TOM INFORMATIONSSICHERHEIT

8.1 Verantwortlichkeit für Werte

8.1.1 Inventarisierung der Werte

Identifizierung von Assets: Es werden alle Assets des Unternehmens, die für die Informationssicherheit von Bedeutung sind, einschließlich Hardware, Software, Daten und Informationen identifiziert und hinterlegt.

Physischen Werte

Definition: Physischen Werte sind z.B. Hardware, Präsentations- und Telekommunikationsgeräte, Autos und Ähnliches. Verbrauchsmaterialien wie Papier, Büroklammern oder Ähnliches gehören nicht dazu.

Alle physischen Werte werden im Asset-Management-Tool SNIPE IT hinterlegt und in regelmässigen Abständen auf Funktion bzw. Vorhandensein geprüft. Zu- und Abgänge werden in diesem Tool gepflegt.

Elektronischen Werte

Definition: Elektronischen Werte sind z.B. Software, Software as a Service (z.B. Clockify, SonarCloud), Clouds (z.B. Azure, IBM Cloud).

Alle elektronischen Werte werden im Verzeichnis von Verarbeitungstätigkeiten in der Datenschutzdatenbank hinterlegt und in regelmässigen Abständen auf Funktion bzw. Vorhandensein geprüft. Zu- und Abgänge werden in diesem Tool gepflegt.

Die Inventarisierung wird regelmäßig durch interne Audits überprüft, und die Ergebnisse werden dokumentiert.

8.1.2 Zuständigkeit für Werte

Bei alle Werten wird im obigen Tool Zuständigkeiten hinterlegt und in regelmässigen Abständen auf Zuständigkeit bzw. Vorhandensein geprüft.

Bei dem festgestellten Zuständigen kann es sich entweder um eine Person oder um eine Entität mit bestätigter Verantwortung für den kompletten Lebenszyklus eines Wertes handeln.

Routineaufgaben können delegiert werden.

Bei komplexen Informationssystemen kann es sinnvoll sein, Gruppen von Werten zu bestimmen, die gemeinsam einen Dienst oder eine Dienstleistung bereitstellen. In diesem Fall ist der Zuständige dieses Dienstes oder dieser Dienstleistung für deren Erbringung verantwortlich, einschließlich des Einsatzes der Werte.

Der Zuständige für Werte sollte:

a) sicherstellen, dass die Werte inventarisiert werden

b) sicherstellen, dass die Werte angemessen klassifiziert und geschützt werden

c) Zugangsbeschränkungen und Klassifizierungen wichtiger Werte festlegen und regelmäßig überprüfen, unter Berücksichtigung der geltenden Zugangskontrollrichtlinien

d) einen ordnungsgemäßen Umgang bei der Löschung oder Zerstörung des Wertes sicherstellen
Die Löschung oder Zerstörung wird dokumentiert, und ein Löschprotokoll wird erstellt, das mindestens 3 Jahre aufbewahrt wird.

8.1.3 Zulässiger Gebrauch von Werten

In “6 Organisation der Informationssicherheit” sind die Maßnahmen zum Zulässigen Gebrauch von Werten beschrieben. Diese sind allen Beteiligten (Beschäftigten und sonstigen Benutzern, die zu externen Parteien gehören, die die Werte der Organisation nutzen oder Zugang zu ihnen haben) in geeigneter Weise bekannt zu machen und das entsprechend nachzuhalten.

Die Einhaltung der Maßnahmen wird regelmäßig überprüft, und Abweichungen werden dokumentiert und behoben.

8.1.4 Rückgabe von Werten

Beendigung von Assets: Wenn Assets nicht mehr benötigt werden, stellen die Verantwortlichen sicher, dass sie sicher und vollständig entfernt oder gelöscht werden, um das Risiko von Datenschutzverletzungen zu minimieren.

Alle Beschäftigten und sonstige Benutzer, die zu externen Parteien gehören, sollten bei Beendigung des Beschäftigungsverhältnisses, des Vertrages oder der Vereinbarung sämtliche in ihrem Besitz befindlichen Werte, die der Organisation gehörten, zurück geben.

Die Rückgabe muss in den unter “8.1.1 Inventarisierung der Werte” vermerkt werden.
Die Rückgabe wird durch interne Audits überprüft, um sicherzustellen, dass alle Werte ordnungsgemäß zurückgegeben wurden.

Last updated: April 10, 2025: feat(ISO-1217-Kap8): improved Kap 8 (fba95b0)
Bearbeiten