Politika upravljanja sredstev

Politika upravljanja sredstev (P12) vzpostavlja organizacijske zahteve za identifikacijo, klasifikacijo sredstev, upravljanje in zavarovanje vseh informacijskih sredstev skozi njihov življenjski cikel. Dokument je namenjen zagotavljanju nadzora in upravljanja na ravni celotnega podjetja ter podpira okolja strojne opreme, programske opreme, podatkov, oblaka, mobilnih, oddaljenih in okolij, ki jih upravljajo tretje osebe. Njegov osnovni namen je zagotoviti, da organizacija doseže popolno vidljivost nad portfeljem sredstev, kar omogoča učinkovite varnostne kontrole, dodelitev lastništva, skladnost s predpisi in odgovorne postopke izločanja iz uporabe. Sredstva, ki jih ureja ta politika, vključujejo širok nabor: prenosnike, namizne računalnike, mobilne naprave, odstranljive medije za shranjevanje, tiskalnike, omrežno opremo, programsko opremo, podatkovne baze, podatke varnostnih kopij, šifrirne ključe, strukturirane podatke in nestrukturirane podatke, poročila, e-pošto, intelektualno lastnino, račune v oblaku, virtualne stroje, uporabniške račune, izhodiščne konfiguracije, licence in drugo. Politika velja za vse osebje, pogodbene izvajalce, ponudnike storitev tretjih oseb in dobavitelje tretjih oseb, ki uporabljajo, upravljajo ali dostopajo do informacijskih sredstev v lasti ali pod nadzorom organizacije. To velja tudi za sredstva v oddaljenih, hibridnih okoljih ali zunanje izvajane storitve, s čimer se zagotovi, da varnost in sledljivost sredstev nista ogroženi zaradi lokacije. Temeljni cilj je vzdrževanje centraliziranega, natančnega in ažurnega registra popisa sredstev, ki ga upravlja vodja IT sredstev in je, kjer je mogoče, integriran z upravljanjem konfiguracije. Vsako sredstvo, vneseno v ta popis, mora vključevati obvezne metapodatke, kot so edinstveni identifikator, lastništvo, klasifikacija sredstev, lokacija in status življenjskega cikla. Za vsako sredstvo se določi lastnik sredstva, ki je odgovoren za ustrezno klasifikacijo sredstev, zaščito in periodično preverjanje zapisov. Postopek klasifikacije sredstev je temelj celotne politike in zagotavlja, da so sredstva označena in upravljana glede na občutljivost, kritičnost in relevantne regulativne zahteve. Postopki označevanja se uveljavljajo za digitalna in fizična sredstva, zahteve glede ravnanja (npr. šifriranje, zaklenjena hramba ali omejen dostop) pa morajo ustrezati ravnem klasifikacije. Politika podrobno opisuje varnostne kontrole na vsaki stopnji življenjskega cikla sredstva: uvajanje, prerazporeditev, ravnanje, uporaba, varna vrnitev med postopkom izstopa in varna odstranitev. Določa, da mora uporaba sredstev slediti standardom sprejemljive uporabe sredstev podjetja, ter izrecno prepoveduje preusmerjanje sredstev za osebno uporabo, nameščanje nepooblaščene programske opreme ali obhod kontrol, kot sta antivirusna programska oprema in šifriranje. Pravila za uporabo oddaljenih sredstev zahtevajo uporabo navideznega zasebnega omrežja (VPN) ali varnih tunelov ter lahko vključujejo rešitve za upravljanje mobilnih naprav in varnost končnih točk. Varno izločanje iz uporabe in uničenje sta jasno opredeljena ter zahtevata kriptografsko brisanje ali fizično uničenje s potrditvijo in vodenjem evidenc. Za podporo stalni skladnosti in obvladovanju tveganj se Politika upravljanja sredstev povezuje z registrom tveganj organizacije ter podpira oceno tveganja, upravljanje izjem in postopke presoje. Kršitve, kot so neregistrirana ali nepooblaščena sredstva, nepravilna odstranitev ali onemogočanje kontrol, so razlog za eskalacijo in lahko vodijo do disciplinskih ukrepov, kazni za dobavitelje ali celo pravdnega postopka. Periodični pregledi politike vključujejo več skupin zainteresiranih strani in se sprožijo zaradi regulativnih sprememb, ugotovitev presoje, varnostnih incidentov ali pomembnih operativnih sprememb. Dokument se zaključi s sklici na povezane politike: politika nadzora dostopa, politika razvrščanja in ravnanja z informacijami, politika hrambe podatkov, politika beleženja in spremljanja, politika odzivanja na incidente, s čimer upravljanje sredstev predstavlja osrednji steber širše strukture upravljanja organizacije. Ta politika ni posebej označena kot politika za MSP. Namenjena je organizacijam z določenimi ekipami, kot so IT, vodja informacijske varnosti (CISO), vodja sredstev ter različni deležniki za skladnost in operativno izvajanje, ter izpolnjuje celovite zahteve ISO/IEC 27001:2022 in podpornih okvirov.