6.1.4. Link met andere maatregelen (fysisiche maatregelen)
6.1.4.1. Link met IAM als maatregel
Fysieke toegangsbeveiliging is complementair aan logische toegangsbeveiliging, wat verder uitgelegd wordt op pagina 5.1. Minimale maatregelen - Identity en Access Management (IAM) .
6.1.4.2. Link met logging als maatregel
Fysieke beveiliging gaat vaak gepaard met logging, wat verder uitgelegd wordt op pagina 5.2. Minimale maatregelen - logging en monitoring (SIEM).
Enkele voorbeelden zijn:
Het bijhouden van bezoekersregistratie of een bezoekerslogboek
Het bijhouden van een onderhoudslogboek
Manuele logboeken zijn echter onderhevig aan fouten en vragen de nodige discipline en de capaciteit van de uitvoerders om deze taak systematisch en precies te herhalen. Bovendien zijn er vaak meerdere uitvoerders bij betrokken, wat het risico op fouten vergroot.
Mitigerende maatregelen om manuele logboeken te beveiligen bestaan o.a. uit:
Fysieke toegangsbeveiliging d.m.v. afsluitbare/brandveilige kast; Kopieën bijhouden van het logboek
Inscannen en opslaan als pdf-bestand
Controle en 4-ogen principe
6.1.4.3. Link met functiescheiding
Het scheiden van functies als basismaatregel voor informatiebeveiliging volgt in lijn de arbeidsverdeling van de organisatie. Dit wordt verder uitgelegd wordt op pagina 1.2.3. Rollen en verantwoordelijkheden.
In hoofdlijnen worden processen gescheiden uitgevoerd.
Globaal gelden de volgende functiescheidingen:
Tussen uitvoerende en controlerende taken
Tussen beleid en uitvoering
Tussen fysieke beveiliging en levering/beveiliging van ICT.
Elke dienst heeft een eigen taak binnen de organisatie en voert deze zelfstandig uit.
Fysieke toegangsbeveiliging is erop gericht om gebouwen en informatie te beschermen door ongeautoriseerde toegang te voorkomen en kent haar eigen functiescheiding:
Eigen medewerkers versus bezoekers: eigen medewerkers worden niet als bezoeker aangemerkt. Alleen aan personen de geen deel uitmaken van de organisatie worden bezoekerspassen verstrekt.
Extern onderhoudspersoneel: deze maken geen deel uit van de eigen organisatie en dienen in principe voorzien te zijn van een bezoekerspas of alternatief identificatiemiddel.
Uitvoerend versus controlerend personeel: uitvoerend personeel mag in principe geen controlerende taken uitvoeren (tenzij in het kader van zelfcontrole).