Eszközkezelési szabályzat

Az Eszközkezelési szabályzat (P12) meghatározza a szervezeti követelményeket valamennyi információs vagyonelem azonosítására, osztályozására, kezelésére és biztosítására az életciklusuk során. A dokumentum célja a vállalatszintű felügyelet és irányítás biztosítása, támogatva a hardver-, szoftver-, adat-, felhő-, mobil-, távoli és harmadik fél által kezelt környezeteket. Alapvető szándéka, hogy a szervezet teljes körű rálátást érjen el eszközportfóliójára, ami lehetővé teszi a hatékony biztonsági kontrollokat, a tulajdonosi hozzárendelést, a jogszabályi megfelelést és a felelős üzemen kívül helyezési követelmények szerinti eljárásokat. A szabályzat hatálya alá tartozó eszközök széles körűek: laptopok, asztali gépek, mobileszközök, cserélhető adathordozók, nyomtatók, hálózati berendezések, szoftverek, adatbázisok, biztonsági mentési adatok, titkosítási kulcsok, strukturált adatok és strukturálatlan adatok, jelentések, e-mail, szellemi tulajdon, felhőerőforrások, virtuális gépek, felhasználói fiókok, kontroll-alapvonal, licencek és egyebek. A szabályzat kiterjed minden munkavállaló és vállalkozó, harmadik fél szolgáltató és harmadik fél beszállító körére, akik a szervezet tulajdonában lévő vagy általa ellenőrzött információs vagyonelemeket használják, kezelik vagy elérik. Ez a lefedettség a távoli, hibrid vagy kiszervezett környezetekben lévő eszközökre is kiterjed, biztosítva, hogy az eszközbiztonság és a nyomon követhetőség ne sérüljön a helyszín miatt. Alapvető cél a központosított, pontos és naprakész eszköznyilvántartás fenntartása, amelyet az IT-eszközmenedzser kezel, és ahol lehetséges, integrálva van más konfigurációkezelési rendszerekkel. Minden, a leltárba felvett eszköznek tartalmaznia kell kötelező metaadatokat, például az egyedi azonosítóját, tulajdonlását, osztályozását, helyét és életciklus-állapotát. Minden eszközhöz eszköztulajdonos kerül kijelölésre, aki felelős a megfelelő osztályozásért, védelemért és az időszakos feljegyzésvalidálásért. Az osztályozási folyamat a teljes szabályzat alapját képezi, biztosítva, hogy az eszközök címkézése és kezelése az érzékenység, a kritikus jelleg és a releváns szabályozási követelmények szerint történjen. A címkézési eljárások mind a digitális, mind a fizikai eszközökre kötelezőek, és a kezelési követelményeknek (például titkosítás, zárt tárolás vagy korlátozott hozzáférés) az információosztályozási szintekhez kell igazodniuk. A szabályzat a biztonsági kontrollokat az eszköz-életciklus minden szakaszára részletezi: beléptetés, átcsoportosítás, kezelés, használat, biztonságos visszaszolgáltatás a kiléptetés során, valamint biztonságos selejtezés. Előírja, hogy az eszközhasználatnak meg kell felelnie a vállalati eszközök elfogadható használata követelményeinek, és kifejezetten tiltja az eszközök személyes célú újrahasznosítását, a nem engedélyezett szoftver telepítését, illetve a kontrollok (például vírusirtó és titkosítás) megkerülését. A távoli eszközhasználatra vonatkozó szabályok előírják a virtuális magánhálózat (VPN) vagy biztonságos átviteli alagút alkalmazását, és mobileszköz- és végpontkezelési megoldásokat is megkövetelhetnek. A biztonságos üzemen kívül helyezés és megsemmisítés gyakorlatai egyértelműen rögzítettek, kriptográfiai törlést vagy fizikai megsemmisítést írva elő, megerősítéssel és nyilvántartásvezetéssel. A folyamatos megfelelés és kockázatkezelés támogatása érdekében az Eszközkezelési szabályzat integrálódik a kockázati nyilvántartás folyamataiba, és támogatja a kockázatértékelést, a kivételkezelést és az auditfolyamatokat. A szabálysértések – például nem regisztrált vagy nem engedélyezett eszközök, nem megfelelő selejtezés vagy kontrollok letiltása – eszkaláció alapját képezik, és fegyelmi intézkedésekhez, beszállítói szankciókhoz vagy akár peres eljáráshoz is vezethetnek. Az időszakos szabályzat-felülvizsgálatok több érdekelt felet vonnak be, és szabályozási változások, auditmegállapítások, információbiztonsági incidens vagy jelentős üzemeltetési változások válthatják ki. A dokumentum a kapcsolódó szabályzatokra való hivatkozással zárul – hozzáférés-vezérlési szabályzat, információosztályozási és -kezelési szabályzat, adatmegőrzési szabályzat, naplózási és monitorozási szabályzat, incidenskezelési szabályzat –, biztosítva, hogy az eszközkezelés a szervezet tágabb irányítási struktúrájának központi pillére legyen. Ez a szabályzat nem kifejezetten KKV-szabályzatként van megjelölve. Olyan szervezetek számára készült, amelyek kijelölt csapatokkal rendelkeznek, például IT, információbiztonsági vezető (CISO), IT-eszközmenedzser, valamint különböző megfelelőségi és üzemeltetési érdekelt felek, teljesítve az ISO/IEC 27001:2022 átfogó követelményeit és támogató keretrendszereit.