Asset Management: अपने डेटा और डिवाइसेस की लिस्ट कैसे बनाएं? ISO 27001 Guide
नमस्ते दोस्तों! Tech Seekho India की इस खास इन्फोर्मेशन सिक्योरिटी सीरीज में आपका स्वागत है। अगर आप अपनी कंपनी को सुरक्षित रखना चाहते हैं या ISO 27001 सर्टिफिकेशन की तैयारी कर रहे हैं, तो सबसे पहला सवाल यह उठता है—"क्या आपको पता है कि आपकी कंपनी में कुल कितनी संपत्ति (Assets) है?"
ज्यादातर लोग सोचते हैं कि 'संपत्ति' का मतलब सिर्फ लैपटॉप या फर्नीचर है। लेकिन साइबर सुरक्षा की दुनिया में, 'डेटा' (Data) सबसे बड़ी संपत्ति है। पिछले आर्टिकल्स में हमने जाना था कि ISO 27001 क्या है और इसके 11 Clauses vs 93 Controls में क्या अंतर है। आज हम Asset Management को विस्तार से समझेंगे और सीखेंगे कि अपने डिवाइसेस और डेटा की लिस्ट (Inventory) कैसे बनाई जाती है।
संक्षेप में (Quick Summary)
Asset Management का मतलब है उन सभी चीजों को पहचानना और लिस्ट करना जिनकी मदद से आपका बिजनेस चलता है। इसमें लैपटॉप, मोबाइल, सर्वर ही नहीं, बल्कि डेटा, सॉफ्टवेयर और क्लाउड स्टोरेज भी शामिल हैं। बिना सटीक लिस्ट के, आप किसी भी चीज को सुरक्षित नहीं रख सकते।
Asset क्या है? (What is an Information Asset?)
ISO 27001 के अनुसार, कोई भी ऐसी चीज जो संगठन (Organization) के लिए महत्वपूर्ण है और उसे सुरक्षा की जरूरत है, वह Asset कहलाती है। इसे हम दो मुख्य भागों में बांट सकते हैं:
1. Physical Assets (भौतिक संपत्ति)
ये वे चीजें हैं जिन्हें आप छू सकते हैं। उदाहरण के लिए:
- लैपटॉप और डेस्कटॉप कम्प्यूटर्स।
- मोबाइल और टैबलेट्स।
- सर्वर और नेटवर्किंग डिवाइसेस (Routers, Switches)।
- USB ड्राइव्स और एक्सटर्नल हार्ड डिस्क।
- हार्ड कॉपी डॉक्यूमेंट्स (फाइलें)।
2. Information/Digital Assets (डिजिटल संपत्ति)
ये आज के समय की सबसे कीमती चीजें हैं, जिन्हें अक्सर नजरअंदाज कर दिया जाता है:
- कस्टमर का डेटा (नाम, ईमेल, फोन नंबर)।
- कंपनी का सोर्स कोड (Source Code)।
- फाइनेंशियल रिपोर्ट्स।
- इंटेलेक्चुअल प्रॉपर्टी (IP)।
- क्लाउड स्टोरेज (AWS, Google Drive) में रखा डेटा।
Inventory कैसे बनाएं? (Steps to Create an Asset Register)
एक प्रोफेशनल Asset Register या इन्वेंट्री बनाने के लिए आपको कुछ स्टेप्स फॉलो करने होते हैं। यह केवल एक लिस्ट नहीं है, बल्कि यह सुरक्षा का आधार है। जब आप आगे Risk Assessment और RTP (Day 3) करेंगे, तब यही इन्वेंट्री आपके काम आएगी।
स्टेप 1: Assets की पहचान (Identification)
अपने ऑफिस के हर डिपार्टमेंट (HR, IT, Sales, Finance) में जाएं और वहां इस्तेमाल होने वाले डिवाइसेस और डेटा की जानकारी जुटाएं। याद रखें, "If you can't see it, you can't secure it."
स्टेप 2: Asset Owner तय करना (Assigning Ownership)
हर Asset का एक 'मालिक' होना चाहिए। ओनर (Owner) वह व्यक्ति होता है जो उस एसेट की सुरक्षा के लिए जिम्मेदार होता है। अक्सर IT मैनेजर लैपटॉप का ओनर होता है, जबकि HR मैनेजर कर्मचारी के डेटा का ओनर होता है।
स्टेप 3: Classification (वर्गीकरण)
हर डेटा एक जैसा महत्वपूर्ण नहीं होता। आपको अपने डेटा को वर्गीकृत करना होगा ताकि आप जान सकें कि किस पर सबसे ज्यादा सुरक्षा लगानी है।
डेटा क्लासिफिकेशन और सुरक्षा तालिका
नीचे दी गई टेबल आपको यह समझने में मदद करेगी कि अलग-अलग एसेट्स को कैसे मैनेज किया जाता है:
| Asset Type | Example | Classification | Protection Method |
|---|---|---|---|
| Hardware | Company Laptop | Internal | Encryption & Remote Wipe |
| Digital Data | Customer List | Secret / Restricted | Access Control & MFA |
| Software | Tally / ERP | Confidential | Licensed & Patch Management |
| Public Info | Website Content | Public | Regular Backup |
ISO 27001 Controls for Asset Management (Annex A.5.9)
ISO 27001 के नए वर्जन (2022) में एसेट मैनेजमेंट को काफी सिंपल कर दिया गया है। मुख्य रूप से इन कंट्रोल्स पर ध्यान दिया जाता है:
1. Inventory of Information and Other Associated Assets
यह कंट्रोल कहता है कि आपके पास एक अप-टू-डेट रजिस्टर होना चाहिए जिसमें एसेट का नाम, उसका ओनर, और उसकी लोकेशन लिखी हो।
2. Acceptable Use of Assets (A.5.10)
कंपनी के डिवाइसेस को इस्तेमाल करने के कुछ नियम (Policy) होने चाहिए। जैसे—क्या कर्मचारी कंपनी के लैपटॉप पर पर्सनल ईमेल खोल सकता है? क्या वह अनधिकृत सॉफ्टवेयर डाउनलोड कर सकता है?
3. Return of Assets (A.5.11)
जब कोई कर्मचारी कंपनी छोड़ता है, तो उसके पास मौजूद सभी डिवाइसेस (लैपटॉप, एक्सेस कार्ड) और डेटा को वापस लेना एक महत्वपूर्ण सुरक्षा प्रक्रिया है।
लैपटॉप और मोबाइल को सुरक्षित रखने के प्रैक्टिकल टिप्स
सिर्फ लिस्ट बनाना काफी नहीं है, Asset Management का असली उद्देश्य सुरक्षा है। यहाँ कुछ तरीके दिए गए हैं:
- Physical Labeling: हर लैपटॉप पर एक यूनिक 'Asset ID' का स्टिकर लगाएं।
- Remote Tracking: मोबाइल और लैपटॉप में 'Find My Device' या MDM (Mobile Device Management) सॉफ्टवेयर इंस्टॉल करें।
- Encryption: सभी हार्ड ड्राइव्स को एन्क्रिप्ट करें ताकि चोरी होने पर डेटा सुरक्षित रहे।
- Access Control: केवल उन्हीं लोगों को डेटा का एक्सेस दें जिन्हें उसकी जरूरत है (Principle of Least Privilege)।
Asset Management क्यों जरूरी है?
अगर आपकी कंपनी में ऑडिट होता है, तो सबसे पहले आपकी इन्वेंट्री ही देखी जाएगी। लेकिन ऑडिट के अलावा भी इसके कई फायदे हैं:
- Risk Assessment में आसानी: जब आपको पता होगा कि आपके पास क्या है, तभी आप उसके खतरों (Risks) को पहचान पाएंगे।
- लागत में कमी (Cost Saving): आपको पता रहेगा कि कौन सा डिवाइस बेकार पड़ा है और किसे रिप्लेस करना है।
- Legal Compliance: भारत के नए DPDP Act के अनुसार, आपको पता होना चाहिए कि आप कौन सा डेटा कहाँ स्टोर कर रहे हैं।
निष्कर्ष (Conclusion)
Asset Management सूचना सुरक्षा की नींव (Foundation) है। अगर आपकी इन्वेंट्री अधूरी है, तो आपकी पूरी सुरक्षा व्यवस्था कमजोर है। आज ही एक एक्सेल शीट उठाएं और अपने डिजिटल और फिजिकल एसेट्स की लिस्ट बनाना शुरू करें।
हमें उम्मीद है कि Tech Seekho India का यह आर्टिकल आपके काम आएगा। अगले भाग में हम चर्चा करेंगे कि इन एसेट्स पर Risk Assessment कैसे किया जाता है।
अगर आपके कोई सवाल हैं, तो नीचे कमेंट बॉक्स में जरूर लिखें! साइबर सुरक्षा की और जानकारी के लिए हमारे ISO 27001 सीरीज के अन्य आर्टिकल्स भी पढ़ें।