Kontrolle 5.9 in der überarbeiteten ISO 27002:2022 beschreibt, wie ein Inventar von Informationen und anderen zugehörigen Vermögenswerten, einschließlich Eigentümern, entwickelt und gepflegt werden sollte.
Um ihre Aktivitäten durchführen zu können, muss die Organisation wissen, über welche Informationsressourcen sie verfügt.
An Inventar der Informationsbestände (IA) ist eine Liste von allem, was eine Organisation speichert, verarbeitet oder überträgt. Es enthält auch die Standort- und Sicherheitskontrollen für jeden Artikel. Ziel ist es, jedes einzelne Datenelement zu identifizieren. Man kann es sich als das Finanzbuchhaltungsäquivalent zum Datenschutz vorstellen.
Eine Folgenabschätzung kann verwendet werden, um Lücken in Ihrem Unternehmen zu identifizieren Sicherheitsprogramm und informieren über Cyber-Risikobewertungen wo Sie möglicherweise Schwachstellen haben, die zu einem Verstoß führen könnten. Es kann auch als Beweismittel verwendet werden bei Compliance-Audits dass Sie bei der Identifizierung Ihrer sensiblen Daten die gebotene Sorgfalt walten lassen, was Ihnen hilft, Bußgelder und Strafen zu vermeiden.
Das Inventar der Informationsbestände sollten auch Einzelheiten darüber enthalten, wem die einzelnen Vermögenswerte gehören und wer sie verwaltet. Es sollte auch Informationen über den Wert jedes Artikels im Inventar und darüber enthalten, wie wichtig dieser für den Erfolg der Geschäftstätigkeit der Organisation ist.
Es ist wichtig, dass die Inventare auf dem neuesten Stand gehalten werden, damit sie Änderungen innerhalb der Organisation widerspiegeln.
Wir sind kostengünstig und schnell
Das Information Asset Management hat eine lange Geschichte in den Bereichen Business Continuity Planning (BCP), Disaster Recovery (DR) und Incident Response Planning.
Der erste Schritt in jedem dieser Prozesse besteht darin, kritische Systeme, Netzwerke, Datenbanken, Anwendungen, Datenflüsse und andere Komponenten zu identifizieren, die geschützt werden müssen. Wenn Sie nicht wissen, was geschützt werden muss oder wo es sich befindet, können Sie nicht planen, wie Sie es schützen können!
Steuerelemente werden anhand von Attributen klassifiziert. Mithilfe dieser können Sie Ihre Steuerungsauswahl schnell mit häufig verwendeten Branchenbegriffen und -spezifikationen abgleichen.
Diese Tabelle ergänzt Arbeiten, die viele Kunden derzeit im Rahmen ihrer Arbeit durchführen Risikobewertung und SOA durch Ermittlung der Vertraulichkeit, Integrität und Verfügbarkeit – und andere Faktoren. In Steuerung 5.9 sind die Attribute:
| Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
|---|---|---|---|---|
| #Präventiv | #Vertraulichkeit #Integrität #Verfügbarkeit | #Identifizieren | #Vermögensverwaltung | #Governance und Ökosystem #Schutz |
Der Zweck dieser Kontrolle besteht darin, die Informationen und andere damit verbundene Vermögenswerte der Organisation zu identifizieren, um deren Informationssicherheit zu wahren und angemessene Eigentumsrechte zuzuweisen.
Kontrolle 5.9 umfasst die Kontroll-, Zweck- und Implementierungsanleitungen für die Erstellung eines Inventars von Informationen und anderen zugehörigen Vermögenswerten im Einklang mit dem ISMS-Rahmen gemäß ISO 27001.
Die Kontrolle erfordert eine Bestandsaufnahme aller Informationen und anderer damit verbundener Vermögenswerte, deren Klassifizierung in verschiedene Kategorien, die Identifizierung ihrer Eigentümer und die Dokumentation der Kontrollen, die vorhanden sind oder vorhanden sein sollten.
Dies ist ein entscheidender Schritt, um sicherzustellen, dass alle Informationsressourcen angemessen geschützt sind.
Wir verschaffen Ihnen einen Vorsprung von 81 %
ab dem Moment, in dem Sie sich anmelden
Buchen Sie Ihre Demo
Wir sind so froh, dass wir diese Lösung gefunden haben, sie hat alles einfacher zusammenpassen lassen.
Zu die Anforderungen der neuen ISO 27002:2022 erfüllen, müssen Sie die Informationen und andere damit verbundene Vermögenswerte innerhalb Ihrer Organisation identifizieren. Dann sollten Sie die Bedeutung dieser Punkte im Hinblick auf die Informationssicherheit ermitteln. Gegebenenfalls sollte die Dokumentation in speziellen oder vorhandenen Inventaren geführt werden.
Der Ansatz zur Entwicklung eines Inventars variiert je nach Größe und Komplexität einer Organisation, ihren vorhandenen Kontrollen und Richtlinien sowie den Arten von Informationen und anderen damit verbundenen Vermögenswerten, die sie verwendet.
Gemäß Kontrolle 5.9 sollte der Bestand an Informationen und anderen zugehörigen Vermögenswerten korrekt, aktuell, konsistent und mit anderen Beständen abgeglichen sein. Zu den Optionen zur Sicherstellung der Genauigkeit einer Bestandsaufnahme von Informationen und anderen damit verbundenen Vermögenswerten gehören:
a) Durchführung regelmäßiger Überprüfungen identifizierter Informationen und anderer damit verbundener Vermögenswerte anhand des Vermögensbestands;
b) Automatisches Erzwingen einer Bestandsaktualisierung beim Installieren, Ändern oder Entfernen eines Assets.
Der Standort eines Vermögenswerts sollte gegebenenfalls in das Inventar aufgenommen werden.
Einige Organisationen müssen möglicherweise mehrere Bestände für unterschiedliche Zwecke führen. Einige Organisationen verfügen beispielsweise über spezielle Bestände für Softwarelizenzen oder für physische Geräte wie Laptops und Tablets.
Andere verfügen möglicherweise über ein einziges Inventar, das alle physischen Geräte umfasst, einschließlich Netzwerkgeräten wie Routern und Switches. Es ist wichtig, dass solche Inventare regelmäßig überprüft werden, um sicherzustellen, dass sie auf dem neuesten Stand sind, damit sie zur Unterstützung verwendet werden können Risikomanagement Aktivitäten.
Weitere Informationen zur Erfüllung der Anforderungen der Steuerung 5.9 finden Sie im neuen Dokument ISO 27002:2022.
Die einzige Compliance
Lösung, die Sie brauchen
Buchen Sie Ihre Demo
In ISO 27002:2022 wurden 57 Kontrollen aus ISO 27002:2013 zu 24 Kontrollen zusammengeführt. Daher finden Sie Control 5.9 nicht als Inventar der Informationen und anderer zugehöriger Vermögenswerte in der Version 2013. Vielmehr handelt es sich in der Version 2022 um eine Kombination aus Kontrolle 8.1.1 Inventar der Vermögenswerte und Kontrolle 8.1.2 Eigentum an Vermögenswerten.
Der Zweck der Kontrolle 8.1.1 Inventar der Vermögenswerte besteht darin, sicherzustellen, dass alle Informationsressourcen identifiziert, dokumentiert und regelmäßig überprüft werden und dass geeignete Prozesse und Verfahren vorhanden sind, um sicherzustellen, dass dieses Inventar sicher ist.
Kontrolle 8.1.2 Eigentum an Vermögenswerten ist dafür verantwortlich, sicherzustellen, dass alle Informationsressourcen, die unter ihrer Kontrolle stehen, ordnungsgemäß identifiziert und in Besitz genommen werden. Wenn Sie wissen, wem was gehört, können Sie feststellen, welche Vermögenswerte Sie schützen müssen und gegenüber wem Sie Rechenschaft ablegen müssen.
Während beide Kontrollen in ISO 27002:2013 der Kontrolle 5.9 in ISO 27002:2022 ähneln, wurde letztere erweitert, um eine benutzerfreundlichere Interpretation zu ermöglichen. In den Umsetzungsleitlinien für das Eigentum an Vermögenswerten unter Kontrolle 8.1.2 heißt es beispielsweise, dass der Eigentümer der Vermögenswerte Folgendes tun sollte:
a) Stellen Sie sicher, dass die Vermögenswerte inventarisiert sind.
b) sicherstellen, dass Vermögenswerte angemessen klassifiziert und geschützt werden;
c) Definieren und überprüfen Sie regelmäßig Zugangsbeschränkungen und -klassifizierungen zu wichtigen Vermögenswerten unter Berücksichtigung der geltenden Zugangskontrollrichtlinien;
d) Stellen Sie eine ordnungsgemäße Handhabung sicher, wenn das Asset gelöscht oder zerstört wird.
Diese 4 Punkte wurden im Besitzabschnitt der Steuerung 9 auf 5.9 Punkte erweitert.
Das Der Vermögenseigentümer sollte für die ordnungsgemäße Verwaltung verantwortlich sein eines Vermögenswerts über den gesamten Lebenszyklus des Vermögenswerts und stellt sicher, dass:
a) Informationen und andere damit verbundene Vermögenswerte werden inventarisiert;
b) Informationen und andere damit verbundene Vermögenswerte werden angemessen klassifiziert und geschützt;
c) die Klassifizierung wird regelmäßig überprüft;
d) Komponenten, die Technologieressourcen unterstützen, werden aufgelistet und verknüpft, z. B. Datenbank, Speicher, Softwarekomponenten und Unterkomponenten;
e) Anforderungen für die akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten (siehe 5.10) werden festgelegt;
f) Die Zugangsbeschränkungen entsprechen der Klassifizierung, sind wirksam und werden regelmäßig überprüft.
g) Informationen und andere damit verbundene Vermögenswerte werden, wenn sie gelöscht oder entsorgt werden, auf sichere Weise behandelt und aus dem Inventar entfernt;
h) Sie sind an der Identifizierung und dem Management der mit ihren Vermögenswerten verbundenen Risiken beteiligt.
i) Sie unterstützen Personal, das das hat Rollen und Verantwortlichkeiten für die Verwaltung ihrer Informationen.
Das Zusammenführen dieser beiden Steuerelemente zu einem einzigen ermöglicht ein besseres Verständnis für den Benutzer.
Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo
Seit der Migration konnten wir den Verwaltungsaufwand reduzieren.
Die neuesten ISO 27002-Änderungen haben keine Auswirkungen auf Ihre aktuelle Zertifizierung gemäß ISO 27001-Standards. Einzige ISO 27001-Upgrades haben Einfluss auf bestehende ZertifizierungenAkkreditierungsstellen werden mit den Zertifizierungsstellen zusammenarbeiten, um einen Übergangszyklus zu entwickeln, der Organisationen mit ISO 27001-Zertifikaten ausreichend Zeit für den Übergang von einer Version zur anderen gibt.
Allerdings müssen die folgenden Schritte befolgt werden, um der überarbeiteten Version gerecht zu werden:
Während der Übergangszeit zum neuen Standard werden neue Best Practices und Qualitäten für die Kontrollauswahl verfügbar sein, die einen effektiveren und effizienteren Auswahlprozess ermöglichen.
Aus diesem Grund sollten Sie weiterhin einen risikobasierten Ansatz verfolgen, um sicherzustellen, dass nur die Für Ihr Unternehmen werden die relevantesten und effektivsten Kontrollen ausgewählt.
Du kannst dich Nutzen Sie zur Verwaltung ISMS.online Ihre ISO 27002-Implementierung, da es speziell dafür entwickelt wurde, ein Unternehmen bei der Implementierung seines Informationssicherheits-Managementsystems (ISMS) zu unterstützen, um die Anforderungen von ISO 27002 zu erfüllen.
Die Plattform verwendet einen risikobasierten Ansatz in Kombination mit branchenführenden Best Practices und Vorlagen, um Ihnen dabei zu helfen, die Risiken zu identifizieren, denen Ihr Unternehmen ausgesetzt ist, und die Kontrollen, die zur Bewältigung dieser Risiken erforderlich sind. Dadurch können Sie sowohl Ihre Risikoexposition als auch Ihren Compliance-Aufwand systematisch reduzieren.
Die richtigen ISMS.online Sie können:
Das ISMS.online-Plattform basiert auf Plan-Do-Check-Act (PDCA), einem iterativen vierstufigen Prozess zur kontinuierlichen Verbesserung, und erfüllt alle Anforderungen der ISO 27002:2022. Es ist ganz einfach, ein kostenloses Testkonto zu erstellen und die von uns bereitgestellten Schritte zu befolgen.
Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.
Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 5.7 | Neu | Bedrohungsinformationen |
| 5.23 | Neu | Informationssicherheit bei der Nutzung von Cloud-Diensten |
| 5.30 | Neu | IKT-Bereitschaft für Geschäftskontinuität |
| 7.4 | Neu | Physische Sicherheitsüberwachung |
| 8.9 | Neu | Konfigurationsmanagement |
| 8.10 | Neu | Löschung von Informationen |
| 8.11 | Neu | Datenmaskierung |
| 8.12 | Neu | Verhinderung von Datenlecks |
| 8.16 | Neu | Überwachungsaktivitäten |
| 8.23 | Neu | Web-Filter |
| 8.28 | Neu | Sichere Codierung |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 6.1 | 07.1.1 | Untersuchungen |
| 6.2 | 07.1.2 | Beschäftigungsbedingungen |
| 6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
| 6.4 | 07.2.3 | Disziplinarverfahren |
| 6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| 6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| 6.7 | 06.2.2 | Fernarbeit |
| 6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 7.1 | 11.1.1 | Physische Sicherheitsbereiche |
| 7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
| 7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
| 7.4 | Neu | Physische Sicherheitsüberwachung |
| 7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| 7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
| 7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| 7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
| 7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
| 7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
| 7.12 | 11.2.3 | Verkabelungssicherheit |
| 7.13 | 11.2.4 | Wartung der Ausrüstung |
| 7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
