Description of Image.


List of Assets - LoA - Fortegnelse over aktiver

Standarden DS/ISO/IEC 27005:2011, Anneks B, indeholder faktisk en glimrende liste over, hvad en sådan fortegnelse bør indeholde. Vi har sammenfattet nogle af bemærkningerne (på dansk) i tabellen nedenfor.

NB. Det er vigtigt, at der knyttes en aktivejer til hvert aktiv i listen, og det bør ikke alene være den administrerende direktør, der udpeges som aktivejer hele vejen ned, fordi det vil have betydning for effektivitet at få delegeret ansvaret ud på flere personer.

En fortegnelse over aktiver er ikke det samme som det anlægskartotek, som bogholderiet laver af skatte- og regnskabstekniske årsager, men der kan muligvis knyttes en forbindelse. Og det vil være ganske fornuftigt at lave fortegnelsen som en database, hvori der også kan lægges andre nyttige oplysninger ind pr. aktiv: 1) Værdioplysninger, 2) Forsikringsoplysninger, 3) Garanti- og serviceaftaler, 4) Ledelsesmæssige beslutninger om udfasning osv.

Aktivejerens rolle: At sikre, at risikovurderingen for hvert aktiv er tilstrækkelig, og at der enten er eller vil blive gennemført tiltag, der leverer den nødvendige informationssikkerhed for alle betydende aktiver.

Aktiver Bemærkninger
De primære aktiver
Forretningsprocesser og -aktiviteter Ledere, informationssikkerhedsansvarlige, medarbejdere i øvrigt vil optræde som aktivejere. Der kan i vidt omfang henvises til ISO 9001-procedurerne. Beredskabsplaner og planer for forretningsvidereførelse efter katastrofehændelser, ulykker o.l. kan være et væsentligt aktiv. Det er sandsynligvis ikke hverken gennemførligt eller overkommeligt at nævne alt af betydning. Af praktiske grunde bliver man nødt til at fokusere på væsentlige eller økonomisk betydende kerneprocesser:
  1. Procedurer, hvis tab, ændring eller destruktion gør det vanskeligt eller umuligt at videreføre virksomheden
  2. Procedurer, der indeholder væsentlige forretningshemmeligheder eller virksomhedsspecifik teknologi
  3. Procedurer, der er nødvendige for at overholde kontraktmæssige, juridiske eller lovgivningsmæssige krav
Data, databaser etc. Der kan i vidt omfang henvises til driftsdatabaser, ERP- og ESDH-systemer:
  1. Data af væsentlig betydning for ordreeksekvering og kundebetjening
  2. Persondata og personfølsomme data
  3. Fortrolige dele af strategiplaner etc.
  4. Væsentlige informationer (fx e-mails, data o.l., hvis indsamling, opbevaring, behandling og overførsel kræver lang tid og/eller hvis genskabelse eller genindsamling repræsenterer store omkostninger.
Støtteaktiver
Hardware Vigtige typer (nogle mere gammeldags end andre):
  1. Databehandlingsudstyr (herunder aktivt og automatisk virkende udstyr)
  2. Transportabelt udstyr: pc'er, iPads, mobiltelefoner, iWatch etc.
  3. Faste installationer: Servere, mikrocomputere anvendt som faste arbejdsstationer.
  4. Enheder, som er koblet til computerne via porte for indtastning, overførsel eller transmission af data.
  5. Passive datamedier og elektroniske medier, fx diskettedrev, eksterne/flytbare harddiske, memory sticks, båndstationer, bånd, cd'er, dvd'er, afspillere, brændere, fax, printere, kopimaskiner eller andre enheder til lagring, kopiering eller transport af data.
  6. Statiske, ikke-elektroniske medier: Ringbind, papirdokumenter, film, dias etc.
Software Vigtige typer:
  1. Programmel, som er væsentlig for opgaveeksekvering og drift
  2. Operativsystemer på computere (inklusive hjælpeprogrammer)
  3. Service-, vedligeholdelses- eller administrationssoftware
  4. Softwarepakker eller standardsoftware, herunder databaseudviklingsprogrammel, mailsoftware, domænesoftware, webapplikationer mv.
  5. Standard-forretningsapplikationer: Fx bogføringsprogrammer, CRM-systemer, ordrebehandlingssystemer, produktionsstyringssystemer, lagerstyringssystemer, HR-moduler og andet administrativt software
  6. Specifikke eller tilpassede forretningsapplikationer: Fx faktureringsprogrammer, telefonomstillingssystemer, overvågningssystemer mv.
Netværk Vigtige aktiver:
  1. Medier og støttefunktioner: Telefon, Internettet, ADSL-forbindelse, trådløse modem, Bluetooth, fire walls.
  2. Passive og aktive omskiftere: Routere, hubs, switches, automatiske omskiftere etc.
  3. Telekommunikation: Radio, tv, smart-tv, kabel-tv …
Personale Vigtige personelle aktiver:
  1. Beslutningstagere: Topchefer, projektchefer, projektledere
  2. Funktionschefer: Administrationschef, økonomichef, personalechef, salgschef, udviklingschef, produktionschef, kvalitetschef, informationssikkerhedsansvarlig
  3. Udviklere: Forretningssystem- og produktudviklere
Bygninger og lokaler Vigtige fysiske aktiver:
  1. Omgivende miljø, hvor virksomhedens normale sikkerhedsprocedurer og it-kontroller normalt ikke kan anvendes: Medarbejdernes private hjem (fjernarbejdspladser), samarbejdspartnere, sikkerhedszone etc.
  2. Bygge- og anlægsaktiver
  3. Adgangsforhold: Begrænsning af adgang til kontorer, udviklingsafdeling etc. Tyveri- og hærværkssikring. Portvagt. Adgangskontrolsystemer.
  4. Servicefunktioner: Fællesarealer, mødelokaler, kantine, teknikerrum, birum, serverrum, personalerum etc.
  5. Interne kommunikationssystemer: Telefon, kaldesystemer, samtaleanlæg, alarmer etc.
  6. Forsyningssystemer: Forsyning med koldt vand, elforsyning, luftrensning i renrum, ventilationsanlæg, aircondition, begrænsning af solindfald o.l.
Organisatoriske forhold Vigtige aktiver:
  1. Udøvelse af beslutningskompetence: Sikring af hovedkontor, kommandocentral etc.
  2. Driftsstyring: Styring af personaleansættelse, oplæring, uddannelse, træning, bevidstgørelse etc., it-ledelse, indkøb, forretningsførelse, serviceledelse, brandberedskab og -materiel, auditgennemførelse etc.
  3. Underleverandører: Kontrakt med driftsselskab, it-supporter, outsourcing aftaler, kontrakter med konsulentfirmaer m.fl.

Et eksempel på en konkret fortegnelse over aktiver for et tænkt firma er under udarbejdelse, og vil blive lagt ind i 27001universitetet.dk. Vi bestræber os på, at der kommer nye eksempler hver måned.