(nach ISO/IEC 27001:2022 und ISO/IEC 27002:2022)

Ein vollständiges und aktuelles Inventar von Informationen und damit verbundenen Werten ist eine grundlegende Voraussetzung für ein wirksames Informationssicherheitsmanagement. Nur wenn bekannt ist, welche Informationswerte existieren, wo sie sich befinden, wie sie genutzt werden und welchen Schutzbedarf sie haben, können angemessene Sicherheitsmaßnahmen definiert und umgesetzt werden. Dieses Control stellt sicher, dass alle relevanten Werte systematisch identifiziert, dokumentiert und über ihren gesamten Lebenszyklus hinweg verwaltet werden.

Zweck des Controls

A 5.9 soll gewährleisten, dass Organisationen ein strukturiertes und aktuelles Inventar aller relevanten Informationswerte und zugehörigen Assets führen. Ziel ist es, Transparenz über Art, Umfang, Eigentümerschaft und Schutzbedarf der Werte zu schaffen, um Risiken fundiert bewerten und geeignete Schutzmaßnahmen ableiten zu können. Das Inventar bildet eine zentrale Grundlage für Risikomanagement, Klassifizierung, Zugriffskontrolle und Compliance.

Anforderungen und Maßnahmen

1. Identifikation relevanter Informationswerte

Organisationen müssen alle für die Informationssicherheit relevanten Werte identifizieren, insbesondere:

• Informationen und Daten (z. B. Geschäfts-, Kunden-, Mitarbeiter- oder Entwicklungsdaten)
• IT-Systeme und Anwendungen
• Hardware, Netzwerke und Infrastrukturkomponenten
• Software, Lizenzen und Cloud-Dienste
• Dokumentationen, Verfahren und Aufzeichnungen
• Dienstleistungen und externe Abhängigkeiten
• immaterielle Werte wie Know-how oder geistiges Eigentum

Die Identifikation muss vollständig und nachvollziehbar erfolgen.

2. Erstellung und Pflege eines Inventars

Alle identifizierten Werte müssen in einem strukturierten Inventar erfasst werden. Dieses sollte mindestens enthalten:

• eindeutige Bezeichnung des Werts
• Art und Kategorie des Werts
• Standort oder Speicherort
• verantwortliche Rolle oder Eigentümer
• Nutzungskontext und Abhängigkeiten
• Schutzbedarf oder Klassifizierung

Das Inventar muss regelmäßig aktualisiert und gepflegt werden.

3. Festlegung von Verantwortlichkeiten (Asset Ownership)

Für jeden Informationswert muss eine verantwortliche Rolle festgelegt werden:

• Benennung eines Asset Owners
• Verantwortung für Schutz, Klassifizierung und korrekte Nutzung
• Verantwortung für Aktualität der Inventarinformationen
• Mitwirkung bei Risikoanalysen und Schutzmaßnahmen

Klare Verantwortlichkeiten sind entscheidend für wirksamen Schutz.

4. Klassifizierung und Schutzbedarf

Informationswerte müssen entsprechend ihrem Schutzbedarf klassifiziert werden:

• Bewertung von Vertraulichkeit, Integrität und Verfügbarkeit
• Zuordnung zu definierten Klassifikationsstufen
• Kennzeichnung entsprechend der Klassifizierung
• Ableitung geeigneter technischer und organisatorischer Maßnahmen

Die Klassifizierung muss konsistent und nachvollziehbar erfolgen.

5. Integration in das Risikomanagement

Das Inventar muss als Grundlage für das Risikomanagement dienen:

• Nutzung der Inventardaten zur Risikoidentifikation
• Berücksichtigung von Abhängigkeiten zwischen Werten
• Bewertung von Risiken in Bezug auf konkrete Informationswerte
• Priorisierung von Maßnahmen auf Basis des Schutzbedarfs

So wird ein risikoorientierter Schutzansatz ermöglicht.

6. Berücksichtigung des Lebenszyklus von Werten

Informationswerte müssen über ihren gesamten Lebenszyklus hinweg betrachtet werden:

• Planung und Beschaffung
• Nutzung und Betrieb
• Änderungen oder Migrationen
• Archivierung oder Stilllegung
• sichere Entsorgung oder Löschung

Das Inventar muss diese Phasen abbilden und begleiten.

7. Umgang mit externen und gemeinsam genutzten Werten

Auch extern bereitgestellte oder gemeinsam genutzte Werte müssen berücksichtigt werden:

• Cloud-Services und ausgelagerte Systeme
• von Dienstleistern betriebene Assets
• gemeinsam genutzte Plattformen oder Datenbestände
• klare Regelung von Zuständigkeiten und Eigentum

Diese Werte sind in das Inventar und die Risikobetrachtung einzubeziehen.

8. Überprüfung und Aktualisierung des Inventars

Das Inventar muss regelmäßig überprüft werden:

• turnusmäßige Reviews
• Aktualisierung bei organisatorischen oder technischen Änderungen
• Abgleich mit Beschaffungs-, Änderungs- und Offboarding-Prozessen
• Überprüfung im Rahmen interner Audits

So bleibt das Inventar aktuell und zuverlässig.

Zusammenfassung

A 5.9 verlangt, dass Organisationen ein vollständiges, aktuelles und strukturiertes Inventar ihrer Informationen und damit verbundenen Werte führen. Durch die systematische Identifikation, Klassifizierung, Zuweisung von Verantwortlichkeiten und Integration in das Risikomanagement wird Transparenz geschaffen und eine wirksame Steuerung der Informationssicherheit ermöglicht. Das Inventar bildet eine zentrale Grundlage für zahlreiche weitere Controls und für die nachhaltige Wirksamkeit des ISMS.