Настоящий стандарт определяет требования к созданию, внедрению, обслуживанию и совершенствованию системы управления ИТ-активами.
В настоящем стандарте изложены дополнительные требования к ИСО 55001:2014 "Управление активами. Национальная система стандартов. Система менеджмента. Требования", в котором указаны требования к созданию, внедрению, сопровождению и совершенствованию системы управления активами. В настоящем стандарте изложены дополнительные или более подробные требования, которые считаются необходимыми для управления ИТ-активами. Основным отличием является необходимость управления программными активами с их особыми характеристиками. Несмотря на то, что ИСО 55001:2014 может быть использован для управления программными активами, если организации надлежащим образом определяют их область применения и предъявляют соответствующие требования, ИСО 55001:2014 в первую очередь ориентирован на физические активы, с незначительным фокусом на управление программными активами.
Существует ряд характеристик ИТ-активов, для которых необходимы эти дополнительные или более подробные требования. Они описаны в приложении C. В результате появления таких характеристик ИТ-активов, к системе управления ИТ-активами, следовательно, будут предъявляться явные требования, дополнительно к тем, что определены в ИСО 55001:2014, касающиеся:
- контроля модификации, дублирования и распространения программного обеспечения, с особым вниманием к контролю доступа и целостности;
- аудиторской прослеживаемости авторизации и изменений, внесенных в ИТ-активы;
- контроля лицензирования, недостаточного лицензирования, избыточного лицензирования и соблюдения условий лицензирования;
- контроля ситуаций, связанных со смешанным владением и ответственностью, например в облачных вычислениях и с практикой "принести свое собственное устройство" (BYOD);
- сверки данных управления ИТ-активами с данными в других информационных системах, если это оправдано ценностью для бизнеса, в частности с финансовыми информационными системами учета активов и расходов.
Кроме того, поскольку информация, связанная с ИТ-активами, как правило, является объемной, очень сложной и быстро меняющейся, вполне вероятно, что организациям с такой информацией потребуется использовать автоматизированные информационные системы.
Другое различие между ИСО 55001:2014 и настоящим стандартом состоит в том, что настоящий стандарт дополнительно обеспечивает несколько различных явных групп целей процессов (или уровней). Наиболее важным из них является базовый уровень, называемый достоверные данные, который является наиболее важным для большинства организаций конечных пользователей, а также для разработчиков программного обеспечения. Второй уровень предназначен для интеграции жизненного цикла, а третий - для оптимизации. Более подробная информация об уровнях и их соответствующих группах целей приведена в приложении В.
Поскольку основные физические активы все чаще включают в свой состав программное обеспечение или зависят от него, вполне вероятно, что дополнительные требования настоящего стандарта будут актуальны в таких ситуациях. Вполне вероятно, что большинству организаций, имеющих преимущественно физические активы, потребуются системы управления, отвечающие сочетанию "чистых" требований ИСО 55001:2014 с дополнительными требованиями настоящего стандарта.
ИТ-активы охватывают широкий спектр типов активов. На рисунке 1 схематически показаны основные типы ИТ-активов.
Настоящий стандарт может использоваться любой организацией и может применяться ко всем типам ИТ-активов. Организация определяет, к какому из ее ИТ-активов относится настоящий стандарт.
Настоящий стандарт, в первую очередь, предназначен для использования: