policy Enterprise

Aktīvu pārvaldības politika

Visaptveroša aktīvu pārvaldības politika visu organizācijas aktīvu nodrošināšanai, izsekošanai un kontrolei, saskaņota ar vadošajiem standartiem un regulējumu.

Pārskats

Aktīvu pārvaldības politika (P12) nosaka prasības organizācijas aktīvu identificēšanai, klasificēšanai, uzskaitei un aizsardzībai visā to dzīves ciklā, nodrošinot atbilstību, īpašumtiesības un drošību no ievadīšanas līdz likvidēšanai.

Centralizēta aktīvu uzskaite

Nosaka pilnīgu, auditējamu visu fizisko, digitālo un mākoņvidē izvietoto aktīvu uzskaiti.

Īpašumtiesības un klasifikācija

Definē aktīva īpašnieku un klasifikāciju aizsardzībai un regulatīvajai atbilstībai.

Drošas dzīves cikla kontroles

Apraksta aktīvu apstrādi no iegādes līdz drošai likvidēšanai, atbalstot atbilstību un risku pārvaldību.

Izpilde un auditējamība

Nodrošina politikas izpildi, iekšējo/ārējo auditu un pierādījumu glabāšanu regulatīvajām vajadzībām.

Lasīt pilnu pārskatu
Aktīvu pārvaldības politika (P12) nosaka organizācijas prasības visu informācijas aktīvu identificēšanai, klasificēšanai, pārvaldībai un nodrošināšanai visā to dzīves ciklā. Dokumenta mērķis ir nodrošināt uzņēmuma mēroga uzraudzību un pārvaldību, aptverot aparatūru, programmatūru, datus, mākoņa, mobilās, attālinātās un trešo pušu pārvaldītās vides. Tās pamatnodoms ir nodrošināt organizācijai pilnīgu redzamību pār aktīvu portfeli, kas savukārt ļauj ieviest efektīvus drošības kontroles pasākumus, piešķirt īpašumtiesības, nodrošināt regulatīvo atbilstību un atbildīgas ekspluatācijas izbeigšanas procedūras. Saskaņā ar šo politiku pārvaldītie aktīvi ietver plašu klāstu: klēpjdatorus, galddatorus, mobilās ierīces, noņemamus datu nesējus, printerus, tīkla aprīkojumu, programmatūru, datubāzes, rezerves kopiju datus, šifrēšanas atslēgas, strukturētus un nestrukturētus datus, pārskatus, e-pastu, intelektuālo īpašumu, mākoņa resursus, virtuālās mašīnas, lietotāju kontus, konfigurācijas bāzlīnijas, licences un citus. Politika attiecas uz visiem darbiniekiem, līgumslēdzējiem, trešo pušu pakalpojumu sniedzējiem un piegādātājiem, kuri izmanto, pārvalda vai piekļūst organizācijai piederošiem vai tās kontrolētiem informācijas aktīviem. Šis tvērums attiecas arī uz aktīviem attālinātās, hibrīdvides vai ārpakalpojumu vidēs, nodrošinot, ka aktīvu drošība un izsekojamība netiek apdraudēta atrašanās vietas dēļ. Būtisks mērķis ir centralizēta, precīza un aktuāla aktīvu reģistra uzturēšana, ko pārvalda IT aktīvu pārvaldnieks un, kur iespējams, integrē ar citām konfigurācijas pārvaldības sistēmām. Katram aktīvam, kas tiek ievadīts šajā uzskaitē, jāietver obligāti metadati, piemēram, unikāls identifikators, īpašumtiesības, klasifikācija, atrašanās vieta un dzīves cikla statuss. Katram aktīvam tiek noteikts aktīva īpašnieks, kurš ir atbildīgs par atbilstošu klasifikāciju, aizsardzību un periodisku ierakstu validāciju. Klasifikācijas process ir visas politikas pamats, nodrošinot, ka aktīvi tiek marķēti un pārvaldīti atbilstoši sensitivitātei, kritiskumam un attiecīgajām regulatīvajām prasībām. Marķēšanas procedūras tiek piemērotas gan digitālajiem, gan fiziskajiem aktīviem, un apstrādes prasībām, piemēram, šifrēšanai, slēgtai glabāšanai vai piekļuves kontrolei, jāatbilst klasifikācijas līmeņiem. Politika detalizē drošības kontroles pasākumus katrā aktīva dzīves cikla posmā: ievadīšana, pārdale, apstrāde, izmantošana, droša atgriešana darbinieka atiešanas procesa laikā un droša likvidēšana. Tā nosaka, ka aktīvu izmantošanai jāatbilst pieļaujamās uzņēmuma aktīvu izmantošanas standartiem, un tā īpaši aizliedz aktīvu pārprofilēšanu personīgai lietošanai, neatļautas programmatūras instalēšanu vai kontroles pasākumu apiešanu, piemēram, antivīrusu programmatūru un šifrēšanu. Noteikumi attālinātai aktīvu izmantošanai paredz virtuālā privātā tīkla (VPN) vai droša pārvades tuneļa izmantošanu un var ietvert mobilo ierīču un galapunktu pārvaldības risinājumus. Droša ekspluatācijas izbeigšana un iznīcināšanas prakses ir skaidri noteiktas, pieprasot kriptogrāfisku dzēšanu vai fizisku iznīcināšanu ar apstiprinājumu un ierakstu uzturēšanu. Lai atbalstītu nepārtrauktu atbilstību un risku pārvaldību, aktīvu pārvaldības politika tiek integrēta ar organizācijas risku reģistru un atbalsta riska novērtēšanu, izņēmumu pārvaldību un audita procesus. Pārkāpumi, piemēram, nereģistrēti vai neautorizēti aktīvi, neatbilstoša likvidēšana vai kontroles pasākumu atspējošana, ir pamats eskalācijai un var izraisīt disciplināros pasākumus, piegādātāju sankcijas vai pat tiesvedību. Periodiski politikas pārskati ietver vairākas ieinteresēto pušu grupas un tiek ierosināti, ja notiek regulatīvas izmaiņas, audita konstatējumi, drošības incidenti vai būtiskas operatīvās izmaiņas. Dokumenta noslēgumā ir atsauces uz saistītajām politikām: Piekļuves kontrole, Datu klasifikācija, uzglabāšana un likvidēšana, Žurnālfiksēšanas un uzraudzības politika, Reaģēšana uz incidentiem, nodrošinot, ka aktīvu pārvaldība veido centrālu balstu organizācijas plašākā pārvaldības struktūrā. Šī politika nav īpaši marķēta kā MVU politika. Tā ir paredzēta organizācijām ar noteiktām komandām, piemēram, IT, galveno informācijas drošības vadītāju (CISO), aktīvu pārvaldnieku un dažādām atbilstības un operatīvajām ieinteresētajām pusēm, izpildot ISO/IEC 27001:2022 visaptverošās prasības un atbalstot ietvarus.

Politikas diagramma

Aktīvu pārvaldības politikas diagramma, kas attēlo uzskaites izveidi, īpašumtiesību piešķiršanu, klasifikāciju, dzīves cikla kontroles, izņēmumu apstrādi un atbilstības pārskatīšanas soļus.

Noklikšķiniet uz diagrammas, lai skatītu pilnā izmērā

Saturs

Tvērums un iesaistes noteikumi

Aktīvu uzskaite un metadatu prasības

Aktīvu klasifikācija un marķēšanas procedūras

Aktīvu dzīves cikls (ievadīšana, atgriešana, likvidēšana)

Trešo pušu un attālināto aktīvu pārvaldība

Audita un reaģēšanas uz incidentiem integrācija

Atbilstība ietvaram

🛡️ Atbalstītie standarti un ietvari

Šis produkts ir saskaņots ar šādiem atbilstības ietvariem ar detalizētu klauzulu un kontroles kartēšanu.

Ietvars Aplūkotās klauzulas / Kontroles
ISO/IEC 27001:2022
8.1Annex A.5.9
ISO/IEC 27002:2022
5.95.105.11
NIST SP 800-53 Rev.5
CM-8RA-3MP-6
EU GDPR
Article 30Article 32
EU NIS2
Article 21(2)(a, b)Article 21(3)
EU DORA
Article 5Article 9
COBIT 2019
BAI09DSS01MEA03

Saistītās politikas

Piekļuves kontroles politika

Nodrošina, ka aktīvu redzamība ir saskaņota ar piekļuves tiesībām un piekļuves kontroles mehānismiem sistēmās un datu vidēs.

Darba attiecību uzsākšanas un izbeigšanas politika

Pārvalda savlaicīgu piekļuves piešķiršanu un fizisko un loģisko aktīvu atgriešanu personāla pāreju laikā.

Datu klasifikācijas un marķēšanas politika

Nosaka obligātus klasifikācijas noteikumus aktīviem, kas nosaka marķēšanas, apstrādes un likvidēšanas procedūras.

Datu uzglabāšanas un likvidēšanas politika

Definē drošas likvidēšanas termiņus un metodes digitālajiem un fiziskajiem informāciju saturošajiem aktīviem.

Žurnālfiksēšanas un uzraudzības politika

Nodrošina aktīvu piekļuves un izmantošanas izsekojamību, izmantojot sistēmu žurnālus, galapunktu redzamību un uzvedības analītiku.

Incidentu reaģēšanas politika (P30)

Atbalsta ātru ierobežošanu un izmeklēšanu ar aktīviem saistītu pārkāpumu gadījumā, piemēram, pazaudēti klēpjdatori vai neizsekoti datu nesēji.

Par Clarysec politikām - Aktīvu pārvaldības politika

Efektīvai drošības pārvaldībai ir nepieciešams vairāk nekā tikai formulējumi; tā prasa skaidrību, pārskatatbildību un struktūru, kas mērogojas līdz ar organizāciju. Vispārīgas veidnes bieži neizdodas, radot neskaidrības ar gariem rindkopu blokiem un nedefinētām lomām. Šī politika ir izstrādāta kā jūsu drošības programmas operatīvais pamats. Mēs piešķiram pienākumus konkrētām lomām, kas sastopamas mūsdienu uzņēmumā, tostarp galvenajam informācijas drošības vadītājam (CISO), IT un drošības komandām un attiecīgajām komitejām, nodrošinot skaidru pārskatatbildību. Katra prasība ir unikāli numurēta klauzula (piem., 5.1.1, 5.1.2). Šī atomārā struktūra padara politiku viegli ieviešamu, auditējamu pret konkrētiem kontroles pasākumiem un droši pielāgojamu, neietekmējot dokumenta integritāti, pārvēršot to no statiska dokumenta par dinamisku, praktiski īstenojamu ietvaru.

Trešo pušu aktīvu pārvaldība

Pieprasa piegādātājiem uzturēt uzskaites un ar līgumiem nodrošināt līdzvērtīgus aktīvu izsekošanas, marķēšanas un likvidēšanas standartus.

Shadow IT un izņēmumu kontroles pasākumi

Ievieš tīkla skenēšanu un izņēmumu žurnālus, lai atklātu nesankcionētus vai nepārvaldītus aktīvus un formāli apstrādātu riska scenārijus.

Integrēta risku pārvaldība

Sasaista aktīvu uzskaites ar risku reģistriem un biznesa ietekmes novērtējumiem mērķtiecīgai draudu modelēšanai un atbilstībai.

Biežāk uzdotie jautājumi

Izstrādāts līderiem, līderu veidots

Šo politiku ir izstrādājis drošības līderis ar vairāk nekā 25 gadu pieredzi ISMS ietvaru ieviešanā un auditēšanā globālos uzņēmumos. Tā ir paredzēta ne tikai kā dokuments, bet kā aizstāvams ietvars, kas iztur auditoru pārbaudi.

Izstrādājis eksperts ar šādām kvalifikācijām:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Pārklājums un tēmas

🏢 Mērķa departamenti

IT drošība risks atbilstība audits

🏷️ Tematiskais pārklājums

aktīvu pārvaldība datu klasifikācija risku pārvaldība atbilstības pārvaldība drošības operācijas
€49

Vienreizējs pirkums

Tūlītēja lejupielāde
Mūža atjauninājumi
Asset Management Policy

Produkta informācija

Veids: policy
Kategorija: Enterprise
Standarti: 7