Das ISO-27001-Asset-Register: was Prüfer wirklich wollen
ISO 27001:2022 Annex A Control 5.9 verlangt ein gepflegtes Inventar von Informationen und zugehörigen Assets. Dies ist die praktische Interpretation: welche Felder Sie brauchen, das Klassifizierungsschema, das einer Prüfung standhält, und das Nachweispaket, das die Zertifizierungsstelle verlangen wird.
Wenn Sie an einer ISO-27001-Zertifizierung oder Rezertifizierung arbeiten, ist das Asset-Register eines der grundlegenden Artefakte. Fast jede andere Maßnahme — Zugangskontrolle (5.15), Klassifizierung (5.12), Backup (8.13), sichere Entsorgung (7.14), Lieferantenverwaltung (5.20) — verweist darauf. Richten Sie es richtig ein, und der Rest ist Papierkram; richten Sie es falsch ein, und Sie werden im gesamten Audit Befunde sehen.
Was ISO 27001:2022 tatsächlich verlangt
Control 5.9 (Inventar von Informationen und anderen verbundenen Assets):
Ein Inventar von Informationen und anderen verbundenen Assets, einschliesslich Eigentümern, sollte entwickelt und gepflegt werden.
Die ISO-27002:2022-Implementierungsempfehlung erweitert dies. Das Register sollte:
- Informations-Assets, Software, Hardware, Dienste und Personal abdecken, die Informationen halten oder verarbeiten.
- Regelmässig überprüft und aktualisiert werden.
- Einen benannten Eigentümer pro Asset identifizieren.
- Änderungen während des gesamten Asset-Lifecycles widerspiegeln (Anschaffung, Änderung, Entsorgung).
- Von anderen Massnahmen referenziert werden — Risikobewertung, Klassifizierung, Zugriffsverwaltung.
Die Mindestfelder pro Asset
| Feld | Warum es wichtig ist |
|---|---|
| Asset-ID | Stabiler Bezeichner, referenziert von Risikobehandlung und anderen Massnahmen |
| Asset-Name / Beschreibung | Für Menschen lesbar, eindeutig |
| Asset-Typ | Information, Software, Hardware, Dienst, Personal |
| Eigentümer | Benannte Person, kein Sammelpostfach oder „IT" |
| Verwalter | Wer tagesaktuell betreibt (kann sich vom Eigentümer unterscheiden) |
| Klassifizierung | Öffentlich / Intern / Vertraulich / Eingeschränkt (oder Ihr Schema) |
| Standort | Physisch oder logisch (Region, Rechenzentrum, Anbieter) |
| Lifecycle-Phase | Beschaffung / In Betrieb / Aussonderung / Ausgemustert |
| Verknüpfte Risiken | Verweis auf Einträge im Risikoregister |
| Zuletzt geprüft | Datum und Prüfer |
Das Klassifizierungsschema
Sie müssen nicht unser Schema verwenden, aber wählen Sie etwas Explizites. Ein vertretbares Vier-Stufen-Schema:
| Klasse | Definition | Beispiele |
|---|---|---|
| Öffentlich | Extern verfügbar ohne Schaden | Marketingmaterialien, öffentliche Website-Inhalte |
| Intern | Nur für Mitarbeiter und Auftragnehmer | Interne Dokumente, Projektpläne, Organigramm |
| Vertraulich | Sensibel; auf Need-to-Know beschränkt | Kundendaten, Finanzdaten, Mitarbeiterdaten |
| Eingeschränkt | Höchste Sensibilität; wenige autorisierte Parteien | Quellcode mit Geheimnissen, M&A-Dokumente, rechtlich privilegiert |
Jede Klassifizierungsstufe sollte Handhabungsregeln zugeordnet werden: wie sie übertragen, gespeichert, geteilt, aufbewahrt und vernichtet werden darf. Das Klassifizierungsschema-Dokument selbst ist ein Prüfnachweis.
Asset-Kategorien, die Sie erfassen müssen
Informations-Assets
Kundendatenbanken, Mitarbeiterdaten, Finanzdaten, geistiges Eigentum, Quellcode, Dokumentation. Verknüpft mit dem Ort, wo sie gespeichert sind (S3-Bucket, Postgres-Datenbank, Salesforce-Instanz).
Software-Assets
SaaS-Abonnements, lizenzierte Software, intern entwickelte Anwendungen, Bibliotheken, Betriebssysteme. Jedes mit Version, Lizenz, Eigentümer.
Hardware-Assets
Laptops, Server, Mobilgeräte, Netzwerkgeräte. Verweist auf das IT-Asset-Register, das bereits für Finance-/Lifecycle-Zwecke existiert — gleiche Daten, andere Zielgruppe.
Dienst-Assets
Cloud-Dienste, Drittanbieter-Verarbeiter, Zahlungsdienstleister, E-Mail-Anbieter. Viele überschneiden sich mit Software-Assets, aber die Perspektive ist anders (Dienstverfügbarkeit, Lieferantenrisiko).
Personal-Assets
Rollen mit privilegiertem Zugang, Schlüsselwissensträger, Verwalter sensibler Daten. Listet nicht jeden Mitarbeiter auf — nur diejenigen, deren Rolle selbst ein Kontrollpunkt ist.
Das Nachweispaket, das Prüfer verlangen
- Das Asset-Register selbst, mit den oben genannten Feldern ausgefüllt und Zuletzt-geprüft-Daten innerhalb der Richtlinie.
- Das Klassifizierungsrichtliniendokument.
- Stichprobe von Risikoregistereinträgen, die auf Asset-IDs aus dem Register verweisen.
- Nachweis regelmässiger Überprüfung — E-Mails, Besprechungsprotokolle, Versionskontrolle, die zeigt, dass das Register aktualisiert wurde.
- Joiner/Mover/Leaver-Nachweise, die Personaländerungen mit Asset-Datensatz-Aktualisierungen verknüpfen.
- Entsorgungsnachweise — für jeden ausgemusterten Asset im Zeitraum das Entsorgungszertifikat und die entsprechende Registeraktualisierung.
- Asset-Eigentümerbestätigung — E-Mails oder Systemdatensätze, die zeigen, dass jeder Eigentümer die Verantwortung akzeptiert hat.
Woher die Befunde kommen
Die häufigsten ISO-27001-Befunde gegen Control 5.9 sind: (a) das Register existiert, wird aber nicht überprüft; (b) Eigentümerschaft ist generisch („IT-Abteilung" statt einer benannten Person); (c) das Register existiert, wird aber nicht vom Risikoregister oder anderen Massnahmen referenziert. Diese drei zu beheben schliesst die meisten Beobachtungen.
Praktische Tipps
- Ein Register, mehrere Ansichten. Kein separates „ISO-Register" und „IT-Register" pflegen. Dasselbe Datenmodell mit nach Zielgruppe gefilterten Ansichten verwenden.
- Überprüfungsrhythmus: mindestens vierteljährlich. Manche Unternehmen tun es monatlich; seltener ist in Ordnung, wenn Änderungen selten sind. Die Richtlinie dokumentieren und einhalten.
- Joiner/Leaver-Trigger automatisieren. Manuelle Aktualisierungen verrotten. Das Register, das überlebt, ist das, das als Nebeneffekt normaler Abläufe aktualisiert wird — IdP-Änderungen, Beschaffungsereignisse, Hardware-Lieferungen.
- Eigentümerschaft aktuell halten. Jede Reorganisation bricht Eigentümerschaft. Eine 90-Tage-Prüfung einbauen, die Eigentümer markiert, deren Rolle sich geändert hat.
- Das Klassifizierungsschema nicht überentwickeln. Vier Stufen reichen. Unternehmen mit acht Stufen stellen fest, dass niemand sie sich merken kann und Assets inkonsistent klassifiziert werden.
Wie InventorIA hilft
InventorIAs Datenmodell bildet die ISO-27001-Asset-Register-Anforderungen direkt ab. Eigentümer sind mit Identitätsdatensätzen verknüpft (echte Personen, keine Postfächer). Klassifizierungsfelder sind konfigurierbar. Lifecycle-Phasen werden verfolgt. Jede Änderung schreibt in ein Audit-Protokoll. Der Zertifizierungsstellen-Export ist ein Ein-Klick-Download mit der gesamten Verknüpfung zu Risiken und Eigentümerschaft, die der Prüfer verlangen wird.
Ein ISO-bereites Asset-Register ab Tag eins
InventorIAs Datenmodell bildet Control 5.9 direkt ab. Kostenlos für 10 Nutzer.
Kostenlos starten →