ГОСТ Р ИСО/МЭК 19770-1-2021. Национальный стандарт Российской Федерации. Информационные технологии. Управление ИТ-активами. Часть 1. Системы управления ИТ-активами. Требования

3 Термины и определения

 

ИСО и МЭК поддерживают терминологические базы данных, используемые для стандартизации по следующим адресам:

- Электропедия МЭК: доступна по адресу https://www.rst.gov.ru/portal/gost/home/systems/electroportal;

- платформа онлайн-просмотра ИСО доступна по адресу https://www.iso.org/ru/home.html.

В настоящем стандарте применены следующие термины и определения.

Некоторые из этих терминов приведены из ИСО 55000:2014 и относятся к активам в целом. Эти термины применимы для ИТ-активов при использовании в контексте управления ИТ-активами, при этом термин "актив" понимается как "ИТ-актив". В некоторых случаях добавлены термины, специфичные для ИТ-активов. Никакая конкретная интерпретация не предполагается на основе того, был ли определен термин, специфичный для ИТ, или не был определен.

3.1 актив (asset): Произвольный объект, предмет или сущность, которые имеют потенциальную или фактическую ценность для организации (3.38).

Примечания

1 Ценность может быть материальной или нематериальной, финансовой или нефинансовой, и включать риски (3.48) и обязательства. На разных этапах жизненного цикла (3.2) активов ценность может быть как положительной, так и отрицательной.

2 Физические активы обычно относятся к оборудованию, инвентарю и недвижимости, принадлежащим организации. Физические активы противоположны нематериальным активам, которые являются нефизическими активами, такими как аренда, бренды, цифровые активы, права на использование, лицензии, права интеллектуальной собственности, репутация или соглашения.

3 Группа активов, именуемая системой активов (3.7), также может считаться активом.

 

[ИСО 55000:2014, 3.2.1]

3.2 жизненный цикл актива (asset life): Период от создания актива (3.1) до окончания срока службы актива.

[ИСО 55000:2014, 3.2.2]

3.3 управление активами (asset management): Скоординированная деятельность организации (3.38) для получения ценности от активов (3.1).

Примечания

1 В получение ценности обычно входит уравновешивание расходов, рисков (3.48), возможностей и производительности (3.42).

2 К данной деятельности также относится применение элементов системы управления активами (3.5).

3 Термин "деятельность" имеет широкое значение и может включать, например, подход, планирование, планы и их реализацию.

 

[ИСО 55000:2014, 3.3.1]

3.4 план управления активами (asset management plan): Документированная информация (3.19), которая определяет виды деятельности, ресурсы и временные рамки, необходимые для отдельного актива (3.1) или группы активов, для достижения организацией (3.38) целей (3.37) управления активами (3.3).

Примечания

1 Группировка активов может осуществляться по типу актива (3.8), классу активов, системе активов (3.7) или портфелю активов (3.6).

2 План управления активами выделяется из стратегического плана управления активами (3.53).

3 План управления активами может быть включен непосредственно в стратегический план управления активами или может являться вспомогательным планом в дополнение к стратегическому плану управления активами.

 

[ИСО 55000:2014, 3.3.3]

3.5 система управления активами (asset management system): Система управления (3.33) для управления активами (3.3), функция которой заключается в определении политики управления активами (3.43) и целей управления активами (3.37).

Примечание - Система управления активами является подмножеством управления активами.

 

[ИСО 55000:2014, 3.4.3]

3.6 портфель активов (asset portfolio): Активы (3.1), которые входят в охват системы управления активами (3.5).

Примечания

1 Портфель активов обычно определяется и назначается в целях управленческого контроля. Портфели активов для физического оборудования могут быть определены по категориям (например, завод, оборудование, инструменты, земля). Программные портфели активов могут быть определены издателем программного обеспечения или платформой (например, ПК, сервер, мэйнфрейм).

2 Система управления активами может охватывать несколько портфелей активов. Когда используются несколько портфелей активов и систем управления активами, деятельность по управлению активами (3.3) должна быть скоординирована между портфелями и системами.

 

[ИСО 55000:2014, 3.2.4]

3.7 система активов (asset system): Набор активов (3.1), которые взаимодействуют, либо взаимосвязаны.

[ИСО 55000:2014, 3.2.5]

3.8 тип актива (asset type): Группировка активов (3.1), имеющих общие характеристики, которые выделяют эти активы в группу или класс.

Пример - Физические активы, информационные активы, нематериальные активы, критичные активы (3.15), обеспечивающие активы, линейные активы, активы информационно-коммуникационных технологий (ИКТ), инфраструктурные активы, движимые активы.

[ИСО 55000:2014, 3.2.6]

3.9 аудит (audit): Систематический, независимый и документированный процесс (3.46) получения свидетельств аудита и их объективной оценки для определения степени, в которой выполняются критерии аудита.

Примечания

1 Аудит может быть внутренним аудитом (первая сторона) или внешним аудитом (вторая или третья сторона), и он может быть объединенным или интегрированным аудитом (объединяющим два и более предмета аудита).

2 Внутренний аудит проводится самой организацией или внешней стороной от ее имени.

3 Термины "Свидетельство аудита" и "Критерий аудита" определены в ИСО 19011.

 

[ИСО 55000:2014, 3.1.1, изменено: примечание 2 к записи добавлено для соответствия с приложением SL]

3.10 способность (capability): Мера <в рамках управления активами> мощности и возможностей объекта (системы, лица или организации (3.38)) по достижению своих целей (3.37).

Примечание - Способности в рамках управления активами (3.3) включают в себя процессы (3.46), ресурсы, компетенции (3.11) и технологии, позволяющие эффективно и рационально разрабатывать и осуществлять планы по управлению активами (3.4) и процедуры жизненного цикла актива (3.2), а также их непрерывное совершенствование (3.13).

 

[ИСО 55000:2014, 3.1.2]

3.11 компетенция (competence): Умение применять знания и навыки для достижения намеченных результатов.

[ИСО 55000:2014, 3.1.3]

3.12 соответствие (conformity): Исполнение требования (3.47).

[ИСО 55000:2014, 3.1.4]

3.13 непрерывное совершенствование (continual improvement): Повторяющаяся деятельность по улучшению производительности (3.42).

[ИСО 55000:2014, 3.1.5]

3.14 корректирующее действие (corrective action): Действия по устранению причины несоответствия (3.36) и предотвращения его повторения.

Примечание - Действия, необходимые для минимизации или устранения причин и уменьшения воздействия или предотвращения повторения, в случае других нежелательных результатов, выходят за рамки данного определения.

 

[ИСО 55000:2014, 3.4.1]

3.15 критичный актив (critical asset): Актив (3.1), который может существенно повлиять на достижение целей (3.37) организации (3.38).

Примечания

1 Активы могут быть критичными для безопасности, критичными для окружающей среды или критичными для производительности (3.42) и могут относиться к законодательным и нормативным требованиям (3.47).

2 Критичные активы могут относиться к активам, которые необходимы для предоставления услуг критичным клиентам.

3 Системы активов (3.7) можно разделять на критичные аналогично отдельным активам.

 

[ИСО 55000:2014, 3.2.7]

3.16 данные (data): Факты об объекте.

Примечание - В контексте систем управления ИТ-активами (3.28) данные могут представлять собой выявленное, измеренное или записанное представление информации, прежде чем эта информация будет проанализирована, интерпретирована или обработана. Данные могут относиться к таким объектам, как факты, события, вещи, процессы или идеи, включая концепции, которые в определенном контексте имеют конкретное значение, относящееся к ИТ-активам.

 

[ИСО 9000:2015, 3.8.1, изменено: добавлено примечание 1, измененное по отношению к ИСО 15784-1 и ИСО/МЭК 2382]

3.17 цифровой актив (digital asset): ИТ-актив (3.25), выраженный электронным способом в цифровом формате.

Примечание - Цифровые активы включают в себя программные активы (3.50) и цифровые информационные активы (3.18).

 

3.18 цифровой информационный актив (digital information content asset): Цифровой актив (3.17) с информационным наполнением.

Пример - Документы, аудио-, видео-, графики, базы данных, отдельные словари; часто лицензируются.

Примечание - ITAM может включать управление этими активами как целыми объектами, например для соблюдения условий лицензии, но исключает управление контентом.

 

3.19 документированная информация (documented information): Информация, которую требуется контролировать и поддерживать организацией (3.38), и среда, в которой информация содержится.

Примечания

1 Документированная информация может быть в любом формате и носителе и из любого источника.

2 К документированной информации можно отнести:

- систему управления (3.33), включая связанные процессы (3.46);

- информацию, созданную для того, чтобы организация функционировала (документация);

- свидетельство достигнутых результатов (например, записи, ключевые показатели эффективности).

 

[ИСО 55000:2014, 3.1.6]

3.20 эффективность (effectiveness): Степень реализации запланированных действий и достижения запланированных результатов.

[ИСО 55000:2014, 3.1.7]

3.21 аппаратное обеспечение (hardware): Физическое оборудование, используемое для обработки, хранения или передачи компьютерных программ или данных.

[ISO/IEC/IEEE 24765:2010, 3.1278]

3.22 инцидент (incident): Внеплановое событие или происшествие, в результате которого наносится вред или иной ущерб.

[ИСО 55000:2014, 3.1.8]

3.23 информация (information): Значимые данные.

Примечания

1 В контексте систем управления ИТ-активами (3.28) информация может представлять собой данные, которые были сформированы, преобразованы, проанализированы, интерпретированы или скомпилированы и которым придается значение в соответствии с контекстом и принятыми соглашениями (условиями). Основные данные могут относиться к таким объектам, как факты, события, вещи, процессы или идеи, включая понятия, которые в определенном контексте имеют определенное значение, связанное с ИТ-активами (3.25).

2 В контексте систем управления ИТ-активами информация может записываться в цифровом или физическом виде (например, на бумаге).

 

[ИСО 9000:2015, 3.8.2, изменено: примечание 1 на основе изменений согласно ISO/TR 12037, ISO/TR 21089 и ИСО/МЭК 2382) и добавлено примечание 2]

3.24 информационные технологии; ИТ (information technology, IT): Разработка, обслуживание и использование технологий для получения, обработки, хранения и распространения цифровой информации.

Примечание - Это исключает использование технологии для получения, обработки, хранения и распространения информации, которая не является цифровой, такой как бумажная информация. Примерами информации, которая исключаются, когда она не записана в цифровой форме, являются книги, руководства, рукописи и др. Для целей настоящего определения термин "цифровой" эквивалентен термину "электронный".

 

3.25 ИТ-актив (IT asset): Элемент, вещь или сущность, которые могут использоваться для получения, обработки, хранения и распространения информации (цифровых данных), которая имеет потенциальную или фактическую ценность для организации.

Примечания

1 ИТ-активы включают:

- программное обеспечение (3.49);

- носители (физические и цифровые):

- ИТ-оборудование (физическое и виртуальное);

- лицензии (включая подтверждение лицензии);

- контракты;

- ITAM-системы управления ИТ-активами (включая системы и инструменты ITAM, а также метаданные, необходимые для управления всеми ИТ-активами).

2 Услуги (сервисы) для отражения требований (3.47) к управлению ИТ-активами (3.26), предоставляемые внешним поставщиком услуг, также могут рассматриваться как ИТ-активы, например такие, как "программное обеспечение как услуга", техническое обслуживание оборудования, поддержка программного обеспечения, обучение.

3 Цифровые информационные активы (3.18) представляют собой файлы или другие объекты с информационным содержанием, которые не являются программным обеспечением. Например, может существовать набор стандартов в цифровой форме; набор носителей информации; рейтинговая информация кредитных агентств. Такие активы могут быть лицензированы и, следовательно, могут также рассматриваться в рамках дисциплины управления ИТ-активами.

4 Информация сама по себе, независимо от аппаратных и программных средств ИТ, может считаться активом (3.1), но она не считается ИТ-активом.

5 Связанный набор ИТ-активов также называют ИТ-инфраструктурой (3.30).

 

3.26 управление ИТ-активами; ITAM (IT asset management, ITAM): Скоординированная деятельность организации (3.38) по получению ценности от ИТ-активов (3.25).

3.27 план управления ИТ-активами (IT asset management plan): Задокументированная информация (3.19), определяющая виды деятельности, ресурсы и временные рамки, требуемые для управления каждым ИТ-активом (3.25) (или группой ИТ-активов), предназначенная для достижения целей (3.37) управления ИТ-активами (3.26) организации (3.38).

Примечания

1 Группировка активов может производиться по типу активов (3.8), классу активов, системам активов (3.7) или портфелю активов ИТ (3.29).

[ИСО/МЭК 19770-1:2017]

2 План управления ИТ-активами является производным от стратегического плана управления ИТ-активами (3.54).

3 План управления ИТ-активами может содержаться, или быть вспомогательным, в стратегическом плане управления ИТ-активами.

 

[ИСО 55000:2014, 3.3.3, изменено: план управления активами изменен на план управления ИТ-активами, все примечания приведены с учетом специфики упоминаемых дисциплин]

3.28 система управления ИТ-активами; ITAMS (IT asset management system, ITAMS): Система управления (3.33), обеспечивающая управление ИТ-активами (3.26), функции которой задают (определяют) политики (3.43) и цели (3.37) управления ИТ-активами.

3.29 портфель ИТ-активов (IT asset portfolio): ИТ-активы (3.25), которые находятся в области применения системы управления ИТ-активами (3.28).

Примечания

1 Портфель ИТ-активов определяется и назначается для обеспечения аспектов управления активами соответствующего типа. Портфели для аппаратных средств ИТ могут быть определены по категориям, например: серверы, персональные компьютеры, мобильные устройства и т.д. Портфели программных средств могут быть определены по производителю программного средства или по платформе, например: персональные компьютеры, сервера, мейнфреймы и т.д.

2 Система управления ИТ-активами может охватывать несколько портфелей ИТ-активов.

3 См. также 3.6 "Портфель активов".

 

3.30 ИТ-инфраструктура (IT infrastructure): Комплекс ИТ-активов (3.25) для разработки, обслуживания и использования ИТ сервисов (услуг).

3.31 уровень сервиса (level of service): Параметры или комбинация параметров, которые отражают социальные, политические, экологические и экономические результаты (эффекты), которых достигает организация (3.38).

Примечание - Параметры уровня сервисов могут содержать: безопасность, удовлетворенность клиента, качество, количество, объем, надежность, скорость реагирования, соответствие экологическим нормам, стоимость и доступность сервиса (услуг).

 

[ИСО 55000:2014, 3.3.6]

3.32 жизненный цикл (life cycle): Этапы, включенные в управление активом.

Примечания

1 Наименование и количество этапов, процессов и видов деятельности внутри каждого этапа обычно различаются в зависимости от отраслевой принадлежности и определяются организацией (3.38).

 

[ИСО 55000:2014, 3.2.3]

3.33 система управления (management system): Набор связанных или взаимодействующих между собой элементов организации (3.38) для определения политик (3.43) и целей (3.37) и процессов (3.46) организации, для достижения целей организации.

Примечания

1 Система управления может относиться к одной или нескольким областям.

2 Элементы системы включают в себя структуру организации, функции и обязанности, планирование, операционный контроль и т.д.

3 Система управления может охватывать как организацию в целом, так и отдельные или определенные функции организации, отдельные или определенные подразделения организации или одну или более функций в группе организаций.

 

[ИСО 55000:2014, 3.4.2, с дополнением в примечании 3 в соответствии с Annex SL]

3.34 измерение (measurement): Процесс (3.46) измерения для определения значений.

[ИСО 55000:2014, 3.1.10]

3.35 мониторинг (monitoring): Определение состояния системы, процесса (3.46) или деятельности.

Примечания

1 Для определения состояния может возникнуть необходимость в проверке, надзоре или критической оценке.

2 Для целей управления активами мониторинг может также использоваться для определения статуса актива. Как правило, это относится к мониторингу состояния или мониторингу производительности.

 

[ИСО 55000:2014, 3.1.9]

3.36 несоответствие (nonconformity): Невыполнение требования (3.47).

3.37 цель (objective): Результат, который должен быть достигнут.

3.38 организация (organization): Лицо или группа лиц, имеющие собственные функции и ответственность, полномочия и связи для достижения своих целей (3.37).

Примечание - Концепция организации включает, но не ограничивается ими, следующие сущности: индивидуальный предприниматель, компания, корпорация, фирма, предприятие, орган власти, партнерство, благотворительное общество или учреждение, часть или комбинацию перечисленного, объединение или нет, публичное или частное.

 

[ИСО 55000:2014, 3.1.13]

3.39 цель организации (organizational objective): Всеобъемлющая цель (3.37), которая устанавливает контекст и направление для деятельности организации (3.38).

Примечание - Цели организации устанавливаются в рамках деятельности по стратегическому планированию деятельности организации.

 

[ИСО 55000:2014, 3.1.14]

3.40 план организации (organizational plan): Документированная информация (3.19), которая определяет программы для достижения целей организации (3.39).

[ИСО 55000:2014, 3.1.15]

3.41 передать на аутсорсинг [outsource (verb)]: Создать условия, при которых внешняя организация (3.38) выполняет часть функции или процесса (3.46) организации.

Примечание - Внешняя организация не входит в область применения системы управления (3.33), хотя переданные на аутсорсинг внешней организации функция или процесс входят в область применения, если они влияют на результативность системы управления активами (3.5).

 

[ИСО 55000:2014, 3.1.16]

3.42 производительность (performance): Измеримый результат.

Примечания

1 Производительность может относиться к количественным или качественным оценкам.

2 Производительность может иметь отношение к управлению видами деятельности, процессами (3.46), продуктами (включая услуги), системами или организациями (3.38).

3 Для целей управления активами (3.3) производительность может относиться к активам (3.1) в части их способности выполнять требования (3.47) или достигать целей (3.37).

 

[ИСО 55000:2014, 3.1.1]

3.43 политика (policy): Намерения и курс организации (3.38), официально сформулированные ее высшим руководством (3.55).

[ИСО 55000:2014, 3.1.18]

3.44 прогнозирующее действие (predictive action): Действие по мониторингу состояния актива (3.1) и прогнозированию необходимости предупреждающего действия (3.45) или корректирующего действия (3.14).

Примечание - Прогнозирующее действие также часто относят к "мониторингу технического состояния", к "мониторингу производительности".

 

[ИСО 55000:2014, 3.3.5]

3.45 предупреждающее действие (preventive action): Действие по устранению причины потенциального несоответствия (3.36) или иной нежелательной потенциальной ситуации.

Примечания

1 Это определение применимо только для деятельности по управлению активами (3.3).

2 Потенциальное несоответствие может иметь несколько причин.

3 Предупреждающее действие предпринимают для предотвращения возникновения несоответствия и сохранения функции актива (3.1), тогда как корректирующее действие (3.14) предпринимают для предотвращения его повторения.

4 Предупреждающее действие, как правило, выполняется в период, когда актив функционирует, или готов к функционированию, или до момента начала возникновения функционального отказа.

5 Предупреждающее действие включает пополнение расходных материалов там, где расходование материалов является функциональным требованием (3.47).

 

[ИСО 55000:2014, 3.3.4]

3.46 процесс (process): Совокупность взаимосвязанных или взаимодействующих видов деятельности, преобразующая входы в выходы.

[ИСО 55000:2014, 3.1.19]

3.47 требование (requirement): Потребность или ожидание, которые установлены, обычно подразумеваются или являются обязательными.

Примечания

1 "Обычно подразумеваемый" означает, что это общепринятая или специфическая практика для организации (3.38) и заинтересованных сторон (3.52), когда рассматриваемые потребности или ожидания подразумеваются.

2 Установленным является такое требование, которое изложено, например, в документированной информации (3.19).

 

[ИСО 55000:2014, 3.1.20]

3.48 риск (risk): Влияние неопределенности на цели (3.37).

Примечания

1 Влияние - это отклонение от того, что ожидается (положительное и/или отрицательное).

2 Цели могут иметь различные аспекты (например, финансовые и экологические цели и цели в отношении здоровья и безопасности) и могут применяться на различных уровнях (стратегических, в масштабах организации, проекта, продукта или процесса (3.46)).

3 Риск часто характеризуется ссылкой на потенциально возможные "события" (как определено в Руководстве ИСО 73:2009, статья 3.5.1.3) и "последствия" (как определено в Руководстве ИСО 73:2009, статья 3.6.1.3) или их комбинации.

4 Риск часто выражают в виде комбинации последствий событий (включая изменения в обстоятельствах) и связанной с этим вероятности или возможности наступления (как определено в Руководстве ИСО 73:2009, статья 3.6.1.1).

5 Неопределенность - это состояние, заключающееся в недостаточности, даже частичной, информации, понимания или знания относительно события, его последствий или возможности его наступления.

 

[ИСО 55000:2014, 3.1.21, изменено: добавлено примечание 4 для соответствия с приложением SL]

3.49 программное обеспечение (software): Все или часть программ, которые обрабатывают или поддерживают обработку цифровой информации.

Примечания

1 Для целей данного определения программное обеспечение исключает саму информацию, такую как содержание документов, аудио- и видеозаписей, графики и баз данных.

2 Существует как исполняемое, так и неисполняемое программное обеспечение. Цель неисполняемого программного обеспечения - контролировать или поддерживать исполняемое программное обеспечение, и включает в себя, например, информацию о конфигурации, шрифты и словари для проверки орфографии. Цифровая информация, управляемая исполняемым программным обеспечением (например, содержимое документов и баз данных), не считается программным обеспечением для целей данного определения, даже если выполнение программы может зависеть от значений данных.

 

3.50 программный актив (software asset): Программное обеспечение (3.49), которое несет потенциальную или фактическую ценность для организации.

Примечание - Программное обеспечение может быть совокупностью компонентов программного обеспечения, например программный продукт может быть сборником тысяч файлов программного обеспечения.

 

3.51 управление программными активами; SAM (software asset management, SAM): Скоординированная деятельность организации по реализации ценности программных активов (3.50).

Примечания

1 Управление программными активами является специализированной частью управления ИТ-активами (3.26), ориентированной именно на активы ПО. Управление программными активами может включать управление активами, не относящимися к программному обеспечению.

2 Для справки, соответствующее отраслевое определение - это "вся инфраструктура и процессы, необходимые для эффективного управления, контроля и защиты программных активов внутри организации на всех этапах их жизненного цикла".

 

3.52 заинтересованная сторона (stakeholder): Лицо или организация (3.38), которая может воздействовать, или подвергаться воздействию, или считает, что может подвергаться воздействию решений или деятельности.

Примечание - "Заинтересованная сторона" может также упоминаться как "вовлеченная сторона".

 

[ИСО 55000:2014, 3.1.22]

3.53 стратегический план управления активами; SAMP (strategic asset management plan, SAMP): Документированная информация (3.19), которая устанавливает, как цели организации (3.39) будут преобразованы в цели (3.37) управления активами, и устанавливает подход к разработке планов управления активами (3.4) и роль системы управления активами (3.5) в обеспечении достижения целей управления активами.

Примечания

1 Стратегический план управления активами является производным от плана организации (3.40).

2 Стратегический план управления активами может быть составной частью или дополнением плана организации.

 

[ИСО 55000:2014, 3.3.2]

3.54 стратегический план управления ИТ-активами (strategic IT asset management plan): Документированная информация (3.19), которая устанавливает, как цели организации (3.39) будут преобразованы в цели (3.37) управления ИТ-активами (3.26), устанавливает подход к разработке планов управления ИТ-активами (3.27) и роль системы управления активами (3.28) в обеспечении достижения целей управления активами.

Примечания

1 Стратегический план управления ИТ-активами является производным от плана организации (3.40).

2 Стратегический план управления ИТ-активами может быть составной частью или дополнением плана организации.

 

[ИСО 55000:2014, 3.3.2, изменено: термин и определение стали специфическими отраслевыми]

3.55 высшее руководство (top management): Лицо или группа лиц, осуществляющих руководство и управление организацией (3.38) на высшем уровне.

Примечания

1 Высшее руководство наделяет полномочиями и выделяет ресурсы внутри организации.

2 Если область применения системы управления (3.33) охватывает только часть организации, то термин "высшее руководство" относится к тем лицам, которые руководят и управляют этой частью организации. Если используются несколько систем управления активами (3.5), следует обеспечить координацию их деятельности.

 

[ИСО 55000:2014, 3.1.23]

3.56 достоверные данные (trustworthy data): Данные (3.16) и связанная с ними информация (3.23), которые точны, полноценны, подходящи, легко понятны и доступны уполномоченным пользователям, которым они нужны для выполнения какой-либо задачи.