GBT26236.1-2010信息技术软件资产管理过程.pdf 22页

'ICS35．080L77a雪中华人民共和国国家标准GB／T26236．1—201O／ISO／IEC19770-1：2006信息技术软件资产管理第1部分：过程Informationtechnology--Softwareassetmanagement--Part1：Processes2011-01-14发布(ISO／IEC19770—1：2006，IDT)2011_05—01实施宰瞀髅紫瓣警麟瞥星发布中国国家标准化管理委员会议1” GB／T26236．1—2010／lso／mc19770-1：2006前言⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯·引言⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯·1范围⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯1．1目的⋯⋯⋯⋯⋯⋯⋯⋯⋯1．2适用领域⋯⋯⋯⋯⋯⋯⋯1．3局限⋯⋯⋯⋯⋯⋯⋯⋯⋯2符合性⋯⋯⋯⋯⋯⋯⋯⋯⋯2．1预期用法⋯⋯⋯⋯⋯⋯⋯2．2完全符合性⋯⋯⋯⋯⋯⋯2．3协议依从性⋯⋯⋯⋯⋯⋯3术语和定义⋯⋯⋯⋯⋯⋯⋯4软件资产管理(SAM)过程⋯4．1总则⋯⋯⋯⋯⋯⋯⋯⋯·”4．2SAM控制环境⋯⋯⋯⋯⋯4．3SAM策划和实施过程⋯⋯4．4SAM库存过程⋯⋯⋯⋯⋯4．5SAM验证和依从性过程·4．6SAM运作管理过程和接口4．7SAM与生存周期过程接口参考文献⋯⋯⋯⋯⋯⋯⋯⋯⋯·目次IⅡ1124579u北HM CB／T26236．1—2010／ISO／mC19770-1：2006前言GB／T26236在《信息技术软件资产管理》的总标题下，分为如下两部分：第1部分：过程；第2部分：标签。本部分是GB／T26236的第1部分。本部分等同采用IsO／IEc19770一l：2006(信息技术软件资产管理第1部分：过程》。由于正文中出现了与相关标准的关系说明，因此相对于ISO／IEC19770—1：2006而言，做了编译性修改，增加了参考文献一章。本部分由全国信息技术标准化技术委员会提出并归口。本部分起草单位：中国电子技术标准化研究所，上海计算机软件开发中心。本部分主要起草人：李海波、冯惠、付淑云、王有志、韩红强、郑红。 GB／T26236．1—2010／xso／IEC19770-1：2006引言制定GB／T26236的本部分的目的是，使一个组织能够证明其按标准进行软件资产管理，以满足公司治理要求并确保对信息技术服务管理的有效支持。本部分旨在与ISO／IEC20000密切配合并提供有力支持。软件资产管理(SoftwareAssetManage，SAM)中的良好惯例会带来下列各种利益，而且可认证的良好惯例应使管理层和其他组织信赖这些过程的适宜性，并会在很高的可信度上达到期望的利益：a)风险管理：软件资产管理应便于业务风险管理，这些风险包括：1)信息技术服务中断的风险；2)信息技术服务质量降低的风险；3)违反法律法规方面的风险；4)由上述情形之一引起的公众形象受损的风险。b)成本控制：软件资产管理应便于下列各方面的成本控制：1)降低软件和相关资产的直接成本，例如通过安排大宗合同以便在谈判中得到更好价格，以及通过可重新部署旧的许可证而避免购买新的许可权；2)由于有更好的可利用信息而使与供方协商的时间减少、成本降低；3)通过改进财务控制而降低成本，例如通过更完善的发票核对和更精确的预测和预算；4)通过确保所需过程是有效和高效的，降低管理软件和相关资产的基础设施成本；5)降低极受SAM过程的质量影响的支持性成本，包括信息技术范围内的直接影响及最终用户方面的间接影响。c)竞争优势：软件资产管理应通过以下措施帮助组织获得竞争优势：1)由于信息可用性更加完备和更加透明而使决策质量更高(例如随着数据质量的改善，可更快更可靠地作出有关信息技术采购和系统开发的决定)；2)能够利用新的系统和功能，以快速响应市场机遇或需求；3)提供的信息技术更切合业务需求，从而确保所有的用户都能获得合适的软件和应用系统；4)当发生业务并购或拆分时，能够更快地处理相应的IT问题；5)通过将信息技术问题减少而提高员工积极性及顾客的满意度。Ⅱ 1范围GB／T26236．1—20101玲olmc19770-1：2006信息技术软件资产管理第1部分：过程1．1目的GB／T26236的本部分为软件资产(sAM)用的一整套过程建立了基线。1．2适用领域本部分适用于软件资产管理过程，各类组织均能通过实施本标准获得直接利益。GB／T26236．2为软件资产管理数据提供了规范，要求软件制造商(外部的和内部的)和工具研发方加以实施，以获得应有的全部利益。本部分是一项供组织实施的标准。未来版可能提供一种与ISO／IEC15504—2中的要求相匹配的评估框架。本部分适用于任何规模、任何地区的所有组织。该部分仅能应用于法人实体或法人实体的各部门。注：对组织范围的确定已作为软件贤产管_璎的公司糟理茁程的组成部分进行了文档化。本部分也适用于已将软件资产管理过程外包的组织，该组织负责与外包组织一起表明一直保持符合性不变。本部分能适用于所有的软件和相关资产而不论软件的性质如何。例如，既能适用于可执行软件(应用程序、操作系统、实用程序等)，又能适用于不可执行软件(字型、图片、音视频、模板、字典、文档、数据等)。注：软件资产范围的定义(软件类型应包括在范围内)要包含在SAM策划过程的SAM计划中。只要定义不含糊，组织可以以任何合适的方式定义它，例如所有软件、所有程序软件、在特定平台上的所有软件，或指定厂商的软件。下列形式的软件资产包括在本部分的范围之内：a)软件使用权，反映的是完全所有权(in组织内部开发的软件系统)和许可证(in大多数外部软件，不论是商业软件或是开源软件)；b)使用的软件，其中包含软件(包括由软件制造商和开发者提供的最初软件、软件构建版以及已安装和执行的软件)的知识产权价值；c)存放软件副本的介质。注：从财务会计的角度来看，这是最基本的类别：a)类可认为是一种资产，即使后来可完全注销。商业软件如果没有合适的许可证，b)类则可视为随商业软件实际带来的负债(而不是资产)。本部分认为b)、e)R类以及a)类都是正当的受控资产。许可证可具有簿记价值，但是，在用软件尤其应具有商业价值并需按商业资产对待。在此范围内的相关资产是需要使用或管理软件的所有其他资产。不要求使用或管理软件的这些相关资产的任何特性均超出此范围。表1提供了这些资产的示例。表1适用于本部分的非软件相关资产示例资产类型适用性示例适用于具有使用和管理范国内软件对能存储、执行或以其他方式使用软件的设备的物理硬件库存；处理器数日或处理能力；硬件是否能够胜任现场资产特征的硬件资产许可(sitelicensing)的计算 GB／T26236．I--2010／ISO／IEC19770-I：2006表1(续)资产类型适用性示例不适用于不具有使用和管理范围内硬件硬件的成本和折旧，预防性维护的重新开始日期软件资产特征的硬件资产适用于具有要求使用或管理范围内明确管理员的人员姓名，在此基础上分发许可证的人软件资产特征的其他资产员总数其他资产不适用于不具有使用或管理范围内其他人事信息的软件资产特征的其他资产1．3局限本部分并没有按照所要求符合的过程结果的方法或规程来详述软件资产管理过程。本部分没有规定一个组织实施SAM应当采取步骤的顺序，所描述的过程的顺序也没有隐含这种顺序。唯一相关的定序是由内容和周境所要求的。例如规划应在实施之前。本部分并没有按照名称、格式、显式内容和记录介质详述文档的编制。本部分不期望与任何组织的方针、规程和标准或国家的法律法规有冲突。任何这类冲突都必须在使用本部分之前加以解决。2符合性2．1预期用法本部分的要求全部包含在第4章的各个结果部分。任何符合性声称均如2．2所描述的那样，是指满足本部分规定要求的完全符合性，包括对所有外包过程的规定。对于个别的协议，正如2．3所述，也可能有选择地采用结果部分，但是，事后不能声称符合本部分。2．2完全符合性完全符合性是指以结果作为证据表明本部分的所有要求均已满足。2．3协议依从性本部分可用于帮助在供需双方之间达成协议，在这种情况下，能从本部分中选出某些条款，经修改或不经修改纳入协议。此时，双方有必要使协议达到对本部分的依从性而不是符合性。注1：供方协议通常规定组织的控制范围，例如覆盖法人实体的所有下属机构，这意味着，如果有意促成这种协议，就需要建立与此相称的SAM范围。注2：ISO／IEC的版权扩展到本部分的全部或其各组成部分。不过，对于上述条款中的特定使用，不需得到版权许可。3术语和定义下列术语和定义适用于本部分。3．1基线baseline对某一配置项(见3．2)，在其生存周期的某一特定时间，正式定名或固定下来并经正式批准的任何媒体上的版本。[GB／T8566中也有此定义]3．2配置项configurationitemcI设计成作为单个实体管理的硬件、软件或兼有硬软件的项或聚集。注：配置项在复杂度、规模和类型上变化很大，从包括硬件、软件和文档在内的整个系统，到单一模块或一个硬件小组件。2 GB／T26236．1--2010／ISO／IEC19770-1：20063．3公司董事会或等价实体corporateboardorequivalentbody在最高层对主持或管控一个组织承担法律职责的个人或一组人。3．4确定的主版本definitivemasterversion对某一软件，用于安装该软件并制作分发副本的版本。3．5分发副本distributioncopy为了安装到其他硬件上而由软件确定的主版本制作的副本(驻留在例如服务器上或光盘之类的物理介质上)。3．6有效的完全许可权effectivefulllicense对于软件，允许完全使用该软件的许可权。注；一个有效的许可权由一个或多个基本许可权组成。示例：对某一软件产品第1版的基本的完全许可权，加上对该软件产品升级到第2版的基本升级许可权，合并成为对其第2版的有效的完全许可权。3．7本地SAM责任人localSAMowner在SAM负责人(3．11)下属组织的任意层次的个人，其被确定为负责组织某一部分的SAM。3．8人员personnel拟代表组织履行职责的任何个人(包括官员、雇员及合同方)。3．9规程procedure为执行一个活动或过程所规定的方式。注：当把规程规定为一个结果时，所产生的交付件通常将规定必须做什么，由谁来做以及按什么顺序来做。这是一个比过程更加详细的规范层次。3．10过程process将输入转换为输出的相互关联的一组活动。注：当把过程规定为一个结果时，所产生的交付件通常将规定输入和输出，并对期望的活动进行总的描述。不过并不要求像规程那样详细。3．11SAM责任人SAMowner在组织高层明确为对sAM负责的个人。3．12软件资产管理softwareassetmanagementsAM对一个组织内的软件资产的有效的管理、控制和保护。3．13软件头标softwareheader对某一软件文件，为便于管理而嵌人在该文件本身的信息。注：软件头标是软件标签信息这一更具普遍性的类别之内的一种信息类型。3．14软件标签softwaretag便于软件管理的软件文件或软件包的信息，其中有些信息可留在软件头标之内。3 GB／T26236．I--2010／ISO／IEC19770-1：20063．15基本许可权underlyinglicense按照原始购置或获得的许可权使用软件——通常能与购置记录直接相联系。洼：基本许可权可带有一些相关条件，要求这种许可与另一种许可权或多种许可权一起使用，以便形成有效的完全许可权。4软件资产管理(SAM)过程4．1总则4．1．1SAM的定义以及与服务管理的关系软件资产管理是对组织内的软件资产进行有效的管理、控制和保护。本部分所定义的软件资产管理过程，与ISO／IEC20000中定义的IT服务管理密切配合并对其提供有力支持。4．1．2SAM过程概述图1给出SAM过程的概念框架，并将过程划分为以下3大类：a)SAM组织管理过程；b)核心SAM过程；c)SAM与基本过程接口。这些过程在4．2～4．7中进一步详细描述。SAM组织管理过程4．2SAM的控制环境SAM的公司治理过程SAM的角色和职责SAM的方针、过程和规程SAM能力4．3SAM的策划和实施过程SAM的规划SAM实施SAM监督与评审SAM持续改进核心SAM过程4．4SAM的库存过程软件资产标识软件资产库存管理软件资产控制4．5SAM的验证和依从性过程软件资产记录验证软件许可权授予的依从性软件资产安全依从性SAM符合性验证4．6SAM的运作管理过程和接口SAM关系和合同管理SAM财务管理SAM服务级别管理SAM安全管理SAM与基本过程接口4．7SAM与生存周期过程的接口变更管理过程软件开发过程软件部署过程问题管理过程获取过程软件发布管理过程事件管理过程退役过程图1SAM过程的框架4．1．3结果、活动和接口本部分采用标题、目标和结果这3种过程元素进行编写。本部分未包括可用于取得这些结果的行动。本部分所规定的结果设计得易于评估，但没有指出产生这些结果所需活动的广度。例如，在软件4 GB／T26236．1--2010／珏o／mc19770-1：2006资产库存管_理过程中的库存维护在逻辑上要求数据确认活动，尽管本部分并未将其作为一种结果加以援引。(对于数据的完整性，本部分是通过SAM的确认和依从性过程得以确保的。)最重要活动是与其他过程的接口活动。例如，当购置(或“获得”)一个软件资产时，要达到的目标是“软件和相关资产密取过程的目标就是确保这些资产以受控方式获得并予以记录。”这一过程，以及很多其他过程，都要求调用软件资产库存管理过程，以便记录数据并在所要求的领域等方面加以确认。另一个实例是在软件贤产控制过程中创建基线。这一过程由软件开发过程和软件发布管理过程调用。本部分的目的不是要说明这类细节，但为了获得既定目标，隐含的要求这些活动或接口。4．2SAM控制环境4．2．1总则SAM控制环境的目标是建立和维护其他SAM过程在其中实施的管理体系。SAM的控制环境组成如下：a)SAM公司治理过程；b)SAM角色和职责；c)SAM的方针、过程和规程；d)SAM能力。4．2．2SAM公司治理过程4．2．2．1目标SAM公司治理过程的目标是确保软件资产管理的职责在公司董事会或等价实体的层面得到承认，并且规定适当的机制以确保职责的正当履行。注：该过程可视为公司IT全面监管的一部分。4．2．2．2结果SAM治理过程的实施将使组织能证实：a)本部分要求有一个明确的公司声明，内容包括：1)包含在此范围内的法律实体或其一部分；注：在界定组织的范围时，要考虑的一个因素是组织范围内已存在的软件合同。2)对上述实体或其各部门承担全面公司治理职责的特定机构或个人。注：这种特定的机构或个人，以下称为“公司董事会或等价实体”。b)对软件和相关资产的公司治理的职责得到公司董事会或等价实体的正式承认。c)有关于组织使用软件和相关资产的公司治理法规或指南，在使用的所有国家均已确定并以文件记录下来，且至少每年评审一次。d)将与软件、相关资产以及管理规定的减缓办法三者关联的风险评估文档化，至少每年更新一次，并经法人或等同法人批准，这种评估至少覆盖以下内容：1)未依从法规的风险；注：这有可能指比如人事软件使用监督的隐私保护；个人持有的SAM记录的数据保护}以及行业特定的(例如在制药行业的)要求。2)未依从许可权授予规定的风险；3)由于信息技术基础设旌的问题所造成的运行中断风险，这可能是SAM不适当导致的；4)由于SAM的不适当导致许可权和其他信息技术支撑成本花费过高的风险；5)与软件和相关资产的分散式对集中式管理办法关联的风险；注：与集中式管理办法相比，分散式管理办法有可能更难以达到节约成本的目标，可能面临更高的风险，例如未依从许可权规定。6)在不同国家运行时，考虑到依从本地文化和实施办法所带来的风险。e)SAM的管理目标由公司董事会或等价实体批准，至少每年评审一次。5 GB／T26236．1—2010j，LSO／mC19770-1：20064．2．3SAM角色和职责4．2．3．1目标sAM角色和职责过程的目标是确保对软件和相关资产的角色和职责已明确定义和维护，并使可能受到影响的人员了解。注：这些角色和职责应特别包括与法规或公司治理要求相联系的任何内容。4．2．3．2结果sAM的角色和职责过程的实施将使组织能证实：a)对整个组织的软件和相关资产的公司治理负责的SAM责任人的角色，由公司董事会或等价实体明确界定和批准。对于整个组织指派的职责包括：1)提出SAM的管理目标；2)监督SAM计划的制定；3)为实施经批准的SAM计划获得资源；4)按SAM计划交付结果；5)确保所有本地的SAM责任人正确地履行职责，且组织的所有部门均由SAM责任人或本地SAM责任人所覆盖，且之间无冲突。b)将公司治理软件和相关资产的本地角色和职责记录在案，并分配给特定人员。每个人负责一部分，职责如下：1)为实施SAM计划获得资源；2)按SAM计划交付结果；3)采取和实施必要的方针、过程和规程；4)准确地维护软件和相关资产的记录；5)对软件资产的采购、部署和控制，确保得到管理和技术两方面批准；6)管理合同、供方关系及内部客户关系；7)对改进的需求加以明确并实施。c)将这些职责传达给组织中与SAM有关的所有部分，就像通告组织范围和本地的其他方针那样。4．2．4SAM方针、过程和规程4．2．4．1目标SAM方针、对程和规程过程的目标是确保组织维护明确的方针、过程和规程，以便对SAM进行有效的策划、运行和控制。4．2．4．2结果SAM方针、过程_j钉_趣翟过程的实施使组织能证实：a)有一种结构化方法来建立、评审、批准、颁布并控制与SAM相关的方针、过程、规程及相关文档，使得总能够确定一套完整的文档，确定每个文件的有效版本，并确定适用于不同类型的软件及相关资产的文件。注：通常，这会成为一个组织为其整套方针、过程和规程而采用的一揽子办法的组成部分，且对于SAM并不是唯一性的。b)本部分所要求的方针、过程和规程文档，按该部分的过程分类或带有对这些分类的相互参照加以组织。c)对方针的制定、批准和颁布至少覆盖：1)对于软件和相关资产的法人管辖的个人和团体的职责；2)对个人使用公司软件以及有关资产的任何限制；3)符合法律法规的要求，包括版权和数据保护；6 GB／T26236．1--2010／ISO／IEC19770-1：20064)任何采购要求(例如公司协议的使用，或仅从声誉好的或经批准的供方处购买)；5)无论购置与否，对批准软件安装或使用的任何要求；6)违反这些方针所牵涉的惩罚。d)采用以下方式之一将方针和规程通知到所有人员：1)在新员工刚开始工作时，传达到每个人。每年对所有员工至少传达一次；2)对新员工开始工作时的传达或每年至少一次的传达，要求得到员工反馈肯定性确认；3)员工随时都可获取。注：文档可以是任何形式或介质。并可以与其他文档联合发布，例如包括人事保密要求的联合政策声明。4．2．5SAM能力4．2．5．1目标SAM艏力过翟的目标是确保具有适当的SAM能力和专业技术，并正在应用。4．2．5．2结果SAM能力过程的实施将使组织能证实：a)每年至少评审一次负有SAM职责的人员的培训和认证，并做好记录和更新，包括：1)sAM概况；2)对在用软件的软件制造商的许可。b)每年至少评审一次，以确定软件制造商的“许可权证明”的构成。c)具有SAM管理职责的人员接受SAM和有关许可权的培训，包括初次培训和正式的年度继续教育。注：在可用的情况下，也推荐个人认证。d)每年至少评审一次，以查明依从其许可权，软件制造商要提供哪些额外的指导。4．3SAM策划和实施过程4．3．1总则SAM的策划和实旌过程的目标是确保有效、高效地达到SAM的管理目标。本领域中的过程原则上对应于GB／T19001中的“策划一实施一检查一处置”(Plan-Do-Check—Act)过程。SAM策划和实施过程包括：a)对sAM进行的策划；b)sAM的实施；c)对SAM的监督和评审；d)对SAM的持续改进。4．3．2SAM策划4．3．2．1目标SAM策划过程的目标是确保进行适当的准备和规划，从而有效、高效地实现SAM的目标。4．3．2．2结果SAMft．1策划过程的实施将使组织能证实：a)制定sAM管理目标，并提交公司董事会或等价实体批准，且至少每年更新一次。b)制定SAM的实施和交付计划，并将其编成文档，每年至少更新一次，计划中包括：1)范围陈述(“软件资产范围”)明确，其中描述所包含的软件类型；相关资产的覆盖范围，本部分要求的最低限度范围之外的任何相关资产；以及与其他组织或系统的任何接口或要求；2)明确说明范围内资产所要求的方针、过程和规程；3)清晰阐述对SAM的管理、审核和改进的办法，包括适当时支持过程的自动化；7 GB／T26236．1—2010／ISO／mC19770-1：20064)说明标识、评估和管理与所界定的管理目标相关的重大问题和风险拟采用的办法；5)定期活动的进度表和职责，包括起草管理报告和进行验证及依从性活动；6)资源的标识，包括实施SAM计划所需的预算；7)按照SAM计划对跟踪完成情况进行绩效测量，包括对资产管理记录准确性的目标测量。注：应实施适当的自动化，以确保过程高效或不易出错，且避免完全无法实施ac)该计划由公司董事会或等价实体批准。4．3．3SAM实施4．3．3．1目标SAM实旅过程的目标是全面达到SAM的目标，实现SAM计划。4．3．3．2结果SAM实蔻过程将使组织能证实；a)具有收集(包括从本地SAM责任人处收集)影响SAM全年计划的变更、问题和风险信息的机制；b)由SAM责任人起草SAM计划进展详情的定期情况报告(每季度至少一次)，以便向公司董事会或等价实体报告；c)对已发现的任何变化及时采取后续行动并做记录。4．3．4SAM监督与评审4．3．4．1目标SAM监督与评事过程的目标是确保SAM的管理目标正在实现。4．3．4．2结果SAM监督和评事过程的实施将使组织能证实；a)正式评审每年至少一次：1)评估SAM的管理目标和SAM计划是否正在实现；2)对照SAM计划中与SAM相关的服务级别协议中规定的绩效测度，总结绩效；注：涵盖SAM要求的服务级别协议可能比SAM本身涵盖面更广。3)提供对SAM的符合性验证过程的调查结果的总结；4)在上述基础上就以下两方面进行总结；i)由SAM相关的管理层批准的政策，是否已经在本部分定义的组织范围内有效传播；ii)经管理层批准的与SAM相关的过程和规程，是否已经在本部分定义的组织范围内有效实施；5)总结任何已发现的例外以及由于上述原因可能需要采取的措施；6)在软件和相关资产服务规定下，标识改进机会；7)为了可持续的适当性、完备性和正确性，考虑是否需要评审方针、过程和规程。b)SAM责任人正式批准有关报告、将决策和为此采取的措施文档化，并抄报公司董事会或等价实体。c)定期评审(每年至少一次)是否以成本效益最大的方式对软件及相关资产进行部署，并提出可能的改进建议。4．3．5SAM持续改进4．3．5．1目标SAM持续改迸过程的目标是确保在使用软件及相关资产，以及SAM自身过程中，识别改进的机会，合理时采取行动。4．3．5．2结果SAM持续改进过程的实施将使组织能证实： GB／T26236．1--2010／ISO／IEC19770-1：2006a)具有收集和记录全年来自各种渠道提出SAM改进的机制。b)对改进建议进行定期评审、排定优先次序并经批准，并纳入SAM的实施和改进计划。4．4SAM库存过程4．4．1总则SAM的库存过程的目标是为软件和相关资产创建并维护所有存储和记录，并提供数据管理功能，确保对其他SAM过程中的软件和相关资产的整体控制。SAM的库存过程不仅是SAM的基础，也是所有配置管理的基础。配置管理超出了SAM的范围，因为前者不仅覆盖所有的信息技术资产(不仅是软件和相关资产)，也覆盖了非信息技术资产以及所有这些资产之间的关系。在涵盖所有IT服务管理项目的周境中，SAM库存过翟被认为是配置管理的一部分。SAM库存过程包括：a)软件资产标识；b)软件资产库存管理；c)软件资产控制。4．4．2软件资产标识4．4．2．1目标软件资产标识过程的目标是确保选出必要的资产类别并进行分组；并按适当的特性定义，以便能有效、高效地控制软件和相关资产。4．4．2．2结果软件赞产标识过程的实施将使组织能证实：a)对拟控制的资产的类型及与其关联的信息正式定义，并考虑下列方面：1)利用已建立的选择准则选出拟管理的项，再进行分组、分类和标识，以确保在其全生存周期内可管理、可跟踪；注；对业务和人身、财产造成重大伤害的资产以及高风险资产，需要排定优先次序，并可在更详细的水平上进行控制。2)拟管理的项包括：i)能安装和运行软件的所有平台；ii)软件确定的主版本和分发副本；iii)软件构建版和发布版(原始版本和分发副本)；iv)所有已安装的软件；v)软件不同版本；vi)补丁和升级版；vii)许可权，包括基本许可权和有效的完全许可权；viii)许可权证明文档；ix)有关软件资产的合同(含限制性规定)，包括硬拷贝的和电子版的；x)上述各款的物理或电子存储区；xi)许可权模式。3)软件应是可管理的，这包括对应于软件制造商或开发商发布的特定产品的文件和程序包两种形式；4)对所有资产，所需的基本信息有：i)唯一性标识符；ii)名称或描述；iii)位置；9 GB／T26236．1—2010／I：SO／mC19770—1=2006iv)管理人(或所有者)；v)状态(例如；测试与生产状态；开发或构建状态)；vi)类型(例如软件、硬件或设施)；vii)版本(若适用时)。注：数据确认需求也可被定义为此过程的一部分。b)对存储和库存备有登记簿，使信息的存储和类型清晰明了，只有在复制信息能追溯到明确的源记录时才允许复制。4．4．3软件资产库存管理4．4．3．1目标软件资产库存管理过程的目标是确保软件资产的物理载体得到正确存储；并确保所有资产和配置项的特性所器数据在整个生存周期中正确的记录。同时还提供关于软件资产和相关资产的信息，以支持其他业务过程的有效性和效率。4．4．3．2结果软件资产库存管理过程的实施将使组织能证实：a)开发、批准和发布了资产库的维护和管理的方针和规程，其中包括访问控制库存的物理或电子版的方针和规程：1)防止非授权的访问、变更或者损坏；2)提供灾难恢复的手段。b)库存清单包括：1)能安装或运行软件资产的所有平台；2)所有已授权安装的软件，表明其为i)能单独得到许可权或授权部署的程序包和版本；ii)软件更新与补丁的状态；以及所有的安装平台；3)持有的基本许可权和有效的完全许可权。注；不要求将基本许可投与有效的完全许可权的库存在物理上隔离，但要求能将两者区分开来。c)库存清单和对应的物理与电子存储有：1)软件(确定的主版本和分发副本)；2)软件构建版和发布版本(原始版本和分发副本)；3)与软件资产有关的合同(含硬拷贝的和电子版的)；4)许可证证明文档。d)存在库存或其他明确定义的库存机制，以确定任何许可权的使用，以便根据准则(而不是软件安装)确定任何许可权的用法；注：这些要求取决于所用软件的许可权模式，例如，有可能包括组织的特定部门的人员总数等计量数字；满足规定准则的个人计算机的总教；访同服务器资潦前用户数或终端敷；赴理器数；以及赴理器的托力。e)签署协议书以确保以上所列资源的持续可用性。f)所产生的每份库存报告都有明确描述，其中包括数据源的标识、目的和详细细节。4．4．4软件资产控制4．4．4．1目标软件贤产控制过程的目标是对软件资产、对软件和相关资产的变更提供控制机制，同时维护变更状态和批准的记录。4．4．4．2结果软件资产控衬过程的实施将使组织能证实：a)对软件和相关资产的变更维持有审核记录，包括在状态、位置、管理员和版本等方面的变更。b)制定、批准和发布了开发、维护和管理软件版本、图像／构造版和发布版的方针和规程。10 CB／T26236．1--2010／ISO／IEC19770-1：2006c)制定、批准和发布了相应方针和规程，要求在软件发布到实际环境之前，规定资产的基线以便以后根据实际部署进行检查。4．5SAM验证和依从性过程4．5．1总则SAM验证和依从性过翟的目标是发现和管理所有SAM的方针、过程及规程中的异常，包括许可证使用权。,SAM验证和依从性过翟对组织来讲是一项很重要的功能。这些过程不是指软件制造商所进行的审核，尽管两者相似。为保证整个sAM过程以及依赖于其的IT服务管理过程正常运作，需要定期实施该过程。,SAM验证和依从性过翟组成如下：a)软件资产记录验证；b)软件许可的依从性；c)软件资产安全性的依从性；d)SAM的符合性验证。4．5．2软件资产记录验证4．5．2．1目标软件资产纪录验证过程的目标是确保记录准确和完整地反映认为有必要记录的内容。另一方面确保记录内容未经批准不可以变更。4．5．2．2结果软件资产记录验证过程的实施将使组织能证实：a)制定、批准和颁布软件资产记录验证过程的规程，内容包括：1)至少每季度核对一次每个平台安装的软件与已授权安装的软件是否一致，并报告发现的异常情况；2)对于硬件库存及其位置至少每半年验证一次，并报告发现的异常情况；3)对于软件程序(确定的主版本和分发副本)的库存至少每半年验证一次，并报告发现的异常情况；4)对于软件构建(原始版本和分发副本)的库存至少每半年验证一次，并报告发现的异常情况；5)对许可权证明文档的物理存储每年至少验证(含对真实性)一次，并报告发现的异常情况；6)至少每年评审一次基本许可证以及以其为基础的得到的有效许可证，确保存在必要的基本许可证并确定不会重复计算数量。7)对与软件资产有关的合同文档的物理存储，就其完备性至少每年验证一次，并报告发现的异常情况；8)对合同库存清单每年至少验证一次，并报告发现的异常情况；9)对上述标识出的任何偏差或重大问题采取后续纠正行动，并形成文档。4．5．3软件许可的依从性4．5．3．1目标软件许可权的依从性过程的目标是，确保组织使用其他人拥有的所有软件及相关资产的知识产权有合适的许可证，且在符合期限和条件的情况下正当办理许可证并使用。4．5．3．2结果软件许可权的依从性过程的实施将使组织能证实：a)制定、批准和发布软件许可的依从性过程的规程，内容包括：1)至少每季度核对一次拥有的有效许可证与软件使用所需的许可证之间的一致，要考虑到11 GB／T26236．1—2010／ISO／IEC19770-1：2006许可证要求是由每个许可证期限和条件决定的；注：许可证要求由库中版本决定，而不是由安装副本决定，例如服务器访问权限。2)出现不符合方面的问题要及时记录、分析并确定其根本原因；3)对后续行动排出优先次序并予以执行。4．5．4软件资产安全的依从性4．5．4．1目标软件资产安全的依从性过程的目标是确保依从与使用软件及相关资产有关的安全要求。4．5．4．2结果软件资产安全的依从性过程的实施将使组织能证实：a)对照方针对实际做法每年至少评审一次。注：这里应包括对软件确定的主版本和分发副本的访问控制}以及由用户或用户组规定的安装与使用权。b)对评审中标识的任何偏差采取后续行动，并形成文档。4．5．5SAM符合性验证4．5．5．1目标SAM符合验证过程的目标是确保继续保持对本部分的要求的符合性，包括对所要求的方针和规程的符合性。4．5．5．2结果SAM符合性验证过程的实施将使组织能证实：a)为验证对本部分的依从性要求，制定、批准和颁布了方针和规程，以确保根据本部分规定的所有要求，以样本为基础，每年至少验证一次。这里应包括验证该组织对其他SAM过程所实施规程满足本部分为那些规程所规定的要求。b)备有文档证据以表明：1)上述验证规程正在进行；2)采取纠正性后续行动直到成功地找到所有异常情况。4．6SAM运作管理过程和接口4．6．1总则SAM的运作管理过程和接口的目标是执行运作管理功能，这对全面实现SAM的目标和效益是必不可少的。SAM的运作管理过程和接口包括：a)SAM关系与合同管理；b)sAM财务管理；c)sAM服务级别管理；d)sAM安全管理。4．6．2SAM的关系和合同管理4．6．2．1目标SAM关系和合同管理过程的目标是管理与其他组织的关系(包括内部的和外部的)，以确保提供无缝的优质SAM服务，并管理软件及相关资产和服务的全部合同。注：SAM的关系和合同管理与SAM的服务级别管理通常紧联在一起运作，因为服务级别通常定义为有助于管理这样的关系。4．6．2．2结果SAM关系和合同管理过程的实施将使组织能证实：a)制定、批准和颁布有关管理与提供软件及相关资产和服务的供方之间关系的方针和规程，内容包括：】2 GB／T26236．1--2010／ISO／IEC19770-1：20061)定义供方管理的职责，使受指派的个人负起管理每个供方的职责；2)对软件或相关服务的供给进行招标；确保该过程包括对SAM的要求(含服务级别管理、安全控制、发布和变更管理)的考虑；3)对供方表现、绩效和问题至少每半年进行一次正式评审并编制文档，对任何拟采取的行动，记录结论和决定。b)制定、批准和颁布了管理客户方关系的方针和规程，内容包括：1)就软件、相关资产和服务对管理客户方业务关系的职责加以定义；2)对客户和业务的当前和未来软件的基本要求每年至少正式评审一次；3)对服务提供方的表现、客户满意度、绩效和问题每年至少正式评审一次，对拟采取的任何行动，记录结论和决定。c)制定、批准和颁布了管理合同的方针和规程，内容包括：1)确保当签署合同时，合同的细节记录在正在使用的合同管理系统中；注：合同管理系统可以是组织内部研发的手工或电子系统，可用于管理和控制合同。2)以安全方式持有所有已签署合同的文档副本，并将其存在文档管理系统中；注：当安装第三方软件时，作为选项，这种系统可以电子方式，将接受的限制性规定包括在内。3)对软件、相关资产和服务的所有合同，在合同期满之前，每半年至少评审一次并文档化，对任何拟采取的行动，记录结论和决定。4．6．3SAM的财务管理4．6．3．1目标SAM的财务管理过程的目标是对软件和相关资产编制预算和建立会计制度；确保财努报告、财税计划和计算(例如所有者的全部成本和投资回报)所需的相关财务信息随时可以获得．注：SAM的财务管理不包括收费。在实际中，许多组织都涉及到软件、相关资产和服务的收费问韪i然而，由于收费是一种可选的活动，因此本部分未予覆盖。在遇有收费情形时，建议由有关各方完整定义蝴的机制，并且要使各方都理解。4．6．3．2结果SAM的财务管理过程的实施将使组织能证实：a)就管理软件和相关资产有关的财务信息的定义与有关各方达成一致，并按照资产类型记录。注：财务管理中采用的资产类型如果与SAM中的资产类型不相同，则应与后者的类型一致或建立映射。b)建立获取软件资产(外部的或内部的)、相关支持和基础设施成本的正式预算。c)就软件资产和相关支持及基础设施成本的实际支出额，对照预算说明原因。d)有关软件资产的价值(含历史成本和折旧成本)的财务信息文件要随时可以获得。e)实际支出额，每季度对照预算至少正式评审一次，对拟采取的任何行动，记录结论和决定。4．6．4SAM的服务级别管理4．6．4．1目标SAM的服务级别管理过程的目标是定义、记录和管理与SAM相关的服务级别。4．6．4．2结果SAM的服务级别管理过程的实施将使组织能证实：a)为SAM范国内履行的服务制定和批准了服务级别协议和保障协议；内容包括：1)明确定义与软件的获取、安装、移动以及软件资产和相关资产的变更有关的服务，并与有关各方以及相应的服务级别目标和工作量特性达成一致；2)对与SAM有关的客户和用户的责任和职责进行定义，或者参照服务级别协议。注：覆盖SAM要求的服务级别协议有可能比SAM本身覆盖得多。b)对照SAM的目标定期(每季度至少一次)报告实际工作量和服务级别，并把出现不符合事项13 GB／T26236．1—20IO／ISO／IEC19770-1：2006的原因形成文档。c)由有关各方对照SAM的服务级别定期评审(每季度至少一次)绩效，若采取行动，记录结论和决定。4．6．5SAM的安全管理4．6．5．1目标SAM的安全管理过程目标是在SAM的所有活动中对信息安全实施有效管理并支持与SAM有关的审批要求。注：TSO／IEC17799对信息安全管理提供了指南。经过ISO／IEC17799认证的组织应满足本标准这一部分中的安全要求。4．6．5．2结果SAM的安全管理过程的实施将使组织能证实：a)对SAM的所有资源的安全与访问限制，包括软件的物理与电子存储、软件构建版和发布版，均制定了正式的方针并经批准。b)规定了访问控制，包括物理控制和逻辑控制，以加强对SAM方针的审批要求。c)要有证明这些规定的访问控制正在实际实施的文件证明。4．7SAM与生存周期过程接口4．7．1总则SAM与生存周期过翟接口应与GB／T8566在SAM周境中的主要生存周期过程以及ISO／IEC20000大体一致。本部分的目标是对这些生存周期过程规定SAM要求。SAM与生存周期过程接口由对下列生存周期过程的要求组成：a)变更管理过程；b)获取过程；c)软件开发过程；d)软件发布管理过程；e)软件部署过程；f)事件管理过程；g)问题管理过程；h)退役过程。4．7．2变更管理过程4．7。2．1目标关于软件和相关资产的变更管理过翟的目标是确保对SAM有影响的所有变更均以一种受控的方式评估、批准、实施和评审，并且要符合所有备案要求。注：关于软件和相关资产的变更管理越程与软件萤产控制过程有密切联系，并提供了对软件和相关资产作出变更的控制机制。4．7．2．2结果变更管理_过程的实施将使组织能证实：a)有正式的变更管理过程，内容包括：1)标识和记录所有影响软件、相关资产或服务或者SAM过程的变更请求；2)对影响软件、相关资产或服务或者SAM过程的变更请求评估其可能影响，排定优先次序，并要经过责任管理部门的批准；3)实施经批准的变更请求过程时要与被批准的内容相一致；4)记录所有影响软件、相关资产或服务或者SAM过程的变更；5)成功或失败的变更要以文件记录并定期评审。】4 G]B／T26236．1--2010／ISO／IEC19770-1：20064．7．3获取过程4．7．3．1目标关于软件和相关资产的获取过程的目标是以可控制的方式获得这些资产并正确记录。4．7．3．2结果获取过翟的实施将使组织能证实：a)对提供软件服务定义了标准的体系结构，并以此作为偏离标准的判据。b)定义标准软件配置，并以此作为偏离那些标准的判据。c)对软件资产和相关资产的申请和订购制定了方针和规程，并正确授权和颁布，内容包括：1)如何规定要求；2)所要求的管理和技术部门的批准；3)使用与重新部署已有的许可权；4)如果软件在报告和支付前部署，则要记录未来的购买要求。d)对有关软件和相关资产的收据处理功能制定了方针和规程，并正确授权和颁布，内容包括：1)处理发票，包括订单的对帐和副本的保留，这是许可证的管理的需要；2)确保安全保管所有购买的许可证收据和许可证有效证明；注：这里可以要求核对许可权证明的真实性，即核对其并非是伪造的，特别是当许可权证明不是直接从有关软件的制造商处收到的情形。3)处理介质(物理介质和电子副本)，包括对内容的验证、记录保持和妥善保管。4．7．4软件开发过程4．7．4．1且标关于软件和相关资产的软件开发过程的目标是确保其在考虑SAM的要求的情况下开发。4．7．4．2结果软件开发过翟的实施将使组织能证实：a)软件开发有正式过程，确保已考虑到以下内容：1)标准的体系结构和标准的配置；2)许可权约束和依赖。b)软件开发有正式的过程，确保软件产品置于软件资产控制之下。4．7．5软件发布管理过程4．7．5．1目标关于软件和相关资产的软件发布管理过程的目标是确保发布是以支持SAM的要求的方式进行规划并实施。注：软件发布管_；碧过程覆盖对软件和相关资产的规划和实际发布。软件发布管理廿翟与变更管理过程密切配合。4．7．5．2结果软件发布管理过程的实施将使组织能证实：a)有正式的发布管理过程，确保：1)使用受控的验收环境构建并测试所有提议的发布，包括发布前的补丁；注：本标准的这一部分没有规定创建或测试的详细要求。例如，它不要求所有需要生产商补丁的构建版都要重新创建并独立测试，尽管组织可以独立于本部分的规定提出这种要求。不过在通常情况下，预期任何变更或补丁都会在分发之前以某种方式进行测试。2)对发布的频率和类型作出规划并与业务部门和客户达成一致，包括安全补丁发布的频率；3)计划的发布日期和交付内容要参照相关的变更需求和问题进行记录，并通知事件管理；4)软件和相关资产的发布要经过责任部门的批准；5)对发布的成败作记录并定期评审。15 GB／T26236．1—2010／ISO／IEC19770-1：20064．7．6软件部署过程4．7．6．1目标关于SAM的软件部署过程的目标是确保软件部署和重新部署以支持SAM要求的方式执行。4．7．6．2结果软件部署过程的实施将使组织能证实：a)制定、批准和发布方针和规程来分发和安装软件，内容包括：1)软件和相关资产的分发经责任部门的批准；2)对任何部署，在部署不成功时都有退出规程或补救办法；3)依从安全要求，包括对正分发的和安装后的软件访问；4)对有关软件和相关资产的状态的所有变更均有准确及时的记录，包括资产管理员关系的任何变更以及为这些变更所作的审核跟踪；5)通过文档控制来验证所部署的与授权部署的内容是否相同；6)对部署的成败进行记录并定期评审。4．7．7事件管理过程4．7．7．1目标关于软件和相关资产的事件管理过翟的目标是对与这些资产有关的、进行中的事件进行监控并作出反应。4．7．7．2结果事件管理过翟的实施将使组织能证实：a)有正式的事件管理过程，内容包括：1)对影响软件、相关资产或SAM过程的所有事件均有记录并按解决的优先次序进行分类；2)所有这类事件均按照其优先次序加以解决，并将解决方案形成文档。4．7．8问题管理过程4．7．8．1目标软件及相关资产的问题管理过程的目标是通过对事件原因的预先标识和分析，以及对基本问题的处置，确保软件资产是最近的，并且可运行的。4．7．8．2结果f可题管理过翟的实施将使组织能证实：a)有正式的问题管理过程，内容包括：1)对影响软件、相关资产或服务或者SAM过程的所有事件均有记录，并按其影响进行分类；2)对高优先级和重复性的事件的基本原因进行分析并确定解决的优先次序；3)将基本原因形成文档并通知给事件管理；4)按问题的优先级加以解决，将解决方案形成文档并通知给事件管理。4．7．9退役过程4．7．9．1目标软件和相关资产的遢役过程的目标是按照公司的方针并满足记录的所有要求，从使用中撤除软件和相关资产，包括在适当情况下回收相关联的资产。注：从使用中撤除未获得许可的软件通常并不解决许可证不足的问题，因为通过软件的使用，已经产生了许可的责任，应建立信赖关系，而不是对安装或初始使用进行控制。4．7．9．2结果遇役过程的实施将使组织能证实：a)对软件或安装软件的硬件的安全退役制定、批准和颁布方针和规程，以此确保：】6 1)2)3)4)5)GB／T26236．1--2010／ISO／IEC19770-1：2006从退役硬件中撤除已部署的软件副本；对能重新部署的许可权和其他资产进行重新部署的标识；转让给其他方的所有资产(无论所指的其他方是有关的或是无关的，也不管如何转让，即出售或以其他方式)，以正当方式办理，也就是考虑所有机密性、许可权授予或其他合同要求；正确处置不能重新部署的许可权和其他资产；将记录更新以反映上述变更，并对所作变更维持审核跟踪。 GB／T26236．1～20i01LSOlmC19770-1：200618E1]Ez3[3]E43参考文献Iso／IEc15504—2信息技术过程评估第2部分：执行评估ISO／IEC20000信息技术IT服务管理8566--2007信息技术软件生存周期过程(ISO／IEC12207：1995，MOD)19001--2008质量管理体系要求(ISO9001：2008，IDT)'