Politik for aktivstyring

Politik for aktivstyring (P12) fastlægger organisationens krav til at identificere, klassificere, administrere og sikre alle informationsaktiver gennem hele deres livscyklus. Dokumentet har til formål at levere virksomhedsdækkende tilsyn og styring og understøtter hardware, software, data, cloud, mobile, fjern- og tredjepartsstyrede miljøer. Kerneintentionen er at sikre, at organisationen opnår fuld synlighed på tværs af sin aktivportefølje, hvilket muliggør effektive sikkerhedskontroller, tildeling af ejerskab, overholdelse af lovgivningen og ansvarlige udfasningsprocedurer. Aktiver omfattet af denne politik inkluderer et bredt udvalg: bærbare computere, stationære computere, mobile enheder, flytbare lagringsmedier, printere, netværksudstyr, software, databaser, backupdata, krypteringsnøgler, strukturerede og ustrukturerede data, rapporter, e-mail, immaterielle rettigheder, cloud-ressourcer, virtuelle maskiner, brugerkonti, konfigurationsbaselines, licenser og mere. Alle medarbejdere, kontrahenter, tredjepartstjenesteudbydere og tredjepartsleverandører, der bruger, administrerer eller tilgår informationsaktiver, som ejes eller kontrolleres af organisationen, er omfattet af politikken. Denne dækning omfatter også aktiver i fjern- og hybridmiljøer eller udliciterede tjenester og sikrer, at aktivsikkerhed og sporbarhed ikke kompromitteres af placering. Et grundlæggende mål er vedligeholdelse af et centraliseret, korrekt og opdateret aktivregister/aktivfortegnelse, administreret af IT Asset Manager og, hvor muligt, integreret med andre konfigurationsstyringssystemer. Hvert aktiv, der registreres i denne fortegnelse, skal indeholde obligatoriske metadata såsom dets unikke identifikator, ejerskab, dataklassificering, placering og livscyklusstatus. Aktivejere udpeges for hvert aktiv og har ansvar for at sikre korrekt klassificering af aktiver, beskyttelse og periodisk validering af registreringer. Klassificeringsprocessen understøtter hele politikken ved at sikre, at aktiver mærkes og administreres i henhold til følsomhed, kritikalitet og relevante reguleringsmæssige forpligtelser. Mærkningsprocedurer håndhæves for både digitale og fysiske aktiver, og håndteringskrav, f.eks. kryptering, aflåst opbevaring eller begrænset adgang, skal svare til klassificeringsniveauer. Politikken beskriver sikkerhedskontroller i alle faser af aktivets livscyklus: onboarding, omfordeling, håndtering, brug, sikker returnering under fratrædelsesprocessen og sikker bortskaffelse. Den fastsætter, at brug af aktiver skal overholde acceptabel brug af virksomhedens aktiver, og den forbyder specifikt at omformålsbestemme aktiver til anvendelse til personlig vinding, installere uautoriseret software eller omgå kontroller som antivirus og kryptering. Regler for brug af fjernaktiver kræver anvendelse af virtuelt privat netværk (VPN) eller sikker transporttunnel og kan omfatte mobil enheds- og endepunktshåndteringsløsninger. Sikker udfasning og destruktionspraksis behandles tydeligt og kræver kryptografiske wipes eller fysisk destruktion med bekræftelse og registrering. For at understøtte løbende overholdelse og risikostyring integrerer politik for aktivstyring med risikoregisteret og understøtter risikovurdering, undtagelsesstyring og revisionsprocesser. Overtrædelser, såsom uregistrerede eller uautoriserede aktiver, forkert bortskaffelse eller deaktivering af kontroller, er grundlag for eskalering og kan medføre disciplinære foranstaltninger, leverandørsanktioner eller endda retssager. Periodiske politikgennemgange involverer flere interessentgrupper og udløses af regulatoriske ændringer, revisionskonstateringer, informationssikkerhedshændelser eller væsentlige driftsmæssige ændringer. Dokumentet afsluttes med henvisning til relaterede politikker, adgangskontrol, dataklassificering, dataopbevaringspolitik, lognings- og overvågningspolitik og politik for hændelseshåndtering (P30), hvilket sikrer, at aktivstyring udgør en central søjle i organisationens bredere styringsstruktur. Denne politik er ikke specifikt mærket som en SMV-politik. Den er designet til organisationer med udpegede teams såsom IT, informationssikkerhedschef (CISO), Asset Manager og forskellige compliance- og driftsinteressenter og opfylder de omfattende krav i ISO/IEC 27001:2022 og understøttende rammeværk.