在旧版ISO27001:2013当中,A.11.1.2实体进入控制措施-要求保全区域应借由适切之进入控制措施加以保护,仅允许经授权人员进出;这个要求在新版ISO27001:2022中叫做A.7.2实体进入(Physical entry)。

但新版ISO27001:2022的A.7.4实体安全监控(Physical security monitoring)更强调主动监控营运场所(Premises)是否存在未经授权的实体进出(physical access),具体作为包括安装影像监视器、安装&测试警报、对外门窗加装警报。

在稽核实务上,多会从主动防护、被动防护两个面向来看ISO27001:2013的A.11.1.2实体进入控制措施。但改版之后,主动防护防护的监控设施、感测仪器,的稽核发现将被放到A.7.4实体安全监控,被动防护的门禁、机柜/机房等将被归类在A.7.2实体进入(Physical entry)。

这对部分ISO27001的用户将构成影响,以往未针对安全周界执行主动式防护的客户,可能会被写进改善建议;未来则可能构成不符合,可能被迫要花一些资源、精力,来满足这个要求。

ISO27001:2013

ISO27001:2022改版系列专题(八)─程式开发安全(Secure coding)