ISO 27001 Assetmanagement umfasst die Annex-A-Maßnahmen, die Unternehmen verpflichten, ihre Informationswerte zu inventarisieren, Verantwortliche zuzuweisen und sie zu schützen.
ISO 27001 Assetmanagement bezeichnet die Annex-A-Maßnahmen in ISO/IEC 27001, die ein Unternehmen verpflichten zu wissen, welche Informationswerte es hat, jedem einen benannten Eigentümer zuzuordnen und sie über den gesamten Lebenszyklus zu schützen - von der Beschaffung bis zur sicheren Entsorgung. Die Logik des Standards ist klar: Sie können nicht schützen, was Sie nicht erfasst haben - ein genaues, mit Verantwortlichen versehenes Inventar ist die Grundlage, auf der die meisten anderen Sicherheitsmaßnahmen aufbauen.
Wo Assets im Standard stehen
In der Ausgabe 2013 lagen die Maßnahmen zu Assets gebündelt unter Abschnitt A.8 „Asset Management”. Die Revision 2022 verteilte sie auf die organisatorischen Maßnahmen: 5.9 verlangt ein Inventar von Informationen und anderen zugehörigen Werten, 5.10 Regeln für deren zulässige Nutzung, 5.11 die Rückgabe von Werten bei Austritt, und 5.12 sowie 5.13 die Klassifizierung und Kennzeichnung von Informationen. Die Formulierung „andere zugehörige Werte” ist bewusst gewählt - der Standard handelt von Informationen, doch die Laptops, Bürotelefone, Server und Laufwerke, die diese Informationen speichern oder verarbeiten, fallen ausdrücklich in den Geltungsbereich, denn ein Geräteverlust ist ein Datenverlust.
Was das Inventar enthalten muss
Der Standard schreibt keine Felder vor, was diejenigen überrascht, die eine Vorlage suchen. Er verlangt, dass das Inventar genau ist, aktuell gehalten wird und jeder Wert einen Eigentümer hat. In der Praxis erwarten Zertifizierungsprüfer je Asset: was es ist, wem es gehört, wo es ist oder wer es verwahrt, seine Klassifizierung und seinen Status im Lebenszyklus. Das Inventar verteilt sich meist auf zwei Dokumente, die aufeinander verweisen - ein Informationswerte-Verzeichnis für die Daten selbst und ein Hardware- und Software-Verzeichnis für die Geräte und Systeme, auf denen sie liegen. Regulierte Ausrüstung wie Medizingeräte fällt oft doppelt in den Geltungsbereich, als operatives Asset und als Träger von Informationen.
Eigentum und Rückgabe von Assets
Eigentum bedeutet in ISO 27001 Verantwortung, nicht Besitz: Der Eigentümer ist die Person, die für Klassifizierung, Schutz und Entsorgung des Werts zuständig ist, auch wenn jemand anderes ihn täglich nutzt. Die begleitenden Maßnahmen schließen den Kreis an den Rändern des Beschäftigungsverhältnisses - Nutzer erfahren die Regeln über eine Nutzungsrichtlinie, bevor sie das Asset erhalten, und Maßnahme 5.11 verlangt, dass Geräte, Zugangskarten und Informationen bei Austritt zurückkommen. Die Entsorgung ist der andere Ausgang: Datenträger müssen nachweislich bereinigt oder vernichtet werden - hier kommen ITAD-Prozesse ins Spiel.
Was Zertifizierungsprüfer sehen wollen
Prüfungen dieser Maßnahmen laufen über Stichproben. Der Prüfer greift sich Einträge aus dem Inventar und verlangt das Asset, seinen Eigentümer und den Nachweis, dass dieser weiß, dass er es besitzt; dann greift er sich Geräte von Schreibtischen und verlangt, sie im Inventar wiederzufinden. Er prüft, ob sich das Verzeichnis bewegt hat, als sich die Realität bewegte - bei Eintritt Geräte ausgegeben, bei Austritt zurückgenommen, Entsorgung dokumentiert -, und ob die Praxis dem entspricht, was die Asset-Management-Richtlinie vorsieht. Veraltete Verzeichnisse fallen hier still durch: Ein Inventar, das seit der letzten Prüfung nicht angefasst wurde, ist selbst schon ein Befund.
ISO 27001 Assetmanagement in der Praxis
Unternehmen, die eine Prüfung mühelos bestehen, sind die, deren Inventar ein Arbeitswerkzeug ist und keine reine Zertifizierungsunterlage - bei jeder Übergabe aktualisiert, nicht erst zur Prüfung. Ein Verzeichnis wie AMPthilly erfasst jedes Asset mit benanntem Eigentümer, Status und dauerhafter Audit-Historie von Ausgaben, Rückgaben, Umlagerungen und Freigaben - genau die Nachweiskette, aus der Prüfer Stichproben ziehen. Der eigentliche Gewinn ist operativ: Ein Inventar, das gut genug für ISO 27001 ist, beantwortet auch am Tag eines fehlenden Laptops die Frage, was darauf war und wer verantwortlich war.
Verwandte Begriffe
- Informationswerte-Verzeichnis - das datenseitige Inventar, das der Standard erwartet
- Asset-Management-Richtlinie - das Dokument, das festlegt, wem Assets gehören und wie sie behandelt werden
- Nutzungsrichtlinie - die Regeln für die Nutzer von Assets nach Maßnahme 5.10
- Aufbewahrungsfristen - regeln, wie lange Informationswerte und Nachweise aufbewahrt werden
- ITAD - die Entsorgungsdisziplin, die den Asset-Lebenszyklus sicher abschließt