Logo der activeMind AG

ISO 27002Kapitel 5.9 Inventar von Informationen und anderen zugehörigen Vermögenswerten

Informationen und andere zugehörige Vermögenswerte bilden die Grundlage moderner Organisationen. Dazu gehören nicht nur Daten und IT-Systeme, sondern auch physische Vermögenswerte wie Gebäude, Fahrzeuge und Maschinen sowie immaterielle Vermögenswerte wie Patente und Marken. Um diese Vermögenswerte zu schützen, ist es notwendig, ein vollständiges Inventar zu erstellen und zu pflegen, das alle wichtigen Informationen und Vermögenswerte auflistet.

Dies ist eine der Anforderungen, die sich aus der ISO 27002 entnehmen lassen – in Kapitel 5.9 Inventar von Informationen und anderen zugehörigen Vermögenswerten.

Hinweis: Die folgenden Erklärungen beziehen sich auf die deutschen Versionen der Normen DIN EN ISO/IEC 27001:2024 sowie ISO 27002:2022.

Was ist ein Inventar von Informationen und anderen zugehörigen Vermögenswerten?

Ein Inventar von Informationen und anderen zugehörigen Vermögenswerten ist eine systematische Aufzeichnung aller Vermögenswerte und Informationen einer Organisation, die für den Geschäftsbetrieb relevant sind. Das Inventar enthält Informationen wie Standort, Eigentümer, Wert, Klassifizierung und Risikobewertung. Das Inventar ist ein wesentliches Instrument für ein effektives Risikomanagement und hilft bei der Identifizierung von Risiken und Schwachstellen in der Organisation.

Folgende Beispiele für organisatorische Lösungen bei der Erstellung und Pflege eines Inventars von Informationen und anderen zugehörigen Vermögenswerten helfen bei der Erfüllung der Vorgaben der ISO 27002:

Identifikation der Vermögenswerte

Die erste Aufgabe besteht darin, alle Vermögenswerte der Organisation zu identifizieren. Dies kann durch eine umfassende Bestandsaufnahme aller IT-Systeme, Datenbanken, Anwendungen, physischen Vermögenswerte usw. erfolgen. Die Informationen sollten in einer strukturierten Form erfasst werden, um die Analyse und Bewertung zu erleichtern.

Klassifizierung der Vermögenswerte

Die identifizierten Vermögenswerte sollten entsprechend ihrer Bedeutung und Sensibilität klassifiziert werden. Dies hilft bei der Identifizierung von Risiken und bei der Priorisierung von Schutzmaßnahmen.

Eine gängige Klassifizierungsmethode ist die Einteilung in „öffentlich“, „intern“ und „vertraulich“.

Pflege des Inventars

Das Inventar muss regelmäßig gepflegt und aktualisiert werden, um Änderungen und Entwicklungen in der Organisation zu berücksichtigen. Hierfür sollten klare Verantwortlichkeiten und Prozesse definiert werden.

Zugriffskontrolle

Der Zugriff auf das Inventar sollte auf autorisierte Personen beschränkt sein. Dies hilft bei der Vermeidung von Datenverlusten oder -missbrauch.

Sensibilisierung der Mitarbeiter

Die Mitarbeiter sollten über die Bedeutung des Inventars und die Verantwortlichkeiten im Umgang damit informiert werden.

Zuweisung der Eigentumsrechte

Besonders wichtig ist es auch, die Eigentümer der Ressourcen zu ermitteln, da diesen auf Grund ihrer Eigentümerstellung diverse Pflichten zur Inventarisierung, zum Schutz, zur Überprüfung, zur Zugangsbeschränkung und Ähnliches zukommen.

Inventarisierung in der ISO 27002

Sollte es im konkreten Fall zweckdienlich sein, können auch mehrere verschiedene Inventare angelegt werden, die zum Beispiel nach Hardware, Software, Personal, Informationswerte, etc. unterteilt sind.

Eine Inventarisierung von Informationen und anderen zugehörigen Vermögenswerten im Sinne von Abschnitt 5.9 der ISO 27002 dient dazu, die Eigentümerschaft und die daraus entstehenden Verpflichtungen zu ermitteln und die Informationssicherheit im Unternehmen sicherzustellen. Dabei können obige organisatorische Lösungen eingesetzt werden.

Um die Inventarlisten auch im Rahmen des Risikomanagements einsetzen zu können, empfiehlt sich das Studium der Norm ISO 27005. Hier wird eine Unterscheidung von primären und sekundären Werten vorgeschlagen, die eine deutliche Erleichterung im Rahmen der zu erstellenden Risikoanalysen darstellen können.

Unterstützung im Rahmen der Zertifizierung nach ISO 27001

Die activeMind AG Stellt ihren Mandanten ein Asset-Management-System zur Verfügung, in dem primäre wie auch sekundäre Inventarwerte (Assets) verwaltet und bewertet werden können.

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.