An inventory of assets associated with information and information processing facilities within the organization shall be documented, reviewed, and updated when changes occur.
Guidance
- This inventory includes fixed and portable computers, tablets, mobile phones, Programmable Logic Controllers (PLCs), sensors, actuators, robots, machine tools, firmware, network switches, routers, power supplies, and other networked components or devices.
- This inventory must include all assets, whether or not they are connected to the organization's
network.
- The use of an IT asset management tool could be considered.
The inventory of assets associated with information and information processing facilities shall reflect changes in the organization’s context and include all information necessary for effective accountability.
Guidance
- Inventory specifications include for example, manufacturer, device type, model, serial number, machine names and network addresses, physical location…
- Accountability is the obligation to explain, justify, and take responsibility for one's actions, it implies
answerability for the outcome of the task or process.
- Changes include the decommissioning of material.
When unauthorized hardware is detected, it shall be quarantined for possible exception handling, removed, or replaced, and the inventory shall be updated accordingly.
Guidance
- Any unsupported hardware without an exception documentation, is designated as unauthorized.
- Unauthorized hardware can be detected during inventory, requests for support by the user or other means.
Mechanisms for detecting the presence of unauthorized hardware and firmware
components within the organization's network shall be identified.
Guidance
- Where safe and feasible, these mechanisms should be automated.
- There should be a process to address unauthorized assets on a frequently basis; The organization may choose to remove the asset from the network, deny the asset from connecting remotely to the network, or quarantine the asset.
Organisaatiossamme on määritelty käytännöt ja toimenpiteet, joilla havaitaan ja estetään luvattoman laitteiston käyttö organisaation verkossa ja infrastruktuurissa.
Tietoon ja tietojenkäsittelypalveluihin liittyvä suojattava omaisuus olisi luotteloitava. Tarkoituksena on varmistaa, että suojaus kattaa tarvittavan omaisuuden.
Luettelointia voidaan tehdä suoraan hallintajärjestelmässä, mutta organisaatiolla voi olla käytössä tietylle omaisuudelle (mm. koodivarastoille, tietokannoille, verkkolaitteille, mobiililaitteille, työasemille, palvelimille tai muulle fyysiselle omaisuudelle) muita, hyvin toimivia listauspaikkoja.
Kuvaa tässä tehtävässä, mitkä hallintajärjestelmän ulkopuoliset luettelot liittyvät suojattavan omaisuuden hallintaan.
Organisaation on lueteltava kaikki asiaankuuluvat suojatut omaisuuserät omistusoikeuden määrittämiseksi ja sen varmistamiseksi, että turvatoimenpiteet kattavat kaikki tarvittavat kohteet.
Suuri osa suojatusta omaisuudesta (mukaan lukien tietojoukot, tietojärjestelmät, henkilöstö/yksiköt ja kumppanit) käsitellään muiden tehtävien kautta. Lisäksi organisaation on lueteltava muut tärkeät omaisuuserät, joita voivat olla toiminnan luonteesta riippuen esimerkiksi laitteisto (palvelimet, verkkolaitteet, työasemat, tulostimet) tai infrastruktuuri (kiinteistöt, sähköntuotanto, ilmastointi). Lisäksi organisaation on varmistettava, että asiaankuuluvat ulkoiset laitteet dokumentoidaan.
Digiturvamallissa kaikki vaatimuskehikkojen vaatimukset kohdistetaan universaaleihin tietoturvatehtäviin, jotta voitte muodostaa yksittäisen suunnitelman, joka täyttää ison kasan vaatimuksia.
.png)
Paranna osaamistasi viikoittaisten webinaarien, videokurssien, artikkeleiden ja blogien avulla.
