebung außerhalb. Personen, die mit organisatorischen Werten reisen, befolgen die Reisesicherheitsleitlinien. Häusliche Arbeitsplätze erfüllen definierte Sicherheitsstandards, und mobile Arbeitsplätze werden nur in Umgebungen genutzt, die ausreichende Privatsphäre und physischen Schutz bieten.

11.1 Allgemeiner Schutz außerhalb der Räumlichkeiten

Keine unbeaufsichtigten Geräte in der Öffentlichkeit: Geräte und Speichermedien, die außerhalb der Räumlichkeiten mitgeführt werden, werden niemals unbeaufsichtigt an öffentlichen und ungesicherten Orten zurückgelassen. Geräte werden unter persönlicher Aufsicht gehalten oder in verschlossenen Behältern, Hotelsafes oder Fahrzeugkofferräumen gesichert.
Herstelleranweisungen zum Schutz: Die Herstelleranweisungen zum Schutz von Geräten werden jederzeit beachtet, einschließlich des Schutzes vor starken elektromagnetischen Feldern, Wasser, Hitze, Feuchtigkeit und Staub.
Chain of Custody: Wenn Geräte außerhalb der Räumlichkeiten zwischen verschiedenen Personen oder interessierten Parteien übertragen werden, definiert ein Protokoll die Chain of Custody einschließlich der Namen und Organisationen der für das Gerät an jedem Punkt Verantwortlichen. Informationen, die nicht mit dem Asset übertragen werden müssen, werden vor der Übertragung sicher gelöscht.
Entfernungsgenehmigung: Wo notwendig und praktikabel, ist eine Genehmigung für das Entfernen von Geräten und Medien aus den Räumlichkeiten der Organisation erforderlich. Eine Aufzeichnung solcher Entfernungen wird geführt, um einen Audit-Trail bereitzustellen (siehe Richtlinie zum Informationstransfer).
Schutz vor Shoulder Surfing: Auf Gerätebildschirmen angezeigte Informationen werden in öffentlichen Verkehrsmitteln und öffentlichen Räumen vor Einsicht durch unbefugte Personen geschützt. Sichtschutzfilter werden an Laptops und Mobilgeräten verwendet, und die Bildschirmhelligkeit wird angepasst, um die Lesbarkeit von benachbarten Sitzplätzen zu minimieren.
Standortverfolgung & Remote-Wipe: Standortverfolgung und Remote-Wipe-Funktionen sind auf Mobilgeräten und Laptops implementiert. Remote-Wipe wird bei bestätigtem Verlust oder Diebstahl eines Geräts umgehend aktiviert.

11.2 Dauerhafte externe Installationen

Physische Sicherheitsüberwachung: Dauerhafte externe Installationen — wie entfernte Büros, Co-Location-Einrichtungen und externe Lagerorte — unterliegen einer physischen Sicherheitsüberwachung, die den Standards vor Ort gleichwertig ist.
Schutz vor Umweltbedrohungen: Dauerhafte externe Installationen werden nach demselben risikobasierten Ansatz wie die Hauptstandorte vor physischen und umweltbezogenen Bedrohungen geschützt.
Manipulationsschutz: Physische Zugangskontrollen und Manipulationsschutzmechanismen schützen externe Installationen vor unbefugtem physischem Zugang, und Manipulationsanzeichen lösen eine sofortige Untersuchung aus.
Logische Zugangskontrollen: Logische Zugangskontrollen an externen Installationen erfüllen dieselben Anforderungen wie vor Ort, einschließlich Authentifizierung, Autorisierung und Audit-Logging.

12. Speichermedien (A 7.10)

Speichermedien werden über ihren gesamten Lebenszyklus — von der Beschaffung über Nutzung, Transport, Lagerung bis zur Entsorgung — gemäß dem Klassifizierungsschema und den Handhabungsverfahren der Organisation verwaltet. Richtlinien für Wechseldatenträger adressieren die spezifischen Risiken tragbarer Geräte, die leicht verloren oder gestohlen werden können. Informationen auf physisch transportierten Speichermedien werden während des Transports vor unbefugtem Zugriff, Missbrauch und Beschädigung geschützt. Sichere Löschung und Vernichtung folgen dokumentierten Verfahren.

12.1 Wechseldatenträger-Management

Richtlinie für Wechseldatenträger: Eine themenspezifische Richtlinie zum Management von Wechseldatenträgern ist etabliert und wird allen Personen kommuniziert, die Wechseldatenträger nutzen oder handhaben.
Entfernungsgenehmigung: Wo notwendig und praktikabel, ist eine Genehmigung für das Entfernen von Speichermedien aus der Organisation erforderlich. Eine Aufzeichnung solcher Entfernungen wird geführt, um einen Audit-Trail bereitzustellen.
Sichere Lagerumgebung: Alle Speichermedien werden in einer sicheren Umgebung gemäß ihrer Informationsklassifizierung gelagert und gemäß Herstellerspezifikationen vor Umweltbedrohungen wie Hitze, Feuchtigkeit, elektromagnetischen Feldern und Alterung geschützt.
Verschlüsselung: Wenn Vertraulichkeit oder Integrität der Informationen zu berücksichtigen sind, schützen kryptographische Verfahren Informationen auf Wechseldatenträgern. Verschlüsselungsalgorithmen und Schlüssellängen folgen der Kryptographie-Richtlinie.
Mediumerneuerung: Um das Risiko zu mindern, dass Speichermedien degradieren, während die gespeicherten Informationen noch benötigt werden, werden Informationen auf frische Speichermedien übertragen, bevor das ursprüngliche Medium unlesbar wird. Erneuerungspläne sind pro Medientyp dokumentiert.
Redundante Kopien: Mehrere Kopien wertvoller Informationen werden auf getrennten Speichermedien gespeichert, um das Risiko zufälliger Datenbeschädigung oder -verluste zu reduzieren.
Mediumregistrierung: Wechseldatenträger werden in einem Inventar registriert, um das Risiko von Informationsverlust zu reduzieren. Das Register erfasst Medientyp, Klassifizierungsstufe, Verwalter und Standort.
Port-Kontrolle: Wechseldatenträger-Ports — einschließlich SD-Karten-Slots und USB-Ports — werden nur aktiviert, wo ein dokumentierter organisatorischer Grund für ihre Nutzung besteht. Ports werden durch Endgeräte-Management-Tools standardmäßig deaktiviert.
Transferüberwachung: Wo Wechseldatenträger genutzt werden müssen, wird der Transfer von Informationen auf solche Medien über Data-Loss-Prevention-Tools (DLP) oder manuelle Protokollierungsverfahren überwacht.
Schutz beim physischen Transport: Informationen auf Speichermedien während des physischen Transports — einschließlich per Post oder Kurier — werden vor unbefugtem Zugriff, Missbrauch und Beschädigung geschützt. Manipulationssichtbare Verpackung und nachverfolgte Lieferdienste werden für Medien oberhalb der Baseline-Klassifizierung verwendet.

12.2 Sichere Wiederverwendung & Entsorgung

Sichere Wiederverwendung: Speichermedien mit vertraulichen Informationen, die innerhalb der Organisation wiederverwendet werden sollen, werden vor der Wiederverwendung mit genehmigten Werkzeugen sicher gelöscht oder formatiert (siehe Richtlinie zu Datenlöschung, Maskierung und DLP).
Sichere Entsorgung: Speichermedien mit vertraulichen Informationen werden, wenn sie nicht mehr benötigt werden, sicher durch Vernichtung, Schreddern oder sichere Löschung der Inhalte entsorgt. Die Entsorgungsmethode entspricht der Klassifizierungsstufe der Informationen.
Verfahren zur Entsorgungsidentifikation: Verfahren sind etabliert, um Gegenstände zu identifizieren, die sicher entsorgt werden müssen. Diese Verfahren decken alle Medientypen ab — Festplatten, SSDs, USB-Geräte, optische Medien, Bänder und Papierdokumente.
Externe Entsorgungsdienste: Wenn externe Abhol- und Entsorgungsdienste genutzt werden, wird der externe Dienstleister mit angemessenen Maßnahmen und Erfahrung ausgewählt. Verträge enthalten Vertraulichkeitsklauseln, Zertifizierungsanforderungen und Auditrechte.
Entsorgungsprotokollierung: Die Entsorgung sensibler Gegenstände wird protokolliert, um einen Audit-Trail zu führen. Aufzeichnungen umfassen die Beschreibung des Gegenstands, die Entsorgungsmethode, das Datum, die verantwortliche Person und die Bestätigung der Vernichtung.
Aggregationseffekt: Bei der Ansammlung von Speichermedien zur Entsorgung wird der Aggregationseffekt berücksichtigt, bei dem eine große Menge einzeln nicht sensibler Informationen in Kombination sensibel werden kann. Angesammelte Medien, die auf Entsorgung warten, werden sicher aufbewahrt.
Bewertung beschädigter Geräte: Eine Risikobewertung wird bei beschädigten Geräten mit sensiblen Daten durchgeführt, um festzustellen, ob die Gegenstände physisch vernichtet werden, anstatt zur Reparatur gesendet oder entsorgt zu werden (siehe sichere Entsorgung, Abschnitt 16).

13. Versorgungseinrichtungen (A 7.11)

Informationsverarbeitungseinrichtungen werden vor Stromausfällen und anderen Störungen geschützt, die durch Ausfälle in Versorgungseinrichtungen wie Strom, Gas, Wasser, Abwasser, Heizung/Lüftung, Klimatisierung und Telekommunikation verursacht werden. Die Versorgungsinfrastruktur ist mit Redundanz gestaltet, um Verfügbarkeitsanforderungen zu erfüllen. Unterbrechungsfreie Stromversorgungen (USV) und Dieselgeneratoren bieten Notstromversorgung für Rechenzentren und kritische Systeme. Notschalter und Ventile sind in der Nähe von Notausgängen und Geräteräumen installiert.

Einhaltung von Herstellervorgaben: Geräte, die die Versorgungseinrichtungen unterstützen, werden gemäß den Spezifikationen des jeweiligen Herstellers und den geltenden Sicherheitsstandards konfiguriert, betrieben und gewartet.
Kapazitätsplanung: Versorgungseinrichtungen werden regelmäßig auf ihre Fähigkeit zur Erfüllung des Geschäftswachstums bewertet und auf Wechselwirkungen mit anderen Versorgungseinrichtungen untersucht, die Kaskadenausfälle verursachen können.
Inspektion & Tests: Geräte, die die Versorgungseinrichtungen unterstützen, werden regelmäßig inspiziert und getestet, um die ordnungsgemäße Funktion sicherzustellen. USV-Systeme werden in geplanten Intervallen lasttest, und Dieselgeneratoren durchlaufen regelmäßige Start- und Laufzeittests.
Fehlfunktionsalarme: Wo notwendig, erkennen Alarme Versorgungsfehlfunktionen — einschließlich Stromausfällen, Kühlsystemanomalien und Wasserlecks — und benachrichtigen die zuständigen Personen umgehend.
Mehrere Einspeisungen & getrennte Wegführung: Wo notwendig, verfügen Versorgungseinrichtungen über mehrere Einspeisungen mit getrennter physischer Wegführung, um Single Points of Failure zu eliminieren. Strom wird für kritische Einrichtungen aus mindestens zwei unabhängigen Quellen bereitgestellt.
Getrenntes Netz: Geräte, die die Versorgungseinrichtungen unterstützen, befinden sich in einem von den Informationsverarbeitungseinrichtungen getrennten Netz, falls sie an ein Netz angeschlossen sind, um zu verhindern, dass eine Kompromittierung von Gebäudemanagementsystemen IT-Systeme beeinträchtigt und umgekehrt.
Sichere Internetanbindung: Geräte, die die Versorgungseinrichtungen unterstützen, sind nur bei betrieblicher Notwendigkeit und nur über eine gesicherte, überwachte Verbindung mit dem Internet verbunden.
Notbeleuchtung & Notkommunikation: Notbeleuchtung und Notkommunikationssysteme sind in allen belegten Bereichen vorhanden und werden in geplanten Intervallen auf Einsatzbereitschaft getestet.
Notabschaltsteuerungen: Notschalter und -ventile zum Abschalten von Strom, Wasser, Gas oder anderen Versorgungen befinden sich in der Nähe von Notausgängen und Geräteräumen und sind deutlich gekennzeichnet und zugänglich.
Netzwerkanbindungsredundanz: Die Redundanz der Netzwerkanbindung wird durch mehrere Routen von mehr als einem Versorger erreicht, um sicherzustellen, dass der Ausfall eines einzelnen Versorgers die Kommunikation nicht unterbricht.
Notfallkontaktaufzeichnungen: Notfallkontaktdaten für Versorger und interne Notfallreaktionspersonen werden erfasst und bei einem Ausfall allen relevanten Personen zur Verfügung gestellt.

14. Verkabelungssicherheit (A 7.12)

Kabel, die Strom oder Daten führen oder Informationsdienste unterstützen, werden vor Abfangen, Störung, Beschädigung oder Manipulation geschützt. Die Verkabelungsinfrastruktur folgt Standards für Primär- und Sekundärverkabelung, und die Kabeldokumentation wird gepflegt, um schnelle Fehleridentifikation und Infrastrukturänderungen zu ermöglichen. Alle Kabelinstallationen verwenden feuerfeste Materialien in Übereinstimmung mit geltenden Brandschutzvorschriften. Kabelräume sind zugangskontrolliert und werden regelmäßig inspiziert.

Unterirdische oder geschützte Wegführung: Strom- und Telekommunikationsleitungen zu Informationsverarbeitungseinrichtungen werden, wo möglich, unterirdisch geführt oder erhalten angemessenen alternativen Schutz wie Bodenkabelschutz und Oberleitungsmasten. Erdkabel werden mit gepanzerten Rohren oder Anwesenheitsmarkierungen vor versehentlichen Schnitten geschützt.
Kabeltrennung: Stromkabel werden von Kommunikationskabeln getrennt, um elektromagnetische Interferenzen zu vermeiden. Mindestabstände folgen geltenden Verkabelungsstandards.
Gepanzerte Leitungen & gesicherte Endpunkte: Gepanzerte Leitungen, verschlossene Räume und abschließbare Gehäuse mit Alarmen werden an Inspektions- und Anschlusspunkten für sensible oder kritische Systeme installiert.
Elektromagnetische Abschirmung: Elektromagnetische Abschirmung wird angewendet, um Datenkabel für sensible oder kritische Systeme vor Abstrahlung und Interferenz zu schützen.
Durchsuchung & Inspektion: Periodische technische Durchsuchungen und physische Inspektionen erkennen unbefugte an den Kabeln sensibler oder kritischer Systeme angebrachte Geräte. Die Inspektionshäufigkeit basiert auf der Risikobewertung.
Zugang zu Patch-Panels & Kabelräumen: Der Zugang zu Patch-Panels und Kabelräumen wird über mechanische Schlüssel, PINs oder elektronische Zutrittskontrolle gesteuert. Der Zugang ist auf autorisiertes Wartungs- und Netzwerkpersonal beschränkt.
Glasfaserkabel: Glasfaserkabel werden für sensible oder kritische Systeme verwendet, wo das Risiko elektromagnetischen Abfangens oder der Störung ihre Nutzung rechtfertigt.
Kabelbeschriftung: Kabel werden an beiden Enden mit ausreichenden Quell- und Zielangaben beschriftet, um physische Identifikation und Inspektion zu ermöglichen. Die Beschriftung folgt einer dokumentierten Namenskonvention und wird bei Infrastrukturänderungen aktuell gehalten.

15. Wartung von Geräten (A 7.13)

Geräte werden korrekt gewartet, um ihre fortwährende Verfügbarkeit, Integrität und Informationssicherheit zu gewährleisten. Wartungsprogramme werden geplant, dokumentiert und überwacht, um Geräte im vom Hersteller spezifizierten Zustand zu halten. Die Wartung der Rechenzentrumsinfrastruktur folgt einem strukturierten Programm mit dokumentierten Serviceintervallen. Systeme des technischen Gebäudemanagements sind in den Wartungsplan einbezogen.

Hersteller-Serviceplan: Geräte werden gemäß der vom Lieferanten empfohlenen Servicefrequenz und den Spezifikationen gewartet. Wartungsintervalle werden dokumentiert und verfolgt.
Wartungsprogramm: Ein Wartungsprogramm wird von der Organisation umgesetzt und überwacht. Das Programm deckt alle kritischen Geräte ab, legt verantwortliche Parteien fest und verfolgt den Abschluss geplanter Wartungsaktivitäten.
Nur autorisiertes Personal: Nur autorisiertes Wartungspersonal führt Reparaturen und Wartung an Geräten durch. Die Autorisierung wird vor Beginn der Arbeiten verifiziert.
Wartungsaufzeichnungen: Aufzeichnungen über alle vermuteten oder tatsächlichen Fehler sowie alle vorbeugenden und korrektiven Wartungsaktivitäten werden geführt. Die Aufzeichnungen umfassen Daten, durchgeführte Arbeiten, ersetzte Teile und die Identität des Wartungspersonals.
Sicherheitsmaßnahmen bei Wartung: Angemessene Maßnahmen werden umgesetzt, wenn Wartung an Geräten geplant ist, unter Berücksichtigung, ob die Wartung von eigenem Personal oder externen Dienstleistern durchgeführt wird. Externes Wartungspersonal unterzeichnet eine geeignete Vertraulichkeitsvereinbarung.
Vor-Ort-Aufsicht: Wartungspersonal wird bei Wartungsarbeiten vor Ort beaufsichtigt. Die Aufsicht umfasst die Begleitung externer Techniker und die Verifizierung, dass nur autorisierte Arbeiten ausgeführt werden.
Autorisierung der Fernwartung: Der Zugang zur Fernwartung wird autorisiert und kontrolliert. Fernwartungssitzungen werden protokolliert, überwacht und beendet, wenn die Wartungsaufgabe abgeschlossen ist.
Wartung außerhalb der Räumlichkeiten: Wenn Geräte mit Informationen zur Wartung außerhalb der Räumlichkeiten gebracht werden, gelten die Sicherheitsmaßnahmen für Werte außerhalb der Räumlichkeiten. Informationen werden vor dem Verlassen der Räumlichkeiten nach Möglichkeit vom Gerät entfernt.
Einhaltung von Versicherungsbedingungen: Alle von Versicherungspolicen auferlegten Wartungsanforderungen werden erfüllt. Wartungsaufzeichnungen werden Versicherern auf Anfrage zur Verfügung gestellt.
Inspektion nach Wartung: Vor der Wiederinbetriebnahme nach der Wartung werden Geräte inspiziert, um sicherzustellen, dass sie nicht manipuliert wurden und ordnungsgemäß funktionieren. Konfigurations-Baselines werden erneut verifiziert.
Entsorgung am Lebensende: Wenn festgestellt wird, dass Geräte anstelle von Wartung entsorgt werden, gelten die Maßnahmen zur sicheren Entsorgung oder Wiederverwendung von Geräten.

16. Sichere Entsorgung oder Wiederverwendung von Geräten (A 7.14)

Geräte mit Speichermedien werden verifiziert, um sicherzustellen, dass alle sensiblen Daten und lizenzierte Software vor der Entsorgung oder Wiederverwendung entfernt oder sicher überschrieben wurden. Die physische Vernichtung von Speichermedien folgt dokumentierten Verfahren und ist die bevorzugte Methode für Medien, die hochklassifizierte Informationen enthielten. Wenn Einrichtungen geräumt werden, stellt ein Außerbetriebnahme-Prozess sicher, dass keine Restinformationen für nachfolgende Nutzer verbleiben. Dieser Abschnitt liefert die physischen Vernichtungsmaßnahmen, auf die die Datenlöschrichtlinie verweist.

Rückführung der Einrichtung: Beim Räumen einer Einrichtung werden die Anforderungen des Mietvertrags, die Einrichtung in ihren ursprünglichen Zustand zurückzuführen, eingehalten. Alle Informationsverarbeitungsgeräte, Verkabelung, Zutrittskontrollgeräte und Überwachungssysteme werden entfernt oder funktionsunfähig gemacht.
Entfernung von Restinformationen: Das Risiko, Systeme mit sensiblen Informationen für den nächsten Mieter zurückzulassen, wird minimiert. Zugriffslisten, Video- oder Bilddateien, Konfigurationsdaten und alle anderen Informationswerte werden vor der Übergabe der Einrichtung sicher aus allen Systemen, Speichermedien und Netzwerkgeräten gelöscht.
Wiederverwendbarkeit von Maßnahmen: Die Möglichkeit, physische Sicherheitsmaßnahmen — wie Zutrittskontrollhardware, CCTV-Systeme und Alarmanlagen — an der nächsten Einrichtung wiederzuverwenden, wird während der Außerbetriebnahme bewertet. Wiederverwendbare Maßnahmen werden inventarisiert, getestet und sicher transportiert.

17. Rollen & Verantwortlichkeiten

Geschäftsleitung: Genehmigt diese Richtlinie, stellt Ressourcen für die physische Sicherheitsinfrastruktur bereit und stellt die Abstimmung mit Geschäftszielen, rechtlichen Anforderungen und Arbeitsschutzvorschriften sicher.
Informationssicherheitsbeauftragte/r (ISB): Pflegt diese Richtlinie, definiert physische Sicherheitsanforderungen auf Grundlage von Risikobewertungen, koordiniert Perimeterüberprüfungen und überwacht die Einhaltung physischer Sicherheitsmaßnahmen an allen Standorten.
Facility Security Manager: Setzt die in dieser Richtlinie definierten physischen Sicherheitsmaßnahmen um und betreibt sie. Verwaltet Zutrittskontrollsysteme, Besuchermanagement, Schlüsselmanagement, Alarmanlagen, CCTV und Umweltüberwachung. Koordiniert mit dem Gebäudemanagement und externen Sicherheitsdienstleistern.
IT-Betrieb / Rechenzentrumsleitung: Stellt sicher, dass Rechenzentrums- und Serverraumumgebungen die in dieser Richtlinie definierten physischen und umweltbezogenen Anforderungen erfüllen, einschließlich Klimatisierung, Brandbekämpfung, Stromversorgungsredundanz und Zutrittskontrollen für technische Bereiche.
Asset-Eigentümer: Stellen sicher, dass Geräte und Speichermedien in ihrer Verantwortung gemäß dieser Richtlinie gehandhabt, transportiert, gewartet und entsorgt werden. Melden Mängel in der physischen Sicherheit an den Facility Security Manager.
Alle Beschäftigten: Halten die Regeln zum aufgeräumten Schreibtisch und Bildschirm ein, tragen sichtbare Kennzeichnung auf dem Gelände, melden physische Sicherheitsvorfälle und verdächtige Aktivitäten, begleiten Besucher, wenn zugewiesen, und halten die Regeln zum Arbeiten in Sicherheitsbereichen ein.

18. Überprüfung & Pflege

Diese Richtlinie wird überprüft:

Mindestens jährlich im Rahmen des ISMS-Managementbewertungszyklus.
Nach wesentlichen physischen Sicherheitsvorfällen (z. B. unbefugter Zutritt, Einbruch, Brand, Überschwemmung, Gerätediebstahl).
Wenn sich die physische Bedrohungslage wesentlich ändert (z. B. Änderungen im Sicherheitsprofil des Umfelds, Neubauten, die den Gebäudezugang beeinflussen, erhöhte Bedrohungsstufen).
Nach wesentlichen Änderungen an Einrichtungen, Grundrissen, Rechenzentrumsinfrastruktur oder physischen Sicherheitssystemen.
Wenn neue rechtliche, regulatorische oder vertragliche Anforderungen an die physische Sicherheit identifiziert werden.

Document control
Owner: [POLICY_OWNER_ROLE, e.g. Information Security Officer]
Approved by: [APPROVER_NAME_AND_ROLE]
Version: [VERSION]
Effective date: [EFFECTIVE_DATE]
Next review: [NEXT_REVIEW_DATE]

1. Legal/Regulatory Basis

ISO/IEC 27001:2022 / ISO/IEC 27002:2022, Annex A — Physical Controls:

A 7.1 — Physical Security Perimeters
A 7.2 — Physical Entry
A 7.3 — Securing Offices, Rooms and Facilities
A 7.4 — Physical Security Monitoring
A 7.5 — Protecting Against Physical and Environmental Threats
A 7.6 — Working in Secure Areas
A 7.7 — Clear Desk and Clear Screen
A 7.8 — Equipment Siting and Protection
A 7.9 — Security of Assets Off-Premises
A 7.10 — Storage Media
A 7.11 — Supporting Utilities
A 7.12 — Cabling Security
A 7.13 — Equipment Maintenance
A 7.14 — Secure Disposal or Re-use of Equipment

BSI IT-Grundschutz:

INF.1 (Generic Building)
INF.2 (Data Centre and Server Room)
ORP.4 (Identity and Access Management)
INF.7 (Office Workplace)
INF.5 (Room or Cabinet for Technical Infrastructure)
SYS.2.1 (General Client)
INF.8 (Working from Home)
INF.9 (Mobile Workplace)
CON.7 (Information Security on Trips Abroad)
SYS.4.5 (Removable Media)
CON.6 (Deleting and Destroying Data and Devices)
INF.12 (Cabling)
INF.11 (General Vehicle)
INF.13 (Technical Building Management)

Additional jurisdiction-specific laws — in particular workplace safety law, building codes, fire safety regulations, data protection law (for CCTV and access logging) and works council co-determination rules — are listed in the Legal Register and incorporated by reference.

2. Purpose & Scope

This policy defines the physical and environmental security controls that protect the premises, facilities, equipment and information assets of [YOUR_ORGANISATION_NAME]. It covers physical security perimeters, entry controls, office and room security, monitoring, environmental threat protection, secure area working rules, clear desk and clear screen practices, equipment siting, off-premises asset security, storage media management, supporting utilities, cabling, equipment maintenance and secure disposal.

The policy applies to all buildings, rooms and facilities owned, leased or operated by the organisation that house information processing systems, storage media or personnel handling classified information. It is binding on all employees, contractors, visitors and third-party service providers with physical access to the organisation's premises.

3. Physical Security Perimeters (A 7.1)

Security perimeters are defined and used to protect areas that contain information and other associated assets. Building security planning covers the entire lifecycle of a facility, from site selection through design, construction, operation and decommissioning. Perimeter boundaries are documented and reviewed whenever facility layouts change. For data centres and server rooms, dedicated fire compartments with appropriate fire resistance ratings are maintained.

Perimeter Definition & Siting: Security perimeters are defined based on a risk assessment. The siting and strength of each perimeter reflect the information security and privacy requirements of the assets located within that perimeter. Perimeter boundaries are documented in the facility security plan and reviewed annually.
Physical Soundness: All buildings and sites containing information processing facilities have physically sound perimeters with no gaps or areas vulnerable to break-in. Exterior roofs, walls, ceilings and floors are of solid construction. All external doors are protected against unauthorised access through control mechanisms such as bars, alarms and locks. Doors and windows are locked when unattended, and external protection is applied to ground-level windows. Ventilation points are assessed and secured against unauthorised entry.
Fire Door Security: All fire doors on a security perimeter are alarmed, monitored and tested in conjunction with the adjacent walls to confirm the required level of resistance in accordance with applicable fire safety standards. Fire doors operate in a failsafe manner, maintaining both fire containment and security integrity.

4. Physical Entry Controls (A 7.2)

Secure areas are protected by appropriate entry controls to ensure that only authorised personnel are permitted access. Physical access rights are provisioned, reviewed periodically, updated and revoked in accordance with the access management process (see the Access Control Policy). A comprehensive key management process governs the issuance, tracking and return of all physical keys and authentication tokens. Fire drills and evacuation exercises are conducted at planned intervals.

4.1 General Access Controls

Authorised Personnel Only: Access to sites and buildings is restricted to authorised personnel only. Physical access rights are provisioned through a formal authorisation process, reviewed periodically, updated when roles change and revoked upon termination or role change (see the Access Control Policy).
Access Logging: A physical logbook or electronic audit trail records all access events. Logs are maintained securely, monitored for anomalies and protected against tampering, unauthorised access and deletion (see the IT Operations Security Policy).
Authentication Mechanisms: A documented process and technical mechanisms govern access to areas where information is processed or stored. Authentication mechanisms include access cards, biometrics or two-factor authentication such as an access card combined with a secret PIN. Double security doors (mantraps) are used for access to sensitive areas such as data centres.
Reception & Monitoring: A reception area staffed by personnel, or equivalent means, controls physical access to each site and building. Reception personnel verify identity before granting entry.
Belongings Inspection: Personal belongings of personnel and interested parties are inspected and examined upon entry and exit where the risk assessment warrants it.
Visible Identification: All personnel and interested parties wear visible identification at all times on the premises. Security personnel are immediately notified upon encountering unescorted visitors or anyone without visible identification. Easily distinguishable badges differentiate permanent employees, suppliers and visitors.
Supplier Access: Supplier personnel receive restricted access to secure areas or information processing facilities only when operationally required. Such access is formally authorised and monitored throughout the visit.
Multi-Tenant Buildings: Where a building houses assets for multiple organisations, physical access security receives special attention. Access controls prevent personnel from one tenant from accessing another tenant's secure areas.
Scalable Security Measures: Physical security measures are designed so that they can be strengthened when the likelihood of physical incidents increases, such as during elevated threat levels or after security incidents.
Emergency Exit Security: Emergency exits and other secondary entry points such as fire escapes, loading bays and basement accesses are secured against unauthorised use while remaining operable for emergency egress in compliance with fire safety regulations.
Key Management: A key management process governs all physical keys and authentication information, including lock codes and combination locks for offices, rooms, facilities and key cabinets. A key logbook or annual key audit tracks issuance, return and current holders. Access to physical keys and authentication information is controlled.

4.2 Visitor Management

Visitor Identity Verification: The identity of every visitor is authenticated by an appropriate means before access is granted. Valid government-issued identification is checked and recorded.
Visitor Log: The date and time of entry and departure of every visitor is recorded in a visitor log. Records are retained in accordance with the organisation's retention schedule.
Authorised Purpose & Briefing: Visitors are granted access only for specific, authorised purposes. Each visitor receives instructions on the security requirements of the area being visited and on emergency procedures before entering.
Visitor Supervision: All visitors are supervised at all times unless an explicit, documented exception has been granted by an authorised person.

4.3 Delivery & Loading Areas

Restricted External Access: Access to delivery and loading areas from outside the building is restricted to identified and authorised personnel. Delivery drivers do not access internal building areas.
Area Design: Delivery and loading areas are designed so that deliveries can be loaded and unloaded without delivery personnel gaining unauthorised access to other parts of the building.
Door Interlocking: The external doors of delivery and loading areas are secured when doors to restricted internal areas are opened, preventing simultaneous opening of both sets of doors.
Incoming Delivery Inspection: Incoming deliveries are inspected and examined for explosives, chemicals or other hazardous materials before they are moved from delivery and loading areas into the building.
Delivery Registration: Incoming deliveries are registered in accordance with asset management procedures upon entry to the site. Records include sender, contents, date and recipient.
Shipment Segregation: Incoming and outgoing shipments are physically segregated where possible to prevent commingling and reduce the risk of substitution or theft.
Tampering Detection: Incoming deliveries are inspected for evidence of tampering during transit. Any detected tampering is immediately reported to security personnel for investigation.

5. Securing Offices, Rooms & Facilities (A 7.3)

Physical security for offices, rooms and facilities is designed and implemented to protect information and associated assets against unauthorised access, damage and interference. Room selection considers the sensitivity of activities performed within, and rooms housing information processing equipment are separated from public areas. Technical infrastructure rooms (server rooms, network distribution rooms) receive enhanced protection including reinforced doors, climate control and restricted access.

Critical Facility Siting: Critical facilities are sited to avoid access by the public. Locations are selected to minimise exposure to unauthorised observation, casual foot traffic and external threats.
Unobtrusive Buildings: Where applicable, buildings are unobtrusive and give no indication of their purpose. No obvious signs outside or inside the building identify the presence of information processing activities.
Visibility & Audibility Prevention: Facilities are configured to prevent confidential information or activities from being visible and audible from the outside. Electromagnetic shielding is applied where the risk assessment warrants it.
Directory & Map Restrictions: Directories, internal telephone books and online maps identifying the locations of confidential information processing facilities are not made readily available to unauthorised persons. Access to such information is restricted to personnel with a demonstrated need to know.

6. Physical Security Monitoring (A 7.4)

Premises are continuously monitored for unauthorised physical access. Monitoring systems are designed, installed and maintained in accordance with applicable data protection regulations and workplace privacy requirements. Video recordings and alarm logs are retained for a defined period and reviewed following security incidents.

Video Surveillance: Closed-circuit television (CCTV) or equivalent video monitoring systems are installed to view and record access to sensitive areas both within and outside the organisation's premises. Camera placement, recording retention and access to footage are documented and comply with applicable privacy legislation.
Intrusion Detection: Contact, sound or motion detectors are installed in accordance with relevant standards and tested periodically. These include door and window contact detectors, infrared motion detectors and glass-break sensors that trigger intruder alarms to alert security personnel.
Alarm Coverage: Alarms cover all external doors and accessible windows. Unoccupied areas are alarmed at all times. Additional coverage extends to critical areas such as computer rooms, communications rooms and archive storage.

7. Protection Against Physical & Environmental Threats (A 7.5)

Protection against physical and environmental threats is designed and implemented based on a risk assessment that considers the geographic location, building characteristics and surrounding environment. Fire protection follows applicable building codes and includes smoke detection, handheld extinguishers and fire suppression systems. Data centres incorporate dedicated fire compartments, uninterruptible power supplies and emergency shutdown procedures.

7.1 Site Selection & Risk Assessment

Topographic Risks: Site selection and risk assessments consider local topography, including appropriate elevation above flood plains, proximity to bodies of water and distance from tectonic fault lines.
Urban & Location Risks: Site selection and risk assessments evaluate urban threats, including whether the location has a high profile that could attract political unrest, criminal activity or terrorist attacks. Locations with elevated threat profiles receive additional physical countermeasures.

7.2 Threat-Specific Controls

Fire Protection: Fire detection systems are installed and configured to detect fires at an early stage and to send alarms or trigger fire suppression systems. Suppression uses the most appropriate substance for the environment — gas-based suppression in confined spaces such as server rooms, water-based systems in general areas. Handheld fire extinguishers are placed at accessible locations throughout all buildings. Fire drills are conducted at planned intervals.
Flood Protection: Flood detection systems are installed under the floors of areas containing storage media or information processing systems. Water pumps or equivalent drainage means are readily available. Critical equipment is elevated above floor level where flood risk is identified.
Electrical Surge Protection: Surge protection systems protect both server and client information systems against electrical surges and similar events. Lightning protection is applied to all buildings, and lightning protection filters are fitted to all incoming power and communications lines.
Explosives & Weapons: Random inspections for the presence of explosives or weapons are performed on personnel, vehicles or goods entering sensitive information processing facilities.
Crime Prevention: Crime prevention through environmental design (CPTED) principles are applied when designing and selecting controls to secure the organisation's environment. This includes natural surveillance, access control through landscaping, territorial reinforcement and maintenance to reduce urban threats.

8. Working in Secure Areas (A 7.6)

Security measures for working in secure areas are designed and implemented to protect information and associated assets within those areas. Secure areas include data centres, server rooms, archive rooms and any area designated as restricted due to the sensitivity of the information or equipment it contains.

Need-to-Know Awareness: Personnel are made aware of the existence of, or activities within, a secure area only on a need-to-know basis. The location and purpose of secure areas are not disclosed to personnel who have no operational requirement to access them.
Supervised Work: Unsupervised work in secure areas is avoided both for safety reasons and to reduce the opportunity for malicious activities. At least two authorised persons are present during work in high-security areas.
Vacant Area Inspection: Vacant secure areas are physically locked and periodically inspected to detect unauthorised access, tampering or environmental anomalies.
Recording Equipment Restrictions: Photographic, video, audio or other recording equipment — including cameras built into user endpoint devices — is not permitted in secure areas unless explicitly authorised by the facility security manager.
Endpoint Device Controls: The carrying and use of user endpoint devices in secure areas is controlled. Devices are either prohibited, placed in secure storage at the entrance or subject to inspection and usage restrictions.
Emergency Procedures: Emergency procedures — including evacuation routes, assembly points and emergency contact numbers — are posted in a readily visible or accessible manner within all secure areas.

9. Clear Desk & Clear Screen (A 7.7)

Clear desk rules for papers and removable storage media and clear screen rules for information processing facilities are defined and enforced. These rules minimise the risk of unauthorised access to, loss of or damage to information during and outside normal working hours. For home workplaces, the same clear desk and clear screen standards apply.

Secure Storage of Sensitive Information: Sensitive or critical business information — whether on paper or electronic storage media — is locked away in a safe, cabinet or other security furniture when not actively required, especially when the office is vacated.
Endpoint Device Locking: User endpoint devices are protected by key locks or other physical security means when not in use or unattended. Laptops are secured with cable locks or stored in locked drawers or cabinets.
Screen Lock & Auto-Logout: User endpoint devices are logged off or protected with a screen and keyboard locking mechanism controlled by user authentication when unattended. All computers and systems are configured with a session timeout or automatic logout feature that activates after a defined period of inactivity.
Printer Output Collection: Originators collect outputs from printers or multi-function devices immediately. Printers with authentication functions are used so that only the originator can retrieve printouts, and only when physically present at the printer.
Document & Media Disposal: Documents and removable storage media containing sensitive information are stored securely when in use and, when no longer required, discarded using secure disposal mechanisms such as cross-cut shredding or degaussing.
Screen Pop-Up Configuration: Rules and guidance are established and communicated for the configuration of pop-ups on screens. New email and messaging notification pop-ups are turned off during presentations, screen sharing sessions or when working in public areas.
Whiteboard & Display Clearing: Sensitive or critical information on whiteboards and other display surfaces is erased or removed when no longer required. Meeting rooms are inspected after use.
Final Sweep: A final sweep is conducted prior to leaving or vacating facilities to ensure that organisational assets — particularly documents — are not left behind, including items that may have fallen behind drawers or furniture.

10. Equipment Siting & Protection (A 7.8)

Equipment is sited and protected to reduce the risks from physical and environmental threats and to prevent unauthorised access, damage and interference. Data centre equipment is placed in climate-controlled environments with redundant cooling and fire suppression. Office workplace equipment is positioned to minimise unauthorised viewing and is secured against theft.

Work Area Access Minimisation: Equipment is sited to minimise unnecessary access into work areas and to prevent unauthorised physical access. Server and network equipment is placed in dedicated, access-controlled rooms.
Viewing Angle Protection: Information processing facilities handling sensitive data are carefully positioned to reduce the risk of information being viewed by unauthorised persons during use. Screens face away from windows, corridors and public areas; privacy filters are applied where necessary.
Physical & Environmental Threat Controls: Controls minimise the risk of potential physical and environmental threats including theft, fire, explosives, smoke, water and water supply failure, dust, vibration, chemical effects, electrical supply interference, communications interference, electromagnetic radiation and vandalism.
Food & Drink Guidelines: Guidelines prohibit eating, drinking and smoking in proximity to information processing facilities, particularly in server rooms, data centres and technical infrastructure rooms.
Environmental Monitoring: Environmental conditions — including temperature and humidity — are monitored in real time for conditions that can adversely affect the operation of information processing facilities. Alerts are generated when thresholds are exceeded. Data centre environments maintain temperature and humidity within manufacturer-specified ranges.
Lightning Protection: Lightning protection is applied to all buildings. Lightning protection filters are fitted to all incoming power and communications lines to prevent damage from electrical surges.
Special Protection Methods: Special protection methods — such as keyboard membranes, sealed enclosures and ruggedised housings — are used for equipment deployed in industrial, manufacturing or other harsh environments.
Electromagnetic Emanation Protection: Equipment processing confidential information is protected to minimise the risk of information leakage due to electromagnetic emanation. Shielding, filtering and emission reduction techniques are applied based on the classification of the information processed.
Facility Separation: Information processing facilities managed by the organisation are physically separated from those not managed by the organisation. Co-located equipment from different organisations does not share the same physical enclosures or racks without documented risk acceptance.

11. Security of Assets Off-Premises (A 7.9)

Off-site assets are protected in accordance with the risk assessment. Equipment and storage media taken outside the organisation's premises remain subject to the same level of protection as on-site assets, adjusted for the higher risk of the off-premises environment. Personnel travelling with organisational assets follow the information security travel guidelines. Home workplaces meet defined security standards, and mobile workplaces are used only in environments that provide adequate privacy and physical protection.

11.1 General Off-Premises Protection

No Unattended Equipment in Public: Equipment and storage media taken off premises are never left unattended in public and unsecured places. Devices are kept under personal supervision or secured in locked containers, hotel safes or vehicle boots.
Manufacturer Protection Instructions: Manufacturer instructions for protecting equipment are observed at all times, including protection against exposure to strong electromagnetic fields, water, heat, humidity and dust.
Chain of Custody: When off-premises equipment is transferred among different individuals or interested parties, a log defines the chain of custody including the names and organisations of those responsible for the equipment at each point. Information that does not need to be transferred with the asset is securely deleted before the transfer.
Removal Authorisation: Where necessary and practical, authorisation is required for equipment and media to be removed from the organisation's premises. A record of such removals is maintained to provide an audit trail (see the Information Transfer Policy).
Shoulder Surfing Prevention: Information displayed on device screens is protected against viewing by unauthorised persons on public transport and in public spaces. Privacy filters are used on laptops and mobile devices, and screen brightness is adjusted to minimise readability from adjacent seating.
Location Tracking & Remote Wipe: Location tracking and remote wiping capabilities are implemented on mobile devices and laptops. Remote wipe is activated immediately upon confirmed loss or theft of a device.

11.2 Permanent External Installations

Physical Security Monitoring: Permanent external installations — such as remote offices, co-location facilities and external storage sites — are subject to physical security monitoring equivalent to on-premises standards.
Environmental Threat Protection: Permanent external installations are protected against physical and environmental threats using the same risk-based approach applied to the main premises.
Tamper Proofing: Physical access controls and tamper-proofing mechanisms protect external installations against unauthorised physical access and evidence of tampering triggers an immediate investigation.
Logical Access Controls: Logical access controls at external installations meet the same requirements as those applied on-premises, including authentication, authorisation and audit logging.

12. Storage Media (A 7.10)

Storage media are managed throughout their lifecycle — from acquisition through use, transport, storage and disposal — in accordance with the organisation's classification scheme and handling procedures. Removable storage media policies address the specific risks of portable devices that can easily be lost or stolen. Information on storage media transported physically is protected against unauthorised access, misuse and corruption during transit. Secure deletion and destruction follow documented procedures.

12.1 Removable Media Management

Removable Media Policy: A topic-specific policy on the management of removable storage media is established and communicated to all personnel who use or handle removable storage media.
Removal Authorisation: Where necessary and practical, authorisation is required for storage media to be removed from the organisation. A record of such removals is maintained to provide an audit trail.
Secure Storage Environment: All storage media are stored in a safe, secure environment according to their information classification and protected against environmental threats such as heat, moisture, humidity, electromagnetic fields and ageing, in accordance with manufacturer specifications.
Encryption: When information confidentiality or integrity is a consideration, cryptographic techniques protect information on removable storage media. Encryption algorithms and key lengths follow the cryptography policy.
Media Refresh: To mitigate the risk of storage media degrading while stored information is still needed, information is transferred to fresh storage media before the original media becomes unreadable. Media refresh schedules are documented per media type.
Redundant Copies: Multiple copies of valuable information are stored on separate storage media to reduce the risk of coincidental information damage or loss.
Media Registration: Removable storage media are registered in an inventory to limit the chance of information loss. The register records media type, classification level, custodian and location.
Port Control: Removable storage media ports — including SD card slots and USB ports — are enabled only where there is a documented organisational reason for their use. Ports are disabled by default through endpoint management tools.
Transfer Monitoring: Where there is a need to use removable storage media, the transfer of information to such media is monitored through data loss prevention (DLP) tools or manual logging procedures.
Physical Transport Protection: Information on storage media during physical transport — including via postal service or courier — is protected against unauthorised access, misuse and corruption. Tamper-evident packaging and tracked delivery services are used for media classified above the baseline level.

12.2 Secure Reuse & Disposal

Secure Reuse: Storage media containing confidential information that need to be reused within the organisation are securely deleted or formatted before reuse using approved tools (see the Data Deletion, Masking & DLP Policy).
Secure Disposal: Storage media containing confidential information are disposed of securely when no longer needed, through destruction, shredding or secure deletion of content. The disposal method matches the classification level of the information.
Disposal Identification Procedures: Procedures are in place to identify items that require secure disposal. These procedures cover all media types — hard drives, SSDs, USB devices, optical media, tapes and paper documents.
External Disposal Services: When external collection and disposal services are used, the external party supplier is selected with adequate controls and experience. Contracts include confidentiality clauses, certification requirements and audit rights.
Disposal Logging: The disposal of sensitive items is logged to maintain an audit trail. Records include the item description, disposal method, date, responsible person and confirmation of destruction.
Aggregation Effect: When accumulating storage media for disposal, consideration is given to the aggregation effect, whereby a large quantity of individually non-sensitive information can become sensitive when combined. Accumulated media awaiting disposal are stored securely.
Damaged Device Assessment: A risk assessment is performed on damaged devices containing sensitive data to determine whether the items are physically destroyed rather than sent for repair or discarded (see secure disposal, Section 16).

13. Supporting Utilities (A 7.11)

Information processing facilities are protected from power failures and other disruptions caused by failures in supporting utilities such as electricity, gas, water, sewage, heating/ventilation, air conditioning and telecommunications. Utility infrastructure is designed with redundancy to meet availability requirements. Uninterruptible power supplies (UPS) and diesel generators provide backup power for data centres and critical systems. Emergency switches and valves are installed near emergency exits and equipment rooms.

Manufacturer Compliance: Equipment supporting the utilities is configured, operated and maintained in accordance with the relevant manufacturer's specifications and applicable safety standards.
Capacity Planning: Utilities are appraised regularly for their capacity to meet business growth and are assessed for interactions with other supporting utilities that could create cascading failures.
Inspection & Testing: Equipment supporting the utilities is inspected and tested regularly to ensure proper functioning. UPS systems are load-tested at planned intervals, and diesel generators undergo regular start-up and runtime tests.
Malfunction Alarms: Where necessary, alarms detect utility malfunctions — including power failures, cooling system anomalies and water leaks — and notify responsible personnel immediately.
Multiple Feeds & Diverse Routing: Where necessary, utilities have multiple feeds with diverse physical routing to eliminate single points of failure. Power is supplied from at least two independent sources for critical facilities.
Separate Network: Equipment supporting the utilities is on a separate network from the information processing facilities if connected to a network, preventing compromise of building management systems from affecting IT systems and vice versa.
Secure Internet Connectivity: Equipment supporting the utilities is connected to the internet only when operationally needed and only through a secured, monitored connection.
Emergency Lighting & Communications: Emergency lighting and emergency communications systems are provided in all occupied areas and are tested at planned intervals to confirm readiness.
Emergency Shutoff Controls: Emergency switches and valves to cut off power, water, gas or other utilities are located near emergency exits and equipment rooms and are clearly labelled and accessible.
Network Connectivity Redundancy: Redundancy for network connectivity is obtained by means of multiple routes from more than one utility provider, ensuring that the failure of a single provider does not disrupt communications.
Emergency Contact Records: Emergency contact details for utility providers and internal emergency response personnel are recorded and made available to all relevant personnel in the event of an outage.

14. Cabling Security (A 7.12)

Cables carrying power or data, or supporting information services, are protected from interception, interference, damage or tampering. Cabling infrastructure follows primary and secondary cabling standards, and cable documentation is maintained to enable rapid fault identification and infrastructure changes. All cabling installations use fire-resistant materials in compliance with applicable fire codes. Cable rooms are access-controlled and regularly inspected.

Underground or Protected Routing: Power and telecommunications lines into information processing facilities are routed underground where possible, or subject to adequate alternative protection such as floor cable protectors and utility poles. Underground cables are protected against accidental cuts with armoured conduits or presence-signalling markers.
Cable Segregation: Power cables are segregated from communications cables to prevent electromagnetic interference. Minimum separation distances follow applicable cabling standards.
Armoured Conduit & Secured Endpoints: Armoured conduit, locked rooms and lockable enclosures with alarms are installed at inspection and termination points for sensitive or critical systems.
Electromagnetic Shielding: Electromagnetic shielding is applied to protect the cables carrying data for sensitive or critical systems against emanation and interference.
Sweep & Inspection: Periodical technical sweeps and physical inspections detect unauthorised devices attached to the cables for sensitive or critical systems. Inspection frequency is based on the risk assessment.
Patch Panel & Cable Room Access: Access to patch panels and cable rooms is controlled through mechanical keys, PINs or electronic access control. Access is restricted to authorised maintenance and network personnel.
Fibre-Optic Cables: Fibre-optic cables are used for sensitive or critical systems where the risk of electromagnetic interception or interference warrants their use.
Cable Labelling: Cables are labelled at each end with sufficient source and destination details to enable physical identification and inspection. Labelling follows a documented naming convention and is kept current with infrastructure changes.

15. Equipment Maintenance (A 7.13)

Equipment is maintained correctly to ensure its continued availability, integrity and information security. Maintenance programmes are planned, documented and monitored to keep equipment in the condition specified by the manufacturer. Maintenance of data centre infrastructure follows a structured programme with documented service intervals. Technical building management systems are included in the maintenance schedule.

Manufacturer Service Schedule: Equipment is maintained in accordance with the supplier's recommended service frequency and specifications. Maintenance intervals are documented and tracked.
Maintenance Programme: A maintenance programme is implemented and monitored by the organisation. The programme covers all critical equipment, specifies responsible parties and tracks completion of scheduled maintenance activities.
Authorised Personnel Only: Only authorised maintenance personnel carry out repairs and maintenance on equipment. Authorisation is verified before work begins.
Maintenance Records: Records are kept of all suspected or actual faults, and of all preventive and corrective maintenance activities. Records include dates, work performed, parts replaced and the identity of the maintenance personnel.
Maintenance Security Controls: Appropriate controls are implemented when equipment is scheduled for maintenance, taking into account whether maintenance is performed by on-site personnel or external service providers. External maintenance personnel sign a suitable confidentiality agreement.
On-Site Supervision: Maintenance personnel are supervised when carrying out maintenance on site. Supervision includes escorting external technicians and verifying that only authorised work is performed.
Remote Maintenance Authorisation: Access for remote maintenance is authorised and controlled. Remote sessions are logged, monitored and terminated when the maintenance task is completed.
Off-Premises Maintenance: When equipment containing information is taken off premises for maintenance, security measures for assets off-premises apply. Information is removed from the equipment before it leaves the premises where feasible.
Insurance Compliance: All maintenance requirements imposed by insurance policies are complied with. Maintenance records are made available to insurers upon request.
Post-Maintenance Inspection: Before putting equipment back into operation after maintenance, the equipment is inspected to ensure it has not been tampered with and is functioning properly. Configuration baselines are re-verified.
End-of-Life Disposal: When it is determined that equipment is to be disposed of rather than maintained, measures for secure disposal or re-use of equipment apply.

16. Secure Disposal or Re-use of Equipment (A 7.14)

Items of equipment containing storage media are verified to ensure that any sensitive data and licensed software has been removed or securely overwritten prior to disposal or re-use. Physical destruction of storage media follows documented procedures and is the preferred method for media that contained highly classified information. When facilities are vacated, a decommissioning process ensures that no residual information remains for subsequent occupants. This section provides the physical destruction controls referenced by the data deletion policy.

Facility Restoration: When vacating a facility, the lease agreement requirements to return the facility to its original condition are observed. All information processing equipment, cabling, access control devices and monitoring systems are removed or rendered inoperable.
Residual Information Removal: The risk of leaving systems with sensitive information for the next tenant is minimised. User access lists, video or image files, configuration data and any other information assets are securely deleted from all systems, storage media and network equipment before the facility is handed over.
Control Reusability: The ability to reuse physical security controls — such as access control hardware, CCTV systems and alarm installations — at the next facility is assessed during decommissioning. Reusable controls are inventoried, tested and securely transported.

17. Roles & Responsibilities

Top Management: Approves this policy, allocates resources for physical security infrastructure and ensures alignment with business objectives, legal requirements and workplace safety regulations.
Information Security Officer (ISO): Maintains this policy, defines physical security requirements based on risk assessments, coordinates security perimeter reviews and oversees compliance with physical security controls across all facilities.
Facility Security Manager: Implements and operates the physical security controls defined in this policy. Manages access control systems, visitor management, key management, alarm systems, CCTV and environmental monitoring. Coordinates with building management and external security service providers.
IT Operations / Data Centre Manager: Ensures that data centre and server room environments meet the physical and environmental requirements defined in this policy, including climate control, fire suppression, power supply redundancy and access controls for technical areas.
Asset Owners: Ensure that equipment and storage media under their responsibility are handled, transported, maintained and disposed of in accordance with this policy. Report physical security deficiencies to the Facility Security Manager.
All Personnel: Follow clear desk and clear screen rules, wear visible identification on premises, report physical security incidents and suspicious activities, escort visitors when assigned and comply with secure area working rules.

18. Review & Maintenance

This policy is reviewed:

At least annually, as part of the ISMS management review cycle.
After significant physical security incidents (e.g. unauthorised access, break-in, fire, flooding, equipment theft).
When the physical threat landscape changes significantly (e.g. changes in neighbourhood security profile, new construction affecting building access, elevated threat levels).
Following significant changes to facilities, building layouts, data centre infrastructure or physical security systems.
When new legal, regulatory or contractual requirements affecting physical security are identified.

Sources

ISO/IEC 27002:2022 clauses 7.1–7.14 — the Physical Controls
BSI IT-Grundschutz INF.1 — Generic Building
BSI IT-Grundschutz INF.2 — Data Centre and Server Room
DIN 66399 — Destruction of data carriers