Undgå problemer ved næste it-audit: Ny ISO-standard kan hjælpe dig med god styring dine af it-assets

Klumme: Ny ISO standard gør det nemmere for dig at få overblik over licenser og rettigheder, så du for eksempel kan være 'home free,' når du rammes af en audit fra en it-leverandør.

Artikel top billede

Denne klumme er et debatindlæg og er alene udtryk for skribentens synspunkter.
Hvis du til tider finder det vanskeligt at få styr på dine software-aktiver, så er der nu hjælp at hente i form af en ny standard til styring af software, eller i lidt bredere forstand, it assets, som netop er publiceret af ISO, den internationale standardiserings institution.

Standarden hedder ISO 19770-1:2017, og den er egentlig ikke så ny endda.

Faktisk er det en opdatering af den forrige version ISO 19770-1:2012, men det er dog ikke nogen lille opdatering.

På lange stræk er det en reel omskrivning af standarden, så den nu lever op til kravene til en ”rigtig” management systems standard på linie med for eksempel ISO 27001.

Hvad skal du med en ny standard til styring af it assets?

I relation til it asset management (ITAM) hjælper standarden dig med at løse et meget konkret problem, der handler om at reducere risiko og hjælpe med at etablere en best practice i styringen af it assets.

19770-x-familien dækker alle de væsentlige områder vedrørende software-styring, nemlig livscyklus-processer og best practice, software tagging (mærkning), entitlements (de rettigheder, man har erhvervet) mm.

Standarden er oprindeligt tænkt som en software-standard, men over årene er det blevet mere og mere klart, at det ikke giver mening at betragte software som en ø.

Der er gennem tiden lavet ”mapping” over mod andre beslægtede områder som for eksempel it service management.

Det er også blevet klart, at man ikke kan tale om software asset-styring uden også at se på den hardware, som softwaren kører på - altså hardware asset management.

Og i den netop udgivne version – 19770-1:2017, har man altså taget konsekvensen og benævner nu ikke længere standarden som en SAM-standard, men som en ITAM-standard.

Designet som management system standard

Den nye standard adskiller sig primært fra tidligere versioner ved, at dens format er som en management system standard. Og hvad betyder så det?

Jo, i hovedtræk betyder det, at man har den samme tilgang til eksempelvis risk management, som man kender det fra ikke mindst ISO 27001.

Men også, at den er kompatibel med andre beslægtede standarder som ISO 9001 og ISO 20000-1 for it service management (denne sidste er i proces omkring en lignende omskrivning).

Når disse standarder på den måde får sammenlignelige metoder og tilgang, så opnår vi blandt andet, at det bliver enklere at fastlægge governance-strukturer, der dækker flere discipliner og fagområder.

Til gengæld, og det er så omkostningen ved det, så bliver de konkrete anbefalinger mindre konkrete. 

Det vil sige, at det i større grad er op til den enkelte virksomhed selv at fastlægge, hvordan man vil leve op til standarden.

Det kan selvfølgelig give nogle udfordringer, men omvendt må vi også erkende, at best practice omkring styring af it-aktiver må antages at være væsentlig forskellig hos en global bankvirksomhed kontra en lokal produktionsvirksomhed.

Hvorfor er det så vigtigt for dig?

Nu er der nok nogen der tænker – ”jamen hvorfor er det egentlig så vigtigt med de standarder, og behøver jeg egentlig bruge krudt på at holde styr på it-aktiverne?”

Tja, helt overordnet er det jo op til den enkelte virksomhed selv at beslutte sig for det niveau og beredskab, man ønsker sig og finder nødvendigt for at leve op til sine strategiske målsætninger.

Men i mange organisationer forventer og tror man, at selvfølgelig har man da styr på hvilke it-aktiver, man ejer og selvfølgelig har vi da klare procedurer for at håndtere det. Selvfølgelig… Og sådan burde det også være, men det er langt fra virkeligheden.

                      ”You can’t manage what you don’t know”

 Og det er her, den nye standard kan hjælpe.

For med den bliver virksomhederne i stand til at implementere den styring, de selv ønsker eller kræver, gennem at definere standarder for

1) hvordan software giver til sig kende (software tagging)

og

2) på løbende basis at holde styr på de erhvervede rettigheder (entitlements – 19770-3) gennem fastlæggelse af best practice-livscyklus og processer.

På baggrund af standarder og best practices vil virksomheden således kunne komme i kontrol med styringen af it-aktiverne og være klædt på til at imødegå en eventuel software audit eller, helt aktuelt, imødegå kravene vedrørende GDPR (persondataforordningen).

Og hvad med cybertruslen?

For mange har den primære driver for at holde styr på software-aktiverne de seneste år været fokuseret på at undgå software in-compliance i forbindelse med de mange audits som software-leverandørerne gennemfører.

Men et helt andet – og mindst lige så gyldig motivation -  er cybertruslen.

Op mod 3 ud af 4 angreb sker mod web-applikationer hvor der dagligt bliver identificeret nye sårbarheder.

Både fsv. angår Wannacry og Equifax, som er nogle af de mest kendte angreb det sidste års tid, var det manglende patchning, som følge af ringe standarder for it asset-styringen, der var årsag til angrebenes succes. Gode praksisser ville kunne have afhjulpet dette.

Du skal stille til krav – både udadtil og indadtil

Som virksomhed skal du stille krav til dine software leverandører.

Det gælder til publisherne (Microsoft, Oracle og andre) om, at de efterlever de internationale standarder, som de er lagt ud fra ISO’s side, og det gælder ikke mindst leverandører af de værktøjer, man bør tage i anvendelse for at sikre efterlevelse af up-to-date standarder for effektiv it asset-styring.

På samme måde bør du være bevidst om, at en effektiv it asset-styring starter hjemme - hos dig selv.

Kig på organisationen. Er der et tilstrækkeligt modenhedsniveau i forhold til dette væsentlige område?

Kig på processerne. Har vi implementeret et sæt af politikker og procedurer, der gør os i stand til at håndtere udfordringerne effektivt?

Er vi bevidste om truslerne – og har vi taget de forholdsregler vi finder nødvendige for at imødegå disse?

Fastlagte standarder og processer kan være en pain in the a.. Men vær ikke i tvivl om, at det også er god forretning.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling. 

Har du en god historie eller har du specialviden, som du synes trænger til at blive delt? 

Læs vores klumme-guidelines og send os noget tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.

Læses lige nu

    Everllence

    Senior Software Engineer - R&D

    Københavnsområdet

    Forsvarsministeriets Materiel- og Indkøbsstyrelse

    Vil du være med til at opbygge og udvikle Forsvarets dronekapacitet?

    Københavnsområdet

    Netcompany A/S

    Microsoft Operations Engineer

    Midtjylland

    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.

    Sikkerhed | Højbjerg, Aarhus

    Cyber Security Summit 2026 - Aarhus

    Lær om organisationers evne til at modstå, håndtere og komme videre efter alvorlige digitale hændelser, herunder ledelsesansvar, forretningskritiske afhængigheder og de valg, der afgør, om plan B holder, når systemer eller leverandører svigter.

    Digital transformation | Aarhus

    AI i det offentlige - Aarhus

    Hør hvordan offentlige AI-løsninger skaleres til stabil drift med reel effekt. Få erfaringer, arkitekturvalg og styringsgreb fra frontløbere. Lær at bygge fælles AI-infrastruktur med ansvarlighed, sikkerhed og compliance.

    Digital transformation | Køge

    Derfor skal du videre fra Dynamics AX – og sådan gør du

    Computerworld giver klar viden om vejen videre fra Dynamics AX. Du ser forskellen mellem AX og moderne cloud-ERP og får et konkret beslutningsgrundlag for næste skridt. Tilmeld dig og få styr på skiftet til Dynamics 365 FO eller BC.

    Se alle vores events inden for it

    Navnenyt fra it-Danmark

    Comsystem A/S har pr. 15. april 2026 ansat Iver Jakobsen som Technical Key Account Manager. Han skal især beskæftige sig med teknisk løsningssalg. Iver Jakobsen har 25 års erfaring fra TelCo-branchen. Han kommer fra en stilling som Key Account Manager hos E.ON Drive ApS. Han har tidligere beskæftiget sig med rådgivning og løsningssalg. Nyt job

    Iver Jakobsen

    Comsystem A/S

    Pinksky har pr. 1. maj 2026 ansat Alexander Skou Henkel, 39 år,  som Rådgivende konsulent. Han skal især beskæftige sig med optimering af forretningsprocesser i Microsoft platformen. Han kommer fra en stilling som IT forretningskonsulent hos Evobis ApS. Han har tidligere beskæftiget sig med forretningsudvikling i Microsoft platformen. Nyt job
    Netip A/S har pr. 1. maj 2026 ansat Steffen Bendix Søjberg som Systemkonsulent ved netIP's kontor i Rødekro. Han kommer fra en stilling som Systemadministr,og har været i branchen i mange år. Nyt job
    SAP SuccessFactors Partner Pentos har pr. 1. marts 2026 ansat Plamena Cherneva som Seniorkonsulent indenfor SuccessFactors HCM. Hun skal især beskæftige sig med konfiguration og opsætning af SuccessFactors suiten, samt udvikle smarte løsninger til mellemstore danske virksomheder. Hun kommer fra en stilling som løsningsarkitekt indenfor HR IT hos LEO Pharma. Hun har tidligere beskæftiget sig med HR procesdesign, stamdata og onboarding. Nyt job

    Plamena Cherneva

    SAP SuccessFactors Partner Pentos