policy Enterprise

Policy för tillgångshantering

Omfattande policy för tillgångshantering för att säkra, spåra och kontrollera alla organisationens tillgångar, i linje med ledande standarder och regelverk.

Översikt

Policy för tillgångshantering (P12) fastställer krav för att identifiera, klassificera, inventera och skydda organisationens tillgångar genom hela deras livscykel och säkerställer regelefterlevnad, ägarskap och säkerhet från introduktion till bortskaffning.

Centraliserad tillgångsförteckning

Kräver en fullständig, revisionsbar förteckning över alla fysiska, digitala och molnbaserade tillgångar.

Ägarskap och klassificering

Definierar tillgångsägare och tillgångsklassificering för skydd och regulatorisk anpassning.

Säkra livscykelkontroller

Beskriver datahantering av tillgångar, från anskaffning till säker avveckling, som stöd för regelefterlevnad och riskhantering.

Tillsyn och revisionsbarhet

Möjliggör policyefterlevnad, interna/externa revisioner och bevarande av revisionsbevis för regulatoriska behov.

Läs fullständig översikt
Policy för tillgångshantering (P12) fastställer organisationens krav för att identifiera, klassificera, hantera och säkra alla informationstillgångar genom hela deras livscykel. Dokumentet syftar till att leverera företagsövergripande tillsyn och styrning och stödjer hårdvara, programvara, data, moln, mobila, fjärr- och tredjepartsförvaltade miljöer. Kärnsyftet är att säkerställa att organisationen uppnår full insyn i sin tillgångsportfölj, vilket i sin tur möjliggör effektiva säkerhetskontroller, tilldelning av ägarskap, regelefterlevnad och ansvarsfulla avvecklingsrutiner. Tillgångar som styrs av denna policy omfattar ett brett spektrum: bärbara datorer, stationära datorer, mobila enheter, flyttbara lagringsmedia, skrivare, nätverksutrustning, programvara, databaser, säkerhetskopierade data, krypteringsnycklar, strukturerade data och ostrukturerade data, rapporter, e‑post, immateriella rättigheter, molnresurser, virtuella maskiner, användarkonton, kontrollbaslinjer, licenser med mera. Alla anställda, uppdragstagare, tredjepartstjänsteleverantörer och leverantörer som använder, hanterar eller får åtkomst till informationstillgångar som ägs eller kontrolleras av organisationen omfattas av policyn. Detta omfattar även tillgångar i fjärr-, hybrid- eller utlagda miljöer, vilket säkerställer att tillgångssäkerhet och spårbarhet inte äventyras av plats. Ett grundläggande mål är att upprätthålla en centraliserad, korrekt och uppdaterad tillgångsförteckning, förvaltad av IT Asset Manager och, där det är möjligt, integrerad med andra system för konfigurationshantering. Varje tillgång som registreras i denna förteckning ska innehålla obligatoriska metadata såsom unik identifierare, ägarskap, klassificering, plats och livscykelstatus. Tillgångsägare utses för varje tillgång och ansvarar för att säkerställa korrekt klassificering, skydd och periodisk validering av registeruppgifter. Klassificeringsprocessen utgör grunden för hela policyn och säkerställer att tillgångar märks och hanteras utifrån känslighet, kritikalitet och relevanta regulatoriska krav. Märkningsrutiner tillämpas för både digitala och fysiska tillgångar, och hanteringskrav, exempelvis kryptering, låst förvaring eller begränsad åtkomst, ska motsvara klassificeringsnivåerna. Policyn beskriver säkerhetskontroller i varje steg av tillgångens livscykel: introduktion, omfördelning, hantering, användning, säker återlämning vid offboarding samt säker bortskaffning. Den anger att användning av tillgångar ska följa godtagbar användning av organisationens tillgångar och förbjuder särskilt att återanvända tillgångar för personligt bruk, installera otillåten programvara eller kringgå kontroller såsom antivirus och kryptering. Regler för fjärranvändning av tillgångar kräver användning av virtuellt privat nätverk (VPN) eller säker transporttunnel och kan omfatta lösningar för hantering av mobila enheter och slutpunktshantering. Säker avveckling och destruktion behandlas tydligt och kräver kryptografisk radering eller fysisk destruktion med bekräftelse och dokumentation. För att stödja löpande regelefterlevnad och riskhantering integreras policy för tillgångshantering med organisationens riskregister och stödjer riskbedömning, hantering av undantag och revisionsprocesser. Överträdelser, såsom oregistrerade eller otillåtna tillgångar, felaktig bortskaffning eller inaktivering av kontroller, är skäl för eskalering och kan leda till disciplinära åtgärder, leverantörssanktioner eller rättsprocess. Periodiska policyöversyner involverar flera intressentgrupper och utlöses av regulatoriska förändringar, revisionsiakttagelser, informationssäkerhetsincidenter eller väsentliga operativa förändringar. Dokumentet avslutas med hänvisning till relaterade policyer: Åtkomstkontrollpolicy, Policy för informationsklassificering och hantering, Datalagringspolicy, Loggnings- och övervakningspolicy och Policy för incidenthantering (P30), vilket säkerställer att tillgångshantering utgör en central pelare i organisationens bredare styrningsstruktur. Denna policy är inte särskilt märkt som en policy för små och medelstora företag. Den är utformad för organisationer med utsedda team såsom IT, informationssäkerhetschef (CISO), IT Asset Manager samt olika intressenter inom regelefterlevnad och drift, och uppfyller de omfattande kraven i ISO/IEC 27001:2022 och stödjande ramverk.

Policydiagram

Diagram för policy för tillgångshantering som visar skapande av inventering, tilldelning av ägarskap, klassificering, livscykelkontroller, undantagshantering och steg för regelefterlevnadsgranskning.

Klicka på diagrammet för att visa i full storlek

Innehåll

Omfattning och regler för samverkan

Tillgångsförteckning och metadatakrav

Tillgångsklassificering och märkningsrutiner

Tillgångslivscykel (introduktion, återlämning, bortskaffning)

Styrning av tredjeparts- och fjärrtillgångar

Integration med revision och incidentrespons

Ramverksefterlevnad

🛡️ Stödda standarder & ramverk

Den här produkten är anpassad till följande efterlevnadsramverk, med detaljerade klausul- och kontrollmappningar.

Ramverk Täckta klausuler / Kontroller
ISO/IEC 27001:2022
8.1Annex A.5.9
ISO/IEC 27002:2022
5.95.105.11
NIST SP 800-53 Rev.5
CM-8RA-3MP-6
EU GDPR
Article 30Article 32
EU NIS2
Article 21(2)(a, b)Article 21(3)
EU DORA
Article 5Article 9
COBIT 2019
BAI09DSS01MEA03

Relaterade policyer

Åtkomstkontrollpolicy

Säkerställer att tillgångsinsyn är i linje med åtkomsträttigheter och kontrollmekanismer i system- och datamiljöer.

Policy för introduktion och avslut

Styr tidsmässigt korrekt åtkomsttilldelning och återlämning av fysiska och logiska tillgångar vid personalförändringar.

Policy för dataklassificering och märkning

Fastställer obligatoriska klassificeringsregler för tillgångar som styr märkning, hantering och bortskaffningsrutiner.

Policy för datalagring och bortskaffning

Definierar tidslinje och metoder för säker bortskaffning av digitala och fysiska informationsbärande tillgångar.

Loggnings- och övervakningspolicy

Möjliggör spårbarhet för tillgångsåtkomst och användning genom revisionsloggning, slutpunktssynlighet och beteendeanalys.

Policy för incidenthantering (P30)

Stödjer snabb begränsning och utredning av tillgångsrelaterade överträdelser, såsom borttappade bärbara datorer eller ospårade lagringsmedia.

Om Clarysecs policyer - Policy för tillgångshantering

Effektiv säkerhetsstyrning kräver mer än bara ord; den kräver tydlighet, ansvarsskyldighet och en struktur som skalar med din organisation. Generiska mallar misslyckas ofta och skapar oklarheter med långa stycken och odefinierade roller. Denna policy är utformad för att vara den operativa ryggraden i ditt säkerhetsprogram. Vi tilldelar ansvar till de specifika roller som finns i ett modernt företag, inklusive informationssäkerhetschef (CISO), IT- och säkerhetsteam och relevanta kommittéer, vilket säkerställer tydlig ansvarsskyldighet. Varje krav är en unikt numrerad klausul (t.ex. 5.1.1, 5.1.2). Denna atomära struktur gör policyn enkel att införa, revidera mot specifika kontroller och säkert anpassa utan att påverka dokumentets integritet, och omvandlar den från ett statiskt dokument till ett dynamiskt, handlingsinriktat ramverk.

Styrning av tredjepartstillgångar

Kräver att leverantörer upprätthåller inventeringar och genom avtal tillämpar likvärdiga standarder för tillgångsspårning, märkning och bortskaffning.

Shadow IT och undantagskontroller

Inför nätverksskanning och policyundantagsloggar för att upptäcka otillåtna eller ohanterade tillgångar och formellt hantera riskscenarier.

Integrerad riskhantering

Kopplar tillgångsförteckningar till riskregister och affärskonsekvensanalyser för riktad hotmodellering och regelefterlevnad.

Vanliga frågor

Byggd för ledare, av ledare

Denna policy har utarbetats av en säkerhetsledare med över 25 års erfarenhet av att implementera och revidera ISMS-ramverk för globala företag. Den är utformad inte bara som ett dokument, utan som ett robust ramverk som håller för granskning av revisorer.

Författad av en expert med följande meriter:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Täckning & Ämnen

🏢 Målavdelningar

IT säkerhet risk regelefterlevnad revision

🏷️ Ämnestäckning

tillgångshantering dataklassificering riskhantering regelefterlevnadshantering säkerhetsoperations
€49

Engångsköp

Omedelbar nedladdning
Livstidsuppdateringar
Asset Management Policy

Produktdetaljer

Typ: policy
Kategori: Enterprise
Standarder: 7