Blog

Asset Management für die ISO 27001 Zertifizierung

Wir zeigen Ihnen warum ein (IT-) Asset Management für die ISO 27001 Zertifizierung ein elementar wichtiger Bestandteil ist.

Michael Kostka
Michael Kostka Veröffentlicht am 16.11.2021

Die ISO 27001 Zertifizierung hat sich in den letzten Jahren zu einem De-facto-Standard im IT-Umfeld entwickelt.

Diese wurde entworfen um "die Auswahl geeigneter Sicherheitsmechanismen zum Schutz sämtlicher Werte (= Assets) in den Wertschöpfungsketten sicherzustellen".

Das Spektrum reicht dabei von der Prüfung bestimmter Prozessabläufe und Sicherheitsvorkehrungen bis hin zur Dokumentation. Auch bekannt als Informationssicherheits-Managementsysteme (ISMS).

Welche Assets sind betroffen?

Der Scope der ISO 27001 umfasst "alles, das für die Organisation von Wert ist". Hierzu zählt im Informationszeitalter natürliche eine ganze Menge, weshalb sich die Zertifizierung nicht nur auf die IT beschränkt.

  • Hardware
    Klassische PCs, Notebooks, Serversysteme, Speichermedien, etc.

  • Software & Lizenzen
    Im Unternehmen eingesetzte Software und dazugehöriger Lizenzen.

  • Infrastruktur
    Grundlegende Infrastrukturkomponenten wie Stromversorgung, Klimatisierung, Gebäude, auch Wartungs- / Serviceprotokolle

  • Personen
    Mitarbeiter aufgrund des Know-hows und deren Einbindung in den Wertschöpfungs- bzw. Sicherheitsketten

  • Dienstleister / Anbieter
    An externe Unternehmen oder Personen vergebene Dienstleistungen wie z.B. Datenvernichtung, Reinigung von Bürogebäuden, Wartung von Infrastrukturkomponenten, Colocation- / Hosting Provider

  • Daten & Dokumente
    Letztlich fallen natürlich auch Daten unter den Betriff der Assets. Ein weiteres Augenmerk gilt hier auch klassichen Papierdokumenten (Sicherheitsaspekt, Aufbewahrungsfristen, Sichere Vernichtung)

Was muss ich über meine Assets wissen?

Im Zuge der ISO 27001 Zertifizierung werden über das Asset Management eine Vielzahl verschiedener Fragen platziert, zu denen die Organisation auskunftsfähig sein muss.

Je mehr Informationen an zentraler Stelle ersichtlich sind, desto besser

  • Inventar / Bestand (Welche Assets habe ich und wo sind diese?)
  • Verantwortlichkeit (Wem ist ein Asset zugewiesen bzw. wer ist dafür zuständig?)
  • Wichtigkeit (Wie wichtig ist das Asset im Vergleich zu anderen Assets?)
  • Nutzungszweck (Wofür wird ein Asset verwendet und welche Regeln bestehen hierfür?)
  • Kennzeichnung (Wie ist das Asset für eine eindeutige Indentifizierung gekennzeichnet?)
  • Rückgabe (Wie wird das Asset zurückgegeben oder ausgemustert?)
  • Schutz (Ist das Asset basierend auf dessen Wichtigkeit adäquat geschützt?)

Wer den gesamten Lifecycle eines IT-Assets transparent darstellen kann, ist meist auf der sicheren Seite.

Wie kann eine Asset Management Lösung helfen?

Eine vernünftige Asset Management Lösung deckt die im oberen Abschnitt erwähnten Anforderungen ab und kann darüber hinaus auch über eine Zertifizierung hinweg einen hohen praktischen Nutzen bieten.

Im ersten Schritt ist es jedoch notwendig, eine umfassende Übersicht des Inventars zu erlangen. Hierbei ist der bevorzugte Weg auch sehr von der bisherigen Vorgehensweise und Datenlage abhängig.

  • Bestehen aktuell bereits (Excel-) Inventarlisten?
    Diese sollten vereinheitlicht und in ein zentrales System importiert werden.

  • Gibt es ein bestehendes System aus dem z.B. Hardwarelisten exportiert werden können?
    An dieser Stelle sollten zunächst die Datenqualität und Verknüpfungsmöglichkeiten geprüft werden.

  • Existiert aktuell noch gar kein Überblick?
    Für diesen Fall empfiehlt sich der Einsatz einer automatischen / agentenlosen Inventarisierung.

Die ISO 27001 Zertifizierung umfasst ein sehr weites Spektrum - auch über Abteilungsgrenzen hinweg. Wer mit einer umfassenden Lösung aufgestellt ist, punktet daher in vielen Bereichen.

Wie kann ich externe Dienstleister einbinden?

Gerade im Zuge von Cloud Services gewinnt auch die Verwaltung / Dokumentation von Verträgen mit Dienstleistern eine immer größere Bedeutung. Man denke hier auch mal an Auftragsverabeitungsverträge (AVV) gemäß DSGVO, die ebenfalls an zentraler Stelle abgelegt und regelmäßig verifiziert werden sollten.

Häufig ist hier ein wenig "um die Ecke denken" angesagt, um auch diese Elemente in einem Asset Management zu erfassen.

Wir empfehlen hier die Erfassung in Form eines Vertrages im System, was Ihnen unter anderem die folgenden Vorteile bietet:

  • Ablage der Vertragsdokumente
  • Hinterlegung von Erinnerungs- und Subventionierungsfristen
  • Verknüpfung mit anderen Assets (z.B. Serversystemen oder Standorten)
  • Zugriffsbeschränkungen
  • Zusätzliche Attribute (z.B. Klassifizierung / Wichtigkeit / Risikoklasse)

Im Falle von Cloud Services können die Zugriffsberechtigungen auch in Form einer Lizenz im System erfasst werden. Dies bietet den Vorteil, dass z.B. auch ersichtlich wird welche Personen Zugriff auf einen bestimmten Dienst haben.

Fazit

Ein Asset Management System ist ein essentiell wichtiger Bestandteil für eine erfolgreiche Zertifizierung nach ISO 27001.

Aber unabhängig von einer Zertifizierung, kann ein zentrales System für die gesamte Inventarisierung auch noch weitere praktische Vorteile für die Organisation bieten. Das Thema ist somit nicht nur ein "notwendiges Übel", sondern kann auch mittel- und langfristig für schnellere und reibungslose Abläufe im Unternehmen sorgen.

Michael Kostka
Michael Kostka Author

Geschäftsführer / CEO

Gründer und Geschäftsführer der EntekSystems GmbH. Herr Kostka verantwortet bei uns die Bereiche technischer Vertrieb und Leitung des Tagesgeschäfts.

Inventory360 jetzt kostenlos testen

Kombiniert Hardware, Lizenzen, Verträge, Bestellungen und vieles mehr in einem System.

Mehr erfahren

Weitere Artikel und Beiträge

30.11.2021 Lagerverwaltung als Bestandteil der Inventarisierung

Wie kann eine Lagerverwaltung als Bestandteil der Inventarisierung meine Prozesse vereinfachen und wie hoch ist das Kosten- / Nutzen-Verhältnis?

23.11.2021 Warum Nachhaltigkeit nicht nur ein ökologischer Gedanke ist

Nachhaltigkeit hat nicht nur etwas mit Umwelt zu tun, sondern hat auch einen Effekt auf andere Bereiche eines Unternehmens.

09.11.2021 Vorteile der Inventarisierung für Ihre IT

Erfahren Sie welche konkreten Vorteile eine Inventarisierung für Ihre IT-Abteilung eigentlich bieten kann.