Direct naar de inhoud
AMPthilly-startpagina
Aan de slag
Compliance en audit

Wat is een information asset register?

Information asset registers uitgelegd: wat te registreren, het verschil met een hardware asset register, en de rol bij AVG- en ISO 27001-compliance.

AMPthilly Bijgewerkt

Een information asset register is een catalogus van de data- en informatieassets van een organisatie, met wat ze zijn, waar ze staan en wie eigenaar is.

Een information asset register (IAR) is een catalogus van de data en informatie die een organisatie bewaart - databases, records, bestanden, contracten, archieven - met wat elke asset is, waar het leeft, wie eigenaar is, hoe gevoelig het is en hoe lang het bewaard moet blijven. Waar een conventioneel register antwoordt op “welke apparatuur hebben we”, antwoordt het IAR op de moeilijkere vraag waar security- en privacywerk op draait: “welke informatie hebben we, en wie is verantwoordelijk?”

Wat per information asset te registreren

Een werkbaar register blijft op het niveau van betekenisvolle informatiecollecties, niet individuele bestanden. Per entry verdienen deze velden hun plek:

  • Naam en beschrijving - “klantendatabase”, “HR-personeelsdossiers”, “getekende leverancierscontracten”.
  • Eigenaar - de persoon verantwoordelijk voor bescherming en levenscyclus, niet het IT-team dat het beheert.
  • Formaat en locatie - welk systeem, share, clouddienst of archiefkast het bewaart, inclusief kopieën en backups.
  • Classificatie - publiek, intern, vertrouwelijk, of het schema van de organisatie.
  • Persoonsgegevens-vlag - of het persoonsgegevens bevat, wat het onder de AVG laat vallen.
  • Bewaartermijn - hoe lang het wordt bewaard en op welke basis, uit het data retention policy.
  • Ondersteunende assets - de hardware, software en diensten waar de informatie van afhangt.

Verschil met een hardware asset register

De twee registers delen dezelfde wereld langs verschillende assen op. Een hardware register volgt apparaten, elk met één entry en één houder; een information asset overspant veel apparaten, en één apparaat kan stukken van veel information assets bevatten. Hun levenscycli eindigen ook anders: het leven van een apparaat eindigt met afstoting via een ITAD-proces, terwijl het leven van een information asset eindigt met verwijdering - en bewijs van verwijdering vereist data sanitization van elk apparaat en elke backup die een kopie bewaarde. Daarom moeten de registers naar elkaar verwijzen: wanneer een laptop verloren gaat, vertelt het hardware register welke machine, en het IAR welke informatie blootstond.

De rol bij de AVG en ISO 27001

Het IAR is het stille werkpaard achter twee compliance-regimes. Voor de AVG ondersteunt het het artikel 30-verwerkingsregister, bakent het inzageverzoeken af (“waar zouden de gegevens van deze persoon kunnen staan?”), en maakt het een snelle beoordeling bij datalekken mogelijk. Voor ISO 27001 vereist het beheer van de inventaris dat informatie en bijbehorende assets worden opgesomd, eigendom hebben en actueel blijven - certificatie-auditors nemen steekproeven uit het register, vragen eigenaren of ze weten wat ze bezitten, en vergelijken entries met de werkelijkheid. In beide gevallen verandert een ontbrekend of verouderd register een beheersbaar incident in een onafgesloten kwestie, omdat niemand met zekerheid kan zeggen wat geraakt werd.

Het register bruikbaar houden

De klassieke mislukking is het register dat eenmalig voor certificatie wordt opgebouwd en daarna nooit meer wordt aangeraakt - binnen een jaar beschrijft het een organisatie die niet meer bestaat. Gewoonten die dat voorkomen: nieuwe systemen en datacollecties krijgen een entry bij ingebruikname, buiten gebruik gestelde krijgen een einddatum in plaats van stille verwijdering, en elke eigenaar beoordeelt zijn entries op een vaste cyclus. Het helpt om het register naast de operationele assetdata te houden die mensen al onderhouden; AMPthilly’s register behandelt digitale records en licenties als assettypes naast de hardware waar ze op staan, met specifieke eigenaren en aangepaste velden per type, zodat de apparaatkant van de kruisverwijzing actueel blijft als apparatuur van hand wisselt. Sectoren met gereguleerde apparatuur - medical devices, lab equipment - voelen dit het sterkst, omdat één instrument tegelijk fysiek asset, databron en compliance-record kan zijn.

Gerelateerde termen

  • Data Retention Policy - levert het bewaar-antwoord dat elke entry nodig heeft
  • Asset Management Policy - het bestuursdocument voor hoe assets van alle soorten worden beheerd
  • Acceptable Use Policy - de regels voor mensen die de informatie en apparaten gebruiken
  • ITAD - veilige afstoting van de hardware waar information assets op leven
  • Data Sanitization - hoe een information asset aantoonbaar wordt vernietigd aan het einde van het leven
Begrippenlijst

Verder lezen

Gerelateerde gidsen

Begrippen uit deze gids

Gratis starten, geen creditcard nodig

Laat uw register het werk doen

AMPthilly geeft elk asset een eigenaar, een locatie en een geschiedenis - uitgifte en retour, printbare QR-labels, servicedesk en audittrail op één plek. Het gratis abonnement is goed voor 3 gebruikers en 25 assets, inclusief SSO en MFA.

Gratis starten Bekijk de functies