Kebijakan Manajemen Aset
Brask Inc
Tujuan
Tujuan dari kebijakan ini adalah untuk menetapkan persyaratan untuk mengelola dan melacak aset yang dimiliki, dikelola, dan berada di bawah kendali Rask AI dengan benar melalui siklus hidupnya dari akuisisi awal hingga pembuangan akhir.
Peran dan Tanggung Jawab
Kepala Staf Rask AI bertanggung jawab untuk memelihara dan memperbarui kebijakan ini. CEO dan departemen hukum bertanggung jawab untuk menyetujui kebijakan ini dan akan menyetujui setiap perubahan yang dibuat.
Kebijakan
Standar Inventarisasi Aset
Proses inventarisasi aset harus tersedia untuk mendukung pengelolaan proses bisnis yang penting dan memenuhi persyaratan hukum dan peraturan. Proses ini juga akan memfasilitasi penemuan, pengelolaan, penggantian, dan pembuangan semua aset, serta identifikasi dan penghapusan perangkat lunak, aset, atau proses yang ilegal atau tidak sah. Semua aset fisik dan virtual di bawah manajemen atau kontrol Rask AI akan terdaftar dalam inventaris termasuk:
- Pengenal unik atau nama aset
- Deskripsi aset
- Tujuan aset dalam mendukung proses bisnis yang penting dan memenuhi persyaratan hukum atau peraturan, jika berlaku
- Entitas yang bertanggung jawab atas aset
- Klasifikasi aset, jika ada
Kepemilikan Aset
Setiap aset akan diberi pemilik ketika dibuat atau ditransfer ke Rask AI. Pemilik aset dapat berupa individu atau entitas dengan tanggung jawab manajemen yang disetujui; kepemilikan tidak menyiratkan hak milik.
Pemilik aset bertanggung jawab atas:
- Memastikan aset diinventarisasi
- Memastikan aset diklasifikasikan dan dilindungi dengan tepat
- Mendefinisikan dan secara berkala meninjau pembatasan dan klasifikasi akses, dengan mempertimbangkan kebijakan kontrol akses yang berlaku
- Memastikan penanganan yang tepat ketika aset dihapus atau dihancurkan
Standar Pengerasan Sistem
Praktik Terbaik Perangkat dan Standar Pengerasan
- Menggunakan panduan praktik terbaik dan pengerasan yang disediakan oleh produsen untuk melindungi instalasi perangkat dari kerentanan dan akses yang tidak sah.
- Memanfaatkan tolok ukur Center for Internet Security (CIS) untuk panduan pengerasan sistem jika memungkinkan.
- Ubah default yang disediakan vendor, termasuk nama pengguna, kata sandi, dan pengaturan umum, untuk mencegah akses tanpa izin.
- Nonaktifkan protokol komunikasi yang tidak aman dan tidak perlu.
- Membuat kata sandi lokal secara acak dan menyimpan kata sandi lokal dengan aman dalam sistem manajemen kata sandi yang disetujui.
- Instal tambalan saat ini.
- Menerapkan perlindungan malware.
- Mengaktifkan penebangan.
Konfigurasi dan Pemeliharaan Infrastruktur
Penambalan Stasiun Kerja Internal dan Server
- Secara berkala mengevaluasi dan menginstal patch/peningkatan sistem operasi berdasarkan tingkat kekritisannya.
- Instal patch/peningkatan di luar jam sibuk untuk meminimalkan gangguan bisnis.
Penambalan Infrastruktur Internal
- Mengevaluasi dan menginstal patch/peningkatan infrastruktur (router, switch, host virtual, dll.) berdasarkan tingkat kekritisannya.
- Tinjau dan setujui patch/peningkatan melalui lingkungan lab jika memungkinkan.
- Instal patch/peningkatan pada jam-jam di luar jam sibuk untuk meminimalkan gangguan.
- Menambal/memperbarui sistem yang berlebihan satu per satu untuk memastikan tidak ada dampak pada layanan bersama.
- Ikuti prosedur manajemen perubahan rutin untuk pembaruan perangkat keras/perangkat lunak jaringan.
Dokumentasi Dukungan Infrastruktur
- Pertahankan diagram jaringan saat ini yang dapat diakses oleh personel servis yang tepat.
- Mendokumentasikan standar konfigurasi untuk pengaturan semua perangkat infrastruktur.
Keamanan Titik Akhir/Deteksi Ancaman
- Batasi penggunaan media yang dapat dilepas hanya untuk personel yang berwenang.
- Menerapkan alat antivirus dan anti-malware pada perangkat titik akhir (mis. workstation, laptop, perangkat seluler).
- Konfigurasikan alat antivirus dan anti-malware untuk secara otomatis menerima pembaruan, menjalankan pemindaian, dan memperingatkan personel yang tepat tentang adanya ancaman.
Manajemen Kapasitas
Kebutuhan kapasitas sistem akan diidentifikasi berdasarkan kekritisan bisnis dari sistem tersebut.
- Penyetelan dan Pemantauan Sistem: Diterapkan untuk memastikan dan meningkatkan ketersediaan dan efisiensi sistem.
- Kontrol Detektif: Diimplementasikan untuk mengidentifikasi masalah saat terjadi.
- Proyeksi Kapasitas Masa Depan: Pertimbangkan kebutuhan bisnis dan sistem baru, serta tren saat ini dan yang diproyeksikan dalam kemampuan pemrosesan informasi perusahaan.
- Mengurangi Kemacetan dan Ketergantungan: Manajer harus memantau sumber daya sistem utama, mengidentifikasi tren penggunaan, dan memperhitungkan sumber daya dengan waktu tunggu pengadaan yang lama atau biaya tinggi.
Penyediaan kapasitas yang cukup akan dicapai dengan meningkatkan kapasitas atau mengurangi permintaan. Hal ini mencakup:
- Menghapus data yang sudah tidak terpakai (ruang disk)
- Menonaktifkan aplikasi, sistem, basis data, atau lingkungan
- Mengoptimalkan proses dan jadwal batch
- Mengoptimalkan logika aplikasi atau kueri basis data
- Menolak atau membatasi bandwidth untuk layanan yang tidak memerlukan sumber daya yang penting bagi bisnis (misalnya, streaming video)
- Mengelola permintaan kapasitas
- Penyediaan instance server baru ketika ambang batas kapasitas terpenuhi
Manajemen Media
Media yang Dapat Dilepas
Saat ini kami tidak mengizinkan media yang dapat dipindahkan untuk tujuan bisnis.
Transfer Media Fisik
Saat ini kami tidak mengizinkan pemindahan media fisik untuk tujuan bisnis.
Pengembalian Aset Setelah Pengakhiran
- Proses pengakhiran mencakup pengembalian semua aset fisik dan elektronik yang diterbitkan sebelumnya yang dimiliki atau dipercayakan kepada Rask AI, sebagaimana diuraikan dalam Syarat dan Ketentuan Ketenagakerjaan dan Kebijakan Manajemen Aset.
- Jika peralatan Rask AI dibeli oleh karyawan atau pengguna pihak ketiga, atau peralatan pribadi digunakan, semua informasi yang relevan harus ditransfer ke Rask AI dan dihapus dengan aman dari peralatan tersebut.
- Penyalinan informasi yang tidak sah oleh karyawan dan kontraktor akan dipantau dan dikendalikan selama periode pemutusan hubungan kerja.
Pembuangan Media
Langkah-langkah untuk pembuangan media yang berisi informasi rahasia secara aman akan sebanding dengan sensitivitas informasi tersebut. Panduan berikut ini akan diterapkan dengan tepat:
- Identifikasi barang-barang yang perlu dibuang.
- Penggunaan layanan pengumpulan dan pembuangan pihak ketiga yang sesuai.
- Pembuangan yang aman dengan cara dibakar atau dihancurkan, atau penghapusan data untuk digunakan kembali di dalam perusahaan.
- Penilaian risiko terhadap media yang rusak untuk menentukan pembuangan atau perbaikan.
- Enkripsi seluruh disk untuk mengurangi risiko pengungkapan informasi rahasia, sesuai dengan Kebijakan Enkripsi Rask AI.
- Mencatat setiap pembuangan untuk menjaga jejak audit.