Das Verständnis von TISAX® kann schwierig sein, daher haben wir einen einfachen kostenlosen Leitfaden erstellt
Für jede Organisation ist es wichtig, die Informationen zu kennen, die einen wesentlichen Wert für sie darstellen (z. B. Geschäftsgeheimnisse, kritische Geschäftsprozesse, Know-how, Patente).
Diese werden als Informationswerte bezeichnet. Durch eine Inventarisierung wird sichergestellt, dass die Organisation einen Überblick über ihre Informationswerte erhält. Darüber hinaus ist es wichtig, die Informationsträger (z. B. IT-Systeme, Services/IT-Dienste, Mitarbeiter) zu kennen, welche diese Informationswerte verarbeiten.
Referenz zu ISO 27001: A.8.1.1, A.8.1.2
Informationen und andere Werte, die im Zusammenhang mit informationsverarbeitenden Einrichtungen stehen, sollten systematisch erfasst werden. Ein präzises und kontinuierlich gepflegtes Inventar dieser Werte ist dabei zu erstellen.
Die Organisation ist angehalten, Werte zu identifizieren, die im gesamten Informationslebenszyklus relevant sind, einschließlich Erstellung, Verarbeitung, Speicherung, Übermittlung, Löschung und Zerstörung, und deren Bedeutung zu dokumentieren. Diese Dokumentation sollte in spezifischen oder bereits vorhandenen Inventaren aufbewahrt werden.
Das Inventar sollte genau, aktuell, konsistent sein und mit anderen Inventaren abgestimmt werden. Für jeden identifizierten Wert sollte ein Verantwortlicher benannt werden, und die Klassifizierung sollte festgelegt werden.
Für alle im Inventar aufgeführten Werte sollte ein Zuständiger bestimmt werden.
Die Zuständigkeit für Werte kann sowohl Einzelpersonen als auch anderen Entitäten mit nachgewiesener Verantwortung für den Lebenszyklus des Wertes zugewiesen werden. Ein Prozess zur zeitnahen Bestimmung der Zuständigkeit sollte implementiert sein, und die Zuständigkeit sollte zugewiesen werden, sobald Werte geschaffen oder an die Organisation übertragen werden.
Der Zuständige für Werte hat die Verantwortung, Folgendes sicherzustellen:
Der festgestellte Zuständige kann eine Person oder eine Entität sein, die für den gesamten Lebenszyklus eines Wertes verantwortlich ist. Routineaufgaben können delegiert werden, wobei die Verantwortung beim Zuständigen verbleibt. Bei komplexen Informationssystemen kann es sinnvoll sein, Gruppen von Werten zu bestimmen, die gemeinsam einen Dienst bereitstellen. In diesem Fall ist der Zuständige für die Erbringung dieses Dienstes verantwortlich.
TISAX® Kapitel 1.1.1 - Inwieweit sind Richtlinien zur Informationssicherheit vorhanden?
TISAX® Kapitel 1.2.1 - Inwieweit wird in der Organisation Informationssicherheit gemanagt?
TISAX® Kapitel 1.3.1 - Inwieweit werden Informationswerte (Assets) identifiziert und erfasst?
TISAX® Kapitel 1.4.1 - Inwieweit werden Informationssicherheitsrisiken gemanagt?
TISAX® Kapitel 1.5.2 - Inwieweit wird das ISMS von einer unabhängigen Instanz überprüft?
LEISTUNGEN
INFO
© DeltaSecure GmbH. Alle Rechte vorbehalten.