Physische Sicherheit ist unerlässlich, um die Unternehmenskontinuität zu gewährleisten. Ein Zutrittskontrollsystem ist das A und O für eine sichere Arbeitsumgebung. Noch nie war es wichtiger, den Zutritt für Personen zu Ihrem Unternehmen zu kontrollieren als während der globalen Pandemie in den letzten Jahren.
Doch besitzen Sie eine umfassende, dokumentierte Richtlinie für die physische Zutrittskontrolle? Wenn ja, wie häufig wird sie aktualisiert?
„Unternehmen, die ein Zutrittskontrollsystem einführen möchten, sollten drei Aspekte berücksichtigen: Richtlinien für die Zutrittskontrolle, Modelle und Mechanismen.“ — The National Institute of Standards and Technology (NIST)
In diesem Artikel konzentrieren wir uns auf den ersten Aspekt – die Richtlinien für die Zutrittskontrolle. Welche Richtlinien gibt es? Weshalb benötigen wir eine Richtlinie? Was sollte sie enthalten? Welche bewährten Methoden gibt es?
1. Was genau verstehen wir unter einer Richtlinie für die physische Zutrittskontrolle?
Es handelt sich dabei um ein Dokument, das festlegt, wer Zutritt zu bestimmten Bereichen in Ihrem Unternehmen hat und unter welchen Umständen. Hierbei geht es um Bereiche wie Standorte, Gebäude und Räume. Die Richtlinie beschreibt die Verwaltung dieser Zutrittsrechte.
Sie wird normalerweise gemeinsam mit Technologie umgesetzt, wie etwa einem physischen Zutrittskontrollsystem und einem Managementsystem für Besucher. Es hängt von Ihrem Zutrittskontrollmodell ab, welche wichtigen Details in Ihrer Richtlinie für die Zutrittskontrolle enthalten sind.
Jeroen van Dormolen, Service Owner – Enterprise Professional Services bei Nedap Security Management erklärt Folgendes zu den wichtigsten Kontaktpunkten bei der Kommunikation: „Im Rahmen des Implementierungsprozesses bitten wir Organisationen, uns zu erklären, wie sie sich die Verwaltung der Zutrittskontrolle vorstellen. Anschließend stellen wir Schritt für Schritt sicher, dass ihre Erwartungen tatsächlich mit ihrem Anwendungsfall übereinstimmen.“
2. Warum ist eine Richtlinie für die physische Zutrittskontrolle so wichtig?
„Für eine sichere Umgebung müssen Sie alle drei Elemente des Sicherheitsdreiecks berücksichtigen: das System, die Prozesse und die Mitarbeiter.“ Mit etwas Glück haben Sie ein gutes Zutrittskontrollsystem wie AEOS ausgewählt und haben die richtigen Mitarbeiter in Ihrem Sicherheitsteam, die entsprechend ausgebildet sind.
Eine Richtlinie für die physische Zutrittskontrolle richtet sich an den dritten Aspekt des Dreiecks. Sie stellt sicher, dass Ihre Mitarbeiter die geltenden Prozesse kennen, wenn sie Ihre Systeme verwenden. Das ist der Dreh- und Angelpunkt Ihres Erfolgs. Selbst die beste Zutrittskontrolltechnologie kann Sie nicht schützen, wenn Ihre Mitarbeiter nicht wissen, wie sie zu bedienen ist.
Die physische Sicherheit schützt jedoch nicht nur Mitarbeiter, Standorte und physische Werte. Sie schützt vor allem auch digitale Werte. Sobald Personen Zutritt zu Ihren Standorten haben, ist es leichter für sie, auf Ihr Netzwerk, Dateien, Daten und urheberrechtlich geschützte Inhalte zuzugreifen.
Linda Howson, Research and Development Engineer – Future Security Solutions bei Nedap Security Management erklärt: „Eine Richtlinie für die Zutrittskontrolle ist nur ein Teil der Sicherheitsstrategie einer Organisation. Diverse Aspekte der Strategie können herangezogen werden, um eine Richtlinie für die Zutrittskontrolle zu erstellen oder zu ändern. Hierzu zählen Risikobewertungen, Schwachstellenbewertungen, Standortgutachten sowie das Sammeln und Analysieren von Sicherheitsmetriken.“
Betrachten Sie die Richtlinie für Zutrittskontrolle als einen Teil der gesamten Sicherheitsstrategie einer Organisation. Nichtsdestotrotz ist sie ein sehr wichtiger Teil, an deren Entwicklung Stakeholder und das Management beteiligt werden sollten.
3. Was muss in der Richtlinie enthalten sein?
Jede Richtlinie für die Zutrittskontrolle ist anders, doch die meisten enthalten die unten beschriebenen Informationen (Beispiel: Zutrittskontrollrichtlinie der University of South Alabama):
-
Zweck
Der Zweck beschreibt die Ziele der Richtlinie für die physische Zutrittskontrolle. Grundsätzlich ist das Ziel, den Zutritt zu bestimmten Bereichen zu verwalten. Die Gründe, weshalb Sie den Zutritt einschränken möchten sind individuell. Möglicherweise möchten Sie den Diebstahl von Lagerbestand, Schäden an Geräten oder den Zutritt zu Gefahrenbereichen verhindern. Jeder Aspekt könnte sich auf unterschiedliche Art und Weise auf die Unternehmenskontinuität auswirken.
Egal, welche Ziele Sie verfolgen, erklären Sie sie so deutlich wie möglich, damit Mitarbeiter die möglichen Konsequenzen verstehen, wenn sie gegen die Richtlinie für die Zutrittskontrolle verstoßen.
-
Umfang
Wenn die Mitarbeiter den Umfang der Richtlinie nicht kennen, könnten sie annehmen, dass sie sie nicht befolgen müssen. In diesem Abschnitt sollten Sie festlegen, für wen die Richtlinie für physische Zutrittskontrolle gilt. Beispielsweise für Mitarbeiter, Besucher, Vertragspartner und Kunden. Auch die Bereiche sind festzuhalten. Die Richtlinie könnte sich auf die Zentrale, Produktionsstätten, Lager und Geschäfte beziehen.
-
Verantwortlichkeiten
Legen Sie hier fest, wer in Bezug auf die Richtlinie für die Zutrittskontrolle wofür verantwortlich ist. Ein Team könnte für das Verfassen und Aktualisieren der Richtlinie verantwortlich sein, während sich ein anderes um die Umsetzung kümmert. Eine Person könnte das Zutrittskontrollsystem warten, während ein anderer Mitarbeiter das Sicherheitsteam verwaltet, das das System verwendet.
Geben Sie niemals einer Person die volle Verantwortung für die Richtlinie für Zutrittskontrolle. So ist niemand allein verantwortlich, wenn die Regeln gebrochen werden (gewollt oder ungewollt).
-
Richtlinien und Prozesse
Hier werden die nötigen Details zur Erklärung der einzelnen Richtlinien und Prozesse eingegeben, die zusammen die allgemeine Richtlinie für die physische Zutrittskontrolle darstellen.
Sie können unter anderem Folgendes beschreiben:
– Wie Berechtigungen für Mitarbeiter, Besucher und Vertragspartner eingerichtet und verwaltet werden sollten
– Wer berechtigt ist, bestimmte Bereiche zu betreten und wer nicht
– Welche Art von Identifikation nötig ist, um Zutritt zu den einzelnen Bereichen zu erhalten
„Eine solide Richtlinie für die Zutrittskontrolle sollte klar einteilen, wer wo und wozu Zutritt hat und eine Art Zonenmodell beinhalten. Das Zonenmodell sollte beschreiben, was es bedeutet, von einer Zone in eine andere zu wechseln.“– Jeroen van Dormolen, Service Owner – Enterprise Professional Services bei Nedap Security Management
-
Überprüfung und Management
Um zu überprüfen, ob Ihre Richtlinie zur Zutrittskontrolle befolgt wird, müssen Sie regelmäßige Überprüfungen durchführen. Dieser Abschnitt sollte beschreiben, wann und wie diese Überprüfungen durchgeführt werden.
Die Richtlinie für die Zutrittskontrolle muss außerdem regelmäßig verwaltet und aktualisiert werden, um sicherzustellen, dass sie stets auf dem neuesten Stand ist. Geben Sie hier an, wie Sie dies umsetzen möchten.
-
Umsetzung
Manchmal wird dieser Bereich auch als „Einhaltung“ betitelt. Hier wird beschrieben, welche Sanktionen gegen Personen verhängt werden, die gegen die Richtlinie für Zutrittskontrolle verstoßen. Bei manchen Personen ist eine Abschreckung nötig, um zu vermeiden, dass sie Abkürzungen nehmen oder Richtlinien missachten. Geben Sie die Konsequenzen bei Missachtung der Regeln also unmissverständlich an.
Bieten Sie außerdem regelmäßige Schulungen zur Richtlinie für Zutrittskontrolle an, um zu vermeiden, dass Mitarbeiter die Regeln vergessen.
-
Richtlinienversion
Die Richtlinie für Zutrittskontrolle sollte ein dynamisches Dokument sein, das nach jeder Risikobewertung (zwei Mal jährlich) überarbeitet wird. Dies gilt vor allem bei erheblichen Veränderungen im Unternehmen.
Halten Sie fest, wann die Richtlinie überprüft und aktualisiert wurde. Sie könnten beispielsweise die folgende Tabelle einfügen:
So können Sie nicht nur Änderungen nachverfolgen, sondern auch auf die Wichtigkeit des Dokuments und die Einhaltung der Richtlinie aufmerksam machen.
4. Bewährte Methoden für die Erstellung einer Richtlinie für die Zutrittskontrolle
Beziehen Sie bereits in der Anfangsphase die richtigen Mitarbeiter mit ein.
Beziehen Sie die richtigen Mitarbeiter mit ein, wenn Sie die Richtlinie für die physische Zutrittskontrolle erstellen und sicherstellen, dass sie eingehalten wird. Diese Mitarbeiter müssen die Anforderungen an die Zutrittskontrolle und die Risiken wirklich gut kennen. Das könnten Mitarbeiter aus den Bereichen Security-Management, Gebäudemanagement und IT-Teams sowie andere Stakeholder wie leitende Führungskräfte sein.
Denken Sie daran, es gibt einiges an Arbeit, bevor Sie mit dem Schreiben der Richtlinie für die Zutrittskontrolle anfangen.
Die Basis muss stimmen
Thinkcurity empfiehlt, sich beim Erstellen der Richtlinie für die Zutrittskontrolle auf die vier wichtigsten Komponenten zu konzentrieren: Zutrittsgruppen, Compliance, Schulung und Implementierung.
Stets auf dem neuesten Stand
Stellen Sie sicher, dass Ihre Richtlinie für die Zutrittskontrolle nach erfolgreicher Erstellung ein dynamisches Dokument bleibt, das aktuell, funktional und leicht implementierbar ist.
Möchten Sie mehr über physische Zutrittskontrollen erfahren? Wir helfen Ihnen gern! Setzen Sie sich mit uns in Verbindung.