Definición y propósito

El marco ISO/IEC 19770 proporciona requisitos adicionales o más detallados para la gestión de activos de TI que la norma ISO 55001:2014, que especifica los requisitos para un sistema de gestión de activos y se centra principalmente en los activos físicos. El propósito es ayudar a las organizaciones a gestionar adecuadamente sus activos de TI, lo que incluye la concesión de licencias, la realización de cambios y el cumplimiento de los requisitos legales, reglamentarios y contractuales, así como los propios requisitos de la organización.

Órgano de gobierno

ISO/IEC 19770 está gobernado por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC). El marco es desarrollado y mantenido por un comité técnico conjunto, ISO/IEC JTC 1/SC 7.

Última actualización

La última actualización de ISO/IEC 19770 fue en 2017.

Aplicable a

ISO/IEC 19770-1:2017 es aplicable a todos los tipos y tamaños de organizaciones. Aunque está destinado específicamente a los activos de TI, también puede aplicarse a otros tipos de activos.

Controles y requisitos

ISO/IEC 19770 especifica los requisitos para un sistema de gestión de activos de TI dentro del contexto de la organización. Estos requisitos son específicos para ciertas características de los activos de TI y tratan de:

• Controles sobre la modificación, duplicación y distribución de software, con especial énfasis en los controles de acceso e integridad
• Pistas de auditoría de autorizaciones y de cambios realizados a los activos de TI
• Controles sobre la licencia, sub-licencia, sobrelicencia y cumplimiento de los términos y condiciones de las licencias
• Controles sobre situaciones que implican propiedad y responsabilidades mixtas, como en la computación en la nube y con las prácticas de 'Trae-Tu-Propio-Dispositivo' (BYOD)
• Reconciliación de los datos de gestión de activos de TI con los datos en otros sistemas de información cuando esté justificado por el valor empresarial, en particular con los sistemas de información financiera que registran activos y gastos

Por favor, consulte la documentación oficial de ISO/IEC 19770 para una lista detallada de controles y requisitos.

Tipo, frecuencia y duración de auditoría

Se recomienda que las organizaciones realicen auditorías internas para comprobar cómo funciona su sistema de gestión de activos de TI. Las auditorías internas pueden ser realizadas por la propia organización o por un tercero en su nombre para evaluar la capacidad de la organización de cumplir con los requisitos de gestión de activos de TI de la propia organización.