Aktivstyring (Asset Management)

Aktivstyring handler om at kortlægge, klassificere og beskytte alle de informationsaktiver, din organisation er afhængig af. I ISO 27001 er aktivstyring grundlaget for risikovurderingen, da risici kun kan vurderes, når man ved, hvad der skal beskyttes.

Tilbage til ordbog

Hvad er aktivstyring?

Et informationsaktiv er alt, der har værdi for organisationen fra et informationssikkerhedsperspektiv. Aktivstyring er processen med at identificere disse aktiver, tildele dem ejere, klassificere dem efter følsomhed og sikre, at de beskyttes passende.

Aktivstyring er tæt koblet til risikovurderingen: Uden en aktuel og komplet aktivoversigt er det umuligt at vurdere, hvilke risici der truer organisationens informationer.

Typer af informationsaktiver

Informationsaktiver kan opdeles i flere kategorier:

Informationsaktiver: Databaser, dokumentation, kontrakter, forretningsinformation.
Softwareaktiver: Forretningssystemer, operativsystemer, udviklingsværktøjer.
Fysiske aktiver: Servere, computere, netværksudstyr, mobile enheder.
Serviceaktiver: Cloud-tjenester, kommunikationstjenester, forsyninger.
Menneskelige aktiver: Medarbejderes viden og kompetencer.
Immaterielle aktiver: Omdømme, brandværdi.

Aktivregistret

Et aktivregister (asset inventory) er en dokumenteret oversigt over alle organisationens informationsaktiver. ISO 27001 Annex A kontrol 5.9 kræver en fortegnelse over informationsaktiver og andre associerede aktiver. Registret skal vedligeholdes og holdes opdateret. For en CIS-fokuseret tilgang til hardware-oversigt, se Aktivoversigt (CIS Control 1).

Start simpelt: Du behøver ikke kortlægge hvert enkelt stykke hardware. Fokusér på de aktiver, der er kritiske for forretningen, eller som indeholder følsomme oplysninger. Et pragmatisk aktivregister er bedre end et perfekt register, der aldrig bliver færdigt.

Klassificering og ejerskab

Hvert aktiv skal have en udpeget ejer (asset owner), der er ansvarlig for aktivets korrekte klassificering og beskyttelse. Klassificering baserer sig typisk på aktivets fortrolighed, integritet og tilgængelighed (CIA-triaden) og bestemmer, hvilke sikkerhedskontroller der skal anvendes.

Ofte stillede spørgsmål om aktivstyring i ISO 27001

Hvad er et informationsaktiv?

Et informationsaktiv er alt, der har værdi for organisationen fra et informationssikkerhedsperspektiv. Det inkluderer databaser, softwaresystemer, hardware, cloud-tjenester, medarbejderviden og endda immaterielle aktiver som omdømme.

Hvorfor er aktivstyring vigtig i ISO 27001?

Aktivstyring er grundlaget for risikovurderingsprocessen. Uden viden om hvilke aktiver du har, kan du ikke vurdere de risici, der truer dem, eller bestemme passende sikkerhedskontroller.

Hvad er et aktivregister?

Et aktivregister er en dokumenteret oversigt over alle organisationens informationsaktiver. ISO 27001 Annex A kontrol 5.9 kræver, at denne oversigt etableres og vedligeholdes.

Hvem bør være aktivejer?

Aktivejeren er typisk den person eller det team, der har mest viden om aktivet og dets forretningsværdi. De er ansvarlige for at sikre korrekt klassificering og passende beskyttelse af aktivet.

Hvor detaljeret skal aktivregistret være?

Detaljeringsgraden bør stå i forhold til organisationens størrelse og risikoprofil. Fokuser på forretningskritiske aktiver og dem med følsomme oplysninger. Et pragmatisk register er bedre end et overdetaljeret, der aldrig færdiggøres.