ISO 27001 – Anhang A.8: Asset Management

Was ist das Ziel von Anhang A.8.1?

In Anhang A.8.1 geht es um die Vermögensverantwortung. Das Ziel dieses Anhangs besteht darin, Informationsressourcen im Geltungsbereich des Managementsystems zu identifizieren und entsprechende Schutzverantwortlichkeiten festzulegen.

Es ist ein wichtiger Bestandteil des Informationssicherheits-Managementsystems (ISMS), insbesondere wenn Sie eine ISO 27001-Zertifizierung erreichen möchten.

A.8.1.1 Inventar der Vermögenswerte

Alle mit Informationen und Informationsverarbeitungsanlagen verbundenen Vermögenswerte müssen über den gesamten Lebenszyklus hinweg identifiziert und verwaltet werden, und zwar immer auf dem neuesten Stand.

Es muss ein Register oder eine Bestandsaufnahme dieser Vermögenswerte erstellt werden, aus der hervorgeht, wie diese verwaltet und kontrolliert werden, basierend auf ihrer Bedeutung (was auch gut mit der nachstehenden Informationsklassifizierung übereinstimmt). Dieser Lebenszyklus der Informationen umfasst im Allgemeinen die Phasen Erstellung, Verarbeitung, Speicherung, Übertragung, Löschung und Zerstörung.

A.8.1.2 Eigentum an Vermögenswerten

Alle Informationsressourcen müssen Eigentümer haben. Das Eigentum an der Vermögensverwaltung kann sich auch vom rechtlichen Eigentum unterscheiden und auf individueller Ebene, Abteilung oder einer anderen Einheit erfolgen. Das Eigentum sollte bei der Erstellung der Vermögenswerte zugewiesen werden.

Der Eigentümer des Vermögenswerts ist für die effektive Verwaltung des Vermögenswerts über den gesamten Lebenszyklus des Vermögenswerts verantwortlich. Sie können auch die Verwaltung delegieren und die Eigentümerschaft kann sich während dieses Lebenszyklus ändern, solange beides dokumentiert ist.

A.8.1.3 Akzeptable Nutzung von Vermögenswerten

Um richtig zu handeln, ist eine akzeptable Nutzung von Informationen und Vermögenswerten wichtig. Regeln für die akzeptable Nutzung von Vermögenswerten werden häufig in einer „Richtlinie zur akzeptablen Nutzung“ dokumentiert. Die Regeln für eine akzeptable Nutzung müssen Mitarbeiter, Zeitarbeitskräfte, Auftragnehmer und gegebenenfalls andere Dritte in allen Informationsbeständen berücksichtigen, auf die sie Zugriff haben.

Es ist wichtig, dass alle relevanten Parteien Zugang zu den dokumentierten akzeptablen Nutzungsregeln haben und diese durch regelmäßige Schulungen und Aktivitäten zur Sensibilisierung für Informationssicherheit und Compliance gestärkt werden.

A.8.1.4 Rückgabe von Vermögenswerten

Von allen Mitarbeitern und externen Nutzern wird erwartet, dass sie bei Beendigung ihres Arbeitsverhältnisses, Vertrags oder ihrer Vereinbarung sämtliche Organisations- und Informationsressourcen zurückgeben. Daher muss es eine Verpflichtung für Mitarbeiter und externe Nutzer geben, alle Vermögenswerte zurückzugeben, und diese Verpflichtungen würden in den entsprechenden Vereinbarungen mit Mitarbeitern, Auftragnehmern und anderen erwartet.

Außerdem ist ein solider, dokumentierter Prozess erforderlich, um sicherzustellen, dass die Rückgabe von Vermögenswerten ordnungsgemäß verwaltet wird und für jede Person oder jeden Lieferanten, der ihn durchläuft, nachgewiesen werden kann – dies steht im Einklang mit den Ausgangskontrollen in Anhang 7 für die Sicherheit der Humanressourcen und Anhang 13.2.4 für Vertraulichkeitsvereinbarungen und Anhang A.15 für Lieferantenaktivitäten.

Wenn Vermögenswerte nicht gemäß dem Verfahren zurückgegeben werden, sofern im Rahmen des Ausstiegsprozesses nichts anderes vereinbart und dokumentiert wird, sollte die Nichtrückgabe als Sicherheitsvorfall protokolliert und gemäß Anhang A.16 weiterverfolgt werden. Das Verfahren zur Rückgabe von Vermögenswerten ist niemals narrensicher und dies unterstreicht auch die Notwendigkeit einer regelmäßigen Prüfung von Vermögenswerten, um deren dauerhaften Schutz sicherzustellen.

Was ist das Ziel von Anhang A.8.2?

In Anhang A.8.2 geht es um die Klassifizierung von Informationen. Das Ziel dieses Anhangs besteht darin, sicherzustellen, dass Informationen entsprechend ihrer Bedeutung für die Organisation (und interessierte Parteien wie Kunden) ein angemessenes Schutzniveau erhalten.

A.8.2.1 Klassifizierung von Informationen

Informationen müssen im Hinblick auf gesetzliche Anforderungen, Wert, Kritikalität und Empfindlichkeit gegenüber unbefugter Offenlegung oder Änderung klassifiziert werden, idealerweise so klassifiziert, dass sie die Geschäftstätigkeit widerspiegeln, anstatt sie zu behindern oder zu erschweren. Beispielsweise könnten Informationen, die öffentlich zugänglich gemacht werden, z. B. auf einer Website, lediglich als „öffentlich“ gekennzeichnet werden, wohingegen „vertraulich“ oder „kommerziell vertraulich“ offensichtlich sind, da die Informationen sensibler als öffentlich sind.

Die Klassifizierung von Informationen ist eine der wichtigsten Kontrollen, mit denen sichergestellt wird, dass Vermögenswerte angemessen und verhältnismäßig geschützt werden. Viele Organisationen verfügen über drei bis vier Klassifizierungsoptionen, um eine effektive Verwaltung der Informationen unter Berücksichtigung ihres Wertes und ihrer Bedeutung zu ermöglichen. Es kann jedoch so einfach oder so komplex sein, wie es erforderlich ist, um den richtigen Grad an Granularität zum Schutz von Vermögenswerten sicherzustellen.

Denken Sie daran: Wenn Sie es wirklich einfach halten und zu wenige Klassifizierungen haben, kann das bedeuten, dass Sie sich über oder unter technischen Kontrollen befinden. Zu viele Klassifizierungsoptionen führen wahrscheinlich dazu, dass Endbenutzer nicht wissen, welche Option sie verwenden sollen, und verursachen zusätzlichen Aufwand für das Verwaltungsschema. Wie alle Kontrollen muss auch diese regelmäßig überprüft werden, um sicherzustellen, dass sie dauerhaft ihren Zweck erfüllt.

A.8.2.2 Kennzeichnung von Informationen

Entsprechend dem von der Organisation angenommenen Informationsklassifizierungsschema müssen geeignete Verfahren zur Informationskennzeichnung entwickelt und umgesetzt werden. Verfahren zur Informationskennzeichnung müssen Informationen und zugehörige Vermögenswerte sowohl in physischer als auch in elektronischer Form abdecken. Diese Kennzeichnung sollte das in 8.2.1 festgelegte Klassifizierungsschema widerspiegeln.

Die Etiketten sollten leicht erkennbar und in der Praxis leicht zu handhaben sein, sonst werden sie nicht befolgt. Beispielsweise könnte es einfacher sein, de facto zu entscheiden, dass alles in den digitalen Systemen vertraulich ist, sofern nicht ausdrücklich anders gekennzeichnet, als die Mitarbeiter dazu zu bringen, jede CRM-Aktualisierung mit einer geschäftlichen Geheimhaltungserklärung zu kennzeichnen!

Machen Sie sich klar, wo diese De-facto-Kennzeichnung erfolgt, und dokumentieren Sie sie in Ihrer Richtlinie. Denken Sie dann daran, sie in die Schulung des Personals einzubeziehen.

A.8.2.3 Umgang mit Vermögenswerten

Verfahren für den Umgang mit Vermögenswerten müssen gemäß dem Informationsklassifizierungsschema entwickelt und umgesetzt werden. Folgendes sollte berücksichtigt werden: Zugriffsbeschränkungen für jede Klassifizierungsebene; Führung eines formellen Verzeichnisses der berechtigten Empfänger von Vermögenswerten; Lagerung von IT-Assets gemäß Herstellervorgaben, Kennzeichnung von Medien für Berechtigte.

Wenn die Organisation Informationsbestände für Kunden, Lieferanten und andere verwaltet, ist es wichtig, unserer Organisation entweder eine Zuordnungsrichtlinie, z. B. die Kundenklassifizierung offizieller sensibler Karten, vertraulich vorzulegen, oder dass die zusätzliche Klassifizierung auf andere Weise gehandhabt wird Zeigen Sie, dass es geschützt wird.

Was ist das Ziel von Anhang A.8.3?

Im Anhang A.8.3 geht es um den Umgang mit Medien. Das Ziel dieses Anhangs besteht darin, die unbefugte Offenlegung, Änderung, Entfernung oder Zerstörung von auf Datenträgern gespeicherten Informationen zu verhindern.

A.8.3.1 Verwaltung von Wechselmedien

Für die Verwaltung von Wechseldatenträgern gemäß dem Klassifizierungsschema müssen Verfahren eingerichtet werden. Die allgemeine Verwendung von Wechseldatenträgern muss risikobewertet werden, darüber hinaus kann es erforderlich sein, anwendungsspezifische Risikobewertungen durchzuführen. Wechselmedien sollten nur zugelassen werden, wenn ein berechtigter geschäftlicher Grund vorliegt.

Wenn der Inhalt wiederverwendbarer Medien nicht mehr benötigt wird, sollte er unwiederbringlich gemacht und sicher vernichtet oder gelöscht werden. Alle Medien sollten in einer sicheren Umgebung gemäß den Herstellerspezifikationen gelagert werden und gegebenenfalls zusätzliche Techniken wie Kryptographie berücksichtigt werden (z. B. im Rahmen der Risikobewertung).

Wo nötig und praktisch, sollte eine Genehmigung für die Entfernung von Medien aus der Organisation erforderlich sein und es sollten Aufzeichnungen geführt werden, um einen Prüfpfad zu führen.

A.8.3.2 Entsorgung von Medien

Wenn Medien nicht mehr benötigt werden, müssen sie gemäß den dokumentierten Verfahren sicher entsorgt werden. Diese Verfahren minimieren das Risiko, dass vertrauliche Informationen an Unbefugte weitergegeben werden.

Die Verfahren sollten im Verhältnis zur Sensibilität der zu entsorgenden Informationen stehen. Zu den Dingen, die berücksichtigt werden sollten, gehören: ob die Medien vertrauliche Informationen enthalten oder nicht; und über Verfahren verfügen, die dabei helfen, die Elemente zu identifizieren, die möglicherweise betroffen sind. bedürfen einer sicheren Entsorgung.

A.8.3.3 Physische Medienübertragung

Alle Medien, die Informationen enthalten, müssen vor unbefugtem Zugriff, Missbrauch oder Beschädigung während des Transports geschützt werden (sofern sie nicht bereits öffentlich verfügbar sind).

Folgendes sollte zum Schutz der Medien beim Transport beachtet werden: Es sollten zuverlässige Transportmittel oder Kuriere eingesetzt werden – möglicherweise sollte eine Liste autorisierter Kuriere mit der Geschäftsleitung vereinbart werden; Die Verpackung sollte ausreichend sein, um den Inhalt während des Transports vor physischen Schäden zu schützen. Es sollten Protokolle geführt werden, die den Inhalt der Medien und den angewendeten Schutz identifizieren.

Es ist außerdem zu beachten, dass bei unverschlüsselten vertraulichen Informationen auf Medien ein zusätzlicher physischer Schutz der Medien in Betracht gezogen werden sollte.