版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
信息技术信息技术资产管理第11部分:对提供信息技术资产管理系统审计和认证的机构的要求标准立项发展报告StandardizationDevelopmentReport:Informationtechnology—ITassetmanagement—Part11:RequirementsforbodiesprovidingauditandcertificationofITassetmanagementsystems摘要关键词信息技术资产管理;ISO/IEC19770;认证机构要求;合格评定;审计准则;管理体系认证;数字化治理Keywords:ITAssetManagement(ITAM);ISO/IEC19770;RequirementsforCertificationBodies;ConformityAssessment;AuditCriteria;ManagementSystemCertification;DigitalGovernance正文第一章标准立项背景与研究意义1.1全球IT资产管理标准化进程的必然选择在数字经济时代,IT资产已成为组织最核心的生产要素之一。从软件许可、云服务订阅到硬件基础设施,IT资产的复杂性、动态性和财务价值呈指数级增长。企业管理不善不仅面临巨大的财务浪费(如软件合规罚款、硬件重复采购),还可能引发严重的信息安全风险。为应对这一挑战,国际标准化组织(ISO)和国际电工委员会(IEC)联合推出了ISO/IEC19770系列标准,旨在为IT资产管理建立全球统一的框架。该系列标准的核心是ISO/IEC19770-1,它为组织建立、实施、维护和改进IT资产管理体系(ITAMS)提供了要求。然而,一套管理体系的有效性依赖于独立的第三方评审。正如ISO9001质量管理体系需要ISO17021对认证机构进行规范一样,ITAMS的认证也需要专门的权威规范。在ISO/IEC19770-11:2021发布之前,ITAM认证市场存在标准不一、审计质量参差不齐、认证机构专业门槛模糊等问题。这严重影响了ITAM认证的权威性和市场认可度。因此,立项制定对提供ITAMS审计和认证的机构的要求,成为该标准化工作发展的必然逻辑。1.2标准的核心价值与适用范围ISO/IEC19770-11:2021,全称为《信息技术信息技术资产管理第11部分:对提供信息技术资产管理系统审计和认证的机构的要求》,是对ISO/IEC17021-1《合格评定管理体系审核与认证机构要求第1部分:要求》在ITAM领域的专项细化和补充。该标准的核心价值在于:-建立准入门槛:明确规定了开展ITAMS认证业务的机构必须具备的技术能力、管理体系及道德规范。-统一审计标准:确保不同认证机构对同一组织的ITAMS进行审核时,其判断标准、深度和流程具有一致性与可比性。-增强市场信任:通过规范认证活动,提升ITAM证书的公信力,使其能够成为组织在招投标、软件许可审计、并购尽职调查中的有效凭证。适用范围:该标准适用于所有从事ITAMS认证的机构(第三方合格评定机构),以及希望获得此类认证的组织(用于评估和选择认证机构)。同时,对监管机构、行业组织以及希望提升内部ITAM审计能力的组织也具有重要的参考价值。第二章标准核心内容与要求详解2.1对认证机构的通用与专项要求ISO/IEC19770-11:2021在ISO/IEC17021-1的基础上,针对ITAM领域的特殊性,提出了以下关键要求:A.公正性与治理结构ITAM认证涉及软件许可、硬件生命周期管理等敏感领域,极易出现利益冲突。标准要求认证机构必须建立严格的治理机制,确保其决策和审核活动不受商业伙伴关系或其他利益方的不当影响。例如,机构不得为其自身或其关联企业提供咨询与认证双重服务,并需定期公布其合规性声明。B.人员能力要求这是该标准最具特色的部分。ITAM审核员不仅需要具备管理体系审核的一般能力,更必须精通:-软件资产管理:理解各种软件许可模式(如Perpetual、Subscription、SAAS)、许可条款(如设备许可、用户许可、处理器许可)及合规计算模型。-硬件资产管理:掌握硬件配置识别、生命周期成本计算、报废处理及数据清除技术。-IT财务与采购:熟悉IT预算编制、供应商管理、合同谈判及成本回收机制。-相关法律与法规:特别是关于软件版权、数据保护(如GDPR)以及出口管制的规定。标准要求认证机构建立明确的教育、培训和工作经历准则,以确保审核员的专业深度。C.审核过程管理标准对认证的“获取、保持、更新、扩大、缩小、暂停和撤销”全过程提出了详细要求。特别是针对“初始认证”和“监督审核”,需要区分对ITAMS文档的评审、现场验证以及对软件许可合规性样本测试的具体方法和深度。D.保密性与信息安全由于审计过程中会接触到组织的软件许可密钥、资产清单、财务数据等高度敏感信息,标准要求认证机构建立严密的信息隔离与保密制度,采用加密传输、数据生命周期管理等技术手段,确保客户数据安全。2.2与相关标准的关系ISO/IEC19770-11:2021并非孤立存在,它处于一个完整的标准生态系统之中:-与ISO/IEC19770-1的关系:前者是“评审者”的要求,后者是“被评审者”的要求。二者协同工作,形成闭环。-与ISO/IEC17021-1的关系:19770-11是17021-1的行业专用派生标准。所有对认证机构的通用要求(如管理能力、申诉处理)均服从17021-1,而ITAM的特殊要求则在19770-11中列出。-与ISO19011的关系:ISO19011《管理体系审核指南》为审核活动的通用技术提供了指导,而19770-11则在此基础之上增加了ITAM领域的特定技术场景。第三章参与修订的标委会与主要单位介绍3.1负责机构:ISO/IECJTC1/SC40/WG18ISO/IEC19770-11:2021由国际标准化组织与国际电工委员会的第一联合技术委员会(ISO/IECJTC1)下属的分技术委员会SC40(IT服务管理与IT治理)负责制定,具体由工作组WG18(IT资产管理)主导。ISO/IECJTC1简介:作为信息技术领域全球标准化的核心机构,ISO/IECJTC1负责制定从编码字符集、程序设计语言到云计算、人工智能、网络安全等几乎所有信息技术基础标准。其发布的标准化成果是支撑全球数字经济发展的基石。SC40的分工:SC40专注于IT服务管理(如ISO/IEC20000系列)和IT治理(如ISO/IEC38500系列)以及IT资产管理(ISO/IEC19770系列)。SC40致力于帮助组织更高效、更合规地利用IT资源,实现业务价值最大化。该分委会汇聚了来自全球各国的IT治理专家、服务管理顾问及行业领袖。WG18的核心作用:WG18是直接负责《信息技术资产管理》系列标准(19770系列)的国际专家组。其成员包括来自微软、IBM、甲骨文、IVANTI等大型IT供应商,以及美国、英国、日本、加拿大、中国、德国等国家的标准化专家和学术机构代表。该工作组的工作核心是确保ITAM标准能够适应技术演进(如云原生、DevOps、容器化)和日益复杂的许可模式。3.2主要参与单位深度剖析:英国标准化协会(BSI)在ISO/IEC19770-11:2021的制定过程中,英国标准化协会(BSI)及其派出的专家发挥了关键的引领作用。BSI不仅是该标准的积极推动者,也是全球ITAM标准化的先驱。1.组织背景与行业地位BSI成立于1901年,是世界上第一个国家标准化机构,也是全球最权威的标准化与认证服务机构之一。作为ISO的创始成员,BSI在管理体系的制定和认证上拥有超过百年的经验。BSI推出的BS15000标准后来发展成为全球知名的ISO/IEC20000(IT服务管理体系)标准。在ITAM领域,BSI早在2000年代初就参与并推动了英国国家标准的制定,为后续国际标准化工作积累了深厚的技术储备。2.在本标准制定中的具体贡献-理论框架的奠基:BSI专家利用其在管理体系认证(如ISO9001、ISO14001、ISO27001)领域的深厚底蕴,将通用的认证机构要求(ISO/IEC17021-1)与ITAM的专业实践进行解构与重组,构建了标准的核心逻辑框架。-专业能力的定义:BSI在软件合规审计和数据中心资产管理方面拥有全球知名的品牌培训课程和认证计划。他们基于大量的行业审计案例,提炼出了对审核员在“软件许可计算”、“硬件折旧模型”和“续约成本分析”等方面具体的能力要求,确保了标准的落地可操作性。-协调与共识的推动:ITAM认证的复杂性在于其涉及法务、财务、采购和技术等多个部门的交叉。BSI在WG18中扮演了协调者的角色,成功平衡了IT资产供应商(希望保护版权)和用户组织(希望获得便捷合规路径)之间的利益,最终促使标准在保护知识产权与促进市场公平之间达成共识。-先期实践与验证:BSI作为全球领先的认证机构之一,早早开始了基于ISO/IEC19770-1的认证服务。在制定19770-11的过程中,BSI将自身的认证实践经验(如审核流程中的常见问题、客户异议处理、同行评审标准)无私地贡献给了WG18,使得标准内容更具实战性。3.对标准应用的推动作用标准发布后,BSI迅速在全球范围内推出了基于ISO/IEC19770-11:2021的认证机构认可咨询服务。BSI强调,认证机构若想开展ITAM认证,其运营体系必须符合19770-11要求,并且其审核员需经过BSI认可的ITAM专项培训。BSI通过举办研讨会、发布技术白皮书和提供模拟审核服务,大幅提升了行业内对“认证机构也要被认证”这一理念的接受度,有效遏制了市场中“搭便车”和“低价低质”认证的乱象。结论ISO/IEC19770-11:2021《信息技术信息技术资产管理第11部分:对提供信息技术资产管理系统审计和认证的机构的要求》的发布,是IT资产管理领域标准化进程中一座重要的里程碑。它不仅填补了国际标准在ITAM认证机构行为规范方面的空白,也标志着ITAM管理体系认证从“可选项”迈向了“规范化、权威化”的新阶段。展望未来,随着混合云、边缘计算、AI模型管理以及SaaS化软件的日益普及,IT资产的边界正在急剧模糊,管理难度呈指数级上升。ISO/IEC19770-11:2021所确立的认证机构能力框架,将成为应对这些新挑战的“守门人”。未来的发展将呈现以下趋势:-认证链条的深化:认证机构将被要求具备对云环境下“隐形资产”(如IP地址、容器资源、API调用费用)的审核能力,促使19770-11标准进行修订或发布新的技术解释文件。-数字化审计的普及:为了提升效率并减少对组织业务的打扰,认证机构将更多地依赖远程审计、数据挖掘和自动化工具进行持续合规监测。标准中关于“审核技术”的要求将随之更新。-与可持续发展目标的融合:IT资产管理不仅是财务和合规问题,也是ESG
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 海藻繁育工岗位安全综合考核试卷含答案
- 合成氨二氧化碳回收工岗位实践评估考核试卷含答案
- 铁氧体材料烧成工班组协作测试考核试卷含答案
- 布鞋制作工纪律测试考核试卷含答案
- 客服工作手册试题及答案
- 口语交际:讲历史人物故事
- 高浓度CO₂对稻麦复种体系土壤呼吸与甲烷排放的多维度解析
- 高校贫困生心理健康困境与破局之策:多维视角下的深度剖析与实践探索
- 高校就业指导教师职业倦怠影响因素剖析:基于多维度视角的洞察
- 高校大学生实践基地建设与整合:以协同创新为导向的探索
- 《肺隐球菌》课件
- 辽宁省大连市本年度(2025)小学一年级数学统编版竞赛题(下学期)试卷及答案
- 钓鱼场管理制度
- 《资治通鉴》与为将之道知到课后答案智慧树章节测试答案2025年春武警指挥学院
- 陈天强陈婷婷养成计划
- 全国民用爆炸物品信息管理系统手册
- 外贸销售沟通技巧培训
- 《保额分红在生命》课件
- GB/T 44284.1-2024信息技术系统间远程通信和信息交换时间敏感网络与无线网络互联第1部分:体系结构与接口要求
- 《火灾调查 第2版》 课件 第3、4章 火灾现场勘验、火灾痕迹物证
- 锂电池行业MES应用解决方案
评论
0/150
提交评论