policy Enterprise

Omaisuudenhallintapolitiikka

Kattava omaisuudenhallintapolitiikka kaikkien organisaation omaisuuserien suojaamiseen, seurantaan ja hallintaan, linjassa johtavien standardien ja sääntelyn kanssa.

Yleiskatsaus

Omaisuudenhallintapolitiikka (P12) asettaa vaatimukset organisaation omaisuuserien tunnistamiselle, luokittelulle, luetteloinnille ja suojaamiselle koko niiden elinkaaren ajan, varmistaen vaatimustenmukaisuuden, omistajuuden ja turvallisuuden käyttöönotosta hävittämiseen.

Keskitetty omaisuusluettelo

Edellyttää täydellistä, auditoitavaa luetteloa kaikista fyysisistä, digitaalisista ja pilvi-isännöidyistä omaisuuseristä.

Omistajuus ja luokittelu

Määrittelee omaisuuden omistaja -vastuut ja omaisuuden luokittelu -käytännöt suojausta ja sääntelyvaatimusten noudattamista varten.

Turvalliset elinkaarikontrollit

Kuvaa omaisuuserien käsittelyn hankinnasta turvalliseen hävittämiseen, tukien vaatimustenmukaisuus- ja riskienhallintaa.

Täytäntöönpano ja auditoitavuus

Mahdollistaa politiikan täytäntöönpanon, sisäiset/ulkoiset auditoinnit sekä auditointinäyttöjen ja tallenteiden säilytyksen sääntelytarpeisiin.

Lue koko yleiskatsaus
Omaisuudenhallintapolitiikka (P12) määrittää organisaation vaatimukset kaikkien tietovarallisuus- ja muiden omaisuuserien tunnistamiselle, luokittelulle, hallinnalle ja suojaamiselle koko niiden elinkaaren ajan. Asiakirjan tavoitteena on tuottaa organisaatiotasoinen valvonta ja hallintotapa, kattaen laitteistot, ohjelmistot, tiedot, pilvi-, mobiili-, etä- ja kolmannen osapuolen hallinnoimat ympäristöt. Keskeinen tarkoitus on varmistaa, että organisaatiolla on täysi näkyvyys omaisuussalkkuunsa, mikä mahdollistaa tehokkaat tietoturvakontrollit, omistajuuden osoittamisen, sääntelyvaatimusten noudattamisen sekä vastuulliset käytöstäpoistomenettelyt. Tämän politiikan piiriin kuuluvat omaisuuserät kattavat laajan joukon: kannettavat tietokoneet, pöytäkoneet, mobiililaitteet, irrotettava tallennusmedia, tulostimet, verkkolaitteet, ohjelmistot, tietokannat, varmuuskopiodata, salausavaimet, rakenteinen data ja rakenteeton data, raportit, sähköposti, immateriaalioikeudet, pilviresurssit, virtuaalikoneet, käyttäjätilit, konfiguraation perustasot, lisenssit ja muut vastaavat. Politiikka koskee kaikkia työntekijöitä ja urakoitsijoita sekä kolmannen osapuolen palveluntarjoajia ja toimittajia, jotka käyttävät, hallinnoivat tai joilla on pääsy organisaation omistamiin tai hallitsemiin tietovarallisuus- tai muihin omaisuuseriin. Soveltaminen ulottuu myös etä-, hybridi- ja ulkoistettuihin ympäristöihin, jotta omaisuuserien turvallisuus ja jäljitettävyys eivät vaarannu sijainnin vuoksi. Perustavoite on keskitetyn, tarkan ja ajantasaisen omaisuusrekisteri-/omaisuusluettelo-kokonaisuuden ylläpito, jota ylläpitää IT-omaisuuspäällikkö ja joka mahdollisuuksien mukaan integroidaan konfiguraationhallintajärjestelmiin. Jokaisesta luetteloon vietävästä omaisuuserästä on oltava pakolliset metatiedot, kuten yksilöllinen tunniste, omistajuus, luokittelu, sijainti ja elinkaaritila. Jokaiselle omaisuuserälle nimetään omaisuuden omistaja, joka vastaa asianmukaisesta luokittelusta, suojauksesta ja säännöllisestä tietueiden validoinnista. Luokitteluprosessi on koko politiikan perusta: se varmistaa, että omaisuuserät merkitään ja niitä hallitaan herkkyyden, kriittisyyden ja soveltuvien sääntelyvaatimusten mukaisesti. Merkintämenettelyt koskevat sekä digitaalisia että fyysisiä omaisuuseriä, ja käsittelyvaatimusten (esim. salaus, lukittu säilytys tai rajoitettu pääsy) on vastattava luokittelutasoja. Politiikka kuvaa tietoturvakontrollit omaisuuserän elinkaaren jokaisessa vaiheessa: käyttöönotto, uudelleenkohdistus, käsittely, käyttö, turvallinen palautus poistumismenettelyn yhteydessä sekä turvallinen hävittäminen. Se edellyttää, että omaisuuserien käyttö noudattaa yrityksen omaisuuden hyväksyttävä käyttö -vaatimuksia, ja se kieltää erityisesti omaisuuserien uudelleenkäytön henkilökohtaiseen käyttöön, luvattomien ohjelmistojen asentamisen sekä kontrollien (kuten virustorjunta ja salaus) ohittamisen. Etäkäyttöä koskevat säännöt edellyttävät virtuaalinen yksityisverkko (VPN) -ratkaisujen tai suojatun tiedonsiirtotunnelin -ratkaisujen käyttöä ja voivat sisältää mobiililaitteiden ja päätelaitesuojaus-/hallintaratkaisuja. Turvallinen käytöstäpoisto ja tuhoaminen käsitellään selkeästi: vaaditaan kryptografinen pyyhintä tai fyysinen tuhoaminen sekä vahvistus ja kirjanpito. Jatkuvan vaatimustenmukaisuus- ja riskienhallinnan tueksi omaisuudenhallintapolitiikka integroidaan riskirekisteri-kokonaisuuteen ja tukee riskien arviointi-, poikkeusten hallinta- ja auditointiprosesseja. Rikkomukset, kuten rekisteröimättömät tai luvattomat omaisuuserät, virheellinen hävittäminen tai kontrollien poistaminen käytöstä, ovat peruste eskalointitoimille ja voivat johtaa kurinpitotoimiin, toimittajasanktioihin tai oikeudellisiin toimiin. Säännölliset politiikkakatselmoinnit toteutetaan useiden sidosryhmien kanssa ja ne käynnistyvät sääntelymuutoksista, auditointihavainnoista, tietoturvapoikkeamista tai merkittävistä operatiivisista muutoksista. Asiakirja päättyy viittauksiin liittyviin politiikkoihin (pääsynhallinta, tiedon luokittelu, säilytys ja hävittäminen, lokitus- ja valvontapolitiikka, tietoturvapoikkeamiin reagointi), varmistaen, että omaisuudenhallinta muodostaa keskeisen pilarin organisaation laajemmassa hallintorakenteessa. Tätä politiikkaa ei ole erikseen merkitty pk-yrityspolitiikaksi. Se on suunniteltu organisaatioille, joilla on nimetyt tiimit ja roolit, kuten tietoturvajohtaja (CISO), IT, IT-omaisuuspäällikkö sekä vaatimustenmukaisuuden ja operatiivisen toiminnan sidosryhmät, täyttäen ISO/IEC 27001:2022 -vaatimukset ja tukien viitekehyksiä.

Käytäntökaavio

Omaisuudenhallintapolitiikan kaavio, jossa esitetään omaisuusluettelon luonti, omistajuuden osoittaminen, luokittelu, elinkaarikontrollit, poikkeusten käsittely ja vaatimustenmukaisuuden katselmointivaiheet.

Napsauta kaaviota nähdäksesi sen täydessä koossa

Sisältö

Soveltamisala ja pelisäännöt

Omaisuusluettelo ja metatietovaatimukset

Omaisuuden luokittelu ja merkintämenettelyt

Omaisuuserän elinkaari (käyttöönotto, palautus, hävittäminen)

Kolmannen osapuolen ja etäomaisuuserien hallintotapa

Auditointi- ja tietoturvapoikkeamiin reagointi -integraatio

Kehysmääräysten noudattaminen

🛡️ Tuetut standardit ja kehykset

Tämä tuote on linjassa seuraavien vaatimustenmukaisuuskehysten kanssa, yksityiskohtaisilla lauseke- ja valvontamappingeillä.

Kehys Katetut lausekkeet / Kontrollit
ISO/IEC 27001:2022
8.1Annex A.5.9
ISO/IEC 27002:2022
5.95.105.11
NIST SP 800-53 Rev.5
CM-8RA-3MP-6
EU GDPR
Article 30Article 32
EU NIS2
Article 21(2)(a, b)Article 21(3)
EU DORA
Article 5Article 9
COBIT 2019
BAI09DSS01MEA03

Liittyvät käytännöt

pääsynhallintapolitiikka

Varmistaa, että omaisuuserien näkyvyys on linjassa käyttöoikeudet- ja pääsynhallintamekanismien kanssa järjestelmissä ja tietoympäristöissä.

Perehdytys- ja työsuhteen päättämispolitiikka

Ohjaa käyttöoikeuksien myöntämis- ja palautusprosesseja sekä fyysisten ja loogisten pääsyomaisuuserien oikea-aikaista palautusta henkilöstösiirtymien aikana.

Tiedon luokittelu- ja merkintäpolitiikka

Määrittää pakolliset omaisuuden luokittelu -säännöt, jotka ohjaavat merkintä-, käsittely- ja hävitysmenettelyjä.

Tietojen säilytyspolitiikka ja hävityspolitiikka

Määrittää turvallisen hävittämisen aikataulun ja menetelmät digitaalisille ja fyysisille tietoa sisältäville omaisuuserille.

Lokitus- ja valvontapolitiikka

Mahdollistaa omaisuuserien käytön ja pääsyn jäljitettävyyden tarkastuslokitus-, päätelaitenäkyvyys- ja käyttäytymisanalytiikkatoimintojen kautta.

Tietoturvapoikkeamiin reagoinnin politiikka (P30)

Tukee omaisuuseriin liittyvien ilmoitettavien tietoturvaloukkausten -tilanteiden nopeaa rajaamis- ja tutkintakäsittelyä, kuten kadonneet kannettavat tietokoneet tai jäljittämätön tallennusmedia.

Tietoa Clarysecin käytännöistä - Omaisuudenhallintapolitiikka

Tehokas tietoturvan hallinto edellyttää enemmän kuin pelkkiä kirjauksia; se vaatii selkeyttä, vastuunjakoa ja rakennetta, joka skaalautuu organisaation mukana. Geneeriset mallipohjat epäonnistuvat usein ja luovat epäselvyyttä pitkien kappaleiden ja määrittelemättömien roolien vuoksi. Tämä politiikka on suunniteltu tietoturvaohjelman operatiiviseksi selkärangaksi. Vastuut kohdistetaan nykyaikaisessa organisaatiossa esiintyville rooleille, mukaan lukien tietoturvajohtaja (CISO), IT- ja tietoturvatiimit sekä asiaankuuluvat ohjausryhmät, jotta vastuuvelvollisuus on yksiselitteinen. Jokainen vaatimus on yksilöllisesti numeroitu lauseke (esim. 5.1.1, 5.1.2). Tämä atominen rakenne tekee politiikasta helpon ottaa käyttöön, auditoida yksittäisiä kontrollivaatimuksia vasten ja räätälöidä turvallisesti ilman, että asiakirjan eheys vaarantuu, muuttaen sen staattisesta dokumentista dynaamiseksi, toimeenpantavaksi viitekehykseksi.

Kolmannen osapuolen omaisuuserien hallintotapa

Edellyttää, että toimittajat ylläpitävät luetteloita ja toimeenpanevat sopimuksilla vastaavat omaisuuserien seuranta-, merkintä- ja hävitysstandardit.

Shadow IT ja poikkeuskontrollit

Toteuttaa verkkoskannauksen ja politiikkapoikkeuslokit luvattomien tai hallinnoimattomien omaisuuserien havaitsemiseksi sekä riskiskenaarioiden muodolliseksi käsittelemiseksi.

Integroitu riskienhallinta

Yhdistää omaisuusluettelot riskirekisteri- ja liiketoimintavaikutusten arvioinnit -kokonaisuuksiin kohdennettua uhkamallinnus- ja vaatimustenmukaisuustyötä varten.

Usein kysytyt kysymykset

Suunniteltu johtajille, johtajien toimesta

Tämän käytännön on laatinut tietoturvajohtaja, jolla on yli 25 vuoden kokemus ISMS-viitekehysten käyttöönotosta ja auditoinnista globaaleissa organisaatioissa. Se ei ole pelkkä asiakirja, vaan puolustettava viitekehys, joka kestää auditorin tarkastelun.

Laatinut asiantuntija, jolla on seuraavat pätevyydet:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Kattavuus & Aiheet

🏢 Kohdeosastot

IT tietoturva riski vaatimustenmukaisuus sisäinen tarkastus

🏷️ Aiheen kattavuus

omaisuudenhallinta tietojen luokittelu riskienhallinta vaatimustenmukaisuuden hallinta tietoturvaoperaatiot
€49

Kertaosto

Välitön lataus
Elinikäiset päivitykset
Asset Management Policy

Tuotetiedot

Tyyppi: policy
Luokka: Enterprise
Standardit: 7