ISO/IEC 19770
ISO/IEC 19770 ist eine internationale Norm, die Anforderungen für die Einrichtung, Implementierung, Wartung und Verbesserung eines IT-Asset-Managementsystems festlegt.
Fordern Sie eine Demo der Secureframe Custom Frameworks anDefinition und Zweck
Das ISO/IEC 19770 Framework bietet zusätzliche oder detailliertere Anforderungen für das Management von IT-Assets als ISO 55001:2014, die die Anforderungen an ein Asset-Management-System festlegt und sich hauptsächlich auf physische Assets konzentriert. Der Zweck besteht darin, Organisationen dabei zu helfen, ihre IT-Assets ordnungsgemäß zu verwalten, einschließlich Lizenzierung, Änderungen und der Erfüllung rechtlicher, regulatorischer und vertraglicher Anforderungen sowie der eigenen Anforderungen der Organisation.
Aufsichtsbehörde
ISO/IEC 19770 wird von der Internationalen Organisation für Normung (ISO) und der Internationalen Elektrotechnischen Kommission (IEC) verwaltet. Das Framework wird von einem gemeinsamen technischen Komitee, ISO/IEC JTC 1/SC 7, entwickelt und gepflegt.
Letzte Aktualisierung
ISO/IEC 19770 wurde zuletzt 2017 aktualisiert.
Gilt für
ISO/IEC 19770-1:2017 gilt für alle Arten und Größen von Organisationen. Obwohl es insbesondere für IT-Assets gedacht ist, kann es auch auf andere Asset-Typen angewendet werden.
Kontrollen und Anforderungen
ISO/IEC 19770 legt Anforderungen an ein IT-Asset-Managementsystem im Kontext der Organisation fest. Diese Anforderungen sind spezifisch für bestimmte Eigenschaften von IT-Assets und behandeln:
- Kontrollen über Softwareänderung, -duplizierung und -verteilung, mit besonderem Fokus auf Zugriffs- und Integritätskontrollen
- Audit Trails von Autorisierungen und von Änderungen, die an IT-Assets vorgenommen wurden
- Kontrollen über Lizenzierung, Unterlizenzierung, Überlizenzierung und Einhaltung der Lizenzbedingungen
- Kontrollen über Situationen mit gemischtem Eigentum und Verantwortlichkeiten, wie z.B. beim Cloud Computing und bei „Bring-Your-Own-Device“ (BYOD)-Praktiken
- Abgleich von IT-Asset-Management-Daten mit Daten in anderen Informationssystemen, wenn dies durch den Geschäftswert gerechtfertigt ist, insbesondere mit Finanzinformationssystemen, die Assets und Ausgaben aufzeichnen
Bitte konsultieren Sie die offizielle ISO/IEC 19770 Dokumentation für eine detaillierte Liste der Kontrollen und Anforderungen.
Audit-Typ, Häufigkeit und Dauer
Es wird empfohlen, dass Organisationen interne Audits durchführen, um zu prüfen, wie ihr IT-Asset-Management-System funktioniert. Interne Audits können von der Organisation selbst oder von einer externen Partei in ihrem Namen durchgeführt werden, um die Fähigkeit der Organisation zu bewerten, die eigenen IT-Asset-Management-Anforderungen der Organisation zu erfüllen.