Kebijakan Manajemen Aset Perusahaan

[ORGANIZATION] harus memelihara inventaris terperinci atas seluruh aset perusahaan yang berpotensi menyimpan atau memproses data, diperbarui tidak kurang dari [CUSTOMIZE: dua kali setahun/triwulanan/bulanan].

Inventaris aset harus mencatat minimal: tag aset atau pengidentifikasi unik, alamat perangkat keras (MAC), alamat jaringan (jika statis), nama host, pemilik aset, departemen yang ditugaskan, jenis aset, sistem operasi dan versi, lokasi fisik atau virtual, dan status otorisasi jaringan.

Seluruh aset harus diklasifikasikan sebagai Diotorisasi, Tidak Diotorisasi, atau Dalam Peninjauan dalam waktu [CUSTOMIZE: 48 jam/1 minggu] setelah penemuan.

Manajer Aset yang ditunjuk ([CUSTOMIZE: peran/tim]) bertanggung jawab untuk menjaga keakuratan dan kelengkapan inventaris aset.

[ORGANIZATION] harus menggunakan alat penemuan aktif otomatis untuk memindai jaringan guna mendeteksi aset yang terhubung tidak kurang dari [CUSTOMIZE: harian/mingguan].

Log server DHCP harus dikumpulkan dan digunakan untuk mengidentifikasi dan memperbarui inventaris aset perusahaan tidak kurang dari setiap minggu.

Untuk lingkungan IG3: Alat penemuan aset pasif harus diterapkan untuk mengidentifikasi aset yang terhubung ke jaringan secara terus-menerus, dengan hasil yang ditinjau setidaknya setiap minggu.

Alat penemuan aset harus mencakup seluruh segmen jaringan, termasuk DMZ, internal, tamu, dan jaringan yang terhubung ke cloud.

Proses terdokumentasi harus ada untuk menangani aset tidak diotorisasi yang ditemukan di jaringan, dengan peninjauan dilakukan tidak kurang dari setiap minggu.

Aset tidak diotorisasi harus ditangani melalui salah satu tindakan berikut dalam waktu [CUSTOMIZE: 24/48/72] jam setelah identifikasi: penghapusan dari jaringan, karantina ke segmen jaringan yang terisolasi, pemblokiran konektivitas jarak jauh, atau otorisasi dengan persetujuan terdokumentasi.

Seluruh insiden aset tidak diotorisasi harus dicatat dan dilaporkan kepada [CUSTOMIZE: Keamanan TI/CISO] untuk pelacakan dan analisis tren.

Seluruh aset baru harus didaftarkan dalam inventaris sebelum atau dalam waktu [CUSTOMIZE: 24/48] jam setelah penerapan di jaringan.

Aset yang akan dinonaktifkan harus mengikuti prosedur sanitasi data dan pembuangan [ORGANIZATION] sebelum dihapus dari inventaris.

Peninjauan inventaris aset harus dilakukan [CUSTOMIZE: triwulanan/dua kali setahun] untuk memverifikasi keakuratan dan menghapus entri yang sudah tidak berlaku.