Politika správy aktiv – SME

Politika správy aktiv P12S je navržena specificky pro malé a střední podniky (SME) a zohledňuje jedinečné výzvy, kterým tyto organizace čelí při správě informačních aktiv s omezenými technickými a personálními zdroji. V souladu s ISO/IEC 27001:2022 a dalšími mezinárodními normami stanovuje tato politika jasný a praktický rámec pro identifikaci, sledování, ochranu a vyřazování fyzických i digitálních obchodních aktiv v průběhu jejich životního cyklu. Politika se vztahuje na celou organizaci, včetně hardwaru (notebooky, telefony, USB), softwaru (aplikace, řešení SaaS), úložišť dat, přístupových zařízení (smart karty, přívěsky) a kritických digitálních přihlašovacích údajů a služeb, které podporují každodenní provoz. Zahrnuje všechny zainteresované strany – zaměstnance, dodavatele a třetí strany – které nakládají s aktivy organizace. Politika zohledňuje všechny formy moderní práce: kancelářskou, vzdálenou, hybridní, mobilní a cloudovou. Tento široký rozsah zajišťuje, že aktiva jsou nejen sledována, ale také zohledněna v různých prostředích, kde probíhá obchodní činnost. Klíčovým cílem je zavést a udržovat průběžně aktualizovaný a přesný inventář aktiv. Každé aktivum musí mít jasně přiřazeného vlastníka aktiva, který odpovídá za jeho správu a bezpečné nakládání. Důraz je kladen na klasifikaci aktiv: zařízení ukládající zákaznická nebo citlivá obchodní data podléhají dodatečným bezpečnostním opatřením a sledování. Pro SME je důležité, že všechny postupy používají zvládnutelné odpovědnosti na základě rolí. Generální ředitel (GM) nese celkovou odpovědnost. Vedoucí IT (nebo jiný určený správce) zajišťuje každodenní vedení záznamů, zatímco přímí nadřízení a zaměstnanci podporují přiřazování aktiv, jejich zabezpečení a procesy obnovy aktiv. Toto zjednodušení rolí zajišťuje účinnost i v organizacích bez vyhrazených manažerů bezpečnosti nebo IT. Politika podrobně stanovuje požadavky na vydávání aktiv, vracení, údržbu, označování a bezpečnou likvidaci. Cloudová a virtuální aktiva jsou plně zahrnuta, stejně jako situace využívání soukromých zařízení (BYOD), pokud jsou technicky schválena. Řeší se také výjimky (např. neformální sdílení vybavení), které vyžadují schválení GM a dočasná kompenzační opatření pro jakékoli odchylky. Procesy správy jsou praktické: strukturované inventáře musí obsahovat pole pro ID aktiva, typ, stav, vlastnictví a další. Přístup k samotnému inventáři je přísně řízen prostřednictvím řízení přístupu a podléhá pravidelným auditům, fyzickým i digitálním. Namátkové kontroly probíhají alespoň každých šest měsíců a samotná politika je přezkoumávána každoročně nebo při zavedení nových technologií, regulačních požadavků nebo po incidentu či zjištění auditu. Nesoulad může vést k disciplinárním opatřením, což zdůrazňuje význam bezpečné a odpovědné správy aktiv organizace. Jedná se o politiku ClarySec pro SME, která splňuje požadavky ISO/IEC 27001:2022, ale je specificky přizpůsobena organizacím bez vysokého počtu pracovníků IT nebo bezpečnosti. Linie odpovědnosti jsou zjednodušené, ale stále zachovávají plnou dohledatelnost, auditovatelnost a regulační sladění podle rámců, jako jsou GDPR, DORA a NIS2.