policy Enterprise

Politika upravljanja imovinom

Sveobuhvatna Politika upravljanja imovinom za osiguravanje, praćenje i kontrolu sve organizacijske imovine, usklađena s vodećim standardima i propisima.

Pregled

Politika upravljanja imovinom (P12) utvrđuje zahtjeve za identifikaciju, klasifikaciju imovine, popis imovine i zaštitu organizacijske imovine kroz njezin životni ciklus, osiguravajući usklađenost, vlasništvo i sigurnost od uvođenja u posao do zbrinjavanja.

Centralizirani popis imovine

Propisuje potpun, revizibilan popis sve fizičke, digitalne i imovine hostirane u oblaku.

Vlasništvo i klasifikacija

Definira vlasnika imovine i klasifikaciju imovine radi zaštite i usklađenosti s propisima.

Sigurne kontrole životnog ciklusa

Detaljno opisuje postupanje s imovinom, od nabave do sigurnog zbrinjavanja, uz podršku usklađenosti i upravljanju rizicima.

Provedba i revizibilnost

Omogućuje provedbu politike, unutarnje/vanjske revizije i zadržavanje revizijskih dokaza za regulatorne potrebe.

Pročitaj cijeli pregled
Politika upravljanja imovinom (P12) uspostavlja organizacijske zahtjeve za identifikaciju, klasifikaciju, upravljanje i osiguravanje sve informacijske imovine kroz njezin životni ciklus. Dokument ima za cilj osigurati nadzor i upravljanje na razini cijelog poduzeća, uz podršku za hardver, softver, podatke, oblak, mobilna i udaljena okruženja te okruženja kojima upravljaju treće strane. Temeljna namjera je osigurati da organizacija postigne potpunu vidljivost nad svojim portfeljem imovine, što omogućuje učinkovite sigurnosne kontrole, dodjelu vlasništva, usklađenost s propisima i odgovorne postupke stavljanja izvan pogona. Imovina obuhvaćena ovom politikom uključuje širok raspon: prijenosna računala, stolna računala, mobilne uređaje, prijenosne medije za pohranu, pisače, mrežnu opremu, softver, baze podataka, podatke sigurnosnih kopija, ključeve za šifriranje, strukturirane podatke i nestrukturirane podatke, izvješća, e-poštu, intelektualno vlasništvo, resurse u oblaku, virtualne strojeve, korisničke račune, polazne osnove konfiguracije, licence i drugo. Politika se primjenjuje na sve zaposlenike, izvođače, pružatelje usluga trećih strana i dobavljače koji koriste, upravljaju ili pristupaju informacijskoj imovini u vlasništvu ili pod kontrolom organizacije. Ovo obuhvaća i imovinu u udaljenim i hibridnim okruženjima ili vanjski ugovorene usluge, čime se osigurava da sigurnost i sljedivost imovine nisu ugrožene lokacijom. Temeljni cilj je održavanje centraliziranog, točnog i ažurnog registra imovine, kojim upravlja Voditelj IT imovine te je, gdje je moguće, integriran s drugim sustavima upravljanja konfiguracijom. Svaka imovina unesena u ovaj popis mora sadržavati obvezne metapodatke kao što su jedinstveni identifikator, vlasništvo, klasifikacija, lokacija i status životnog ciklusa. Za svaku imovinu određuje se vlasnik imovine, zadužen za osiguravanje odgovarajuće klasifikacije, zaštite i periodične validacije pristupa zapisima. Proces klasifikacije podupire cijelu politiku, osiguravajući da se imovina označava i upravlja prema osjetljivosti, kritičnosti i svim relevantnim regulatornim zahtjevima. Postupci označavanja provode se i za digitalnu i za fizičku imovinu, a zahtjevi postupanja, primjerice šifriranje, zaključana pohrana ili ograničenja mrežnih dijeljenih resursa, moraju odgovarati razinama klasifikacije. Politika detaljno opisuje sigurnosne kontrole u svakoj fazi životnog ciklusa imovine: uvođenje u posao, preraspodjela, postupanje, uporaba, siguran povrat tijekom izlaznog procesa te sigurno zbrinjavanje. Propisuje da uporaba imovine mora biti u skladu s prihvatljivom uporabom imovine organizacije te izričito zabranjuje prenamjenu imovine za osobnu uporabu, instaliranje neovlaštenog softvera ili zaobilaženje kontrola kao što su antivirusni softver i šifriranje. Pravila za uporabu udaljene imovine zahtijevaju korištenje virtualne privatne mreže (VPN) ili sigurnog transportnog tunela te mogu uključivati rješenja za upravljanje mobilnim uređajima i zaštitu krajnjih točaka. Sigurno stavljanje izvan pogona i prakse uništavanja jasno su obrađene, uz zahtjev za kriptografskim brisanjem ili fizičkim uništavanjem uz potvrdu i vođenje evidencije. Radi podrške kontinuiranoj usklađenosti i upravljanju rizicima, Politika upravljanja imovinom integrira se s registrom rizika organizacije te podržava procjenu rizika, upravljanje iznimkama i revizijske procese. Kršenja, kao što su neregistrirana ili neovlaštena imovina, nepravilno zbrinjavanje ili onemogućavanje kontrola, osnova su za eskalaciju i mogu rezultirati disciplinskim mjerama, ugovornim kaznama za dobavljače ili čak sudskim postupcima. Periodični pregledi politike uključuju više skupina dionika i pokreću se regulatornim promjenama, nalazima revizije, incidentima informacijske sigurnosti ili značajnim operativnim promjenama. Dokument završava upućivanjem na povezane politike: Politika kontrole pristupa, Politika klasifikacije i rukovanja informacijama, Politika zadržavanja podataka, Politika bilježenja i praćenja i Politika odgovora na incidente (P30), čime se osigurava da upravljanje imovinom čini središnji stup šire strukture upravljanja organizacije. Ova politika nije posebno označena kao politika za mala i srednja poduzeća. Namijenjena je organizacijama s određenim timovima kao što su IT, glavni službenik za informacijsku sigurnost (CISO), Voditelj IT imovine i različiti dionici usklađenosti i operacija, ispunjavajući sveobuhvatne zahtjeve ISO/IEC 27001:2022 i podržavajući okvire.

Dijagram politike

Dijagram Politike upravljanja imovinom koji prikazuje izradu popisa, dodjelu vlasništva, klasifikaciju, kontrole životnog ciklusa, postupanje s iznimkama i korake pregleda usklađenosti.

Kliknite na dijagram za prikaz u punoj veličini

Sadržaj

Opseg i pravila angažmana

Popis imovine i zahtjevi za metapodatke

Klasifikacija imovine i postupci označavanja

Životni ciklus imovine (uvođenje u posao, povrat, zbrinjavanje)

Upravljanje imovinom trećih strana i udaljenom imovinom

Integracija revizije i odgovora na incidente

Usklađenost s okvirom

🛡️ Podržani standardi i okviri

Ovaj je proizvod usklađen sa sljedećim okvirima usklađenosti s detaljnim mapiranjem klauzula i kontrola.

Okvir Pokrivene klauzule / Kontrole
ISO/IEC 27001:2022
8.1Annex A.5.9
ISO/IEC 27002:2022
5.95.105.11
NIST SP 800-53 Rev.5
CM-8RA-3MP-6
EU GDPR
Article 30Article 32
EU NIS2
Article 21(2)(a, b)Article 21(3)
EU DORA
Article 5Article 9
COBIT 2019
BAI09DSS01MEA03

Povezane politike

Politika kontrole pristupa

Osigurava da se vidljivost imovine uskladi s pravima pristupa i mehanizmima kontrole u sustavima i okruženjima podataka.

Politika uvođenja u posao i prestanka radnog odnosa

Upravlja pravodobnom dodjelom pristupa i povratom fizičke i logičke imovine tijekom promjena osoblja.

Politika klasifikacije i rukovanja informacijama

Uspostavlja obvezna pravila klasifikacije za imovinu, koja određuju označavanje, postupanje i postupke zbrinjavanja.

Politika zadržavanja podataka

Definira vremenski okvir i metode sigurnog zbrinjavanja za digitalnu i fizičku imovinu koja sadrži informacije.

Politika bilježenja i praćenja

Omogućuje sljedivost pristupa i uporabe imovine putem log-zapisa sustava, vidljivosti krajnjih točaka i analitike ponašanja.

Politika odgovora na incidente (P30)

Podržava brzo ograničavanje i istragu povreda povezanih s imovinom, kao što su izgubljena prijenosna računala ili nepraćeni mediji za pohranu.

O Clarysec politikama - Politika upravljanja imovinom

Učinkovito upravljanje sigurnošću zahtijeva više od samih riječi; zahtijeva jasnoću, odgovornost i strukturu koja se skalira s vašom organizacijom. Generički predlošci često ne uspijevaju, stvarajući nejasnoće kroz duge odlomke i neodređene uloge. Ova politika je osmišljena kao operativna okosnica vašeg sigurnosnog programa. Dodjeljujemo odgovornosti specifičnim ulogama prisutnima u modernom poduzeću, uključujući glavnog službenika za informacijsku sigurnost (CISO), IT sigurnost i relevantne odbore, osiguravajući jasnu odgovornost. Svaki zahtjev je jedinstveno numerirana odredba (npr. 5.1.1, 5.1.2). Ova atomska struktura čini politiku jednostavnom za implementaciju, reviziju prema specifičnim kontrolama i sigurno prilagođavanje bez utjecaja na cjelovitost dokumenta, pretvarajući je iz statičnog dokumenta u dinamičan, provediv okvir.

Upravljanje imovinom trećih strana

Zahtijeva od dobavljača da održavaju popise i provode ekvivalentne standarde praćenja, označavanja i zbrinjavanja imovine kroz ugovore.

Shadow IT i kontrole iznimki

Implementira skeniranje mreže i dnevnike iznimaka politika radi otkrivanja neovlaštene ili neupravljane imovine te formalnog postupanja s rizičnim scenarijima.

Integrirano upravljanje rizicima

Povezuje popise imovine s registrom rizika i procjenama utjecaja na poslovanje radi ciljanog modeliranja prijetnji i usklađenosti.

Često postavljana pitanja

Izrađeno za lidere, od lidera

Ovu politiku izradio je sigurnosni lider s više od 25 godina iskustva u implementaciji i auditiranju ISMS okvira u globalnim organizacijama. Osmišljena je ne samo kao dokument, već kao obrambeni okvir koji izdržava revizorski nadzor.

Izradio stručnjak s sljedećim kvalifikacijama:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Pokrivenost i teme

🏢 Ciljni odjeli

IT sigurnost rizik usklađenost revizija

🏷️ Tematska pokrivenost

upravljanje imovinom klasifikacija podataka upravljanje rizicima upravljanje usklađenošću sigurnosne operacije
€49

Jednokratna kupnja

Trenutno preuzimanje
Doživotna ažuriranja
Asset Management Policy

Pojedinosti o proizvodu

Vrsta: policy
Kategorija: Enterprise
Standardi: 7