Udførelse af ISO 27001 audits i ISMS.online

Sådan udvikles en aktivopgørelse til ISO 27001

Introduktion af aktivbeholdning

Du skal oprette en opgørelse over din organisations informationsaktiver for at:

Når vi taler om informationsaktiver, opdager vi, at de fleste mennesker tænker på ting som bærbare computere og servere. Men der er mange andre ting, du skal overveje. Mennesker, intellektuel ejendom og endda immaterielle aktiver som din organisations brand kan alle passe ind i din Asset Inventory.

Når du har udviklet dit aktivbeholdning, er dit næste skridt at udføre tre øvelser:

  • Filtrering
  • Prioritering
  • Kategorisering

Derefter skal du kortlægge risikoen for dine aktiver ved at bruge de kategorier, du lige har identificeret.

Udvikling af din aktivbeholdning kan virke ret kompliceret i starten. Men hvis du bruger ISMS.online du behøver ikke rigtig at kende ind og ud, før du går i gang.

Hvis dette er din første ISO 27001 implementering, vil du få stor gavn af vores Virtual Coach-funktion. Denne serie af videoer er tilgængelig 24/7 på platformen. Det guider dig gennem din certificering rejse, herunder udvikling af din Asset Inventory.

Hvad skal inkluderes i en ISO 27001 aktivopgørelse?

2013-versionen af ​​informationssikkerhedsstandarden introducerede en markant ændring af ISO 27001 krav, som nu forventer alle informationsaktiver skal betragtes snarere end blot fysiske aktiver. Dette inkluderer alt af værdi for organisationen, hvor information er lagret, behandlet og tilgængeligt, men det er oplysninger det er af reel interesse, i mindre grad netværket eller enheden i sig selv, selvom de tydeligvis stadig er aktiver og skal beskyttes:

  • Information (eller data)
  • Immaterielle aktiver – såsom IP, brand og omdømme
  • Mennesker – Ansatte, vikarer, entreprenører, frivillige mv

Og det fysiske tilhørende aktiver med deres behandling og infrastruktur:

  • Hardware – Typisk IT-servere, netværksudstyr, arbejdsstationer, mobile enheder mm
  • Software – Købt eller skræddersyet software
  • Tjenester – Den faktiske ydet service til slutbrugere (f.eks. databasesystemer, e-mail osv.)
  • Steder og bygninger – Grunde, bygninger, kontorer osv

Enhver form for aktiv kan grupperes logisk i henhold til en række faktorer såsom:

  • Klassifikation – fx offentlig, intern, fortrolig mv
  • Oplysningstype – fx personlig, personfølsom, kommerciel mv
  • Finansiel eller ikke-finansiel værdi

En revisor vil forvente at se en eller flere opgørelser, der dækker alt de relevante aktiver inden for ISMS'ens anvendelsesområde. Hvert aktiv skal tildeles en ejer, og hvert aktiv skal tildeles en klassifikation.

Hvem skal aktivejeren være, og hvad er deres ISO 27001-ansvar?

Ejeren er ikke nødvendigvis den juridiske eller fysiske indehaver af aktivet, men den person, der har ansvaret og matchende beføjelser til at sikre, at som minimum:

    • Aktiver er inventar;
    • Aktiver er korrekt klassificeret og beskyttet;
    • Adgangsbegrænsninger til aktivet og dets klassificering gennemgås med jævne mellemrum; og
    • Aktiver håndteres korrekt, når de slettes eller destrueres.

Det daglige ansvar vedr formueforvaltning (f.eks. opdatering af fortegnelser, udførelse af revisioner osv.) kan delegeres, men det endelige ansvar for at sikre korrekte ledelsen forbliver hos det relevante aktiv ejer.

Det er aktivejeren, der er ansvarlig for at stille beskyttelseskravene til aktivet, såsom adgangsbegrænsning, i overensstemmelse med organisationens politikker og standarder.

Hvordan relaterer ISO 27001:2013 aktivbeholdningen til GDPR?

For at overholde Generel databeskyttelsesforordning (GDPR) en organisation skal føre en fortegnelse over systemer, der opbevarer og behandler personligt_identificerbare_oplysninger”>personoplysninger. Det kræver også, at risiciene omkring personlige data identificeres, vurderes og behandles, så følger de ISO 27001:2013 tilgang til aktiver og risikovurdering betyder, at den nemt kan omfatte og justeres for at inkorporere GDPR krav også.

Skal du bruge en skabelon eller et værktøj til at administrere din aktivbeholdning?

Der er mange eksempler på skabeloner til aktivopgørelser/registre tilgængelige, og disse følger en simpel regnearkstilgang, som er lige så nemme at bygge selv.

Et regneark er imidlertid et statisk dokument, og selvom det er fantastisk til finansiel modellering og grundlæggende ting, er de ikke så gode til at demonstrere, hvordan aktivet forbindes med de identificerede risici, de relevante politikker og kontrol, eller det andet dynamiske arbejde af en informationssikkerhedsstyringssystem.

Et godt teknologisk værktøj til aktiver opgørelser kommer forudkonfigureret med mulighed for at tilpasse, så de passer til dine egne klassifikationer, giver dig mulighed for at tildele ejere, forfaldsdatoer og påmindelser og til at fange alt det nødvendige bevis på ét sikkert sted.

Oplysninger om aktivbeholdning

Overvej også et informationssikkerhedsstyringsværktøj, der giver dig mulighed for at tildele værdier til dine aktiver, da dette vil hjælpe dig med at prioritere risikovurderinger og forstå enhver potentiel påvirkning af hændelser, hændelser eller brud.

Endelig vil de bedste værktøjer komme med muligheden for nemt at knytte aktivet til risici på din risikobehandlingsplan, til din ismer kontrol, forsyningskæde og andre handlinger i ismer der viser, at dine aktiver er godt beskyttet.

Faktisk i ISMS.online, ved at bruge denne samme kraftfulde linking vil du tage dig på en enkel rejse fra informationsaktiv, til risiko, til kontrol nødvendig i behandlingen af ​​risikoen og derefter, dynamisk fra kontrol til opdatering af Anvendelseserklæring med begrundelsen for dens gennemførelse. Det er virkelig så enkelt med ISMS.online.

Så opbygning af dit eget regneark med aktiver har muligvis ingen opfattede omkostninger, men vil have udfordringen med meget højere ledelse og koordinering med de andre dele af ismer, især hvis du sigter efter ISO 27001 certificering. Eller du kan anlægge et længere perspektiv og investere i et specialiseret værktøj til styring af aktiver. Men de er ofte komplekse og detaljetunge. Information Asset Management kunne sagtens blive et fuldtidsjob i sig selv. Og du skal stadig forbinde dit værktøj med resten af ​​dit ISMS.

I stedet for at række ud efter et regneark eller et selvstændigt specialistværktøj, anbefaler vi, at du leder efter en ISMS-platform, der inkluderer sit eget værktøj til opgørelse af aktiver. Det burde:

  • Kom prækonfigureret, men vær nem at tilpasse med dine egne klassifikationer
  • Lad dig tildele aktivejere og forfaldsdatoer og påmindelser om aktivforvaltning
  • Indhent dynamisk bevis for interne og eksterne revisioner på ét sikkert sted

Det bør også give dig mulighed for at tildele værdier til dine aktiver. Det vil hjælpe dig med at prioritere risikovurderinger og vurdere den potentielle effekt af evt sikkerhedshændelser, begivenheder eller brud. Og du burde være i stand til at linke igennem til din risikobehandling plan og videre.

Det er den slags sammenkædning, som ISMS.online giver dig mulighed for. Du kan flytte fra et informationsaktiv til en risiko, det står over for, og til den kontrol, der behandler denne risiko. Så kan du hoppe fra den kontrol til din Anvendelseserklæring, ajourføring af den med begrundelsen for dens gennemførelse.

Det er virkelig så enkelt.

« ISO 27001 risikovurdering

Opbygning af stabile, sikre leverandørrelationer »

Sidst redigeret: 11. april 2023
Forfatter

Julia Heron

Julia er ISMS.online Solutions Specialist for virksomhedskunder og arbejder sammen med organisationer for at hjælpe dem med deres overholdelsesmål.

Se alle indlæg af Julia Heron

Relaterede indlæg

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere