Hoe u een activa-inventaris ontwikkelt voor ISO 27001
Inhoudsopgave:
Introductie van activa-inventarisatie
U moet een inventaris maken van de informatiemiddelen van uw organisatie om:
- Bouw een effectief Informatiebeveiligingsbeheersysteem (ISMS)
- Bereiken Naleving of certificering van ISO 27001
Als we het hebben over informatiemiddelen, merken we dat de meeste mensen denken aan zaken als laptops en servers. Maar er zijn nog veel meer zaken waarmee u rekening moet houden. Mensen, intellectueel eigendom en zelfs immateriële activa zoals het merk van uw organisatie kunnen allemaal in uw activa-inventaris passen.
Zodra u uw activa-inventaris heeft ontwikkeld, is uw volgende stap het uitvoeren van drie oefeningen:
- Filtering
- Prioritering
- categorisatie
Vervolgens moet u het risico voor uw activa in kaart brengen door de categorieën te gebruiken die u zojuist heeft geïdentificeerd.
Het ontwikkelen van uw activa-inventaris kan in eerste instantie behoorlijk ingewikkeld lijken. Maar als je gebruikt ISMS.online je hoeft niet echt de ins en outs te kennen voordat je aan de slag gaat.
Als dit je eerste is ISO 27001 implementatie, profiteert u enorm van onze Virtual Coach-functie. Deze serie video's is 24/7 beschikbaar binnen het platform. Het begeleidt u bij uw certificering reis, inclusief het ontwikkelen van uw activa-inventaris.
Wat moet worden opgenomen in een ISO 27001 inventarisatie van bedrijfsmiddelen?
De 2013-versie van de informatiebeveiligingsstandaard introduceerde een duidelijke verandering in de ISO 27001 eisen die nu alles verwachten informatie-activa beschouwd moeten worden in plaats van alleen maar fysieke activa. Dit omvat alles wat van waarde is voor de organisatie waar informatie wordt opgeslagen, verwerkt en toegankelijk is informatie dat is van reëel belang, en niet zozeer het netwerk of apparaat op zich, hoewel het duidelijk nog steeds activa zijn en beschermd moeten worden:
- Informatie (of gegevens)
- Immateriële activa – zoals IP, merk en reputatie
- Mensen – Werknemers, tijdelijk personeel, aannemers, vrijwilligers enz
En het fysieke activa verbonden met hun verwerking en infrastructuur:
- Hardware – Meestal IT-servers, netwerkapparatuur, werkstations, mobiele apparaten enz
- Software – Aangekochte of op maat gemaakte software
- Diensten – Het werkelijke verleende dienst aan eindgebruikers (bijv. databasesystemen, e-mail enz.)
- Locaties en gebouwen – Locaties, gebouwen, kantoren enz
Elk type activa kan logisch worden gegroepeerd op basis van een aantal factoren, zoals:
- Classificatie – bijvoorbeeld openbaar, intern, vertrouwelijk enz
- Informatietype – bijvoorbeeld persoonlijk, persoonlijk gevoelig, commercieel etc
- Financiële of niet-financiële waarde
Een auditor zal een inventaris, of inventarissen, verwachten die alles bestrijken de relevante activa binnen de reikwijdte van het ISMS. Aan elk asset moet een eigenaar worden toegewezen en aan elk asset moet een classificatie worden toegewezen.
Wie moet de asset-eigenaar zijn en wat zijn hun ISO 27001-verantwoordelijkheden?
De eigenaar is niet noodzakelijkerwijs de juridische of fysieke houder van het actief, maar de persoon die de verantwoordelijkheid en bijpassende bevoegdheid heeft om ervoor te zorgen dat, op zijn minst:
-
- Activa worden geïnventariseerd;
- Activa worden correct geclassificeerd en beschermd;
- Toegangsrestricties van het actief en de classificatie ervan worden periodiek beoordeeld; En
- Activa worden correct behandeld wanneer ze worden verwijderd of vernietigd.
Dagelijkse verantwoordelijkheden voor vermogensbeheer (bijv. het bijwerken van de inventarissen, het uitvoeren van audits enz.) kunnen worden gedelegeerd, maar de eindverantwoordelijkheid voor de juistheid hiervan ligt bij de hand het beheer blijft bij het betreffende vermogensbestanddeel eigenaar.
Het is de eigenaar van de activa die verantwoordelijk is voor het instellen van de beschermingsvereisten voor de activa, zoals toegangsbeperking, in overeenstemming met het beleid en de normen van de organisatie.
Hoe verhoudt de ISO 27001:2013 inventarisatie van bedrijfsmiddelen zich tot de AVG?
Om te voldoen aan de Algemene Gegevensbeschermingsverordening (GDPR) een organisatie moet een inventaris bijhouden van systemen die persoonlijk identificeerbare informatie bevatten en verwerken. Het vereist ook dat de risico's rond persoonlijk gegevens worden geïdentificeerd, beoordeeld en behandeld, dus volgens de ISO 27001 :2013 benadering van activa en risicobeoordeling betekent dat het gemakkelijk kan worden omvat en kan worden afgestemd om de Ook AVG-vereisten.
Moet u een sjabloon of tool gebruiken om uw activa-inventaris te beheren?
Er zijn veel voorbeeldsjablonen voor activa-inventarisaties/-registers beschikbaar en deze volgen een eenvoudige spreadsheetbenadering die net zo gemakkelijk zelf te bouwen is.
Een spreadsheet is echter een statisch document en hoewel ze geweldig zijn voor financiële modellen en basiszaken, zijn ze niet zo goed om aan te tonen hoe het actief verband houdt met de geïdentificeerde risico's, het relevante beleid en de controles, of het andere dynamische werk van an managementsysteem voor informatiebeveiliging.
Een goed technologiehulpmiddel voor inventarissen van activa wordt vooraf geconfigureerd, met de mogelijkheid om het aan te passen aan uw eigen classificaties, u in staat te stellen eigenaren, vervaldata en herinneringen toe te wijzen en al het benodigde bewijsmateriaal op één veilige locatie vast te leggen.
Overweeg ook een tool voor informatiebeveiligingsbeheer waarmee u waarden aan uw bedrijfsmiddelen kunt toekennen, omdat dit u helpt prioriteiten te stellen risicobeoordelingen en inzicht krijgen in de mogelijke gevolgen van incidenten, gebeurtenissen of inbreuken.
Ten slotte bieden de beste tools de mogelijkheid om activa eenvoudig te koppelen aan risico's voor u risico behandelplan, aan jouw ISMS controles, toeleveringsketen en andere acties in de ISMS waaruit blijkt dat uw bezittingen goed beschermd zijn.
In feite in ISMS.onlineDoor gebruik te maken van dezelfde krachtige koppeling kunt u eenvoudig van informatiemiddel naar risico naar het controles nodig bij de behandeling van het risico en vervolgens dynamisch van controle naar actualisering Verklaring van toepasbaarheid met de rechtvaardiging voor de uitvoering ervan. Het is echt zo simpel met ISMS.online.
Het bouwen van uw eigen activaspreadsheet heeft dus misschien geen waargenomen kosten, maar zal de uitdaging met zich meebrengen van een veel hoger management en coördinatie met de andere delen van de organisatie. ISMS, vooral als je ernaar streeft ISO 27001 certificaat. Of u kunt voor de langere termijn kijken en investeren in een gespecialiseerde tool voor vermogensbeheer. Maar ze zijn vaak complex en gedetailleerd. Het beheer van informatiemiddelen zou op zichzelf wel eens een voltijdse baan kunnen worden. En u zult uw tool nog steeds moeten koppelen aan de rest van uw ISMS.
In plaats van te grijpen naar een spreadsheet of een op zichzelf staande specialistische tool, raden we u aan te zoeken naar een ISMS-platform met een eigen tool voor inventarisatie van bedrijfsmiddelen. Het zou moeten:
- Het is vooraf geconfigureerd, maar u kunt het eenvoudig aanpassen met uw eigen classificaties
- Hiermee kunt u eigenaren van activa en vervaldata en herinneringen voor activabeheer toewijzen
- Leg op dynamische wijze bewijsmateriaal vast voor interne en externe audits op één veilige locatie
Het zou u ook de mogelijkheid moeten bieden waarden aan uw activa toe te kennen. Dat helpt u bij het prioriteren van risicobeoordelingen en het beoordelen van de potentiële impact ervan beveiligingsincidenten, gebeurtenissen of inbreuken. En je zou in staat moeten zijn om door te linken naar jouw risico behandeling plannen en verder.
Dat is het soort koppeling dat u met ISMS.online kunt maken. U kunt overstappen van een informatiemiddel naar een risico waarmee het wordt geconfronteerd en naar de controle die dat risico afhandelt. Vervolgens kunt u van dat besturingselement naar uw Verklaring van toepasbaarheid, waarbij het wordt bijgewerkt met de rechtvaardiging voor de implementatie ervan.
Het is echt zo simpel.
