Genomföra ISO 27001-revisioner i ISMS.online

Hur man utvecklar en tillgångsinventering för ISO 27001

Introduktion av tillgångsinventering

Du måste skapa en inventering av din organisations informationstillgångar för att:

När vi pratar om informationstillgångar ser vi att de flesta tänker på saker som bärbara datorer och servrar. Men det finns många andra saker du måste tänka på. Människor, immateriella rättigheter och till och med immateriella tillgångar som din organisations varumärke kan alla passa in i ditt tillgångsinventering.

När du har utvecklat din tillgångsinventering är nästa steg att genomföra tre övningar:

  • Filtrering
  • Prioritering
  • kategorisering

Sedan måste du kartlägga risken för dina tillgångar genom att använda de kategorier du just har identifierat.

Att utveckla ditt tillgångsinventering kan verka ganska komplicerat till en början. Men om du använder ISMS.online du behöver egentligen inte känna till detaljerna innan du sätter igång.

Om detta är ditt första ISO 27001 implementering kommer du att ha stor nytta av vår Virtual Coach-funktion. Denna serie av videor är tillgänglig dygnet runt inom plattformen. Det guidar dig genom din certifiering resa, inklusive utveckling av ditt tillgångsinventering.

Vad ska inkluderas i en ISO 27001-tillgångsinventering?

2013 års version av informationssäkerhetsstandarden introducerade en tydlig förändring av ISO 27001 krav som nu förväntar sig alla informationstillgångar betraktas snarare än bara fysiska tillgångar. Detta inkluderar allt av värde för organisationen där information lagras, bearbetas och är tillgänglig, men det är informationen som är av verkligt intresse, mindre så nätverket eller enheten i sig, även om de uppenbarligen fortfarande är tillgångar och måste skyddas:

  • Information (eller datum)
  • Immateriella tillgångar – som IP, varumärke och rykte
  • Människor – Anställda, tillfälligt anställda, entreprenörer, volontärer etc

Och det fysiska tillhörande tillgångar med deras bearbetning och infrastruktur:

  • Hårdvara – Typiskt IT-servrar, nätverksutrustning, arbetsstationer, mobila enheter etc
  • Programvara – Köpt eller skräddarsydd programvara
  • Tjänster – Den faktiska tjänst som tillhandahålls till slutanvändare (t.ex. databassystem, e-post etc)
  • Platser och byggnader – Platser, byggnader, kontor etc

Alla typer av tillgångar kan grupperas logiskt enligt ett antal faktorer som:

  • Klassificering – t.ex. offentlig, intern, konfidentiell etc
  • Informationstyp – t.ex. personlig, personkänslig, kommersiell etc
  • Finansiellt eller icke-finansiellt värde

En revisor förväntar sig att se en inventering, eller inventeringar, som täcker allt relevanta tillgångar inom ramen för ISMS. Varje tillgång måste tilldelas en ägare och varje tillgång måste tilldelas en klassificering.

Vem ska tillgångsägaren vara och vad är deras ISO 27001-ansvar?

Ägaren är inte nödvändigtvis den juridiska eller fysiska innehavaren av tillgången utan den person som har ansvaret och matchningsbefogenheten att säkerställa att åtminstone:

    • Tillgångar inventeras;
    • Tillgångar är korrekt klassificerade och skyddade;
    • Åtkomstbegränsningar till tillgången och dess klassificering ses över regelbundet; och
    • Tillgångar hanteras korrekt när de raderas eller förstörs.

Det dagliga ansvaret för Kapitalförvaltning (t.ex. uppdatering av inventeringar, genomförande av revisioner etc) kan delegeras men det yttersta ansvaret för att säkerställa korrekt förvaltningen kvarstår med den relevanta tillgången ägare.

Det är tillgångsägaren som ansvarar för att ställa skyddskraven för tillgången, såsom åtkomstbegränsning, i linje med organisationens policyer och standarder.

Hur relaterar ISO 27001:2013 tillgångsinventering till GDPR?

För att följa Allmänna dataskyddsförordningen (GDPR) en organisation måste föra en förteckning över system som innehåller och behandlar personlig_identifierbar_information”>personlig information. Det kräver också att riskerna kring personliga datum identifieras, bedöms och behandlas, så att följa ISO 27001 :2013 synsätt på tillgångar och riskbedömning betyder att den enkelt kan omfatta och anpassas för att införliva GDPR-krav också.

Ska du använda en mall eller ett verktyg för att hantera ditt tillgångsinventering?

Det finns många exempelmallar för inventarier/register tillgängliga och dessa följer en enkel kalkylarksmetod som är lika lätt att bygga själv.

Men ett kalkylblad är ett statiskt dokument och även om de är bra för finansiell modellering och grundläggande saker, är de inte så bra för att visa hur tillgången länkar till de identifierade riskerna, de relevanta policyerna och kontroller, eller det andra dynamiska arbetet av en ledningssystem för informationssäkerhet.

Ett bra teknikverktyg för tillgångslager kommer att komma förkonfigurerade, med möjlighet att anpassa för att passa dina egna klassificeringar, låta dig tilldela ägare, förfallodatum och påminnelser och att fånga alla bevis som krävs på en säker plats.

Inventering av informationstillgångar

Överväg också ett verktyg för hantering av informationssäkerhet som låter dig tilldela värden till dina tillgångar eftersom detta hjälper dig att prioritera riskbedömningar och förstå eventuella effekter av incidenter, händelser eller intrång.

Slutligen kommer de bästa verktygen att komma med möjligheten att enkelt koppla tillgången till risker på din riskbehandlingsplan, till din ISMS kontroller, försörjningskedjan och alla andra åtgärder i ISMS som visar att dina tillgångar är väl skyddade.

Faktum är att i ISMS.online, genom att använda samma kraftfulla länkning tar dig med på en enkel resa från informationstillgång, till risk, till kontroller behövs i behandlingen av risken och sedan, dynamiskt från kontroll till uppdatering av Förklaring om tillämplighet med motiveringen för dess genomförande. Det är verkligen så enkelt med ISMS.online.

Så att bygga ett eget kalkylblad för tillgångar kanske inte har någon upplevd kostnad men kommer att ha utmaningen med mycket högre ledning och samordning med de andra delarna av ISMS, speciellt om du siktar på ISO 27001 certifiering. Eller så kan du se på längre sikt och investera i ett specialiserat kapitalförvaltningsverktyg. Men de är ofta komplexa och detaljtunga. Informationstillgångsförvaltning kan mycket väl bli ett heltidsjobb i sig. Och du behöver fortfarande länka ditt verktyg till resten av ditt ISMS.

Istället för att söka efter ett kalkylblad eller ett fristående specialistverktyg rekommenderar vi att du letar efter en ISMS-plattform som inkluderar ett eget verktyg för inventering av tillgångar. Det borde:

  • Kom förkonfigurerad, men var lätt att anpassa med dina egna klassificeringar
  • Låter dig tilldela tillgångsägare och tillgångshantering förfallodatum och påminnelser
  • Fånga dynamiskt bevis för interna och externa revisioner på en säker plats

Det bör också låta dig tilldela värden till dina tillgångar. Det hjälper dig att prioritera riskbedömningar och bedöma den potentiella effekten av eventuella säkerhetsincidenter, händelser eller intrång. Och du bör kunna länka till din riskbehandling plan och därefter.

Det är den typen av länkning som ISMS.online låter dig göra. Du kan gå från en informationstillgång, till en risk som den står inför och till kontrollen som hanterar den risken. Sedan kan du hoppa från den kontrollen till din Förklaring om tillämplighet, uppdatera den med motiveringen för dess genomförande.

Det är verkligen så enkelt.

« ISO 27001 Riskbedömning

Bygga stabila, säkra leverantörsrelationer »

Senast redigerad: 11 april 2023
Författare

Julia Heron

Julia är ISMS.online Solutions Specialist för företagskunder och arbetar med organisationer för att hjälpa dem med deras efterlevnadsmål.

Visa alla inlägg av Julia Heron

relaterade inlägg

ISMS.online stöder nu ISO 42001 - världens första AI Management System. Klicka för att ta reda på mer