Die ISO 27001 Zertifizierung hat sich in den letzten Jahren zu einem De-facto-Standard im IT-Umfeld entwickelt.
Diese wurde entworfen um "die Auswahl geeigneter Sicherheitsmechanismen zum Schutz sämtlicher Werte (= Assets) in den Wertschöpfungsketten sicherzustellen".
Das Spektrum reicht dabei von der Prüfung bestimmter Prozessabläufe und Sicherheitsvorkehrungen bis hin zur Dokumentation. Auch bekannt als Informationssicherheits-Managementsysteme (ISMS).
Welche Assets sind betroffen?
Der Scope der ISO 27001 umfasst "alles, das für die Organisation von Wert ist". Hierzu zählt im Informationszeitalter natürliche eine ganze Menge, weshalb sich die Zertifizierung nicht nur auf die IT beschränkt.
- Hardware
Klassische PCs, Notebooks, Serversysteme, Speichermedien, etc.
- Software & Lizenzen
Im Unternehmen eingesetzte Software und dazugehöriger Lizenzen.
- Infrastruktur
Grundlegende Infrastrukturkomponenten wie Stromversorgung, Klimatisierung, Gebäude, auch Wartungs- / Serviceprotokolle
- Personen
Mitarbeiter aufgrund des Know-hows und deren Einbindung in den Wertschöpfungs- bzw. Sicherheitsketten
- Dienstleister / Anbieter
An externe Unternehmen oder Personen vergebene Dienstleistungen wie z.B. Datenvernichtung, Reinigung von Bürogebäuden, Wartung von Infrastrukturkomponenten, Colocation- / Hosting Provider
- Daten & Dokumente
Letztlich fallen natürlich auch Daten unter den Betriff der Assets. Ein weiteres Augenmerk gilt hier auch klassischen Papierdokumenten (Sicherheitsaspekt, Aufbewahrungsfristen, Sichere Vernichtung)
Was muss ich über meine Assets wissen?
Im Zuge der ISO 27001 Zertifizierung werden über das Asset Management eine Vielzahl verschiedener Fragen platziert, zu denen die Organisation auskunftsfähig sein muss.
Je mehr Informationen an zentraler Stelle ersichtlich sind, desto besser
- Inventar / Bestand (Welche Assets habe ich und wo sind diese?)
- Verantwortlichkeit (Wem ist ein Asset zugewiesen bzw. wer ist dafür zuständig?)
- Wichtigkeit (Wie wichtig ist das Asset im Vergleich zu anderen Assets?)
- Nutzungszweck (Wofür wird ein Asset verwendet und welche Regeln bestehen hierfür?)
- Kennzeichnung (Wie ist das Asset für eine eindeutige Indentifizierung gekennzeichnet?)
- Rückgabe (Wie wird das Asset zurückgegeben oder ausgemustert?)
- Schutz (Ist das Asset basierend auf dessen Wichtigkeit adäquat geschützt?)
Wer den gesamten Lifecycle eines IT-Assets transparent darstellen kann, ist meist auf der sicheren Seite.
💡 Inventarisierung leicht gemacht
Kombiniert Hardware, Lizenzen, Verträge, Bestellungen und vieles mehr in einem System.
Wie kann eine Asset Management Lösung helfen?
Eine vernünftige Asset Management Lösung deckt die im oberen Abschnitt erwähnten Anforderungen ab und kann darüber hinaus auch über eine Zertifizierung hinweg einen hohen praktischen Nutzen bieten.
Im ersten Schritt ist es jedoch notwendig, eine umfassende Übersicht des Inventars zu erlangen. Hierbei ist der bevorzugte Weg auch sehr von der bisherigen Vorgehensweise und Datenlage abhängig.
- Bestehen aktuell bereits (Excel-) Inventarlisten?
Diese sollten vereinheitlicht und in ein zentrales System importiert werden.
- Gibt es ein bestehendes System aus dem z.B. Hardwarelisten exportiert werden können?
An dieser Stelle sollten zunächst die Datenqualität und Verknüpfungsmöglichkeiten geprüft werden.
- Existiert aktuell noch gar kein Überblick?
Für diesen Fall empfiehlt sich der Einsatz einer automatischen / agentenlosen Inventarisierung.
Achten Sie bei der Auswahl einer passenden Asset Management Lösung daher auf einen möglichst breiten Einsatzbereich. Eine einfache Hardware-Inventur scheitert spätestens an den Anforderungen hinsichtlich der Asset-Kategorien Personen oder Dienstleister bzw. Dokumente.
Die ISO 27001 Zertifizierung umfasst ein sehr weites Spektrum - auch über Abteilungsgrenzen hinweg. Wer mit einer umfassenden Lösung aufgestellt ist, punktet daher in vielen Bereichen.
Wie kann ich externe Dienstleister einbinden?
Gerade im Zuge von Cloud Services gewinnt auch die Verwaltung / Dokumentation von Verträgen mit Dienstleistern eine immer größere Bedeutung. Man denke hier auch mal an Auftragsverabeitungsverträge (AVV) gemäß DSGVO, die ebenfalls an zentraler Stelle abgelegt und regelmäßig verifiziert werden sollten.
Häufig ist hier ein wenig "um die Ecke denken" angesagt, um auch diese Elemente in einem Asset Management zu erfassen.
Wir empfehlen hier die Erfassung in Form eines Vertrages im System, was Ihnen unter anderem die folgenden Vorteile bietet:
- Ablage der Vertragsdokumente
- Hinterlegung von Erinnerungs- und Subventionierungsfristen
- Verknüpfung mit anderen Assets (z.B. Serversystemen oder Standorten)
- Zugriffsbeschränkungen
- Zusätzliche Attribute (z.B. Klassifizierung / Wichtigkeit / Risikoklasse)
Im Falle von Cloud Services können die Zugriffsberechtigungen auch in Form einer Lizenz im System erfasst werden. Dies bietet den Vorteil, dass z.B. auch ersichtlich wird welche Personen Zugriff auf einen bestimmten Dienst haben.
Fazit
Ein Asset Management System ist ein essentiell wichtiger Bestandteil für eine erfolgreiche Zertifizierung nach ISO 27001.
Aber unabhängig von einer Zertifizierung, kann ein zentrales System für die gesamte Inventarisierung auch noch weitere praktische Vorteile für die Organisation bieten. Das Thema ist somit nicht nur ein "notwendiges Übel", sondern kann auch mittel- und langfristig für schnellere und reibungslose Abläufe im Unternehmen sorgen.
