Physische Sicherheit von Daten enthaltenden Gegenständen innerhalb der Einrichtung

[Hinzugefügt am 4]   Q.Do gelten alle Datenschutzanforderungen für die gesamte Einrichtung?

Die R2-Einrichtung muss ein Sicherheitsprogramm unterhalten, um den Zugang zur Einrichtung und Ausrüstung zu kontrollieren. In einigen Fällen können die Sicherheitskontrollen gleichermaßen in der gesamten Einrichtung implementiert werden, in anderen Fällen können bestimmte Teile der Einrichtung zusätzliche Sicherheitskontrollen erfordern, je nach Art der gehandhabten Ausrüstung und dem erforderlichen Maß an Datensicherheit.

Zusätzlich zu den physischen Sicherheitskontrollen muss die Einrichtung auch Sicherheitsautorisierungen einrichten und den Zugriff auf Datengeräte und alle gesicherten Bereiche verwalten sowie alle Mitarbeiter in den Datensicherheitsrichtlinien und -verfahren schulen.

[Hinzugefügt am 4]   Q.  Sind Metalldetektoren für alle R2-Einrichtungen erforderlich?

Während Metalldetektoren unter bestimmten Umständen und als Teil eines breiteren Sicherheitsprogramms ein nützliches Werkzeug sein können, sind sie im R2-Standard nicht ausdrücklich vorgeschrieben und für viele Einrichtungen möglicherweise nicht erforderlich.

F. Ist zur Sicherung und Kontrolle von Daten, die Elemente gemäß Anforderung 6.(d)(2) enthalten, eine zusätzliche Sicherheit und Trennung innerhalb der Einrichtung erforderlich?

Jede R2-Einrichtung muss die besten Mittel zur Sicherung und Kontrolle des Zugriffs auf datenhaltige Geräte für ihren Betrieb bestimmen. Dies kann von mehreren Faktoren abhängen, wie z. B. der Art des gehandhabten elektronischen Geräts, der Sensibilität der Daten auf Speichergeräten und den Anforderungen der belieferten Lieferanten. Die R2-Einrichtung kann sich dafür entscheiden, das gesamte Gebäude oder bestimmte Bereiche darin zu sichern, muss jedoch die entsprechenden Berechtigungen für den Zugang zu allen gesicherten Bereichen gemäß Kernanforderung 7, Datensicherheit, eindeutig identifizieren und aufrechterhalten.

[Hinzugefügt am 11]   F. Unsere gesamte Einrichtung als Ganzes hat kontrollierten Zugang und wird als gesicherter Bereich verwaltet. Wir befürchten, dass das Anbringen von Schildern an der Außenseite unseres Gebäudes, die es als datengeschützten Bereich kennzeichnen, es zu einem Ziel für Diebstähle machen könnte. Erfordert Core 7(b)(3) eine Beschilderung an der Außenseite des Gebäudes?

R2 definiert keine Einzelheiten für das, was die Kennzeichnung oder Beschilderung erfordert, außer „vor unbefugtem Zugriff zu warnen“. Allgemeine Beschilderung mit Terminologie wie „Gesicherter Bereich … Kein Zutritt … Nur befugtes Personal“ könnte verwendet werden, um die Beschilderungsanforderungen zu erfüllen, ohne Einzelheiten über die Aktivitäten oder den Wert von Gegenständen innerhalb der Einrichtung preiszugeben.

Alternativ könnten Änderungen am Einrichtungslayout vorgenommen werden, um bestimmte Bereiche für zusätzliche Sicherheitskontrollen von anderen allgemeinen Bereichen zu begrenzen und zu trennen. Jede Einrichtung hat die Flexibilität, diese Sicherheitsbestimmungen so vorzunehmen, wie es am besten zu ihrem spezifischen Betrieb passt.