Asset-Management-Richtlinie

Die Asset-Management-Richtlinie (P12) legt die organisatorischen Anforderungen für die Identifizierung, Klassifizierung, Verwaltung und Absicherung aller Informations-Assets über ihren gesamten Lebenszyklus fest. Das Dokument zielt auf unternehmensweite Aufsicht und Governance ab und unterstützt Hardware-, Software-, Daten-, Cloud-, mobile, Remote- sowie von Drittparteien verwaltete Umgebungen. Kernziel ist es, vollständige Transparenz über das Asset-Portfolio zu erreichen, um wirksame Sicherheitskontrollen, die Zuweisung von Verantwortlichkeiten, regulatorische Compliance und verantwortungsvolle Außerbetriebnahmeanforderungen zu ermöglichen. Zu den durch diese Richtlinie geregelten Assets gehört ein breites Spektrum: Laptops, Desktops, mobile Geräte, Wechseldatenträger, Drucker, Netzwerkausrüstung, Software, Datenbanken, Backup-Daten, Verschlüsselungsschlüssel, strukturierte Daten und unstrukturierte Daten, Berichte, E-Mail, geistiges Eigentum, Cloud-Ressourcen, virtuelle Maschinen, Benutzerkonten, Konfigurations-Baselines, Lizenzen und mehr. Die Richtlinie gilt für sämtliches Personal, Auftragnehmer, Drittdienstleister und Drittanbieter, die Informations-Assets nutzen, verwalten oder darauf zugreifen, die der Organisation gehören oder von ihr kontrolliert werden. Dies umfasst auch Assets in Remote-, Hybrid- oder ausgelagerten Umgebungen und stellt sicher, dass Asset-Sicherheit und Nachverfolgbarkeit nicht durch den Standort beeinträchtigt werden. Ein grundlegendes Ziel ist die Pflege eines zentralisierten, korrekten und aktuellen Asset-Registers, das vom IT Asset Manager verwaltet und, wo möglich, mit anderen Konfigurationsmanagement-Systemen integriert wird. Jedes in dieses Inventar aufgenommene Asset muss verpflichtende Metadaten enthalten, darunter eindeutige Kennung, Eigentümerschaft, Klassifizierung, Standort und Lebenszyklusstatus. Für jedes Asset werden Asset-Eigentümer benannt, die dafür verantwortlich sind, die angemessene Asset-Klassifizierung, den Schutz und die regelmäßige Validierung der Aufzeichnungen sicherzustellen. Der Klassifizierungsprozess bildet die Grundlage der gesamten Richtlinie und stellt sicher, dass Assets entsprechend Sensitivität, Kritikalität und relevanten regulatorischen Anforderungen gekennzeichnet und verwaltet werden. Kennzeichnungsverfahren gelten sowohl für digitale Vermögenswerte als auch für physische Vermögenswerte; Handhabungsanforderungen (z. B. Verschlüsselung, verschlossene Aufbewahrung oder eingeschränkter Zugriff) müssen den Informationsklassifizierungsstufen entsprechen. Die Richtlinie beschreibt Sicherheitskontrollen in jeder Phase des Asset-Lebenszyklus: Onboarding, Umverteilung, Handhabung, Nutzung, sichere Rückgabe im Rahmen des Offboardings sowie sichere Entsorgung. Sie legt fest, dass die Nutzung von Assets den Standards zur zulässigen Nutzung von Unternehmenswerten entsprechen muss, und untersagt ausdrücklich die Zweckentfremdung von Assets zur privaten Nutzung, die Installation nicht autorisierter Software oder das Umgehen von Kontrollen wie Antivirensoftware und Verschlüsselung. Regeln für die Remote-Nutzung von Assets verlangen den Einsatz eines virtuellen privaten Netzwerks (VPN) oder eines sicheren Übertragungstunnels und können Mobile-Device- und Endpoint-Management-Lösungen erfordern. Sichere Außerbetriebnahme- und Zerstörungspraktiken werden klar geregelt und verlangen kryptografische Löschung oder physische Zerstörung mit Bestätigung und Dokumentation. Zur Unterstützung fortlaufender Compliance und des Risikomanagements ist die Asset-Management-Richtlinie mit dem Risikoregister der Organisation verknüpft und unterstützt Risikobeurteilung, Ausnahmemanagement und Auditprozesse. Verstöße, wie nicht registrierte oder nicht autorisierte Assets, unsachgemäße Entsorgung oder das Deaktivieren von Kontrollen, sind Gründe für Eskalation und können zu Disziplinarmaßnahmen, Lieferantenstrafen oder sogar Gerichtsverfahren führen. Regelmäßige Richtlinienüberprüfungen beziehen mehrere Interessenträgergruppen ein und werden durch regulatorische Änderungen, Auditfeststellungen, Sicherheitsvorfälle oder wesentliche operative Änderungen ausgelöst. Das Dokument schließt mit Verweisen auf verwandte Richtlinien (u. a. Zugangskontrolle, Datenklassifizierung, Aufbewahrung und Entsorgung, Protokollierung und Überwachung, Incident-Response) und stellt sicher, dass Asset-Management eine zentrale Säule der übergreifenden Governance-Struktur der Organisation bildet. Diese Richtlinie ist nicht ausdrücklich als KMU-Richtlinie gekennzeichnet. Sie ist für Organisationen mit benannten Teams wie IT, Chief Information Security Officer (CISO), Asset Manager sowie verschiedenen Compliance- und operativen Interessenträgern konzipiert, erfüllt die umfassenden Anforderungen der ISO/IEC 27001:2022 und unterstützt gängige Frameworks.