Wenn Sie das ISMS (Informationssicherheits-Managementsystem) Ihres Unternehmens an den Vorgaben der ISO 27001-Norm ausrichten möchten, können Ihnen die Maßnahmen in A.8 dabei helfen, dieses Ziel zu erreichen. Anhang A.8 behandelt das Asset-Management und beschreibt seine Rolle, um der Verantwortung für Informations-Assets gerecht zu werden und die jeweiligen Zuständigkeiten festzulegen.
Die Identifizierung und Implementierung der erforderlichen Maßnahmen in Anhang A durch eine Risikobewertung ist der Schlüssel zur Einhaltung von ISO 27001 und gewährleistet strenge Verfahren für die Informationssicherheit. Dieser Artikel enthält detaillierte Informationen zu Anhang A.8. Zudem werden die Anforderungen für ein effektives Asset-Management, die Bedeutung der Integration des Asset-Managements und die Bestandsaufnahme der Assets ausführlich erläutert.
Was ist Anhang A.8?
Anhang A.8 ist eine der in Anhang A enthaltenen 14 Maßnahmengruppen, die als Richtschnur für die Klauseln der ISO 27001-Norm dienen sollen. Der Schwerpunkt liegt auf dem Asset-Management. Außerdem beschreibt Anhang A.8 die Anforderungen und Zuständigkeiten für Sicherheitsverfahren, die für die jeweiligen Assets relevant sind. Im Allgemeinen bezieht sich Anhang A.8 auf vier Asset-Typen.
Um die in A.8 aufgeführten Maßnahmen für Assets zu verstehen, klären wir zunächst den Begriff Asset-Management und seine Bedeutung.
Was ist Asset-Management?
Kurz gesagt, das Konzept des Asset-Managements greift, wenn wir eine Bestandsaufnahme der IT-Hardware vornehmen oder Zugriffsprotokolle verwalten.
Das Asset-Management basiert auf der Idee, dass es wichtig ist, die Verantwortung für wertvolle Assets wahrzunehmen, um sicherzustellen, dass sie ordnungsgemäß geschützt sind. Zur Verantwortlichkeit gehören die Identifizierung, Verfolgung, Klassifizierung und die Zuweisung von Eigentümern. Desweiteren ist ein funktionierendes Asset Management eine wichtige Voraussetzung für die Zertifizierung nach ISO 27001.
Welche Ebenen/Typen von Assets gibt es?
Ein Asset ist grob gesagt alles, was ein Unternehmen für wertvoll hält. Das kann über physische/materielle Objekte hinausgehen. Es gibt vier Asset-Typen. Dazu gehören Hardware und Software, externe Services wie Mail- und Chat-Plattformen sowie Infrastruktur, die Auswirkungen auf die Verfügbarkeit von Informationen hat.
- Personalbezogene Assets: Qualifikation der Mitarbeiter, Ausbildungsniveau und andere Werte wie Loyalität
- Finanzielle Assets: Barmittel, Aktien, Einlagen und andere liquide Vermögenswerte mit oder ohne inhärenten Wert bzw. in physischer oder nicht physischer Form
- Informations-Assets: Dokumente in Papierform oder digitale Dokumente, Kennwörter und Verschlüsselungsschlüssel sowie Datenbanken
- Immaterielle Assets: Lizenzen, Marken, Zertifizierungen und andere Assets, die Einfluss auf die Reputation des Unternehmens haben
Assets beeinflussen sich gegenseitig und die anderen Bereiche eines Unternehmens. Unternehmen können keine optimale Leistung erzielen, wenn Assets nicht in Beziehung zueinander stehen. Daher müssen Assets so verwaltet werden, dass diese Abhängigkeiten berücksichtigt werden.
Beispielsweise beeinflussen die Handlungen und Kompetenzen von Mitarbeitern die Leistung physischer Assets. Investitionen in Infrastruktur- und Wartungsservices erfordern finanzielle Ressourcen. Qualitativ hochwertige Daten und Informationen sind für die Entwicklung, Optimierung und Umsetzung eines Asset-Management-Plans unerlässlich. Die Reputation eines Unternehmens kann sich auf Betriebsstrategien und Infrastrukturinvestitionen auswirken.
Sehen wir uns nun die Anforderungen in Anhang A.8 und die aufgeführten Verantwortlichkeiten (controls) an und betrachten deren Umsetzung.
Anhang A.8.1 – Verantwortung für Assets
Ziel von Anhang A.8.1 ist es, zu prüfen, inwieweit Informations-Assets mit dem Geltungsbereich des ISMS in Einklang stehen, und die Verantwortlichkeiten für den Schutz dieser Assets zu definieren. Zu den Assets können Netzwerkausrüstung und -geräte, Daten und Informationen, IT-Infrastruktur und Anwendungen gehören. Daher müssen diese Verantwortlichkeiten auf den Asset-Typ abgestimmt sein.
A.8.1.1 – Bestandsaufnahme der Assets
- Kontrolle: Informations-Assets und -einrichtungen müssen in einer Bestandsliste identifiziert und dokumentiert werden, zusammen mit allen Aktivitäten während des gesamten Lebenszyklus.
- Implementierung: Der Lebenszyklus dieser Informationen muss deren Erstellung, Verarbeitung, Speicherung, Übertragung, Löschung und Vernichtung beinhalten. Diese Aktivitäten müssen in einem Register oder einer Bestandsaufstellung entsprechend der Bedeutung der Assets dokumentiert und anschließend regelmäßig aktualisiert, auf Richtigkeit überprüft und mit anderen Beständen abgeglichen werden.
A.8.1.2 – Eigentum an Assets
- Kontrolle: Jedes Asset muss zum Zeitpunkt der Erstellung einem Eigentümer zugewiesen werden.
- Implementierung: Asset-Eigentümer können entweder Einzelpersonen, Abteilungen oder andere Stellen sein. Asset-Eigentümer müssen für das Management von Assets während des gesamten Lebenszyklus Verantwortung tragen. Die Delegierung und Übertragung von Eigentumsrechten sind zulässig, sofern sie dokumentiert sind.
Asset-Eigentümer sind für Folgendes verantwortlich:
- Ordnungsgemäße Pflege der Asset-Bestände
- Ordnungsgemäße Klassifizierung und Sicherheit von Assets
- Überprüfung der aktuellen Zugriffsverwaltungsrichtlinien und regelmäßige Aktualisierung
- Ordnungsgemäße Löschung und Vernichtung von Assets
A.8.1.3 – Zulässige Nutzung von Assets
- Kontrolle: Eine „Richtlinie für die zulässige Nutzung“ muss unter Berücksichtigung aller Parteien erstellt werden, die Zugriff auf Assets haben.
- Implementierung: Allen relevanten Parteien, die Zugriff auf Assets haben, müssen die Regeln für eine zulässige Nutzung und die Anforderungen an die Informationssicherheit kennen. Deren Durchsetzung wird durch regelmäßige Schulungen und andere Aktivitäten gewährleistet.
A.8.1.4 – Rückgabe von Assets
- Kontrolle: Bei Beendigung eines Vertrages oder eines Arbeitsverhältnisses usw. müssen alle Parteien die betreffenden Assets an das Unternehmen zurückgeben.
- Implementierung: Mitarbeiter und externe Beteiligte müssen bei Beendigung des Vertrages/der Vereinbarung alle materiellen und elektronischen Assets, die sich in ihrem Besitz befinden, an das Unternehmen zurückgeben. Wenn die für Unternehmenszwecke verwendeten Geräte vom Mitarbeiter/von einer externen Partei gekauft wurden, müssen diese bei Vertragsende das Verfahren für die Übertragung der relevanten Informationen an das Unternehmen befolgen.
Die Rückgabe von Assets muss dokumentiert werden. Erfolgt keine Rückgabe, muss dies als Sicherheitsvorfall protokolliert werden, sofern nicht im Rahmen des Beendigungsverfahrens anders vereinbart und dokumentiert. Diese Verpflichtungen müssen in Vereinbarungen klar festgelegt werden. Zudem sind regelmäßige Audits für Assets erforderlich, um deren Schutz zu gewährleisten.
Notwendige Dokumentation der ISO 27001
Mit unserer kostenlosen Checkliste erhalten Sie einen Überblick der notwendigen Dokumentationen für die ISO 27001 Zertifizierung.
Jetzt kostenlos herunterladenAnhang A.8.2 – Informationsklassifizierung
Ziel von A.8.2 ist es, sicherzustellen, dass Informations-Assets auf der Basis ihrer Bedeutung sowie in Übereinstimmung mit den Erwartungen der Beteiligten ordnungsgemäß geschützt werden.
A.8.2.1 – Klassifizierung von Informationen
- Kontrolle: Informationen müssen entsprechend den geschäftlichen Aktivitäten, dem Wert, den gesetzlichen Anforderungen und den Kriterien für die unbefugte Offenlegung und Modifizierung klassifiziert werden.
- Implementierung: Die Klassifizierung muss Standards für die Informationsweitergabe und -beschränkung enthalten. Zugehörige, nicht informationsbezogene Assets fallen möglicherweise auch unter diese Kategorie. Eine ordnungsgemäße Klassifizierung ist der Schlüssel zum Schutz von Informationen. Einige Unternehmen haben möglicherweise verschiedene Optionen – je nach Wert der Informations-Assets.
Allerdings müssen die Klassifizierungsoptionen einfach sein, um die richtige Anzahl an technischen Kontrollen zu erfüllen und die Benutzer nicht zu verwirren. Die Wirksamkeit der Klassifizierung muss regelmäßig überprüft werden. Und es muss ein einheitliches Klassifizierungssystem im gesamten Unternehmen verwendet werden.
A.8.2.2 – Kennzeichnung von Informationen
- Kontrolle: Die Kennzeichnungsverfahren müssen gemäß dem in A.8.2.1 festgelegten Klassifizierungsschema des Unternehmens entwickelt werden.
- Implementierung: Diese Verfahren müssen in physischer und elektronischer Form zur Verfügung gestellt werden. Die Kennzeichnung muss leicht erkennbar, dokumentiert und allen Mitarbeitern zur Verfügung gestellt werden, um sicherzustellen, dass sie ordnungsgemäß befolgt wird. Vertraulichkeitserklärungen sind ausdrücklich anzugeben und zu kennzeichnen, auch im Falle einer De-facto-Geheimhaltung.
A.8.2.3 – Umgang mit Assets
- Kontrolle: Verfahren für den ordnungsgemäßen Umgang mit Assets müssen gemäß dem in A.8.2.1 festgelegten Klassifizierungsschema entwickelt werden.
- Implementierung: Diese Verfahren müssen die Handhabung, Verarbeitung, Speicherung und Kommunikation von klassifizierten Informationen umfassen.
Dabei sind folgende Punkte zu beachten:
- Zugangsbeschränkungen müssen in einem angemessenen Verhältnis zur Klassifizierungsstufe stehen
- Formeller Nachweis der zugelassenen Asset-Empfänger
- Sicherheit auf einem angemessenen Niveau
- Vom Hersteller festgelegte Speicherverfahren für IT-Assets
- Deutlich gekennzeichnete Empfängerangaben auf allen Versionen/Kopien der Datenträger
Möglicherweise muss eine Zuordnungsrichtlinie erstellt werden, um einen Nachweis für Kunden/Lieferanten usw. zu erbringen, dass die Sicherheit ihrer Informations-Assets gewährleistet ist.
Sichern Sie Ihren Erfolg.
Abonnieren Sie praxisnahe Experten-Tipps!
Schließen Sie sich 3.000+ Führungskräften an, die mit unserem monatlichen Newsletter zu dem Thema Informationssicherheit auf dem Laufenden bleiben.
Anhang A.8.3 – Umgang mit Datenträgern
Ziel dieses Anhangs ist es, die unbefugte Weitergabe, Modifizierung, Entfernung oder Zerstörung von auf Datenträgern gespeicherten Informations-Assets zu verhindern.
A.8.3.1 – Verwaltung von Wechseldatenträgern
- Kontrolle: Verfahren für die Verwaltung von Wechseldatenträgern müssen gemäß dem Klassifizierungsschema von A.8.2.1 implementiert werden.
- Implementierung: Die Verwendung von Wechseldatenträgern ist nur dann zulässig, wenn dies einem berechtigten geschäftlichen Zweck dient. Außerdem muss dafür gesorgt werden, dass sie nicht wiederherstellbar sind, wenn sie nicht mehr benötigt werden. Für die allgemeine Verwendung von Wechseldatenträgern muss eine Risikobewertung vorgenommen werden. Das Entfernen von Wechseldatenträgern muss protokolliert und genehmigt werden.
Bei Bedarf müssen zusätzliche Sicherheitsmaßnahmen, wie z. B. kryptografische Schlüssel, angewendet werden. Die Datenträger müssen gemäß den Herstellerangaben gelagert werden. Außerdem müssen Kopien in verschiedenen Formaten erstellt werden, um einen ungewollten Totalverlust oder eine Beschädigung zu vermeiden.
A.8.3.2 – Entsorgung von Datenträgern
- Kontrolle: Datenträger sind gemäß den dokumentierten Verfahren zu entsorgen, sobald sie nicht mehr benötigt werden.
- Implementierung: Verfahren zur Entsorgung von Datenträgern sind erforderlich, um die unbefugte Offenlegung vertraulicher Informationen zu verhindern. Diese Verfahren müssen der Sensibilität und Vertraulichkeit der betreffenden Informationen entsprechen.
Datenträger mit vertraulichen Informationen müssen physisch vernichtet, d. h. geschreddert oder verbrannt, oder durch Datenlöschung entsorgt werden. Assets, die eine sichere Entsorgung erfordern, müssen identifiziert werden. Die Datenentsorgung ist umfassend zu protokollieren. Es wird empfohlen, alle Medien auf einmal zu vernichten.
A.8.3.3 – Übertragung physischer Datenträger
- Kontrolle: Datenträger, auf denen Informations-Assets gespeichert sind, müssen während des Transports geschützt werden, sofern diese nicht bereits öffentlich zugänglich sind.
- Implementierung: In Absprache mit dem Management müssen zuverlässige Kurierdienste beauftragt werden. Die Medien müssen zum Schutz entsprechend verpackt werden, um Sachschäden zu vermeiden. Alle Transportaktivitäten sind zu protokollieren. Protokolle müssen Angaben zu angewandten Sicherheitsmaßnahmen, Transportzeiten und zu den Transportbeauftragten enthalten. Unverschlüsselte Datenträger sind mit besonderer Sorgfalt zu behandeln.
Weitere Maßnahmenkategorien aus Anhang A der ISO 27001
Die anderen 13 Kategorien der Maßnahmen in Anhang A decken andere Bereiche eines Unternehmens ab, für die das Sicherheitsmanagement von Informations-Assets erforderlich ist:
- 5 – Richtlinien zur Informationssicherheit
- 6 – Organisation der Informationssicherheit
- 7 – Sicherheit der Belegschaft
- 9 – Zugriffskontrolle
- 10 – Kryptographie
- 11 – Physische und Umgebungssicherheit
- 12 – Betriebliche Sicherheit
- 13 – Kommunikationssicherheit
- 14 – Erwerb, Entwicklung und Wartung von Systemen
- 15 – Beziehungen mit Lieferanten
- 16 – Management von Informationssicherheitsvorfällen
- 17 – Aspekte der Informationssicherheit im Business Continuity Management
- 18 – Compliance
In Kombination kann Anhang A als Liste der ISO 27001-Maßnahmen verwendet werden. Diese Maßnahmen sind zwar nicht obligatorisch, jedoch sollten Unternehmen diejenigen identifizieren und umsetzen, die den Erwartungen der Beteiligten an die Informationssicherheit am besten entsprechen.
Die Einhaltung von ISO 27001 umfasst viele Richtlinien und Vorgaben sowie mehrere Dokumente, die den Compliance-Prozess für Personen, die nicht damit vertraut sind, kompliziert erscheinen lassen. Lesen Sie unseren umfassenden Leitfaden zu den ISO 27001-Anforderungen, um herauszufinden, was Sie für den Einstieg benötigen.
Wie erfolgt die Bestandsaufnahme für Assets?
Es ist wichtig zu wissen, welche Assets Ihr Unternehmen besitzt, wer für das Management verantwortlich ist und wie mit den Assets umzugehen ist.
Es empfiehlt sich, die Asset-Bestandsliste als Teil der Risikobewertung bei der Implementierung Ihres ISMS zu erstellen. Der Ansatz „Beschreiben Sie, was Sie sehen“ hilft Ihnen dabei, alle verwendeten Assets zu berücksichtigen. Dazu gehören die gesamte installierte Software und alle physischen Speichermedien (Schränke usw.), die an die betreffenden Informationen gebunden sind.
Sie sollten folgende Informationen in Ihren Asset-Bestand aufnehmen:
- Name des Assets
- Eigentümer des Assets
- Kategorie des Assets
- Standort des Assets
- Relevante Hinweise
Fazit
Sie sollten sich unbedingt Zeit nehmen, um zu ermitteln, welche Informations-Assets geschützt werden müssen und inwieweit sie mit dem Geltungsbereich des ISMS in Einklang stehen. Das Auflisten von Assets hilft Ihnen und Ihrem Unternehmen dabei, herauszufinden, welche Assets wertvoll sind und geschützt werden müssen.
A.8 und die anderen Maßnahmengruppen in Anhang A sind für den ordnungsgemäßen Schutz der Informations-Assets Ihres Unternehmens von entscheidender Bedeutung und helfen Ihnen, Ihre Informationssicherheitsverfahren an das ISO 27001-Framework anzupassen. Dies ist jedoch nicht zwingend erforderlich.
Wenn Sie eine ISO 27001 Zertifizierung für Ihr Unternehmen anstreben oder einfach nur Ihre Informationssicherheitsverfahren verbessern möchten, stehen Ihnen unsere Experten für eine erste kostenlose Beratung zur Verfügung.