ISO 27002 - Kapitel 5.9 Inventar von Informationen und anderen zugehörigen Vermögenswerten
Informationen und andere zugehörige Vermögenswerte bilden die Grundlage moderner Organisationen. Dazu gehören nicht nur Daten und IT-Systeme, sondern auch physische Vermögenswerte wie Gebäude, Fahrzeuge und Maschinen sowie immaterielle Vermögenswerte wie Patente und Marken. Um diese Vermögenswerte zu schützen, ist es notwendig, ein vollständiges Inventar zu erstellen und zu pflegen, das alle wichtigen Informationen und Vermögenswerte auflistet.
Dies ist eine der Anforderungen, die sich aus der ISO 27002 entnehmen lassen – in Kapitel 5.9 Inventar von Informationen und anderen zugehörigen Vermögenswerten.
Was ist ein Inventar von Informationen und anderen zugehörigen Vermögenswerten?
Ein Inventar von Informationen und anderen zugehörigen Vermögenswerten ist eine systematische Aufzeichnung aller Vermögenswerte und Informationen einer Organisation, die für den Geschäftsbetrieb relevant sind. Das Inventar enthält Informationen wie Standort, Eigentümer, Wert, Klassifizierung und Risikobewertung. Das Inventar ist ein wesentliches Instrument für ein effektives Risikomanagement und hilft bei der Identifizierung von Risiken und Schwachstellen in der Organisation.
Folgende Beispiele für organisatorische Lösungen bei der Erstellung und Pflege eines Inventars von Informationen und anderen zugehörigen Vermögenswerten helfen bei der Erfüllung der Vorgaben der ISO 27002:
Identifikation der Vermögenswerte
Die erste Aufgabe besteht darin, alle Vermögenswerte der Organisation zu identifizieren. Dies kann durch eine umfassende Bestandsaufnahme aller IT-Systeme, Datenbanken, Anwendungen, physischen Vermögenswerte usw. erfolgen. Die Informationen sollten in einer strukturierten Form erfasst werden, um die Analyse und Bewertung zu erleichtern.
Klassifizierung der Vermögenswerte
Die identifizierten Vermögenswerte sollten entsprechend ihrer Bedeutung und Sensibilität klassifiziert werden. Dies hilft bei der Identifizierung von Risiken und bei der Priorisierung von Schutzmaßnahmen.
Eine gängige Klassifizierungsmethode ist die Einteilung in „öffentlich“, „intern“ und „vertraulich“.
Pflege des Inventars
Das Inventar muss regelmäßig gepflegt und aktualisiert werden, um Änderungen und Entwicklungen in der Organisation zu berücksichtigen. Hierfür sollten klare Verantwortlichkeiten und Prozesse definiert werden.
Zugriffskontrolle
Der Zugriff auf das Inventar sollte auf autorisierte Personen beschränkt sein. Dies hilft bei der Vermeidung von Datenverlusten oder -missbrauch.
Sensibilisierung der Mitarbeiter
Die Mitarbeiter sollten über die Bedeutung des Inventars und die Verantwortlichkeiten im Umgang damit informiert werden.
Zuweisung der Eigentumsrechte
Besonders wichtig ist es auch, die Eigentümer der Ressourcen zu ermitteln, da diesen auf Grund ihrer Eigentümerstellung diverse Pflichten zur Inventarisierung, zum Schutz, zur Überprüfung, zur Zugangsbeschränkung und Ähnliches zukommen.
Inventarisierung in der ISO 27002
Sollte es im konkreten Fall zweckdienlich sein, können auch mehrere verschiedene Inventare angelegt werden, die zum Beispiel nach Hardware, Software, Personal, Informationswerte, etc. unterteilt sind.
Eine Inventarisierung von Informationen und anderen zugehörigen Vermögenswerten im Sinne von Abschnitt 5.9 der ISO 27002 dient dazu, die Eigentümerschaft und die daraus entstehenden Verpflichtungen zu ermitteln und die Informationssicherheit im Unternehmen sicherzustellen. Dabei können obige organisatorische Lösungen eingesetzt werden.
Um die Inventarlisten auch im Rahmen des Risikomanagements einsetzen zu können, empfiehlt sich das Studium der Norm ISO 27005. Hier wird eine Unterscheidung von primären und sekundären Werten vorgeschlagen, die eine deutliche Erleichterung im Rahmen der zu erstellenden Risikoanalysen darstellen können.