Information Assets

Im QSEC Modul „Information Assets“ werden die Information Assets (Geschäftsprozesse, Informationen und die unterstützenden Assets verwaltet. Diese gliedern sich in QSEC®, nach der geforderten Vorgehensweise der ISO 27005 (Risikomanagement in der Informationssicherheit), in

  • Physische Werte
  • Personal
  • Dienstleistungen inkl. Cloud

Ziel ist ein möglichst präzises Abbild der Assets einer/der Organisation(en) im ausgewählten Untersuchungsbereich (Scope). Die als kritisch identifizierten Assets werden einer detaillierten Betrachtung im Risikomanagement unterzogen, die weniger kritischen Assets können einer Basisbetrachtung unterzogen werden, die auf den eingestellten Elementargefährdungen basiert.

Die Möglichkeit der Erfassung von Assets innerhalb der Asset Gruppen ist für Organisationen vorgesehen, die aufgrund von technischen Gegebenheiten kein Asset-Management-System (ITAM) verwenden können oder für die der Aufwand zu groß ist. Diese Möglichkeit kann z.B. für Produktionsumgebungen, Steuerungssysteme und technischen Umgebungen mit wenigen Assets genutzt werden.

 

QSEC® – Darstellung der Asset-Gruppen-Map

Features (Auszug):

  • Modellierung der kompletten Unternehmensstruktur:
    • Geschäftseinheiten,
    • Geschäftsprozesse,
    • Informationen,
  • Assets (Einzel-Assets und Asset Gruppen)
  • Erfassung der Asset Gruppen mit der Angabe des Verantwortlichen und der Angabe des Asset-Gruppentyps für die Zuordnung des Risikokatalogs
  • Erfassung von BIA-relevante Angaben (RTO-Ist/RPO-Ist) vorgesehen
  • Hierarchische Asset-Gruppendarstellung für eine übersichtliche Strukturansicht
  • Tabellarische Asset-Gruppenauflistung für eine übersichtliche Bearbeitungsansicht
  • Map-Asset-Gruppenansicht für eine übersichtliche Gesamtzusammenhangsansicht
  • Innerhalb der Asset Gruppen können die Assets (Einzel-Assets: Notebooks, Produktionssysteme, Netzkomponenten etc.) mit den „Verwaltungskriterien“ (z. B. Hersteller, Seriennummer, Standort etc.) manuell verwaltet werden: Zuordnung der Geschäftsprozesse und Informationen zu den Asset Gruppen;
  • Vererbung der Geschäftsprozess- und Informations-Kritikalitätsbewertungen für die Schutzbedarfsanalyse der Asset Gruppen im Risikobewertung (die erfassten Asset Gruppen werden im Risikomanagement bewertet);
  • Die Security-Level werden je Asset-Gruppe komplett für alle Assets bewertet;
  • Formularanpassung: Zur besseren Übersicht werden die komplexen Formulare in Tabs eingeteilt!