Sichere Zutrittskontrolle für eine moderne Arbeitswelt
In einer sich stetig wandelnden Arbeitswelt, in der das Homeoffice zunehmend an Bedeutung gewinnt, öffnen Unternehmen nach wie vor täglich ihre Tore für eine Vielzahl von Besuchern. Diese Besucherströme umfassen Verkaufsgespräche, Abstimmungsmeetings, Schulungen und intensives Teamwork. In diesem Kontext ist es von fundamentaler Wichtigkeit, stets im Bilde darüber zu sein, wer sich derzeit auf dem Unternehmensgelände aufhält. Nicht zu vernachlässigen ist das ernsthafte Sicherheitsrisiko, das durch ungebetene Gäste für Unternehmen entstehen kann. Daher ist es unerlässlich, dass Unternehmen angemessene Mechanismen zur Zutrittskontrolle für Besucher etablieren.
Die Bedeutung eines effizienten Besuchermanagements wird nicht nur durch die Notwendigkeit der Sicherheit unterstrichen, sondern auch durch eine Vielzahl weiterer Faktoren, die eng mit der Umsetzung der ISO/IEC 27001 verbunden sind. Diese internationale Norm repräsentiert den Goldstandard für Informationssicherheits-Managementsysteme (ISMS) und legt die Anforderungen fest, die ein ISMS erfüllen muss. Unternehmen jeglicher Größe und aus sämtlichen Branchen erhalten durch die Norm ISO/IEC 27001 klare Leitlinien zur Konzeption, Implementierung, Aufrechterhaltung und kontinuierlichen Verbesserung ihres Informationssicherheits-Managementsystems.
Der TISAX ist ein Standard für ein Information Security Management System (ISMS), der in der Version 1 aus dem Jahr 2017 aus der Norm ISO/IEC 27001 abgeleitet wurde, sich aber seitdem auseinanderentwickelt hat. Der TISAX wurde speziell als ein System für die Risikobewertung von Lieferanten in der Automobilindustrie entwickelt und ermöglicht den standardisierten Austausch von Prüfergebnissen. Ein effektives Besuchermanagement-System kann auch den Anforderungen des TISAX gerecht werden. Während der TISAX branchenspezifisch auf die Automobilindustrie ausgerichtet ist, besitzt die ISO/IEC 27001 einen allgemeineren Charakter und ist auch auf andere Bereiche anwendbar. Die ISO/IEC 27001 ermöglicht eine umfassende Zertifizierung, im Gegensatz dazu sieht der TISAX eine solche Zertifizierung nicht vor.
Die ISO 27001 und der TISAX selbst enthalten keine expliziten Anforderungen für das Erfassen von Besuchern in Unternehmen. Und dennoch gibt es bestimmte Teile und Prinzipien der Norm, die relevant sein könnten, um die Sicherheit von Besuchern in Unternehmen zu gewährleisten. Im Folgenden werden einige Punkte aufgelistet, bei denen ein Besuchermanagementsystem Abhilfe schaffen könnte:
Zugangskontrolle (Kapitel A.11):
Dieser Abschnitt behandelt die physische Sicherheit von Räumen und Einrichtungen. Die Erfassung von Besuchern könnte in diesem Zusammenhang relevant sein, um sicherzustellen, dass unbefugte Personen keinen Zugang zu sensiblen Bereichen haben. Hierbei könnten Maßnahmen wie Besucherausweise, Anmeldungen und Begleitpersonen eingesetzt werden. Dazu zählt auch die Umsetzung des Brandschutzes und die Sicherung des Besuchs sowie der Belegschaft vor Schaden im Brand- oder Katastrophenfall.
Risikobewertung (Kapitel A.6):
Eine Risikobewertung könnte ergeben, dass das Fehlen einer angemessenen Besucherverwaltung ein potenzielles Sicherheitsrisiko darstellt. Dies könnte Unternehmen dazu veranlassen, Besucherverwaltungsprozesse zu implementieren, um mögliche Sicherheitslücken zu minimieren.
Awareness und Schulung (Kapitel A.7):
Alle Mitarbeiter, einschließlich Besucher, sollten sich der Informationssicherheitsrichtlinien und -verfahren bewusst sein. Hier könnten Schulungen und Informationen beim Empfang für Besucher zur Sensibilisierung für Sicherheitsfragen relevant sein.
Physische und umgebungsbezogene Sicherheitsmaßnahmen (Kapitel A.11):
Diese Abschnitte behandeln Maßnahmen zur physischen Sicherheit von Räumen und Einrichtungen, einschließlich Zugangskontrolle, Überwachung und Sicherheitspersonal. Das Erfassen von Besuchern könnte Teil dieser Sicherheitsmaßnahmen sein.
Incident Management (Kapitel A.16):
Falls es zu Sicherheitsvorfällen im Zusammenhang mit Besuchern kommt (z. B. gestohlene Ausweise oder unberechtigter Zugang), könnte ein effektives Incident-Management-Verfahren gefordert sein, um angemessen darauf zu reagieren.
Es ist wichtig zu beachten, dass die genauen Anforderungen stark von der Art des Unternehmens, seiner Größe, seinen Risikobewertungen und seinen spezifischen Sicherheitszielen abhängen. Unternehmen, die die ISO 27001 implementieren, sollten in Betracht ziehen, wie die Grundsätze der Norm auf ihre Besucherverwaltungsprozesse angewendet werden können, um die Informationssicherheit zu gewährleisten. Es ist ratsam, bei der Interpretation und Implementierung der Norm Fachleute für Informationssicherheit, Datenschutz oder Zertifizierungsstellen hinzuzuziehen.
Einen unkomplizierten Umgang mit Besucherdaten versprechen zahlreiche Besuchermanagement-Systeme mit einer effizienten und einfachen Verwaltung von Besucherdaten. Der Einsatz solcher Besuchermanagement-Systeme sollte vorab gründlich geprüft werden. Hier kann es von Vorteil sein, wenn sich die Lösung an die Unternehmensanforderungen und Prozesse anpassen lässt.
Quellen:
Information_Erfassung_von_Besucherdaten_Stand_August_2021.pdf (ihk.de)
Besuchermanagement im Unternehmen (dr-datenschutz.de)
ISO 27001 – Alle Kapitel im Überblick! – AWARE7 GmbH
ISO/IEC 27001 Standard – Information Security Management Systems
