Comment développer un inventaire des actifs pour la norme ISO 27001

Présentation de l'inventaire des actifs

Vous devez créer un inventaire des actifs informationnels de votre organisation pour :

• Construire une solution efficace Système de gestion de la sécurité de l'information (SMSI)
• atteindre Conformité ou certification ISO 27001

Lorsque nous parlons d’actifs informationnels, nous constatons que la plupart des gens pensent à des choses comme les ordinateurs portables et les serveurs. Mais il y a bien d’autres éléments dont vous devrez tenir compte. Les personnes, la propriété intellectuelle et même les actifs incorporels comme la marque de votre organisation peuvent tous entrer dans votre inventaire d'actifs.

Une fois que vous avez développé votre inventaire des actifs, votre prochaine étape consiste à entreprendre trois exercices :

• Filtration
• Priorisation
• Catégorisation

Ensuite, vous devrez cartographier le risque associé à vos actifs en utilisant les catégories que vous venez d'identifier.

Développer votre inventaire d’actifs peut sembler assez compliqué au début. Mais si vous utilisez ISMS.en ligne vous n’avez pas vraiment besoin de connaître les tenants et les aboutissants avant de vous lancer.

Si c'est votre premier ISO 27001 mise en œuvre, vous bénéficierez grandement de notre fonctionnalité Virtual Coach. Cette série de vidéos est disponible 24h/7 et XNUMXj/XNUMX au sein de la plateforme. Il vous guide dans votre certification parcours, y compris le développement de votre inventaire d’actifs.

Que doit inclure un inventaire des actifs ISO 27001 ?

La version 2013 de la norme de sécurité de l'information a introduit un changement distinct dans la ISO 27001 exigences qui attendent désormais tous actifs informationnels à considérer plutôt que de simples actifs physiques. Cela inclut tout ce qui a de la valeur pour l'organisation dans lequel les informations sont stockées, traitées et accessibles, mais c'est le d'information cela présente un réel intérêt, moins le réseau ou l'appareil en soi, même s'ils restent clairement des atouts et doivent être protégés :

• Des informations (ou données)
• Actifs incorporels – tels que la propriété intellectuelle, la marque et la réputation
• Personnes – Employés, personnel temporaire, sous-traitants, bénévoles, etc.

Et le physique actifs associés avec leur traitement et leur infrastructure :

• Matériel – Généralement des serveurs informatiques, des équipements réseau, des postes de travail, des appareils mobiles, etc.
• Logiciel – Logiciel acheté ou sur mesure
• Services – Le réel service fourni aux utilisateurs finaux (par exemple, systèmes de bases de données, courrier électronique, etc.)
• Emplacements et bâtiments – Sites, bâtiments, bureaux, etc.

Tout type d’actif peut être regroupé logiquement selon un certain nombre de facteurs tels que :

• Classification – par exemple publique, interne, confidentielle, etc.
• Type d'informations - par exemple personnelles, personnelles sensibles, commerciales, etc.
• Valeur financière ou non financière

Un auditeur s'attendra à voir un ou plusieurs inventaires couvrant tous les les actifs concernés dans le champ d’application du SMSI. Chaque actif doit se voir attribuer un propriétaire et chacun doit se voir attribuer une classification.

Qui devrait être le propriétaire de l’actif et quelles sont ses responsabilités ISO 27001 ?

Le propriétaire n'est pas nécessairement le détenteur légal ou physique de l'actif, mais la personne qui a la responsabilité et l'autorité correspondante de garantir qu'au minimum :

• • Les actifs sont inventoriés ;
  • Les actifs sont correctement classés et protégés ;
  • Restrictions d'accès l'actif et sa classification sont revus périodiquement ; et
  • Les actifs sont traités correctement lorsqu'ils sont supprimés ou détruits.

Responsabilités quotidiennes de la gestion d'actifs (par exemple la mise à jour des inventaires, la réalisation d'audits, etc.) peut être déléguée, mais la responsabilité ultime de garantir l'exactitude des la direction reste avec l'actif concerné propriétaire.

C'est le propriétaire de l'actif qui est chargé de définir les exigences de protection de l'actif, telles que la restriction d'accès, conformément aux politiques et normes de l'organisation.

Quel est le lien entre l’inventaire des actifs ISO 27001 : 2013 et le RGPD ?

Pour se conformer à la Règlement général sur la protection des données (GDPR) une organisation doit tenir un inventaire des systèmes qui contiennent et traitent des informations personnelles identifiables. Cela exige également que les risques liés à la vie personnelle données sont identifiés, évalués et traités, donc en suivant les ISO 27001:Approche 2013 des actifs et évaluation des risques signifie qu'il peut facilement englober et être aligné pour incorporer le Les exigences du RGPD également.

Devriez-vous utiliser un modèle ou un outil pour gérer votre inventaire d’actifs ?

Il existe de nombreux exemples de modèles d'inventaires/registres d'actifs disponibles et ceux-ci suivent une approche simple de feuille de calcul qui sont tout aussi faciles à créer vous-même.

Cependant, une feuille de calcul est un document statique et, bien qu'elle soit idéale pour la modélisation financière et les éléments de base, elle n'est pas très efficace pour démontrer comment l'actif est lié aux risques identifiés, aux politiques et aux politiques pertinentes. contrôles, ou l'autre travail dynamique d'un système de gestion de la sécurité de l'information.

Un bon outil technologique pour inventaires d'actifs sera préconfiguré, avec la possibilité de le personnaliser en fonction de vos propres classifications, vous permettra d'attribuer des propriétaires, des dates d'échéance et des rappels et de capturer toutes les preuves requises dans un seul emplacement sécurisé.

Envisagez également un outil de gestion de la sécurité de l'information qui vous permet d'attribuer des valeurs à vos actifs, car cela vous aidera à prioriser évaluations des risques et comprendre tout impact potentiel des incidents, des événements ou des violations.

Enfin, les meilleurs outils seront dotés de la possibilité de lier facilement l'actif aux risques de votre entreprise. plan de traitement des risques, à ton ISMS contrôles, la chaîne d'approvisionnement et toute autre action dans le ISMS qui démontrent que vos actifs sont bien protégés.

En fait, dans ISMS.en ligne, l'utilisation de ce même lien puissant vous emmènera dans un voyage simple, de l'actif informationnel au risque, en passant par le contrôles nécessaires au traitement du risque puis, dynamiquement du contrôle à la mise à jour des Déclaration d'applicabilité avec la justification de sa mise en œuvre. C'est vraiment aussi simple que ça avec ISMS.en ligne.

Ainsi, la création de votre propre feuille de calcul d'actifs n'aura peut-être aucun coût perçu, mais posera le défi d'une gestion et d'une coordination beaucoup plus élevées avec les autres parties du système. ISMS, surtout si vous visez ISO 27001 certificat. Vous pouvez également adopter une vision à plus long terme et investir dans un outil de gestion d’actifs spécialisé. Mais ils sont souvent complexes et riches en détails. La gestion des actifs informationnels pourrait bien devenir un travail à plein temps. Et vous devrez toujours lier votre outil au reste de votre SMSI.

Au lieu de recourir à une feuille de calcul ou à un outil spécialisé autonome, nous vous recommandons de rechercher une plate-forme ISMS comprenant son propre outil d'inventaire des actifs. Cela devrait:

• Livré préconfiguré, mais facile à personnaliser avec vos propres classifications
• Vous permet d'attribuer des dates d'échéance et des rappels aux propriétaires d'actifs et à la gestion des actifs.
• Capturez dynamiquement les preuves pour les audits internes et externes dans un emplacement sécurisé

Il devrait également vous permettre d'attribuer des valeurs à vos actifs. Cela vous aidera à hiérarchiser les évaluations des risques et à évaluer l'impact potentiel de tout incidents de sécurité, événements ou violations. Et vous devriez pouvoir vous connecter à votre traitement des risques plan et au-delà.

C'est le genre de lien qu'ISMS.online vous permet de faire. Vous pouvez passer d'un actif informationnel à un risque auquel il est confronté et au contrôle qui traite ce risque. Ensuite, vous pouvez passer de ce contrôle à votre Déclaration d'applicabilité, en l'actualisant avec la justification de sa mise en œuvre.

C'est aussi simple que ça.