policy Enterprise

Turto valdymo politika

Išsami turto valdymo politika, skirta viso organizacijos turto apsaugai, sekimui ir kontrolei, suderinta su pagrindiniais standartais ir reglamentavimo reikalavimais.

Apžvalga

Turto valdymo politika (P12) nustato reikalavimus organizacijos turto identifikavimui, klasifikavimui, inventorizavimui ir apsaugai per visą jo gyvavimo ciklą, užtikrinant atitiktį, savininkystę ir saugumą nuo įvedimo į darbą iki šalinimo.

Centralizuotas turto inventorius

Nustato reikalavimą turėti išsamų, audituojamą viso fizinio, skaitmeninio ir debesyje talpinamo turto inventorių.

Savininkystė ir klasifikavimas

Apibrėžia turto savininką ir turto klasifikavimą, siekiant apsaugos ir atitikties reglamentavimo reikalavimams.

Saugios gyvavimo ciklo kontrolės priemonės

Aprašo turto tvarkymą nuo įsigijimo iki saugaus šalinimo, palaikant atitiktį ir rizikos valdymą.

Vykdymo užtikrinimas ir audituojamumas

Užtikrina politikos vykdymo užtikrinimą, vidaus / išorės auditus ir audito įrodymų saugojimą reglamentavimo poreikiams.

Skaityti visą apžvalgą
Turto valdymo politika (P12) nustato organizacijos reikalavimus viso informacinio turto identifikavimui, klasifikavimui, valdymui ir apsaugai per visą informacinio turto gyvavimo ciklą. Dokumento tikslas – užtikrinti įmonės masto priežiūrą ir valdyseną, apimant aparatinę įrangą, programinę įrangą, duomenis, debesiją, mobiliąsias, nuotolines ir trečiųjų šalių valdomas aplinkas. Pagrindinis siekis – užtikrinti visišką matomumą visame turto portfelyje, kad būtų galima taikyti veiksmingas saugumo kontrolės priemones, priskirti savininkystę, užtikrinti atitiktį reglamentavimo reikalavimams ir atsakingas išėmimo iš eksploatacijos procedūras. Pagal šią politiką valdomas turtas apima platų spektrą: nešiojamuosius kompiuterius, stalinius kompiuterius, mobiliuosius įrenginius, keičiamąsias laikmenas, spausdintuvus, tinklo įrangą, programinę įrangą, duomenų bazes, atsarginių kopijų duomenis, šifravimo raktus, struktūrizuotus duomenis ir nestruktūruotus duomenis, ataskaitas, el. paštą, intelektinę nuosavybę, debesijos išteklius, virtualiąsias mašinas, naudotojų paskyras, konfigūracijos bazines linijas, licencijas ir kt. Politika taikoma visiems darbuotojams ir rangovams, trečiųjų šalių paslaugų teikėjams ir trečiųjų šalių tiekėjams, kurie naudoja, valdo ar pasiekia organizacijai priklausantį arba jos kontroliuojamą informacinį turtą. Taikymo sritis apima ir turtą nuotolinės prieigos, hibridinėse aplinkose ar išorinių paslaugų aplinkose, užtikrinant, kad turto saugumas ir atsekamumas nebūtų pažeisti dėl vietos. Pagrindinis tikslas – palaikyti centralizuotą, tikslų ir nuolat atnaujinamą turto inventorių, kurį valdo IT turto valdytojas ir, kai įmanoma, integruoja su konfigūracijų valdymo sistemomis. Kiekvienas į inventorių įtrauktas turtas turi turėti privalomus metaduomenis, pvz., unikalų identifikatorių, savininkystę, klasifikavimą, vietą ir gyvavimo ciklo būseną. Kiekvienam turtui paskiriamas turto savininkas, atsakingas už tinkamą turto klasifikavimą, apsaugą ir periodinį įrašų validavimą. Klasifikavimo procesas yra visos politikos pagrindas – jis užtikrina, kad turtas būtų ženklinamas ir valdomas pagal jautrumą, kritiškumą ir taikomus reglamentavimo reikalavimus. Ženklinimo procedūros taikomos tiek skaitmeniniam, tiek fiziniam turtui, o tvarkymo reikalavimai (pvz., šifravimas, užrakintas saugojimas ar ribota prieiga) turi atitikti klasifikavimo lygius. Politika aprašo saugumo kontrolės priemones kiekviename turto gyvavimo ciklo etape: įrenginio įtraukimas, perskirstymas, tvarkymas, naudojimas, saugus grąžinimas darbo santykių nutraukimo proceso metu ir saugus šalinimas. Nustatoma, kad turto naudojimas turi atitikti organizacijos turto priimtino naudojimo standartus, ir aiškiai draudžiama turtą pernaudoti asmeniniams tikslams, diegti neautorizuotą programinę įrangą arba apeiti kontrolės priemones, tokias kaip antivirusinė programinė įranga ir šifravimas. Nuotolinio turto naudojimo taisyklės reikalauja naudoti virtualųjį privatųjį tinklą (VPN) arba saugius tunelius ir gali apimti mobiliųjų įrenginių bei galinių įrenginių valdymo sprendimus. Saugus išėmimas iš eksploatacijos ir sunaikinimo praktikos apibrėžtos aiškiai – reikalaujama kriptografinio ištrynimo arba fizinio sunaikinimo su patvirtinimu ir įrašų tvarkymu. Siekiant palaikyti nuolatinę atitiktį ir rizikos valdymą, turto valdymo politika integruojama su rizikų registru ir palaiko rizikos vertinimo, išimčių valdymo ir audito procesus. Pažeidimai, tokie kaip neregistruotas ar neautorizuotas turtas, netinkamas šalinimas ar kontrolės priemonių išjungimas, yra eskalavimo pagrindas ir gali lemti drausmines priemones, tiekėjų sankcijas ar net teisinius procesus. Periodinės politikos peržiūros apima kelias suinteresuotųjų šalių grupes ir inicijuojamos dėl reglamentavimo pokyčių, audito išvadų, saugumo incidentų arba reikšmingų operacinių pokyčių. Dokumentas baigiamas nuorodomis į susijusias politikas: Prieigos kontrolės politika, Informacijos klasifikavimo ir tvarkymo politika, Duomenų saugojimo politika, Žurnalinimo ir stebėsenos politika, reagavimo į incidentus politika – užtikrinant, kad turto valdymas būtų centrinis organizacijos valdysenos struktūros ramstis. Ši politika nėra specialiai pažymėta kaip SVV politika. Ji skirta organizacijoms, turinčioms paskirtas komandas, tokias kaip IT, Vyriausiasis informacijos saugumo pareigūnas (CISO), IT turto valdytojas ir įvairius atitikties bei operacinius suinteresuotuosius asmenis, įgyvendinant išsamius ISO/IEC 27001:2022 reikalavimus ir palaikant sistemas.

Politikos diagrama

Turto valdymo politikos diagrama, rodanti inventoriaus sudarymą, savininkystės priskyrimą, klasifikavimą, gyvavimo ciklo kontrolės priemones, išimčių tvarkymą ir atitikties peržiūros žingsnius.

Spustelėkite diagramą, kad peržiūrėtumėte visu dydžiu

Turinys

Taikymo sritis ir bendradarbiavimo taisyklės

Turto inventorius ir metaduomenų reikalavimai

Turto klasifikavimas ir ženklinimo procedūros

Turto gyvavimo ciklas (įrenginio įtraukimas, grąžinimas, šalinimas)

Trečiųjų šalių ir nuotolinio turto valdysena

Auditas ir atitiktis bei reagavimas į incidentus integracija

Sistemos atitiktis

🛡️ Palaikomi standartai ir sistemos

Šis produktas yra suderintas su šiomis atitikties sistemomis su išsamiu sąlygų ir kontrolės susiejimu.

Sistema Aptariamos sąlygos / Kontrolės
ISO/IEC 27001:2022
8.1Annex A.5.9
ISO/IEC 27002:2022
5.95.105.11
NIST SP 800-53 Rev.5
CM-8RA-3MP-6
EU GDPR
Article 30Article 32
EU NIS2
Article 21(2)(a, b)Article 21(3)
EU DORA
Article 5Article 9
COBIT 2019
BAI09DSS01MEA03

Susijusios politikos

Prieigos kontrolės politika

Užtikrina, kad turto matomumas būtų suderintas su prieigos teisėmis ir kontrolės mechanizmais sistemose bei duomenų aplinkose.

Įdarbinimo ir atleidimo iš darbo politika

Reglamentuoja savalaikį prieigos teisių suteikimą ir fizinės bei loginės prieigos turto grąžinimą darbuotojų pokyčių metu.

Duomenų klasifikavimo ir ženklinimo politika

Nustato privalomas turto klasifikavimo taisykles, kurios apibrėžia ženklinimo, duomenų tvarkymo ir šalinimo procedūras.

Duomenų saugojimo ir šalinimo politika

Apibrėžia saugaus šalinimo terminus ir metodus skaitmeniniam ir fiziniam informaciją turinčiam turtui.

Žurnalinimo ir stebėsenos politika

Užtikrina turto prieigos ir naudojimo atsekamumą per registravimą audito žurnale, galinių įrenginių matomumą ir naudotojų elgsenos analitiką.

Reagavimo į incidentus politika

Palaiko greitą lokalizavimą ir tyrimą su turtu susijusių pažeidimų atvejais, pvz., pamesti nešiojamieji kompiuteriai ar neapskaitytos laikmenos.

Apie Clarysec politikas - Turto valdymo politika

Veiksminga saugumo valdysena reikalauja daugiau nei tik formuluočių – ji reikalauja aiškumo, atskaitomybės ir struktūros, kuri gali augti kartu su organizacija. Bendriniai šablonai dažnai nepasiteisina, nes sukuria dviprasmybes dėl ilgų pastraipų ir neapibrėžtų vaidmenų. Ši politika sukurta kaip jūsų saugumo programos operacinis pagrindas. Atsakomybes priskiriame konkretiems šiuolaikinėje įmonėje esantiems vaidmenims, įskaitant Vyriausiąjį informacijos saugumo pareigūną (CISO), IT ir saugumo komandas ir atitinkamus komitetus, užtikrinant aiškią atskaitomybę. Kiekvienas reikalavimas pateikiamas kaip unikaliai sunumeruota nuostata (pvz., 5.1.1, 5.1.2). Tokia atominė struktūra leidžia politiką lengvai įgyvendinti, audituoti pagal konkrečias kontrolės priemones ir saugiai pritaikyti nepaveikiant dokumento vientisumo – paverčiant ją iš statinio dokumento į dinamišką, įgyvendinamą sistemą.

Trečiųjų šalių turto valdysena

Reikalauja, kad trečiųjų šalių tiekėjai palaikytų inventorių ir per sutartis užtikrintų lygiaverčius turto sekimo, ženklinimo ir šalinimo standartus.

Shadow IT ir išimčių kontrolės priemonės

Įgyvendina tinklo skenavimą ir politikų išimčių žurnalus, kad būtų aptiktas neautorizuotas ar nevaldomas turtas ir formaliai tvarkomi rizikos scenarijai.

Integruotas rizikos valdymas

Susieja turto inventorių su rizikų registru ir verslo poveikio analize, kad būtų galima taikyti tikslinį grėsmių modeliavimą ir atitiktį.

Dažniausiai užduodami klausimai

Sukurta lyderiams, lyderių

Šią politiką parengė saugumo lyderis, turintis daugiau nei 25 metų patirtį diegiant ir audituojant ISMS sistemas tarptautinėse organizacijose. Ji sukurta ne tik kaip dokumentas, bet kaip pagrįsta sistema, atlaikanti auditoriaus vertinimą.

Parengė ekspertas, turintis šias kvalifikacijas:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Aprėptis ir temos

🏢 Tiksliniai skyriai

IT saugumas rizika atitiktis auditas

🏷️ Teminė aprėptis

turto valdymas duomenų klasifikavimas rizikos valdymas atitikties valdymas saugumo operacijos
€49

Vienkartinis pirkimas

Momentinis atsisiuntimas
Visą gyvenimą trunkantys atnaujinimai
Asset Management Policy

Produkto informacija

Tipas: policy
Kategorija: Enterprise
Standartai: 7