資産管理方針
株式会社ブラスク
目的
本ポリシーの目的は、Rask AI が所有、管理、管理下にある資産を、最初の取得から最終的な廃棄に至るまでのライフサイクルを通じて管理し、適切に追跡するための要件を定義することである。
役割と責任
Rask AI チーフ・オブ・スタッフは、本方針を維持し、更新する責任を負う。最高経営責任者(CEO)および法務部門は、本方針を承認する責任があり、いかなる変更も承認する。
方針
資産目録基準
重要なビジネスプロセスの管理をサポートし、法的および規制上の要件を満たすために、資産インベントリ・プロセスを導入する必要があります。このプロセスはまた、すべての資産の発見、管理、交換、廃棄を促進し、違法または未承認のソフトウェア、資産、またはプロセスの特定と除去を促進する。Rask AI の管理下にあるすべての物理的・仮想的資産は、以下のようなインベントリに記載される:
- 資産の一意の識別子または名前
- 資産の説明
- 該当する場合、重要な業務プロセスをサポートし、法的または規制上の要件を満たすという資産の目的
- 資産の責任主体
- 資産の分類(該当する場合
資産所有
各資産は、Rask AI に作成または譲渡される際に、所有者が割り当てられる。資産の所有者は、個人であっても、承認された管理責任を持つ団体であってもよい。
資産所有者は以下の責任を負う:
- 資産の確実な棚卸し
- 資産が適切に分類され、保護されていることの確認
- 適用されるアクセス制御ポリシーを考慮し、アクセス制限と分類を定義し、定期的に見直すこと
- 資産の削除または破棄時の適切な取り扱いの確保
システム・ハードニング・スタンダード
デバイスのベストプラクティスとハードニング標準
- デバイスのインストールを脆弱性や不正アクセスから保護するために、メーカーが提供するハードニングとベストプラクティスガイドを採用する。
- 可能であれば、Center for Internet Security (CIS) のベンチマークを活用し、システムの堅牢化の指針を得る。
- ユーザー名、パスワード、共通設定など、ベンダーが提供するデフォルト設定を変更し、不正アクセスを防止する。
- 安全でない不要な通信プロトコルを無効にする。
- ローカルパスワードをランダムに生成し、承認されたパスワード管理システムに安全に保存する。
- 最新のパッチをインストールする。
- マルウェア対策を行う。
- ロギングを有効にする。
インフラの構成とメンテナンス
内部ワークステーションとサーバーのパッチ適用
- オペレーティングシステムのパッチ/アップグレードを、その重要性に基づいて定期的に評価し、インストールする。
- 業務の中断を最小限に抑えるため、オフピーク時にパッチ/アップグレードをインストールする。
内部インフラへのパッチ適用
- インフラのパッチ/アップグレード(ルーター、スイッチ、仮想ホストなど)を、その重要性に基づいて評価し、インストールする。
- 可能な限りラボ環境でパッチ/アップグレードをレビューし、承認する。
- 中断を最小限にするため、パッチ/アップグレードをオフピーク時間帯に設置する。
- 冗長システムのパッチ/アップグレードは、共有サービスに影響を与えないよう、デバイスごとに行う。
- ネットワークハードウェア/ソフトウェアのアップデートに関する定期的な変更管理手順に従う。
インフラサポート・ドキュメント
- 適切なサービス担当者がアクセスできる最新のネットワーク図を維持すること。
- すべてのインフラ機器のセットアップに関する設定基準を文書化する。
エンドポイントセキュリティ/脅威検知
- リムーバブルメディアの使用を許可された職員に制限する。
- エンドポイントデバイス(ワークステーション、ラップトップ、モバイルデバイスなど)にアンチウイルスおよびアンチマルウェアツールを導入する。
- アンチウイルスおよびアンチマルウェアツールが自動的にアップデートを受信し、スキャンを実行し、適切な担当者に脅威を警告するように設定する。
キャパシティ・マネジメント
システムの容量要件は、システムのビジネス上の重要性に基づいて特定される。
- システムのチューニングとモニタリング:システムの可用性と効率を保証し、改善するために適用される。
- 検出コントロール:発生した問題を特定するために実施される。
- 将来の能力予測:新たなビジネスとシステム要件、および会社の情報処理能力の現在と予測される傾向を考慮する。
- ボトルネックと依存関係の軽減:管理者は、主要なシステムリソースを監視し、使用傾向を特定し、調達リードタイムが長いリソースや高コストのリソースを考慮しなければならない。
十分な容量を確保するには、容量を増やすか、需要を減らすかする必要がある。これには以下が含まれる:
- 古くなったデータの削除(ディスク容量)
- アプリケーション、システム、データベース、環境の廃止
- バッチプロセスとスケジュールの最適化
- アプリケーションロジックやデータベースクエリの最適化
- ビジネスクリティカルでないリソースを大量に消費するサービス(ビデオストリーミングなど)の帯域幅を拒否または制限する。
- キャパシティ需要の管理
- 容量のしきい値に達すると、新しいサーバー・インスタンスをプロビジョニングする
メディアの管理
リムーバブルメディア
現在、リムーバブルメディアはビジネス目的では許可していません。
物理メディアの転送
当社は現在、ビジネス目的の物理的なメディア転送を許可していません。
契約解除に伴う資産の返還
- 解雇プロセスには、雇用条件および資産管理ポリシーに記載されているとおり、Rask AI が所有または委託した、過去に発行されたすべての物理的および電子的資産の返却が含まれます。
- Rask AI 機器が従業員または第三者のユーザーによって購入された場合、または私物の機器が使用された場合、すべての関連情報はRask AI に転送され、機器から安全に消去されなければならない。
- 従業員および請負業者による情報の不正コピーは、契約終了期間中、監視および管理される。
メディアの廃棄
機密情報を含むメディアの安全な廃棄の手順は、その情報の機密性に比例する。以下のガイドラインが適宜適用される:
- 廃棄が必要な品目の特定。
- 適切な第三者回収・処分サービスの利用。
- 焼却またはシュレッダーによる確実な廃棄、あるいは社内で再利用するためのデータ消去。
- 損傷したメディアのリスク評価を行い、廃棄または修理を決定する。
- Rask AI の暗号化ポリシーに従い、機密情報の漏洩リスクを軽減するためのディスク全体の暗号化。
- 監査証跡を維持するために、廃棄ごとにログを記録する。