Polityka zarządzania aktywami – SME

Polityka zarządzania aktywami P12S została zaprojektowana specjalnie dla małych i średnich przedsiębiorstw (SME), uwzględniając unikalne wyzwania, z jakimi organizacje te mierzą się w zarządzaniu aktywami informacyjnymi przy ograniczonych zasobach technicznych i kadrowych. Odzwierciedlając ISO/IEC 27001:2022 oraz inne międzynarodowe normy, polityka ta ustanawia jasne i praktyczne ramy identyfikowania, śledzenia, ochrony oraz wycofywania z eksploatacji zarówno aktywów fizycznych, jak i aktywów cyfrowych w całym ich cyklu życia. Polityka ma zastosowanie w całej organizacji, w tym do sprzętu (laptopy, telefony, USB), oprogramowania (aplikacje, rozwiązania SaaS), repozytoriów danych, urządzeń dostępowych (karty inteligentne, breloki), a także krytycznych poświadczeń cyfrowych i usług wspierających codzienne operacje. Obejmuje wszystkich interesariuszy — pracowników, wykonawców, strony trzecie — którzy postępują z aktywami organizacji. Polityka uwzględnia wszystkie formy nowoczesnej pracy: biurową, zdalną, hybrydową, mobilną oraz w chmurze obliczeniowej. Tak szeroki zakres zapewnia, że aktywa są nie tylko śledzone, ale również rozliczane w różnych środowiskach prowadzenia działalności. Kluczowym celem jest ustanowienie i utrzymanie stale aktualizowanego, dokładnego wykazu aktywów. Każde aktywo musi mieć jasno przypisanego właściciela aktywów, który odpowiada za jego pieczę i bezpieczne postępowanie. Podkreślona jest klasyfikacja aktywów: urządzenia przechowujące dane klientów lub wrażliwe dane biznesowe otrzymują dodatkowe zabezpieczenia i są ściślej śledzone. Co istotne dla SME, wszystkie działania opierają się na możliwych do utrzymania odpowiedzialnościach opartych na rolach. Dyrektor generalny (GM) ponosi ogólną rozliczalność. Kierownik ds. IT (lub inny wyznaczony opiekun) odpowiada za bieżące prowadzenie zapisów, natomiast bezpośredni przełożony i pracownicy wspierają przypisywanie aktywów, ich zabezpieczanie oraz procesy odzyskiwania aktywów. To uproszczenie ról zapewnia skuteczność nawet wtedy, gdy organizacje nie mają dedykowanych menedżerów ds. bezpieczeństwa lub IT. Polityka szczegółowo określa wymagania dotyczące wydawania, zwrotu, utrzymania, etykietowania oraz bezpiecznej utylizacji aktywów. Aktywa chmurowe i wirtualne są w pełni uwzględnione, podobnie jak wykorzystywanie prywatnych urządzeń (BYOD), jeśli zostanie technicznie zatwierdzone. Uwzględniono również wyjątki (np. nieformalne współdzielenie sprzętu), wymagające zgody GM oraz tymczasowych kontroli kompensacyjnych dla wszelkich odchyleń. Procesy zarządzania są praktyczne: ustrukturyzowane wykazy muszą zawierać pola takie jak identyfikator aktywa, typ, status, własność i inne. Dostęp do samego wykazu aktywów jest ściśle kontrolowany i podlega regularnym audytom — zarówno fizycznym, jak i cyfrowym. Kontrole wyrywkowe odbywają się co najmniej co sześć miesięcy, a sama polityka jest przeglądana corocznie lub po wprowadzeniu nowych technologii, wymagań regulacyjnych bądź po incydencie lub ustaleniach z audytu. Niezgodność może skutkować środkami dyscyplinarnymi, co podkreśla znaczenie bezpiecznego i odpowiedzialnego zarządzania aktywami organizacji. Jest to polityka ClarySec dla SME, spełniająca wymagania zgodności z ISO/IEC 27001:2022, ale dostosowana do organizacji bez wysokiej obsady IT lub bezpieczeństwa. Linie odpowiedzialności są uproszczone, ale nadal zapewniają pełną identyfikowalność, audytowalność oraz dostosowanie regulacyjne do standardów takich jak GDPR, DORA i NIS2.