Eine Sicherheitszone (Zonenkonzept) unterteilt Räumlichkeiten in Bereiche mit gestaffeltem Schutzniveau. Die äußerste Zone ist öffentlich zugänglich (z. B. Empfang), die innerste Zone am stärksten geschützt (z. B. Serverraum). Jeder Zonenübergang erfordert eine zusätzliche Zugangskontrolle. Du erreichst damit, dass sensible Bereiche mehrere Schutzschichten durchlaufen müssen, bevor sie erreichbar sind. Im ISMS dokumentierst Du das Zonenkonzept in einem Lageplan und verknüpfst es mit der Schließanlage und dem Zutrittskontrollsystem. ISO 27001 Annex A 7.1-7.4 bildet die Grundlage.