Zum Inhalt springen
Anfrage
NIS2
TISAX®
Startseite » Unser Blog » ISO 27001:2022 – Vertiefung Asset Management

ISO 27001:2022 – Vertiefung Asset Management

Asset Register ISO 27001

ISO 27001:2022 Vertiefung Asset Management und Lebenszyklus von Informationswerten

Asset Management als Rückgrat des Informationssicherheits Managementsystems

Ein wirksames Asset Management ist das Rückgrat jedes Informationssicherheits Managementsystems. Die ISO 27001:2022 betont, dass alle relevanten Informationswerte von Hardware und Software bis zu Daten, Lizenzen und Cloud Diensten identifiziert, bewertet und geschützt werden müssen. Eine strukturierte Übersicht ist die Grundlage für Risikobewertung, Kontrollen und Nachweise im Audit.

  • Was ist ein Asset im Sinne der ISO 27001 In der ISO 27001 gelten alle Werte als Asset, die für Betrieb, Informationsverarbeitung oder Sicherheit wichtig sind. Dazu zählen physische Werte wie Server, Laptops oder Zutrittssysteme, digitale Werte wie Datenbanken, Anwendungen, Lizenzen und Backups, immaterielle Werte wie Markenrechte, Know how, Verträge und Prozesse sowie externe Ressourcen wie Cloud Dienste oder Dienstleister. Jedes Asset kann Quelle eines Risikos sein, zum Beispiel durch Verlust, Ausfall oder Missbrauch.
  • Lebenszyklus von Informationswerten Informationswerte werden nicht nur einmalig erfasst, sondern über ihren gesamten Lebenszyklus hinweg betrachtet. Typische Phasen sind: Beschaffung und Erfassung im Asset Register, Nutzung und Betrieb mit Zuweisung von Verantwortlichen und Überwachung, Änderungen und Wartung etwa bei Updates, Standortwechseln oder Anpassung von Zugriffsrechten sowie Ausmusterung und Entsorgung mit sicherer Löschung, Rückgabe oder Archivierung. Ziel ist, dass kein Asset unkontrolliert und ohne Verantwortung im System verbleibt.
  • Asset Register als zentrale Übersicht Das Asset Register dient als zentraler Einstieg in das Asset Management. Für jedes Asset werden Attribute wie Name, Kategorie, Eigentümer, Speicherort, Verarbeiter, Schutzbedarf, Beziehungen zu anderen Objekten und gegebenenfalls Wiederherstellungsanforderungen dokumentiert. Das Register unterstützt Risikoanalyse, Maßnahmenplanung und Auditnachweise.
  • Klassifizierung und Schutzbedarf nach der CIA Triade Um angemessene Sicherheitsmaßnahmen abzuleiten, werden Assets anhand von Vertraulichkeit, Integrität und Verfügbarkeit bewertet. Vertraulichkeit beschreibt, wie kritisch ein unbefugter Zugriff wäre, Integrität die Bedeutung unveränderter und korrekter Information und Verfügbarkeit die Folgen eines Ausfalls. Aus diesen Faktoren wird der Schutzbedarf zum Beispiel niedrig, mittel oder hoch abgeleitet und dient als Basis für Auswahl und Priorisierung von Kontrollen.

Asset-Liste nach ISO 27001:2022

Hinweis: Die Asset-Liste ist ein lebendes Dokument. Zuerst die wichtigsten Assets erfassen, später schrittweise ergänzen.
Asset-ID Beschreibung Typ Kategorie Owner Stellv. Abteilung/Prozess Standort/System Lieferant/Dienstleister Vertrag/SLA (J/N) PB-Daten (J/N) Datenkategorien Rechtsgrundlage C I A Kritikalität Backup Intervall RTO (h) RPO (h) Patch-Status Letzte Änderung Lebenszyklus Anschaffung Ausmusterung Risiko-ID Maßnahmen (Annex A) Bemerkungen
IT-001 Fileserver PROD physisch Server IT-Admin ISB IT-Betrieb RZ 1 / Rack B Dell / RZ XY J J Kundendaten, Verträge Art. 6 (1)(b) DSGVO hoch hoch hoch hoch J täglich 4 24 aktuell 2025-10-01 in Betrieb 2023-03-15 R-2025-014 A.5.30, A.5.12 Monitoring; 2FA
SW-014 CRM Cloud (SaaS) Dienstleistung Cloud/SaaS Vertrieb QMB Sales Cloud (EU) Acme CRM GmbH J J Kundendaten Art. 6 (1)(f) DSGVO mittel hoch mittel mittel J wöchentlich (Export) 8 24 Anbieter-managed 2025-09-10 in Betrieb 2024-07-01 R-2025-031 A.5.19, A.5.21 AV/TOM geprüft; SSO

Legende (Auszug):
Typ: physisch / digital / Dienstleistung (SaaS)
CIA: C = Vertraulichkeit, I = Integrität, A = Verfügbarkeit (niedrig/mittel/hoch)
RTO/RPO: Zielwerte Wiederanlaufzeit / max. Datenverlust (h)
Annex A: Controls der ISO/IEC 27001:2022 (z. B. A.5.30 Backup, A.5.12 Change)

Pflege und Aktualisierung des Asset Registers

Asset Management als laufende Aufgabe

Die Asset Liste ist ein lebendes Dokument und wird laufend ergänzt, sobald neue Systeme, Daten oder Lieferanten hinzukommen. Empfohlen wird eine regelmäßige Überprüfung, mindestens jährlich oder nach relevanten Änderungen in der IT oder Prozesslandschaft.

  • Checkliste für die Pflege des Asset Registers Neue Systeme oder Software nach Einführung eintragen, Abgänge wie Entsorgung oder Lizenzende dokumentieren, Zuständigkeiten bei Personalwechsel prüfen, Klassifizierungen bei Änderungen neu bewerten und die Verknüpfung mit dem Risikomanagement regelmäßig überprüfen.
  • Praxis Tipp Integration in Ihr Informationssicherheits Managementsystem Das Asset Register bildet die Grundlage für Risikoanalysen, Notfallplanung und Schutzmaßnahmen. Durch die Integration in ein zentrales System, zum Beispiel Wiki.js oder eine strukturierte Excel Übersicht, werden Änderungen nachvollziehbar. Besonders für kleinere Unternehmen bietet sich ein einfacher Start an: zunächst die wichtigsten IT und Daten Assets erfassen und die Liste schrittweise erweitern.
  • Fazit kontinuierliche Verbesserung statt Einmalprojekt Ein wirksames Asset Management ist kein einmaliges Projekt, sondern ein dauerhafter Prozess. Nur wer seine Informationswerte kennt, kann sie angemessen schützen. Die ISO 27001:2022 verlangt kein perfektes System von Beginn an, sondern ein strukturiertes, nachvollziehbares Vorgehen mit klaren Verantwortlichkeiten und laufender Verbesserung.

Warum Asset Management mehr ist als eine Liste

Mehr als Inventarnummern und Serienlisten

Ein Asset ist mehr als nur eine Inventarnummer. Jedes Gerät, jede Software und jede Information spiegelt ein Stück der Organisation wider. Wer seine Werte nicht kennt, kann sie nicht schützen und riskiert Ausfälle, Datenverluste oder Reputationsschäden. Asset Management ist daher nicht nur eine formale Forderung der ISO 27001, sondern das Gedächtnis des Unternehmens.

Ein gut gepflegtes Register macht Informationssicherheit greifbar: Es zeigt, was wirklich wichtig ist, welche Systeme kritisch sind und wo Investitionen in Sicherheit den größten Effekt haben.

  • Schritt für Schritt zur ersten Asset Liste Start in der IT Abteilung mit Servern, Netzwerken, Notebooks und Cloud Diensten, dann organisatorische Assets wie Verträge, Papierakten, Schlüssel und Zutrittskontrollen ergänzen. Verantwortliche für Nutzung und Verwaltung festlegen, Schutzbedarf bewerten und die Liste nach Änderungen oder mindestens jährlich überprüfen.
  • Best Practice für kleinere Unternehmen Auch kleine Betriebe können ohne großen Aufwand ein normkonformes Asset Management aufbauen. Eine einfache Excel oder Wiki.js Liste genügt für den Einstieg. Wichtig sind regelmäßige Prüfungen, zum Beispiel einmal pro Jahr oder bei neuen Systemen, benannte Asset Owner pro Bereich sowie die Verknüpfung kritischer Assets mit den entsprechenden Risiken und eine dokumentierte Entsorgung alter Systeme und Datenträger.
  • Fazit strukturierte Basis für spätere Zertifizierung Ein funktionierendes Asset Management wächst mit der Reife des Informationssicherheits Managementsystems und muss nicht von Anfang an perfekt sein. Entscheidend ist ein strukturierter, nachvollziehbarer Einstieg. Mit überschaubarem Aufwand entsteht so ein stabiles Fundament für spätere Zertifizierung oder Audit Vorbereitung.

Typische Fehler im Umgang mit Assets

Viele Unternehmen unterschätzen die Bedeutung des Asset-Registers. Diese Fehler treten besonders häufig auf und lassen sich mit einfachen Routinen vermeiden:

Häufiger Fehler Beispiel / Folge
Keine klaren Verantwortlichkeiten Niemand fühlt sich zuständig für Updates, Backups oder Änderungen.
Veraltete oder unvollständige Liste Assets sind längst ausgemustert, werden aber weitergeführt.
Nur IT-Assets werden betrachtet Verträge, Papierarchive oder Zutrittssysteme bleiben unberücksichtigt.
Kein Abgleich mit Einkauf oder HR Neue Geräte oder Software werden beschafft, aber nie im Register erfasst.
Keine Verbindung zum Risikomanagement Assets sind gelistet, aber Schutzbedarf und Maßnahmen fehlen.

Tipp: Regelmäßige Reviews (z. B. halbjährlich) und eine Freigabe durch den Informationssicherheitsbeauftragten verhindern diese Schwachstellen langfristig.

ISO 27001 – Asset Management (Grundlagen & Praxis)

Vertiefende Informationen zum Aufbau und zur Pflege eines normkonformen Asset-Registers – unser Cornerstone-Artikel erklärt Struktur, Klassifizierung und Verantwortlichkeiten im Detail.

Schlagwörter:
Stefan Stroessenreuther

Stefan Stroessenreuther

Consulting Qualitätsmanagement ISO 9001 | Personenzertifizierter IATF 16949 und VDA 6.3 Auditor | Information Security Officer ISO/IEC 27001 | Dozent IMB Integrations Modell Bayreuth | Mitglied der Deutschen Gesellschaft für Qualität | Lead Auditor ISO 14001 | Lead Auditor ISO 45001 | Lead Auditor ISO 9001

Berechnung der durchschnittlichen Zertifizierungskosten ISO 9001

Qualitätsmanagement Beratung ISO 9001 - kompetent und flexibel