Definition und Zweck

Das ISO/IEC 19770 Framework bietet zusätzliche oder detailliertere Anforderungen für das Management von IT-Assets als ISO 55001:2014, die die Anforderungen an ein Asset-Management-System festlegt und sich hauptsächlich auf physische Assets konzentriert. Der Zweck besteht darin, Organisationen dabei zu helfen, ihre IT-Assets ordnungsgemäß zu verwalten, einschließlich Lizenzierung, Änderungen und der Erfüllung rechtlicher, regulatorischer und vertraglicher Anforderungen sowie der eigenen Anforderungen der Organisation.

Aufsichtsbehörde

ISO/IEC 19770 wird von der Internationalen Organisation für Normung (ISO) und der Internationalen Elektrotechnischen Kommission (IEC) verwaltet. Das Framework wird von einem gemeinsamen technischen Komitee, ISO/IEC JTC 1/SC 7, entwickelt und gepflegt.

Letzte Aktualisierung

ISO/IEC 19770 wurde zuletzt 2017 aktualisiert.

Gilt für

ISO/IEC 19770-1:2017 gilt für alle Arten und Größen von Organisationen. Obwohl es insbesondere für IT-Assets gedacht ist, kann es auch auf andere Asset-Typen angewendet werden.

Kontrollen und Anforderungen

ISO/IEC 19770 legt Anforderungen an ein IT-Asset-Managementsystem im Kontext der Organisation fest. Diese Anforderungen sind spezifisch für bestimmte Eigenschaften von IT-Assets und behandeln:

• Kontrollen über Softwareänderung, -duplizierung und -verteilung, mit besonderem Fokus auf Zugriffs- und Integritätskontrollen
• Audit Trails von Autorisierungen und von Änderungen, die an IT-Assets vorgenommen wurden
• Kontrollen über Lizenzierung, Unterlizenzierung, Überlizenzierung und Einhaltung der Lizenzbedingungen
• Kontrollen über Situationen mit gemischtem Eigentum und Verantwortlichkeiten, wie z.B. beim Cloud Computing und bei „Bring-Your-Own-Device“ (BYOD)-Praktiken
• Abgleich von IT-Asset-Management-Daten mit Daten in anderen Informationssystemen, wenn dies durch den Geschäftswert gerechtfertigt ist, insbesondere mit Finanzinformationssystemen, die Assets und Ausgaben aufzeichnen

Bitte konsultieren Sie die offizielle ISO/IEC 19770 Dokumentation für eine detaillierte Liste der Kontrollen und Anforderungen.

Audit-Typ, Häufigkeit und Dauer

Es wird empfohlen, dass Organisationen interne Audits durchführen, um zu prüfen, wie ihr IT-Asset-Management-System funktioniert. Interne Audits können von der Organisation selbst oder von einer externen Partei in ihrem Namen durchgeführt werden, um die Fähigkeit der Organisation zu bewerten, die eigenen IT-Asset-Management-Anforderungen der Organisation zu erfüllen.