Beleid inzake beheer van bedrijfsmiddelen

Het Beleid inzake beheer van bedrijfsmiddelen (P12) stelt de organisatorische eisen vast voor het identificeren, classificeren, beheren en beveiligen van alle informatieactiva gedurende hun levenscyclus. Het document beoogt organisatiebrede oversight en governance te bieden en ondersteunt hardware, software, gegevens, cloud, mobiele, remote en door derden beheerde omgevingen. De kernintentie is te waarborgen dat de organisatie volledige zichtbaarheid bereikt over haar assetportfolio, wat op zijn beurt doeltreffende beheersmaatregelen, toewijzing van eigenaarschap, naleving van de regelgeving en verantwoorde procedures voor buitengebruikstelling mogelijk maakt. Bedrijfsmiddelen die onder dit beleid vallen omvatten een breed scala: laptops, desktops, mobiele apparaten, verwijderbare opslag, printers, netwerkapparatuur, software, databanken, back-upgegevens, encryptiesleutels, gestructureerde gegevens en ongestructureerde data, rapporten, e-mail, intellectueel eigendom, cloudresources, virtuele machines, gebruikersaccounts, baselines van beheersmaatregelen, licenties en meer. Alle werknemers en contractanten, dienstverleners van derde partijen en derdepartijleveranciers die informatieactiva gebruiken, beheren of benaderen die eigendom zijn van of worden beheerd door de organisatie, vallen onder het beleid. Deze dekking strekt zich uit tot activa met toegang op afstand, hybride omgevingen of uitbestede omgevingen, zodat de beveiliging en traceerbaarheid van bedrijfsmiddelen niet worden aangetast door locatie. Een fundamentele doelstelling is het onderhouden van een gecentraliseerd, nauwkeurig en actueel assetregister van de inventaris van bedrijfsmiddelen, beheerd door de IT Asset Manager en waar mogelijk geïntegreerd met andere systemen voor configuratiebeheer. Elk bedrijfsmiddel dat in deze inventaris wordt opgenomen, moet verplichte metadata bevatten, zoals de unieke identificator, eigenaarschap, classificatie van bedrijfsmiddelen, locatie en levenscyclusstatus. Voor elk bedrijfsmiddel worden asset-eigenaren aangewezen, die verantwoordelijk zijn voor passende classificatie, bescherming en periodieke toegangsvalidatie van registraties. Het classificatieproces vormt de basis van het gehele beleid en waarborgt dat bedrijfsmiddelen worden gelabeld en beheerd op basis van gevoeligheid, kritikaliteit en relevante wettelijke verplichtingen. Etiketteringsprocedures worden afgedwongen voor zowel digitale activa als fysieke bedrijfsmiddelen, en verwerkingsvereisten, bijvoorbeeld encryptie, afgesloten opslag of toegangsrechten, moeten overeenkomen met de informatieclassificatieniveaus. Het beleid beschrijft beveiligingsmaatregelen in elke fase van de levenscyclus van bedrijfsmiddelen: onboarding, herallocatie, gegevensverwerking, gebruik, veilige terugname tijdens offboarding en veilige afvoer. Het bepaalt dat gebruik van bedrijfsmiddelen moet voldoen aan Aanvaardbaar gebruik van bedrijfsmiddelen en verbiedt specifiek het herbestemmen van bedrijfsmiddelen voor persoonlijk gebruik, het installeren van ongeautoriseerde software of het omzeilen van beheersmaatregelen zoals antivirus en encryptie. Regels voor gebruik van bedrijfsmiddelen bij toegang op afstand vereisen het gebruik van een virtueel privénetwerk (VPN) of een beveiligde transporttunnel en kunnen oplossingen voor mobiel apparaatbeheer en endpointbeveiliging omvatten. Veilige buitengebruikstelling en vernietigingspraktijken worden expliciet behandeld en vereisen cryptografisch wissen of fysieke vernietiging met bevestiging en registratie. Ter ondersteuning van voortdurende naleving en risicomanagement integreert het Beleid inzake beheer van bedrijfsmiddelen met het Risicoregister van de organisatie en ondersteunt het risicobeoordeling, uitzonderingsbeheer en auditprocessen. Overtredingen, zoals niet-geregistreerde of ongeautoriseerde bedrijfsmiddelen, onjuiste afvoer of het uitschakelen van beheersmaatregelen, zijn aanleiding voor escalatie en kunnen leiden tot disciplinaire maatregelen, leverancierssancties of zelfs gerechtelijke procedures. Periodieke beleidsherzieningen omvatten meerdere stakeholdergroepen en worden geactiveerd door regelgevende wijzigingen, auditbevindingen, beveiligingsincidenten of substantiële operationele veranderingen. Het document sluit af met verwijzing naar gerelateerde beleidslijnen: Beleid inzake toegangscontrole, Informatieclassificatie- en -behandelingsbeleid, Gegevensbewaringsbeleid, Logging- en monitoringbeleid en Incidentresponsbeleid (P30), zodat beheer van bedrijfsmiddelen een centrale pijler vormt van de bredere governancestructuur van de organisatie. Dit beleid is niet specifiek gelabeld als een MKB-beleid. Het is ontworpen voor organisaties met aangewezen teams zoals IT, de Chief Information Security Officer (CISO), de IT Asset Manager en diverse compliance- en operationele stakeholders, en voldoet aan de uitgebreide eisen van ISO/IEC 27001:2022 en ondersteunende raamwerken.