Politika tal-Ġestjoni tal-Assi

Il-Politika tal-Ġestjoni tal-Assi (P12) tistabbilixxi r-rekwiżiti organizzattivi għall-identifikazzjoni, il-klassifikazzjoni, il-ġestjoni u s-sigurtà tal-assi tal-informazzjoni kollha tul iċ-ċiklu tal-ħajja tal-assi tal-informazzjoni. Id-dokument għandu l-għan li jipprovdi sorveljanza u governanza fuq livell ta’ intrapriża, b’appoġġ għal ambjenti ta’ ħardwer, softwer, dejta, cloud, mobbli, remoti u ġestiti minn partijiet terzi. L-intenzjoni ewlenija tiegħu hija li tiżgura li l-organizzazzjoni tikseb viżibbiltà sħiħa fuq il-portafoll tal-assi tagħha, li min-naħa tagħha tippermetti kontrolli tas-sigurtà effettivi, assenjazzjoni tas-sjieda, konformità regolatorja, u proċeduri responsabbli ta’ dekummissjonar. L-assi rregolati taħt din il-politika jinkludu firxa wiesgħa: laptops, desktops, apparati mobbli, ħżin li jista’ jitneħħa, printers, tagħmir tan-network, softwer, bażijiet tad-dejta, dejta tal-backup, ċwievet tal-iċċifrar, dejta strutturata u dejta mhux strutturata, rapporti, email, proprjetà intellettwali, riżorsi tal-cloud, magni virtwali, kontijiet tal-utenti, linja bażi tal-kontrolli, liċenzji, u aktar. Il-politika tkopri lill-impjegati kollha, kuntratturi, fornituri ta’ servizzi ta’ partijiet terzi, u fornituri terzi li jużaw, jimmaniġġjaw jew jaċċessaw assi tal-informazzjoni li huma proprjetà tal-organizzazzjoni jew ikkontrollati minnha. Din il-kopertura testendi wkoll għal assi f’ambjenti remoti, ambjenti ibridi jew servizzi esternalizzati, u tiżgura li s-sigurtà u t-traċċabbiltà tal-assi ma jiġux kompromessi minħabba l-lokazzjoni. Objettiv fundamentali huwa ż-żamma ta’ reġistru tal-assi ċentralizzat, preċiż u aġġornat, immexxi mill-Maniġer tal-Assi tal-IT u, fejn possibbli, integrat ma’ sistemi oħra ta’ ġestjoni tal-konfigurazzjoni. Kull assi li jiddaħħal f’dan l-inventarju għandu jinkludi metadata obbligatorja bħall-identifikatur uniku tiegħu, is-sjieda, il-klassifikazzjoni, il-lokazzjoni u l-istatus taċ-ċiklu tal-ħajja. Sidien tal-assi jiġu nominati għal kull assi, u jkunu responsabbli biex jiżguraw il-klassifikazzjoni xierqa tiegħu, il-protezzjoni u validazzjoni perjodika tar-rekords. Il-proċess ta’ klassifikazzjoni huwa l-bażi tal-politika kollha, u jiżgura li l-assi jiġu ttikkettati u mmaniġġjati skont is-sensittività, il-kritiċità u kwalunkwe rekwiżit regolatorju rilevanti. Il-proċeduri tat-tikkettar jiġu infurzati kemm għall-assi diġitali kif ukoll għall-assi fiżiċi, u r-rekwiżiti tal-immaniġġjar, pereżempju iċċifrar, ħażna msakkra jew kontroll tal-aċċess ristrett, għandhom jikkorrispondu mal-livelli ta’ klassifikazzjoni. Il-politika tiddettalja kontrolli tas-sigurtà f’kull stadju taċ-ċiklu tal-ħajja tal-assi: onboarding, riallokazzjoni, immaniġġjar, użu, ritorn sigur waqt proċedura ta’ tluq, u rimi sigur. Tistipula li l-użu tal-assi għandu jaderixxi mal-użu aċċettabbli tal-assi korporattivi, u tipprojbixxi b’mod speċifiku r-ripropożizzjoni tal-assi għal użu personali, l-installazzjoni ta’ softwer mhux awtorizzat, jew l-evitar ta’ kontrolli bħall-antivirus u l-iċċifrar. Ir-regoli għall-użu ta’ assi remoti jeħtieġu l-użu ta’ network privat virtwali (VPN) jew tunnel tat-trasport sigur u jistgħu jinvolvu soluzzjonijiet ta’ ġestjoni tal-apparati mobbli u protezzjoni tal-endpoint. Prattiki ta’ dekummissjonar u qerda siguri huma indirizzati b’mod ċar, u jeħtieġu tħassir kriptografiku jew qerda fiżika b’konferma u ż-żamma tar-rekords. Biex tappoġġja konformità kontinwa u ġestjoni tar-riskji, il-Politika tal-Ġestjoni tal-Assi tintegra mar-Reġistru tar-Riskji tal-organizzazzjoni u tappoġġja valutazzjoni tar-riskju, ġestjoni tal-eċċezzjonijiet u proċessi ta’ awditjar. Ksur, bħal assi mhux irreġistrati jew mhux awtorizzati, rimi mhux xieraq, jew diżattivazzjoni ta’ kontrolli, huma raġunijiet għal eskalazzjoni u jistgħu jwasslu għal azzjonijiet dixxiplinarji, penali fuq il-fornituri, jew saħansitra litigazzjoni. Rieżamijiet perjodiċi tal-politika jinvolvu diversi gruppi ta’ partijiet interessati u jiġu attivati minn bidliet regolatorji, sejbiet tal-awditjar, inċidenti tas-sigurtà, jew bidliet operazzjonali sostanzjali. Id-dokument jagħlaq b’referenza għal politiki relatati, Politika dwar il-Kontroll tal-Aċċess, Politika dwar il-Klassifikazzjoni u l-Immaniġġjar tal-Informazzjoni, Politika ta’ Żamma tad-Dejta, Politika tal-Illoggjar u l-Monitoraġġ, Politika ta’ Rispons għall-Inċidenti (P30), u jiżgura li l-ġestjoni tal-assi tifforma pilastru ċentrali tal-istruttura usa’ ta’ governanza tal-organizzazzjoni. Din il-politika mhijiex immarkata b’mod speċifiku bħala politika għall-SMEs. Hija mfassla għal organizzazzjonijiet b’timijiet nominati bħall-IT, l-Uffiċjal Kap tas-Sigurtà tal-Informazzjoni (CISO), il-Maniġer tal-Assi, u diversi partijiet interessati tal-konformità u tal-operazzjonijiet, u tissodisfa r-rekwiżiti komprensivi ta’ ISO/IEC 27001:2022 u qafasijiet ta’ appoġġ.