ГОСТ Р ИСО/МЭК 19770-1-2021. Национальный стандарт Российской Федерации. Информационные технологии. Управление ИТ-активами. Часть 1. Системы управления ИТ-активами. Требования
Приложение A
(обязательное)
ОПЕРАЦИОННЫЕ ПРОЦЕССЫ И ЦЕЛИ УПРАВЛЕНИЯ ИТ-АКТИВАМИ
В данном приложении описываются операционные процессы и цели управления ИТ-активами, которые должны рассматриваться для включения в систему управления ИТ-активами. Положение о применимости (6.2.2) документирует решения, которые включены или исключены.
Настоящее приложение используется в основной части настоящего стандарта следующим образом:
- 6.2.1 Детализация операционных процессов управления ИТ-активами;
- 6.2.2 Цели управления ИТ-активами для операционных процессов;
- Раздел 8 Операционные процессы, включая:
- 8.2 Управление изменениями;
- 8.3 Управление основными данными;
- 8.4 Управление лицензиями;
- 8.5 Управление безопасностью; и
- 8.6 Другие процессы.
Следует обратить внимание, что цели процессов для первых четырех процессов уже включены в настоящий стандарт и, следовательно, всегда должны быть включены в 8.2, 8.3, 8.4 и 8.5.
Типы процессов - это либо процессы управления жизненным циклом, либо функциональные процессы. Процессы управления жизненным циклом отражают этапы жизненного цикла самих ИТ-активов. Примерами являются приобретение, релиз и развертывание. Процессы функционального управления, напротив, как правило, применяются в отношении нескольких процессов жизненного цикла (и, следовательно, иногда используется термин "сквозные" процессы). Примерами являются управление изменениями, управление лицензиями, управление отношениями и контрактами.
На рисунке A.1 приведены процессные области по типу процесса.
Рисунок A.1 - Процессные области ITAM по типу процессов
В таблице A.1 приведены подробные цели процессов, структурированные по типу процесса.
Таблица A.1
Цели процессов, структурированные по типу процесса
Процесс | Цели процесса |
Процессы управления жизненным циклом ИТ-активов | |
Спецификация | Цель процесса "Спецификация" применительно к ИТ-активам - гарантировать, что требования к активам должным образом запрошены и проанализированы, а также разработаны и оценены подходящие варианты, соответствующие этим требованиям |
Приобретение | Цель процесса "Приобретение" применительно к ИТ-активам - гарантировать, что все активы, рассматриваемые в рамках процесса, приобретаются подконтрольно и должным образом регистрируются |
Разработка | Цель процесса "ИТ-разработка" применительно к ИТ-активам - гарантировать, что все ИТ-активы, рассматриваемые в рамках процесса, в частности программные, разрабатываются с учетом требований ITAM |
Релиз | Цель процесса "Управление релизами ИТ-активов" применительно к ИТ-активам - гарантировать, что релизы ИТ-активов, рассматриваемые в рамках процесса, планируются и производятся в соответствии с требованиями ITAM |
Развертывание | Цель процесса "Развертывание ИТ-активов" применительно к ITAM - гарантировать, что развертывание и повторное развертывание ИТ-активов в рамках процесса выполняется с учетом требований ITAM |
Эксплуатация | Цель процесса "Эксплуатация ИТ-активов" применительно к ITAM - гарантировать, что операционные действия по использованию ИТ-активов, рассматриваемых в рамках процесса, выполняются с учетом требований ITAM. Примечание - Процесс "Эксплуатация", который выполняется конечными пользователями и операторами, включает в себя использование ИТ-активов (например, создание резервных копий и прочие задачи по обслуживанию), мониторинг (например, исключений, а также использования и производительности) и оптимизацию (например, настройка параметров конфигурации для улучшения производительности или экономической эффективности). Здесь подразумевается существенная взаимосвязь с другими требованиями ITAMS. Например, соответствие политикам допустимого использования интегрируется с этим процессом. Многие из процессов функционального управления ИТ-активами будут интегрироваться с этим процессом, как, например, управление лицензиями для оптимизации развертывания лицензий |
Вывод из эксплуатации | Цель процесса "Вывод из эксплуатации" применительно к ИТ-активам - вывести ИТ-активы из текущего использования с последующим переназначением, переработкой и удалением (где это уместно, в соответствии с политикой компании и соблюдением всех требований к ведению учета) |
Процессы функционального управления ИТ-активами | |
Управление изменениями | Цель процесса "Управление изменениями" - контролировать запланированные изменения и рассматривать последствия случайных изменений, принимая меры для смягчения любых неблагоприятных последствий должным образом |
Управление основными данными | Цель процесса "Управление основными данными" - гарантировать, что требуемые данные обо всех основных ИТ-активах (в области охвата процесса) точно регистрируются на протяжении всего жизненного цикла, и что имеется документированная информация по всем ИТ-активам, являются ли они авторизованными или нет. Примечания 1 Основные ИТ-активы включают в себя программные активы, ИТ-оборудование и услуги, связанные с ИТ-активами. Цифровые информационные активы (например, лицензионные аудио- и видеозаписи, текстовые и PDF-документы) также рассматриваются как ИТ-активы, если они включены в рамки процесса. В ситуациях со смешанной ответственностью (например, для облачных сред или BYOD) может потребоваться включить в охват системы управления ИТ-активы, за которые отвечают другие организации и лица, в целях управления связанными рисками, например нарушения лицензионного соответствия. 2 Процесс включает в себя верификацию данных. 3 Этот процесс предоставляет информацию об ИТ-активах для поддержания рациональности и результативности других бизнес-процессов |
Управление лицензиями | Цель процесса "Управление лицензиями" - гарантировать, что требуемые данные и информация о лицензиях, относящихся к ним правах и объеме использования этих прав для всех ИТ-активов в рамках процесса должным образом регистрируются в течение всего жизненного цикла; периодически осуществляется аудит и верификация требований по использованию прав, соответствию используемых прав и предоставленных прав. Примечание - Если цифровые информационные активы включены в охват процесса и являются предметом лицензионных соглашений, на них также должны распространяться эти требования |
Управление безопасностью | Цель процесса "Управление безопасностью" - эффективно контролировать безопасность во всей деятельности ITAM и поддерживать требования по согласованию правил безопасности, относящихся к ITAM, для всех ИТ-активов в рамках процесса, а также проводить периодические проверки на соответствие требованиям безопасности. Примечание - Безопасность включает в себя контроль доступа и целостности. Требования безопасности применяются не только к программному обеспечению, но и ко всем ИТ-активам, включая оборудование и информацию об ИТ-активах. |
Управление отношениями и контрактами | Цель процесса "Управление отношениями и контрактами" применительно к ИТ-активам - управление отношениями с другими организациями, внешними и внутренними, чтобы гарантировать бесперебойное предоставление качественных услуг по управлению ИТ-активами, а также управление всеми контрактами на ИТ-активы и услуги, для всех ИТ-активов в рамках процесса. Примечание - Этот процесс включает в себя проверку соответствия требованиям условий и положений контрактов (помимо тех, которые относятся к лицензионному соответствию). |
Управление финансами | Цель процесса "Управление финансами" - гарантировать, что финансовые затраты и ценности, связанные с ИТ-активами, отслеживаются и регулируются, в том числе на предмет экономической эффективности |
Управление уровнем услуг | Цель процесса "Управление уровнем услуг" - определять, регистрировать и управлять основными уровнями услуг, относящихся к ITAM для рассматриваемых в процессе ИТ-активов. Примечание - Процесс включает в себя проверку вспомогательной информации. |
Управление прочими рисками | Цель процесса "Управление прочими рисками" - контроль выявленных рисков, которые не покрываются ни одним другим процессом из группы функционального управления. Примечание - Процесс включает в себя проверку эффективности проводимого управления рисками. |
Подписаться на обновления