Politik der Vermögensverwaltung
Brask Inc.
Zweck
Zweck dieser Richtlinie ist es, Anforderungen für die Verwaltung und ordnungsgemäße Nachverfolgung von Vermögenswerten festzulegen, die sich im Besitz, unter der Verwaltung und unter der Kontrolle von Rask AI befinden, und zwar während ihres gesamten Lebenszyklus vom ursprünglichen Erwerb bis zur endgültigen Entsorgung.
Rollen und Zuständigkeiten
Der Rask AI Chief of Staff ist für die Pflege und Aktualisierung dieser Richtlinie verantwortlich. Der CEO und die Rechtsabteilung sind für die Genehmigung dieser Richtlinie verantwortlich und werden alle Änderungen genehmigen.
Politik
Anlageninventarisierung Standard
Ein Inventarisierungsprozess muss vorhanden sein, um die Verwaltung kritischer Geschäftsprozesse zu unterstützen und gesetzliche und behördliche Anforderungen zu erfüllen. Dieser Prozess erleichtert auch das Auffinden, die Verwaltung, den Austausch und die Entsorgung aller Vermögenswerte sowie die Identifizierung und Entfernung illegaler oder nicht autorisierter Software, Vermögenswerte oder Prozesse. Alle physischen und virtuellen Vermögenswerte, die Rask AI verwaltet oder kontrolliert, werden in einem Inventar aufgeführt:
- Eindeutiger Bezeichner oder Name des Assets
- Beschreibung des Vermögenswerts
- Zweck des Vermögenswerts zur Unterstützung kritischer Geschäftsprozesse und zur Erfüllung gesetzlicher oder behördlicher Anforderungen, falls zutreffend
- Verantwortliche Stelle für den Vermögenswert
- Klassifizierung des Vermögenswerts, falls zutreffend
Vermögenseigentum
Jeder Vermögenswert wird bei der Erstellung oder Übertragung an Rask AI einem Eigentümer zugewiesen. Der Eigentümer kann eine Einzelperson oder eine Einrichtung mit genehmigter Verwaltungsverantwortung sein; Eigentum bedeutet nicht gleichbedeutend mit Eigentumsrechten.
Der Eigentümer der Anlage ist verantwortlich für:
- Sicherstellen, dass die Vermögenswerte inventarisiert werden
- Sicherstellung, dass die Vermögenswerte angemessen klassifiziert und geschützt sind
- Festlegung und regelmäßige Überprüfung von Zugangsbeschränkungen und Klassifizierungen unter Berücksichtigung der geltenden Zugangskontrollrichtlinien
- Sicherstellung einer ordnungsgemäßen Handhabung, wenn das Asset gelöscht oder zerstört wird
Standards für die Systemhärtung
Bewährte Praktiken für Geräte und Standards für die Absicherung
- Verwenden Sie die vom Hersteller bereitgestellten Härtungsmaßnahmen und Best-Practice-Leitfäden, um Geräteinstallationen vor Schwachstellen und unbefugtem Zugriff zu schützen.some text
- Nutzen Sie nach Möglichkeit die Benchmarks des Center for Internet Security (CIS) als Anleitung zur Systemhärtung.
- Ändern Sie die vom Anbieter bereitgestellten Standardeinstellungen, einschließlich Benutzernamen, Kennwörtern und allgemeinen Einstellungen, um unbefugten Zugriff zu verhindern.
- Deaktivieren Sie unsichere und unnötige Kommunikationsprotokolle.
- Erzeugen Sie lokale Passwörter nach dem Zufallsprinzip und speichern Sie sie sicher in einem zugelassenen Passwortverwaltungssystem.
- Installieren Sie aktuelle Patches.
- Implementieren Sie einen Schutz vor Malware.
- Protokollierung einschalten.
Infrastrukturkonfiguration und -wartung
Internes Patching von Arbeitsstationen und Servern
- Regelmäßige Bewertung und Installation von Patches/Upgrades für das Betriebssystem auf der Grundlage ihrer Kritikalität.
- Installieren Sie Patches/Upgrades außerhalb der Hauptgeschäftszeiten, um Betriebsunterbrechungen zu minimieren.
Internes Infrastruktur-Patching
- Bewertung und Installation von Patches/Upgrades für die Infrastruktur (Router, Switches, virtuelle Hosts usw.) auf der Grundlage ihrer Kritikalität.
- Prüfen und genehmigen Sie Patches/Upgrades nach Möglichkeit in einer Laborumgebung.
- Installieren Sie Ausbesserungen/Upgrades außerhalb der Hauptverkehrszeiten, um Störungen so gering wie möglich zu halten.
- Patches/Upgrades für redundante Systeme werden geräteweise durchgeführt, um sicherzustellen, dass die gemeinsamen Dienste nicht beeinträchtigt werden.
- Befolgung regelmäßiger Change-Management-Verfahren für die Aktualisierung von Netzwerkhardware und -software.
Dokumentation zur Unterstützung der Infrastruktur
- Führen Sie einen aktuellen Netzplan, auf den das zuständige Servicepersonal Zugriff hat.
- Dokumentieren Sie Konfigurationsstandards für die Einrichtung aller Infrastrukturgeräte.
Endpunktsicherheit/Bedrohungserkennung
- Beschränken Sie die Verwendung von Wechseldatenträgern auf autorisiertes Personal.
- Bereitstellung von Antivirus- und Anti-Malware-Tools auf Endgeräten (z. B. Workstations, Laptops, mobile Geräte).
- Konfigurieren Sie Antiviren- und Anti-Malware-Tools so, dass sie automatisch Updates erhalten, Scans durchführen und die zuständigen Mitarbeiter vor Bedrohungen warnen.
Kapazitätsmanagement
Der Kapazitätsbedarf der Systeme wird auf der Grundlage der Geschäftskritik des Systems ermittelt.
- Systemoptimierung und -überwachung: Wird angewandt, um die Verfügbarkeit und Effizienz von Systemen zu gewährleisten und zu verbessern.
- Erkennende Kontrollen: Werden eingesetzt, um Probleme zu erkennen, sobald sie auftreten.
- Zukünftige Kapazitätsprognosen: Berücksichtigen Sie neue Geschäfts- und Systemanforderungen sowie aktuelle und prognostizierte Trends bei den Informationsverarbeitungskapazitäten des Unternehmens.
- Abschwächen von Engpässen und Abhängigkeiten: Manager müssen wichtige Systemressourcen überwachen, Nutzungstrends erkennen und Ressourcen mit langen Beschaffungsfristen oder hohen Kosten berücksichtigen.
Die Bereitstellung ausreichender Kapazitäten wird durch eine Erhöhung der Kapazität oder eine Verringerung der Nachfrage erreicht. Dies beinhaltet:
- Löschen veralteter Daten (Speicherplatz)
- Außerbetriebnahme von Anwendungen, Systemen, Datenbanken oder Umgebungen
- Optimierung von Batch-Prozessen und Zeitplänen
- Optimierung von Anwendungslogik oder Datenbankabfragen
- Verweigerung oder Einschränkung der Bandbreite für nicht geschäftskritische, ressourcenintensive Dienste (z. B. Video-Streaming)
- Verwaltung der Kapazitätsnachfrage
- Bereitstellung neuer Serverinstanzen bei Erreichen von Kapazitätsschwellenwerten
Verwaltung der Medien
Wechseldatenträger
Wir genehmigen derzeit keine Wechseldatenträger für geschäftliche Zwecke.
Übertragung physischer Medien
Derzeit genehmigen wir die Übertragung physischer Datenträger zu Geschäftszwecken nicht.
Rückgabe von Vermögenswerten bei Beendigung
- Das Beendigungsverfahren umfasst die Rückgabe aller zuvor ausgegebenen physischen und elektronischen Vermögenswerte, die Eigentum von Rask AI sind oder ihm anvertraut wurden, wie in den Beschäftigungsbedingungen und der Vermögensverwaltungspolitik dargelegt.
- Wenn Rask AI-Geräte von einem Mitarbeiter oder einem Drittnutzer erworben wurden oder persönliche Geräte verwendet wurden, müssen alle relevanten Informationen an Rask AI übertragen und sicher von den Geräten gelöscht werden.
- Das unbefugte Kopieren von Informationen durch Mitarbeiter und Auftragnehmer wird während der Kündigungsfrist überwacht und kontrolliert.
Entsorgung von Medien
Die Schritte zur sicheren Entsorgung von Datenträgern mit vertraulichen Informationen richten sich nach der Sensibilität dieser Informationen. Die folgenden Leitlinien werden entsprechend angewandt:
- Identifizierung von Gegenständen, die entsorgt werden müssen.
- Inanspruchnahme geeigneter Sammel- und Entsorgungsdienste Dritter.
- Sichere Entsorgung durch Verbrennung oder Schreddern oder Löschen von Daten zur Wiederverwendung innerhalb des Unternehmens.
- Risikobewertung beschädigter Medien zur Entscheidung über Entsorgung oder Reparatur.
- Verschlüsselung der gesamten Festplatte, um das Risiko der Offenlegung vertraulicher Informationen im Einklang mit der Verschlüsselungsrichtlinie von Rask AI zu mindern.
- Protokollierung jeder Entsorgung, um einen Prüfpfad zu erhalten.