سياسة إدارة الأصول

شركة براسك

قصد

الغرض من هذه السياسة هو تحديد متطلبات إدارة وتتبع الأصول المملوكة والمدارة والخاضعة لسيطرة Rask AI خلال دورة حياتها من مرحلة الاقتناء الأولي إلى مرحلة التخلص النهائي. 

الأدوار والمسؤوليات 

Rask رئيس موظفي منظمة العفو الدولية مسؤول عن الحفاظ على هذه السياسة وتحديثها. الرئيس التنفيذي والإدارة القانونية مسؤولان عن الموافقة على هذه السياسة وسيوافقان على أي تغييرات يتم إجراؤها. 

السياسة

معيار جرد الأصول

يجب أن تكون هناك عملية جرد للأصول لدعم إدارة العمليات التجارية الهامة وتلبية المتطلبات القانونية والتنظيمية. ستسهل هذه العملية أيضًا اكتشاف جميع الأصول وإدارتها واستبدالها والتخلص منها، بالإضافة إلى تحديد وإزالة أي برامج أو أصول أو عمليات غير قانونية أو غير مصرح بها. ستُدرج جميع الأصول المادية والافتراضية الخاضعة لإدارة أو سيطرة Rask AI في قائمة جرد تشمل:

  • المعرف الفريد أو اسم الأصل
  • وصف الأصل
  • الغرض من الأصل في دعم العمليات التجارية الهامة وتلبية المتطلبات القانونية أو التنظيمية، إن وجدت
  • الكيان المسؤول عن الأصل
  • تصنيف الأصل، إن أمكن

ملكية الأصول

سيتم تعيين مالك لكل أصل عند إنشائه أو نقله إلى Rask AI. يمكن أن يكون مالك الأصل فردًا أو كيانًا ذا مسؤولية إدارية معتمدة؛ ولا تعني الملكية حقوق الملكية.

مالك الأصل مسؤول عن:

  • التأكد من جرد الأصول
  • ضمان تصنيف الأصول وحمايتها بشكل مناسب
  • تحديد قيود وتصنيفات الوصول ومراجعتها بشكل دوري، مع مراعاة سياسات التحكم في الوصول المعمول بها
  • ضمان التعامل السليم عند حذف الأصل أو إتلافه 

معايير تقوية النظام

أفضل ممارسات الأجهزة ومعايير التقوية

  • استخدام أدلة التقوية التي توفرها الشركة المصنعة وأدلة أفضل الممارسات لحماية تركيبات الأجهزة من نقاط الضعف والوصول غير المصرح به.
    • الاستفادة من معايير مركز أمن الإنترنت (CIS) لتوجيهات تقوية النظام حيثما أمكن.
  • قم بتغيير الإعدادات الافتراضية التي يوفرها المورد، بما في ذلك أسماء المستخدمين وكلمات المرور والإعدادات الشائعة، لمنع الوصول غير المصرح به.
  • تعطيل بروتوكولات الاتصال غير الآمنة وغير الضرورية.
  • إنشاء كلمات المرور المحلية وتخزينها بشكل عشوائي وآمن في نظام إدارة كلمات المرور المعتمد.
  • تثبيت التصحيحات الحالية.
  • تنفيذ الحماية من البرامج الضارة.
  • تمكين التسجيل.

‍تهيئة البنية التحتيةوصيانتها

الترقيع الداخلي لمحطة العمل والخادم

  • قم بتقييم وتثبيت تصحيحات/ترقيات نظام التشغيل بشكل دوري بناءً على مدى أهميتها.
  • قم بتثبيت التصحيحات/التحديثات خلال ساعات خارج أوقات الذروة لتقليل تعطل الأعمال.

ترقيع البنية التحتية الداخلية

  • تقييم وتثبيت تصحيحات/ترقيات البنية التحتية (أجهزة التوجيه، والمفاتيح، والمضيفات الافتراضية، وما إلى ذلك) بناءً على مدى أهميتها.
  • مراجعة التصحيحات/التحديثات والموافقة عليها عبر بيئة معملية عندما يكون ذلك ممكناً.
  • قم بتركيب الترقيعات/التحديثات في غير ساعات الذروة لتقليل التعطيل إلى الحد الأدنى.
  • قم بتصحيح/تحديث الأنظمة الزائدة عن الحاجة كل جهاز على حدة لضمان عدم التأثير على الخدمات المشتركة.
  • اتبع إجراءات إدارة التغيير المنتظمة لتحديثات أجهزة/برمجيات الشبكات.

وثائق دعم البنية التحتية

  • الاحتفاظ بمخطط شبكة حديث يمكن لموظفي الخدمة المناسبين الوصول إليه.
  • توثيق معايير التكوين الخاصة بإعداد جميع أجهزة البنية التحتية.

أمان نقطة النهاية/اكتشاف التهديدات

  • قصر استخدام الوسائط القابلة للإزالة على الموظفين المصرح لهم.
  • نشر أدوات مكافحة الفيروسات والبرمجيات الخبيثة على أجهزة نقطة النهاية (مثل محطات العمل وأجهزة الكمبيوتر المحمولة والأجهزة المحمولة).
  • قم بتكوين أدوات مكافحة الفيروسات والبرمجيات الخبيثة لتلقي التحديثات تلقائياً، وتشغيل عمليات الفحص، وتنبيه الموظفين المناسبين بالتهديدات.

إدارة القدرات

سيتم تحديد متطلبات القدرة الاستيعابية للأنظمة بناءً على مدى أهمية النظام للأعمال.

  • ضبط النظام ومراقبته: تطبق لضمان وتحسين توافر الأنظمة وكفاءتها.
  • الضوابط الاستقصائية: يتم تنفيذها لتحديد المشاكل عند حدوثها.
  • توقعات القدرات المستقبلية: النظر في متطلبات الأعمال والنظم الجديدة، بالإضافة إلى الاتجاهات الحالية والمتوقعة في قدرات الشركة على معالجة المعلومات.
  • تخفيف الاختناقات والتبعيات: يجب على المديرين مراقبة موارد النظام الرئيسية، وتحديد اتجاهات الاستخدام، وحساب الموارد ذات المهل الزمنية الطويلة للمشتريات أو التكاليف المرتفعة.

سيتم توفير السعة الكافية من خلال زيادة السعة أو تقليل الطلب. ويشمل ذلك:

  • حذف البيانات القديمة (مساحة القرص)
  • إيقاف تشغيل التطبيقات، أو الأنظمة، أو قواعد البيانات، أو البيئات
  • تحسين عمليات الدفعات والجداول الزمنية
  • تحسين منطق التطبيق أو استعلامات قاعدة البيانات
  • رفض أو تقييد عرض النطاق الترددي للخدمات غير الحرجة التي تحتاج إلى موارد كبيرة (مثل بث الفيديو)
  • إدارة الطلب على السعة الاستيعابية
  • توفير مثيلات خوادم جديدة عند استيفاء عتبات السعة

إدارة وسائل الإعلام

الوسائط القابلة للإزالة

نحن لا نسمح حاليًا بالوسائط القابلة للإزالة لأغراض تجارية.

نقل الوسائط المادية

نحن لا نسمح حاليًا بنقل الوسائط المادية لأغراض تجارية.

إعادة الأصول عند الإنهاء

  • تتضمن عملية إنهاء الخدمة إعادة جميع الأصول المادية والإلكترونية التي سبق إصدارها والمملوكة أو المعهود بها إلى Rask AI، كما هو موضح في شروط وأحكام التوظيف وسياسة إدارة الأصول.
  • إذا تم شراء معدات Rask AI من قبل موظف أو مستخدم خارجي، أو تم استخدام معدات شخصية، فيجب نقل جميع المعلومات ذات الصلة إلى Rask AI ومسحها بشكل آمن من المعدات.
  • سيتم مراقبة ومراقبة النسخ غير المصرح به للمعلومات من قبل الموظفين والمتعاقدين خلال فترة إنهاء الخدمة.

التخلص من الوسائط

ستكون خطوات التخلص الآمن من الوسائط التي تحتوي على معلومات سرية متناسبة مع حساسية تلك المعلومات. وسيتم تطبيق الإرشادات التالية وفقاً لذلك:

  • تحديد العناصر التي تتطلب التخلص منها.
  • استخدام خدمات التجميع والتخلص المناسبة من طرف ثالث.
  • التخلص الآمن من البيانات عن طريق الحرق أو التمزيق، أو محو البيانات لإعادة استخدامها داخل الشركة.
  • تقييم مخاطر الوسائط التالفة لتحديد كيفية التخلص منها أو إصلاحها.
  • تشفير القرص بالكامل للتخفيف من مخاطر الكشف عن المعلومات السرية، بما يتماشى مع سياسة التشفير الخاصة بـ Rask AI.
  • تسجيل كل عملية تخلص للحفاظ على سجل تدقيق.