Asset-Management-Richtlinie – KMU

Die Asset-Management-Richtlinie P12S wurde speziell für kleine und mittlere Unternehmen (KMU) entwickelt und berücksichtigt die besonderen Herausforderungen, denen diese Organisationen bei der Verwaltung von Informations-Assets mit begrenzten technischen und personellen Ressourcen gegenüberstehen. In Anlehnung an ISO/IEC 27001:2022 und andere internationale Normen legt diese Richtlinie ein klares und praxisnahes Rahmenwerk für die Identifizierung, Nachverfolgung, den Schutz und die Außerbetriebnahme sowohl physischer als auch digitaler Unternehmens-Assets über ihren gesamten Lebenszyklus fest. Die Richtlinie gilt unternehmensweit, einschließlich für Hardware (Laptops, Telefone, USBs), Software (Anwendungen, SaaS-Lösungen), Datenablagen, Zugriffsgeräte (Smartcards, Fobs) sowie kritische digitale Zugangsdaten, Dienste und Services, die den täglichen Betrieb unterstützen. Sie umfasst alle Interessenträger – Mitarbeiter, Auftragnehmer, Drittdienstleister –, die mit den Assets der Organisation umgehen. Die Richtlinie berücksichtigt alle modernen Arbeitsformen: Büro, Fernzugriff, Hybrid, mobil und Cloud. Dieser breite Geltungsbereich stellt sicher, dass Assets nicht nur nachverfolgt, sondern auch in den unterschiedlichen Umgebungen berücksichtigt werden, in denen Geschäftstätigkeit stattfindet. Ein Kernziel ist der Aufbau und die Pflege eines fortlaufend aktualisierten, präzisen Inventars dieser Assets. Jedes Asset muss einen klar zugewiesenen Asset-Eigentümer haben, der für Verwahrung und sicheren Umgang verantwortlich ist. Die Asset-Klassifizierung wird hervorgehoben: Geräte, die Kunden- oder sensible Geschäftsdaten speichern, erhalten zusätzliche Sicherheitskontrollen und Nachverfolgung. Wichtig für KMU ist, dass alle Verfahren auf handhabbare, rollenbasierte Verantwortlichkeiten setzen. Der General Manager (GM) trägt die Gesamtverantwortung. Ein IT Lead (oder ein anderer benannter Verwahrer) ist für die tägliche Pflege der Aufzeichnungen zuständig, während Linienvorgesetzte und Mitarbeiter die Zuweisung, sichere Aufbewahrung und Asset-Wiederherstellung unterstützen. Diese Rollenvereinfachung stellt Wirksamkeit sicher, auch wenn Organisationen keine dedizierten Sicherheits- oder IT-Manager haben. Die Richtlinie beschreibt detailliert Anforderungen an Ausgabe, Rückgabe, Wartung, Kennzeichnung und sichere Entsorgung von Assets. Cloud-gehostete Assets und virtuelle Assets sind vollständig einbezogen, ebenso BYOD (Bring-Your-Own-Device (BYOD)) unter technischer Genehmigung. Ausnahmen (z. B. informelles Teilen von Geräten) werden ebenfalls behandelt und erfordern die Genehmigung des GM sowie temporäre kompensierende Kontrollen für jede Abweichung. Governance-Prozesse sind praxisorientiert: Strukturierte Inventare müssen Felder für Asset-ID, Typ, Status, Eigentümerschaft und mehr enthalten. Der Zugriff auf das Inventar selbst ist streng durch Zugangskontrolle geregelt und unterliegt regelmäßigen Audits – physisch und digital. Spot-Checks erfolgen mindestens alle sechs Monate, und die Richtlinie wird jährlich überprüft oder bei Einführung neuer Technologien, neuer regulatorischer Anforderungen oder nach einem Informationssicherheitsvorfall oder Auditfeststellungen. Nichteinhaltung kann zu Disziplinarmaßnahmen führen und unterstreicht die Bedeutung einer sicheren und verantwortungsvollen Verwaltung der Assets der Organisation. Dies ist eine ClarySec-KMU-Richtlinie, die ISO/IEC 27001:2022-Compliance erfüllt, jedoch speziell für Organisationen ohne hohe IT- oder Sicherheitskapazitäten angepasst ist. Verantwortungswege sind vereinfacht, gewährleisten aber weiterhin vollständige Nachverfolgbarkeit, Auditierbarkeit und regulatorische Ausrichtung unter Normen wie GDPR, DORA und NIS2.