CompliantDesk

A.5 Organisatorische Maßnahmen

A.5.9

Inventar der Informationen und anderer Werte

ISO 27001NIS2TISAXBSI

Ein Inventar der Informationen und anderer damit verbundener Werte, einschließlich der jeweils Verantwortlichen, muss erstellt und gepflegt werden.

Was fordert dieses Control?

Ein Inventar der Informationen und anderer damit verbundener Werte, einschließlich der jeweils Verantwortlichen, muss erstellt und gepflegt werden.

Warum ist das wichtig?

Man kann nur schützen, was man kennt. Ein vollständiges, aktuelles Asset-Inventar ist die Grundlage für Risikoanalyse, Klassifizierung und Schutzmaßnahmen.

Cross-Standard-Mapping

StandardControl-IDRelevanz
NIS2Art. 21 (2)Direkt
TISAX1.4.1Direkt
BSIISMS.1.A6Direkt

Was der Auditor erwartet

  1. 1Aktuelles Inventar aller relevanten Werte
  2. 2Zuordnung von Verantwortlichen (Asset Owner)
  3. 3Pflegeprozess zur Aktualität

Audit-Checkliste

Dokumente

  • Asset-Inventar

    Werte mit Owner, Klassifizierung und Standort

Nachweise

  • Aktualisierungsnachweis

    Regelmäßige Pflege und Abgleich des Inventars

Interviews

  • Asset Owner

    Kenntnis ihrer Verantwortung für die Werte

Technisch

  • Automatisierte Erfassung

    Abgleich mit MDM/Discovery-Daten

Praxis-Tipps zur Umsetzung

1

Owner zuweisen

Jeder Wert braucht einen Verantwortlichen, der über Schutz und Nutzung entscheidet.

2

Automatisieren

Geräteinventar über MDM/Discovery automatisch befüllen und aktuell halten.

3

Mehr als Hardware

Auch Informationen, Software, Dienste und Lieferanten erfassen.

Häufige Fehler

Nur Hardware

Informationen, Cloud-Dienste und Software fehlen im Inventar.

Veraltet

Das Inventar wird einmal erstellt und nie gepflegt.

Häufig gestellte Fragen

Was gehört alles ins Asset-Inventar?

Hardware, Software, Informationen, Dienste und teils auch Personen und Lieferanten, jeweils mit Verantwortlichen.

Wie hält man das Inventar aktuell?

Über automatisierte Erfassung und regelmässige Reviews durch die Asset Owner.

Brauchen wir eine CMDB?

Nicht zwingend, eine strukturierte und gepflegte Liste genügt, eine CMDB erleichtert die Pflege aber.

So hilft CompliantDesk bei A.5.9

Das Asset-Modul führt alle Werte mit Owner und Klassifizierung und befüllt das Inventar über M365/Intune automatisch.

Demo buchen NIS2-Check Gratis

Verwandte Controls

A.5.10

Zulässige Nutzung von Werten

A.5.12

Klassifizierung von Informationen

A.8.1

Endgeräte der Benutzer