Document toolboxDocument toolbox

4.1.1. Inleiding Asset-en configuratiebeheer

Het verschil tussen een asset en een configuratie-item

Assets kunnen meer zijn dan configuratie-items omdat ook niet-tastbare, niet-configureerbare bedrijfsmiddelen meegerekend worden zoals informatie en kennis. Elk configuratie-item is een asset, maar niet alle assets zijn configuratie-items; de verzameling configuratie-items van een organisatie is dus een subset van haar verzameling assets. In het kader van het VO ICR is vooral de opvolging van de configuratie-items belangrijk omdat deze gebruikt worden in andere beheersprocessen zoals wijzigingsbeheer en incident beheer (voor meer informatie zie 4.4. Minimale maatregelen - Beheer van wijzigingen & 4.5. Minimale maatregelen - Incidentbeheer).

Een andere manier om het onderscheid tussen een configuratie-item en een asset te maken is het volgende: enkel een configuratie-item wordt beheerd door de processen wijzigings- of release en deployment beheer, een asset dat geen configuratie-item is, valt dus buiten scope van het proces wijzigingsbeheer en/of release en deployment beheer.  

In het kader van de minimale maatregelen worden enkel configuratie-items in de scope opgenomen. Dit neemt niet weg dat ook assets beheerd moeten worden. 

Het proces asset en configuratie beheer

Het proces asset en configuratie beheer draagt er zorg voor dat de gegevens over de ICT-infrastructuur, bedrijfsmiddelen en -diensten betrouwbaar worden vastgelegd en dat actuele en relevante gegevens aan andere ICT-beheerprocessen worden geleverd over de bedrijfsmiddelen, hun onderlinge samenhang (relaties) en de relaties met de ICT-diensten. Met een goed asset en configuratie beheerproces kunnen de overige processen effectiever en efficiënter werken en is duidelijk welke bedrijfsmiddelen deel uitmaakt van de ICT-dienstverlening. 

Asset en configuratie beheer is nodig om een volledig en actueel overzicht te hebben en zo de overige ICT-beheerprocessen van de juiste informatie te voorzien. Configuratie-items, hun kenmerken en onderlinge samenhang dienen juist, volledig en tijdig te worden geïdentificeerd en vastgelegd; is dit niet het geval, dan bestaat het risico dat de hiervan afhankelijke ICT-beheerprocessen niet van juiste en volledige informatie worden voorzien over de configuratie-items. Hierdoor kunnen zowel de beschikbaarheid, integriteit, vertrouwelijkheid van informatie als controleerbaarheid van de ICT-diensten worden aangetast. Periodiek dienen de configuratie-items vergeleken te worden met de werkelijkheid en eventuele verschillen dienen bijgewerkt te worden in de Configuration Management System (CMS). 

Asset en configuratie beheer heeft als hoofddoel om van alle configuratie-items in de organisatie een overzicht te hebben. Dit overzicht is cruciaal voor andere processen zoals incidentbeheer, patchmanagement, wijzigingsbeheer, enz.  

De andere doelstellingen van asset en configuratie beheer voor informatiebeveiliging omvatten: 

  • Het onder controle brengen van een steeds veranderende ICT-infrastructuur, bedrijfsmiddelen en -diensten; 

  • Voorkomen dat er verschillende (en dus verouderde) versies van hetzelfde configuratie-item in productie komen of zijn door juiste, volledige en tijdige informatieverstrekking aan de andere beheersprocessen; 

  • Vereenvoudigen van de opvolging van kwetsbaarheden door documenteren van de juiste versies in de CMS; 

  • Opsporen van niet-geautoriseerde apparatuur in de organisatie door een goede inventaris van toegestane apparatuur. 

  • Opsporen van niet-geautoriseerde wijzigingen aan de configuratie door de vergelijking met de informatie in de CMS. 

Noot: de definitie en opzetten van een CMS valt buiten scope van dit document.