Besuchermanagement und ISO 27001

Kleine und mittelgroße Unternehmen haben üblicherweise keine komplexe Besucherregelung und Prozesse. Selbst eine einfache Liste mit den Besuchern des Monats wird häufig nicht geführt, da man ja eine kleines Unternehmen sei. Sobald man gerne die ISO 27001 Zertifizierung erhalten möchte, werden die Abläufe in der Organisation komplexer. Diese Veränderungen wirken sich auch auf dem Umgang mit Besuchern im Unternehmen. Die ISO 27001 Norm hat bestimmte Vorstellungen, wie Unternehmen ihre physische Sicherheit gestalten. Dazu gehört aber auch eine Besucherregelung.

Professionals discussing SIEM-Lösungen und Sicherheitsprotokolle in modernem Besprechungsraum, Präsentation von Bedrohungserkennung auf Bildschirm.

Sichere Zutrittskontrolle für eine hybride Arbeitswelt

Immer mehr Unternehmen führen eine fest definierte 2 -3 Tage im Büro Regelung ein. Nachdem aber viele Mitarbeiter seit Jahren nur noch an ihr Home Office gewohnt haben, müssen Besucherströme besser abgesichert werden. Besucher kommen üblicherweise für  Verkaufsgespräche, Abstimmungsmeetings, Schulungen und intensives Teamwork in die Räumlichkeiten der Organisation. Hier denken viel an das Gäste-WLAN aber wenige an eine pragmatische und praxis-orientierte Besucherregelung. Wenn etwas ausformuliert wird, artet es in eine realitätsfremde und gastunfreundliche Arbeitsanweisung aus. In einigen Ländern ist eine solche Behandlung eines Gastes eine Beleidigung und ein guter Grund für den Besucher keine Aufträge zu erteilen.

Gastfreundschaft vs. physische Sicherheit

Die einfachste Umsetzung beginnt mit einer einfachen Gästeliste, in der man Ankunft und Abreise des Gastes, dessen Name und Firma sowie der interne Gastgeber einträgt. Man muss hierzu keinen Überwaschungsstaatsapparat etablieren, um sich gegen Gäste zu schützen. Bei manchen Zertifizierungsaudit wird auch gerne gefordert, dass Gäste einen Besucherausweis sichtbar tragen. Bei sehr kleinen Firmen ist das sicherlich überzogen, aber bei Unternehmen mit komplexeren Layout und höheren Risikoprofil macht eine solche Regelung sinn.

Wenn im Zertifizierungsaudit der Auditor überzogene Forderungen an das Besuchermanagement stellt, bitten Sie ihn den Wortlaut in der Norm zu zeigen. Die ISO 27001 enthält keine expliziten Anforderungen für das Erfassen von Besuchern in Unternehmen!

Was die ISO 27001 zu Besuchern sagt

Die ISO 27001:2022 verfügt über die 4 Anhänge A5, A6, A7, und A8. Im folgenden schauen wir mal wo eventuell die Notwendigkeit einer Besucherregelung abgeleitet werden könnte:

Zugangskontrolle (Anhang A.5)

Zugangskontrolle (Anhang A.5.15, A.5.6, A.5.17, A.5.18): Dieser Abschnitt behandelt die physische Sicherheit von Räumen und Einrichtungen. Die Erfassung von Besuchern könnte in diesem Zusammenhang relevant sein, um sicherzustellen, dass unbefugte Personen keinen Zugang zu sensiblen Bereichen haben. Hierbei könnten Maßnahmen wie Besucherausweise, Anmeldungen und Begleitpersonen eingesetzt werden. Dazu zählt auch die Umsetzung des Brandschutzes und die Sicherung des Besuchs sowie der Belegschaft vor Schaden im Brand- oder Katastrophenfall.

Risikobewertung (Anhang A.6)

Risikobewertung (Anhang A.6): Eine Risikobewertung könnte ergeben, dass das Fehlen einer angemessenen Besucherverwaltung ein potenzielles Sicherheitsrisiko darstellt. Dies könnte Unternehmen dazu veranlassen, Besucherverwaltungsprozesse zu implementieren, um mögliche Sicherheitslücken zu minimieren.

Awareness und Schulung (Anhang A.6.3)

Awareness und Schulung (Anhang A.6.3): Alle Mitarbeiter, einschließlich Besucher, sollten sich der Informationssicherheitsrichtlinien und -verfahren bewusst sein. Hier könnten Schulungen und Informationen beim Empfang für Besucher zur Sensibilisierung für Sicherheitsfragen relevant sein.

Physische und umgebungsbezogene Sicherheitsmaßnahmen (Anhang A.7)

Physische und umgebungsbezogene Sicherheitsmaßnahmen (Anhang A.7.1, A.7.2, A7.3, A.7.4, A.7.5): Diese Abschnitte behandeln Maßnahmen zur physischen Sicherheit von Räumen und Einrichtungen, einschließlich Zugangskontrolle, Überwachung und Sicherheitspersonal. Das Erfassen von Besuchern könnte Teil dieser Sicherheitsmaßnahmen sein.

Incident Management (Anhang A.5)

Incident Management (Anhang A.5.26, A.5.27): Falls es zu Sicherheitsvorfällen im Zusammenhang mit Besuchern kommt (z. B. gestohlene Ausweise oder unberechtigter Zugang), könnte ein effektives Incident-Management-Verfahren gefordert sein, um angemessen darauf zu reagieren.

Mann in einem organisierten Büro, der Dokumente für ein ISO 27001-Audit vorbereitet, mit Fokus auf Sicherheit und Besuchermanagement.

Besuchermanagement als Datenschutzverletzung?

Je nach Landesaufsichtsbehörde (z.B. BayLDA) werden öffentlich ausgestellte Besucherlisten bzw. Besucherbegrüßungen kritisch gesehen. Das kann schnell zu einer Abmahnung führen. Die Auflistung des Namens der Besucher auf den Bildschirmen (im Eingangsbereich) ist eine Datenverarbeitung. Hierzu fehlt generell eine  berechtigte Notwendigkeit. Ebenso sollten keine Besucherliste offen auslegt sein.

Ähnliche Artikel und weitere interessante Informationen