Blog

Asset Management für die ISO 27001 Zertifizierung

Wir zeigen Ihnen warum ein (IT-) Asset Management für die ISO 27001 Zertifizierung ein elementar wichtiger Bestandteil ist.

Michael Kostka
Michael Kostka Veröffentlicht am 16.11.2021

Die ISO 27001 Zertifizierung hat sich in den letzten Jahren zu einem De-facto-Standard im IT-Umfeld entwickelt.

Diese wurde entworfen um "die Auswahl geeigneter Sicherheitsmechanismen zum Schutz sämtlicher Werte (= Assets) in den Wertschöpfungsketten sicherzustellen".

Das Spektrum reicht dabei von der Prüfung bestimmter Prozessabläufe und Sicherheitsvorkehrungen bis hin zur Dokumentation. Auch bekannt als Informationssicherheits-Managementsysteme (ISMS).

Welche Assets sind betroffen?

Der Scope der ISO 27001 umfasst "alles, das für die Organisation von Wert ist". Hierzu zählt im Informationszeitalter natürliche eine ganze Menge, weshalb sich die Zertifizierung nicht nur auf die IT beschränkt.

  • Hardware
    Klassische PCs, Notebooks, Serversysteme, Speichermedien, etc.

  • Software & Lizenzen
    Im Unternehmen eingesetzte Software und dazugehöriger Lizenzen.

  • Infrastruktur
    Grundlegende Infrastrukturkomponenten wie Stromversorgung, Klimatisierung, Gebäude, auch Wartungs- / Serviceprotokolle

  • Personen
    Mitarbeiter aufgrund des Know-hows und deren Einbindung in den Wertschöpfungs- bzw. Sicherheitsketten

  • Dienstleister / Anbieter
    An externe Unternehmen oder Personen vergebene Dienstleistungen wie z.B. Datenvernichtung, Reinigung von Bürogebäuden, Wartung von Infrastrukturkomponenten, Colocation- / Hosting Provider

  • Daten & Dokumente
    Letztlich fallen natürlich auch Daten unter den Betriff der Assets. Ein weiteres Augenmerk gilt hier auch klassichen Papierdokumenten (Sicherheitsaspekt, Aufbewahrungsfristen, Sichere Vernichtung)

Was muss ich über meine Assets wissen?

Im Zuge der ISO 27001 Zertifizierung werden über das Asset Management eine Vielzahl verschiedener Fragen platziert, zu denen die Organisation auskunftsfähig sein muss.

Je mehr Informationen an zentraler Stelle ersichtlich sind, desto besser

  • Inventar / Bestand (Welche Assets habe ich und wo sind diese?)
  • Verantwortlichkeit (Wem ist ein Asset zugewiesen bzw. wer ist dafür zuständig?)
  • Wichtigkeit (Wie wichtig ist das Asset im Vergleich zu anderen Assets?)
  • Nutzungszweck (Wofür wird ein Asset verwendet und welche Regeln bestehen hierfür?)
  • Kennzeichnung (Wie ist das Asset für eine eindeutige Indentifizierung gekennzeichnet?)
  • Rückgabe (Wie wird das Asset zurückgegeben oder ausgemustert?)
  • Schutz (Ist das Asset basierend auf dessen Wichtigkeit adäquat geschützt?)

Wer den gesamten Lifecycle eines IT-Assets transparent darstellen kann, ist meist auf der sicheren Seite.

Wie kann eine Asset Management Lösung helfen?

Eine vernünftige Asset Management Lösung deckt die im oberen Abschnitt erwähnten Anforderungen ab und kann darüber hinaus auch über eine Zertifizierung hinweg einen hohen praktischen Nutzen bieten.

Im ersten Schritt ist es jedoch notwendig, eine umfassende Übersicht des Inventars zu erlangen. Hierbei ist der bevorzugte Weg auch sehr von der bisherigen Vorgehensweise und Datenlage abhängig.

  • Bestehen aktuell bereits (Excel-) Inventarlisten?
    Diese sollten vereinheitlicht und in ein zentrales System importiert werden.

  • Gibt es ein bestehendes System aus dem z.B. Hardwarelisten exportiert werden können?
    An dieser Stelle sollten zunächst die Datenqualität und Verknüpfungsmöglichkeiten geprüft werden.

  • Existiert aktuell noch gar kein Überblick?
    Für diesen Fall empfiehlt sich der Einsatz einer automatischen / agentenlosen Inventarisierung.

Die ISO 27001 Zertifizierung umfasst ein sehr weites Spektrum - auch über Abteilungsgrenzen hinweg. Wer mit einer umfassenden Lösung aufgestellt ist, punktet daher in vielen Bereichen.

Wie kann ich externe Dienstleister einbinden?

Gerade im Zuge von Cloud Services gewinnt auch die Verwaltung / Dokumentation von Verträgen mit Dienstleistern eine immer größere Bedeutung. Man denke hier auch mal an Auftragsverabeitungsverträge (AVV) gemäß DSGVO, die ebenfalls an zentraler Stelle abgelegt und regelmäßig verifiziert werden sollten.

Häufig ist hier ein wenig "um die Ecke denken" angesagt, um auch diese Elemente in einem Asset Management zu erfassen.

Wir empfehlen hier die Erfassung in Form eines Vertrages im System, was Ihnen unter anderem die folgenden Vorteile bietet:

  • Ablage der Vertragsdokumente
  • Hinterlegung von Erinnerungs- und Subventionierungsfristen
  • Verknüpfung mit anderen Assets (z.B. Serversystemen oder Standorten)
  • Zugriffsbeschränkungen
  • Zusätzliche Attribute (z.B. Klassifizierung / Wichtigkeit / Risikoklasse)

Im Falle von Cloud Services können die Zugriffsberechtigungen auch in Form einer Lizenz im System erfasst werden. Dies bietet den Vorteil, dass z.B. auch ersichtlich wird welche Personen Zugriff auf einen bestimmten Dienst haben.

Fazit

Ein Asset Management System ist ein essentiell wichtiger Bestandteil für eine erfolgreiche Zertifizierung nach ISO 27001.

Aber unabhängig von einer Zertifizierung, kann ein zentrales System für die gesamte Inventarisierung auch noch weitere praktische Vorteile für die Organisation bieten. Das Thema ist somit nicht nur ein "notwendiges Übel", sondern kann auch mittel- und langfristig für schnellere und reibungslose Abläufe im Unternehmen sorgen.

Michael Kostka
Michael Kostka Autor

Geschäftsführer / CEO

Gründer und Geschäftsführer der EntekSystems GmbH. Herr Kostka verantwortet bei uns die Bereiche technischer Vertrieb und Leitung des Tagesgeschäfts.

Inventory360 jetzt kostenlos testen

Kombiniert Hardware, Lizenzen, Verträge, Bestellungen und vieles mehr in einem System.

Mehr erfahren

Weitere Artikel und Beiträge

02.08.2022 Server leasen oder kaufen - Was ist besser?

Ist es besser neue Server zu leasen oder zu kaufen? Wir gehen der Frage nach.

19.07.2022 Chaos im Inventar - Wie kann mir eine Inventarverwaltung helfen?

Sie haben keinen Überblick zu Ihrem Inventar mehr und das Chaos bedroht Ihre Geschäftsfähigkeit? Dann lesen Sie mehr über die Lösung des Problems.

12.07.2022 Was Schildkröten und Inventarlisten gemeinsam haben

Weshalb sind herkömmliche Inventarlisten mit Schildkröten vergleichbar und was kann man dagegen unternehmen?