资产管理政策
布拉斯克公司
宗旨
本政策的目的是确定管理和适当跟踪Rask AI 所拥有、管理和控制的资产从最初购置到最终处置的整个生命周期的要求。
角色与责任
Rask AI 办公室主任负责维护和更新本政策。首席执行官和法律部门负责批准本政策,并批准所做的任何修改。
政策
资产清单标准
资产清查流程必须到位,以支持关键业务流程的管理,并满足法律和监管要求。该流程还将促进所有资产的发现、管理、更换和处置,以及识别和删除任何非法或未经授权的软件、资产或流程。Rask AI 管理或控制的所有实体和虚拟资产都将列入清单,其中包括:
- 资产的唯一标识符或名称
- 资产描述
- 资产在支持关键业务流程和满足法律或监管要求方面的用途(如适用
- 负责资产的实体
- 资产分类(如适用
资产所有权
每项资产在创建或转移到Rask AI 时都将指定一个所有者。资产所有者可以是个人,也可以是经批准负有管理责任的实体;所有权并不意味着产权。
资产所有者负责
- 确保清点资产
- 确保资产得到适当分类和保护
- 确定并定期审查访问限制和分类,考虑适用的访问控制政策
- 确保在删除或销毁资产时进行适当处理
系统加固标准
设备最佳实践和加固标准
- 采用制造商提供的加固和最佳实践指南,防止设备安装出现漏洞和未经授权的访问。
- 尽可能利用互联网安全中心(CIS)的基准进行系统加固指导。
- 更改供应商提供的默认设置,包括用户名、密码和常用设置,以防止未经授权的访问。
- 禁用不安全和不必要的通信协议。
- 随机生成本地密码,并将其安全地存储在经批准的密码管理系统中。
- 安装当前的补丁。
- 实施恶意软件保护。
- 启用日志记录。
基础设施的配置和维护
内部工作站和服务器补丁
- 根据重要程度定期评估和安装操作系统补丁/升级。
- 在非高峰时段安装补丁/升级,尽量减少业务中断。
内部基础设施修补
- 根据基础设施(路由器、交换机、虚拟主机等)的重要程度,评估并安装基础设施补丁/升级。
- 尽可能通过实验室环境审查和批准补丁/升级。
- 在非高峰时段安装补丁/升级,以尽量减少干扰。
- 对冗余系统逐个设备打补丁/升级,确保不影响共享服务。
- 遵循网络硬件/软件更新的定期变更管理程序。
基础设施支持文件
- 维护最新的网络图,供相关服务人员使用。
- 记录所有基础设施设备的配置标准。
端点安全/威胁检测
- 仅限授权人员使用可移动媒体。
- 在端点设备(如工作站、笔记本电脑、移动设备)上部署防病毒和防恶意软件工具。
- 配置防病毒和防恶意软件工具,使其自动接收更新、运行扫描并向相关人员发出威胁警报。
能力管理
将根据系统的业务关键性确定系统的容量要求。
- 系统调整和监控:用于确保和提高系统的可用性和效率。
- 侦查控制:在问题发生时加以实施,以发现问题。
- 未来能力预测:考虑新的业务和系统需求,以及公司信息处理能力的当前和预测趋势。
- 缓解瓶颈和依赖性:管理人员必须监控关键系统资源,确定使用趋势,并对采购周期长或成本高的资源进行说明。
将通过增加容量或减少需求来提供足够的容量。这包括
- 删除过时数据(磁盘空间)
- 停用应用程序、系统、数据库或环境
- 优化批处理流程和计划
- 优化应用逻辑或数据库查询
- 拒绝或限制非业务关键型资源消耗服务(如视频流)的带宽
- 管理容量需求
- 达到容量阈值时配置新服务器实例
媒体管理
可移动媒体
我们目前不授权可移动媒体用于业务目的。
物理介质传输
我们目前不授权出于业务目的进行物理介质传输。
终止时的资产返还
- 根据雇佣条款和条件以及资产管理政策的规定,终止程序包括归还Rask AI 拥有或委托其管理的所有先前发放的实物和电子资产。
- 如果Rask AI 设备是由员工或第三方用户购买的,或使用了个人设备,则必须将所有相关信息转移到Rask AI,并从设备上安全清除。
- 在终止合同期间,将对员工和承包商未经授权复制信息的行为进行监控。
介质的处置
安全处置含有机密信息的介质的步骤将与该信息的敏感性相称。将相应执行以下准则:
- 确定需要处置的物品。
- 使用适当的第三方收集和处置服务。
- 通过焚烧或粉碎的方式进行安全处置,或清除数据供公司内部再利用。
- 对受损介质进行风险评估,以决定是进行处置还是维修。
- 根据Rask AI 的加密政策进行全盘加密,以降低机密信息泄露的风险。
- 记录每次处置,以保持审计跟踪。