Définition et objectif

Le cadre ISO/IEC 19770 fournit des exigences supplémentaires ou plus détaillées pour la gestion des actifs informatiques que l'ISO 55001:2014, qui spécifie les exigences d'un système de gestion des actifs et se concentre principalement sur les actifs physiques. L'objectif est d'aider les organisations à gérer correctement leurs actifs informatiques, ce qui inclut la gestion des licences, la réalisation de modifications et le respect des exigences légales, réglementaires et contractuelles ainsi que les propres exigences de l'organisation.

Organe directeur

L'ISO/IEC 19770 est régie par l'Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (CEI). Le cadre est développé et maintenu par un comité technique conjoint, ISO/IEC JTC 1/SC 7.

Dernière mise à jour

L'ISO/IEC 19770 a été mis à jour pour la dernière fois en 2017.

S'applique à

ISO/IEC 19770-1:2017 s'applique à tous les types et tailles d'organisations. Bien qu'il soit destiné aux actifs informatiques en particulier, il peut également être appliqué à d'autres types d'actifs.

Contrôles et exigences

ISO/IEC 19770 spécifie les exigences pour un système de gestion des actifs informatiques dans le contexte de l'organisation. Ces exigences sont spécifiques à certaines caractéristiques des actifs informatiques et traitent de :

• Contrôles sur la modification, la duplication et la distribution des logiciels, en mettant particulièrement l'accent sur les contrôles d'accès et d'intégrité
• Pistes d'audit des autorisations et des modifications apportées aux actifs informatiques
• Contrôles sur les licences, la sous-licence, la sur-licence et le respect des termes et conditions des licences
• Contrôles sur les situations impliquant une propriété et des responsabilités mixtes, telles que dans le cloud computing et avec les pratiques de « Bring-Your-Own-Device » (BYOD)
• Réconciliation des données de gestion des actifs informatiques avec les données dans d'autres systèmes d'information lorsque justifié par la valeur commerciale, en particulier avec les systèmes d'information financiers enregistrant les actifs et les dépenses

Veuillez vous référer à la documentation officielle de l'ISO/IEC 19770 pour une liste détaillée des contrôles et des exigences.

Type d'audit, fréquence et durée

Il est recommandé que les organisations effectuent des audits internes pour vérifier le fonctionnement de leur système de gestion des actifs informatiques. Les audits internes peuvent être effectués par l'organisation elle-même ou par une partie externe en son nom pour évaluer la capacité de l'organisation à répondre aux exigences de gestion des actifs informatiques de l'organisation.