ISO 27001 asset management omvat de Annex A controls die organisaties verplichten informatieassets te inventariseren, eigendom toe te wijzen en te beschermen.
ISO 27001 asset management verwijst naar de Annex A controls in ISO/IEC 27001 die een organisatie verplichten te weten welke informatieassets ze heeft, elk een specifieke eigenaar te geven, en ze te beschermen door hun hele levenscyclus - van acquisitie tot veilige afstoting. De logica van de standaard is direct: u kunt niet beschermen wat u niet hebt geïnventariseerd, dus een nauwkeurige inventaris met een eigenaar per asset is de basis waarop de meeste andere beveiligingsmaatregelen staan.
Waar assets in de standaard staan
In de 2013-editie stonden de asset controls samen onder sectie A.8, “Asset management”. De 2022-revisie verspreidde ze over de organisatorische controls: 5.9 vereist een inventaris van informatie en andere bijbehorende assets, 5.10 vereist regels voor acceptabel gebruik, 5.11 vereist dat assets worden teruggegeven wanneer mensen vertrekken, en 5.12 en 5.13 behandelen classificatie en het labelen van informatie. De formulering “other associated assets” is bewust gekozen - de standaard gaat over informatie, maar de laptops, office phones, servers en drives die die informatie opslaan of verwerken vallen er uitdrukkelijk onder, omdat het verlies van het apparaat het verlies van de data is.
Wat de inventaris moet bevatten
De standaard schrijft geen velden voor, wat mensen verrast die een sjabloon verwachten. Wat vereist is, is dat de inventaris nauwkeurig is, actueel wordt gehouden, en dat elke asset een eigenaar heeft. In de praktijk verwachten certificatie-auditors per asset te zien: wat het is, wie eigenaar is, waar het is of wie bewaring heeft, de classificatie, en de levenscyclusstatus. De inventaris splitst meestal over twee documenten die naar elkaar verwijzen - een information asset register voor de data zelf, en een hardware- en software-register voor de apparaten en systemen waar het op leeft. Gereguleerde apparatuur zoals medical devices valt vaak twee keer binnen de reikwijdte, als operationeel asset en als informatiedragend asset.
Eigendom en teruggave van assets
Eigendom in ISO 27001 betekent verantwoordelijkheid, niet bezit: de eigenaar is verantwoordelijk voor classificatie, bescherming en uiteindelijke afstoting van de asset, ook als iemand anders hem dagelijks draagt. De bijbehorende controls sluiten de cirkel aan de randen van het dienstverband - gebruikers horen de regels via een acceptable use policy voordat ze de asset krijgen, en control 5.11 vereist dat apparaten, toegangspassen en informatie terugkomen wanneer ze vertrekken. Afstoting is het andere afscheid: data-dragende apparatuur moet aantoonbaar worden gewist of vernietigd, waar ITAD-processen in beeld komen.
Wat certificatie-auditors verwachten te zien
Audits van deze controls zijn steekproefoefeningen. De auditor pikt entries uit de inventaris en vraagt de asset, de eigenaar en bewijs dat de eigenaar weet dat hij eigenaar is; pakt dan apparaten van bureaus en vraagt ze in de inventaris te vinden. Ze controleren of het register meebewoog toen de werkelijkheid bewoog - spullen van een nieuwe medewerker uitgegeven, spullen van een vertrekker terug, afstoting gedocumenteerd - en of de praktijk overeenkomt met wat het asset management policy zegt dat moet gebeuren. Verouderde registers falen hier stilletjes: een inventaris die voor het laatst bij de vorige audit is aangeraakt, is op zichzelf al een bevinding.
ISO 27001 asset management in de praktijk
Organisaties die comfortabel slagen zijn degene waarvan de inventaris een werkend hulpmiddel is in plaats van een document voor de certificering - bijgewerkt bij overdracht, niet pas bij de audit. Een register zoals dat van AMPthilly registreert elke asset met specifieke eigenaar, status en permanente auditgeschiedenis van uitgiften, retouren, overdrachten en goedkeuringen, precies het bewijspad waaruit auditors steekproeven nemen. De diepere winst is operationeel: een inventaris goed genoeg voor ISO 27001 is ook degene die op de dag dat een laptop verdwijnt antwoordt wat erop stond en wie verantwoordelijk was.
Gerelateerde termen
- Information Asset Register - de data-kant inventaris die de standaard verwacht
- Asset Management Policy - het document dat definieert hoe assets worden beheerd
- Acceptable Use Policy - de regels gecommuniceerd aan assetgebruikers onder control 5.10
- Data Retention Policy - bepaalt hoe lang informatieassets en bewijs worden bewaard
- ITAD - de afstotingsdiscipline die de assetlevenscyclus veilig afsluit