ISO 27001 ist ein Standard, der sich mit Informationssicherheit befasst. Die Prämisse dieser Norm ist, dass eine Organisation ein Informationssicherheitsmanagementsystem (ISMS) einrichten muss. Dieses Managementsystem muss sicherstellen, dass die Informationssicherheit angemessen ist und sich kontinuierlich verbessert. Die Norm besteht daher aus einer Reihe von Anforderungen, die das Managementsystem erfüllen muss. Zusätzlich zu diesen Anforderungen an das Managementsystem gibt es einen Anhang, in dem eine Reihe von Kontrollmaßnahmen aufgeführt sind. Bei diesen Kontrollmaßnahmen handelt es sich tatsächlich um Themen wie „Kryptografie“. Es sagt nicht genau aus, was Sie mit Kryptografie zu tun haben. Sie müssen nur darüber nachdenken und beschreiben, was Sie mit Kryptografie machen. Eine der Anforderungen ist, dass die Organisation die Kontrollmaßnahmen aus diesem Anhang verwendet, um zu überprüfen, ob sie bei der Entwicklung ihrer eigenen Maßnahmen zur Risikokontrolle keine Themen vergessen hat.Lesen Sie auch: Wann benötigen Sie eine ISO 27001-Zertifizierung?
Wenn Informationssicherheit erforderlich ist, folgt bald die Frage, wo sich diese Informationen befinden. Und daher, wie Sie als Unternehmen mit den Systemen umgehen, die diese Informationen enthalten. Sowohl die Informationen als auch die Systeme könnten als Geschäftsvermögen bezeichnet werden. Der ISO-27001-Standard verfolgt zwei Perspektiven, wenn es um die Benennung von Vermögenswerten geht.
Dies besagt, dass eine Organisation über ein Inventar der Vermögenswerte verfügen und diese verwalten muss. Wo jeder Vermögenswert einen Eigentümer hat. Die Idee dahinter ist, dass Sie diese nicht schützen können, wenn Sie nicht wissen, über welche Vermögenswerte (einschließlich Informationen) Sie verfügen.
Wenn es um die Frage geht, wie Informationen und andere Vermögenswerte aufgezeichnet werden sollen, ist es am besten, die beiden oben genannten Aspekte getrennt zu betrachten. Es ist in Ordnung, die Informationen zu benennen, auf die sich jedes Risiko bezieht. Und bewahren Sie woanders eine oder mehrere Vermögenslisten auf.Mit anderen Worten, die unter Risiken genannten Informationen müssen nicht mit der Gesamtübersicht der Vermögenswerte verknüpft werden, in der auch die Eigentümer genannt werden.Aber das kann natürlich gemacht werden. Wenn Sie eine Übersicht über Informationen und andere Vermögenswerte erstellen, mit denen Risiken verknüpft werden können, bietet dies zusätzliche Struktur und Übersicht. Sie können dann noch besser erkennen, welche Risiken mit einem bestimmten Vermögenswert verknüpft sind. Noch besser ist es, wenn Sie auch die Beziehung zwischen Vermögenswerten angeben können. Zum Beispiel: Kundendaten befinden sich in einem CRM-System, das auf einem bestimmten Server läuft. In Kombination mit der Klassifizierung von Informationen können Sie ableiten, wie Informationsressourcen geschützt werden sollten. IsoPlanner enthält alles, was Sie zur ordnungsgemäßen Erfassung von Unternehmensressourcen benötigen. Sie möchten genau wissen, wie? Dann schau dir dieses Video an: https://isoplanner.app/videos/assets/
Log in to your ISOPlanner™ workspace, or start a free trial.
Log in Start your free trial