この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序章
この文書は、「IT アセットマネジメントシステム」(ITAMS)と呼ばれる IT アセットマネジメント(ITAM)のマネジメントシステムの確立、実施、維持、および改善のための要件を規定しています。
この文書は、「資産管理システム」と呼ばれる資産管理のための管理システムの確立、実装、維持、および改善の要件を指定する ISO 55001:2014 に対する追加要件を提供します。このドキュメントには、IT 資産の管理に必要と考えられる追加またはより詳細な要件が含まれています。主な差別化要因は、特定の特性を持つソフトウェア資産を管理する必要があることです。 ISO 55001:2014 は、組織がその範囲と関連する要件を適切に定義する場合、ソフトウェア資産の管理に使用できますが、主に物理的な資産に焦点を当てており、ソフトウェア資産の管理に関する規定はほとんどありません。
これらの追加要件またはより詳細な要件を作成する IT 資産には、多くの特性があります。これらは附属書 C に記載されています。IT 資産のこれらの特性の結果として、IT 資産の管理システムには、以下を扱う ISO 55001:2014 の要件に加えて、明示的な要件が必要になります。
- アクセスと完全性の制御に特に重点を置いた、ソフトウェアの変更、複製、および配布の制御。
- 承認および IT 資産に加えられた変更の監査証跡。
- ライセンス供与、アンダーライセンス、オーバーライセンス、およびライセンス条件の遵守に対する管理。
- クラウド コンピューティングや「個人所有デバイスの持ち込み」 (BYOD) の慣行など、所有権と責任が混在する状況の管理。他の
- ビジネス価値によって正当化される場合、IT 資産管理データと他の情報システムのデータとの照合、特に資産と費用を記録する財務情報システムとの照合。
さらに、IT 資産に関連する情報は通常、膨大で非常に複雑で急速に変化するため、そのような情報を扱う組織は、自動化された情報システムを利用する必要が生じる可能性があります。
ISO 55001:2014 とこのドキュメントのもう 1 つの違いは、このドキュメントでは、プロセス目標 (または「層」) の複数の明示的なグループ化をオプションで提供することです。これらの中で最も重要なのは、「信頼できるデータ」と呼ばれる基本層です。これは、ほとんどのエンド ユーザー組織とソフトウェア発行者にとって最も重要です。ティア 2 は「ライフサイクル統合」、ティア 3 は「最適化」です。階層とそれぞれの目的のグループ化に関する詳細は、付録 B に記載されています。
主要な物理的資産はますますソフトウェアを組み込んだり、ソフトウェアに依存したりするため、このドキュメントの追加要件がそのような状況に関連する可能性があります。主要な物理的資産を持つほとんどの組織は、「純粋な」ISO 55001:2014 要件と、このドキュメントの追加要件の混合を満たす管理システムを必要とする可能性があります。
IT 資産には、さまざまな種類の資産が含まれます。図 1 は、主要な IT 資産の種類を図式的に示しています。
図 1 — IT 資産の主な種類
このドキュメントは、あらゆる組織で使用でき、あらゆる種類の IT 資産に適用できます。組織は、このドキュメントが適用される IT 資産を決定します。
このドキュメントは、主に次のユーザーによる使用を意図しています。
- IT資産管理体制の構築、実施、維持、改善に携わる者。
- サービス プロバイダーを含む、IT 資産管理活動の提供に関与する人々。
- 内部および外部の関係者は、法律、規制、および契約上の要件と組織自身の要件を満たす組織の能力を評価します。
このドキュメントで要件が示されている順序は、それらの重要性を反映したり、要件が実装される順序を暗示したりするものではありません。
ISO 55001:2014 と共有されるこのドキュメント内の要件の適用に関する詳細なガイダンスは、ISO 55002 で提供されています。
資産管理と IT 資産管理に関する一般的な情報、およびこの文書に適用される用語に関する情報は、ISO 55000 と ISO/IEC 19770-5 で提供されています。組織は、これらのドキュメントが組織内の IT 資産管理の開発に役立つことがわかります。
このドキュメントは、ISO 31000:2009 および ISO/IEC Guide 73:2009 で与えられた「リスク」の定義を適用します。また、「利害関係者」ではなく「利害関係者」という用語を使用しています。
このドキュメントは、組織が IT 資産管理システムを関連する管理システム要件 (ISO/IEC 27001 および ISO/IEC 20000-1 で指定されている要件など) に合わせて統合できるようにすることを目的としています。
このドキュメントは、組織のポリシー、手順、および標準と矛盾することを意図していません。このような競合は、このドキュメントを使用する前に解決する必要があります。
Introduction
This document specifies the requirements for the establishment, implementation, maintenance and improvement of a management system for IT asset management (ITAM), referred to as an “IT asset management system” (ITAMS).
This document provides additional requirements to ISO 55001:2014 which specifies the requirements for the establishment, implementation, maintenance and improvement of a management system for asset management, referred to as an “asset management system”. This document includes additional or more detailed requirements which are considered necessary for the management of IT assets. The primary differentiator is the need to manage software assets, with their specific characteristics. Although ISO 55001:2014 can be used to manage software assets if organizations define their scope and relevant requirements appropriately, it is primarily focused on physical assets with little provision for the management of software assets.
There are a number of characteristics of IT assets which create these additional or more detailed requirements. These are described in Annex C. As a result of these characteristics of IT assets, a management system for IT assets will consequently have explicit requirements additional to those in ISO 55001:2014 dealing with:
- controls over software modification, duplication and distribution, with particular emphasis on access and integrity controls;
- audit trails of authorizations and of changes made to IT assets;
- controls over licensing, underlicensing, overlicensing, and compliance with licensing terms and conditions;
- controls over situations involving mixed ownership and responsibilities, such as in cloud computing and with ‘Bring-Your-Own-Device’ (BYOD) practices; and
- reconciliation of IT asset management data with data in other information systems when justified by business value, in particular with financial information systems recording assets and expenses.
Furthermore, because information associated with IT assets is typically voluminous, highly complex and fast-changing, it is likely that organizations with such information will need to make use of automated information systems.
Another difference between ISO 55001:2014 and this document is that this document provides optionally for multiple explicit groupings of process objectives (or 'tiers'). The most important of these is the basic tier called 'trustworthy data', which is the most important to most end-user organizations and also software publishers. Tier two is for ‘life cycle integration’, and tier three is for ‘optimization’. More information about the tiers and their respective groupings of objectives is given in Annex B.
Since major physical assets increasingly incorporate or depend on software, it is likely that the additional requirements of this document will be relevant in such situations. It is likely that most organizations with major physical assets will need management systems meeting a mixture of 'pure' ISO 55001:2014 requirements and also of the additional requirements from this document.
IT assets encompass a wide variety of asset types. Figure 1 indicates the principal IT asset types diagrammatically.
Figure 1 — Principal types of IT assets
This document can be used by any organization and can be applied to all types of IT assets. The organization determines to which of its IT assets this document applies.
This document is primarily intended for use by:
- those involved in the establishment, implementation, maintenance, and improvement of an IT asset management system;
- those involved in delivering IT asset management activities, including service providers;
- internal and external parties to assess the organization’s ability to meet legal, regulatory and contractual requirements and the organization’s own requirements.
The order in which requirements are presented in this document does not reflect their importance or imply the order in which they are to be implemented.
Further guidance regarding the application of the requirements within this document shared with ISO 55001:2014 is provided in ISO 55002.
General information on asset management and on IT asset management, and information on the terminology applicable to this document, is provided in ISO 55000 and in ISO/IEC 19770-5. Organizations can find that these documents will assist in the development of IT asset management in their organization.
This document applies the definition of"risk" given in ISO 31000:2009 and ISO/IEC Guide 73:2009. In addition, it uses the term “stakeholder” rather than “interested party”.
This document is designed to enable an organization to align and integrate its IT asset management system with related management system requirements, for example those specified by ISO/IEC 27001 and ISO/IEC 20000-1.
This document is not intended to be in conflict with any organization's policies, procedures and standards. Any such conflict should be resolved before using this document.