De ISO normen roepen in A.8 iets over bedrijfsmiddelen. Zo moet je in A.8.1.1 bedrijfsmiddelen inventariseren en roept A.8.1.2 dat bedrijfsmiddelen die in het inventaris worden bijgehouden een eigenaar moeten hebben, maar wat bedoelt ISO hier nu mee?
Wat is een bedrijfsmiddel
Een bedrijfsmiddel is alles wat waarde heeft voor een organisatie. Voor een restaurant is dit het kookeiland, bestek, de biertap en misschien zelfs de milkshakemachine. Hoe zit het nu precies bij ICT bedrijven, dit is wat minder concreet.
Verandering in de ISO27001:2017
Er is in de nieuwe ISO norm, die van 2017, een kleine tekstuele verandering geweest. Kun jij hem vinden?
De ISO 27001:2013 zegt:
Bedrijfsmiddelen die samenhangen met informatie en informatie verwerkende faciliteiten moeten worden geïdentificeerd, en van de bedrijfsmiddelen moet een inventaris worden opgesteld en onderhouden.
De ISO 27001:2017 zegt:
Informatie, andere bedrijfsmiddelen die samenhangen met informatie en informatie verwerkende faciliteiten moeten worden geïdentificeerd, en van de bedrijfsmiddelen moet een inventaris worden opgesteld en onderhouden.
Een heel klein verschil maar let op! Je moet dus ook van informatie een inventaris bijhouden!
Voorbeeldlijst bedrijfsmiddelen voor MSP’s
Zoals je misschien weet zijn we bij Dxfferent druk bezig met het maken van een ISO spel, we wilden ook ICT dienstverleners en alle partijen die in aanraking komen met ISO helpen. Zo wordt je in het spel uitgedaagd om bedrijfsmiddelen te koppelen aan relevante risico’s en beheersmaatregelen. Hierbij ter inspiratie een lijst van meer dan 50 bedrijfsmiddelen die, volgens ons, relevant zijn voor 95% van de Managed Service Providers.
Doe er je voordeel mee en kijk of deze bedrijfsmiddelen voor jou van toepassing zijn!
Als je al ISO 27001:2017, check of je van relevante informatie ook een inventaris bijhoudt!
| Autorisatie- en rechtenmatrix |
| Functieprofielen |
| Directiebeoordeling |
| Continuïteitsplan |
| Netwerkprinter |
| Technisch Beleid |
| Toegangsbeveilingsbeleid |
| Disciplinaire procedure / boetebeding |
| Telefoons |
| Servicecatalogue |
| Boekhouding |
| Offertes |
| Diploma’s en certificaten |
| Verklaring omtrent gedrag (VOG) |
| In- en Uitdiensttreding proces |
| Datalekprocedure |
| Incidentenregister |
| Risicoanalyse en behandelplan |
| Leverancierslijst en leveranciersbeoordeling |
| Informatiebeveiligingsbeleid |
| Projectmanagement Software |
| Ticket Systeem |
| Klantgegevens |
| Monitoring- en beheersoftware |
| Noodstroomvoorziening |
| Netwerk Segmentering |
| Encryptie. Bijvoorbeeld Bitlocker, SSL certificaat, HTTPS, VPN en versleutelde backup |
| Backups |
| Softwarelicenties |
| Beveilingscamera |
| Airco |
| Serverruimte |
| Wireless Accesspoint |
| Netwerkswitch |
| Firewall |
| Magazijnvoorraad |
| Opbergkast met slot |
| Leverancierscontract |
| Verwerkingsregister |
| Privacystatement |
| Bedrijfsauto |
| Geheimhoudingsovereenkomst |
| Verwerkersovereenkomst |
| Personeelshandboek |
| Sleutels |
| Alarmcodes |
| Emails en andere communicatiemiddelen |
| Bestandsopslag |
| Service Level Agreement |
| Inloggegevens |
| Laptop |
| Documenten met bedrijfsinformatie |
| Servers |
| Knowledgebase |
| Clear desk/screen beleid |
| Brandblusser |
| Calamiteitenplan |