Wertemanagement nach ISO 27001 als Sicherheitsfaktor

Wertemanagement (im Kontext der Informationssicherheit meist Asset Management) bezeichnet die systematische Erfassung, Klassifizierung, Verwaltung und den Schutz aller Werte (Assets) einer Organisation.

Zu diesen Werten gehören beispielsweise:

  • Informationen und Daten
  • IT-Systeme und Anwendungen
  • Server, Endgeräte und Netzwerke
  • Geschäftsprozesse
  • Dokumentationen
  • Mitarbeiterwissen und geistiges Eigentum

Das Ziel des Wertemanagements ist es, zu wissen:

  1. Welche Werte vorhanden sind.
  2. Welchen Schutzbedarf sie haben.
  3. Wer für sie verantwortlich ist.
  4. Wie sie angemessen geschützt werden müssen.

Wertemanagement nach ISO 27001

Die internationale Norm ISO/IEC 27001 fordert, dass Organisationen ihre Informationswerte identifizieren und verwalten. In den aktuellen Anforderungen der Norm ist das Asset Management in verschiedene Kontrollen integriert, beispielsweise Inventarisierung von Informationen und anderen zugehörigen Werten, Verantwortlichkeiten sowie Regeln für den Umgang mit Informationen.

Typische Maßnahmen sind:

  • Führen eines Asset-Verzeichnisses
  • Benennung von Asset-Eigentümern (Ownern)
  • Klassifizierung von Informationen (z. B. öffentlich, intern, vertraulich)
  • Regelungen zur Nutzung und Aufbewahrung
  • Sichere Entsorgung oder Löschung von Informationen

Warum ist Wertemanagement ein Sicherheitsfaktor?

Wertemanagement ist ein wesentlicher Sicherheitsfaktor, weil man nur schützen kann, was man kennt.

Ohne Wertemanagement:

  • bleiben wichtige Daten oder Systeme unentdeckt,
  • werden Schutzmaßnahmen falsch priorisiert,
  • entstehen Sicherheitslücken,
  • können gesetzliche oder vertragliche Anforderungen verletzt werden.

Mit wirksamem Wertemanagement:

  • werden kritische Werte identifiziert,
  • Risiken gezielt bewertet,
  • Sicherheitsmaßnahmen bedarfsgerecht umgesetzt,
  • Ressourcen wirtschaftlich eingesetzt,
  • Vertraulichkeit, Integrität und Verfügbarkeit besser gewährleistet.

Wertemanagement schafft die notwendige Transparenz über die schützenswerten Werte einer Organisation und bildet damit die Grundlage für ein wirksames Informationssicherheitsmanagement. Doch die bloße Erfassung, Klassifizierung und Zuordnung von Assets reicht allein nicht aus. Ob Verantwortlichkeiten tatsächlich wahrgenommen, Risiken offen kommuniziert und Sicherheitsmaßnahmen konsequent umgesetzt werden, hängt maßgeblich von der Unternehmenskultur ab. Damit wird deutlich: Informationssicherheit ist nicht nur eine Frage von Prozessen und Technik, sondern auch von den Werten, die in einer Organisation gelebt werden.

Gelebte Unternehmenskultur

Technologie allein schafft keine Sicherheit. Ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 basiert zwar auf Prozessen, Rollen und Risikobewertungen, seine Wirksamkeit hängt jedoch entscheidend von der gelebten Unternehmenskultur ab.

Verantwortung – Sicherheit aktiv leben

ISO 27001 fordert klare Verantwortlichkeiten für Informationen und technische Assets. Entscheidend ist jedoch, dass diese Verantwortung nicht nur dokumentiert, sondern auch gelebt wird. Mitarbeitende und Asset-Verantwortliche, die Risiken aktiv erkennen und adressieren, tragen wesentlich zur Stabilität und Sicherheit der Organisation bei.

Transparenz – Grundlage für wirksame Risikosteuerung

Informationssicherheit lebt von Offenheit und Nachvollziehbarkeit. Eine transparente Unternehmenskultur fördert die Meldung von Schwachstellen, Sicherheitsvorfällen und Verbesserungspotenzialen. Dadurch können Risiken realistischer bewertet und Maßnahmen dort umgesetzt werden, wo sie den größten Nutzen bringen.

Fehlertoleranz – Lernen statt Verbergen

Fehler lassen sich weder bei Menschen noch bei technischen Systemen vollständig vermeiden. Entscheidend ist der Umgang mit ihnen. Organisationen mit einer positiven Fehlerkultur analysieren Vorfälle systematisch, lernen daraus und verbessern kontinuierlich ihre Prozesse und Sicherheitsmaßnahmen. Dadurch steigt die Resilienz des gesamten Systems.

Werte zeigen sich im Umgang mit Assets

Ob Server, Anwendungen, Cloud-Dienste oder Dokumentationen – der Umgang mit Assets macht die Sicherheitskultur sichtbar. Werden Systeme gepflegt, dokumentiert und regelmäßig überprüft? Werden Risiken offen angesprochen und Verbesserungen umgesetzt? Solche Entscheidungen entstehen nicht allein aus Richtlinien, sondern aus gelebten Werten.

Kultur als Bestandteil wirksamer Informationssicherheit

Unternehmenswerte beeinflussen unmittelbar die Risikowahrnehmung, die Auswahl von Schutzmaßnahmen und die Wirksamkeit von Audits. Organisationen, die Verantwortung, Transparenz und Lernbereitschaft fördern, erfüllen die Anforderungen der ISO 27001 nicht nur formal, sondern stärken die Informationssicherheit nachhaltig.

Fazit

Wertemanagement sorgt dafür, dass schützenswerte Informationen und Ressourcen bekannt sind. Eine werteorientierte Unternehmenskultur sorgt dafür, dass diese Werte tatsächlich geschützt werden. Erst das Zusammenspiel von Assets, Prozessen, Technik und gelebten Werten macht Informationssicherheit langfristig wirksam und belastbar.

Was Sie auch interessieren könnte:

Seminar:

„Informationssicherheit für Vorstände und Geschäftsführer“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “YouTube“ sowie natürlich auf unserer Website.

Hören Sie rein!

© ANMATHO AG