Turto valdymo politika – SVV

Turto valdymo politika P12S sukurta specialiai mažoms ir vidutinėms įmonėms (SVV), atsižvelgiant į unikalius iššūkius, su kuriais šios organizacijos susiduria valdydamos informacinį turtą, turėdamos ribotus techninius ir personalo išteklius. Atspindėdama ISO/IEC 27001:2022 ir kitus tarptautinius standartus, ši politika nustato aiškią ir praktišką sistemą, skirtą identifikuoti, sekti, apsaugoti ir išimti iš eksploatacijos tiek fizinius turtus, tiek skaitmeninius turtus per visą jų gyvavimo ciklą. Politika taikoma visoje įmonėje, įskaitant aparatinę įrangą (nešiojamuosius kompiuterius, telefonus, USB), programinę įrangą (taikomąsias programas, SaaS sprendimus), duomenų saugyklas, prieigos įrenginius (išmaniąsias korteles, raktų pakabukus) ir kritinius skaitmeninius prisijungimo duomenis bei paslaugas, kurios palaiko kasdienes operacijas. Ji apima visas suinteresuotąsias šalis – darbuotojus, rangovus, trečiąsias šalis – tvarkančias organizacijos turtą. Politika pritaikyta visoms šiuolaikinio darbo formoms: biure, nuotoliniu būdu, hibridiškai, mobiliai ir debesijoje. Tokia plati taikymo sritis užtikrina, kad turtas būtų ne tik sekamas, bet ir įtrauktas į apskaitą įvairiose aplinkose, kuriose vykdoma veikla. Pagrindinis tikslas – sukurti ir palaikyti nuolat atnaujinamą, tikslų šio turto inventorių. Kiekvienas turtas turi turėti aiškiai priskirtą turto savininką, kuris atsako už jo saugojimą ir saugų tvarkymą. Akcentuojamas turto klasifikavimas: įrenginiams, kuriuose saugomi klientų ar jautrūs verslo duomenys, taikomos papildomos saugumo kontrolės priemonės ir sekimas. SVV svarbu tai, kad visos procedūros naudoja valdomas, vaidmenimis pagrįstas atsakomybes. Bendrasis vadovas (GM) turi bendrą atskaitomybę. IT vadovas (ar kitas paskirtas saugotojas) atsako už kasdienį įrašų tvarkymą, o tiesioginiai vadovai ir darbuotojai padeda priskirti turtą, užtikrinti jo saugumą ir vykdyti turto atkūrimo procesus. Toks vaidmenų supaprastinimas užtikrina veiksmingumą net tada, kai organizacijoje nėra dedikuotų saugumo ar IT vadovų. Politikoje griežtai aprašomi reikalavimai turto išdavimui, grąžinimui, priežiūrai, ženklinimui ir saugiam šalinimui. Debesijos ir virtualus turtas yra visiškai įtrauktas, taip pat ir nuosavų įrenginių naudojimo (BYOD) atvejai, jei jie techniškai patvirtinti. Taip pat aptariamos išimtys (pvz., neformalus įrangos dalijimasis), reikalaujant GM patvirtinimo ir laikinų kompensacinių kontrolės priemonių bet kokiems nukrypimams. Valdysenos procesai yra praktiški: struktūrizuoti turto inventoriai turi apimti laukus, skirtus turto ID, tipui, būsenai, savininkystei ir kt. Prieiga prie paties turto inventoriaus yra griežtai kontroliuojama ir reguliariai audituojama – tiek fiziškai, tiek skaitmeniškai. Patikrinimai vietoje (spot-checks) vykdomi bent kas šešis mėnesius, o pati politika peržiūrima kasmet arba įdiegus naujas technologijas, atsiradus reglamentavimo įpareigojimams, arba po informacijos saugumo incidento ar audito išvadų. Neatitiktis gali lemti drausmines nuobaudas, pabrėžiant saugaus ir atsakingo organizacijos turto valdymo svarbą. Tai ClarySec SVV politika, atitinkanti ISO/IEC 27001:2022 reikalavimus, tačiau specialiai pritaikyta organizacijoms, neturinčioms didelio IT ar saugumo personalo skaičiaus. Atsakomybės linijos supaprastintos, tačiau išlaikomas pilnas atsekamumas, audituojamumas ir suderinamumas su tokiais standartais kaip GDPR, DORA ir NIS2.