Dezember 12, 2024

Annex A 5.9-1 – Asset-Management-Richtlinie

(nach ISO/IEC 27001:2022 und ISO/IEC 27002:2022)

Informationswerte („Assets“) bilden die Grundlage für Geschäftsprozesse, Informationsverarbeitung und Entscheidungsfindung. Sie umfassen Daten, Software, Hardware, Dienste, Personen, Räumlichkeiten sowie immaterielle Werte wie Know-how oder Reputation. Eine wirksame Asset-Management-Richtlinie schafft ein einheitliches, strukturiertes und kontrollierbares Vorgehen für den Umgang mit diesen Assets über ihren gesamten Lebenszyklus hinweg. Ziel ist die klare Verantwortlichkeit, der Schutz und die Nachvollziehbarkeit aller relevanten Werte.

Zweck des Controls

A 5.9-1 stellt sicher, dass eine verbindliche Richtlinie für das Management aller relevanten Assets existiert, kommuniziert und umgesetzt wird. Sie definiert den Rahmen für Identifikation, Klassifizierung, Eigentümerschaft, Nutzungsregeln und Schutzmaßnahmen. Die Richtlinie dient als grundlegende Governance-Vorgabe für alle weiteren Controls im Bereich Asset Management.

Anforderungen und Maßnahmen

1. Erstellung einer formalen Asset-Management-Richtlinie

Die Organisation muss eine dokumentierte Richtlinie etablieren, die mindestens folgende Inhalte definiert:

  • Grundsätze und Ziele des Asset Managements.
  • Geltungsbereich (inkl. physischer, digitaler und immaterieller Assets).
  • Verantwortlichkeiten und Rollen (z. B. Asset Owner, Custodian, Nutzer).
  • Anforderungen an Dokumentation und Nachweisführung.

Diese Richtlinie bildet das übergeordnete Regelwerk für alle Asset-bezogenen Prozesse.

2. Definition von Asset-Kategorien und -Typen

Die Richtlinie muss vorgeben, wie Assets gruppiert und strukturiert werden:

  • Informationswerte (Daten, Dokumente, Datenbanken).
  • IT-Assets (Server, Endgeräte, Software, Lizenzen, Cloud-Dienste).
  • Physische Assets (Infrastruktur, Netzwerkkomponenten, Räume).
  • Personelle Assets (Fähigkeiten, Rollen, Zugriffsmöglichkeiten).
  • Externe Assets (Outsourcing-Dienste, Lieferantenleistungen).

Durch klare Kategorien können Schutzmaßnahmen zielgerichtet angewendet werden.

3. Festlegung der Verantwortlichkeiten (Asset Ownership)

Die Richtlinie muss definieren, wie Asset-Verantwortlichkeiten vergeben werden:

  • Jeder Asset-Typ benötigt einen Asset Owner.
  • Der Asset Owner ist verantwortlich für Klassifizierung, Freigaben und Schutzmaßnahmen.
  • Asset Custodians unterstützen im operativen Betrieb.
  • Nutzer müssen sich an festgelegte Nutzungsbedingungen halten.

Die klare Eigentümerschaft ist entscheidend für Governance und Kontrolle.

4. Regeln zur Identifikation und Erfassung von Assets

Die Richtlinie legt fest:

  • Welche Assets zu inventarisieren sind.
  • Welche Attributdaten erfasst werden müssen (z. B. Name, Kategorie, Standort, Owner, Schutzniveau).
  • Welche Tools/Verfahren zur Inventarisierung genutzt werden.
  • Wie häufig Inventare aktualisiert und überprüft werden.

Dies stellt sicher, dass alle relevanten Assets vollständig bekannt sind.

5. Klassifizierung und Behandlung von Informationen

Die Richtlinie muss Vorgaben treffen zur:

  • Klassifizierung von Informationen nach Vertraulichkeit, Integrität und Verfügbarkeit.
  • Kennzeichnung und Beschriftung entsprechend der Klassifikation.
  • Behandlung von Informationen gemäß festgelegtem Schutzbedarf.
  • Umsetzung technischer und organisatorischer Maßnahmen (z. B. Verschlüsselung, Zugriffskontrolle).

Damit wird sichergestellt, dass jedes Asset angemessen geschützt wird.

6. Nutzungs- und Schutzregeln für Assets

Die Richtlinie muss festlegen, wie Assets sicher genutzt und geschützt werden:

  • Nutzungsvorschriften für IT-Systeme, mobile Geräte, Software und Cloud-Dienste.
  • Vorgaben für die physische Sicherheit (z. B. Schutz vor Diebstahl oder Manipulation).
  • Anforderungen an den Zugriffsschutz, Passwortregelungen und Rollenmodelle.
  • Regeln für Weitergabe, Transport und Austausch sensibler Informationen.

Diese Vorgaben verhindern unbefugten Zugriff und Missbrauch.

7. Lebenszyklusmanagement von Assets

Die Richtlinie muss den gesamten Asset-Lebenszyklus abdecken:

  • Planung und Beschaffung.
  • Registrierung und Dokumentation.
  • Betrieb, Monitoring und regelmäßige Überprüfung.
  • Änderung und Umkonfiguration.
  • Aussonderung, Rückgabe und sichere Entsorgung.
  • Nachweis der ordnungsgemäßen Datenlöschung.

So bleibt der Schutz über die gesamte Nutzungsdauer gewährleistet.

8. Anforderungen an externe Partnerschaften

Falls externe Parteien Assets bereitstellen oder verwalten:

  • Klare Regelungen zu Eigentum, Zugriffen und Schutzmaßnahmen.
  • Integration in bestehende Asset- und Sicherheitsprozesse.
  • Verankerung vertraglicher Anforderungen (z. B. Datenschutz, Verfügbarkeit, Rückgabe/Löschung).

Dies stärkt die Sicherheit in der Lieferkette.

9. Schulung, Kommunikation und Durchsetzung der Richtlinie

Die Richtlinie muss wirksam kommuniziert und durchgesetzt werden:

  • Verfügbarmachung für alle Mitarbeitenden und relevanten Stakeholder.
  • Regelmäßige Awareness-Schulungen zum sicheren Umgang mit Assets.
  • Kontrollen zur Einhaltung der Vorgaben (z. B. Audits, Stichproben).
  • Sanktionen bei Verstößen gemäß interner Compliance-Vorgaben.

Nur durch aktive Umsetzung entfaltet die Richtlinie ihre Wirkung.

Zusammenfassung

A 5.9-1 verlangt, dass die Organisation eine umfassende Asset-Management-Richtlinie etabliert. Diese legt fest, wie Assets identifiziert, klassifiziert, dokumentiert, geschützt und über ihren gesamten Lebenszyklus hinweg behandelt werden. Klar definierte Verantwortlichkeiten, Regeln und Prozesse schaffen Transparenz und ermöglichen eine wirksame Informationssicherheit. Die Richtlinie bildet das Fundament für ein strukturiertes und belastbares Asset Management im Rahmen des ISMS.


    Leave a comment

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert