БИБЛИОТЕКА НОРМАТИВНЫХ ДОКУМЕНТОВ

ГОСТ Р ИСО/МЭК 19770-1-2021. Национальный стандарт Российской Федерации. Информационные технологии. Управление ИТ-активами. Часть 1. Системы управления ИТ-активами. Требования

8.7 Аутсорсинг и услуги

 

Когда организация передает на аутсорсинг любую деятельность, которая может повлиять на достижение ее целей в области управления ИТ-активами, она должна оценить связанные с этим риски. Организация должна обеспечить контроль над процессами и операциями, которые были переданы на аутсорсинг.

Примечания

1 Аутсорсинговая деятельность в принципе включает услуги, предоставляемые извне. Примерами услуг, предоставляемых извне, являются программное обеспечение как услуга (SaaS), платформа как услуга (PaaS) и инфраструктура как услуга (IaaS), а также техническое обслуживание оборудования, поддержка программного обеспечения и обучение. Однако термин "аутсорсинг", как правило, применяется к относительно всеобъемлющим наборам услуг, в то время как отдельные услуги, как правило, считаются более ограниченными по области применения.

2 Дополнительную информацию об управлении аутсорсингом и услугами см. в ИСО/МЭК 20000-1. Когда организация использует ИТ-инфраструктуру, ИТ-активы или данные и информацию с разделением ответственности между внутренней организацией и внешними поставщиками ИТ-услуг, организация должна оценить связанные с этим риски. При смешанной ответственности организация должна обеспечить контролируемость процессов и ИТ-инфраструктуры.

3 Примеры, связанные со смешанной ответственностью, заключаются в том, что разные стороны могут владеть устройствами, используемыми конечным пользователем (организация или третья сторона, например оператор мобильной связи), используемыми серверами (организация и третья сторона, например для облачных вычислений), лицензируемым программным обеспечением (принадлежащим организации или третьей стороне), а также хранимыми и обрабатываемыми данными (организации, персонала или третьей стороны).

 

Организация должна определить и задокументировать, как эти действия будут контролироваться и интегрироваться в систему управления ИТ-активами организации.

Организация должна определить:

a) процессы и виды деятельности, подлежащие аутсорсингу (включая область применения и границы аутсорсинговых процессов и видов деятельности и их взаимодействие с собственными процессами и видами деятельности организации);

b) последствия от смешанной ответственности (включая связанные с этим риски и то, как совместная ответственность может быть эффективно реализована с подотчетностью ответственных лиц);

c) ответственность и полномочия в организации по управлению внешними процессами и деятельностью;

d) процессы и возможности для обмена знаниями и информацией между организацией и ее поставщиком(ами) услуг по контрактам.

При аутсорсинге любой деятельности организация должна обеспечить, чтобы:

- привлеченные аутсорсинговые ресурсы соответствовали требованиям, определенным в 7.2, 7.3 и 7.6; и

- осуществление аутсорсинговой деятельности контролировалось в соответствии с 9.1.

TelegramПодписаться на обновления
TOC