ISO 27701 – Klausul 6.5 – Asset Management

ISO 27701 paragraf 6.5 (Asset Management) skitserer vigtigheden af ​​at vedligeholde en fortegnelse over aktiver, der håndterer personligt identificerbare oplysninger (PII), tildele ejerskab, definere acceptabel brug og sikre aktiv returnering for at forbedre privatlivsstyringen. Det er i overensstemmelse med ISO 27002-kontroller, men introducerer ikke yderligere GDPR-overvejelser.

Book en demo
Forfatter
Max Edwards
Opdateret 25. februar 2025
LinkedIn Twitter Twitter

ISO 27701 paragraf 6.5: Styrkelse af privatlivets fred gennem Asset Management

Asset management er en vigtig del af opretholdelsen af ​​privatlivets fred, både på fysisk og digitalt plan.

Organisationer skal opretholde krystalklare registreringer af alle relevante aktiver for at få et top-down-billede af, hvordan PII og privatlivsrelaterede data flyder gennem organisationen.

Personale, der bruger ethvert aktiv inden for en organisations IKT, som har evnen til at lagre eller behandle PII, bør gøres eksplicit opmærksom på, hvad der forventes af dem med hensyn til acceptabel brug, og hvordan sådanne oplysninger administreres i en off-boarding-periode.

Hvad er dækket af ISO 27701 klausul 6.5

ISO 27701 6.5 indeholder fire underklausuler, der specifikt omhandler beskyttelse af privatlivets fred, i forbindelse med asset management.

Hver underklausul er afhængig af indeholdt vejledning inden for forskellige underklausuler af ISO 27002, med to underklausuler, der indeholder nøjagtig de samme vejledningspunkter:

  • ISO 27701 6.5.1.1 – Opgørelse over aktiver (Referencer ISO 27002 Kontrol 5.9).
  • ISO 27701 6.5.1.2 – Ejerskab af aktiver (Referencer ISO 27002 Kontrol 5.9).
  • ISO 27701 6.5.1.3 – Acceptabel brug af aktiver (Referencer ISO 27002 kontrol 5.10).
  • ISO 27701 6.5.1.4 – Returnering af aktiver (Referencer ISO 27002 Kontrol 5.11).

ISO giver ingen yderligere vejledning til PIMS-relaterede aktiviteter inden for rammerne af asset management, og der er heller ingen GDPR-forgreninger at tage hensyn til.



Overholdelse behøver ikke at være kompliceret.

Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på.
Alt du skal gøre er at udfylde de tomme felter.

Book en demo


ISO 27701 klausul 6.5.1.1 – Opgørelse over aktiver

Referencer ISO 27002 Kontrol 5.9

Kategorisering af varebeholdninger

For at øge beskyttelsen af ​​privatlivets fred bør organisationer opretholde en nøjagtig, opdateret, dokumenteret liste over oplysninger og aktiver, herunder muligheden for at referere til opgørelser på tværs af organisationen.

Der er flere måder, hvorpå organisationer kan forbedre deres lagerdrift, herunder:

  • Regelmæssig gennemgang af indholdet af en opgørelse i forhold til, hvad der faktisk er i organisationen.
  • Når et aktiv ændres, introduceres eller fjernes af organisationen, implementeres procedurer, der automatisk opdaterer beholdningen som en del af ændringsprocessen.
  • Sikring af, at varebeholdninger indeholder et 'placeringsfelt', for nemt at kunne identificere, hvor hvert aktiv befinder sig.

Varebeholdninger behøver ikke at være én stor liste over alle fysiske og digitale aktiver. I stedet opfordrer ISO organisationer til at adskille varebeholdninger på en kategori-for-kategori-basis, herunder separate opgørelser for:

  • Informationsaktiver.
  • Hardware og software.
  • Virtuelle maskiner (VM'er).
  • Faciliteter udstyr.
  • Personalejournaler.

Det er vigtigt at bemærke, at – i tilfælde af visse aktiver – ikke al information er i stand til at blive vedligeholdt regelmæssigt, og der er ikke behov for at inkludere hvert sidste aktiv på tværs af organisationens hele fysiske og digitale beholdninger – f.eks. kortlivede VM'er, der udføre et enestående formål i kort tid, før det fjernes.

Ejerskab

Alle kategoriserede aktiver bør gives en officiel 'ejer' – det være sig en enkeltperson eller en gruppe (se ISO 27002 5.12 og 5.13) – som bør ændres, når jobroller påbegyndes, ophører eller ændres.

Aktivejere bør sikre, at:

  • Alle aktiver er korrekt registreret og klassificeret i en opgørelse.
  • Klassifikationer er underlagt periodisk revision.
  • Alle teknologikomponenter er opført i overensstemmelse hermed og adskilt fra fysiske aktiver (f.eks. DB-komponenter).
  • Organisationen overholder en politik for acceptabel brug (se ISO 27002 kontrol 5.10).
  • Der er sat restriktioner på visse aktivafklaringer og gennemgås på passende tidspunkter.
  • Når organisationen har brug for at slette eller fjerne data fra sin beholdning, bortskaffes sådanne data sikkert.
  • Risikostyring er front og centrum for alle aktivhåndteringsaktiviteter.
  • De tilbyder tilstrækkelig støtte til alt personale, der er involveret i beskyttelse af privatlivets fred og informationshåndtering.

Relevante ISO 27002 kontroller

  • ISO 27002 5.10
  • ISO 27002 5.12
  • ISO 27002 5.13

ISO 27701 Klausul 6.5.1.2 – Ejerskab af aktiver

Referencer ISO 27002 Kontrol 5.9

Se ISO 27701 paragraf 6.5.1.1

ISO 27701 Klausul 6.5.1.3 – Acceptabel brug af aktiver

Referencer ISO 27002 Kontrol 5.10

Alt personale i organisationen, der håndterer information eller fysiske og digitale aktiver, bør gøres eksplicit opmærksom på deres ansvar i forhold til beskyttelse af privatlivets fred, herunder eventuelle generelle eller emnespecifikke sikkerhedskrav.

Politikker for acceptabel brug skal klart skitsere:

  • Hvordan organisationen klassificerer acceptabel og uacceptabel adfærd inden for rammerne af privatlivsbeskyttelse.
  • Hvordan information (specifikt PII) er tilladt at blive brugt på tværs af netværket.
  • Hvordan organisationen agter at overvåge brugen af ​​aktiver.

Der bør implementeres procedurer, der tager højde for PII's fulde livscyklus, herunder:

  • Adgangsbegrænsninger, der er relevante for PII.
  • En klar og opdateret registrering af, hvem der har tilladelse til at få adgang til PII-data og relaterede aktiver, og under hvilke omstændigheder.
  • Tilstrækkelige niveauer af sikkerhed og lagring af PII-data – inklusive midlertidige kopier.
  • Under hensyntagen til producentens anbefalinger ved opbevaring af aktiver forbundet med beskyttelse af privatlivets fred (se ISO 27002 7.8).
  • Tydelig mærkning af alle lagermedier med oplysningerne om den autoriserede bruger/modtager (se ISO 27002 7.10).
  • Hvordan PII-data og tilhørende aktiver fjernes fra netværket og/eller slettes og bortskaffes.

Relevante ISO 27002 kontroller

  • ISO 27002 7.8
  • ISO 27002 7.10


Administrer al din overholdelse ét sted

ISMS.online understøtter over 100 standarder
og regler, hvilket giver dig en enkelt
platform til alle dine overholdelsesbehov.

Book en demo


ISO 27701 klausul 6.5.1.4 – Returnering af aktiver

Referencer ISO 27002 Kontrol 5.11

Aktive forvaltningsprocedurer skal også omfatte eksplicitte retningslinjer for, hvordan organisationen administrerer returnering af aktiver, der har været involveret i behandlingen eller opbevaringen af ​​PII, og andre privatlivsrelaterede oplysninger.

Uanset om personalet har brugt deres egne enheder eller er blevet tildelt et organisatorisk aktiv, skal der etableres processer, der sikrer PII ved at fjerne data fra det pågældende aktiv og overføre information tilbage til organisationen.

Hvis personalet er underlagt en opsigelsesperiode, bør organisationer tage skridt til at sikre, at PII ikke kompromitteres på nogen måde af den off-boarding-medarbejder – herunder uautoriseret deling, overførsel eller sletning.

Organisationer bør udvikle arbejdsgange, der dækker tilbagelevering af alle aktiver, der er involveret i behandling eller lagring af PII, herunder (men ikke begrænset til):

  • Enheder (bærbare, mobiler, tablets osv.).
  • USB-drev.
  • Godkendelsesværktøjer og -hardware (VPN-valideringsaktiver og tokens, udstyr til dør-/lokaleindgange.
  • Papirkopier af PII.

Understøttende kontroller fra ISO 27002 og GDPR

ISO 27701 klausulidentifikatorISO 27701-klausulens navnISO 27002 kravTilknyttede GDPR-artikler
6.5.1.1Opgørelse af aktiver
5.9 – Opgørelse over oplysninger og andre tilknyttede aktiver til ISO 27002
Ingen
6.5.1.2Ejerskab af aktiver
5.9 – Opgørelse over oplysninger og andre tilknyttede aktiver til ISO 27002
Ingen
6.5.1.3Acceptabel brug af aktiver
5.10 – Acceptabel brug af information og andre tilknyttede aktiver til ISO 27002
Ingen
6.5.1.4Tilbagelevering af aktiver
5.11 – Returnering af aktiver for ISO 27002
Ingen

Hvordan ISMS.online hjælper

Hvordan hjælper vi?

Ved at tilføje en PIMS til din ISMS på ISMS.online platformen forbliver din sikkerhedsposition alt-på-et-sted, og du undgår duplikering, hvor standarderne overlapper hinanden.

Med dit PIMS øjeblikkeligt tilgængeligt for interesserede parter, har det aldrig været nemmere at overvåge, rapportere og revidere i forhold til både ISO 27002 og ISO 27701 med et klik på en knap.

Find ud af, hvor meget tid og penge du vil spare på din rejse til en kombineret ISO 27002- og 27701-certificering ved hjælp af ISMS.online.

Find ud af mere ved booking af en praktisk demo.

Gå til emnet

Max Edwards

Max arbejder som en del af ISMS.online marketingteamet og sikrer, at vores hjemmeside er opdateret med nyttigt indhold og information om alt, hvad ISO 27001, 27002 og compliance angår.

ISMS platform tur

Interesseret i en ISMS.online platform tour?

Start din gratis 2-minutters interaktive demo nu, og oplev magien ved ISMS.online i aktion!

Prøv gratis

Vi er førende inden for vores felt

Brugere elsker os
Netleder - forår 2025
Momentum Leader - forår 2025
Regional leder - Forår 2025 Storbritannien
Regional leder - EU forår 2025
Bedste Est. ROI Enterprise - forår 2025
Mest sandsynligt at anbefale Enterprise - forår 2025

"ISMS.Online, fremragende værktøj til overholdelse af lovgivning"

-Jim M.

"Gør ekstern revision til en leg og forbinder alle aspekter af dit ISMS problemfrit"

- Karen C.

"Innovativ løsning til styring af ISO og andre akkrediteringer"

- Ben H.

SOC 2 er her! Styrk din sikkerhed og opbyg kundernes tillid med vores kraftfulde overholdelsesløsning i dag!