Zum Inhalt springen
AMPthilly-Startseite
Jetzt starten
Compliance und Audit

Was ist ein Informationswerte-Verzeichnis (Information Asset Register)?

Informationswerte-Verzeichnis (Information Asset Register) erklärt: was zu erfassen ist, wie es sich vom Hardware-Verzeichnis unterscheidet und welche Rolle es bei DSGVO und ISO 27001 spielt.

AMPthilly Aktualisiert

Ein Informationswerte-Verzeichnis ist ein Katalog der Daten- und Informationswerte eines Unternehmens, der festhält, was sie sind, wo sie liegen und wem sie gehören.

Ein Informationswerte-Verzeichnis (engl. information asset register, IAR) ist ein Katalog der Daten und Informationen, die ein Unternehmen vorhält - Datenbanken, Datensätze, Dateien, Verträge, Archive -, der festhält, was jeder Wert ist, wo er liegt, wem er gehört, wie sensibel er ist und wie lange er aufbewahrt werden muss. Während ein herkömmliches Verzeichnis die Frage „Welche Geräte haben wir?” beantwortet, beantwortet das IAR die schwierigere Frage, von der die Arbeit an Sicherheit und Datenschutz abhängt: „Welche Informationen haben wir, und wer ist dafür verantwortlich?”

Was pro Informationswert zu erfassen ist

Ein brauchbares Verzeichnis bleibt auf der Ebene sinnvoller Informationssammlungen, nicht einzelner Dateien. Pro Eintrag lohnen sich diese Felder:

  • Name und Beschreibung - „Kundendatenbank”, „Personalakten”, „unterzeichnete Lieferantenverträge”.
  • Verantwortlicher - die für Schutz und Lebenszyklus zuständige Person, nicht das IT-Team, das den Speicher betreibt.
  • Format und Standort - welches System, welche Freigabe, welcher Cloud-Dienst oder Aktenschrank es vorhält, einschließlich Kopien und Backups.
  • Einstufung - öffentlich, intern, vertraulich oder nach welchem Schema das Unternehmen einstuft.
  • Kennzeichen für personenbezogene Daten - ob personenbezogene Daten enthalten sind, was die DSGVO-Relevanz begründet.
  • Aufbewahrungsfrist - wie lange und auf welcher Grundlage, aus den Aufbewahrungsfristen.
  • Unterstützende Assets - Hardware, Software und Dienste, von denen die Information abhängt.

Unterschied zum Hardware-Verzeichnis

Die beiden Verzeichnisse schneiden dieselbe Welt entlang verschiedener Achsen. Ein Hardware-Verzeichnis erfasst Geräte, je ein Eintrag und ein Inhaber; ein Informationswert erstreckt sich über viele Geräte, und ein Gerät kann Teile vieler Informationswerte vorhalten. Auch ihre Lebenszyklen enden unterschiedlich: Ein Gerät endet mit der Entsorgung über einen ITAD-Prozess, ein Informationswert endet mit der Löschung - und der Löschnachweis erfordert eine sichere Datenlöschung für jedes Gerät und jedes Backup, das eine Kopie enthielt. Deshalb müssen die Verzeichnisse aufeinander verweisen: Geht ein Laptop verloren, sagt das Hardware-Verzeichnis, welches Gerät es war, und das IAR, welche Informationen offengelegt wurden.

Rolle bei DSGVO und ISO 27001

Das IAR ist das stille Zugpferd hinter zwei Compliance-Regelwerken. Für die DSGVO untermauert es das Verarbeitungsverzeichnis nach Artikel 30, grenzt Auskunftsanfragen ein („Wo könnten Daten dieser Person liegen?”) und ermöglicht eine schnelle Einschätzung bei Datenpannen. Für ISO 27001 verlangt die Inventarisierungsmaßnahme, dass Informationen und zugehörige Werte aufgeführt, mit Eigentümern versehen und aktuell gehalten werden - Zertifizierungsprüfer ziehen Stichproben aus dem Verzeichnis, fragen Verantwortliche, ob sie wissen, was sie besitzen, und gleichen Einträge mit der Realität ab. In beiden Fällen macht ein fehlendes oder veraltetes Verzeichnis aus einem begrenzten Vorfall einen unübersichtlichen, weil niemand mit Sicherheit sagen kann, was betroffen war.

Das Verzeichnis nützlich halten

Der klassische Fehler: einmal für eine Zertifizierung erstellt und danach nie wieder angefasst - schon nach einem Jahr beschreibt es ein Unternehmen, das so nicht mehr existiert. Gewohnheiten, die das verhindern: Neue Systeme und Datensammlungen bekommen mit dem Produktivstart einen Eintrag; ausgemusterte bekommen ein Enddatum statt einer stillen Löschung; jeder Verantwortliche prüft seine Einträge in festem Rhythmus. Es hilft, das Verzeichnis neben den betrieblichen Asset-Daten zu führen, die ohnehin gepflegt werden; das Verzeichnis von AMPthilly behandelt digitale Datensätze und Lizenzen als eigene Asset-Typen neben der Hardware, auf der sie liegen - mit benannten Verantwortlichen und benutzerdefinierten Feldern je Typ, sodass die Geräteseite des Querverweises aktuell bleibt, wenn Geräte den Besitzer wechseln. Regulierte Branchen mit Medizinprodukten oder Laborgeräten spüren das am stärksten, da ein Gerät zugleich physisches Asset, Datenquelle und Compliance-Nachweis sein kann.

Verwandte Begriffe

  • Aufbewahrungsfristen - liefern für jeden Eintrag die Antwort auf „Wie lange behalten?”
  • Asset-Management-Richtlinie - das Leitdokument dafür, wem Assets aller Art gehören und wie sie behandelt werden
  • Nutzungsrichtlinie - die Regeln für die Menschen, die die Information und ihre Geräte nutzen
  • ITAD - sichere Entsorgung der Hardware, auf der Informationswerte liegen
  • Sichere Datenlöschung - wie ein Informationswert am Lebensende nachweisbar vernichtet wird
Glossar

Weiterlesen

Verwandte Leitfäden

Glossarbegriffe in diesem Leitfaden

Kostenlos starten, keine Kreditkarte nötig

Setzen Sie Ihr Register produktiv ein

AMPthilly gibt jedem Asset einen Eigentümer, einen Standort und eine Historie - Ausgabe und Rückgabe, druckbare QR-Etiketten, Service Desk und Audit-Historie an einem Ort. Der Free-Plan deckt 3 Nutzer und 25 Assets ab, SSO und MFA inklusive.

Kostenlos starten Funktionen ansehen