Politique de gestion des actifs
Brask Inc
Objectif
L'objectif de cette politique est de définir les exigences en matière de gestion et de suivi des biens détenus, gérés et contrôlés par Rask AI tout au long de leur cycle de vie, de l'acquisition initiale à l'élimination finale.
Rôles et responsabilités
Le chef du personnel de l'IA ( Rask ) est responsable du maintien et de la mise à jour de cette politique. Le directeur général et le service juridique sont responsables de l'approbation de cette politique et approuveront toute modification apportée.
Politique
Norme d'inventaire des actifs
Un processus d'inventaire des actifs doit être mis en place pour soutenir la gestion des processus critiques de l'entreprise et répondre aux exigences légales et réglementaires. Ce processus facilitera également la découverte, la gestion, le remplacement et l'élimination de tous les actifs, ainsi que l'identification et la suppression de tout logiciel, actif ou processus illégal ou non autorisé. Tous les actifs physiques et virtuels gérés ou contrôlés par Rask AI seront répertoriés dans un inventaire comprenant les éléments suivants
- Identifiant unique ou nom du bien
- Description du bien
- Objectif de l'actif dans le cadre du soutien des processus commerciaux essentiels et du respect des exigences légales ou réglementaires, le cas échéant
- Entité responsable de l'actif
- Classification de l'actif, le cas échéant
Propriété des actifs
Un propriétaire est attribué à chaque actif lors de sa création ou de son transfert à Rask AI. Le propriétaire du bien peut être une personne physique ou une entité ayant une responsabilité de gestion approuvée ; la propriété n'implique pas de droits de propriété.
Le propriétaire du bien est responsable de
- Veiller à ce que les biens soient inventoriés
- Veiller à ce que les actifs soient classés et protégés de manière appropriée
- Définir et réviser périodiquement les restrictions d'accès et les classifications, en tenant compte des politiques de contrôle d'accès applicables.
- Assurer un traitement adéquat lorsque le bien est supprimé ou détruit
Normes de renforcement des systèmes
Meilleures pratiques et normes de renforcement des dispositifs
- Utiliser les guides de renforcement et de bonnes pratiques fournis par le fabricant pour protéger les installations de dispositifs contre les vulnérabilités et les accès non autorisés.
- Utiliser, dans la mesure du possible, les critères du Center for Internet Security (CIS) pour guider le renforcement des systèmes.
- Modifier les paramètres par défaut fournis par le fournisseur, y compris les noms d'utilisateur, les mots de passe et les paramètres courants, afin d'empêcher tout accès non autorisé.
- Désactiver les protocoles de communication non sécurisés et inutiles.
- Générer de manière aléatoire et stocker en toute sécurité les mots de passe locaux dans le système de gestion des mots de passe approuvé.
- Installer les correctifs actuels.
- Mettre en place une protection contre les logiciels malveillants.
- Activer la journalisation.
Configuration et maintenance de l'infrastructure
Corrections internes des postes de travail et des serveurs
- Évaluer et installer périodiquement les correctifs et les mises à jour du système d'exploitation en fonction de leur criticité.
- Installer les correctifs/améliorations pendant les heures creuses afin de minimiser les interruptions d'activité.
Patching de l'infrastructure interne
- Évaluer et installer les correctifs/mises à niveau de l'infrastructure (routeurs, commutateurs, hôtes virtuels, etc.) en fonction de leur criticité.
- Examiner et approuver les correctifs et les mises à jour dans un environnement de laboratoire lorsque cela est possible.
- Installer les correctifs/améliorations pendant les heures creuses afin de minimiser les perturbations.
- Les correctifs/mises à niveau des systèmes redondants sont effectués un appareil à la fois afin de garantir l'absence d'impact sur les services partagés.
- Suivre les procédures régulières de gestion des changements pour les mises à jour du matériel et des logiciels de mise en réseau.
Documentation de soutien à l'infrastructure
- Maintenir un diagramme de réseau à jour, accessible au personnel de service approprié.
- Documenter les normes de configuration pour l'installation de tous les dispositifs d'infrastructure.
Sécurité des points finaux/détection des menaces
- Restreindre l'utilisation des supports amovibles au personnel autorisé.
- Déployer des outils antivirus et anti-malware sur les terminaux (postes de travail, ordinateurs portables, appareils mobiles).
- Configurer les outils antivirus et anti-malware pour qu'ils reçoivent automatiquement les mises à jour, effectuent des analyses et alertent le personnel concerné en cas de menaces.
Gestion des capacités
Les besoins en capacité des systèmes seront identifiés en fonction de la criticité du système.
- Optimisation et surveillance des systèmes : Appliqués pour garantir et améliorer la disponibilité et l'efficacité des systèmes.
- Contrôles de détection : Mis en œuvre pour identifier les problèmes dès leur apparition.
- Projections des capacités futures : Tenir compte des nouvelles exigences de l'entreprise et du système, ainsi que des tendances actuelles et prévues en matière de capacités de traitement de l'information de l'entreprise.
- Atténuer les goulets d'étranglement et les dépendances : Les gestionnaires doivent surveiller les ressources clés du système, identifier les tendances d'utilisation et tenir compte des ressources dont les délais d'approvisionnement sont longs ou les coûts élevés.
Pour fournir une capacité suffisante, il faut augmenter la capacité ou réduire la demande. Il s'agit notamment de
- Suppression des données obsolètes (espace disque)
- Mise hors service d'applications, de systèmes, de bases de données ou d'environnements
- Optimisation des processus et des calendriers de traitement par lots
- Optimisation de la logique de l'application ou des requêtes de la base de données
- Refuser ou restreindre la largeur de bande pour les services non critiques et gourmands en ressources (par exemple, le streaming vidéo).
- Gestion de la demande de capacité
- Approvisionnement de nouvelles instances de serveur lorsque les seuils de capacité sont atteints
Gestion des médias
Supports amovibles
Actuellement, nous n'autorisons pas les supports amovibles à des fins professionnelles.
Transfert de supports physiques
Actuellement, nous n'autorisons pas le transfert de supports physiques à des fins professionnelles.
Restitution des actifs en cas de cessation d'activité
- La procédure de licenciement comprend la restitution de tous les biens physiques et électroniques précédemment émis, détenus ou confiés à Rask AI, conformément aux conditions d'emploi et à la politique de gestion des biens.
- Si l'équipement de Rask AI a été acheté par un employé ou un utilisateur tiers, ou si un équipement personnel a été utilisé, toutes les informations pertinentes doivent être transférées à Rask AI et effacées en toute sécurité de l'équipement.
- La copie non autorisée d'informations par les employés et les sous-traitants sera surveillée et contrôlée pendant la période de cessation d'activité.
Élimination des supports
Les étapes de l'élimination sécurisée des supports contenant des informations confidentielles seront proportionnelles à la sensibilité de ces informations. Les lignes directrices suivantes seront appliquées en conséquence :
- Identification des articles à éliminer.
- Recours à des services de collecte et d'élimination appropriés par des tiers.
- Elimination sécurisée par incinération ou déchiquetage, ou effacement des données pour réutilisation au sein de l'entreprise.
- Évaluation des risques liés aux supports endommagés afin de déterminer s'il convient de les éliminer ou de les réparer.
- Chiffrement de l'ensemble du disque pour réduire le risque de divulgation d'informations confidentielles, conformément à la politique de chiffrement de Rask AI.
- L'enregistrement de chaque élimination afin de maintenir une piste d'audit.