Politica de management al activelor

Politica de management al activelor (P12) stabilește cerințele organizaționale pentru identificarea, clasificarea, gestionarea și securizarea tuturor activelor informaționale pe întregul ciclu de viață. Documentul urmărește să ofere supraveghere și guvernanță la nivel de organizație, acoperind hardware, software, date, cloud, medii mobile, acces la distanță și medii gestionate de terți. Intenția sa principală este să asigure că organizația obține vizibilitate completă asupra portofoliului de active, ceea ce permite controale de securitate eficiente, desemnarea proprietății, conformitate cu reglementările și proceduri responsabile de dezafectare. Activele guvernate în cadrul acestei politici includ o gamă largă: laptopuri, desktopuri, dispozitive mobile, stocare detașabilă, imprimante, echipamente de rețea, software, baze de date, date de backup, chei de criptare, date structurate și date nestructurate, rapoarte, e-mail, proprietate intelectuală, resurse cloud, mașini virtuale, conturi de utilizator, bază de referință a controalelor, licențe și altele. Politica se aplică întregului personal, contractanților, furnizorilor de servicii terți și furnizorilor terți care utilizează, gestionează sau accesează active informaționale deținute sau controlate de organizație. Această acoperire se extinde și la activele din medii la distanță, hibride sau servicii externalizate, asigurând că securitatea și trasabilitatea activelor nu sunt compromise de locație. Un obiectiv fundamental este menținerea unui registru al activelor centralizat, exact și actualizat, gestionat de Managerul de active IT și, acolo unde este posibil, integrat cu alte sisteme de management al configurației. Fiecare activ introdus în acest inventar trebuie să includă metadate obligatorii, precum identificatorul unic, proprietatea, clasificarea, locația și starea ciclului de viață. Pentru fiecare activ sunt desemnați proprietari ai activului, responsabili să asigure clasificarea adecvată, protecția și validarea periodică a înregistrărilor. Procesul de clasificare stă la baza întregii politici, asigurând că activele sunt etichetate și gestionate în funcție de sensibilitate, criticitate și orice cerințe de reglementare relevante. Procedurile de etichetare sunt aplicate atât pentru active digitale, cât și pentru active fizice, iar cerințele de gestionare (de exemplu, criptare, stocare încuiată sau restricții privind partajările de rețea) trebuie să corespundă nivelurilor de clasificare. Politica detaliază controale de securitate în fiecare etapă a ciclului de viață al activelor: înrolare, realocare, gestionare, utilizare, returnare securizată în timpul încetării colaborării și eliminare securizată. Stipulează că utilizarea activelor trebuie să respecte utilizarea acceptabilă a activelor corporative și interzice în mod specific reutilizarea activelor pentru uz personal, instalarea de software neautorizat sau ocolirea controalelor precum antivirusul și criptarea. Regulile pentru utilizarea activelor la distanță impun utilizarea unei rețele private virtuale (VPN) sau a unui tunel de transport securizat și pot include soluții de gestionare a dispozitivelor mobile și de securitate a punctelor terminale. Practicile de dezafectare și distrugere securizată sunt abordate clar, necesitând ștergeri criptografice sau distrugere fizică, cu confirmare și păstrarea înregistrărilor. Pentru a susține conformitatea și managementul riscurilor în mod continuu, Politica de management al activelor se integrează cu registrul riscurilor al organizației și susține evaluarea riscurilor, gestionarea excepțiilor și procesele de audit. Încălcările, precum active neînregistrate sau neautorizate, eliminare necorespunzătoare sau dezactivarea controalelor, constituie motive de escaladare și pot conduce la măsuri disciplinare, penalități pentru furnizori sau chiar litigiu. Revizuirile periodice ale politicii implică mai multe grupuri de părți interesate și sunt declanșate de schimbări de reglementare, constatări de audit, incidente de securitate sau schimbări operaționale semnificative. Documentul se încheie cu referințe la politici conexe: Politica de control al accesului, Politica de clasificare și gestionare a informațiilor, Politica de păstrare a datelor, Politica de jurnalizare și monitorizare, Politica de răspuns la incidente, asigurând că managementul activelor formează un pilon central al structurii mai largi de guvernanță a organizației. Această politică nu este etichetată în mod specific ca politică pentru IMM-uri. Este concepută pentru organizații cu echipe desemnate precum IT, Ofițerul-șef pentru securitatea informațiilor (CISO), Managerul de active IT și diverși factori de decizie din conformitate și operațiuni, îndeplinind cerințele cuprinzătoare ale ISO/IEC 27001:2022 și ale cadrelor de referință suport.