Zgodność

Polityka szyfrowania
Polityka przechowywania danych
Polityka zarządzania aktywami
Polityka ochrony danych
Polityka w zakresie praw człowieka
Polityka ochrony środowiska
Kodeks postępowania
Polityka niedyskryminacji i równych szans
Polityka przeciwdziałania korupcji i łapownictwu

Polityka zarządzania aktywami

Brask Inc

Cel

Celem niniejszej polityki jest zdefiniowanie wymagań dotyczących zarządzania i właściwego śledzenia aktywów będących własnością, zarządzanych i kontrolowanych przez Rask AI przez cały cykl ich życia, od początkowego nabycia do ostatecznej utylizacji. 

Role i obowiązki 

Szef sztabu Rask AI jest odpowiedzialny za utrzymanie i aktualizację niniejszej polityki. Dyrektor generalny i dział prawny są odpowiedzialni za zatwierdzenie niniejszej polityki i zatwierdzą wszelkie wprowadzone zmiany. 

Polityka

Standard inwentaryzacji aktywów

Proces inwentaryzacji zasobów musi być wdrożony, aby wspierać zarządzanie krytycznymi procesami biznesowymi i spełniać wymogi prawne i regulacyjne. Proces ten ułatwi również wykrywanie, zarządzanie, wymianę i usuwanie wszystkich aktywów, a także identyfikację i usuwanie nielegalnego lub nieautoryzowanego oprogramowania, aktywów lub procesów. Wszystkie zasoby fizyczne i wirtualne zarządzane lub kontrolowane przez Rask AI zostaną wymienione w wykazie obejmującym:

  • Unikalny identyfikator lub nazwa zasobu
  • Opis aktywów
  • Cel składnika aktywów we wspieraniu krytycznych procesów biznesowych i spełnianiu wymogów prawnych lub regulacyjnych, jeśli dotyczy
  • Podmiot odpowiedzialny za aktywa
  • Klasyfikacja aktywów, jeśli dotyczy

Własność aktywów

Każdy zasób zostanie przypisany do właściciela, gdy zostanie utworzony lub przeniesiony do Rask AI. Właścicielem zasobu może być osoba fizyczna lub podmiot z zatwierdzoną odpowiedzialnością za zarządzanie; własność nie oznacza praw własności.

Właściciel aktywów jest odpowiedzialny za:

  • Zapewnienie inwentaryzacji aktywów
  • Zapewnienie odpowiedniej klasyfikacji i ochrony zasobów
  • Definiowanie i okresowy przegląd ograniczeń i klasyfikacji dostępu, z uwzględnieniem obowiązujących zasad kontroli dostępu
  • Zapewnienie właściwej obsługi po usunięciu lub zniszczeniu zasobu 

Standardy wzmacniania systemu

Najlepsze praktyki i standardy zabezpieczeń urządzeń

  • Korzystaj z dostarczonych przez producenta zabezpieczeń i najlepszych praktyk, aby chronić instalacje urządzeń przed lukami w zabezpieczeniach i nieautoryzowanym dostępem.
    • W miarę możliwości korzystaj z testów porównawczych Center for Internet Security (CIS) w celu uzyskania wskazówek dotyczących wzmocnienia systemu.
  • Zmień ustawienia domyślne dostarczone przez dostawcę, w tym nazwy użytkowników, hasła i typowe ustawienia, aby zapobiec nieautoryzowanemu dostępowi.
  • Wyłącz niezabezpieczone i niepotrzebne protokoły komunikacyjne.
  • Losowe generowanie i bezpieczne przechowywanie haseł lokalnych w zatwierdzonym systemie zarządzania hasłami.
  • Zainstaluj aktualne poprawki.
  • Wdrożenie ochrony przed złośliwym oprogramowaniem.
  • Włącz rejestrowanie.

Konfiguracja i konserwacja infrastruktury

Wewnętrzne poprawki dla stacji roboczych i serwerów

  • Okresowo oceniać i instalować poprawki/aktualizacje systemu operacyjnego w oparciu o ich krytyczność.
  • Instaluj poprawki/aktualizacje poza godzinami szczytu, aby zminimalizować zakłócenia działalności.

Wewnętrzne poprawki infrastruktury

  • Ocena i instalacja poprawek/aktualizacji infrastruktury (routerów, przełączników, hostów wirtualnych itp.) w oparciu o ich krytyczność.
  • W miarę możliwości przeglądaj i zatwierdzaj poprawki/aktualizacje w środowisku laboratoryjnym.
  • Instaluj poprawki/aktualizacje poza godzinami szczytu, aby zminimalizować zakłócenia.
  • Patchowanie/aktualizowanie nadmiarowych systemów po jednym urządzeniu na raz, aby zapewnić brak wpływu na usługi współdzielone.
  • Przestrzeganie regularnych procedur zarządzania zmianami w zakresie aktualizacji sprzętu/oprogramowania sieciowego.

Dokumentacja wsparcia infrastruktury

  • Utrzymywanie aktualnego schematu sieci dostępnego dla odpowiedniego personelu serwisowego.
  • Dokumentowanie standardów konfiguracji dla wszystkich urządzeń infrastruktury.

Bezpieczeństwo punktów końcowych/wykrywanie zagrożeń

  • Ogranicz korzystanie z nośników wymiennych do autoryzowanego personelu.
  • Wdrażanie narzędzi antywirusowych i chroniących przed złośliwym oprogramowaniem na urządzeniach końcowych (np. stacjach roboczych, laptopach, urządzeniach mobilnych).
  • Skonfiguruj narzędzia antywirusowe i chroniące przed złośliwym oprogramowaniem, aby automatycznie otrzymywały aktualizacje, uruchamiały skanowanie i ostrzegały odpowiedni personel o zagrożeniach.

Zarządzanie pojemnością

Wymagania dotyczące wydajności systemów zostaną określone na podstawie krytyczności biznesowej systemu.

  • Dostrajanie i monitorowanie systemów: Stosowane w celu zapewnienia i poprawy dostępności i wydajności systemów.
  • Kontrole wykrywające: Wdrożone w celu identyfikacji problemów w momencie ich wystąpienia.
  • Prognozy przyszłych możliwości: Należy wziąć pod uwagę nowe wymagania biznesowe i systemowe, a także obecne i przewidywane trendy w zakresie możliwości przetwarzania informacji w firmie.
  • Łagodzenie wąskich gardeł i zależności: Menedżerowie muszą monitorować kluczowe zasoby systemowe, identyfikować trendy użytkowania i uwzględniać zasoby o długim czasie realizacji zamówień lub wysokich kosztach.

Zapewnienie wystarczającej przepustowości zostanie osiągnięte poprzez zwiększenie przepustowości lub zmniejszenie popytu. Obejmuje to:

  • Usuwanie przestarzałych danych (miejsce na dysku)
  • Likwidacja aplikacji, systemów, baz danych lub środowisk
  • Optymalizacja procesów wsadowych i harmonogramów
  • Optymalizacja logiki aplikacji lub zapytań do bazy danych
  • Odmowa lub ograniczenie przepustowości dla niekrytycznych usług wymagających dużej ilości zasobów (np. strumieniowanie wideo).
  • Zarządzanie zapotrzebowaniem na przepustowość
  • Udostępnianie nowych instancji serwerów po osiągnięciu progów wydajności

Zarządzanie mediami

Nośniki wymienne

Obecnie nie autoryzujemy nośników wymiennych do celów biznesowych.

Transfer nośników fizycznych

Obecnie nie zezwalamy na przesyłanie nośników fizycznych w celach biznesowych.

Zwrot aktywów po rozwiązaniu umowy

  • Proces rozwiązania umowy obejmuje zwrot wszystkich wcześniej wydanych aktywów fizycznych i elektronicznych będących własnością lub powierzonych Rask AI, zgodnie z Warunkami zatrudnienia i Polityką zarządzania aktywami.
  • Jeśli sprzęt Rask AI został zakupiony przez pracownika lub użytkownika będącego osobą trzecią lub jeśli używany był sprzęt osobisty, wszystkie istotne informacje muszą zostać przesłane do Rask AI i bezpiecznie usunięte ze sprzętu.
  • Nieautoryzowane kopiowanie informacji przez pracowników i wykonawców będzie monitorowane i kontrolowane w okresie wypowiedzenia.

Usuwanie nośników

Kroki bezpiecznego usuwania nośników zawierających informacje poufne będą proporcjonalne do wrażliwości tych informacji. Poniższe wytyczne zostaną odpowiednio zastosowane:

  • Identyfikacja przedmiotów wymagających utylizacji.
  • Korzystanie z odpowiednich usług zbierania i usuwania odpadów świadczonych przez podmioty zewnętrzne.
  • Bezpieczna utylizacja poprzez spalanie lub niszczenie lub usuwanie danych do ponownego wykorzystania w firmie.
  • Ocena ryzyka uszkodzonych nośników w celu określenia ich utylizacji lub naprawy.
  • Szyfrowanie całego dysku w celu zmniejszenia ryzyka ujawnienia poufnych informacji, zgodnie z polityką szyfrowania Rask AI.
  • Rejestrowanie każdej utylizacji w celu zachowania ścieżki audytu.

Zacznij tłumaczyć filmy już teraz

Wypróbuj za darmo
Eksploruj za darmo - Nie wymaga karty kredytowej - Natychmiastowy dostęp