ГОСТ Р ИСО/МЭК 19770-1-2021. Национальный стандарт Российской Федерации. Информационные технологии. Управление ИТ-активами. Часть 1. Системы управления ИТ-активами. Требования

6.2 Цели управления ИТ-активами и планирование их достижения

 

6.2.1 Детализация операционных процессов управления ИТ-активами

Организация должна определить операционные процессы, которые соответствуют степени обеспечения управления, требуемой в отношении управления ИТ-активами.

Примечания

1 В приложении A приведен список рабочих процессов для управления ИТ-активами. Этот список не является исчерпывающим, и могут потребоваться дополнительные рабочие процессы.

2 Возможно, но не обязательно указывать группы процессов для включения или исключения на основе их классификации по уровням, как описано в приложении B.

 

6.2.2 Цели управления ИТ-активами для операционных процессов

Организация должна определить адекватные цели для операционных процессов, отмеченных 6.2.1. Цели, определенные таким образом, должны быть сопоставлены с целями, которые приведены в приложении A.

Должно быть выпущено положение о применимости, содержащее список определенных целей с обоснованием включения или исключения любой из целей, перечисленных в приложении A.

Примечания

1 Процессы и цели процессов, перечисленные в приложении A, не являются всеобъемлющими и могут потребоваться дополнительные операционные процессы и цели процессов.

2 Термин "Положение о применимости" был выбран по аналогии с положением о применимости в ИСО/МЭК 27001. Положение о применимости совместно с определением области применения (4.3) необходимы любой внутренней или внешней стороне для понимания, что охватывается системой управления ИТ-активами.

3 Возможно, но необязательно, сгруппировать процессы и цели процессов для их включения или исключения на основе классификации по их уровням, как показано в приложении B.

 

6.2.3 Общие цели управления ИТ-активами

Организация должна установить цели управления ИТ-активами для значимых функций и уровней.

При определении целей управления ИТ-активами организация должна учитывать требования соответствующих заинтересованных лиц, а также прочие финансовые, технические, правовые, законодательные и организационные требования в процессе планирования управления ИТ-активами.

Примечания

1 Обобщенный перечень целей управления ИТ-активами строится на целях управления ИТ-активами для операционных процессов, определенных в 6.2.2.

Цели управления ИТ-активами должны:

- быть согласованными и соответствовать целям организации.

2 Цели организации могут включать цели, связанные с энергоэффективностью и прочими соображениями экологической устойчивости:

- соответствовать политике управления ИТ-активами;

- быть установленными и обновляемыми с использованием критериев принятия решений в управлении ИТ-активами (см. 4.2);

- быть установленными и обновляемыми как часть стратегического плана управления ИТ-активами;

- быть измеримыми (если применимо);

- содержать количественные целевые показатели для обеспечения точности данных;

- учитывать применимые требования;

- отражать (в рамках возможного) вероятность высоких темпов изменений в технологии и в бизнес-окружении;

- быть контролируемыми;

- сообщаться соответствующим заинтересованным лицам; и

- пересматриваться и обновляться в соответствии с обстоятельствами.

Организация должна сохранять документированную информацию по целям управления ИТ-активами.

 

6.2.4 Планирование достижения целей управления ИТ-активами

Организации необходимо объединить планирование достижения целей управления ИТ-активами с прочими видами деятельности по организационному планированию, включая управление финансами, управление кадрами и другие поддерживающие функции.

Для достижения целей управления ИТ-активами организация должна создать, документировать и поддерживать план(ы) управления ИТ-активами. План(ы) управления ИТ-активами должны соответствовать политике управления ИТ-активами и стратегическому плану управления ИТ-активами.

Организация должна обеспечить учет в планах управления ИТ-активами значимых требований, приходящих извне в систему управления ИТ-активами.

При планировании достижения своих целей управления ИТ-активами организация должна определить и задокументировать:

a) метод и критерии принятия решений и приоритезации деятельности и ресурсов для выполнения плана(ов) управления ИТ-активами и для достижения целей управления ИТ-активами;

b) процессы и методы, которые должны использоваться для управления ИТ-активами в течение их жизненных циклов;

c) что будет сделано;

d) какие ресурсы потребуются;

e) кто будет ответственным;

f) когда будет исполнено;

g) как будут оцениваться результаты;

h) приемлемые временные рамки для плана(ов) управления ИТ-активами;

i) финансовые и нефинансовые последствия плана(ов) управления ИТ-активами;

j) период пересмотра планов управления ИТ-активами (см. 9.1);

k) действия по использованию возможностей, связанных с управлением ИТ-активами, с учетом того, как эти возможности могут изменяться во времени, посредством установления процессов для:

- идентификации возможностей;

- оценки возможностей;

- определения важности ИТ-активов для достижения целей управления ИТ-активами;

- осуществления подходящей обработки и мониторинга возможностей.

Примечание - ИСО 55001:2014 включает риски в этом тексте, в то время как настоящий стандарт определяет риски более широко в 6.1.2 и 6.1.3, подобно тому, как риски определены в ИСО/МЭК 27001.