Ett informationstillgångsregister är en katalog över en organisations data- och informationstillgångar, som registrerar vad de är, var de finns och vem som äger dem.
Ett informationstillgångsregister (IAR) är en katalog över data och information en organisation håller - databaser, register, filer, avtal, arkiv - som registrerar vad varje tillgång är, var den lever, vem som äger den, hur känslig den är och hur länge den måste sparas. Där ett konventionellt register svarar “vilken utrustning har vi”, svarar IAR på den svårare fråga som säkerhets- och integritetsarbete beror på: “vilken information har vi, och vem är ansvarig för den”.
Vad som ska registreras per informationstillgång
Ett fungerande register stannar på nivån av meningsfulla informationssamlingar, inte enskilda filer. För varje post, fälten som förtjänar sin plats:
- Namn och beskrivning - “kunddatabas”, “HR-personalregister”, “undertecknade leverantörsavtal”.
- Ägare - personen ansvarig för dess skydd och livscykel, inte IT-teamet som hostar den.
- Format och plats - vilket system, share, molntjänst eller arkivskåp som håller den, inklusive kopior och backups.
- Klassificering - offentlig, intern, konfidentiell eller vilket schema organisationen använder.
- Personuppgiftsflagga - om den innehåller personuppgifter, vilket drar in den i GDPR:s omfång.
- Bevarandeperiod - hur länge den sparas och på vilken grund, tagen från policy för datalagring.
- Stödjande tillgångar - hårdvaran, programvaran och tjänsterna informationen beror på.
Hur det skiljer sig från ett hårdvarutillgångsregister
De två registren skär samma värld längs olika axlar. Ett hårdvaruregister spårar enheter, var och en med en post och en innehavare; en informationstillgång spänner över många enheter, och en enhet kan hålla delar av många informationstillgångar. Deras livscykler slutar också olika: en enhets liv slutar med avyttring genom en ITAD-process, medan en informationstillgångs liv slutar med radering - och att bevisa radering kräver dataradering av varje enhet och backup som hade en kopia. Det är exakt varför registren måste korsreferera: när en laptop försvinner säger hårdvaruregistret vilken maskin, och IAR säger vilken information som exponerades.
Rollen i GDPR och ISO 27001
IAR är det tysta arbetshäst bakom två regelefterlevnadsregimer. För GDPR underbygger det artikel 30-behandlingsförteckningen, avgränsar registerutdragsbegäranden (“var kan den här personens data finnas?”) och gör intrångsbedömning möjlig i fart. För ISO 27001 kräver inventeringskontrollen att information och tillhörande tillgångar listas, ägs och hålls aktuella - certifieringsrevisorer stickprovstestar rutinmässigt registret, frågar ägare om de vet vad de äger och kontrollerar poster mot verkligheten. I båda fallen omvandlar ett saknat eller inaktuellt register en innesluten incident till en öppen, eftersom ingen med säkerhet kan säga vad som påverkades.
Hålla registret användbart
Det klassiska misslyckandet är registret byggt en gång för en certifieringssatsning och aldrig rört igen - inom ett år beskriver det en organisation som inte längre finns. Vanorna som förhindrar det: nya system och datasamlingar får en post som del av driftsättning, avvecklade får ett slutdatum i stället för tyst radering, och varje ägare granskar sina poster på en fast cykel. Det hjälper att hålla registret bredvid den operativa tillgångsdata folk redan underhåller; AMPthillys register behandlar digitala register och licenser som tillgångstyper bredvid hårdvaran de lever på, med namngivna ägare och anpassade fält per tillgångstyp, så enhetssidan av korsreferensen förblir aktuell när utrustning byter händer. Sektorer med reglerad utrustning - medicintekniska produkter, labutrustning - känner detta mest, eftersom ett instrument samtidigt kan vara en fysisk tillgång, en datakälla och en regelefterlevnadspost.
Relaterade termer
- Policy för datalagring - ger svaret på hur länge varje post ska sparas
- Policy för tillgångshantering - styrande dokument för hur tillgångar av alla slag ägs och hanteras
- Policy för acceptabel användning - reglerna för personerna som använder informationen och dess enheter
- ITAD - säker avyttring av hårdvaran som informationstillgångar lever på
- Dataradering - hur en informationstillgång verifierbart förstörs vid livsslut