Gjennomføre ISO 27001 revisjoner i ISMS.online

Hvordan utvikle en aktivabeholdning for ISO 27001

Vi introduserer aktivabeholdning

Du må opprette en oversikt over organisasjonens informasjonsressurser for å:

Når vi snakker om informasjonsressurser finner vi at de fleste tenker på ting som bærbare datamaskiner og servere. Men det er mange andre ting du må vurdere. Mennesker, åndsverk og til og med immaterielle eiendeler som organisasjonens merkevare kan passe inn i aktivabeholdningen din.

Når du har utviklet aktivabeholdningen, er neste trinn å gjennomføre tre øvelser:

  • Filtrering
  • Prioritering
  • Kategorisering

Deretter må du kartlegge risikoen for eiendelene dine ved å bruke de kategoriene du nettopp har identifisert.

Å utvikle aktivabeholdningen din kan virke ganske komplisert i begynnelsen. Men hvis du bruker ISMS.online du trenger egentlig ikke å kjenne inn og ut før du setter i gang.

Hvis dette er ditt første ISO 27001 implementering, vil du ha stor nytte av vår Virtual Coach-funksjon. Denne serien med videoer er tilgjengelig 24/7 på plattformen. Den veileder deg gjennom sertifiseringen din reise, inkludert utvikling av aktivabeholdningen din.

Hva bør inkluderes i en ISO 27001-aktivabeholdning?

2013-versjonen av informasjonssikkerhetsstandarden introduserte en tydelig endring i ISO 27001 krav som nå forventer alle informasjonskapasitet å betraktes i stedet for bare fysiske eiendeler. Dette inkluderer alt av verdi for organisasjonen der informasjon lagres, behandles og er tilgjengelig, men det er informasjon som er av reell interesse, i mindre grad nettverket eller enheten i seg selv, selv om de tydeligvis fortsatt er eiendeler og må beskyttes:

  • Informasjon (eller dato)
  • Immaterielle eiendeler – som IP, merkevare og omdømme
  • Mennesker – Ansatte, midlertidig ansatte, entreprenører, frivillige etc

Og det fysiske eiendeler tilknyttet med deres prosessering og infrastruktur:

  • Maskinvare – Vanligvis IT-servere, nettverksutstyr, arbeidsstasjoner, mobile enheter etc
  • Programvare – Kjøpt eller skreddersydd programvare
  • Tjenester – Den faktiske tjeneste som tilbys til sluttbrukere (f.eks. databasesystemer, e-post osv.)
  • Steder og bygninger – tomter, bygninger, kontorer etc

Enhver type eiendel kan grupperes logisk i henhold til en rekke faktorer som:

  • Klassifisering – f.eks offentlig, intern, konfidensiell etc
  • Informasjonstype – for eksempel personlig, personlig sensitiv, kommersiell etc
  • Finansiell eller ikke-finansiell verdi

En revisor vil forvente å se en beholdning, eller varebeholdninger, som dekker alt de relevante eiendelene innenfor omfanget av ISMS. Hver eiendel må tildeles en eier og hver av dem må tildeles en klassifisering.

Hvem skal eieren være og hva er deres ISO 27001-ansvar?

Eieren er ikke nødvendigvis den juridiske eller fysiske innehaveren av eiendelen, men personen som har ansvaret og samsvarsmyndigheten for å sikre at som et minimum:

    • Eiendeler er inventar;
    • Eiendeler er korrekt klassifisert og beskyttet;
    • Tilgangsbegrensninger til eiendelen og dens klassifisering blir jevnlig gjennomgått; og
    • Eiendeler håndteres riktig når de slettes eller destrueres.

Daglig ansvar for Kapitalforvaltning (f.eks. oppdatering av inventar, gjennomføring av revisjoner osv.) kan delegeres, men det endelige ansvaret for å sikre korrekt ledelsen forblir hos den aktuelle eiendelen Eieren.

Det er eiendelens eier som er ansvarlig for å sette beskyttelseskravene for eiendelen, for eksempel tilgangsbegrensning, i tråd med organisasjonens retningslinjer og standarder.

Hvordan forholder ISO 27001:2013 aktivabeholdningen seg til GDPR?

For å overholde Generell databeskyttelsesforordning (GDPR) en organisasjon må føre en oversikt over systemer som inneholder og behandler personlig_identifiserbar_informasjon”>personlig informasjon. Det krever også at risikoene rundt personlige dato blir identifisert, vurdert og behandlet, så følger ISO 27001:2013 tilnærming til eiendeler og risikovurdering betyr at den enkelt kan omfatte og justeres for å inkludere GDPR-krav også.

Bør du bruke en mal eller et verktøy for å administrere aktivabeholdningen din?

Det er mange eksempler på maler for aktivabeholdninger/registre tilgjengelig, og disse følger en enkel regnearktilnærming som er like lett å bygge selv.

Imidlertid er et regneark et statisk dokument, og selv om de er gode for finansiell modellering og grunnleggende ting, er de ikke så gode for å demonstrere hvordan eiendelen kobles til de identifiserte risikoene, de relevante retningslinjene og kontroller, eller det andre dynamiske arbeidet til en styringssystem for informasjonssikkerhet.

Et godt teknologiverktøy for varelager vil komme forhåndskonfigurert, med mulighet for å tilpasse for å passe dine egne klassifiseringer, lar deg tildele eiere, forfallsdatoer og påminnelser og å fange alle bevisene som kreves på ett sikkert sted.

Informasjonsaktiva inventar

Vurder også et administrasjonsverktøy for informasjonssikkerhet som lar deg tilordne verdier til eiendelene dine, da dette vil hjelpe deg med å prioritere risikovurdering og forstå enhver potensiell påvirkning av hendelser, hendelser eller brudd.

Til slutt vil de beste verktøyene komme med muligheten til å enkelt koble eiendelen til risikoer på din risikobehandlingsplan, til din ISMS kontroller, forsyningskjeden og andre handlinger i ISMS som viser at eiendelene dine er godt beskyttet.

Faktisk i ISMS.online, ved å bruke denne samme kraftige koblingen vil du ta deg med på en enkel reise fra informasjonsressurs, til risiko, til kontroller nødvendig i behandlingen av risikoen og deretter, dynamisk fra kontroll til oppdatering av Anvendelseserklæring med begrunnelsen for gjennomføringen. Det er egentlig så enkelt med ISMS.online.

Så det å bygge ditt eget regneark vil kanskje ikke ha noen antatt kostnad, men vil ha utfordringen med mye høyere ledelse og koordinering med de andre delene av ISMS, spesielt hvis du sikter til ISO 27001 sertifisering. Eller du kan ta et langsiktig perspektiv og investere i et spesialverktøy for kapitalforvaltning. Men de er ofte komplekse og detaljtunge. Informasjonsforvaltning kan godt bli en heltidsjobb i seg selv. Og du må fortsatt koble verktøyet til resten av ISMS.

I stedet for å søke etter et regneark eller et frittstående spesialistverktøy, anbefaler vi å se etter en ISMS-plattform som inkluderer sitt eget verktøy for aktivabeholdning. Det burde:

  • Kom forhåndskonfigurert, men vær enkel å tilpasse med dine egne klassifiseringer
  • Lar deg tildele eiendeler og forfallsdatoer og påminnelser om eiendeler
  • Fang dynamisk bevis for interne og eksterne revisjoner på ett sikkert sted

Det bør også la deg tilordne verdier til eiendelene dine. Det vil hjelpe deg med å prioritere risikovurderinger og vurdere den potensielle effekten av eventuelle sikkerhetshendelser, hendelser eller brudd. Og du bør være i stand til å koble til din risikobehandling plan og utover.

Det er den typen koblinger ISMS.online lar deg gjøre. Du kan gå fra et informasjonselement, til en risiko det står overfor og til kontrollen som behandler den risikoen. Deretter kan du hoppe fra den kontrollen til din Anvendelseserklæring, og oppdaterer den med begrunnelsen for implementeringen.

Så enkelt er det.

« ISO 27001 risikovurdering

Bygge stabile, sikre leverandørrelasjoner »

Sist redigert: 11. april 2023
Forfatter

Julia Heron

Julia er ISMS.online Solutions Specialist for bedriftskunder og jobber med organisasjoner for å hjelpe dem med deres overholdelsesmål.

Se alle innlegg av Julia Heron

Relaterte innlegg

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer