ISO 27001:2022 Anhang A 5.9 – Inventar der Informationen und anderer zugehöriger Vermögenswerte

• Weitere Informationen finden Sie auch in den ISO 27002:2022 Kontrolle 5.9 .
• Weitere Informationen finden Sie auch in den ISO 27001:2013 Anhang A 8.1.1 .
• Weitere Informationen finden Sie auch in den ISO 27001:2013 Anhang A 8.1.2 .

ISO 27001 Anhang A 5.9: Leitfaden zur Verwaltung von Informationsvermögensbeständen

ISO 27001:2022 Annex A Control 5.9 trägt den Namen „Inventory of Information and Other Associated Assets“.

Es verlangt von Organisationen, die für ihren Betrieb wichtigen Vermögenswerte und die damit verbundenen Risiken zu identifizieren und zu dokumentieren sowie Maßnahmen zu deren Schutz zu ergreifen. Dadurch wird sichergestellt, dass Vermögenswerte angemessen verwaltet und überwacht werden, was zu ihrer Sicherheit beiträgt.

Anhang A von ISO 27001:2022 beschreibt die Kontrolle 5.9, in der erläutert wird, wie eine Liste von Informationen und zugehörigen Vermögenswerten zusammen mit ihren jeweiligen Eigentümern erstellt und auf dem neuesten Stand gehalten werden muss.

Inventar der Informationsressourcen erklärt

Die Organisation muss anerkennen, worauf sie Zugriff hat, um ihre Geschäftstätigkeit durchführen zu können. Es muss sich seiner Informationsressourcen bewusst sein.

Eine umfassende Folgenabschätzung ist ein entscheidender Bestandteil der Datensicherheitsrichtlinie eines jeden Unternehmens. Dabei handelt es sich um eine Bestandsaufnahme aller Daten, die gespeichert, verarbeitet oder übertragen werden, sowie der jeweiligen Standorte und Sicherheitskontrollen. Es ist im Wesentlichen das Finanzbuchhaltungsäquivalent von Datenschutz, sodass Unternehmen jedes Datenelement identifizieren können.

Eine Folgenabschätzung kann verwendet werden, um Schwachstellen in Ihrem Sicherheitsprogramm zu identifizieren und Informationen zur Bewertung bereitzustellen Cyber-Risiken, die zu einem Verstoß führen könnten. Es kann auch ein Beweis dafür sein, dass Sie Maßnahmen zur Identifizierung sensibler Daten ergriffen haben bei Compliance-Audits, was Ihnen hilft, Bußgelder und Strafen zu umgehen.

Das Inventar der Informationsbestände Es sollte angegeben werden, wem jeder Vermögenswert gehört und wer für ihn verantwortlich ist, sowie den Wert und die Bedeutung jedes Gegenstands für die Geschäftstätigkeit der Organisation.

Es ist von entscheidender Bedeutung, die Bestände auf dem neuesten Stand zu halten, um sicherzustellen, dass sie Änderungen innerhalb der Organisation genau widerspiegeln.

Warum benötige ich ein Inventar der Informationsressourcen?

Das Information Asset Management hat eine lange Tradition in der Geschäftskontinuitätsplanung (BCP), der Notfallwiederherstellung (DR) und der Vorbereitung auf die Reaktion auf Vorfälle.

Der erste Schritt in jedem dieser Prozesse ist die Identifizierung kritischer Systeme, Netzwerke, Datenbanken, Anwendungen, Datenflüsse und anderer Komponenten, die Sicherheit erfordern. Wenn Sie nicht wissen, was geschützt werden muss und wo es sich befindet, können Sie nicht planen, wie es geschützt werden soll.

Was ist der Zweck von ISO 27001:2022 Annex A Control 5.9?

Ziel der Kontrolle ist die Anerkennung der Organisation Informationen und zugehörige Vermögenswerte, um die Informationssicherheit zu gewährleisten und benennen Sie das ordnungsgemäße Eigentum.

Anhang A von ISO 27001:2022 beschreibt die Kontrolle 5.9, die den Zweck und die Umsetzungsanleitungen zur Erstellung eines Inventars von Informationen und anderen Vermögenswerten in Bezug auf das ISMS-Framework beschreibt.

Führen Sie eine Bestandsaufnahme aller Informationen und zugehörigen Vermögenswerte durch, klassifizieren Sie sie in Kategorien, identifizieren Sie Eigentümer und dokumentieren Sie vorhandene/erforderliche Kontrollen.

Dies ist ein wichtiger Schritt, um sicherzustellen, dass alle Datenbestände angemessen geschützt sind.

Was dazugehört und wie man die Anforderungen erfüllt

Um die Kriterien für ISO 27001:2022 zu erfüllen, müssen Sie die Informationen und andere damit verbundene Vermögenswerte innerhalb Ihrer Organisation identifizieren. Anschließend sollten Sie die Bedeutung dieser Punkte im Hinblick auf die Informationssicherheit beurteilen. Bewahren Sie Aufzeichnungen bei Bedarf in speziellen oder vorhandenen Beständen auf.

Die Größe und Komplexität einer Organisation, bestehende Kontrollen und Richtlinien sowie die Arten von Informationen und Vermögenswerten, die sie verwendet, wirken sich alle auf die Entwicklung eines Inventars aus.

Gemäß Kontrollpunkt 5.9 ist es von entscheidender Bedeutung, sicherzustellen, dass der Bestand an Informationen und anderen zugehörigen Vermögenswerten korrekt, aktuell, konsistent und im Einklang mit anderen Beständen ist. Um die Genauigkeit zu gewährleisten, kann man Folgendes berücksichtigen:

• Führen Sie systematische Bewertungen der aufgeführten Informationen und zugehörigen Vermögenswerte gemäß dem Vermögenskatalog durch.
• Während der Installation, Änderung oder Entfernung eines Assets wird automatisch eine Bestandsaktualisierung erzwungen.
• Nehmen Sie bei Bedarf den Verbleib eines Vermögenswerts in das Inventar auf.

Einige Organisationen müssen möglicherweise mehrere Bestände für unterschiedliche Zwecke führen. Beispielsweise verfügen sie möglicherweise über spezielle Lagerbestände für Softwarelizenzen oder physische Geräte wie Laptops und Tablets.

Es ist wichtig, den gesamten physischen Bestand, einschließlich Netzwerkgeräten wie Routern und Switches, regelmäßig zu überprüfen, um die Genauigkeit des Bestands aufrechtzuerhalten Zwecken des Risikomanagements.

Weitere Informationen zur Erfüllung der Kontrolle 5.9 finden Sie im Dokument ISO 27001:2022.

Unterschiede zwischen ISO 27001:2013 und ISO 27001:2022

In der ISO 27001:2022 wurden 58 Kontrollen aus ISO 27001:2013 überarbeitet und weitere 24 Kontrollen zusammengeführt. Es wurden 11 neue Steuerelemente hinzugefügt und einige gelöscht.

Daher werden Sie es nicht finden Anhang A Kontrolle 5.9 – Inventar der Informationen und anderer damit verbundener Vermögenswerte – in der Version 2013, da es sich nun um eine Kombination aus handelt ISO 27001:2013 Anhang A 8.1.1 – Inventar der Vermögenswerte - und ISO 27001:2013 Anhang A 8.1.2 – Eigentum an Vermögenswerten – in der Version 2022.

Anhang A von ISO 27001:2022 beschreibt Kontrolle 8.1.2, Eigentum an Vermögenswerten. Dadurch wird sichergestellt, dass alle Informationsbestände eindeutig identifiziert und im Besitz sind. Wenn Sie wissen, wem was gehört, können Sie feststellen, welche Vermögenswerte geschützt werden müssen und wer Rechenschaftspflicht hat.

ISO 27001:2013 und ISO 27001:2022 verfügen beide über ähnliche KontrollenAnhang A Control 5.9 des letzteren wurde jedoch erweitert, um eine einfachere Interpretation zu ermöglichen. Die Implementierungsleitlinien zum Asset-Eigentum in Kontrolle 8.1.2 schreiben beispielsweise vor, dass der Asset-Eigentümer Folgendes tun sollte:

• Stellen Sie sicher, dass alle Vermögenswerte im Inventar korrekt erfasst werden.
• Stellen Sie sicher, dass Vermögenswerte angemessen klassifiziert und geschützt werden.
• Überprüfen Sie regelmäßig und Zugangsbeschränkungen definieren und Klassifizierungen für wichtige Vermögenswerte unter Berücksichtigung der geltenden Zugangskontrollrichtlinien.
• Stellen Sie sicher, dass bei der Veräußerung oder Zerstörung des Vermögenswerts geeignete Maßnahmen ergriffen werden.

Der Eigentumsabschnitt von Control 5.9 wurde um neun Punkte statt der ursprünglichen vier erweitert. Es wurden Korrekturen an Rechtschreibung und Grammatik vorgenommen und der Ton wurde in einen professionellen, freundlichen Stil geändert. Redundanzen und Wiederholungen wurden beseitigt und der Schreibstil ist jetzt in einem aktiven Stil gehalten.

Der Vermögenseigentümer sollte die Verantwortung für die angemessene Überwachung eines Vermögenswerts während seines gesamten Lebenszyklus übernehmen und sicherstellen, dass:

• Alle Daten und zugehörigen Ressourcen werden aufgelistet und dokumentiert.
• Stellen Sie sicher, dass alle Daten, zugehörigen Vermögenswerte und anderen zugehörigen Ressourcen genau klassifiziert und geschützt sind.
• Die Klassifizierung wird regelmäßig überprüft, um ihre Richtigkeit sicherzustellen.
• Komponenten, die Technologieressourcen unterstützen, werden erfasst und miteinander verknüpft, einschließlich Datenbanken, Speicher, Softwarekomponenten und Unterkomponenten.
• Anforderungen für die akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten sind in 5.10 festgelegt.
• Zugangsbeschränkungen entsprechen der Klassifizierung und erweisen sich als wirksam. Sie werden regelmäßig überprüft, um einen kontinuierlichen Schutz zu gewährleisten.
• Informationen und andere damit verbundene Vermögenswerte werden beim Löschen oder Entsorgen sicher behandelt und aus dem Inventar entfernt.
• Sie sind dafür verantwortlich, die mit ihren Vermögenswerten verbundenen Risiken zu identifizieren und zu bewältigen.
• Sie unterstützen das Personal bei der Verwaltung ihrer Informationen und übernehmen die damit verbundenen Rollen und Verantwortlichkeiten.

Das Zusammenführen dieser beiden Steuerelemente zu einem erleichtert dem Benutzer das Verständnis.

Tabelle aller ISO 27001:2022 Anhang A-Kontrollen

In der Tabelle unten finden Sie weitere Informationen zu den einzelnen Personen ISO 27001:2022 Anhang A Steuern.

Was bedeuten diese Veränderungen für Sie?

Die neuesten ISO 27001-Änderungen haben keine Auswirkungen auf Ihre aktuelle Zertifizierung gemäß ISO 27001-Standards. Nur Upgrades auf ISO 27001 kann Auswirkungen auf bestehende Zertifizierungen haben. Die Akkreditierungsstellen werden mit den Zertifizierungsstellen zusammenarbeiten, um eine Übergangsfrist zu entwickeln, die den Organisationen Zeit gibt ISO 27001-Zertifikate bieten genügend Zeit, um von einer Version zur nächsten zu wechseln.

Diese Schritte müssen unternommen werden, um die überarbeitete Version zu erfüllen:

• Stellen Sie sicher, dass Ihr Unternehmen die neuesten Vorschriften einhält, indem Sie das Risikoregister und die Risikomanagementverfahren prüfen.
• Der Anhang A sollte geändert werden, um etwaige Änderungen an der Anwendbarkeitserklärung widerzuspiegeln.
• Stellen Sie sicher, dass Ihre Richtlinien und Verfahren auf dem neuesten Stand sind, um den neuen Vorschriften gerecht zu werden.

Während der Umstellung auf den neuen Standard haben wir Zugriff auf neue Best Practices und Qualitäten für die Kontrollauswahl, was einen effektiveren und effizienteren Auswahlprozess ermöglicht.

Sie sollten an einem risikobasierten Ansatz festhalten, um sicherzustellen, dass nur die relevantesten und effizientesten Kontrollen für Ihr Unternehmen ausgewählt werden.

Wie ISMS.online hilft

ISMS.online ist ideal für die Implementierung Ihres ISO 27001 Informationssicherheits-Managementsystems. Es wurde speziell entwickelt, um Unternehmen dabei zu helfen, die Anforderungen des Standards zu erfüllen.

Das Die Plattform wendet eine risikoorientierte Methode an In Verbindung mit führenden Best Practices und Vorlagen der Branche können Sie die Risiken, denen Ihr Unternehmen ausgesetzt ist, und die zu deren Bewältigung erforderlichen Kontrollen ermitteln. Dadurch können Sie sowohl Ihre Risikoexposition als auch Ihren Compliance-Aufwand systematisch reduzieren.

ISMS.online ermöglicht Ihnen:

1. Entwickle ein Informationssicherheits-Managementsystem (ISMS).
2. Erstellen Sie maßgeschneiderte Richtlinien und Verfahren.
3. Implementieren Sie ein ISMS, um die ISO 27001-Standards zu erfüllen.
4. Erhalten Sie Unterstützung von erfahrenen Beratern.

Sie können ISMS.online nutzen, um ein ISMS aufzubauen, individuelle Richtlinien und Prozesse zu erstellen, die ISO 27001-Kriterien einzuhalten und Hilfe von erfahrenen Beratern zu erhalten.

Die ISMS.online-Plattform basiert auf Plan-Do-Check-Act (PDCA), einem iterativen vierstufigen Verfahren zur kontinuierlichen Verbesserung, das alle Anforderungen der ISO 27001:2022 erfüllt. Es ist unkompliziert. Kontaktieren Sie uns jetzt, um Vereinbaren Sie Ihre Vorführung.