policy Enterprise

Politika správy aktív

Komplexná politika správy aktív na zabezpečenie, sledovanie a riadenie všetkých aktív organizácie, zosúladená s poprednými normami a predpismi.

Prehľad

Politika správy aktív (P12) stanovuje požiadavky na identifikáciu, klasifikáciu aktív, inventarizáciu aktív a ochranu aktív organizácie počas ich životného cyklu, čím zabezpečuje súlad, vlastníctvo a bezpečnosť od procesu nástupu po likvidáciu.

Centralizovaná inventarizácia aktív

Nariaďuje úplnú, auditovateľnú inventarizáciu aktív všetkých fyzických, digitálnych a cloudových aktív.

Vlastníctvo a klasifikácia aktív

Definuje vlastníka aktíva a klasifikáciu aktív na účely ochrany a regulačného súladu.

Bezpečné kontroly životného cyklu

Popisuje nakladanie s aktívami od obstarania po bezpečnú likvidáciu, s podporou súladu a riadenia rizík.

Vynucovanie a auditovateľnosť

Umožňuje vynucovanie politiky, interné/externé audity a uchovávanie auditných dôkazov pre regulačné potreby.

Čítať celý prehľad
Politika správy aktív (P12) stanovuje organizačné požiadavky na identifikáciu, klasifikáciu aktív, riadenie a zabezpečenie všetkých informačných aktív počas ich životného cyklu. Dokument má za cieľ zabezpečiť podnikovú úroveň dohľadu a správy, s podporou hardvéru, softvéru, údajov, cloudu, mobilných, vzdialených a prostredí spravovaných tretími stranami. Jeho hlavným zámerom je zabezpečiť, aby organizácia dosiahla úplnú viditeľnosť naprieč portfóliom aktív, čo následne umožňuje účinné bezpečnostné opatrenia, priradenie vlastníctva, dodržiavanie predpisov a zodpovedné postupy vyradenia z prevádzky. Aktíva riadené podľa tejto politiky zahŕňajú široké spektrum: notebooky, stolné počítače, mobilné zariadenia, vymeniteľné úložiská, tlačiarne, sieťové zariadenia, softvér, databázy, zálohované údaje, šifrovacie kľúče, štruktúrované údaje a neštruktúrované údaje, reporty, e-mail, duševné vlastníctvo, cloudové zdroje, virtuálne stroje, používateľské účty, referenčné konfigurácie, licencie a ďalšie. Politika sa vzťahuje na všetkých zamestnancov, dodávateľov, poskytovateľov služieb a dodávateľov tretích strán, ktorí používajú, spravujú alebo pristupujú k informačným aktívam vlastneným alebo kontrolovaným organizáciou. Toto pokrytie sa vzťahuje aj na aktíva vo vzdialených, hybridných prostrediach alebo outsourcovaných službách, čím sa zabezpečuje, že bezpečnosť a vysledovateľnosť aktív nie sú ohrozené lokalitou. Základným cieľom je udržiavanie centralizovaného, presného a aktuálneho registra inventarizácie aktív, spravovaného IT Asset Managerom a, kde je to možné, integrovaného s inými systémami riadenia konfigurácie. Každé aktívum zadané do tejto inventarizácie aktív musí obsahovať povinné metadáta, ako je jeho unikátny identifikátor, vlastníctvo, klasifikácia, umiestnenie a stav životného cyklu. Pre každé aktívum sú určení vlastníci aktív, ktorí sú zodpovední za zabezpečenie jeho primeranej klasifikácie aktív, ochrany a pravidelnej validácie záznamov. Proces klasifikácie je základom celej politiky a zabezpečuje, že aktíva sú označené a spravované podľa citlivosti, kritickosti a relevantných regulačných požiadaviek. Postupy označovania sa vynucujú pre digitálne aj fyzické aktíva a požiadavky na nakladanie (napr. šifrovanie, uzamknuté uloženie alebo obmedzený prístup) musia zodpovedať úrovniam klasifikácie. Politika podrobne opisuje bezpečnostné opatrenia v každej fáze životného cyklu aktív: proces nástupu, realokácia, nakladanie, používanie, bezpečné vrátenie počas offboardingu a bezpečná likvidácia. Stanovuje, že používanie aktív musí byť v súlade s prípustným používaním podnikových aktív, a výslovne zakazuje preúčelovanie aktív na osobné použitie, inštaláciu neautorizovaného softvéru alebo obchádzanie kontrol, ako sú antivírusový softvér a šifrovanie. Pravidlá pre používanie vzdialených aktív vyžadujú použitie virtuálnej privátnej siete (VPN) alebo bezpečného prenosového tunela a môžu zahŕňať riešenia správy mobilných zariadení a riadenia koncových bodov. Bezpečné vyradenie z prevádzky a zničenie sú jasne upravené a vyžadujú kryptografické vymazanie alebo fyzické zničenie s potvrdením a vedením záznamov. Na podporu priebežného súladu a riadenia rizík sa politika správy aktív integruje s registrom rizík organizácie a podporuje posúdenie rizík, riadenie výnimiek a auditné procesy. Porušenia, ako sú neregistrované alebo neoprávnené aktíva, nesprávna likvidácia alebo deaktivácia kontrol, sú dôvodom na eskaláciu a môžu viesť k disciplinárnym opatreniam, sankciám voči dodávateľom alebo aj k súdnym konaniam. Pravidelné preskúmania politiky zahŕňajú viaceré skupiny zainteresovaných strán a sú spúšťané regulačnými zmenami, auditnými zisteniami, incidentmi informačnej bezpečnosti alebo významnými prevádzkovými zmenami. Dokument sa uzatvára odkazom na súvisiace politiky: Politika riadenia prístupu, Politika klasifikácie a nakladania s informáciami, Politika uchovávania údajov, Politika zaznamenávania a monitorovania, Politika reakcie na incidenty (P30), čím sa zabezpečuje, že správa aktív tvorí centrálny pilier širšej štruktúry správy organizácie. Táto politika nie je špecificky označená ako politika pre MSP. Je navrhnutá pre organizácie s určenými tímami, ako sú IT, riaditeľ informačnej bezpečnosti (CISO), IT Asset Manager a rôzni zainteresovaní v oblasti súladu a prevádzky, pričom spĺňa komplexné požiadavky ISO/IEC 27001:2022 a podporované rámce.

Diagram politiky

Diagram politiky správy aktív zobrazujúci vytvorenie inventára, priradenie vlastníctva, klasifikáciu aktív, kontroly životného cyklu, ošetrenie výnimiek a kroky preskúmania súladu.

Kliknite na diagram pre zobrazenie v plnej veľkosti

Obsah

Rozsah a pravidlá spolupráce

Inventarizácia aktív a požiadavky na metadáta

Postupy klasifikácie aktív a označovania

Životný cyklus aktív (proces nástupu, vrátenie, likvidácia)

Riadenie aktív tretích strán a vzdialených aktív

Integrácia auditu a reakcia na incidenty

Súlad s rámcom

🛡️ Podporované štandardy a rámce

Tento produkt je v súlade s nasledujúcimi rámcami dodržiavania predpisov s podrobnými mapovaniami doložiek a kontrol.

Rámec Pokryté doložky / Kontroly
ISO/IEC 27001:2022
8.1Annex A.5.9
ISO/IEC 27002:2022
5.95.105.11
NIST SP 800-53 Rev.5
CM-8RA-3MP-6
EU GDPR
Article 30Article 32
EU NIS2
Article 21(2)(a, b)Article 21(3)
EU DORA
Article 5Article 9
COBIT 2019
BAI09DSS01MEA03

Súvisiace zásady

Politika riadenia prístupu

Zabezpečuje, že viditeľnosť aktív je zosúladená s prístupovými právami a mechanizmami riadenia prístupu naprieč systémami a prostrediami údajov.

Politika nástupu a ukončenia

Riadi včasné zriaďovanie prístupu a vrátenie fyzických a logických aktív počas personálnych zmien.

Politika klasifikácie údajov a označovania

Stanovuje povinné pravidlá klasifikácie pre aktíva, ktoré určujú postupy označovania, nakladania a likvidácie.

Politika uchovávania údajov a likvidácie

Definuje časový harmonogram a metódy bezpečnej likvidácie pre digitálne a fyzické aktíva nesúce informácie.

Politika zaznamenávania a monitorovania

Umožňuje vysledovateľnosť prístupu k aktívam a ich používania prostredníctvom systémového auditného logovania, viditeľnosti koncových bodov a behaviorálnej analytiky.

Politika reakcie na incidenty (P30)

Podporuje rýchle zamedzenie šírenia a vyšetrovanie porušení súvisiacich s aktívami, ako sú stratené notebooky alebo nesledované úložné médiá.

O politikách Clarysec - Politika správy aktív

Účinná správa bezpečnosti si vyžaduje viac než len slová; vyžaduje jasnosť, zodpovednosť a štruktúru, ktorá sa škáluje s vašou organizáciou. Generické šablóny často zlyhávajú a vytvárajú nejednoznačnosť prostredníctvom dlhých odsekov a nedefinovaných rolí. Táto politika je navrhnutá ako prevádzková chrbtica vášho bezpečnostného programu. Priraďujeme zodpovednosti ku konkrétnym rolám, ktoré sa nachádzajú v modernom podniku, vrátane riaditeľa informačnej bezpečnosti (CISO), IT bezpečnosti a relevantných výborov, čím zabezpečujeme jasnú zodpovednosť. Každá požiadavka je jedinečne očíslovaná doložka (napr. 5.1.1, 5.1.2). Táto atómová štruktúra uľahčuje implementáciu politiky, auditovanie voči konkrétnym kontrolám a bezpečné prispôsobenie bez narušenia integrity dokumentu, čím sa z nej stáva dynamický, vykonateľný rámec namiesto statického dokumentu.

Riadenie aktív tretích strán

Vyžaduje, aby dodávatelia tretích strán udržiavali inventarizáciu aktív a vynucovali rovnocenné štandardy sledovania aktív, označovania a likvidácie prostredníctvom zmlúv.

Shadow IT a riadenie výnimiek

Implementuje skenovanie siete a záznamy o výnimkách z politík na detekciu neoprávnených alebo nespravovaných aktív a formálne ošetrenie rizikových scenárov.

Integrované riadenie rizík

Prepája inventarizáciu aktív s registrom rizík a posúdeniami vplyvu na podnikanie pre cielené modelovanie hrozieb a súlad.

Často kladené otázky

Vytvorené pre lídrov, lídrami

Táto politika bola vypracovaná bezpečnostným lídrom s viac ako 25-ročnými skúsenosťami s implementáciou a auditovaním rámcov ISMS pre globálne podniky. Nie je navrhnutá len ako dokument, ale ako obhájiteľný rámec, ktorý obstojí pri audítorskom preskúmaní.

Vypracované odborníkom s nasledovnými kvalifikáciami:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Pokrytie a témy

🏢 Cieľové oddelenia

IT bezpečnosť riziko súlad audit

🏷️ Tematické pokrytie

správa aktív klasifikácia údajov riadenie rizík riadenie súladu bezpečnostná prevádzka
€49

Jednorazový nákup

Okamžité stiahnutie
Doživotné aktualizácie
Asset Management Policy

Podrobnosti produktu

Typ: policy
Kategória: Enterprise
Normy: 7