Het verschil tussen een asset en een configuratie-item
Assets kunnen meer zijn dan configuratie-items omdat ook niet-tastbare, niet-configureerbare bedrijfsmiddelen meegerekend worden zoals informatie en kennis. Elk configuratie-item is een asset, maar niet alle assets zijn configuratie-items; de verzameling configuratie-items van een organisatie is dus een subset van haar verzameling assets. In het kader van het VO ICR is vooral de opvolging van de configuratie-items belangrijk omdat deze gebruikt worden in andere beheersprocessen zoals wijzigingsbeheer en incident beheer (voor meer informatie zie documenten: ‘Vo Informatieclassificatie - Minimale maatregelen – wijzigingsbeheer’ & ‘Vo Informatieclassificatie - Minimale maatregelen - incident beheer’).
Een andere manier om het onderscheid tussen een configuratie-item en een asset te maken is het volgende: enkel een configuratie-item wordt beheerd door de processen wijzigings- of release en deployment beheer, een asset dat geen configuratie-item is, valt dus buiten scope van het proces wijzigingsbeheer en/of release en deployment beheer.
In het kader van de minimale maatregelen worden enkel configuratie-items in de scope opgenomen. Dit neemt niet weg dat ook assets beheerd moeten worden.
Het proces asset en configuratie beheer
Het proces asset- en configuratiebeheer draagt er zorg voor dat de gegevens over de ICT-infrastructuur, bedrijfsmiddelen en -diensten betrouwbaar worden vastgelegd en dat actuele en relevante gegevens aan andere ICT-beheerprocessen worden geleverd over de bedrijfsmiddelen, hun onderlinge samenhang (relaties) en de relaties met de ICT-diensten. Met een goed asset- en configuratie beheerproces kunnen de overige processen effectiever en efficiënter werken en is duidelijk welke bedrijfsmiddelen deel uitmaakt van de ICT-dienstverlening. Asset- en configuratiebeheer is nodig om een volledig en actueel overzicht te hebben en zo de overige ICT-beheerprocessen van de juiste informatie te voorzien. Configuratie-items, hun kenmerken en onderlinge samenhang dienen juist, volledig en tijdig te worden geïdentificeerd en vastgelegd; is dit niet het geval, dan bestaat het risico dat de hiervan afhankelijke ICT-beheerprocessen niet van juiste en volledige informatie worden voorzien over de configuratie-items. Hierdoor kunnen zowel de beschikbaarheid, integriteit, vertrouwelijkheid van informatie als controleerbaarheid van de ICT-diensten worden aangetast. Periodiek dienen de configuratie-items vergeleken te worden met de werkelijkheid en eventuele verschillen dienen bijgewerkt te worden in de Configuration Management System (CMS).
Asset- en configuratiebeheer heeft als hoofddoel om van alle configuratie-items in de organisatie een overzicht te hebben. Dit overzicht is cruciaal voor andere processen zoals incidentbeheer, patch management, wijzigingsbeheer, enz.
De andere doelstellingen van asset- en configuratiebeheer voor informatiebeveiliging omvatten:
- Het onder controle brengen van een steeds veranderende ICT-infrastructuur, bedrijfsmiddelen en -diensten;
- Voorkomen dat er verschillende (en dus verouderde) versies van hetzelfde configuratie-item in productie komen of zijn door juiste, volledige en tijdige informatieverstrekking aan de andere beheersprocessen;
- Vereenvoudigen van de opvolging van kwetsbaarheden door documenteren van de juiste versies in de CMS;
- Opsporen van niet-geautoriseerde apparatuur in de organisatie door een goede inventaris van toegestane apparatuur.
- Opsporen van niet-geautoriseerde wijzigingen aan de configuratie door de vergelijking met de informatie in de CMS.
Noot: de definitie en opzetten van een CMS valt buiten scope van dit document.