Politika správy aktiv

Politika správy aktiv (P12) stanovuje organizační požadavky na identifikaci, klasifikaci, správu a zabezpečení všech informačních aktiv v průběhu jejich životního cyklu. Dokument má zajistit celopodnikový dohled, správu a řízení a podporuje hardware, software, data, cloud, mobilní, vzdálená a prostředí spravovaná třetími stranami. Jeho hlavním záměrem je zajistit, aby organizace dosáhla plné viditelnosti napříč portfoliem aktiv, což následně umožňuje účinná bezpečnostní opatření, přiřazení vlastnictví, soulad s právními předpisy a odpovědné postupy vyřazení z provozu. Aktiva řízená touto politikou zahrnují širokou škálu: notebooky, stolní počítače, mobilní zařízení, vyměnitelná úložiště, tiskárny, síťová zařízení, software, databáze, záložní data, šifrovací klíče, strukturovaná data a nestrukturovaná data, reporty, e-mail, duševní vlastnictví, cloudové zdroje, virtuální stroje, uživatelské účty, fingerprinting výchozího stavu, licence a další. Politika se vztahuje na všechny zaměstnance, dodavatele, poskytovatele služeb třetích stran a dodavatele, kteří používají, spravují nebo mají přístup k informačním aktivům vlastněným nebo řízeným organizací. Toto pokrytí se vztahuje i na aktiva ve vzdálených, hybridních nebo outsourcovaných prostředích a zajišťuje, že zabezpečení a dohledatelnost aktiv nejsou ohroženy umístěním. Základním cílem je udržování centralizovaného, přesného a aktuálního registru aktiv, spravovaného IT Asset Managerem a, kde je to možné, integrovaného s řízením konfigurace. Každé aktivum zapsané do tohoto inventáře musí obsahovat povinná metadata, jako je jedinečný identifikátor, vlastnictví, klasifikace aktiv, umístění a stav životního cyklu. Pro každé aktivum jsou určeni vlastníci aktiva, kteří odpovídají za jeho vhodnou klasifikaci, ochranu a pravidelné ověření záznamů. Proces klasifikace je základem celé politiky a zajišťuje, že aktiva jsou označena a spravována podle citlivosti, kritičnosti a relevantních regulačních požadavků. Postupy označování jsou vynucovány pro digitální i fyzická aktiva a požadavky na nakládání (např. šifrování, uzamčené uložení nebo řízení přístupu) musí odpovídat úrovním klasifikace. Politika popisuje bezpečnostní opatření v každé fázi životního cyklu aktiva: onboarding, přeřazení, nakládání, používání, bezpečné vrácení během výstupního procesu a bezpečnou likvidaci. Stanovuje, že používání aktiv musí odpovídat přípustnému užívání firemního majetku, a výslovně zakazuje přeúčelování aktiv pro osobní použití, instalaci nepovoleného softwaru nebo obcházení opatření, jako je antivirový program a šifrování. Pravidla pro používání vzdálených aktiv vyžadují využití virtuální soukromé sítě (VPN) nebo zabezpečeného přenosového tunelu a mohou zahrnovat řešení pro správu mobilních zařízení a ochranu koncových bodů. Bezpečné vyřazení z provozu a zničení jsou jasně upraveny a vyžadují kryptografické vymazání nebo fyzické zničení s potvrzením a vedením záznamů. Pro podporu průběžného souladu a řízení rizik se politika správy aktiv integruje s registrem rizik organizace a podporuje posouzení rizik, správu výjimek a auditní procesy. Porušení, jako jsou neregistrovaná nebo neoprávněná zařízení, nesprávná likvidace nebo deaktivace opatření, jsou důvodem pro eskalaci a mohou vést k disciplinárním opatřením, sankcím pro dodavatele nebo i soudnímu řízení. Pravidelné přezkumy politiky zahrnují více skupin zainteresovaných stran a jsou spouštěny regulačními změnami, zjištěními auditu, bezpečnostními incidenty nebo významnými provozními změnami. Dokument končí odkazem na související politiky: Politika řízení přístupu, Politika klasifikace a nakládání s informacemi, Politika uchovávání údajů, Politika protokolování a monitorování a Politika reakce na incidenty (P30), čímž zajišťuje, že správa aktiv tvoří centrální pilíř širší struktury správy a řízení organizace. Tato politika není výslovně označena jako politika pro malé a střední podniky. Je navržena pro organizace s určenými týmy, jako jsou IT, ředitel informační bezpečnosti (CISO), Asset Manager a různí zainteresovaní pracovníci v oblasti souladu a provozu, a plní komplexní požadavky ISO/IEC 27001:2022 a podpůrných rámců.