جرد أصول المؤسسة والتحكم فيها
إدارة جميع أصول المؤسسة بشكل فعّال (الجرد والتتبع والتصحيح) بما في ذلك أجهزة المستخدمين النهائيين، والأجهزة المحمولة والنقالة، وأجهزة الشبكة، والأجهزة غير الحاسوبية/إنترنت الأشياء (IoT)، والخوادم المتصلة بالبنية التحتية سواء كانت مادية أو افتراضية أو عن بُعد أو ضمن بيئات سحابية، وذلك لمعرفة إجمالي الأصول التي تحتاج إلى مراقبة وحماية داخل المؤسسة بدقة. كما يدعم ذلك تحديد الأصول غير المصرح بها وغير المُدارة لإزالتها أو معالجتها.
لماذا هذا الضابط مهم؟
لا تستطيع المؤسسات حماية ما لا تعرف بوجوده. كما يلعب التحكم المُدار في جميع أصول المؤسسة دوراً حاسماً في المراقبة الأمنية والاستجابة للحوادث والنسخ الاحتياطي للأنظمة والاسترداد. يجب على المؤسسات معرفة البيانات الحرجة لديها، وستساعد الإدارة السليمة للأصول في تحديد أصول المؤسسة التي تحتوي على هذه البيانات الحرجة أو تديرها، بحيث يمكن تطبيق الضوابط الأمنية المناسبة.
قوالب السياسات ذات الصلة
الإجراءات الوقائية (5)
| المعرف | العنوان | الوظيفة | مجموعات التطبيق | عناصر التدقيق | الأدلة |
|---|---|---|---|---|---|
| 1.1 | إنشاء وصيانة جرد تفصيلي لأصول المؤسسة | تحديد |
IG1
IG2
IG3
|
2 | 1 |
| 1.2 | معالجة الأصول غير المصرح بها | استجابة |
IG1
IG2
IG3
|
2 | 1 |
| 1.3 | استخدام أداة اكتشاف نشطة | كشف |
IG2
IG3
|
2 | 1 |
| 1.4 | استخدام تسجيل بروتوكول التكوين الديناميكي للمضيف (DHCP) لتحديث جرد أصول المؤسسة | تحديد |
IG2
IG3
|
2 | 1 |
| 1.5 | استخدام أداة اكتشاف الأصول السلبية | كشف |
IG3
|
2 | 1 |
تفاصيل التحقق من التدقيق
إنشاء وصيانة جرد دقيق وتفصيلي ومحدث لجميع أصول المؤسسة التي لديها القدرة على تخزين أو معالجة البيانات، بما في ذلك: أجهزة المستخدم النهائي (بما فيها المحمولة والمتنقلة)، وأجهزة الشبكة، والأجهزة غير الحاسوبية/إنترنت الأشياء، والخوادم. التأكد من أن الجرد يسجل عنوان الشبكة (إذا كان ثابتًا)، وعنوان الجهاز، واسم الجهاز، ومالك أصل البيانات، والقسم لكل أصل، وما إذا كان الأصل قد تمت الموافقة على اتصاله بالشبكة. بالنسبة لأجهزة المستخدم النهائي المتنقلة، يمكن لأدوات من نوع MDM دعم هذه العملية عند الاقتضاء. يتضمن هذا الجرد الأصول المتصلة بالبنية التحتية ماديًا وافتراضيًا وعن بُعد وتلك الموجودة في البيئات السحابية. بالإضافة إلى ذلك، يتضمن الأصول المتصلة بانتظام بالبنية التحتية لشبكة المؤسسة، حتى لو لم تكن تحت سيطرة المؤسسة. مراجعة وتحديث جرد جميع أصول المؤسسة كل ستة أشهر أو بشكل أكثر تكرارًا.
قائمة التحقق من التدقيق
توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.
وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة
تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.
مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية
| النوع | عنصر الدليل | التكرار |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |
ضمان وجود عملية لمعالجة الأصول غير المصرح بها على أساس أسبوعي. يمكن للمؤسسة اختيار إزالة الأصل من الشبكة، أو رفض اتصال الأصل عن بُعد بالشبكة، أو عزل الأصل.
قائمة التحقق من التدقيق
توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.
وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة
تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.
مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية
| النوع | عنصر الدليل | التكرار |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |
استخدام أداة اكتشاف نشطة لتحديد الأصول المتصلة بشبكة المؤسسة. تكوين أداة الاكتشاف النشطة للتنفيذ يوميًا أو بشكل أكثر تكرارًا.
قائمة التحقق من التدقيق
توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.
وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة
تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.
مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية
| النوع | عنصر الدليل | التكرار |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |
استخدام تسجيل DHCP على جميع خوادم DHCP أو أدوات إدارة عناوين بروتوكول الإنترنت (IP) لتحديث جرد أصول المؤسسة. مراجعة واستخدام السجلات لتحديث جرد أصول المؤسسة أسبوعيًا أو بشكل أكثر تكرارًا.
قائمة التحقق من التدقيق
توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.
وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة
تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.
مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية
| النوع | عنصر الدليل | التكرار |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |
استخدام أداة اكتشاف سلبية لتحديد الأصول المتصلة بشبكة المؤسسة. مراجعة واستخدام عمليات الفحص لتحديث جرد أصول المؤسسة أسبوعيًا على الأقل أو بشكل أكثر تكرارًا.
قائمة التحقق من التدقيق
توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.
وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة
تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.
مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية
| النوع | عنصر الدليل | التكرار |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |