Wenn Sie bereits ein Verzeichnis der Anlagewerte erstellt haben, dann ist das leider nicht ausreichend, um mit ISO 27001 konform zu sein – das Konzept einer Anlageninventur (manchmal auch Asset-Register genannt) in der Informationssicherheit ist im Vergleich zum Konzept des Verzeichnisses der Anlagewerte im Rechnungswesen ziemlich unterschiedlich.
Was sind Assets gemäß ISO 27001?
Lassen Sie uns zuerst klären, was Assets im Rahmen von ISO 27001 sind – eigenartigerweise findet sich weder in der neuen 2013-Überarbeitung von ISO/IEC 27001, noch in der 2014-Überarbeitung von ISO/IEC 27000 eine Definition von Assets, die 2005-Überarbeitung von ISO/IEC 27001 definiert jedoch Assets als „alles, das für die Organisation von Wert ist“.
Da ISO 27001 auf den Erhalt von Vertraulichkeit, Integrität und Verfügbarkeit von Informationen fokussiert ist, bedeutet dies, dass Assets das Folgende sein können:
- Hardware – z.B. Laptops, Server, jedoch auch Mobiltelefone oder USB-Speicherstifte.
- Software – nicht nur die gekaufte Software, sondern auch Freeware.
- Daten – nicht nur auf elektronischen Medien (Datenbanken, Dateien in PDF- Word-, Excel- und anderen Formaten), sondern auch in Papierform und anderer Form.
- Infrastruktur – z.B. Büros, Elektrizität, Klimatisierung – da diese Assets eine mangelnde Verfügbarkeit von
Informationen verursachen können. - Personen werden auch als Assets betrachtet, weil sie eine Menge an Informationen in ihren Köpfen haben, die sehr oft in anderer Form nicht verfügbar ist.
- Ausgelagerte Dienstleistungen – z.B. Rechtsdienstleistungen oder Reinigungsdienstleistungen, jedoch auch Online-Services, wie Dropbox oder Gmail – es stimmt, dass dies keine Assets im eigentlichen Sinne des Wortes sind, doch müssen diese Dienstleistungen sehr ähnlich zu den Assets kontrolliert werden, daher werden sie sehr oft im Asset Management inkludiert.
Warum sind Assets wichtig für das Informationssicherheitsmanagement?
Es gibt zwei Gründe, warum das Management von Assets wichtig ist:
1) Assets werden üblicherweise für die Durchführung der Risikobewertung genutzt – wenn auch seitens ISO 27001:2013 nicht obligatorisch, sind Assets, zusammen mit Bedrohungen und Schwachstellen, für gewöhnlich das Hauptelement zur Identifizierung von Risiken. Siehe auch ISO 27001 Risikobewertung und Risikobehandlung – 6 grundlegende Schritte.
2) Wenn die Organisation nicht weiß, wer für welches Asset verantwortlich ist, würde Chaos entstehen – die Definition von Asset-Eigentümern und die Zuweisung der Verantwortlichkeit für den Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen ist eines der fundamentalen Konzepte von ISO 27001.
Das ist der Grund, warum ISO 27001:2013 das Folgende verlangt: es muss ein Verzeichnis der Assets erstellt werden (A.8.1.1), es müssen Eigentümer der Assets nominiert werden (A.8.1.2) und es muss der akzeptable Umgang mit Assets definiert werden (A.8.1.3).
Wie erstellt man ein Asset-Register?
Wenn Sie Ihr Asset-Register nicht schon zuvor erstellt haben, ist der einfachste Weg, es während des anfänglichen Risikobewertungsprozesses anzulegen (wenn Sie die Asset-basierende Risikobewertungsmethode gewählt haben), da dies der Zeitpunkt ist, zu dem alle Assets, zusammen mit deren Eigentümern, identifiziert werden müssen.
Der beste Weg, ein Asset-Register anzulegen, ist durch Interviews der Abteilungsleiter jeder Abteilung und Auflistung aller Assets, die eine Abteilung nutzt. Am einfachsten ist die „Beschreibe was du siehst“-Technik – d.h. im Wesentlichen diese Person zu bitten, jede Software, die er oder sie am Computer installiert sieht, alle Dokumente in seinen/ihren Ordnern und Aktenschränken, alle in der Abteilung arbeitenden Personen, sowie alle in seinen/ihren Büros sichtbaren Geräte, etc. aufzulisten.
Wenn Sie natürlich bereits ein bestehendes Asset-Register (z.B. Verzeichnis der Anlagewerte, Mitarbeiterliste, Liste der lizenzierten Software etc.) haben, müssen Sie diese Listen nicht duplizieren – am besten wäre ein Verweis in Ihrem Informationssicherheit-Asset-Register auf Ihre anderen Listen.
ISO 27001 schreibt nicht vor, welche Details im Asset-Register aufgelistet werden müssen – Sie können nur den Asset-Namen und seinen Eigentümer auflisten, können aber auch weitere nützliche Informationen, wie zum Beispiel die Asset-Kategorie, den Standort, Anmerkungen etc., hinzufügen.
Die Erstellung des Asset-Registers wird üblicherweise von der Person, welche das ISO 27001-Implementierungsprojekt koordiniert, vorgenommen – in den meisten Fällen ist das der Chief Information Security Officer (Verantwortlicher für die Informationssicherheit) und diese Person sammelt alle Informationen und stellt sicher, dass das Register aktualisiert wird.
Wer sollte der Asset-Eigentümer sein?
Normalerweise ist der Eigentümer eine Person, die mit dem Asset arbeitet und sicherstellt, dass die Informationen im Zusammenhang mit diesem Asset geschützt sind. Ein Eigentümer eines Servers kann zum Beispiel der Systemadministrator und der Eigentümer einer Datei kann die Person sein, welche die Datei erstellte. Für Mitarbeiter ist üblicherweise jene Person der Eigentümer, die deren direkter Vorgesetzter ist.
Für ähnliche Assets, die von mehreren Personen genutzt werden (wie Laptops und Mobiltelefone), können Sie definieren, dass der Asset-Eigentümer die Person ist, die das Asset verwendet und wenn Sie ein einzelnes, von vielen Personen genutztes Asset haben (z.B. ERP-Software), kann ein Vorstandsmitglied, das Verantwortung für die gesamte Organisation hat, ein Asset-Eigentümer sein – im Falle von ERP kann dies der Chief Information Officer/IT-Leiter sein.
Lesen Sie bitte auch Risk owners vs. asset owners in ISO 27001:2013.
Der springende Punkt ist, dass die Erstellung eines Asset-Registers zwar wie ein bürokratischer Job ohne praktischen Nutzen erscheinen mag, in Wahrheit jedoch die Auflistung von Assets zu klären hilft, was in Ihrem Unternehmen von Wert ist und wer dafür verantwortlich ist. Und ohne zu wissen, was Sie haben und wer dafür zuständig ist, brauchen Sie gar nicht daran zu denken, dass Sie Ihre Informationen schützen können.
Klicken Sie hier für die Registrierung zu einem kostenlosen Web-Seminar The basics of risk assessment and treatment according to ISO 27001.