ISO 19770-1 Nedir? BT Varlık Yönetim Sistemi
Kurumların bilgi teknolojileri envanteri büyüdükçe; hangi yazılımın nerede çalıştığı, hangi lisansın hangi kullanıcıya ait olduğu ve donanımın yaşam döngüsünün hangi aşamasında bulunduğu giderek karmaşık bir soruna dönüşür. Lisans uyumsuzluğu denetimlerde ağır cezalara, kullanılmayan varlıklar gereksiz maliyetlere, güncellenmeyen yazılımlar ise ciddi güvenlik açıklarına yol açabilir. ISO/IEC 19770-1, tam da bu sorunları sistematik bir çerçeveyle yönetmek için geliştirilen uluslararası standarttır.
ISO/IEC 19770-1, bilgi teknolojileri varlıklarının (yazılım ve donanım) tüm yaşam döngüsü boyunca yönetilmesi için bir BT Varlık Yönetim Sistemi (ITAM - IT Asset Management System) kurmaya, uygulamaya, sürdürmeye ve sürekli iyileştirmeye yönelik gereksinimleri tanımlayan uluslararası standarttır. Standardın amacı; lisans uyumunu sağlamak, maliyetleri optimize etmek, güvenlik riskini azaltmak ve denetimlere hazırlıklı olmaktır.
Özetle:
- Ne işe yarar: BT varlıklarını (yazılım + donanım) yaşam döngüsü boyunca sistematik yönetir (ITAM)
- Güncel sürüm: ISO/IEC 19770-1:2017 (3. baskı, Aralık 2017)
- Ailenin parçası: 19770 serisi çok parçalıdır — 19770-1 (yönetim sistemi), 19770-2 (SWID etiketleri), 19770-3 (hak/entitlement), 19770-5 (genel bakış ve sözlük)
- Temel hedefler: Lisans uyumu, maliyet optimizasyonu, güvenlik riski azaltma, denetim hazırlığı
- Yapısı: Annex SL ortak yüksek seviyeli yapısını kullanır
- Uyumluluk: ISO/IEC 27001 ve ISO/IEC 20000-1 ile uyumlu olacak şekilde tasarlanmıştır
ITAM ve SAM Ne Anlama Gelir?
BT Varlık Yönetimi (ITAM - IT Asset Management), bir kurumun sahip olduğu tüm BT varlıklarının; tedarik aşamasından hizmet dışı bırakılmasına kadar planlanması, izlenmesi ve kontrol edilmesi disiplinidir. Bu varlıklar yalnızca fiziksel donanımı değil, lisanslar, sözleşmeler ve dijital haklar gibi soyut varlıkları da kapsar.
Yazılım Varlık Yönetimi (SAM - Software Asset Management) ise ITAM'in yazılıma odaklanan alt kümesidir. SAM; yüklü yazılımların envanterini çıkarmak, lisans haklarıyla gerçek kullanımı karşılaştırmak (uyum reconciliation) ve yazılım giderlerini optimize etmek üzerine kuruludur. ISO/IEC 19770-1, hem ITAM hem de SAM uygulamalarını kapsayan üst çerçeveyi sunar.
ISO 19770 Ailesi Hangi Parçalardan Oluşur?
ISO/IEC 19770, tek bir belge değil; birbirini tamamlayan birden çok parçadan oluşan bir standart ailesidir. Her parça, BT varlık yönetiminin farklı bir teknik veya yönetsel boyutunu ele alır.
| Parça | Konu | Açıklama |
|---|---|---|
| ISO/IEC 19770-1 | Yönetim sistemi | ITAM yönetim sistemi gereksinimleri (Annex SL temelli) |
| ISO/IEC 19770-2 | Yazılım tanımlama etiketleri (SWID tags) | Yazılımların standart biçimde tanımlanmasını sağlayan veri yapısı |
| ISO/IEC 19770-3 | Yazılım hak (entitlement) bilgisi | Lisans hak ve yetkilendirmelerinin tanımlanması için veri standardı |
| ISO/IEC 19770-5 | Genel bakış ve sözlük | Ailenin genel çerçevesi ve ortak terimler/tanımlar |
Bu yapı sayesinde kurumlar; yönetim sistemini (19770-1) kurarken, yazılımları teknik olarak tanımlamak (19770-2) ve lisans haklarını yapılandırılmış veriyle ifade etmek (19770-3) için aynı ailenin tutarlı parçalarından yararlanabilir.
BT Varlık Yaşam Döngüsü
ISO/IEC 19770-1'in temel yaklaşımı, her BT varlığının bir yaşam döngüsü boyunca yönetilmesidir. Aşağıdaki aşamalar, bir varlığın kuruma girişinden çıkışına kadar izlenmesi gereken kontrol noktalarını gösterir.
| Aşama | Açıklama | Tipik Faaliyet |
|---|---|---|
| Planlama | İhtiyacın belirlenmesi ve bütçeleme | Talep analizi, gereksinim tanımı |
| Tedarik | Satın alma ve lisanslama | Sözleşme, lisans hakkı edinimi |
| Dağıtım | Kuruluma ve kullanıma alma | Kurulum, kayıt, etiketleme |
| İşletim ve Bakım | Aktif kullanım ve güncelleme | İzleme, yama, lisans uyum kontrolü |
| Hizmet Dışı Bırakma | Kullanımdan kaldırma | Lisans iadesi, güvenli imha, kayıt güncelleme |
Bu döngüsel yaklaşım, kullanılmayan lisansların geri kazanılmasını, fazla satın alımların önlenmesini ve güvenlik açığı taşıyan eski varlıkların zamanında devre dışı bırakılmasını mümkün kılar.
Size Uygun Eğitimi Bulun
Bireysel mi yoksa kurumsal mı eğitim arıyorsunuz?
ISO 19770-1 Uygulamanın Faydaları
BT varlık yönetim sistemi kurmak, kuruma hem finansal hem de operasyonel açıdan somut kazanımlar sağlar. Aşağıdaki tablo başlıca fayda alanlarını özetler.
| Fayda Alanı | Açıklama |
|---|---|
| Lisans uyumu | Yazılım kullanımının lisans haklarıyla örtüşmesini güvence altına alır, denetim cezası riskini azaltır |
| Maliyet optimizasyonu | Kullanılmayan ve mükerrer lisansları tespit ederek gereksiz harcamayı önler |
| Güvenlik riskinin azaltılması | Onaysız (shadow) ve güncellenmemiş yazılımların görünür kılınmasını sağlar |
| Denetim hazırlığı | Yazılım üreticisi denetimlerinde güvenilir, izlenebilir kayıt sunar |
| Doğru envanter | Tüm BT varlıklarının güncel ve merkezi bir envanterini oluşturur |
| Karar desteği | Yenileme, yatırım ve kapasite kararlarını veriye dayalı hale getirir |
Annex SL Yapısı ve Diğer Standartlarla Uyum
ISO/IEC 19770-1, ISO yönetim sistemi standartlarının ortak çatısı olan Annex SL (yüksek seviyeli yapı) üzerine kuruludur. Bu yapı; kapsam, liderlik, planlama, destek, operasyon, performans değerlendirme ve iyileştirme gibi ortak ana maddeleri içerir.
Annex SL sayesinde ISO/IEC 19770-1; ISO/IEC 27001 (bilgi güvenliği) ve ISO/IEC 20000-1 (BT hizmet yönetimi) gibi standartlarla aynı dili konuşur. Böylece halihazırda bu standartları uygulayan kurumlar, ortak süreçleri (risk yönetimi, dokümantasyon, iç denetim, yönetim gözden geçirmesi) entegre bir biçimde yürütebilir. Bu entegrasyon, hem uygulama maliyetini düşürür hem de yönetim sistemleri arasında tutarlılık sağlar.
İlgili Konular
Sık Sorulan Sorular
Bu konuda en çok merak edilenler
ISO 19770, BT varlıklarının (yazılım ve donanım) yönetimine yönelik bir uluslararası standart ailesinin numarasıdır. Ailenin yönetim sistemini tanımlayan ana parçası olan ISO/IEC 19770-1, kurumların bir BT Varlık Yönetim Sistemi (ITAM) kurmasına yönelik gereksinimleri belirler. Güncel sürüm ISO/IEC 19770-1:2017'dir.
ITAM (IT Asset Management - BT Varlık Yönetimi), bir kurumun tüm BT varlıklarının tedarikten hizmet dışı bırakılmaya kadar tüm yaşam döngüsü boyunca planlanması, izlenmesi ve kontrol edilmesi disiplinidir. Donanım, yazılım, lisanslar ve sözleşmeler gibi varlıkları kapsar. Yazılıma odaklanan alt kümesine SAM (Software Asset Management) denir.
SWID etiketi (Software Identification Tag - yazılım tanımlama etiketi), bir yazılım ürününü standart ve makine tarafından okunabilir bir biçimde tanımlayan yapılandırılmış veri dosyasıdır. ISO/IEC 19770-2 tarafından tanımlanır. SWID etiketleri; bir varlığın hangi yazılım olduğunu, sürümünü ve üreticisini güvenilir biçimde belirleyerek yazılım envanteri ve lisans uyum süreçlerini kolaylaştırır.
ISO/IEC 19770-1, geniş bir yazılım ve donanım envanterine sahip; lisans uyumu, maliyet kontrolü ve güvenlik risk yönetimi konularında sistematik bir yaklaşım isteyen tüm kurumlar için uygundur. Özellikle kamu kurumları, finans, telekom, sağlık ve büyük ölçekli BT operasyonu yürüten işletmeler, yazılım üreticisi denetimlerine hazırlıklı olmak için bu standardı tercih eder.
ISO/IEC 20000-1 BT hizmet yönetimi (ITSM) standardıdır; ISO/IEC 19770-1 ise BT varlık yönetimi (ITAM) standardıdır. İkisi de Annex SL ortak yapısını kullandığı için birbiriyle uyumludur. Hizmet yönetimi süreçleri, doğru ve güncel bir varlık envanterine dayandığında daha etkili çalışır; bu nedenle 19770-1 ile 20000-1 çoğu kurumda birbirini tamamlayan iki yönetim sistemi olarak birlikte uygulanır.
