在舊版ISO27001:2013當中,A.11.1.2實體進入控制措施-要求保全區域應藉由適切之進入控制措施加以保護,僅允許經授權人員進出;這個要求在新版ISO27001:2022中叫做A.7.2實體進入(Physical entry)。
但新版ISO27001:2022的A.7.4實體安全監控(Physical security monitoring)更強調主動監控營運場所(Premises)是否存在未經授權的實體進出(physical access),具體作為包括安裝影像監視器、安裝&測試警報、對外門窗加裝警報。
在稽核實務上,多會從主動防護、被動防護兩個面向來看ISO27001:2013的A.11.1.2實體進入控制措施。但改版之後,主動防護防護的監控設施、感測儀器,的稽核發現將被放到A.7.4實體安全監控,被動防護的門禁、機櫃/機房等將被歸類在A.7.2實體進入(Physical entry)。
這對部分ISO27001的用戶將構成影響,以往未針對安全周界執行主動式防護的客戶,可能會被寫進改善建議;未來則可能構成不符合,可能被迫要花一些資源、精力,來滿足這個要求。
Kommentarer