Hoppa till innehåll
ISMS.online

ISO 27701 – Klausul 6.5 – Asset Management

ISO 27701 klausul 6.5 (Asset Management) beskriver vikten av att upprätthålla en inventering av tillgångar som hanterar personligt identifierbar information (PII), tilldela ägarskap, definiera acceptabel användning och säkerställa tillgångar för att förbättra integritetshanteringen. Den är i linje med ISO 27002-kontroller men introducerar inte ytterligare GDPR-överväganden.

Författare
Toby Cane
Uppdaterad september 19, 2025
4/5 stjärnor

ISO 27701 Klausul 6.5: Stärka integriteten genom Asset Management

Asset management är en nyckeldel för att upprätthålla integritetsskyddet, både på fysisk och digital nivå.

Organisationer måste upprätthålla kristallklara register över alla relevanta tillgångar, för att få en uppifrån och ned bild av hur PII och integritetsrelaterad data flödar genom organisationen.

Personal som använder någon tillgång inom en organisations IKT som har förmågan att lagra eller bearbeta PII bör göras uttryckligen medveten om vad som förväntas av dem när det gäller acceptabel användning och hur sådan information hanteras under en off-board-period.

Vad som omfattas av ISO 27701 klausul 6.5

ISO 27701 6.5 innehåller fyra underklausuler som specifikt handlar om integritetsskydd, inom ramen för tillgångsförvaltning.

Varje underklausul är beroende av den vägledning som finns inom olika underklausuler i ISO 27002, med två undersatser som innehåller exakt samma vägledningspunkter:

  • ISO 27701 6.5.1.1 – Inventering av tillgångar (Referenser ISO 27002 Kontroll 5.9).
  • ISO 27701 6.5.1.2 – Ägande av tillgångar (Referenser ISO 27002 Kontroll 5.9).
  • ISO 27701 6.5.1.3 – Acceptabel användning av tillgångar (Referenser ISO 27002 Kontroll 5.10).
  • ISO 27701 6.5.1.4 – Återlämnande av tillgångar (Referenser ISO 27002 Kontroll 5.11).

ISO ger ingen ytterligare vägledning för PIMS-relaterade aktiviteter, inom ramen för tillgångsförvaltning, och det finns inte heller några GDPR-förgreningar att ta hänsyn till.



klättring

Befria dig från ett berg av kalkylblad

Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.

Boka din demo


ISO 27701 Klausul 6.5.1.1 – Inventering av tillgångar

Referenser ISO 27002 Kontroll 5.9

Kategorisering av inventarier

För att öka integritetsskyddet bör organisationer upprätthålla en korrekt, uppdaterad, dokumenterad lista över information och tillgångar, inklusive möjligheten att referera till inventeringar i hela organisationen.

Det finns flera sätt på vilka organisationer kan förbättra sin lagerdrift, inklusive:

  • Att regelbundet granska innehållet i en inventering mot vad som faktiskt innehas av organisationen.
  • Närhelst en tillgång ändras, introduceras eller tas bort av organisationen, implementera procedurer som automatiskt uppdaterar inventeringen som en del av förändringsprocessen.
  • Se till att inventeringarna innehåller ett "plats"-fält för att enkelt identifiera var varje tillgång finns.

Lager behöver inte vara en enda stor lista över alla fysiska och digitala tillgångar som hålls. Istället uppmuntrar ISO organisationer att separera inventeringar på en kategori för kategori, inklusive separata inventeringar för:

  • Informationstillgångar.
  • Hårdvara och mjukvara.
  • Virtuella maskiner (VM).
  • Faciliteter utrustning.
  • Personalregister.

Det är viktigt att notera att – när det gäller vissa tillgångar – inte all information kan underhållas regelbundet, och det finns inte ett behov av att inkludera varenda tillgång i hela organisationens fysiska och digitala innehav – t.ex. kortlivade virtuella datorer som utföra ett enskilt syfte under en kort tid innan de tas bort.

Ägande

Alla kategoriserade tillgångar bör ges en officiell "ägare" – vare sig det är en individ eller en grupp (se ISO 27002 5.12 och 5.13) – som bör ändras när jobbroller börjar, upphör eller ändras.

Tillgångsägare bör se till att:

  • Alla tillgångar är korrekt registrerade och klassificerade i en inventering.
  • Klassificeringar är föremål för regelbunden granskning.
  • Alla teknologikomponenter listas i enlighet med detta och separat från fysiska tillgångar (t.ex. DB-komponenter).
  • Organisationen följer en policy för acceptabel användning (se ISO 27002 kontroll 5.10).
  • Restriktioner läggs på vissa tillgångsförtydliganden och granskas vid lämpliga tidpunkter.
  • Närhelst organisationen behöver radera eller ta bort data från dess inventering, kasseras sådan data på ett säkert sätt.
  • Riskhantering är fronten och centrum för all hantering av tillgångar.
  • De erbjuder adekvat stöd till all personal som är involverad i integritetsskydd och informationshantering.

Relevanta ISO 27002-kontroller

  • ISO 27002 5.10
  • ISO 27002 5.12
  • ISO 27002 5.13

ISO 27701 Klausul 6.5.1.2 – Ägande av tillgångar

Referenser ISO 27002 Kontroll 5.9

Se ISO 27701 klausul 6.5.1.1

ISO 27701 Klausul 6.5.1.3 – Acceptabel användning av tillgångar

Referenser ISO 27002 Kontroll 5.10

All personal inom organisationen som hanterar information eller fysiska och digitala tillgångar bör uttryckligen göras medvetna om sitt ansvar för integritetsskydd, inklusive eventuella allmänna eller ämnesspecifika säkerhetskrav.

Policyer för acceptabel användning bör tydligt beskriva:

  • Hur organisationen klassificerar acceptabelt och oacceptabelt beteende, inom ramen för integritetsskyddet.
  • Hur information (särskilt PII) tillåts användas över nätverket.
  • Hur organisationen avser att övervaka användningen av tillgångar.

Rutiner bör implementeras som tar hänsyn till hela livscykeln för PII, inklusive:

  • Åtkomstbegränsningar som är relevanta för PII.
  • En tydlig och uppdaterad registrering av vem som får tillgång till PII-data och relaterade tillgångar, och under vilka omständigheter.
  • Adekvata nivåer av säkerhet och lagring för PII-data – inklusive tillfälliga kopior.
  • Att ta hänsyn till tillverkarens rekommendationer vid lagring av tillgångar associerade med integritetsskydd (se ISO 27002 7.8).
  • Märk tydligt alla lagringsmedier med uppgifterna om den auktoriserade användaren/mottagaren (se ISO 27002 7.10).
  • Hur PII-data och tillhörande tillgångar tas bort från nätverket och/eller raderas och kasseras.

Relevanta ISO 27002-kontroller

  • ISO 27002 7.8
  • ISO 27002 7.10


ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.

Hantera all din efterlevnad, allt på ett ställe

ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.

Boka din demo


ISO 27701 Klausul 6.5.1.4 – Återlämnande av tillgångar

Referenser ISO 27002 Kontroll 5.11

Tillgångshanteringsprocedurer måste också innehålla uttryckliga riktlinjer för hur organisationen hanterar återlämnandet av tillgångar som har varit involverade i behandlingen eller lagringen av PII, och annan integritetsrelaterad information.

Oavsett om personalen har använt sina egna enheter, eller har tilldelats en organisationstillgång, måste processer införas som skyddar PII genom att ta bort data från tillgången i fråga och överföra information tillbaka till organisationen.

Om personal är föremål för en uppsägningstid, bör organisationer vidta åtgärder för att säkerställa att PII inte äventyras på något sätt av den avgående anställde – inklusive obehörig delning, överföring eller radering.

Organisationer bör utveckla arbetsflöden som täcker återlämnandet av alla tillgångar som är involverade i bearbetning eller lagring av PII, inklusive (men inte begränsat till):

  • Enheter (bärbara datorer, mobiler, surfplattor etc).
  • USB-enheter.
  • Autentiseringsverktyg och hårdvara (VPN-valideringstillgångar och tokens, utrustning för ingång till dörr/lokal.
  • Papperskopior av PII.

Stödjande kontroller från ISO 27002 och GDPR

ISO 27701 Klausulidentifierare ISO 27701 Klausulnamn ISO 27002-krav Tillhörande GDPR-artiklar
6.5.1.1 Inventering av tillgångar
5.9 – Inventering av information och andra tillhörande tillgångar för ISO 27002
 		Ingen
6.5.1.2 Ägande av tillgångar
5.9 – Inventering av information och andra tillhörande tillgångar för ISO 27002
 		Ingen
6.5.1.3 Acceptabel användning av tillgångar
5.10 – Acceptabel användning av information och andra tillhörande tillgångar för ISO 27002
 		Ingen
6.5.1.4 Återlämnande av tillgångar
5.11 – Return of Assets för ISO 27002
 		Ingen

Hur ISMS.online hjälper

Hur hjälper vi till?

Genom att lägga till en PIMS till din ISMS på ISMS.online-plattformen förblir din säkerhetsställning allt-i-ett-plats och du undviker dubbelarbete där standarderna överlappar varandra.

Med din PIMS omedelbart tillgänglig för intresserade parter har det aldrig varit enklare att övervaka, rapportera och granska mot både ISO 27002 och ISO 27701 med ett enda knapptryck.

Ta reda på hur mycket tid och pengar du kommer att spara på din resa till en kombinerad ISO 27002- och 27701-certifiering med ISMS.online.

Ta reda på mer av boka en praktisk demo.

Toby Cane

Partner Customer Success Manager

Toby Cane är Senior Partner Success Manager för ISMS.online. Han har arbetat för företaget i nästan fyra år och har haft en rad olika roller, bland annat som värd för deras webbseminarier. Innan han började arbeta med SaaS var Toby gymnasielärare.

LinkedIn

ISO 27701 klausuler

Vi är ledande inom vårt område

4/5 stjärnor
Användare älskar oss
Ledare - Vintern 2026
Regional ledare - Vintern 2026 Storbritannien
Regional ledare - Vintern 2026 EU
Regional ledare - Vintern 2026 Mellanmarknad EU
Regional ledare - Vintern 2026 EMEA
Regional ledare - Vintern 2026 Mellanmarknad EMEA

"ISMS.Online, enastående verktyg för regelefterlevnad"

— Jim M.

"Gör externa revisioner till en lek och länkar ihop alla aspekter av ditt ISMS sömlöst"

— Karen C.

"Innovativ lösning för att hantera ISO och andra ackrediteringar"

— Ben H.

Ta en virtuell rundtur

Starta din kostnadsfria 2-minuters interaktiva demo nu och se
ISMS.online i aktion!

Prova det nu
plattformsinstrumentpanelen är helt nyskicklig

Klar att komma igång?

Boka demo