policy Enterprise

Varahalduspoliitika

Põhjalik varahalduspoliitika kõigi organisatsiooni varade turvamiseks, jälgimiseks ja kontrollimiseks, kooskõlas juhtivate standardite ja regulatsioonidega.

Ülevaade

Varahalduspoliitika (P12) kehtestab nõuded organisatsiooni varade tuvastamiseks, klassifitseerimiseks, varade registrisse kandmiseks ja kaitsmiseks kogu nende elutsükli vältel, tagades vastavuse, omandi ja turvalisuse alates sisseelamisest kuni kõrvaldamiseni.

Tsentraliseeritud varade register

Nõuab kõigi füüsiliste, digitaalsete ja pilves majutatud varade täielikku, auditeeritavat varade registrit.

Omand ja klassifitseerimine

Määratleb varaomanikud ja varade klassifitseerimise kaitse ning õigusnormidele vastavuse tagamiseks.

Turvalised elutsükli kontrollimeetmed

Kirjeldab varade käitlemist alates hankimisest kuni turvalise kõrvaldamiseni, toetades vastavust ja riskijuhtimist.

Jõustamine ja auditeeritavus

Võimaldab poliitika jõustamist, sise-/välisauditeid ning audititõenduse säilitamist regulatiivsete vajaduste jaoks.

Loe täielikku ülevaadet
Varahalduspoliitika (P12) kehtestab organisatsiooni nõuded kõigi teabevarade tuvastamiseks, klassifitseerimiseks, haldamiseks ja turvamiseks kogu nende elutsükli vältel. Dokumendi eesmärk on tagada ettevõtteülene järelevalve ja juhtimine, hõlmates riistvara, tarkvara, andmeid, pilv-, mobiil-, kaug- ja kolmanda osapoole hallatavaid keskkondi. Selle põhieesmärk on tagada organisatsioonile täielik nähtavus oma varaportfelli üle, mis omakorda võimaldab tõhusaid turvakontrolle, omandi määramist, õigusnormidele vastavust ning vastutustundlikke kasutusest kõrvaldamise protseduure. Selle poliitika alusel hallatavad varad hõlmavad laia valikut: sülearvutid, lauaarvutid, mobiilseadmed, eemaldatav salvestus, printerid, võrguseadmed, tarkvara, andmebaasid, varundusandmed, krüpteerimisvõtmed, struktureeritud andmed ja struktureerimata andmed, aruanded, e-post, intellektuaalomand, pilveressursid, virtuaalmasinad, kasutajakontod, kontrollimeetmete baastase, litsentsid ja muu. Poliitika kehtib kõigile töötajatele, töövõtjatele, kolmanda osapoole teenuseosutajatele ja tarnijatele, kes kasutavad, haldavad või kellel on juurdepääs organisatsiooni omandis või kontrolli all olevatele teabevaradele. See hõlmab ka varasid kaug-, hübriid- või sisseostetud keskkondades, tagades, et varade turvalisus ja jälgitavus ei sõltu asukohast. Põhieesmärk on tsentraliseeritud, täpse ja ajakohase varade registri säilitamine, mida haldab IT varahaldur ning mis on võimaluse korral integreeritud konfiguratsioonihalduse süsteemidega. Iga varade registrisse kantud vara peab sisaldama kohustuslikke metaandmeid, nagu unikaalne identifikaator, omand, varade klassifitseerimine, asukoht ja elutsükli staatus. Iga vara jaoks määratakse varaomanik, kelle ülesanne on tagada vara asjakohane klassifitseerimine, kaitse ja perioodiline kirjete valideerimine. Klassifitseerimisprotsess on kogu poliitika alus, tagades, et varad on märgistatud ja hallatud vastavalt tundlikkusele, kriitilisusele ja asjakohastele regulatiivsetele nõuetele. Märgistamisprotseduurid on jõustatud nii digitaalsete kui ka füüsiliste varade puhul ning käitlemisnõuded (nt krüpteerimine, lukustatud hoiustamine või piiratud juurdepääs) peavad vastama klassifitseerimistasemetele. Poliitika kirjeldab turvakontrolle vara elutsükli igas etapis: sisseelamine, ümberjaotamine, andmekäitlus, kasutamine, turvaline tagastamine lahkumisprotsessis ning turvaline kõrvaldamine. See sätestab, et varade kasutamine peab vastama ettevõtte varade lubatud kasutamise standarditele ning keelab konkreetselt varade ümberotstarbestamise isiklikuks kasutuseks, autoriseerimata tarkvara paigaldamise või kontrollimeetmetest (nt viirusetõrje ja krüpteerimine) möödahiilimise. Kaugvarade kasutamise reeglid nõuavad virtuaalse privaatvõrgu (VPN) või turvalise transporditunneli kasutamist ning võivad hõlmata mobiilseadmete ja lõppseadmete halduse lahendusi. Turvaline kasutusest kõrvaldamine ja hävitamine on selgelt käsitletud, nõudes krüptograafilist pühkimist või füüsilist hävitamist koos kinnituse ja kirjete säilitamisega. Pideva vastavuse ja riskijuhtimise toetamiseks on varahalduspoliitika seotud riskiregistriga ning toetab riskihindamist, erandite haldust ja auditeerimisprotsesse. Rikkumised, nagu registreerimata või volitamata varad, ebaõige kõrvaldamine või kontrollimeetmete keelamine, on eskaleerimise aluseks ning võivad kaasa tuua distsiplinaarmeetmed, tarnijapoolsed sanktsioonid või isegi kohtumenetluse. Poliitika perioodilised ülevaatused hõlmavad mitut sidusrühma ning need käivituvad regulatiivsete muudatuste, auditi leidude, turbeintsidentide või oluliste operatiivsete muudatuste korral. Dokument lõpeb viidetega seotud poliitikatele: juurdepääsukontrolli poliitika, teabe klassifitseerimise ja käitlemise poliitika, andmete säilitamise poliitika, logimis- ja seirepoliitika, intsidentidele reageerimise poliitika (P30), tagades, et varahaldus moodustab organisatsiooni laiemas juhtimisstruktuuris keskse tugisamba. See poliitika ei ole eraldi märgistatud VKE poliitikana. See on mõeldud organisatsioonidele, kus on määratud meeskonnad ja rollid, nagu IT, infoturbejuht, IT varahaldur ning erinevad vastavuse ja operatsioonide sidusrühmad, täites ISO/IEC 27001:2022 terviklikud nõuded ja toetades raamistikke.

Poliitika diagramm

Varahalduspoliitika diagramm, mis kuvab varade registri loomise, omandi määramise, klassifitseerimise, elutsükli kontrollimeetmed, erandite käsitlemise ja vastavuse läbivaatamise sammud.

Klõpsake diagrammil, et vaadata seda täissuuruses

Sisu

Kohaldamisala ja kaasamise reeglid

Varade register ja metaandmete nõuded

Varade klassifitseerimise ja märgistamise protseduurid

Vara elutsükkel (sisseelamine, tagastamine, kõrvaldamine)

Kolmanda osapoole ja kaugvarade juhtimine

Auditi ja intsidentidele reageerimise integratsioon

Raamistiku vastavus

🛡️ Toetatud standardid ja raamistikud

See toode on kooskõlas järgmiste vastavusraamistikkudega, üksikasjalike klauslite ja kontrolli kaardistustega.

Raamistik Kaetud klauslid / Kontrollid
ISO/IEC 27001:2022
8.1Annex A.5.9
ISO/IEC 27002:2022
5.95.105.11
NIST SP 800-53 Rev.5
CM-8RA-3MP-6
EU GDPR
Article 30Article 32
EU NIS2
Article 21(2)(a, b)Article 21(3)
EU DORA
Article 5Article 9
COBIT 2019
BAI09DSS01MEA03

Seotud poliitikad

juurdepääsukontrolli poliitika

Tagab, et varade nähtavus on kooskõlas juurdepääsuõigustega ja kontrollimehhanismidega süsteemides ning andmekeskkondades.

Töölevõtu ja töösuhte lõpetamise poliitika

Reguleerib füüsiliste ja loogiliste varade õigeaegset juurdepääsuõiguste andmist ja tagastamist töötajate liikumiste ajal.

Andmete klassifitseerimise ja märgistamise poliitika

Kehtestab varadele kohustuslikud klassifitseerimisreeglid, mis määravad märgistamise, andmekäitluse ja kõrvaldamise protseduurid.

andmete säilitamise poliitika

Määratleb digitaalsete ja füüsiliste teabekandvate varade turvalise kõrvaldamise ajakava ja meetodid.

logimis- ja seirepoliitika

Võimaldab varadele juurdepääsu ja kasutuse jälgitavust süsteemilogimise, lõppseadmete nähtavuse ja käitumisanalüütika kaudu.

Intsidentidele reageerimise poliitika

Toetab varadega seotud rikkumiste kiiret ohjeldamist ja uurimist, näiteks kadunud sülearvutite või jälgimata salvestusmeedia korral.

Claryseci poliitikate kohta - Varahalduspoliitika

Tõhus turbejuhtimine nõuab enamat kui sõnastust; see eeldab selgust, aruandekohustust ja struktuuri, mis skaleerub koos organisatsiooniga. Üldised mallid ebaõnnestuvad sageli, tekitades ebaselgust pikkade lõikude ja määratlemata rollidega. See poliitika on kavandatud teie turbeprogrammi operatiivseks selgrooks. Me määrame vastutused kaasaegses ettevõttes levinud konkreetsetele rollidele, sh infoturbejuht, IT- ja infoturbemeeskonnad ning asjakohased komiteed, tagades selge aruandekohustuse. Iga nõue on unikaalselt nummerdatud klausel (nt 5.1.1, 5.1.2). See atomaarne struktuur muudab poliitika lihtsasti rakendatavaks, auditeeritavaks konkreetsete kontrollimeetmete suhtes ning turvaliselt kohandatavaks ilma dokumendi terviklust mõjutamata, muutes selle staatilisest dokumendist dünaamiliseks, rakendatavaks raamistikuks.

Kolmanda osapoole varade juhtimine

Nõuab, et tarnijad säilitaksid varade registrid ning jõustaksid lepingute kaudu samaväärsed varade jälgimise, märgistamise ja kõrvaldamise standardid.

Varjatud IT ja erandite kontrollimeetmed

Rakendab võrguskaneerimist ja erandite logimist, et tuvastada volitamata või haldamata varad ning käsitleda riskistsenaariume ametlikult.

Integreeritud riskijuhtimine

Seob varade registrid riskiregistrite ja ärimõju hindamistega sihipäraseks ohumodelleerimiseks ja vastavuseks.

Korduma kippuvad küsimused

Loodud juhtidele, juhtide poolt

Selle poliitika on koostanud turbejuht, kellel on üle 25 aasta kogemust ISMS-raamistike juurutamisel ja auditeerimisel globaalsetes organisatsioonides. See ei ole mõeldud vaid dokumendina, vaid kaitstava raamistikuna, mis peab vastu audiitori kontrollile.

Koostanud ekspert järgmiste kvalifikatsioonidega:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Katvus ja teemad

🏢 Sihtosakond

IT turvalisus risk vastavus audit

🏷️ Temaatiline katvus

varahaldus andmete klassifitseerimine riskijuhtimine vastavuse juhtimine turbeoperatsioonid
€49

Ühekordne ost

Kohene allalaadimine
Eluaegsed uuendused
Asset Management Policy

Toote üksikasjad

Tüüp: policy
Kategooria: Enterprise
Standardid: 7