ISO 27001 tillgångshantering täcker Annex A-kontrollerna som kräver att organisationer inventerar, tilldelar ägarskap av och skyddar sina informationstillgångar.
ISO 27001 tillgångshantering avser Annex A-kontrollerna i ISO/IEC 27001 som kräver att en organisation vet vilka informationstillgångar den har, ger var och en en namngiven ägare och skyddar dem genom hela livscykeln - från förvärv till säker avyttring. Standardens logik är rak: du kan inte skydda det du inte listat, så en korrekt, ägd inventering är grunden som de flesta andra säkerhetskontroller står på.
Var tillgångar sitter i standarden
I 2013-utgåvan levde tillgångskontroller tillsammans under avsnitt A.8, “Asset management”. 2022-revisionen spred dem i de organisatoriska kontrollerna: 5.9 kräver en inventering av information och andra tillhörande tillgångar, 5.10 kräver regler för deras acceptabla användning, 5.11 kräver att tillgångar återlämnas när personer lämnar, och 5.12 och 5.13 täcker klassificering och märkning av information. Frasen “andra tillhörande tillgångar” gör avsiktligt arbete - standarden handlar om information, men laptops, kontorstelefoner, servrar och enheter som lagrar eller bearbetar den informationen är uttryckligen inom scope, eftersom att förlora enheten är att förlora datan.
Vad inventeringen måste innehålla
Standarden föreskriver inga fält, vilket överraskar dem som förväntar sig en mall. Det den kräver är att inventeringen är korrekt, hålls uppdaterad och att varje tillgång har en ägare. I praktiken förväntar sig certifieringsrevisorer att se, per tillgång: vad det är, vem som äger det, var det är eller vem som har det, dess klassificering och dess livscykelstatus. Inventeringen delas vanligtvis upp på två register som korsrefererar varandra - ett register över informationstillgångar för själva datan, och ett hårdvaru- och programvaruregister för enheterna och systemen den lever på. Reglerad utrustning som medicinteknik hamnar ofta inom scope två gånger, både som operativ tillgång och som informationsbärare.
Ägarskap och återlämning av tillgångar
Ägarskap i ISO 27001 betyder ansvarsskyldighet, inte innehav: ägaren är den som svarar för tillgångens klassificering, skydd och slutliga avyttring, även om någon annan bär den dagligen. Följdkontrollerna sluter cirkeln vid anställningens kanter - användare informeras om reglerna genom en policy för acceptabel användning innan de får tillgången, och kontroll 5.11 kräver att enheter, passerkort och information kommer tillbaka när de lämnar. Avyttring är den andra utgången: databärande utrustning måste saneras eller förstöras verifierbart, vilket är där ITAD-processer kommer in i bilden.
Vad certifieringsrevisorer förväntar sig se
Revisioner av dessa kontroller är stickprovsövningar. Revisorn plockar poster från inventeringen och ber att se tillgången, dess ägare och bevis att ägaren vet att de äger den; plockar sedan enheter från skrivbord och ber att hitta dem i inventeringen. De kontrollerar att registret flyttades när verkligheten flyttades - en ny medarbetares kit utdelat, en avgående persons kit återlämnat, en avyttring dokumenterad - och att praxis matchar vad tillgångshanteringspolicyn säger ska hända. Föråldrade register misslyckas tyst här: en inventering senast rörd vid föregående revision är en avvikelse i sig.
ISO 27001 tillgångshantering i praktiken
De organisationer som klarar sig bekvämt är de vars inventering är ett fungerande verktyg snarare än ett certifieringsdokument - uppdaterad vid överlämning, inte vid revisionen. Ett register som AMPthillys registrerar varje tillgång med namngiven ägare, status och en permanent revisionshistorik över utlåningar, återlämningar, överföringar och godkännanden, vilket är exakt det bevisspår revisorer stickprovar. Den djupare vinsten är operativ: en inventering som är bra nog för ISO 27001 är också den som svarar, den dag en laptop försvinner, på vad som fanns på den och vem som var ansvarig.
Relaterade termer
- Register över informationstillgångar - datasidans inventering som standarden förväntar sig
- Policy för inventariehantering - dokumentet som definierar hur tillgångar ägs och hanteras
- Policy för godtagbar användning - reglerna som kommuniceras till tillgångsanvändare under kontroll 5.10
- Policy för datalagring - styr hur länge informationstillgångar och bevis sparas
- ITAD - avyttringsdisciplinen som avslutar tillgångens livscykel säkert