サイトトップへこのカテゴリの一覧へ

X 0164-1:2019 (ISO/IEC 19770-1:2017) 

(1) 

目 次 

ページ 

序文 ··································································································································· 1 

1 適用範囲························································································································· 4 

1.1 目的 ···························································································································· 4 

1.2 適用分野 ······················································································································ 5 

1.3 制限事項 ······················································································································ 5 

2 引用規格························································································································· 5 

3 用語及び定義 ··················································································································· 5 

4 組織の状況 ····················································································································· 16 

4.1 組織及びその状況の理解 ································································································ 16 

4.2 ステークホルダーのニーズ及び期待の理解 ········································································· 16 

4.3 ITアセットマネジメントシステムの適用範囲の決定 ···························································· 16 

4.4 ITアセットマネジメントシステム ···················································································· 17 

5 リーダーシップ ··············································································································· 17 

5.1 リーダーシップ及びコミットメント·················································································· 17 

5.2 方針 ··························································································································· 17 

5.3 組織の役割,責任及び権限 ····························································································· 18 

6 計画······························································································································ 18 

6.1 ITアセットマネジメントシステムに関するリスク及び機会への取組み ···································· 18 

6.2 ITアセットマネジメントの目標及びそれらを達成するための計画策定 ···································· 19 

7 支援······························································································································ 21 

7.1 資源 ··························································································································· 21 

7.2 力量 ··························································································································· 21 

7.3 認識 ··························································································································· 22 

7.4 コミュニケーション ······································································································ 22 

7.5 情報に関する要求事項 ··································································································· 22 

7.6 文書化した情報 ············································································································ 23 

8 運用······························································································································ 24 

8.1 運用の計画及び管理 ······································································································ 24 

8.2 変更のマネジメント ······································································································ 24 

8.3 中核データマネジメント ································································································ 25 

8.4 ライセンスマネジメント ································································································ 25 

8.5 セキュリティマネジメント ····························································································· 25 

8.6 他のプロセス ··············································································································· 25 

8.7 外部委託及びサービス ··································································································· 25 

8.8 組織と要員との間の複合責任 ·························································································· 26 

X 0164-1:2019 (ISO/IEC 19770-1:2017) 目次 

(2) 

ページ 

9 パフォーマンス評価 ········································································································· 27 

9.1 監視,測定,分析及び評価 ····························································································· 27 

9.2 内部監査 ····················································································································· 27 

9.3 マネジメントレビュー ··································································································· 28 

10 改善 ···························································································································· 28 

10.1 不適合及び是正処置 ····································································································· 28 

10.2 予測対応処置 ·············································································································· 29 

10.3 継続的改善 ················································································································· 29 

附属書A(規定)ITアセットマネジメントの運用プロセス及び目標 ·············································· 30 

附属書B(参考)ITアセットマネジメントにおける段階定義 ······················································· 33 

附属書C(参考)ITアセットの特徴 ······················································································· 35 

附属書D(参考)JIS Q 55001との違い ···················································································· 37 

参考文献 ···························································································································· 38 

X 0164-1:2019 (ISO/IEC 19770-1:2017) 

(3) 

まえがき 

この規格は,工業標準化法第14条によって準用する第12条第1項の規定に基づき,一般社団法人情報

処理学会(IPSJ)及び一般財団法人日本規格協会(JSA)から,工業標準原案を具して日本工業規格を改

正すべきとの申出があり,日本工業標準調査会の審議を経て,経済産業大臣が改正した日本工業規格であ

る。これによって,JIS X 0164-1:2010は改正され,この規格に置き換えられた。 

この規格は,著作権法で保護対象となっている著作物である。 

この規格の一部が,特許権,出願公開後の特許出願又は実用新案権に抵触する可能性があることに注意

を喚起する。経済産業大臣及び日本工業標準調査会は,このような特許権,出願公開後の特許出願及び実

用新案権に関わる確認について,責任はもたない。 

JIS X 0164の規格群には,次に示す部編成がある。 

JIS X 0164-1 ITアセットマネジメント−第1部:ITアセットマネジメントシステム−要求事項 

JIS X 0164-2 ソフトウェア資産管理−第2部:ソフトウェア識別タグ 

JIS X 0164-3 ITアセットマネジメント−第3部:権利スキーマ 

JIS X 0164-4 ITアセットマネジメント−第4部:資源利用測定 

  

日本工業規格          JIS 

X 0164-1:2019 

(ISO/IEC 19770-1:2017) 

ITアセットマネジメント−第1部:ITアセット 

マネジメントシステム−要求事項 

IT asset management-Part 1: IT asset management systems-Requirements 

序文 

この規格は,2017年に第3版として発行されたISO/IEC 19770-1を基に,技術的内容及び構成を変更す

ることなく作成した日本工業規格である。 

なお,この規格で点線の下線を施してある参考事項は,対応国際規格にはない事項である。 

この規格は,“ITアセットマネジメントシステム”(以下,ITAMSともいう。)と呼称される,ITアセッ

トマネジメント(ITAM)のためのマネジメントシステムの確立,実施,維持及び改善の要求事項について

規定している。 

この規格は,アセットマネジメントのための管理システムの確立,実施,維持及び改善の要求事項を“ア

セットマネジメントシステム”として記載しているJIS Q 55001:2017に追加する要求事項を提供している。

この規格は,ITアセットのマネジメントに必要とされている追加的,又はより詳細な要求事項を含んでい

る。主な違いは,特殊な性質をもつ,ソフトウェアアセットをマネジメントする必要性にある。JIS Q 

55001:2017は,組織が適切に適用範囲と関連する要求を定義するならば,ソフトウェアアセットのマネジ

メントにも使用できるが,主に物理的なアセットに焦点を当て,ソフトウェアアセットのマネジメントに

はほとんど触れていない。 

ITアセットには,これらの追加的な,又はより詳細な要求事項を生み出す多くの特徴がある。附属書C

にこれらを記載する。ITアセットのこれらの特徴の結果として,ITアセットのマネジメントシステムは,

JIS Q 55001:2017の要件に加えて次のような要求事項がある。 

− ソフトウェアの修正,複写及び配付の制御,特にアクセス及び整合性の制御に重点を置いている。 

− ITアセットに対して行われる承認及び変更の監査証跡 

− ライセンスの過不足,及びライセンスの契約条項の遵守の制御 

− クラウドコンピューティング及び“Bring-Your-Own-Device”(BYOD)のような,複合した所有権及び

責任を伴った状況の制御 

− ビジネス価値が正当化されるときのITアセットマネジメントのデータと,他の情報システム,特に資

産及び費用を記録する財務情報システムのデータとの調整 

さらに,ITアセットに関係する情報は,一般に膨大で,高度に複雑かつ変更が速いため,そのような情

報をもつ組織は,自動化された情報システムを使う必要がある。 

他のJIS Q 55001:2017とこの規格との違いは,この規格が,複数のプロセス目的のグルーピング(又は

段階)を参考として定義していることである。これらの段階で最も重要なのは,ほとんどのエンドユーザ

組織及びソフトウェア生産者にとって重要な“信頼できるデータ(trustworthy data)”と呼ばれる最初の段

階である。段階2は“ライフサイクルの統合(life cycle integration)”,及び段階3は“最適化(optimization)”

X 0164-1:2019 (ISO/IEC 19770-1:2017) 

  

である。段階及び目的のそれぞれのグルーピングについての更なる説明は,附属書Bに記載している。 

主要な物理アセットがますますソフトウェアを組み込み,又は依存してきていることを考慮すると,こ

の規格で追加した要求事項は適切である。主要な物理アセットをもつほとんどの組織は,(純粋な)JIS Q 

55001:2017の要求事項及びこの規格の追加の要求事項も,また,複合した管理システムとして必要となる

と予想される。 

ITアセットは,多種多様なアセットの種類を包含する。図1に主要なITアセットの種類を図式的に示

す。 

background image

X 0164-1:2019 (ISO/IEC 19770-1:2017) 

図1−主要なITアセットの種類 

X 0164-1:2019 (ISO/IEC 19770-1:2017) 

  

この規格は,あらゆる組織によって使用され,全てのITアセットの種類に適用できる。組織が,この規

格を,どのITアセットに適用するかについて決定する。 

この規格は,主に,次の人々による使用を意図している。 

− ITアセットマネジメントシステムの確立,実施,維持及び改善に従事する人々 

− ITアセットマネジメントの活動の実践に従事する人々及びサービス提供者 

− 法令,規制及び契約上の要求事項,並びに組織自体の要求事項を満たす組織の能力を評価する内部及

び外部の関係者 

この規格で示す要求事項の順序は,それらの重要性を反映しているものではなく,又はそれらを実施す

る順序を意味しているものでもない。 

JIS Q 55001:2017と共有されるこの規格中の要求事項の適用に関する更なる指針は,JIS Q 55002に示す。 

アセットマネジメント及びITアセットマネジメントに関する一般的な情報及びこの規格に適用可能な

用語に関する情報は,JIS Q 55000及びISO/IEC 19770-5に示す。これらの文書が,組織におけるITアセ

ットマネジメントの開発を支援することは明白である。 

この規格は,JIS Q 31000:2012及びJIS Q 0073:2010に規定する“リスク(risk)”の定義を適用する。さ

らに,“利害関係者(interested party)”という用語ではなく“ステークホルダー(stakeholder)”という用語

を使用する。 

この規格は,組織が,そのITアセットマネジメントシステムと関連するマネジメントシステムの要求事

項,例えば,JIS Q 27001及びJIS Q 20000-1と整合させ,統合させることができるよう設計されている。 

この規格は,組織の方針,手順及び規格,又は国内法及び規制と矛盾することは意図していない。その

ような矛盾があれば,この規格を使用する前に解決しておくことが望ましい。 

適用範囲 

1.1 

目的 

この規格は,組織の状況におけるITアセットマネジメントシステムの要求事項について規定する。 

この規格は,全ての種類のITアセットの種類に適用し,全ての種類及び規模の組織によって適用するこ

とができる。 

注記1 この規格は,特にITアセットを管理することに適用することを意図しているが,他のアセッ

トタイプに適用することも可能である。全体又は一部の組込みソフトウェア及びファームウ

ェアを管理することは可能であるが,これらの目的のための使用に限定していない。情報ア

セットを管理することも意図していない,すなわち,ハードウェア及びソフトウェアアセッ

トに依存しないアセットとしての情報を管理することは意図していない。適用範囲内にある

ITアセットについてのデータ及び情報,並びに適用範囲のアセットがどのように定義されて

いるかの依存関係を表すデータ及び情報のような幾つかの種類は含まれ,デジタル情報のコ

ンテンツアセットとして包含する。ITアセットについての説明については,序文を参照。 

注記2 この規格は,特定のITアセットタイプを管理するための財務,会計又は技術的な要求事項を

規定するものではない。 

注記3 この規格の目的のため,“ITアセットマネジメントシステム”という用語は,ITアセットマ

ネジメントのためのマネジメントシステムを表すものとして使われる。 

この規格は,JIS Q 55001:2017の分野固有の拡張(discipline-specific extension)であり,国際標準でのセ

クタ固有の適用(sector-specific application)ではない。JIS Q 55001:2017は,特に物理的なアセットのマネ

X 0164-1:2019 (ISO/IEC 19770-1:2017) 

ジメントのために使われるが,他のアセットの種類にも適用できる。この規格は,JIS Q 55001:2017で規

定された規格に追加してITアセットの管理のための要求事項を規定している。この規格への適合は,JIS Q 

55001:2017への適合を意味しない。 

この規格は,組織自身のITアセットマネジメントの要求事項に合っている組織の能力を評価する内部及

び外部の関係者によって使用することができる。 

1.2 

適用分野 

この規格はITアセットマネジメントプロセスに対して適用するものであり,組織は直接的な利益を得る

ためにこの規格を導入することができる。 

この規格は,全てのITアセットに適用できる。例えば,ITのハードウェアだけでなく,実行可能ソフ

トウェア(アプリケーションプログラム及びオペレーティングシステムのような),並びに非実行可能ソフ

トウェア(フォント及び構成情報のような)に適用可能である。全ての技術環境及び計算プラットフォー

ムに適用できる[例えば,仮想ソフトウェアアプリケーション,オンプレミス,サービスとしてのソフト

ウェア(SaaS)。古いコンピューティング環境と同じようにクラウドコンピューティング環境にも同様に当

てはまる。]。 

1.3 

制限事項 

この規格は,プロセスの成果に関する要求事項を満たすために要求する方法,又は手順についてはIT

アセットマネジメントのプロセスを詳細に規定していない。 

この規格は,ITアセットマネジメントを実施するために組織が従うべきステップの順序について規定し

ていない。 

この規格は,文書に関して,その名称,形式,明示的内容及び記録媒体については詳述していない。 

注記 この規格の対応国際規格及びその対応の程度を表す記号を,次に示す。 

ISO/IEC 19770-1:2017,Information technology−IT asset management−Part 1: IT asset management 

systems−Requirements(IDT) 

なお,対応の程度を表す記号“IDT”は,ISO/IEC Guide 21-1に基づき,“一致している”こ

とを示す。 

引用規格 

この規格では引用規格はない。 

用語及び定義 

ISO及びIECは,次のアドレスで標準に使われる専門用語のデータベースを維持している。 

− IEC Electropedia: available at http://www.electropedia.org/ 

− ISO Online browsing platform: available at http://www.iso.org/obp 

この規格で用いる主な用語及び定義は,次による。 

これらの用語の幾つかは,JIS Q 55000:2017からの引用であり,一般的なアセットについて言えること

である。これらの用語は,ITアセットマネジメントで使われるときアセットをITアセットと理解し,IT

アセットのために使用されている。幾つかのケースでITアセットを識別する用語が追加されている。IT

固有の用語が定義されるかどうかに基づいて特有の解釈を記述していない。 

X 0164-1:2019 (ISO/IEC 19770-1:2017) 

  

3.1 

アセット(asset) 

組織(3.38)にとって,潜在的に又は実際に価値をもつ項目,物又は実体(JIS Q 55000:2017の3.2.1参

照)。 

注記1 価値は,有形のものでも無形のものでも,また,財務的なものでも非財務的なものでもあり

得,リスク(3.48)及び責任の考慮を含むものである。それは,アセットライフ(3.2)の異

なる段階で好ましいもの又は好ましくないものでもあり得る。 

注記2 物的アセットは,通常,組織によって所有される機器,在庫品及び財産を表す。物的アセッ

トは,賃貸,銘柄,デジタルアセット,権利使用,特許,知的財産権,評判,合意などの非

物的アセットである無形のアセットの正反対のものである。 

注記3 アセットシステム(3.7)と呼称されるアセットの集合体もアセットとして考慮され得る。 

3.2 

アセットライフ(asset life) 

アセットの企画段階からアセット(3.1)の活用の終わりまでの期間(JIS Q 55000:2017の3.2.2参照)。 

3.3 

アセットマネジメント(asset management) 

アセット(3.1)からの価値を実現化する組織(3.38)の調整された活動(JIS Q 55000:2017の3.3.1参照)。 

注記1 価値の実現化は,通常,コスト,リスク(3.48),機会及びパフォーマンス(3.42)の便益の

バランスをとることを含む。 

注記2 活動も,アセットマネジメントシステム(3.5)の要素の適用に当てはめることができる。 

注記3 “活動”という用語は,幅広い意味をもっており,例えば,アプローチ,計画策定並びに計

画及びその実施を包含し得る。 

3.4 

アセットマネジメント計画(asset management plan) 

組織(3.38)のアセットマネジメント(3.3)の目標(3.37)を達成するために,個々のアセット(3.1)

又はアセットのグループ化について必要とされる活動,資源及び時間を規定する文書化した情報(3.19)

(JIS Q 55000:2017の3.3.3参照)。 

注記1 アセットのグループ化は,アセットタイプ(3.8),アセットの階級,アセットシステム(3.7)

又はアセットポートフォリオ(3.6)によってもよい。 

注記2 アセットマネジメント計画は,SAMP(3.53)から導出される。 

注記3 アセットマネジメント計画は,SAMPに含まれ,又は補完的な計画であってもよい。 

3.5 

アセットマネジメントシステム(asset management system) 

アセットマネジメントの方針(3.43)及びアセットマネジメントの目標(3.37)を確立する機能をもつア

セットマネジメント(3.3)のためのマネジメントシステム(3.33)(JIS Q 55000:2017の3.4.3参照)。 

注記 アセットマネジメントシステムは,アセットマネジメントの部分集合である。 

3.6 

アセットポートフォリオ(asset portfolio) 

アセットマネジメントシステム(3.5)の適用範囲内にあるアセット(3.1)(JIS Q 55000:2017の3.2.4参

照)。 

X 0164-1:2019 (ISO/IEC 19770-1:2017) 

注記1 ポートフォリオは,典型的には,経営管理目的のために確立され,割り当てられる。物理的

ハードウェアのためのポートフォリオは,カテゴリー(例えば,ブランド,機器,道具,土

地)によって明確にされる。ソフトウェアのポートフォリオは,ソフトウェアの発行者又は

プラットフォーム(例えば,PC,サーバ,大型コンピュータ)によって明確にされる。 

注記2 アセットマネジメントシステムは,複数のアセットポートフォリオを包含し得る。複数のア

セットポートフォリオ及びアセットマネジメントシステムが採用される場合は,アセットマ

ネジメント(3.3)の活動は,ポートフォリオとシステムとの間で調整されることが望ましい。 

3.7 

アセットシステム(asset system) 

相互に作用し又は相互に関連し合う,一連のアセット(3.1)(JIS Q 55000:2017の3.2.5参照)。 

3.8 

アセットタイプ(asset type) 

アセットをグループ又は階層として区別する共通の特徴をもつアセット(3.1)の集合体(JIS Q 

55000:2017の3.2.6参照)。 

例 物的アセット,情報アセット,無形のアセット,重要アセット(3.15),支援アセット,線形アセ

ット,情報コミュニケーション技術(ICT)アセット,インフラストラクチャーアセット,可搬

アセット 

3.9 

監査(audit) 

監査基準が満たされている程度を判定するために,監査証拠を収集し,それを客観的に評価するための,

体系的で,独立し,文書化したプロセス(3.46)(JIS Q 55000:2017の3.1.1を変更している。注記2にISO/IEC 

専門業務用指針 第1部 統合版ISO補足指針の附属書SLの内容を追加している。)。 

注記1 監査は,内部監査(第一者)又は外部監査(第二者・第三者)のいずれでも,複合的又は組

み合わされた監査(複数の分野の組合せ)でもあり得る。 

注記2 内部監査は,その組織自体が行うか,又は組織の代理で外部関係者が行う。 

注記3 “監査証拠”及び“監査基準”は,JIS Q 19011に定義されている。 

3.10 

実現能力(capability) 

実体[システム,人材又は組織(3.38)]が,アセットマネジメントの目標(3.37)を達成するために存

在するための受容能力及び能力の程度(JIS Q 55000:2017の3.1.2参照)。 

注記 アセットマネジメント(3.3)の実現能力は,プロセス(3.46),資源,力量(3.11),並びにア

セットマネジメント計画(3.4),アセットライフ(3.2)の期間中の活動,及びそれらの継続的

改善(3.13)の効果的かつ効率的な策定及び実施を可能とする技術を含む。 

3.11 

力量(competence) 

意図した結果を達成するために,知識及び技能を適用する能力(JIS Q 55000:2017の3.1.3参照)。 

3.12 

適合(conformity) 

要求事項(3.47)を満たしていること(JIS Q 55000:2017の3.1.4参照)。 

X 0164-1:2019 (ISO/IEC 19770-1:2017) 

  

3.13 

継続的改善(continual improvement) 

パフォーマンス(3.42)を向上するために繰り返し行われる活動(JIS Q 55000:2017の3.1.5参照)。 

3.14 

是正処置(corrective action) 

不適合(3.36)の原因を除去し,再発を防止するための処置(JIS Q 55000:2017の3.4.1参照)。 

注記 不適合ではないが望ましくない成果の場合,処置は,原因を最小化又は除去し,影響を低減し

又は再発を予防するために必要である。このような処置は,この定義の意味合いにおける“是

正処置”の概念の外にある。 

3.15 

重要アセット(critical asset) 

組織(3.38)の目標(3.37)の達成に重大な影響を及ぼす潜在性をもつアセット(3.1)(JIS Q 55000:2017

の3.2.7参照)。 

注記1 アセットは,安全性に重要なもの,環境に重要なもの,又はパフォーマンス(3.42)に重要

なものであり得,また,法令,規制又は規則上の要求事項(3.47)に関連し得る。 

注記2 重要アセットは,重要な顧客にサービスを提供するために必要なアセットに当てはめること

ができる。 

注記3 アセットシステム(3.7)は,個々のアセットと同様の方法で重要であることを区別すること

ができる。 

3.16 

データ(data) 

対象に関する事実(JIS Q 9000:2015の3.8.1を変更している。注記1にISO 15784-1及びISO/IEC 2382

の内容を変更し,追加している。)。 

注記 ITアセットマネジメントシステム(3.28)の文脈では,データは,分析,解釈又は処理される

前の取得,測定又は記録可能な情報表現である。データは,ITアセットに関連する特別な意味

をもった文脈における事実,事象,物,過程,又は概念を含む考えのような対象である。 

3.17 

デジタルアセット(digital asset) 

電子的にデジタル形式で表現されるITアセット(3.25)。 

注記 デジタルアセットは,ソフトウェアアセット(3.50),及びデジタル情報のコンテンツアセット

(3.18)を含む。 

3.18 

デジタル情報のコンテンツアセット(digital information content asset) 

情報コンテンツのデジタルアセット(3.17)。 

例 文書,オーディオ,ビデオ,グラフィックス,データベース,フリースタンディング辞書。通常,

ライセンス化されている。 

注記 ITAMは,例えば,コンテンツのマネジメントではなく,ライセンス遵守のためのような実体

の全体として,これらアセットのマネジメントを含んでいる。 

X 0164-1:2019 (ISO/IEC 19770-1:2017) 

3.19 

文書化した情報(documented information) 

組織(3.38)が管理し,維持するよう要求されている情報,及びそれが含まれている媒体(JIS Q 55000:2017

の3.1.6参照)。 

注記1 文書化した情報は,あらゆる形式及び媒体の形をとることができ,あらゆる情報源から得る

ことができる。 

注記2 文書化した情報には,次に示すものがあり得る。 

− 関連するプロセス(3.46)を含むマネジメントシステム(3.33) 

− 組織の運用のために作成された情報(文書類) 

− 達成された結果の証拠(例えば,記録,重要なパフォーマンス指標) 

3.20 

有効性(effectiveness) 

計画した活動を実行し,計画した結果を達成した程度(JIS Q 55000:2017の3.1.7参照)。 

3.21 

ハードウェア(hardware) 

コンピュータプログラム又はデータを処理,格納又は伝達するために使用される物理的な機器

(ISO/IEC/IEEE 24765:2010の3.1278参照)。 

3.22 

インシデント(incident) 

損傷又は他の損失に至る予期しない事象又は事件(JIS Q 55000:2017の3.1.8参照)。 

3.23 

情報(information) 

意味のあるデータ(JIS Q 9000:2015の3.8.2を変更している。注記1は,ISO/TR 12037,ISO/TR 21089

及びISO/IEC 2382の内容を変更して追加し,注記2はこの規格で追加した。)。 

注記1 ITアセットマネジメント(3.26)の文脈で,情報は,文脈及び慣習に従って割り当てられた

意味に対して,変換,分析,解釈又は編集されたデータである。基準となるデータは,ITア

セット(3.25)に関連する特別な意味をもつ文脈の中で,事実,事象,物,プロセス,又は

アイデア(概念を含む。)のようなオブジェクトに関連している。 

注記2 ITアセットマネジメントシステムの文脈で,情報は,電子的又は物理的に(例えば,紙に)

記録される。 

3.24 

情報技術,IT(information technology,IT) 

デジタル情報を取得,処理,保存及び配布するための技術の開発,維持,及び使用。 

注記 これは,紙ベースの情報のようなデジタルでない情報の調達,プロセス,保存,及び配付のた

めの技術の使用を含まない。書籍,マニュアル,原稿,ホワイトボードがデジタルで扱われな

いときは,含まれない例である。この定義の目的は,“デジタル”が“電子”と同等であること

である。 

3.25 

ITアセット(IT asset) 

組織にとって,デジタル情報を調達,処理,保存及び配付する潜在的に又は実際的に価値をもつ項目,

10 

X 0164-1:2019 (ISO/IEC 19770-1:2017) 

  

物又は実体。 

注記1 ITアセットは次のようなものを含む。 

− ソフトウェア(3.49) 

− メディア(物理的及びデジタル) 

− IT環境(物理的及び仮想的) 

− ライセンス(ライセンス証明を含む。) 

− 契約 

− ITAMシステムをマネジメントするアセット(ITAMシステム及びツール,ITアセット

をマネジメントするために必要なメタデータを含む。) 

注記2 通常,外部から提供されるSaaS,ハードウェア保守,ソフトウェアサポート,及び訓練のよ

うなITアセットマネジメント(3.26)及び要求事項(3.47)に合うサービスも,ITアセット

と考えられる。 

注記3 デジタル情報のコンテンツアセット(3.18)は,ファイル又は情報コンテンツの他の実体で

あるが,それらは,ソフトウェアと考えられない。例えば,デジタル形式の標準集,メディ

ア集及び信用機関の格付け情報。ライセンスされたそのようなアセットは,それゆえ,ITア

セットマネジメントの規律でマネジメントされることから便益を受ける。 

注記4 独立したITハードウェア及びソフトウェアアセットの情報そのものは,アセット(3.1)と

みなすことができるが,ITアセットとはみなさない。 

注記5 ITアセットの集合は,ITインフラストラクチャ(3.30)とも呼ばれる。 

3.26 

ITアセットマネジメント,ITAM(IT asset management,ITAM) 

ITアセット(3.25)からの価値を実現化する組織(3.38)の調整された活動。 

3.27 

ITアセットマネジメント計画(IT asset management plan) 

組織(3.38)のITアセットマネジメント(3.26)の目標(3.37)を達成するために,個々のITアセット

(3.25)又はITアセットのグループ化について必要とされる活動,資源及び時間を規定する文書化した情

報(3.19)(JIS Q 55000:2017の3.3.3を変更している。アセットマネジメント計画を基に,ITアセットマ

ネジメントを新たに定義している。)。 

注記1 アセットのグループ化は,アセットタイプ(3.8),アセットの階級,アセットシステム(3.7)

又はITアセットポートフォリオ(3.29)によってもよい。 

注記2 ITアセットマネジメント計画は,戦略的ITアセットマネジメント計画(3.54)から導出され

る。 

注記3 アセットマネジメント計画は,戦略的ITアセットマネジメント計画に含まれ,又は補完的な

計画であってもよい。 

3.28 

ITアセットマネジメントシステム,ITAMS(IT asset management system,ITAMS) 

ITアセットマネジメントの方針(3.43)及びITアセットマネジメントの目標(3.37)を確立する機能を

もつITアセットマネジメント(3.26)のためのマネジメントシステム(3.33)(JIS Q 55000:2017の3.4.3

を変更している。アセットマネジメントシステムを基に,ITアセットマネジメントを新たに定義してい

る。)。 

11 

X 0164-1:2019 (ISO/IEC 19770-1:2017) 

注記 アセットマネジメントシステムは,アセットマネジメントの部分集合である。 

3.29 

ITアセットポートフォリオ(asset portfolio) 

ITアセットマネジメントシステム(3.28)の適用範囲内にあるITアセット(3.25)。 

注記1 ポートフォリオは,通常,経営管理目的のために確立され,割り当てられる。ITハードウェ

アのためのポートフォリオは,カテゴリ(例えば,サーバ,PC,モバイルデバイス)によっ

て定義する。ソフトウェアのポートフォリオは,ソフトウェアの発行者又はプラットフォー

ム(例えば,PC,サーバ,大型コンピュータ)によって定義する。 

注記2 ITアセットマネジメントシステムは,複数のITアセットポートフォリオを包含し得る。複

数のアセットポートフォリオ及びアセットマネジメントシステムが採用される場合は,アセ

ットマネジメント(3.3)の活動は,ポートフォリオとシステムとの間で調整されることが望

ましい。 

3.30 

ITインフラストラクチャ(IT infrastructure) 

ITサービスを開発,維持,及び使用するためのITアセット(3.25)の結合されたセット。 

3.31 

サービスレベル(level of service) 

組織(3.38)が作り出す社会的,政治的,環境的及び経済的な成果に関連するパラメタ又はパラメタの

組合せ(JIS Q 55000:2017の3.3.6参照)。 

注記 パラメタは,安全,顧客満足度,質,量,受容能力,信頼性,責任,環境許容度,コスト及び

可用性を含むことができる。 

3.32 

ライフサイクル(life cycle) 

アセット(3.1)のマネジメントに関係する段階群(JIS Q 55000:2017の3.2.3参照)。 

注記 段階の名称及び数,並びに各々の段階の下での活動は,通常,産業セクタによって異なり,組

織(3.38)によって決定される。 

3.33 

マネジメントシステム(management system) 

方針(3.43),目標(3.37)及びその目標を達成するためのプロセス(3.46)を確立するための,相互に

関連する又は相互に作用する,組織(3.38)の一連の要素(JIS Q 55000:2017の3.4.2を変更している。注

記2にISO/IEC 専門業務用指針 第1部 統合版ISO補足指針の附属書SLの内容を追加している。)。 

注記1 一つのマネジメントシステムは,単一又は複数の分野を取り扱うことができる。 

注記2 システムの要素には,組織の構造,役割及び責任,計画及び運用が含まれる。 

注記3 マネジメントシステムの適用範囲としては,組織全体,組織内の固有で特定された機能,組

織内の固有で特定された部門,複数の組織の集まりを横断する一つ又は複数の機能,などが

あり得る。 

3.34 

測定(measurement) 

値を決定するプロセス(3.46)(JIS Q 55000:2017の3.1.10を参照)。 

12 

X 0164-1:2019 (ISO/IEC 19770-1:2017) 

  

3.35 

監視(monitoring) 

システム,プロセス(3.46)又は活動の状況を明確にすること(JIS Q 55000:2017の3.1.9を参照)。 

注記1 状況を明確にするために,点検,監督又は注意深い観察が必要な場合もある。 

注記2 アセットマネジメントの目的のために,監視は,アセットの状況を確定することにも適用し

てもよい。これは,典型的に“状態監視”又は“性能監視”と呼称される。 

3.36 

不適合(nonconformity) 

要求事項(3.47)を満たしていないこと(JIS Q 55000:2017の3.1.11を参照)。 

注記 不適合は,アセットマネジメントシステム(3.5)の要求事項からの逸脱,又は関連する作業標

準,実践,手順,法的要求事項などからの逸脱であり得る。 

3.37 

目標(objective) 

達成する結果(JIS Q 55000:2017の3.1.12を変更している。)。 

注記1 目標は,戦略的,戦術的又は運用的であり得る。 

注記2 目標は,様々な領域[例えば,財務,安全衛生,環境の到達点(goal)]に関連し得るもので

あり,様々な階層[例えば,戦略的レベル,組織全体,プロジェクト単位,製品ごと,プロ

セス(3.46)ごと]で適用できる。  

注記3 目標は,例えば,意図する成果,目的(purpose),運用基準など,別の形で表現することも

できる。また,アセットマネジメント(3.3)の目標という表現の仕方もある。又は同じよう

な意味をもつ別の言葉[例 狙い(aim),到達点(goal),目標(target)]で表すこともでき

る。  

注記4 アセットマネジメントシステム(3.5)の場合,組織(3.38)は,特定の結果を達成するため,

組織の目標(3.39)及びアセットマネジメント方針(3.43)と一貫したアセットマネジメント

の目標を設定する。 

3.38 

組織(organization) 

自らの目標(3.37)を達成するため,責任,権限及び相互関係を伴う独自の機能をもつ,個人又は人々

の集まり(JIS Q 55000:2017の3.1.13を参照)。 

注記 組織という概念には,法人か否か,公的か私的かを問わず,自営業者,会社,法人,事務所,

企業,当局,共同経営会社,非営利団体若しくは協会,又はこれらの一部若しくは組合せが含

まれる。ただし,これらに限定されるものではない。 

3.39 

組織の目標(organizational objective) 

組織(3.38)の活動のための状況及び方向性を設定する横断的な目標(3.37)(JIS Q 55000:2017の3.1.14

を参照)。 

注記 組織の目標は,組織の戦略的レベルの計画策定の活動を通じて確立される。 

3.40 

組織の計画(organizational plan) 

組織の目標(3.39)を達成するためのプログラムを規定する文書化した情報(3.19)(JIS Q 55000:2017

13 

X 0164-1:2019 (ISO/IEC 19770-1:2017) 

の3.1.15を参照)。 

3.41 

外部委託する(動詞)(outsource) 

ある組織(3.38)の機能又はプロセス(3.46)の一部を外部の組織(3.38)が実施するという取決めを行

う(JIS Q 55000:2017の3.1.16を参照)。 

注記 外部委託した機能又はプロセスはマネジメントシステム(3.5)の適用範囲内にあるが,外部の

組織はマネジメントシステムの適用範囲の外にある。 

3.42 

パフォーマンス(performance) 

測定可能な結果(JIS Q 55000:2017の3.1.17を参照)。 

注記1 パフォーマンスは,定量的又は定性的な所見のいずれにも関連し得る。 

注記2 パフォーマンスは,活動,プロセス(3.46),製品(サービスを含む。),システム又は組織(3.38)

のマネジメントに関連し得る。 

注記3 アセットマネジメント(3.3)の目的のために,パフォーマンスは,要求事項(3.47)又は目

標(3.37)を満たすためのアセット(3.1)の能力という点において,アセットに関連し得る。 

3.43 

方針(policy) 

トップマネジメント(3.55)によって正式に表明された組織(3.38)の意図及び方向付け(JIS Q 55000:2017

の3.1.18を参照)。 

3.44 

予知行動(predictive action) 

アセット(3.1)の状態を監視し,予測対応処置(3.45)又は是正処置の必要性を予知する処置(JIS Q 

55000:2017の3.3.5を参照)。 

注記 予知行動,一般に“状態監視”又は“パフォーマンスの監視”とも呼称される。 

3.45 

予測対応処置(preventive action) 

潜在的な不適合(3.36)又はその他の望ましくない起こり得る状況の原因を除去する処置(JIS Q 

55000:2017の3.3.4を参照)。 

注記1 この定義はアセットマネジメント(3.3)の活動に特有のものである。 

注記2 起こり得る不適合の原因は,一つ以上あり得る。 

注記3 予測対応処置は,発生を未然に防止し,アセット(3.1)の機能を保全するためにとられる。

一方,是正処置(3.14)は,再発を防止するためにとられる。 

注記4 予測対応処置は,通常,アセットが機能的に利用され,運用されている間,又は機能的不良

具合の兆候の前に実行される。 

注記5 予測対応処置は,消耗することが機能的な要求事項(3.47)である消耗品の補充を含む。 

3.46 

プロセス(process) 

インプットをアウトプットに変換する,相互に関連する又は相互に作用する一連の活動(JIS Q 

55000:2017の3.1.19を参照)。 

14 

X 0164-1:2019 (ISO/IEC 19770-1:2017) 

  

3.47 

要求事項(requirement) 

明示されている,通常暗黙のうちに了解されている又は義務として要求されている,ニーズ又は期待(JIS 

Q 55000:2017の3.1.20を参照)。 

注記1 “通常暗黙のうちに了解されている”とは,対象となるニーズ又は期待が暗黙のうちに了解

されていることが,組織(3.38)及びステークホルダー(3.52)にとって,慣習又は慣行であ

ることを意味する。 

注記2 規定要求事項とは,例えば,文書化した情報(3.19)の中で明示されている要求事項をいう。 

3.48 

リスク(risk) 

目標(3.37)に対する不確かさの影響(JIS Q 55000:2017の3.1.21を参照)。 

注記1 影響とは,期待されていることから,好ましい方向及び/又は好ましくない方向にかい(乖)

離することをいう。 

注記2 目標は,様々な領域(例えば,財務,安全衛生,環境の到達目標)に関係し得るものであり,

様々な階層[例えば,戦略的レベル,組織全体,プロジェクト単位,製品ごと,プロセス(3.46)

ごと]で適用できる。 

注記3 リスクは,起こり得る“事象”(JIS Q 0073:2010の3.5.1.3の定義を参照)及び“結果”(JIS Q 

0073:2010の3.6.1.3の定義を参照),又はこれらの組合せについて述べることによって,その

特徴を示すことが多い。 

注記4 リスクは,ある事象(その周辺状況の変化を含む。)の結果とその発生の“起こりやすさ”(JIS 

Q 0073:2010の3.6.1.1の定義を参照)との組合せとして表現されることが多い。 

注記5 不確かさとは,事象,その結果又はその起こりやすさに関する,情報,理解又は知識に,た

とえ部分的にでも不備がある状態をいう。 

3.49 

ソフトウェア(software) 

デジタル情報のプロセスを処理又は支援するプログラムの全て又は部分。 

注記1 この定義の目的上,ソフトウェアは,文書,オーディオ及びビデオ録画の内容,グラフィッ

クス,並びにデータベースの情報そのものを除外する。 

注記2 実行及び非実行ソフトウェアの両方がある。非実行ソフトウェアの目的は,実行ソフトウェ

アの制御又は支援することであり,例えば,構成情報,フォント,辞書のスペルチェッカを

含む。実行ソフトウェアで管理されるデジタル情報(例えば,文書及びデータベースの内容)

は,プログラムの実行がデータ値に依存する場合でも,この定義の目的のためのソフトウェ

アとして考えられていない。 

3.50 

ソフトウェアアセット(software asset) 

組織にとって潜在的又は実際的な価値をもつソフトウェア(3.49) 

注記 ソフトウェアはソフトウェアコンポーネントの集合,例えば,ソフトウェア製品は数千のソフ

トウェアファイルの集合である。 

15 

X 0164-1:2019 (ISO/IEC 19770-1:2017) 

3.51 

ソフトウェアアセットマネジメント,SAM(software asset management,SAM) 

ソフトウェアアセット(3.50)からの価値を実現する組織の調整された活動。 

注記1 ソフトウェアアセットマネジメントは,ソフトウェアアセットに特化したITアセットマネジ

メント(3.26)である。ソフトウェアアセットの管理は,非ソフトウェアアセットの管理を

伴うが,必ずしもそうである必要はない。 

注記2 参考までに,対応する業界定義は,“ライフサイクルの全段階を通じて,組織内のソフトウェ

アアセットの効果的な管理,制御及び保護に必要な全てのインフラ及びプロセス”である。 

3.52 

ステークホルダー(stakeholder) 

ある決定事項若しくは活動に影響を与え得るか,その影響を受け得るか,又はその影響を受けると認識

している,個人又は組織(3.38)(JIS Q 55000:2017の3.1.22を参照)。 

注記 対応国際規格では,“ステークホルダー”の同義語として“利害関係者”を併記しているが,こ

の規格では“ステークホルダー”だけを使用しているため,“利害関係者”を削除した。 

3.53 

戦略的アセットマネジメント計画,SAMP(strategic asset management plan,SAMP) 

組織の目標(3.39)からアセットマネジメント(3.3)の目標(3.37),アセットマネジメント計画(3.4)

を策定するためのアプローチ,及びアセットマネジメントの目標の達成を支援することにおけるアセット

マネジメントシステム(3.5)の役割にどのように変換するのかを規定する文書化した情報(3.19)(JIS Q 

55000:2017の3.3.2を参照)。 

注記1 戦略的アセットマネジメント計画は,組織の計画(3.40)から導出されるものである。 

注記2 戦略的アセットマネジメント計画は,組織の計画に含まれ,又は補完的な計画であってもよ

い。 

3.54 

戦略的ITアセットマネジメント計画(strategic IT asset management plan) 

組織の目標(3.39)からITアセットマネジメント(3.26)の目標(3.37),ITアセットマネジメント計画

(3.27)を策定するためのアプローチ,及びITアセットマネジメントの目標の達成を支援することにおけ

るITアセットマネジメントシステム(3.28)の役割にどのように変換するのかを規定する文書化した情報

(3.19)(JIS Q 55000:2017の3.3.2を変更している。)。 

注記1 戦略的ITアセットマネジメント計画は,組織の計画(3.40)から導出されるものである。 

注記2 戦略的ITアセットマネジメント計画は,組織の計画に含まれ,又は補完的な計画であっても

よい。 

3.55 

トップマネジメント(top management) 

最高位で組織(3.38)を指揮し,管理する個人又は人々の集まり(JIS Q 55000:2017の3.1.23を参照)。 

注記1 トップマネジメントは,組織内で,権限を委譲し,資源を提供する力をもっている。 

注記2 マネジメントシステム(3.33)の適用範囲が組織の一部だけの場合,トップマネジメントと

は,組織内のその一部を指揮し,管理する人をいう。複数のアセットマネジメントシステム

(3.5)が採用される場合,そのシステムは,活動を調整するように設計することが望ましい。 

16 

X 0164-1:2019 (ISO/IEC 19770-1:2017) 

  

3.56 

信頼できるデータ(trustworthy data) 

正確で,完全で,関連性があり,容易に理解され,業務を完了するのに必要な権限のあるユーザが利用

できるデータ(3.16)及び関連する情報(3.23)。 

組織の状況 

4.1 

組織及びその状況の理解 

組織は,組織の目的に関連し,かつ,そのITアセットマネジメントシステムの意図した成果を達成する

組織の能力に影響を与える,外部及び内部の課題を決定しなければならない。 

注記 これらの課題の決定とは,JIS Q 31000:2010の5.3に記載されている組織の状況を明らかにする

ことを示している。 

戦略的ITアセットマネジメント計画に含まれるITアセットマネジメントの目標は,組織の目標と整合

し,一貫していなければならない。 

4.2 

ステークホルダーのニーズ及び期待の理解 

組織は,次の事項を決定しなければならない。 

− ITアセットマネジメントシステムに関連するステークホルダー 

注記1 ステークホルダーは,情報セキュリティマネジメント及びサービスマネジメントのような

関係するシステム及びプロセスの責任者を含む。 

注記2 ステークホルダーは,ITアセットマネジメントシステムの適用範囲に含まれるライセンス

されたソフトウェアのソフトウェアライセンサを含む。 

− そのステークホルダーのITアセットマネジメントに関する要求事項及び期待 

注記3 ソフトウェアライセンサの要求事項は,ライセンスの契約条項を含む。 

− ITアセットマネジメントに関する意思決定の基準 

− ITアセットマネジメントに関する財務的及び非財務的情報を記録し,内部及び外部に報告することに

対するステークホルダーの要求事項 

4.3 

ITアセットマネジメントシステムの適用範囲の決定 

組織は,ITアセットマネジメントシステムの適用範囲を定めるために,その境界及び適用可能性を決定

しなければならない。適用範囲は,戦略的ITアセットマネジメント計画及びITアセットマネジメントの

方針と整合していなければならない。この適用範囲を決定するとき,組織は次の事項を考慮しなければな

らない。 

− 4.1に規定する外部及び内部の課題 

− 4.2に規定する要求事項 

− 他のマネジメントシステムが使用されている場合は,それらとの相互作用 

組織は,ITアセットマネジメントシステムの適用範囲に含まれるITアセットポートフォリオ又はポー

トフォリオ群を明確にしなければならない。 

この規格の要求事項は,組織によって決められるITアセットの全体に適用されることが望ましい。 

適用範囲は,文書化した情報として利用可能な状態にしておかなければならない。 

注記 適用範囲は,ITアセットマネジメントシステムがカバーするITアセットを決める。ITアセッ

トマネジメントシステムに含まれるプロセス領域についての別の課題がある。この課題は,6.2.1

のITアセットマネジメントの運用プロセスの定義に記載する。 

17 

X 0164-1:2019 (ISO/IEC 19770-1:2017) 

4.4 

ITアセットマネジメントシステム 

組織は,この規格の要求事項に従って,必要なプロセス及びそれらの相互作用を含む,ITアセットマネ

ジメントシステムを確立し,実施し,維持し,かつ,継続的に改善しなければならない。 

組織は,戦略的ITアセットマネジメント計画を策定しなければならない。戦略的ITアセットマネジメ

ント計画には,ITアセットマネジメントシステムの目標の達成を支援するに当たっての,ITアセットマネ

ジメントシステムの役割の文書化を含める。 

リーダーシップ 

5.1 

リーダーシップ及びコミットメント 

トップマネジメントは,次に示す事項によってITアセットマネジメントシステムに関するリーダーシッ

プ及びコミットメントを実証しなければならない。 

− ITアセットマネジメントの方針,戦略的ITアセットマネジメント計画及びITアセットマネジメント

の目標を確立し,それらが組織の戦略的な方向性と両立することを確実にする。 

− 組織の事業プロセスへのITアセットマネジメントシステムに関する要求事項の統合を確実にする。 

− ITアセットマネジメントシステムのための資源が利用可能であることを確実にする。 

− 有効なITアセットマネジメント及びITアセットマネジメントシステムに関する要求事項への適合の

重要性を伝達する。 

− ITアセットマネジメントシステムがその意図した成果を達成することを確実にする。 

− ITアセットマネジメントシステムの有効性に寄与するよう人々を指揮し,支援する。 

− 組織の中での機能横断的な協力を促進する。 

− 継続的改善を促進する。 

− その他の関連する管理層がその責任の領域においてリーダーシップを実証するよう,管理層の役割を

支援する。 

− ITアセットマネジメントにおけるリスクを管理するアプローチが,組織のリスクを管理するアプロー

チと整合していることを確実にする。 

注記 この規格で“事業”という場合,それは,組織の存在の目的の中核となる活動という広義の意

味で解釈され得る。 

5.2 

方針 

トップマネジメントは,次の事項を満たすITアセットマネジメントの方針を確立しなければならない。 

a) 組織の目的に対して適切である。 

b) ITアセットマネジメントの目標の設定のための枠組みを示す。 

c) 適用される要求事項を満たすことへのコミットメントを含む。 

d) ITアセットマネジメントシステムの継続的改善へのコミットメントを含む。 

ITアセットマネジメントの方針は,次に示す事項を満たさなければならない。 

− 組織的な計画と一貫したものである。 

− 組織で使用される任意の他のマネジメントシステムを含む,他の関連する組織の方針と一貫したもの

である。 

− 組織で使用される任意のマネジメントシステムの関連する戦略的計画と一貫したものである。 

− 組織のITアセット及び運用の性質及び規模に対して適切である。 

− ITアセットの管理に関する個人及び企業の責任が適切である。 

18 

X 0164-1:2019 (ISO/IEC 19770-1:2017) 

  

− 組織のITアセットの許可された使用方法が適切である。 

− ソフトウェアライセンスを含むITアセットの契約条項の遵守に対する組織の方針を含む。 

− 文書化した情報として利用可能である。 

− 組織内に伝達される。 

− 必要に応じて,ステークホルダーが入手可能である。 

− この方針の違反に対してのペナルティの特定が含まれている。 

− 実施され,定期的にレビューされ,必要に応じて,更新される。 

5.3 

組織の役割,責任及び権限 

トップマネジメントは,関連する役割に対して,責任及び権限が割り当てられ,組織内に伝達すること

を確実にしなければならない。 

トップマネジメントは,次の事項に対して,責任及び権限を割り当てなければならない。 

a) ITアセットマネジメントの目標を含む戦略的ITアセットマネジメント計画を確立し,更新する。 

b) ITアセットマネジメントシステムが,戦略的ITアセットマネジメント計画の実施を支援することを

確実にする。 

c) ITアセットマネジメントシステムが,この規格の要求事項に適合することを確実にする。 

d) ITアセットマネジメントシステムの適切性,妥当性及び有効性を確実にする。 

e) ITアセットマネジメント計画を確立し,更新する(6.2.4を参照)。 

f) 

ITアセットマネジメントシステムのパフォーマンスをトップマネジメントに報告する。 

計画 

6.1 

ITアセットマネジメントシステムに関するリスク及び機会への取組み 

6.1.1 

一般 

ITアセットマネジメントシステムの計画を策定するとき,組織は4.1に規定する課題及び4.2に規定す

る要求事項を考慮し,次の事項について取り組む必要があるリスク及び機会を決定しなければならない。 

− ITアセットマネジメントシステムが,その意図した成果を達成できるという保証を与える。 

− 望ましくない影響を防止又は低減する。 

− 継続的改善を達成する。 

組織は,次の事項を計画しなければならない。 

a) 上記によって決定したリスク及び機会への取組み。その際,これらのリスク及び機会が経時的にどの

ように変化し得るかを考慮する。 

b) 次の事項を行う方法 

− その取組みのITアセットマネジメントシステムプロセスヘの活動の統合及び実施 

− その取組みの有効性の評価 

6.1.2 

ITアセットリスクアセスメント 

組織は,次のようなITアセットリスクアセスメントのプロセスを定め,適用しなければならない。 

a) 次を含むITアセットのリスク基準を確立し,維持する。 

1) リスク受容基準 

2) ITアセットリスクアセスメントを実施するための基準 

b) 繰り返し実施したITアセットリスクアセスメントが,一貫性,妥当性,及び比較可能な結果を提供す

ることを確実にする。 

19 

X 0164-1:2019 (ISO/IEC 19770-1:2017) 

c) 次によってITアセットのリスクを特定する。 

1) 次のような全ての関連するリスクを識別するITアセットリスクアセスメントのプロセスを適用す

る。 

1.1) ITアセットマネジメントシステムの適用範囲内におけるITアセットの機密性,完全性及び可用性

の喪失に伴うリスク 

1.2) 事業継続のリスク 

1.3) 法的及び規制遵守のリスク 

1.4) ライセンス遵守のリスクを含む契約遵守に関連するリスク 

2) リスクの所有者を特定する。 

注記 ITアセットに含まれる情報に関するリスクは,JIS Q 27001のリスクアセスメントの要求事

項に沿って評価できる。情報セキュリティリスクアセスメントの取扱いに関するガイダンス

は,ISO/IEC 27005から入手できる。 

d) 次によってITアセットのリスクを分析する。 

1) 6.1.2 c) 1)で特定されたリスクが実際に生じた場合に起こり得る結果についてアセスメントを行う。 

2) 6.1.2 c) 1)で特定されたリスクの現実的な起こりやすさについてアセスメントを行う。 

3) リスクレベルを決定する。 

e) 次によってITアセットのセキュリティリスクを評価する。 

1) リスク分析の結果と6.1.2 a)で確立したリスク基準とを比較する。 

2) リスク対応のために,分析したリスクの優先順位付けを行う。 

組織は,ITアセットリスクアセスメントのプロセスについての文書化した情報を保持しなければならな

い。 

6.1.3 

ITアセットリスク対応 

組織は,次のようなITアセットリスク対応プロセスを定め,適用しなければならない。 

a) リスクアセスメントの結果を考慮して,適切なITアセットリスク低減策を選定する。 

注記 組織は,要求された低減策を設計するか,又は任意の情報源の中から低減策を特定すること

ができる。 

b) 選定したITアセットリスク対応の選択肢の実施に必要な全ての管理策を決定する。 

注記 組織は,要求された管理策を設計するか,又は任意の情報源の中からそれらを特定すること

ができる。 

c) ITアセットリスク対応計画を策定する。 

d) ITアセットリスク対応計画及び残留しているITアセットリスク受容について,ITアセット所有者の

承認を得る。 

組織は,ITアセットリスク対応プロセスについての文書化した情報を保持しなければならない。 

注記 この規格のリスクアセスメント及びリスク対応プロセスは,JIS Q 31000に規定する原則及び一

般的な指針,及びJIS Q 27001:2014の6.1.2及び6.1.3で規定する要求事項に整合している。 

6.2 

ITアセットマネジメントの目標及びそれらを達成するための計画策定 

6.2.1 

ITアセットマネジメント運用プロセスの定義 

組織は,ITアセットマネジメントに関して要求される管理の保証の程度に応じて,適切な運用プロセス

を決定しなければならない。 

注記1 附属書Aは,ITアセットマネジメントのための運用プロセスの一覧を定義する。この一覧は,

20 

X 0164-1:2019 (ISO/IEC 19770-1:2017) 

  

網羅的なものではなく,追加の運用プロセスが必要とされることもある。 

注記2 附属書Bで記載する段階(tier)による分類に基づいて,プロセスの区分を行うことは可能で

あるが要求事項ではない。 

6.2.2 

運用プロセスにおけるITアセットマネジメントの目標 

組織は,6.2.1で定義する運用プロセスのための適切な目標を決定しなければならない。この方法で決定

した目標は,附属書Aのプロセス(目標)と比較しなければならない。 

適用宣言書(Statement of Applicability)には,附属書Aで列挙されていることを,含むか含まないかの

正当性及び目標を定義したリストを作成しなければならない。 

注記1 附属書Aで規定したプロセス及びプロセス目標は,網羅的なものではなく,追加の運用プロ

セス及びプロセスの目標が必要となる場合がある。 

注記2 “適用宣言書”の用語は,JIS Q 27001:2014の適用宣言書の類似で選ばれた。適用範囲の定

義(4.3)とともに適用宣言書は,任意の内外の部関係者がITアセットマネジメントシステ

ムの対象を理解するために必要とされる。 

注記3 附属書Bに記載する段階による分類に基づいて,プロセス及びプロセス目標の区分けを行う

ことが可能であるが,要求ではない。 

6.2.3 

ITアセットマネジメントの全体としての目標 

組織は,関連する機能及び階層において,ITアセットマネジメントの目標を定義しなければならない。 

ITアセットマネジメントの目標を確立するときは,組織は,ITアセットマネジメントの計画策定のプロ

セスにおいて,関連するステークホルダーの要求事項,並びに他の財務,技術,法令,規制及び組織の要

求事項を考慮しなければならない。 

注記1 ITアセットマネジメントの全体的な目標は,6.2.2(運用プロセスにおけるITアセットマネ

ジメントの目標)に基づいて規定している。 

ITアセットマネジメントの目標は,次の事項を満たさなければならない。 

− 組織の目標と一貫し,整合している。 

注記2 組織的な目標には,エネルギー効率及び環境持続といった他の関心に関する目標を含む場合

がある。 

− ITアセットマネジメントの方針と整合している。 

− ITアセットマネジメントの意思決定基準(4.2参照)を用いて確立され,更新されている。 

− 戦略的ITアセットマネジメント計画の一部として確立され,更新されている。 

− (実行可能な場合)測定可能である。 

− データの正確さのための数値的な目標値を含む。 

− 適用する要求事項を考慮に入れる。 

− 技術及びビジネス環境の激しい変化の可能性を(適切なところで)考慮する。 

− 監視する。 

− 関連するステークホルダーに伝達する。 

− 必要に応じて,レビューし,更新する。 

組織は,ITアセットマネジメントの目標に関する文書化した情報を保持しなければならない。 

6.2.4 

ITアセットマネジメントの目標を達成するための計画策定 

組織は,ITアセットマネジメントの目標を達成するための計画策定と,財務,人的資源,その他支援機

能を含む,組織の他の計画策定の活動とを統合しなければならない。 

21 

X 0164-1:2019 (ISO/IEC 19770-1:2017) 

組織は,ITアセットマネジメントの目標を達成するために,ITアセットマネジメント計画を確立し,文

書化し,確立しなければならない。これらのITアセットマネジメント計画は,ITアセットマネジメント

の方針,及び戦略的ITアセットマネジメント計画と整合していなければならない。 

組織は,ITアセットマネジメント計画がITアセットマネジメントシステムの外部に起因する,関連し

た要求事項を考慮していることを確実にしなければならない。 

組織は,ITアセットマネジメントの目標をどのように達成するかについて計画するとき,次の事項を決

定し,文書化しなければならない。 

a) ITアセットマネジメント計画及びITアセットマネジメントの目標を達成するため,活動及び資源の

意思決定を行い,また,優先順位付けを行うための方法及び基準 

b) ライフサイクルにわたってITアセットを管理するために採用されるプロセス及び方法 

c) 実施事項 

d) 必要な資源 

e) 責任者 

f) 

達成期限 

g) 結果の評価方法 

h) ITアセットマネジメント計画の適切な期間 

i) 

ITアセットマネジメント計画の財務的及び非財務的な影響 

j) 

ITアセットマネジメント計画のレビュー周期(9.1参照)。 

k) 次の事項のためのプロセスを確立することによる,ITアセットの管理に伴う機会への取組み。その際,

これらの機会が経時的にどのように変化し得るかを考慮しなければならない。 

− 機会の特定 

− 機会のアセスメント 

− ITアセットマネジメントの目標を達成することにおけるITアセットの重要性の決定 

− 機会に対する適切な対応,及び監視の実施 

注記 JIS Q 55001:2017は,ここのテキストでリスクを含んでいる。一方,この規格は,JIS Q 

27001:2014でのリスクの扱いと同様に6.1.2及び6.1.3でより広範にわたって記載してい

る。 

支援 

7.1 

資源 

組織は,ITアセットマネジメントシステムの確立,実施,維持及び継続的改善に必要な資源を決定し,

提供しなければならない。 

組織は,ITアセットマネジメントの目標を達成し,ITアセットマネジメント計画に規定した活動を実施

するために必要とされる資源を提供しなければならない。 

7.2 

力量 

組織は,次の事項を行わなければならない。 

− 組織のITアセットのパフォーマンス,ITアセットマネジメントのパフォーマンス及びITアセットマ

ネジメントシステムのパフォーマンスに影響を与える業務をその管理下で作業する人(又は人々)に

必要な力量を決定する。 

− 適切な教育,訓練又は経験に基づいて,それらの人々が力量を備えていることを確実にする。 

22 

X 0164-1:2019 (ISO/IEC 19770-1:2017) 

  

− 該当する場合には,必ず,必要な力量を身に付けるための処置をとり,とった処置の有効性を評価す

る。 

− 力量の証拠として,適切な文書化した情報を保持する。 

− 現状及び将来の力量の必要性及び要求事項を定期的にレビューする。 

注記 適用される処置は,例えば,現在雇用している人々に対する,教育訓練の提供,指導の実施,

配置転換の実施などがあり,また,力量を備えた人々の雇用,そうした人々との契約締結な

どもあり得る。 

7.3 

認識 

組織の管理下で働き,ITアセットマネジメントの目標の達成に影響を与え得る人々は,次の事項に関し

て認識をもたなければならない。 

− ITアセットマネジメントの方針 

− ITアセットマネジメントのパフォーマンスの向上によって得られる便益を含む,ITアセットマネジメ

ントシステムの有効性に対する自らの貢献 

− 業務活動,それに伴うリスク及び機会,並びにそれらの相互の関連性 

− ITアセットマネジメントシステムの要求事項に適合しないことの意味 

7.4 

コミュニケーション 

組織は,次の事項を含む,ITアセット,ITアセットマネジメント及びITアセットマネジメントシステ

ムに関連する内部及び外部のコミュニケーションの必要性を決定しなければならない。 

− コミュニケーションの内容 

− コミュニケーションの実施時期 

− コミュニケーションの対象者 

− コミュニケーションの方法 

7.5 

情報に関する要求事項 

組織は,ITアセット,ITアセットマネジメント,ITアセットマネジメントシステム及び組織の目標の

達成を支援するために,情報に関する要求事項を決定しなければならない。要求事項は,財務に限らず,

調達,契約,ライセンス,技術,及び組織の情報を含むことができる。これを行うときは,次の事項を考

慮しなければならない。 

a) 組織は,次の事項を考慮しなければならない。 

− 特定されたリスクの重要性 

− 附属書Cに記載したようなITアセットを管理することの難しい特性 

− ITアセットマネジメントのための役割及び責任 

− ITアセットが組織の全体の目標に関連して期待されるものを決定するために必要とされる測定

値 

− ITアセットマネジメントのプロセス,手順及び活動 

− サービス提供者を含む,組織のステークホルダーとの情報の交換 

− 組織の意思決定に対する,情報の質,可用性及びマネジメントの影響 

b) 組織は,次の事項を決定しなければならない。 

− 特定された情報の属性に関する要求事項 

− 特定された情報の質に関する要求事項 

− 情報を収集し,分析し,評価する方法及び実施時期 

23 

X 0164-1:2019 (ISO/IEC 19770-1:2017) 

c) 組織は,情報を管理するためのプロセスを規定し,実施し,維持しなければならない。 

d) 組織は,組織全体を通じてITアセットマネジメントに関連する財務的及び非財務的な用語の整合性の

ための要求事項を決定しなければならない。 

e) 組織は,そのステークホルダーの要件事項及び組織の目標を考慮しつつ,法令及び規制上の要求事項

を満たすために必要とされる程度まで,財務的なデータと,技術的なデータと,その他の関連する非

財務的なデータとの間で一貫性及びトレーサビリティがあることを確実にしなければならない。 

7.6 

文書化した情報 

7.6.1 

一般 

組織のITアセットマネジメントシステムは,次の事項を含まなければならない。 

− この規格が要求する文書化した情報 

− 適用可能な法令上及び規制上の要求事項のための文書化した情報 

− 7.5に規定するITアセットマネジメントシステムの有効性のために必要であると組織が決定した,文

書化した情報 

注記1 ITアセットマネジメントシステムのための文書化した情報の程度は,次のような理由によっ

て,それぞれの組織で異なる場合がある。 

− 組織の規模,並びに活動,プロセス,製品及びサービスの種類 

− プロセス及びその相互連携の複雑さ 

− 人々の力量 

− ITアセットの複雑さ 

− 遵守に必要なもの。例えば,ライセンス条項。 

注記2 7.5は,ITアセットマネジメントシステムの開発に関連する最初の仕事としてITシステムの

全体的な要求事項決定に関するものであるが,それは定期的なレビューを必要とする。7.6

は,その情報の特定の部分に関するもので,レビューできる情報,すなわち,監査証跡のた

めのものである。 

7.6.2 

所有権及び責任のトレーサビリティ 

全てのITアセットに関する所有権及び責任は文書化した情報にしなければならない。 

注記1 所有権及び責任の文書化は,組織が適切と考える任意のレベルの詳細化又は一般化をとるこ

とができる。エンドユーザのデバイス及びサーバのため,その装置上のソフトウェア及びデ

ータのような,複合した所有権及び責任があるところでは,一般的により細かく文書化され

た情報が必要とされる。 

注記2 ITアセットのある種類の所有権及び責任から,ITアセットの異なった種類の責任が発生し得

る。例えば,クラウドサービス提供者は,クライアント組織にサービスとしてのインフラス

トラクチャー(IaaS)を提供しているクラウドサーバにコアを追加することで,明らかにラ

イセンス違反を犯し得る。 

7.6.3 

承認及び承認行使の監査証跡 

全ての承認は文書化された情報にしなければならない。文書化される情報は,(a)誰が承認し,(b)いつ承

認し,そして,(c)なぜ承認されたかの詳細を含んでいなければならない。 

注記1 この規格で指定されない限り,いかなる特別な種類の承認に対する要求事項は存在しない。

承認は,組織が適切と考えるあらゆるレベルの詳細又は一般化をとることができる。例えば,

承認は,組織全体にも,特別な組織単位又は個人のグループにも,個別のITアセット又はIT

24 

X 0164-1:2019 (ISO/IEC 19770-1:2017) 

  

アセットの集合にも適用できる。承認は,また,時間制限をもつことも可能である。さらに,

財務,セキュリティ,運用,及び管理のような異なる承認の集合とすることもできる。 

承認を実行することは,(a)誰が,(b)いつ,そして,(c)どの承認に対して行使したかの詳細を含む情報と

して文書化されることが望ましい。 

注記2 承認行使の例は,承認されたソフトウェアのインストールである。 

7.6.4 

作成及び更新 

文書化した情報を作成及び更新する際,組織は,次の事項を確実にしなければならない。 

− 適切な識別及び記述(例えば,タイトル,日付,作成者,参照番号) 

− 適切な形式(例えば,言語,ソフトウェアの版,図表)及び媒体(例えば,紙,電子媒体) 

− 適切性及び妥当性に関する,適切なレビュー及び承認 

7.6.5 

文書化した情報の管理 

ITアセットマネジメントシステム及びこの規格で要求されている文書化した情報は,次の事項を確実に

するために,管理しなければならない。 

a) 文書化した情報が,必要なときに,必要なところで,入手可能かつ利用に適した状態である。 

b) 文書化した情報が十分に保護されている(例えば,機密性の喪失,不適切な使用及び完全性の喪失か

らの保護)。 

文書化した情報の管理に当たって,組織は,該当する場合には,必ず,次の行動に取り組まなければな

らない。 

− 配付,アクセス,検索及び利用 

− 読みやすさが保たれていることを含む,保管及び保存 

− 変更の管理(例えば,版の管理) 

− 保持及び廃棄 

ITアセットマネジメントシステムの計画及び運用のために組織が必要と決定した外部からの文書化し

た情報は,必要に応じて識別し,管理しなければならない。 

注記 アクセスとは,文書化した情報の閲覧だけの許可に関する決定,文書化した情報の閲覧及び変

更の許可及び権限に関する決定などを意味する。 

運用 

8.1 

運用の計画及び管理 

組織は,次に示す事項の実施によって,要求事項を満たすため,及び6.1で決定した取組み,6.2で決定

したITアセットマネジメント計画,並びに10.1及び10.2で決定した是正処置及び予測対応処置を実施す

るために,必要なプロセスを計画し,実施し,かつ,管理しなければならない。 

− 必要とされるプロセスに関する基準の設定 

− その基準に従った,プロセスの管理の実施 

− プロセスが計画どおりに実施されたと確信し,証拠とするのに必要な程度の,文書化した情報の保持 

− 6.1.3で規定したアプローチを用いたリスクへの対処及び監視 

8.2 

変更のマネジメント 

ITアセットマネジメントの目標の達成に影響を及ぼし得る,計画した変更に伴うリスクは,それが恒常

的,又は一時的なものであっても,その変更を実施する前に評価しなければならない。 

組織は,そのようなリスクが6.1.3に従ってマネジメントされることを確実にしなければならない。 

25 

X 0164-1:2019 (ISO/IEC 19770-1:2017) 

組織は,計画した変更を管理し,必要に応じて有害な影響を緩和する処置をとり,変更の意図しない結

果をレビューしなければならない。 

8.3 

中核データマネジメント 

組織は適用範囲内の全ての中核となるITアセットについて要求されるデータがライフサイクルに沿っ

て正確に記録されること,及び承認の有無にかかわらず,全てのITアセットの文書化した情報があること

を確実にしなければならない。 

注記1 中核のITアセットは,ソフトウェアアセット,ITハードウェア,及びITアセットサービス

を含む。デジタル情報コンテンツアセット(例えば,ライセンスされたオーディオ及びビデ

オ記録:ワードプロセッサ及びPDFの文書)もそれらが適用範囲に含まれるならば,中核IT

アセットと考えられる。複合責任(例えば,クラウドコンピューティング又はBYOD)の状

態では,例えば,ライセンス違反のような,関連するリスクを管理するために他の組織又は

個人に責任があるアセットを含むことが適切である。 

注記2 このプロセスは,データ検証を含む。 

注記3 このプロセスは,他のビジネスプロセスの有効性及び効率性を支援するためにITアセットの

情報を提供する。 

8.4 

ライセンスマネジメント 

組織は,適用範囲内の全てのITアセットに対して,要求されるライセンス,関連資格及び違反使用につ

いてのデータ及び情報が,ライフサイクルに沿って正確に記録されることを確実にしなければならない。

調整が,定期的に資格及び違反使用の要求間で行われ,評価されることを確実にしなければならない。そ

して,検証が行われることを確実にしなければならない。 

注記 デジタル情報コンテンツアセットが適用範囲に含まれ,ライセンス条項があるならば,これら

もまた要求事項に含まれる。 

8.5 

セキュリティマネジメント 

組織は,全てのITAM活動で効果的にセキュリティを管理し,適用範囲内の全てのITアセットのために,

ITAMに関連するセキュリティ認可の要求を支援し,セキュリティの要求事項の遵守について定期的な検

証を行わなければならない。 

注記 セキュリティは,アクセス及び整合性の管理を含んでいる。セキュリティの要求事項は,ソフ

トウェアだけでなく,ハードウェア及びITアセットの情報を含む全てのITアセットに適用さ

れる。 

8.6 

他のプロセス 

組織は,6.2.2の運用プロセスにおけるITアセットマネジメントの目標で決定した任意の他のプロセス,

及び組織が定義する任意の追加プロセスの運用を確実にしなければならない。 

注記 この箇条は,附属書A及び附属書Bで定義する付加的プロセスを追加するための仕組みである。 

8.7 

外部委託及びサービス 

組織は,ITアセットマネジメントの目標の達成に影響を与え得る活動を外部委託するときは,それに伴

うリスクを評価しなければならない。組織は,外部委託したプロセス及び活動が管理されていることを確

実にしなければならない。 

注記1 基本的に外部委託事業は外部で提供されるサービスを含む。外部で提供されるサービスの例

は,サービスとしてのソフトウェア(SaaS),サービスとしてのプラットフォーム(PaaS),

及びサービスとしてのインフラストラクチャー(IaaS)と同様に,ハードウェア保守,ソフ

26 

X 0164-1:2019 (ISO/IEC 19770-1:2017) 

  

トウェアサポート及びトレーニングである。しかしながら,外部委託は,一般的に比較的包

括的なサービスに適用されるが,個別のサービスは一般的に,より限られた範囲と考えられ

ている。 

注記2 外部委託及びサービスの管理についての更なる情報は,JIS Q 20000-1を参照。  

組織が,内部組織及び外部のITサービス提供者の両方で共有された,ITアセット又はデータ,及び情

報で構成されるITインフラストラクチャを利用するとき,組織は,関連するリスクを評価しなければなら

ない。組織は,複合責任を含むプロセス及びITインフラストラクチャが管理されることを確実にしなけれ

ばならない。 

注記3 複合責任を含んだ例は,異なる複数の関係者が,使用中のエンドユーザのデバイス(携帯運

用者の組織対サードパーティ),使用中のサーバ(クラウドコンピューティングの組織対サー

ドパーティ),ライセンスされているソフトウェア(組織又はサードパーティ),及び保持さ

れ処理されているデータ(組織,個人,又はサードパーティ)を所有する場合である。 

組織は,これらの活動をどのように管理し,組織のITアセットマネジメントシステムに統合するかを決

定し,文書化しなければならない。組織は,次の事項を決定しなければならない。 

a) 外部委託するプロセス及び活動(外部委託するプロセス,活動の範囲及び境界,並びにそれらと組織

自体のプロセス及び活動とのインタフェースを含む。) 

b) 含まれる複合責任の意味(関連するリスク,及びどのように複合責任が,それらの責任の説明責任と

ともに効果的に履行されるかを含む。) 

c) 外部委託したプロセス及び活動を管理するための組織内の責任及び権限 

d) 組織と契約したサービス提供者との間で,知識及び情報を共有するためのプロセス及び範囲 

活動を外部委託するときは,組織は,次の事項を確実にしなければならない。 

− 外部委託した資源が7.2,7.3及び7.6の要求事項を満たす。 

− 外部委託した活動のパフォーマンスを,9.1に従って監視する。 

8.8 

組織と要員との間の複合責任 

適用範囲でITアセットの組織とその組織の要員との間に複合所有権が存在し,それらのアセットに情報

が保持されているとき,この状況は,組織のITアセットマネジメントの目標の達成に影響を与える。この

場合,組織は,関連するリスクを評価し,これらの状況を管理することを確実にしなければならない。 

注記1 組織とその要員との間に複合所有権が関与する状況は,要員が組織活動として彼ら自身のデ

バイスを使用する(一般的には“Bring-Your-Own-Device”又は“BYOD”と呼ばれる。)状況

を含む。また,個人のデータ又は情報が組織の資源に保持されているような状況で,個人の

目的のために組織のITアセットを使用する状況を含む。 

組織が,ITアセット,データ又は情報のために,組織とその要員との間の複合責任の状態でITインフ

ラストラクチャを利用するとき,組織は,関連するリスクを評価しなければならない。組織は,複合責任

のようなものを含むプロセス及びITインフラストラクチャを管理することを,確実にしなければならない。 

注記2 複合責任を含んだ例は,異なる複数の関係者が,使用中のエンドユーザのデバイス(携帯運

用者の組織対サードパーティ),ライセンスされているソフトウェア(組織,個人又はサード

パーティ),及び保持され,処理されるデータ又は情報(組織,個人,又はサードパーティ)

を所有する場合である。 

組織は,どのようにこのような活動を管理し,組織のITアセットマネジメントシステムに統合するかを

決定し,文書化しなければならない。組織は,次のような事項を決定しなければならない。 

27 

X 0164-1:2019 (ISO/IEC 19770-1:2017) 

a) 組織とその要員との間の複合責任に影響されるプロセス及び活動(影響を受けるプロセス,活動の適

用範囲及び境界を含む。) 

b) 含まれる複合責任の意味(関連するリスクとどのように複合責任がそれらの責任の説明責任で効果的

に履行されるかを含む。) 

c) 複合責任を含んだ状態を管理するための組織内での責任及び権限 

d) 複合責任を含んだ状態で,組織とその要員との間で交わされた知識及び情報を共有するプロセス及び

適用範囲 

複合責任を含んだ状態にあるとき,組織は次のことを確実にしなければならない。 

− 複合責任の資源が7.2,7.3及び7.6の要求事項を満たす。 

− 複合責任の活動のパフォーマンスを,9.1に従って監視する。 

パフォーマンス評価 

9.1 

監視,測定,分析及び評価 

組織は,次の事項を決定しなければならない。 

a) 監視及び測定が必要な対象 

b) 該当する場合には,必ず,妥当な結果を確実にするための,監視,測定,分析及び評価の方法 

c) 監視及び測定の実施時期 

d) 監視及び測定の結果の,分析及び評価の時期 

組織は,監視,測定,分析及び評価の結果の証拠として,適切な文書化した情報を保持しなければなら

ない。 

組織は,次の事項を評価及び報告しなければならない。 

− ITアセットのパフォーマンス 

− ITアセットマネジメントのパフォーマンス(財務及び非財務上のパフォーマンスを含む。) 

− ITアセットマネジメントシステムの有効性 

組織は,リスク及び機会を管理するためのプロセスの有効性を評価し,報告しなければならない。 

組織は,監視及び測定によって,組織が4.2の要求事項を満たすことを可能にすることを確実にしなけ

ればならない。 

9.2 

内部監査 

9.2.1 

組織は,ITアセットマネジメントシステムが次の状況にあるか否かに関して決定することを助け

る情報を提供するために,あらかじめ定めた間隔で内部監査を実施しなければならない。 

a) 次の事項に適合している。 

− ITアセットマネジメントシステムに関して,組織自体が規定した要求事項 

− この規格の要求事項 

b) 有効に実施され,維持されている。 

9.2.2 

組織は,次に示す事項を行わなければならない。 

a) 頻度,方法,責任,及び計画に関する要求事項及び報告を含む,監査プログラムの計画,確立,実施

及び維持。監査プログラムは,関連するプロセスの重要性及び前回までの監査の結果を考慮に入れな

ければならない。 

b) 各監査について,監査基準及び監査範囲を明確にする。 

c) 監査プロセスの客観性及び公平性を確保するために,監査員を選定し,監査を実施する。 

28 

X 0164-1:2019 (ISO/IEC 19770-1:2017) 

  

d) 監査の結果を関連する管理層に報告することを確実にする。 

e) 監査プログラムの実施及び監査結果の証拠として,文書化した情報を保持する。 

9.3 

マネジメントレビュー 

トップマネジメントは,組織のITアセットマネジメントシステムが,引き続き,適切,妥当かつ有効で

あることを確実にするために,あらかじめ定めた間隔で,ITアセットマネジメントシステムをレビューし

なければならない。 

マネジメントレビューは,次の事項を考慮しなければならない。 

a) 前回までのマネジメントレビューの結果とった処置の状況 

b) ITアセットマネジメントシステムに関連する外部及び内部の課題の変化 

c) 次に示す傾向を含めた,ITアセットマネジメントパフォーマンスに関する情報 

− 不適合及び是正処置 

− 監視及び測定の結果 

− 監査結果 

d) ITアセットマネジメントの活動 

e) 継続的改善の機会 

f) 

リスク及び機会のプロファイルの変化 

マネジメントレビューからのアウトプットには,継続的改善の機会,及びITアセットマネジメントシス

テムのあらゆる変更(8.2参照)の必要性に関する決定を含めなければならない。 

組織は,マネジメントレビューの結果の証拠として,文書化した情報を保持しなければならない。 

10 改善 

10.1 不適合及び是正処置 

ITアセット,ITアセットマネジメント又はITアセットマネジメントシステムに,不適合又はインシデ

ントが発生した場合,組織は,次の事項を行わなければならない。 

a) その不適合又はインシデントに対処し,該当する場合には,必ず,次の事項を行う。 

− その不適合を管理し,修正するための処置をとる。 

− その不適合によって起こった結果に対処する。 

b) その不適合又はインシデントが再発又は他のところで発生しないようにするため,次の事項によって,

その不適合又はインシデントの原因を除去するための処置をとる必要性を評価する。 

− その不適合又はインシデントをレビューする。 

− その不適合又はインシデントの原因を明確にする。 

− 類似の不適合の有無,又はそれが発生する可能性を明確にする。 

c) 必要な処置を実施する。 

d) とった全ての是正処置の有効性をレビューする。 

e) 必要な場合には,ITアセットマネジメントシステムの変更を行う(8.2参照)。 

是正処置は,検出された不適合又はインシデントのもつ影響に応じたものでなければならない。 

組織は,次に示す事項の証拠として,文書化した情報を保持しなければならない。 

− 不適合又はインシデントの性質及びそれに対してとったあらゆる処置 

− 是正処置の結果 

29 

X 0164-1:2019 (ISO/IEC 19770-1:2017) 

10.2 予測対応処置 

組織は,ITアセットのパフォーマンスにおける潜在的な不具合を事前に特定するプロセスを確立し,予

測対応処置の必要性を評価しなければならない。 

潜在的な不適合が特定された場合は,組織は10.1の要求事項を適用しなければならない。 

10.3 継続的改善 

組織は,ITアセットマネジメント及びITアセットマネジメントシステムの適切性,妥当性及び有効性

を継続的に改善しなければならない。 

background image

30 

X 0164-1:2019 (ISO/IEC 19770-1:2017) 

  

附属書A 

(規定) 

ITアセットマネジメントの運用プロセス及び目標 

この附属書は,ITアセットマネジメントシステムに含めて考えられなければならないITアセットマネ

ジメントの運用プロセス及び目標を規定している。適用宣言書(6.2.2)は,含まれているか,又は除外さ

れているかに関する決定を文書化している。 

この附属書は,この規格の本体で次のように参照され,使用される。 

− 6.2.1 ITアセットマネジメント運用プロセスの定義 

− 6.2.2 運用プロセスにおけるITアセットマネジメントの目標 

− 箇条8の運用は,特に次を含んでいる。 

− 8.2 変更のマネジメント 

− 8.3 中核データマネジメント 

− 8.4 ライセンスマネジメント 

− 8.5 セキュリティマネジメント 

− 8.6 他のプロセス 

最初の4プロセスの目標は,既に,この規格の本体に含まれており,したがって,常に含まなければな

らない(8.2,8.3,8.4,及び8.5)。 

プロセスの種類は,ライフサイクルマネジメントか又は機能マネジメントのいずれかである。ライフサ

イクルマネジメントプロセスは,ITアセットそれ自身のライフサイクルのステージを反映したものである。

例として,調達,リリース,展開などがある。対照的に機能的マネジメントプロセスは,一般的に複数の

ライフサイクルプロセスに横断的に適用される(そのため,“cross-cutting”プロセスという場合がある。)。

例として,変更マネジメント,ライセンスマネジメント,関係,契約マネジメントなどがある。 

図A.1にプロセス種類ごとのプロセス領域の概要を示す。 

図A.1−プロセス種類ごとのITAMプロセス領域 

中核 

background image

31 

X 0164-1:2019 (ISO/IEC 19770-1:2017) 

表A.1にプロセス種類ごとのプロセスの目標の詳細を示す。 

表A.1−プロセス種類ごとのプロセス目標 

プロセス 

プロセスの目標 

ITアセットライフサイクルマネジメントプロセス 

仕様 

ITアセットにおける仕様プロセスの目標は,要求事項を適切に要求し,分析し,適切な代替案
をデザインし,それらの要件に合うことを評価することを確実にすることである。 

調達 

ITアセットにおける調達プロセスの目標は,適用範囲のアセットが管理された方法及び適切な
記録で取得することを確実にすることである。 

開発 

ITアセットに関する開発プロセスの目標は,適用範囲のITアセット,特にソフトウェアを,
ITAMの要求事項を満たす方法で開発することを確実にすることである。 

リリース 

ITアセットに関するITアセットリリースマネジメントプロセスの目標は,適用範囲のITアセ
ットのリリースをITAMの要求事項を支援するように計画し,実行することを確実にすること
である。 

展開 

ITAMにおけるITアセット展開プロセスの目標は,適用範囲のITアセットの配付及び再展開
をITAMの要求事項を支援するように実行することを確実にすることである。 

運用 

ITAMにおけるITアセット運用プロセスの目標は,適用範囲のITアセットを利用する運用の
プロセスをITAMの要求事項を支援するように実施することを確実にすることである。 
注記 エンドユーザ及びオペレータの両方によって実施される運用プロセスは,ITアセットの

使用(例えば,バックアップ,他のハウスキーピングタスク),監視(例えば,例外処理
のため,また,使用状況及びパフォーマンス),及び最適化(例えば,性能又は費用対効
果を改善するための構成パラメタの調整)を含んでいる。他のITAMS要求事項への多く
の統合がある。例として,許容範囲の使用方針の遵守がこのプロセスを統合する。ライ
センスマネジメントのような,ライセンスの展開を最適化するために多くのITアセット
の機能的マネジメントプロセスが,このプロセスと統合する。 

廃棄 

ITアセットに関する廃棄プロセスの目標は,適用範囲のITアセットを現在の使用から,企業
方針及び全ての記録保持要件に合ったところで,その後の再利用,リサイクル及び廃棄を決め,
削除することである。 

background image

32 

X 0164-1:2019 (ISO/IEC 19770-1:2017) 

  

表A.1−プロセス種類ごとのプロセス目標(続き) 

プロセス 

プロセスの目標 

ITアセット機能的マネジメントプロセス 

変更のマネジメント 

変更マネジメントプロセスの目標は,計画した変更を管理し,意図しない変更によって生じた
結果をレビューし,必要に応じて,有害な影響を軽減する処置を行うことである。 

中核データマネジメ
ント 

中核データマネジメントプロセスの目標は,適用範囲内の全ての中核となるITアセットについ
て要求されるデータがライフサイクルに沿って正確に記録されること,そして,承認の有無に
かかわらず,全てのITアセットの文書化した情報があることを確実にすることである。 
注記1 中核のITアセットは,ソフトウェアアセット,ITハードウェア及びITアセットサー

ビスを含む。デジタル情報コンテンツアセット(例えば,ライセンスされたオーディ
オ及びビデオ記録:ワードプロセッサ及びPDFの文書)もそれらが適用範囲に含まれ
るならば,中核ITアセットと考えられる。複合責任(例えば,クラウドコンピューテ
ィング又はBYOD)の状態では,例えば,ライセンス違反のような,関連するリスク
を管理するために,他の組織又は個人に責任があるアセットを含むことが適切である。 

注記2 このプロセスは,データ検証を含む。 
注記3 このプロセスは,ITアセットの情報を他のビジネスプロセスの有効性及び効率性を支

援するために提供する。 

ライセンスマネジメ
ント 

ライセンスマネジメントプロセスの目標は,適用範囲内の全てのITアセットのために,権利に
関連すること及び権利に反する使用方法といったライセンスで要求されるデータ及び情報が,
ライフサイクルに沿って正確に記録されること,調整が行われ,定期的に要求及び権利に反す
る使用方法及び権利が評価されること,並びに検証が行われることを確実にしなければならな
い。 
注記 デジタル情報コンテンツのアセットが適用範囲に含まれ,ライセンス条項があるならば,

これらも,また,要求事項に含まれる。 

セキュリティマネジ
メント 

セキュリティマネジメントプロセスの目標は,全てのITAM活動で効果的にセキュリティを管
理し,適用範囲内の全てのITアセットについて,ITAMに関連するセキュリティ認可の要求を
支援し,セキュリティの要求事項の遵守について定期的な検証を行うことである。 
注記 セキュリティは,アクセス及び整合性管理を含んでいる。セキュリティの要求事項は,

ソフトウェアだけでなくITアセットについてのハードウェア及び情報を含む全てのIT
アセットに適用される。 

関係及び契約マネジ
メント 

ITアセットのための関係及び契約マネジメントプロセスの目標は,外部及び内部の他の組織と
の関連を管理し,ITアセットマネジメントサービス品質のシームレスな提供を保証し,適用範
囲内のITアセット及びサービスのための全ての契約を管理することである。 
注記 このプロセスは,(ライセンス遵守のためのより上位の)契約条項の遵守の検証を含んで

いる。 

財務マネジメント 

財務マネジメントプロセスの目標は,ITアセットに関連する財務上の費用及び価値を監視し,
管理することを確実にすることであり,費用対効果を含む。 

サービスレベルマネ
ジメント 

サービスレベルマネジメントプロセスの目標は,適用範囲内のITアセットのためのITAMに関
連するサービスの本質的なレベルを定義,記録及び管理することである。 
注記 このプロセスは,サポート情報の検証を含んでいる。 

他のリスクマネジメ
ント 

他のリスクマネジメントプロセスの目標は,他の機能的なプロセス領域でカバーされない認識
されたリスクを管理するためのものである。 
注記 このプロセスはリスクマネジメントの有効性の検証を含んでいる。 

background image

33 

X 0164-1:2019 (ISO/IEC 19770-1:2017) 

附属書B 

(参考) 

ITアセットマネジメントにおける段階定義 

この附属書は,この規格を参考として使うための段階の概要を記載している。 

段階は,附属書Aのプロセスの簡単な区分けであり,参照を単純にするために定義している。段階は,

必ずしもプロセスの実施における順序について反映していない。それらの段階は,多くの組織,特に小さ

な組織が,全ての運用プロセスの導入は現実的ではないが,SAM及びITAMの潜在的な恩恵の全てを受け

なくてもソフトウェアライセンスの遵守を達成し,維持しているという組織に妥当な保証を与える何かが

欲しいという市場のフィードバックに応じて作られている。 

図B.1で示している段階を,次に示す。 

・ 段階1:信頼のおけるデータ。この段階を達成することは,管理するためにはもっているものを知る

ということを意味している。これは,ライセンス遵守についての妥当な保証をもっていることを含ん

でいる。 

・ 段階2:ライフサイクル統合。この段階を達成することは,ITアセットのライフサイクルに沿って素

晴らしい効率及びコスト対効果を達成していることを意味している。 

・ 段階3:最適化。この段階を達成することは,部門横断的な機能的マネジメントプロセス領域におい

て,より素晴らしい効率及び有効性を示していることを意味している。 

図B.1−ITAMの段階 

段階は累積的であること,すなわち,段階2の要求事項に適合したい組織は,段階1の要求事項も,ま

た,適合していることが期待される。同様に段階3に適合したい組織は,段階1及び段階2の両方の要求

事項にも,また,適合していることが期待される。 

background image

34 

X 0164-1:2019 (ISO/IEC 19770-1:2017) 

  

図B.2に,段階ごとの附属書Aからのプロセス領域の概要を示す。 

図B.2−段階ごとのITAM プロセス領域 

中核 

35 

X 0164-1:2019 (ISO/IEC 19770-1:2017) 

附属書C 
(参考) 

ITアセットの特徴 

この附属書は,ITアセットマネジメントシステム(ITAMS)のための追加,又はより詳細の要求事項を

非IT的な物理アセットの要求事項と比較できるようにITアセットの特徴について概要を記載する。情報

として,序文及びITAMSのための情報要求事項で考察した課題の一覧として,7.5(情報に関する要求事

項)から参照している。 

− ソフトウェアの特徴 ソフトウェアは,ITアセットマネジメント(ITAM)で管理される最も重要な

アセットの一つである。特別な管理のための要件を必要とする多くの特徴がある。 

− 修正,複写,及び配付の容易性 ソフトウェアは,(一般的に理解されているものとして)物理的

でなく,電子的なものであるため,修正,複写,及び配付が簡単に行える。このことは,主要な

(悪意の有無に関係なく)未承認のソフトウェア修正及び利用を産み出している。 

− 技術的な複雑性 ソフトウェアアセットは,一般的に,次に示すように,物理アセットに比べ多

くの点でより複雑である。 

− 場所の多様性 ソフトウェアは一つの場所に保管されインストールされるが,多くの組織及

び場所からアクセスされ,使用される。例えば,仮想マシンの使用,サービスとしてのソフ

トウェア(SaaS),サービスとしてのプラットフォーム(PaaS)及びサービスとしてのインフ

ラストラクチャー(IaaS)のようなクラウドサービスであり,サーバベースのソフトウェア

に対して,ネットワークからアクセスされる。 

− コンポーネントの多さ 一般的にソフトウェアのためのコンポーネントは,物理アセットよ

りも多い。例えば,典型的なパーソナルコンピュータには数十万のファイルがあり,個人の

コンピュータは,一般にかなり複雑である。 

− 修正の多さ 一般にソフトウェアアセットの変更は高頻度で行われ,物理アセットの変更の

頻度よりも速く行われる。 

− コンポーネントの版数管理 セキュリティ,互換性及びライセンスを含む,多くの用途のた

めに管理されることが必要なソフトウェアコンポーネントの版数に対しては,強い要件があ

る。 

− 用法の測定 しばしば,ITアセットの利用状況を,特にソフトウェアで,一般的な管理目的

だけでなく契約遵守のために必要とする。ソフトウェア利用状況の測定は,ハードウェア及

び他の測定,例えば,プロセッサ数又はコア数,ユーザ数に依存する。 

− ライセンス ライセンスのマネジメント,及びライセンス条項の遵守は,ソフトウェアマネジメ

ントのための主要な要求事項であり,物理アセットでは一般的に要求されない。ソフトウェアは

複雑なライセンス条項での典型的な対象である。一方,多くの物理アセットにもライセンス条項

(例えば,使用料の支払いのための)はあるが,多くのライセンス販売業者を含むことはまれで

あり,多くの異なるライセンス条項もまれである。さらに,ライセンス条項自身が,業界,個々

の出版社,及び個々の出版社の製品で頻繁に変化する。 

− ソフトウェアとハードウェアとの間での曖昧性 物理アセット及び特に増加傾向にあるITハードウ

ェアは,大抵ソフトウェアコンポーネントをもっており,より典型的に純粋な物理的であると考えら

36 

X 0164-1:2019 (ISO/IEC 19770-1:2017) 

  

れているものでさえ,しばしば,ソフトウェア制御の問題を生じさせている。例を次に示す。 

− 組込みソフトウェア 物理アセットはますます制御及び/又はモニタリングのためのソフトウェ

アを組み込んでいる。 

− ハードウェア機能へのソフトウェア導入 ハードウェア機能は徐々にソフトウェア[例えば,仮

想化及びエミュレーション,ソフトウェア定義ネットワーク(SDN)]で実装される。 

− 媒体 媒体は,物理アセット及びソフトウェアアセットの両方に適用されるものであり,両方の

種別で管理が要求されている。 

− 高まる廃棄・再利用の考察 ITアセットの廃棄・再利用は,一般に物理アセットより高い需要の要求

事項となっている。これは,データ及び情報の保護のための必要性に対する義務であり,ITアセット

のライフサイクルの破棄時点で他への漏えい(洩)に対する保護が重要になっている。 

− ソフトウェア,データ及び情報 ITアセットでは,廃棄・再利用されるハードウェア上のソフト

ウェア,データ及び情報が管理されることが必要である。例えば,秘密情報及び個人情報の漏え

い(洩)を避ける必要があり,並びにソフトウェアの遵守問題を避ける必要がある。 

− 電子廃棄物 ITAMの一般的な要求事項として考察する必要がある点として,管轄区域のかなり

の数の電子廃棄物の廃棄が管理下で行われることは,主要な要求事項である。 

− 高まる新たな管理の課題 アセットのマネジメントに関して,特別な懸念を与えるようなITアセット

の管理における特徴的な問題がある。 

− 複合モードの所有権・責任 複合所有権の状態で使われているITアセットが,今日普通になって

いる。例えば,異なる関係者が,使用中のエンドユーザデバイス(組織対個人又は更にサードパ

ーティ),使用中のサーバ(クラウドコンピューティングのような組織対サードパーティ),使用

中のソフトウェア(組織,個人,又はサードパーティ),並びに保持され及び処理されているデー

タ及び情報(組織,個人,又はサードパーティ)を所有する。 

− ITAMシステムと財務システムとの間の非連携 ほとんどのITアセットのコストは小さいので,

一般にアセットとしてよりも,むしろ費用として扱われ,ITAMと財務システムとの間の調整で

大きな問題となっている。これらのシステムが調整できなければ,財務及び執行役員における

ITAMの信用は弱体化される。 

− 技術規定と契約条項との間の非連携 技術的能力は急速に変化しているので,ITアセットの実際

の使用とそれらの使用を制限する,契約条項(技術的な使用にしばしば遅れをとっている。)とは,

頻繁に合わなくなっている。 

37 

X 0164-1:2019 (ISO/IEC 19770-1:2017) 

附属書D 
(参考) 

JIS Q 55001との違い 

序文に記載したように,この規格は,アセットマネジメントのためのマネジメントシステムの確立,実

施,維持及び改善の要求事項を規定しているJIS Q 55001:2017(アセットマネジメント−マネジメントシ

ステム−要求事項)に追加する要求事項を提供している。この規格は追加的,又はより詳細なITアセット

のマネジメントに必要とされている要求事項を含んでいる。 

この規格は,序文,附属書,及び参考文献を除き,基本として,JIS Q 55001:2017の全てを使い,適切

にテキストを追加することによって目的を達成している(序文のほとんどは,JIS Q 55001:2017の序文の

内容を記載している。)。序文は追加する方式で特徴を説明している。さらに,用語及び定義には,JIS Q 

55000:2017で定義された用語も含んでいる。 

この規格とJIS Q 55000:2017及びJIS Q 55001:2017のテキストとの間で次のような変更点がある。 

a) リスク対応 この規格は,JIS Q 27001:2014で使われているアプローチを採用している。それは,6.1.2

(ITアセットリスクアセスメント)及び6.1.3(ITアセットリスク対応)である。JIS Q 55001の6.2.2

(アセットマネジメントの目標及びそれを達成するための計画策定)におけるリスクに対する説明は

比較的少ないので,この規格の6.2.4(ITアセットマネジメントの目標を達成するための計画策定)で

は,これを削除し,注記を追加した。 

b) 必須のJISテキスト 必須のJISテキストに対応するために幾つかの語句を変更した。 

1) 3.9 “監査”の定義。注記2を追加した。 

2) 3.33 “マネジメントシステム”の定義。1語を追加した。 

3) 3.37 “目標”の定義。1語を追加した。 

4) 3.42 “パフォーマンス”の定義。“measurable”のつづ(綴)りを修正した。 

5) 3.43 “方針”の定義。(この規格では必要がないため,対応国際規格の内容を削除した。) 

6) 3.48 “リスク”の定義。附属書SLに適合するためのテキストを追加した。 

7) 3.52 “ステークホルダー”の定義。一つの言葉を変更した。 

8) 4.2  (ステークホルダーのニーズ及び期待の理解)第2リストに1語を追加した。 

9) 5.1  (リーダーシップ及びコミットメント)第1リストに1文を追加した。第3リストに1語を

追加した。 

10) 7.3 (認識) 第4リストの1語を修正した。 

11) 7.6.5 (文書化した情報の管理) 注記の語を修正した。 

12) 8.2 (変更のマネジメント) 第3パラグラフで1語を変更した。 

13) 9.1 (監視,測定,分析及び評価) 最終パラグラフで抜けている1文を追加した。 

14) 9.2.2 a)  1か所を修正して1語に変更した。 

15) 10.1 (不適合及び是正処置) b)の1か所を修正した。 

c) 自己参照 (この規格では必要がないため,対応国際規格の内容を削除した。) 

38 

X 0164-1:2019 (ISO/IEC 19770-1:2017) 

  

参考文献 

[1] JIS Q 55001:2017 アセットマネジメント−マネジメントシステム−要求事項 

注記 原国際規格では,ISO 55001:2014,Asset management−Management systems−Requirementsを

記載している。 

[2] JIS Q 9000 品質マネジメントシステム−基本及び用語 

注記 原国際規格では,ISO 9000,Quality management systems−Fundamentals and vocabularyを記載

している。 

[3] JIS Q 9001 品質マネジメントシステム−要求事項 

注記 原国際規格では,ISO 9001,Quality management systems−Requirementsを記載している。 

[4] JIS Q 9004 組織の持続的成功のための運営管理−品質マネジメントアプローチ 

注記 原国際規格では,ISO 9004,Managing for the sustained success of an organization−A quality 

management approachを記載している。 

[5] JIS Q 14001 環境マネジメントシステム−要求事項及び利用の手引 

注記 原国際規格では,ISO 14001,Environmental management systems−Requirements with guidance for 

useを記載している。 

[6] JIS Q 19011 マネジメントシステム監査のための指針 

注記 原国際規格では,ISO 19011,Guidelines for auditing management systemsを記載している。 

[7] ISO/IEC 19770-5,Information technology−IT asset management−Part 5: Overview and vocabulary 

[8] JIS Q 20000-1 情報技術−サービスマネジメント−第1部:サービスマネジメントシステム要求事項 

注記 原国際規格では,ISO/IEC 20000-1,Information technology−Service management−Part 1: 

Service management system requirementsを記載している。 

[9] JIS Q 20000-2 情報技術−サービスマネジメント−第2部:サービスマネジメントシステムの適用の

手引 

注記 原国際規格では,ISO/IEC 20000-2,Information technology−Service management−Part 2: 

Guidance on the application of service management systemsを記載している。 

[10] JIS Q 27001 情報技術−セキュリティ技術−情報セキュリティマネジメントシステム−要求事項 

注記 原国際規格では,ISO/IEC 27001,Information technology−Security techniques−Information 

security management systems−Requirementsを記載している。 

[11] JIS Q 27002 情報技術−セキュリティ技術−情報セキュリティ管理策の実践のための規範 

注記 原国際規格では,ISO/IEC 27002,Information technology−Security techniques−Code of practice 

for information security controlsを記載している。 

[12] ISO/IEC 27005,Information technology−Security techniques−Information security risk management 

[13] JIS Q 22301 社会セキュリティ−事業継続マネジメントシステム−要求事項 

注記 原国際規格では,ISO 22301,Societal security−Business continuity management systems−

Requirementsを記載している。 

[14] JIS Q 31000 リスクマネジメント−原則及び指針 

注記 原国際規格では,ISO 31000:2009,Risk management−Principles and guidelinesを記載している。 

[15] ISO 37500,Guidance on outsourcing 

39 

X 0164-1:2019 (ISO/IEC 19770-1:2017) 

[16] JIS Q 55000:2017 アセットマネジメント−概要,原則及び用語 

注記 原国際規格では,ISO 55000:2014,Asset management−Overview, principles and terminologyを

記載している。 

[17] JIS Q 55002:2017 アセットマネジメント−マネジメントシステム−JIS Q 55001の適用のための指針 

注記 原国際規格では,ISO 55002:2014,Asset management−Management systems−Guidelines on the 

application of ISO 55001を記載している。 

[18] JIS Q 0073:2010 リスクマネジメント−用語 

注記 原国際規格では,ISO Guide 73:2009,Risk management−Vocabularyを記載している。 

[19] JIS Q 31010 リスクマネジメント−リスクアセスメント技法 

注記 原国際規格では,IEC/ISO 31010,Risk management−Risk assessment techniquesを記載してい

る。 

[20] ASTM E2132,Standard Practice for Inventory Verification: Electronic and Physical Inventory of Assets