TISAX® Kapitel 1.3.1
Inwieweit werden Informationswerte (Assets) identifiziert und erfasst?
Erschlagen von den Anforderungen? Sie wissen nicht, wie ausführlich Sie bestimmte Anforderungen erfüllen müssen?
Testen Sie jetzt kostenlos & unverbindlich unser Vorlagenpaket für TISAX®.
Ziel
Für jede Organisation ist es wichtig, die Informationen zu kennen, die einen wesentlichen Wert für sie darstellen (z.B. Geschäftsgeheimisse, kritische Geschäftsprozesse, Know-How, Patente). Diese werden als Informationswerte bezeichnet. Durch eine Inventarisierung wird sichergestellt, dass die Organisation einen Überblick über ihre Informationswerte erhält. Darüber hinaus ist es wichtig, die Informationsträger (z. B. IT-Systeme, Services/IT-Dienste, Mitarbeiter) zu kennen, welche diese Informationswerte verarbeiten.
Anforderungen
- Muss
- Informationswerte und andere Assets, deren Sicherheit für die Organisation relevant ist, sind identifiziert und erfasst.
- Muss
- Diesen Informationswerten ist ein Verantwortlicher zugeordnet.
- Muss
- Die Informationsträger, die die Informationswerte verarbeiten, sind identifiziert und erfasst:
- Muss
- Diesen Informationsträgern ist ein Verantwortlicher zugeordnet.
- Sollte
- Es ist ein Verzeichnis der relevanten Informationswerte vorhanden:
- Sollte
- Jedem relevanten Informationswert sind die entsprechenden Informationsträger zugeordnet.
- Sollte
- Eine regelmäßige Überprüfung des Verzeichnisses findet statt.
Umsetzung
Inventarisierung der Werte
Informationen und andere Werte, die im Zusammenhang mit informationsverarbeitenden Einrichtungen stehen, sollten systematisch erfasst werden. Ein präzises und kontinuierlich gepflegtes Inventar dieser Werte ist dabei zu erstellen.
Die Organisation ist angehalten, Werte zu identifizieren, die im gesamten Informationslebenszyklus relevant sind, einschließlich Erstellung, Verarbeitung, Speicherung, Übermittlung, Löschung und Zerstörung, und deren Bedeutung zu dokumentieren. Diese Dokumentation sollte in spezifischen oder bereits vorhandenen Inventaren aufbewahrt werden.
Das Inventar sollte genau, aktuell, konsistent sein und mit anderen Inventaren abgestimmt werden. Für jeden identifizierten Wert sollte ein Verantwortlicher benannt werden, und die Klassifizierung sollte festgelegt werden.
Zuständigkeit für Werte
Für alle im Inventar aufgeführten Werte sollte ein Zuständiger bestimmt werden.
Die Zuständigkeit für Werte kann sowohl Einzelpersonen als auch anderen Entitäten mit nachgewiesener Verantwortung für den Lebenszyklus des Wertes zugewiesen werden. Ein Prozess zur zeitnahen Bestimmung der Zuständigkeit sollte implementiert sein, und die Zuständigkeit sollte zugewiesen werden, sobald Werte geschaffen oder an die Organisation übertragen werden.
Der Zuständige für Werte hat die Verantwortung, Folgendes sicherzustellen:
- Die Werte werden ordnungsgemäß inventarisiert.
- Die Werte werden angemessen klassifiziert und geschützt.
- Zugangsbeschränkungen und Klassifizierungen wichtiger Werte werden festgelegt und regelmäßig überprüft.
- Ein ordnungsgemäßer Umgang bei der Löschung oder Zerstörung des Wertes wird gewährleistet.
Weitere Informationen
Der festgestellte Zuständige kann eine Person oder eine Entität sein, die für den gesamten Lebenszyklus eines Wertes verantwortlich ist. Routineaufgaben können delegiert werden, wobei die Verantwortung beim Zuständigen verbleibt. Bei komplexen Informationssystemen kann es sinnvoll sein, Gruppen von Werten zu bestimmen, die gemeinsam einen Dienst bereitstellen. In diesem Fall ist der Zuständige für die Erbringung dieses Dienstes verantwortlich.
Verwandte TISAX-Kapitel
- Kapitel 1.3.2 – Schutzbedarf klassifizieren – Assets nach Vertraulichkeit, Integrität und Verfügbarkeit bewerten.
- Kapitel 1.3.3 – Organisationsfremde IT-Dienste – Externe Cloud-Dienste evaluieren und freigeben.
