Aktīvu pārvaldības politika – MVU

Aktīvu pārvaldības politika P12S ir izstrādāta īpaši mazajiem un vidējiem uzņēmumiem (MVU), ņemot vērā šo organizāciju unikālos izaicinājumus informācijas aktīvu pārvaldībā ar ierobežotiem tehniskajiem un personāla resursiem. Atspoguļojot ISO/IEC 27001:2022 un citus starptautiskos standartus, šī politika nosaka skaidru un praktisku ietvaru fizisko aktīvu un digitālo aktīvu identificēšanai, izsekošanai, aizsardzībai un izņemšanai no ekspluatācijas visā to dzīves ciklā. Politika attiecas uz visu uzņēmumu, tostarp uz aparatūru (portatīvie datori, tālruņi, USB), programmatūru (lietojumprogrammas, SaaS risinājumi), datu krātuvēm, piekļuves ierīcēm (viedkartes, piekariņi), kā arī kritiskajiem digitālajiem akreditācijas datiem un pakalpojumiem, kas nodrošina ikdienas darbību. Tiek aptvertas visas ieinteresētās puses — darbinieki, līgumslēdzēji, trešo pušu pakalpojumu sniedzēji — kas apstrādā organizācijas aktīvus. Politika ir piemērota visām mūsdienu darba formām: darbam birojā, attālinātam darbam, hibrīdam darbam, mobilam darbam un darbam mākoņa vidē. Šī plašā ISMS darbības joma nodrošina, ka aktīvi tiek ne tikai izsekoti, bet arī uzskaitīti dažādās vidēs, kurās tiek veikta uzņēmējdarbība. Galvenais mērķis ir izveidot un uzturēt nepārtraukti atjauninātu, precīzu aktīvu uzskaiti. Katram aktīvam ir jābūt skaidri piešķirtam aktīva īpašniekam, kurš ir atbildīgs par tā glabāšanu un drošu apstrādi. Tiek uzsvērta aktīvu klasifikācija: ierīcēm, kas glabā klientu vai konfidenciālus biznesa datus, tiek piemēroti papildu drošības kontroles pasākumi un izsekošana. MVU vajadzībām visas procedūras izmanto pārvaldāmas, lomu balstītas atbildības. GM ir vispārējā pārskatatbildība. IT vadītājs (vai cits norīkots glabātājs) ir atbildīgs par ikdienas uzskaites uzturēšanu, savukārt tiešie vadītāji un darbinieki atbalsta aktīvu piešķiršanu, drošu glabāšanu un aktīvu atgūšanas procesus. Šī lomu vienkāršošana nodrošina efektivitāti arī tad, ja organizācijām nav specializētu drošības vai IT vadītāju. Politika stingri nosaka prasības aktīvu izsniegšanai, atgriešanai, uzturēšanai, marķēšanai un drošai likvidēšanai. Ar mākoni savienoti aktīvi un virtuālie aktīvi ir pilnībā iekļauti pieejā, tāpat arī personīgo ierīču izmantošanas (BYOD) gadījumi, ja tie ir tehniski apstiprināti. Tiek risināti arī izņēmumi (piemēram, neformāla aprīkojuma koplietošana), pieprasot GM apstiprinājumu un pagaidu kompensējošās kontroles jebkurām novirzēm. Pārvaldības procesi ir praktiski: strukturētiem inventāriem jāietver lauki aktīva ID, tipam, statusam, īpašumtiesībām u. c. Piekļuve pašai aktīvu uzskaitei ir stingri kontrolēta un pakļauta regulāriem auditiem — gan fiziskiem, gan digitāliem. Izlases pārbaudes notiek vismaz reizi sešos mēnešos, un pati politika tiek pārskatīta ik gadu vai ieviešot jaunas tehnoloģijas, regulatīvos pienākumus vai pēc incidenta vai audita konstatējumiem. Neatbilstība var novest pie disciplināriem pasākumiem, uzsverot drošas un atbildīgas organizācijas aktīvu pārvaldības nozīmi. Šī ir ClarySec MVU politika, kas nodrošina ISO/IEC 27001:2022 atbilstību, bet ir īpaši pielāgota organizācijām bez liela IT vai drošības personāla skaita. Atbildības līnijas ir vienkāršotas, taču joprojām nodrošina pilnīgu izsekojamību, auditējamību un regulatīvo saskaņotību saskaņā ar GDPR, DORA un NIS2.