Durchführung von ISO 27001-Audits in ISMS.online

So entwickeln Sie ein Asset-Inventar für ISO 27001

Einführung in das Asset-Inventar

Sie müssen ein Inventar der Informationsbestände Ihrer Organisation erstellen, um:

Wenn wir über Informationsressourcen sprechen, stellen wir fest, dass die meisten Menschen an Dinge wie Laptops und Server denken. Aber es gibt noch viele andere Dinge, die Sie berücksichtigen müssen. Personen, geistiges Eigentum und sogar immaterielle Vermögenswerte wie die Marke Ihres Unternehmens können alle in Ihr Anlageninventar passen.

Sobald Sie Ihr Anlageninventar entwickelt haben, besteht Ihr nächster Schritt darin, drei Übungen durchzuführen:

  • Filterung
  • Priorisierung
  • Kategorisierung

Anschließend müssen Sie das Risiko Ihren Vermögenswerten zuordnen, indem Sie die soeben identifizierten Kategorien verwenden.

Die Entwicklung Ihres Anlageninventars kann zunächst recht kompliziert erscheinen. Aber wenn Sie verwenden ISMS.online Sie müssen nicht wirklich alle Einzelheiten kennen, bevor Sie beginnen.

Wenn dies dein erster ist ISO 27001 Bei der Implementierung profitieren Sie enorm von unserer Virtual Coach-Funktion. Diese Videoserie ist rund um die Uhr auf der Plattform verfügbar. Es führt Sie durch Ihre Zertifizierung Reise, einschließlich der Entwicklung Ihres Asset-Inventars.

Was sollte in einer Asset-Inventur nach ISO 27001 enthalten sein?

Mit der Version 2013 des Informationssicherheitsstandards wurde eine deutliche Änderung eingeführt ISO 27001 Anforderungen, die nun alle erwarten Informationsvermögen nicht nur als physische Vermögenswerte betrachtet werden. Dazu gehört alles, was für die Organisation von Wert ist, wo Informationen gespeichert, verarbeitet und zugänglich sind, aber es ist das Information Das ist von echtem Interesse, weniger das Netzwerk oder das Gerät an sich, obwohl es sich eindeutig immer noch um Vermögenswerte handelt, die geschützt werden müssen:

  • Informationen (bzw technische Daten)
  • Immaterielle Werte – wie geistiges Eigentum, Marke und Ruf
  • Personen – Mitarbeiter, Zeitarbeitskräfte, Auftragnehmer, Freiwillige usw

Und das Physische Vermögenswerte verbunden mit deren Abwicklung und Infrastruktur:

  • Hardware – Typischerweise IT-Server, Netzwerkgeräte, Workstations, mobile Geräte usw
  • Software – Gekaufte oder maßgeschneiderte Software
  • Dienstleistungen – Das Aktuelle erbrachte Dienstleistung an Endbenutzer (z. B. Datenbanksysteme, E-Mail usw.)
  • Standorte und Gebäude – Standorte, Gebäude, Büros usw

Jede Art von Vermögenswert kann anhand einer Reihe von Faktoren logisch gruppiert werden, beispielsweise:

  • Klassifizierung – z. B. öffentlich, intern, vertraulich usw
  • Informationstyp – z. B. persönlich, vertraulich, kommerziell usw
  • Finanzieller oder nichtfinanzieller Wert

Ein Prüfer erwartet eine Bestandsaufnahme oder Bestandsaufnahme, die alles abdeckt die relevanten Vermögenswerte im Geltungsbereich des ISMS. Jedem Vermögenswert muss ein Eigentümer zugewiesen werden und jedem muss eine Klassifizierung zugewiesen werden.

Wer sollte der Anlageneigentümer sein und welche Pflichten hat er gemäß ISO 27001?

Der Eigentümer ist nicht unbedingt der rechtliche oder physische Inhaber des Vermögenswerts, sondern die Person, die die Verantwortung und die entsprechenden Befugnisse hat, um sicherzustellen, dass mindestens:

    • Vermögenswerte werden inventarisiert;
    • Vermögenswerte werden korrekt klassifiziert und geschützt;
    • Zugangsbeschränkungen zum Vermögenswert und seine Klassifizierung werden regelmäßig überprüft; Und
    • Assets werden beim Löschen oder Vernichten korrekt behandelt.

Tägliche Verantwortung für Vermögensverwaltung (z. B. Aktualisierung der Inventare, Durchführung von Audits usw.) können delegiert werden, die letztendliche Verantwortung für die Sicherstellung der Korrektheit bleibt jedoch bestehen Die Verwaltung verbleibt beim jeweiligen Vermögenswert Eigentümer.

Der Asset-Eigentümer ist dafür verantwortlich, die Schutzanforderungen für das Asset, wie z. B. Zugriffsbeschränkungen, im Einklang mit den Richtlinien und Standards der Organisation festzulegen.

In welcher Beziehung steht das Asset-Inventar nach ISO 27001:2013 zur DSGVO?

Um die einzuhalten Allgemeine Datenschutzverordnung (GDPR/DSGVO) Eine Organisation muss eine Bestandsaufnahme der Systeme führen, die personenbezogene Daten speichern und verarbeiten. Es erfordert auch, dass die damit verbundenen Risiken persönlich sind technische Daten werden identifiziert, beurteilt und behandelt, also im Anschluss an die ISO 27001 :2013 Ansatz für Vermögenswerte und Risikobewertung bedeutet, dass es sich leicht umschließen und so ausrichten lässt, dass es integriert werden kann Auch DSGVO-Anforderungen.

Sollten Sie eine Vorlage oder ein Tool zur Verwaltung Ihres Asset-Inventars verwenden?

Es stehen viele Beispielvorlagen für Vermögensverzeichnisse/-register zur Verfügung. Diese basieren auf einem einfachen Tabellenkalkulationsansatz und lassen sich genauso einfach selbst erstellen.

Allerdings handelt es sich bei einer Tabellenkalkulation um ein statisches Dokument, und obwohl sie sich gut für die Finanzmodellierung und grundlegende Dinge eignet, eignet sie sich nicht so gut für die Darstellung, wie der Vermögenswert mit den identifizierten Risiken, den relevanten Richtlinien usw. zusammenhängt Steuerung, oder die andere dynamische Arbeit eines Informationssicherheits-Managementsystem.

Ein gutes Technologie-Tool für Vermögensbestände wird vorkonfiguriert geliefert, mit der Option zur Anpassung an Ihre eigenen Klassifizierungen, ermöglicht Ihnen die Zuweisung von Eigentümern, Fälligkeitsterminen und Erinnerungen und die Erfassung aller erforderlichen Beweise an einem sicheren Ort.

Inventar der Informationsressourcen

Erwägen Sie auch ein Informationssicherheitsmanagement-Tool, mit dem Sie Ihren Vermögenswerten Werte zuweisen können, da dies Ihnen bei der Priorisierung hilft Risikobewertungen und verstehen Sie alle potenziellen Auswirkungen von Vorfällen, Ereignissen oder Verstößen.

Schließlich verfügen die besten Tools über die Möglichkeit, den Vermögenswert problemlos mit Risiken auf Ihrem Konto zu verknüpfen Risikobehandlungsplanzu deinem ISMS Steuerung, Lieferkette und alle anderen Aktionen in der ISMS die zeigen, dass Ihr Vermögen gut geschützt ist.

In der Tat, in ISMS.onlineWenn Sie dieselbe leistungsstarke Verknüpfung verwenden, begeben Sie sich auf eine einfache Reise vom Informationswert zum Risiko Steuerung bei der Behandlung des Risikos benötigt und dann dynamisch von der Kontrolle bis zur Aktualisierung Erklärung zur Anwendbarkeit mit der Begründung für die Umsetzung. Es ist wirklich so einfach mit ISMS.online.

Die Erstellung einer eigenen Asset-Tabelle ist möglicherweise nicht mit scheinbaren Kosten verbunden, bringt jedoch die Herausforderung mit sich, dass eine viel höhere Verwaltung und Koordination mit den anderen Teilen der Tabelle erforderlich ist ISMS, besonders wenn Sie es anstreben ISO 27001 Zertifizierung. Oder Sie denken längerfristig und investieren in ein spezielles Vermögensverwaltungstool. Aber sie sind oft komplex und detailreich. Das Information Asset Management könnte durchaus zu einem eigenständigen Vollzeitjob werden. Und Sie müssen Ihr Tool weiterhin mit dem Rest Ihres ISMS verknüpfen.

Anstatt zu einer Tabellenkalkulation oder einem eigenständigen Spezialtool zu greifen, empfehlen wir Ihnen, nach einer ISMS-Plattform zu suchen, die über ein eigenes Asset-Inventar-Tool verfügt. Es sollte:

  • Sie sind vorkonfiguriert, können aber problemlos mit Ihren eigenen Klassifizierungen angepasst werden
  • Ermöglichen Ihnen die Zuweisung von Asset-Eigentümern sowie die Zuweisung von Fälligkeitsterminen und Erinnerungen für die Asset-Verwaltung
  • Erfassen Sie Beweise für interne und externe Audits dynamisch an einem sicheren Ort

Sie sollten damit auch die Möglichkeit haben, Ihren Vermögenswerten Werte zuzuordnen. Das wird Ihnen dabei helfen, Risikobewertungen zu priorisieren und die potenziellen Auswirkungen jeder Risikobewertung einzuschätzen Sicherheitsvorfälle, Ereignisse oder Verstöße. Und Sie sollten in der Lage sein, eine Verbindung zu Ihrem herzustellen Risikobehandlung planen und darüber hinaus.

Das ist die Art der Verlinkung, die Ihnen ISMS.online ermöglicht. Sie können von einem Informationswert zu einem Risiko wechseln, dem er ausgesetzt ist, und zu der Kontrolle, die dieses Risiko behandelt. Dann können Sie von diesem Steuerelement zu Ihrem springen Erklärung zur Anwendbarkeitund aktualisiert es mit der Begründung seiner Umsetzung.

Es ist wirklich so einfach.

« Risikobewertung nach ISO 27001

Aufbau stabiler und sicherer Lieferantenbeziehungen »

Letzte Änderung: 11. April 2023
Autor

Julia Reiher

Julia ist die ISMS.online-Lösungsspezialistin für Unternehmenskunden und arbeitet mit Organisationen zusammen, um sie bei ihren Compliance-Zielen zu unterstützen.

Alle Beiträge von Julia Heron anzeigen

Zusammenhängende Posts

ISMS.online unterstützt jetzt ISO 42001 – das weltweit erste KI-Managementsystem. Klicken Sie hier, um mehr zu erfahren