Webcast | ISMS
Termine: 31.07. | 28.08. | 25.09.
Jetzt kostenlos anmelden!
ISMS-Asset-Management: Vermögenswerte verlässlich schützen
Asset-Management ist ein zentraler Bestandteil eines Informationssicherheitsmanagement-Systems (ISMS). Unternehmen müssen ihre Werte erfassen, klassifizieren und verwalten, um Sicherheitsrisiken zu minimieren und Compliance sicherzustellen. In diesem Ratgeber erfahren Sie, was ISMS-Asset-Management ausmacht, was die ISO 27001 und Anhang A.8 vorschreiben, in welchem Rahmen Assets bewertet werden und wie Sie mit einer strukturierten Software-Lösung Risiken reduzieren können.
ISMS Asset Management: das Wichtigste auf einen Blick
Warum ist ISMS-Asset-Management wichtig? Ohne Informationssicherheit öffnen Unternehmen die Tür für Verlust, Diebstahl und Missbrauch von Assets, was zu massiven Schäden an der Reputation und am Vertrauen und finanziellen Verlusten führen kann.
Was ist das Ziel von ISMS-Asset-Management? Zu den Zielen gehören die Identifikation und Klassifikation von Assets nach Kritikalität und Schutzbedarf, der Schutz dieser Werte, die Reduktion von Risiken, die Einhaltung gesetzlicher und branchenspezifischer Vorschriften sowie auch das Einsparen von Kosten und die Stärkung des Vertrauens.
Was ist im Anhang A8.0 enthalten? Der Anhang legt fest, wie mit unternehmenseigenen oder von Unternehmen kontrollierten Vermögenswerten umgegangen werden soll. Der A8.0 deckt dabei die Erstellung, Nutzung und Entsorgung von Vermögenswerten ab.
Wie funktioniert modernes ISMS-Asset-Management? Mit einer multinormenfähigen Software-Lösung wie der von otris können Unternehmen Prozesse und Maßnahmen einführen, dokumentieren, tracken, steuern und auswerten. Eine Zertifizierung nach ISO 27001 wird somit vereinfacht und beschleunigt.
1. Warum ist ISMS-Asset-Management so wichtig?
Organisationen bzw. Unternehmen müssen all ihre Werte bzw. Informationswerte systematisch identifizieren, klassifizieren, bewerten und schützen, um Sicherheitsrisiken zu minimieren, die Anforderungen der ISO 27001 zu erfüllen bzw. eine ISMS-Zertifizierung zu erhalten. Diese Zertifizierung ist ein offizieller Nachweis, dass die Organisation ein effektives ISMS (Information Security Management System) etabliert hat.
Beim Asset-Management im ISMS ist vor allem die systematische Risikoeinschätzung, bei der mögliche Bedrohungen identifiziert und Maßnahmen zur Risikominderung abgeleitet werden, essenziell.
ISMS-Asset-Management verfolgt mehrere Ziele:
- Identifikation und Klassifikation von Assets nach Kritikalität und Schutzbedarf (Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität).
- Reduktion von Risiken durch die Integration in das Informationssicherheitsmanagement.
- Schutz der Unternehmenswerte durch klare Sicherheitsrichtlinien, Verantwortlichkeiten, technische Anweisungen, Schulungen und Maßnahmen.
- Unterstützung der Einhaltung gesetzlicher und branchenspezifischer Vorschriften (z.B. ISO, DSGVO, KRITIS).
- Einsparen von Kosten durch Optimierung der Ressourcennutzung.
- Stärkung des Vertrauens von Kunden und Partnern.
Systematisches, sorgfältiges ISMS-Asset-Management ist in einer digitalisierten Unternehmenswelt also unverzichtbar, denn ohne angemessenen Schutz ihrer Assets öffnen Unternehmen die Tür für Verlust, Diebstahl und Missbrauch selbiger.
2. Was geben ISO 27001 & Anhang A.8 für das Asset Management vor?
Die ISO 27001 fordert eine systematische Verwaltung von Informationswerten als Voraussetzung für eine erfolgreiche ISMS-Zertifizierung. Der Schutz vertraulicher Informationen sowie die Sicherstellung von Integrität und Verfügbarkeit in Unternehmen müssen gewährleistet sein. Das passiert im Zuge des Asset-Managements in 4 Schritten, auf die wir weiter unten gesondert eingehen.
Die Schritte sind:
- Identifizierung,
- Klassifizierung,
- Bewertung und
- Schutz.
3. Vorgaben & Richtlinien laut Anhang A.8
Das Asset-Management wird im Anhang A.8 der ISO 27001 konkret behandelt. Dieser legt fest, wie mit unternehmenseigenen oder von Unternehmen kontrollierten Vermögenswerten umgegangen werden sollte.
Allgemein umfasst der Anhang A der ISO 27001 eine Reihe von Kontrollen und Richtlinien, die Organisationen implementieren sollten, um ihre Informationswerte zu schützen.
Unternehmen müssen gemäß ISO 27001 Anhang A.8 folgendes umsetzen:
- Das Unternehmen muss ein Verzeichnis aller bestehenden Assets führen und den Lebenszyklus dokumentieren.
- Für jedes Asset muss ein Verantwortlicher benannt werden, der für dessen ordnungsgemäße Verwaltung, Schutz und Nutzung zuständig ist.
- Assets sollten nach ihrer Bedeutung für das Unternehmen klassifiziert sein. Dies hilft, den Schutzbedarf zu bestimmen und angemessene Sicherheitsmaßnahmen zu ergreifen.
- Es müssen klare Regeln und Verfahren für den Umgang mit Vermögenswerten festgelegt werden. Diese Richtlinien sollten alle Aspekte bzw. den gesamten Lebenszyklus der Assets abdecken, von der Erstellung und Nutzung bis zur Entsorgung. Auch muss definiert werden, was bei der Rückgabe von Assets passiert.
- Es muss Richtlinien für den Umgang mit Datenträgern geben, einschließlich der Verwendung von Verschlüsselungstechnologien, der sicheren Aufbewahrung und der ordnungsgemäßen Entsorgung.
- Es müssen klare Verfahren für die Entsorgung von Vermögenswerten bestimmt werden, einschließlich der Verwendung von geeigneten Methoden zur Datenlöschung und der Dokumentation der Entsorgung.
ISO 27001, 27002 & 27701
Zusätzlich zur ISO 27001 und dem Anhang A.8 spielen die ISO 27002 (Leitlinien für Sicherheitskontrollen) und ISO 27701 (Datenschutz-Erweiterung) eine Rolle.
ISO 27002
Die ISO 27002 ist ein Leitfaden, der detaillierte Empfehlungen für die Umsetzung von Sicherheitskontrollen im Rahmen eines ISMS bietet. Sie ist eng mit der ISO 27001 verbunden und unterstützt Unternehmen bei der praktischen Umsetzung ihrer Informationssicherheit.
ISO 27701
Die ISO 27701 ist eine Erweiterung der ISO 27001, die sich speziell auf den Datenschutz konzentriert. Sie bietet ein Rahmenwerk für den Umgang mit personenbezogenen Daten und hilft Unternehmen, die Anforderungen der DSGVO und anderer Datenschutzgesetze zu erfüllen.
ISO 27001, ISO 27002 und ISO 27701 bilden gemeinsam eine starke Basis für ein umfassendes und wirksames ISMS:
- Die ISO 27001 gibt den Rahmen vor.
- Die ISO 27002 liefert die Werkzeuge.
- Die ISO 27701 ergänzt das System um wichtige Aspekte des Datenschutzes.
Im Folgenden gehen wir näher auf die 4 Schritte – Identifizierung, Klassifizierung, Bewertung und Schutz – ein.
3.1. Identifizierung von Assets: Was gehört zu den Werten einer Organisation?
Assets sind Vermögenswerte, die innerhalb einer Organisation für die Informationssicherheit von Bedeutung sind. Dies umfasst physische, digitale und immaterielle Werte, wie zum Beispiel:
- Daten,
- Softwarelizenzen,
- Hardware,
- Verträge,
- geistiges Eigentum,
- Personen,
- Informationen,
- etc.
Primäre Assets
Zu den primären Assets gehören die wertvollsten und schützenswertesten Einheiten einer Organisation, wie etwa:
- Marke,
- Technologien,
- Customer Relations,
- Geschäftsprozesse,
- Wissen,
- Erfahrung und
- Forschung bzw. Ergebnisse.
Sekundäre Assets
Sekundäre Assets sorgen dafür, dass die primären Assets Wert schöpfen können. Dazu gehören unter anderem:
- Hardware,
- Software,
- Lizenzen und
- Immobilien.
Nach der Bestandsaufnahme und Kategorisierung müssen Assets hinsichtlich ihrer Sensibilität klassifiziert werden.
3.2. Klassifizierung von Assets: Wie schützenswert ist ein Asset?
Grundsätzlich müssen Assets aller Art klassifiziert werden, um ihren jeweiligen Schutzbedarf bestimmen zu können. Man klassifiziert in der Regel nach folgenden Aspekten, um den Schutzbedarf festzulegen:
- Vertraulichkeit,
- Integrität,
- Verfügbarkeit,
- Anschließend kann ein Asset bewertet werden.
3.3. Bewertung von Assets: Welcher Schaden entsteht bei Kompromittierung?
Nun erfolgt die Risikobetrachtung. Es geht um eine Bewertung der Risiken, die mit dem Asset verbunden sind – einschließlich potenzieller Bedrohungen und Schwachstellen. Dies kann sowohl qualitativ als auch quantitativ erfolgen.
Die Bedeutung eines Assets wird durch einfache Einstufungen bewertet:
| Kriterium | Niedrig | Mittel | Hoch |
|---|---|---|---|
| Vertraulichkeit | öffentlich | intern | streng vertraulich |
| Integrität | keine schwerwiegenden Auswirkungen | Fehler beeinträchtigen den Betrieb | Fehler können schwere Schäden verursachen |
| Verfügbarkeit | kaum geschäftskritisch | kurzfristige Ausfälle sind tolerierbar | ständiger Zugriff ist notwendig |
Qualitative Bewertung (subjektive Einschätzung)
Beispielhaft für die qualitative Bewertung sind:
- eine intern verwendete Telefonliste – Vertraulichkeit: Niedrig, Integrität: Mittel, Verfügbarkeit: Niedrig
- eine Datenbank mit Kundeninformationen – Vertraulichkeit: Hoch, Integrität: Hoch, Verfügbarkeit: Hoch
Quantitative Bewertung
Bei der quantitativen Bewertung werden Risiken mit konkreten Zahlen bewertet:
- Wahrscheinlichkeit eines Vorfalls: (1 = sehr gering, 5 = sehr hoch)
- Schadenshöhe bei einem Vorfall: (1 = unerheblich, 5 = existenzbedrohend)
Das Risiko ergibt sich aus der Multiplikation von Wahrscheinlichkeit und Schadenshöhe: Risiko = Wahrscheinlichkeit × Schadenshöhe
Je höher das Risiko, desto mehr Schutzmaßnahmen sind notwendig. Im Folgenden Beispiele zur quantitativen Bewertung.
| Asset | Wahrscheinlichkeit (1 bis 5) |
Schaden (1 bis 5) |
Risiko (von 1 bis 25) |
|---|---|---|---|
| Webseite eines Unternehmens | 2 | 2 | 4 |
| Datenbank mit Kundeninformationen | 4 | 5 | 20 |
| Finanzmanagement | 3 | 5 | 15 |
3.4. Schutz von Assets: Welche Maßnahmen schützen Werte am besten?
Basierend auf der Klassifizierung und Bewertung des Assets können dann die passenden Schutzmaßnahmen abgeleitet werden. Es gibt verschiedene Schutzmechanismen:
- technische Schutzmaßnahmen (Firewalls, VPN etc.),
- organisatorische Schutzmaßnahmen (Risikomanagement, Sicherheitsstrategien, Zuweisung von Verantwortlichkeiten, Definition von Asset-Eigentümern etc.) und
- personelle Schutzmaßnahmen (Schulungen der Mitarbeitenden, Hinzuziehen von Security-Beauftragten etc.).
3.5. Überwachung der Maßnahmen: Wirken die Schutzmaßnahmen?
Es gibt noch einen fünften Schritt, der regelmäßig durchgeführt werden sollte: die Überwachung und Überprüfung der Wirksamkeit der eingeführten Schutzmaßnahmen. ISMS-Asset-Management ist ein Prozess, der kontinuierlich hinterfragt und verbessert werden muss, um mit den Sicherheitsanforderungen des digitalen Zeitalters mithalten zu können.
4. Zertifizierung nach ISO 27001: Asset-Management mit ISMS-Software
Die ISO 27001 bzw. Anhang A.8 fordert also eine systematische Verwaltung von Informationswerten (Assets) sowie die Einführung entsprechender Schutzmaßnahmen – dies sind Voraussetzungen für eine erfolgreiche Zertifizierung.
Zertifizierung in 3 Schritten
Die Zertifizierung nach ISO 27001 erfolgt in mehreren Schritten:
- Umsetzung der Vorgaben der ISO 27001 durch die Organisation bzw. das Unternehmen.
- Überprüfung der Umsetzung durch einen externen Auditor.
- Prüfung des Auditberichts und anschließende Zertifizierung durch eine offizielle Zertifizierungsstelle.
Vorteile der ISO-Zertifizierung
Diese Zertifizierung bietet Unternehmen gewinnbringende Vorteile:
- Sie belegt die Einhaltung von Sicherheitsstandards und Datenschutzmaßnahmen, was bei Kunden und Geschäftspartnern Vertrauen weckt.
- Unternehmen minimieren Haftungs- und Geschäftsrisiken, können Versicherungsprämien senken und ihre Wettbewerbsfähigkeit steigern.
- Ein zertifiziertes Informationssicherheitsmanagement-System (ISMS) trägt dazu bei, Bedrohungen frühzeitig zu erkennen und abzuwehren.
- Vertrauliche Daten – das Herzstück vieler Unternehmen – werden effektiv vor Missbrauch, Offenlegung und Verlust geschützt.
Zertifizierung mit Software-Lösung
Die ISMS-Software von otris bietet Unternehmen eine praxisorientierte Lösung zur Verwaltung und Sicherung von Informationswerten. Folgende Funktionen helfen Ihnen auf dem Weg zur Zertifizierung:
- Best-Practice-Vorlagen für ISO 27001-konformes Asset Management.
- Dokumentation und Steuerung aller ISMS-Aktivitäten.
- Vorbereitung und Durchführung von Zertifizierungsprozessen.
- Risikobewertung und -steuerung, Maßnahmen- und Vorfall-Management.
- Anbindung an Compliance- und Datenschutzmanagement-Systeme.
ISMS-Asset-Management: Risiken managen im digitalen Unternehmensalltag
Ein strukturiertes ISMS-Asset-Management ist für Unternehmen unverzichtbar, um Sicherheitsrisiken zu minimieren und die ISO 27001-Zertifizierung zu erhalten. Es gewährleistet eine verbesserte Kontrolle über IT- und Unternehmenswerte, minimiert Schwachstellen und reduziert potenzielle Angriffsflächen.
Unternehmen, die auf ein strukturiertes ISMS-Asset-Management setzen, profitieren von einer gesteigerten operativen Effizienz sowie Resilienz gegenüber Cyberbedrohungen. Eine professionelle Lösung wie die otris ISMS-Software bietet dabei entscheidende Vorteile durch Automatisierung, Transparenz und Compliance-Sicherheit.
5. ISMS-Asset-Management: Risiken managen im digitalen Unternehmensalltag
Ein strukturiertes ISMS-Asset-Management ist für Unternehmen unverzichtbar, um Sicherheitsrisiken zu minimieren und die ISO 27001-Zertifizierung zu erhalten. Es gewährleistet eine verbesserte Kontrolle über IT- und Unternehmenswerte, minimiert Schwachstellen und reduziert potenzielle Angriffsflächen.
Unternehmen, die auf ein strukturiertes ISMS-Asset-Management setzen, profitieren von einer gesteigerten operativen Effizienz sowie Resilienz gegenüber Cyberbedrohungen. Eine professionelle Lösung wie die otris ISMS-Software bietet dabei entscheidende Vorteile durch Automatisierung, Transparenz und Compliance-Sicherheit.
6. FAQs: Häufig gestellte Fragen zum ISMS-Asset-Management
Was ist Asset-Management in einem ISMS?
Asset Management in einem ISMS (Information Security Management System) ist der systematische Prozess der Identifizierung, Klassifizierung, Bewertung und des Schutzes von Assets, die für den Geschäftsbetrieb wichtig sind. Es ist ein wesentlicher Bestandteil eines effektiven ISMS und hilft Unternehmen, ihre wertvollen Ressourcen zu schützen und ihre Geschäftsziele zu erreichen.
Was sind Assets in einem ISMS?
Werte – oder “Assets“ – umfassen physische oder digitale Werte. Diese werden in verschiedene Typen eingeteilt. Dazu gehören unter anderem:
- Personal (Führungskräfte, Mitarbeiter etc.),
- Wissen (Know-how, Erfahrung, geistiges Eigentum),
- Daten (Datenbanken, Dokumente, Protokolle etc.),
- Beziehungen (Kundenbeziehungen),
- Software (Programme & Lizenzen),
- Hardware (Laptops, Speichermedien, Server etc.).
Was beinhaltet Asset-Management?
Beim Asset-Management in einem ISMS ist vor allem die systematische Risikoeinschätzung relevant. Im Zuge dessen werden Bedrohungen identifiziert und Maßnahmen zur Risikominderung etabliert.
Was besagt die ISO 27001?
Die ISO 27001 ist eine international anerkannte Norm für Informationssicherheitsmanagement-Systeme, die Anforderungen an den Aufbau, die Implementierung, die Aufrechterhaltung und die kontinuierliche Verbesserung eines ISMS festlegt. Im Anhang A.8 der ISO 27001 werden spezifische Kontrollen und Richtlinien für das Asset-Management beschrieben (etwa Verantwortlichkeit, Klassifizierung von Informationen, der Umgang mit Datenträgern und die sichere Entsorgung von Assets).
