Omaisuudenhallintapolitiikka – SME

Omaisuudenhallintapolitiikka P12S on suunniteltu erityisesti pienille ja keskisuurille yrityksille (pk-yrityksille), ja se tunnistaa näiden organisaatioiden erityiset haasteet tietovarallisuuden hallinnassa rajallisilla teknisillä ja henkilöstöresursseilla. ISO/IEC 27001:2022 -standardia ja muita kansainvälisiä standardeja heijastaen tämä politiikka määrittää selkeän ja käytännöllisen viitekehyksen fyysisten ja digitaalisten liiketoiminnan omaisuuserien tunnistamiseen, seurantaan, suojaamiseen ja käytöstäpoistoon niiden koko elinkaaren ajan. Politiikkaa sovelletaan koko organisaatiossa, mukaan lukien laitteistot (kannettavat tietokoneet, puhelimet, USB-laitteet), ohjelmistot (sovellukset, SaaS-ratkaisut), tietovarastot, pääsylaitteet (älykortit, avaimenperät) sekä kriittiset digitaaliset tunnistetiedot ja palvelut, jotka tukevat päivittäistä toimintaa. Kaikki sidosryhmät – työntekijät, urakoitsijat ja kolmannen osapuolen palveluntarjoajat – jotka käsittelevät organisaation omaisuuseriä, kuuluvat soveltamisalaan. Politiikka huomioi modernin työn muodot: toimistotyö, etätyö, hybridityö, mobiilityö ja pilvityö. Tämä laaja soveltamisala varmistaa, että omaisuuseriä ei ainoastaan seurata, vaan ne myös huomioidaan eri ympäristöissä, joissa liiketoimintaa harjoitetaan. Keskeinen tavoite on luoda ja ylläpitää jatkuvasti päivitettyä, tarkkaa omaisuusluetteloa näistä omaisuuseristä. Jokaisella omaisuuserällä on oltava selkeästi nimetty omaisuuden omistaja, joka vastaa sen hallussapidosta ja turvallisesta käsittelystä. Omaisuuden luokittelu korostuu: laitteet, jotka tallentavat asiakas- tai luottamuksellista liiketoimintadataa, saavat lisätietoturvakontrollit ja seurannan. Pk-yrityksille tärkeää on, että kaikki menettelyt perustuvat hallittaviin, roolipohjaisiin vastuisiin. Toimitusjohtajalla (GM) on kokonaisvastuuvelvollisuus. IT-vastaava (tai muu nimetty huoltaja) vastaa päivittäisestä kirjanpidosta, kun taas lähiesihenkilöt ja työntekijät tukevat omaisuuserien osoittamista, säilyttämistä ja omaisuuden palautusprosesseja. Tämä roolien yksinkertaistaminen varmistaa tehokkuuden myös silloin, kun organisaatiolla ei ole omistautuneita tietoturva- tai IT-päälliköitä. Politiikka määrittelee yksityiskohtaisesti vaatimukset omaisuuserien luovutukselle, palautukselle, ylläpidolle, merkinnöille ja turvalliselle hävitykselle. Pilvi- ja virtuaaliomaisuuserät sisältyvät täysin lähestymistapaan, samoin omien laitteiden käyttö (BYOD) -tilanteet, jos ne on teknisesti hyväksytty. Poikkeukset (kuten epävirallinen laitteiden jakaminen) käsitellään myös: ne edellyttävät toimitusjohtajan (GM) hyväksyntää ja väliaikaisia kompensoivia hallintakeinoja kaikille poikkeamille. Hallintotapaprosessit ovat käytännöllisiä: rakenteisten omaisuusluetteloiden on sisällettävä kentät omaisuuserän tunnisteelle, tyypille, tilalle, omistajuudelle ja muille tiedoille. Pääsy omaisuusluetteloon on tiukasti pääsynhallintatoimien piirissä, ja siihen kohdistuu säännöllisiä auditointeja sekä fyysisiä että digitaalisia. Pistokokeet tehdään vähintään kuuden kuukauden välein, ja itse politiikka katselmoidaan vuosittain tai uusien teknologioiden tai sääntelyvelvoitteiden käyttöönoton yhteydessä tai tietoturvapoikkeama- tai auditointihavaintotapauksen jälkeen. Vaatimustenvastaisuus voi johtaa kurinpitotoimenpiteisiin, mikä korostaa organisaation omaisuuserien turvallisen ja vastuullisen hoidon merkitystä. Tämä on ClarySecin pk-yrityspolitiikka, joka täyttää ISO/IEC 27001:2022 -vaatimustenmukaisuuden, mutta on erityisesti mukautettu organisaatioille, joilla ei ole suurta IT- tai tietoturvahenkilöstömäärää. Vastuunjaot on yksinkertaistettu, mutta ne säilyttävät täyden jäljitettävyyden, auditoitavuuden ja sääntelylinjauksen standardien, kuten GDPR:n, DORA:n ja NIS2:n, mukaisesti.