Wat is een Asset in ISO 27001?
Overzicht
Een asset (bedrijfsmiddel) in ISO 27001 is alles wat waarde heeft voor je organisatie en bescherming behoeft. Assets omvatten informatie, systemen, fysieke apparatuur, diensten, mensen en de reputatie van de organisatie die de bedrijfsactiviteiten ondersteunen en waarvoor waarborgen voor vertrouwelijkheid, integriteit of beschikbaarheid nodig zijn.
Wat het in de praktijk betekent
Assets zijn datgene wat je beschermt met je ISMS. Je risicobeoordeling begint bij het identificeren van assets, bepaalt vervolgens welke bedreigingen hen kunnen schaden en welke beheersmaatregelen nodig zijn voor bescherming.
Praktijkvoorbeeld: De assets van een SaaS-bedrijf omvatten: klantendatabase (informatie), broncode (intelectueel eigendom), productieservers (fysiek/technisch), medewerkers met gespecialiseerde vaardigheden (mensen), clouddiensten van derden (diensten) en merkreputatie (immaterieel). Elk hiervan vereist verschillende beschermingsmaatregelen.
Soorten assets
Informatie-assets
Gestructureerde data: Databases, spreadsheets, records
Documenten: Contracten, beleidsregels, procedures, rapporten
Intellectueel eigendom: Broncode, patenten, bedrijfsgeheimen, ontwerpen
Persoonsgegevens: Klantinformatie, personeelsdossiers (AVG-gereguleerd)
Financiële gegevens: Transactieoverzichten, bankgegevens, jaarrekeningen
Communicatie: E-mails, chatberichten, opgenomen gesprekken
Fysieke assets
Hardware: Servers, werkstations, laptops, mobiele apparaten
Opslagmedia: Harde schijven, USB-sticks, tapes voor back-ups
Infrastructuur: Netwerkapparatuur, kabels, stroomvoorziening
Faciliteiten: Datacenters, kantoren, serverruimtes
Papieren documenten: Geprinte dossiers, contracten, vertrouwelijke bestanden
Software-assets
Applicaties: Bedrijfssoftware, CRM, ERP-systemen
Besturingssystemen: OS voor servers en werkstations
Ontwikkeltools: IDE's, compilers, build-systemen
Maatwerksoftware: In eigen beheer ontwikkelde applicaties
Licenties: Softwarerechten en machtigingen
Diensten
IT-diensten: Cloudplatforms, SaaS-applicaties, managed services
Nutsvoorzieningen: Stroom, koeling, telecommunicatie
Ondersteunende diensten: Onderhoudscontracten, beveiligingsmonitoring
Externe leveranciers: Uitbestede functies, consultants
Mensen
Gespecialiseerde expertise: Vaardigheden die moeilijk te vervangen zijn
Sleutelpersoneel: Individuen die cruciaal zijn voor de bedrijfsvoering
Institutionele kennis: Niet-gedocumenteerde processen die bekend zijn bij specifieke personen
Immateriële assets
Reputatie: Merkwaarde, klantvertrouwen
Goodwill: Zakelijke relaties, marktpositie
Naleving van regelgeving: Licenties, certificeringen
Scope van asset-identificatie: Focus op assets binnen de gedefinieerde scope van je ISMS. Als je scope "klantgerichte webapplicatie en ondersteunende infrastructuur" is, hoeven assets buiten die grens (zoals interne HR-systemen) niet te worden gecatalogiseerd voor ISO 27001-doeleinden.
Assetinventaris (A.5.9)
Waarom een inventaris verplicht is
ISO 27001-beheersmaatregel A.5.9 vereist een "inventaris van informatie en andere geassocieerde assets." Je kunt niet beschermen wat je niet weet dat je hebt. De asset-inventaris is de fundering van de risicobeoordeling.
Wat op te nemen in de inventaris
Documenteer voor elke asset:
Asset ID: Unieke identificatie
Assetnaam/beschrijving: Duidelijke identificatie
Assettype: Informatie, fysiek, software, dienst, etc.
Eigenaar: Persoon verantwoordelijk voor de asset
Locatie: Fysieke of logische locatie
Classificatie: Vertrouwelijkheidsniveau (Openbaar, Intern, Vertrouwelijk, etc.)
Waarde: Belang voor de organisatie (optioneel maar nuttig)
Afhankelijkheden: Andere assets waarvan het afhankelijk is of die het ondersteunt
Inventarisvormen
Spreadsheet: Eenvoudig, werkt voor kleine organisaties
Database: Beter voor middelgrote/grote organisaties met veel assets
GRC-tool: Geïntegreerd met risicobeoordeling en beheer van maatregelen
Configuration Management Database (CMDB): Technische assets die worden bijgehouden in IT-systemen
Veelgemaakte fout: Het maken van een uitputtende inventaris van elke pen en paperclip. Focus op assets die van materieel belang zijn voor informatiebeveiligingsrisico's. Een lijst van 500 regels met triviale items is moeilijker te onderhouden dan een gerichte lijst van 50 kritieke assets.
Asset-eigendom
Wat asset-eigendom betekent
De asset-eigenaar is verantwoordelijk voor:
Het definiëren van classificatie- en beschermingseisen
Het goedkeuren van toegang tot de asset
Het waarborgen dat de juiste beheersmaatregelen worden toegepast
Regelmatige beoordeling van de beveiliging van de asset
Autorisatie voor het verwijderen of buiten gebruik stellen van de asset
Eigenaar vs. beheerder (custodian)
Eigenaar: Zakelijke rol die verantwoordelijk is voor de asset (meestal een manager of directielid)
Beheerder: Technische rol die de dagelijkse beveiliging beheert (vaak het IT-team)
Voorbeeld: De VP Sales kan eigenaar zijn van de klantendatabase (zakelijke verantwoordelijkheid), terwijl de databasebeheerder de 'custodian' is (technisch beheer).
Best practice: Wijs eigenaren toe op een passend niveau - hoog genoeg om autoriteit en verantwoordelijkheid te hebben, maar dicht genoeg bij de asset om geïnformeerde beslissingen te nemen. Een directielid dat eigenaar is van 200 individuele assets kan deze niet effectief beheren.
Assetclassificatie (A.5.12)
Waarom assets classificeren
Classificatie zorgt ervoor dat assets de juiste bescherming krijgen op basis van hun gevoeligheid en waarde. Niet alle data heeft dezelfde beveiliging nodig - classificatie maakt een proportionele keuze van beheersmaatregelen mogelijk.
Veelvoorkomende classificatieschema's
Basis (3 niveaus)
Openbaar: Mag vrijelijk openbaar worden gemaakt
Intern: Voor intern gebruik, niet openbaar
Vertrouwelijk: Gevoelig, beperkte toegang
Standaard (4 niveaus)
Openbaar: Geen impact op vertrouwelijkheid bij openbaarmaking
Intern: Lage impact bij openbaarmaking
Vertrouwelijk: Gemiddelde tot hoge impact bij openbaarmaking
Geheim/Beperkt: Ernstige impact bij openbaarmaking
Gedetailleerd (5+ niveaus)
Sommige organisaties voegen niveaus toe zoals "Eigendom van", "Gevoelig", of regelspecifieke classificaties (PII, PHI, PCI).
Criteria voor classificatie
Bepaal de classificatie op basis van de impact op de BIV-trias bij een incident:
Vertrouwelijkheid: Impact van ongeoorloofde openbaarmaking
Integriteit: Impact van ongeoorloofde wijziging
Beschikbaarheid: Impact van verlies of onbeschikbaarheid
Overweeg ook:
Wettelijke/reglementaire vereisten (AVG, HIPAA, PCI DSS)
Contractuele verplichtingen (NDA's van klanten, leveranciersovereenkomsten)
Bedrijfswaarde en concurrentiegevoeligheid
Richtlijnen voor classificatie: Maak duidelijke beslissingscriteria voor elk niveau. Bijvoorbeeld: "Vertrouwelijk: Persoonsgegevens, financiële gegevens, bedrijfsgeheimen of data waarvan openbaarmaking aanzienlijke bedrijfsschade of boetes zou veroorzaken."
Asset-waardering
Waarom assets waarderen
Assetwaarde helpt bij het prioriteren van beschermingsinspanningen en het rechtvaardigen van investeringen in beheersmaatregelen. Assets met een hoge waarde rechtvaardigen sterkere (en duurdere) maatregelen.
Waarderingsmethoden
Kwantitatief (financieel)
Vervangingskosten (hardware, softwarelicenties)
Omzetimpact bij onbeschikbaarheid
Potentiële boete of sanctie bij een incident
Marktwaarde of waarde van intellectueel eigendom
Kwalitatief (bedrijfsimpact)
Kritiek: Essentieel voor het voortbestaan van het bedrijf
Hoog: Aanzienlijke bedrijfsimpact
Gemiddeld: Merkbare impact, maar er zijn alternatieven
Laag: Minimale impact bij verlies of verminking
Factoren die assetwaarde beïnvloeden
Vervangingskosten en inspanning
Tijd om te herstellen of recreëren
Afhankelijkheid van omzet
Regulatoir belang
Geleverd concurrentievoordeel
Reputatieschade bij een incident
Waarde is meer dan alleen kosten: De vervangingskosten van een klantendatabase kunnen bescheiden zijn, maar de waarde omvat jarenlange relatieopbouw, concurrentie-informatie en AVG-nalevingsverplichtingen. Waarde omvat alle bedrijfsimpact, niet alleen de financiële vervangingswaarde.
Asset lifecycle management
Acquisitie
Toevoegen aan de asset-inventaris bij aanschaf
Eigenaar toewijzen en classificeren
Passende beheersmaatregelen toepassen op basis van classificatie
Gebruik
Werken binnen het beleid voor aanvaardbaar gebruik (A.5.10)
Beheersmaatregelen gedurende de levenscyclus onderhouden
Toegangsrechten periodiek beoordelen
Wijziging
Inventaris bijwerken wanneer assets veranderen
Classificatie opnieuw beoordelen als gebruik of gevoeligheid verandert
Processen voor wijzigingsbeheer volgen (A.8.32)
Overdracht
Vertrouwelijkheid waarborgen tijdens overdracht (A.5.14)
Eigendom bijwerken in de inventaris
Zorgen dat beheersmaatregelen van kracht blijven
Verwijdering
Informatie veilig verwijderen (A.8.10)
Fysieke vernietiging indien nodig
Verwijderen uit de inventaris
Geleasde/gelicenseerde assets retourneren (A.5.11)
Assets en risicobeoordeling
Asset-centrische risicobeoordeling
Veelvoorkomende aanpak voor risicobeoordeling:
Assets identificeren
Assetwaarde/-classificatie bepalen
Bedreigingen voor elke asset identificeren
Kwetsbaarheden identificeren die door bedreigingen misbruikt kunnen worden
Impact beoordelen als een bedreiging een kwetsbaarheid misbruikt
Waarschijnlijkheid van voorkomen evalueren
Risiconiveau berekenen (impact × waarschijnlijkheid)
Beheersmaatregelen selecteren om risico te verminderen
Asset-afhankelijkheden
Houd rekening met afhankelijkheden in de risicobeoordeling. Als Asset A afhankelijk is van Asset B, vormen bedreigingen voor Asset B ook een risico voor Asset A.
Voorbeeld: Je klantgerichte webapplicatie is afhankelijk van de databaseserver. Risico's voor de database worden indirect risico's voor de applicatie.
Gerelateerde concepten
Risicobeoordeling - Bedreigingen voor assets evalueren
Informatieclassificatie - Assets categoriseren op gevoeligheid
BIV-trias - Beschermingsdoelstellingen voor assets
Beheersmaatregel - Maatregelen die assets beschermen
Hulp krijgen
Gebruik ISMS Copilot om sjablonen voor asset-inventarissen te genereren, classificatieschema's te maken die passen bij jouw bedrijf, en assets efficiënt te koppelen aan risicobeoordelingen.