Настоящий стандарт предназначен для организаций, желающих освоить передовой опыт в области менеджмента программных активов (Software Asset Management, SAM). Настоящий стандарт идентичен ИСО/МЭК 19770-1:2012, который разработан на базе ИСО/МЭК 19770-1:2006 "Информационные технологии. Менеджмент программного обеспечения. Часть 1. Процессы" - комплексного стандарта, разработанного для применения ко всему менеджменту услуг, как это описано в ИСО/МЭК 20000.
Опыт применения ИСО/МЭК 19770-1:2006 выявил потребность в поэтапном внедрении, причем такие этапы должны наилучшим образом соответствовать потребностям организации. Настоящий стандарт разработан с целью обеспечения внедрения SAM в соответствии с требованиями настоящего стандарта в рамках любого из этапов наращивания, именуемых далее уровнями (кумулятивными по своей сути). Это позволяет организациям проходить независимую автономную сертификацию, соответствующую естественным уровням развития и приоритетов в управлении. Последующее подтверждение дается таким организациям через возможность публично заявлять о пройденной сертификации на соответствие заявленному уровню.
Разделение на уровни разработано таким образом, чтобы стандартизированные процессы менеджмента программных активов (SAM) были доступны для большинства организаций. Организации, внедряющие SAM впервые, часто могут ускорить этот процесс, тщательно определяя программные активы и части организации, охватываемые SAM. Обычно организация не стремится к достижению всех возможных внутренних целей, целей программного обеспечения и целей организации, описанных в настоящем стандарте в разделе 1 "Цель документа". Организация может определить для себя любую цель, если она является однозначной.
В тех случаях, когда организация предпочитает сузить цель SAM указанным выше образом, она должна учесть определенные факторы, обеспечивающие достижение всех необходимых преимуществ и целей организации. Например, для обеспечения надежного уровня безопасности обычно необходимо, чтобы в цели SAM были включены все активы, относящиеся к определенным разделам организационной инфраструктуры. Кроме того, управлять программными активами невозможно, не управляя одновременно аппаратными средствами, на базе которых оно работает, соответственно, настоящий стандарт может использоваться для управления и тем, и другим. Термин SAM предполагает охват всех связанных с программным обеспечением активов в инфраструктуре информационных технологий (ИТ) и применение термина SAM в настоящем стандарте отражает организационный выбор ответственной рабочей группы ИСО/МЭК и обычную практику рынка. SAM обладает большим набором преимуществ перед другими взаимосвязанными методами управления ИТ-активами, и разработчики качественных методик SAM могут ожидать получения дополнительных преимуществ помимо возможностей собственно управления программным обеспечением.
На рисунке 1 показаны четыре уровня SAM, определенные в настоящем стандарте. Более полное описание этих уровней приведено в разделе 5 "Уровни". Их можно кратко охарактеризовать следующим образом:
Рисунок 1 - Четыре уровня SAM
Основные связанные преимущества каждого уровня:
Уровень 1: Достоверные данные. Достижение этого уровня означает получение знаний о том, что у вас есть, чтобы уметь управлять этим.
Наличие достоверных данных - обязательное условие качественных процессов SAM. Здесь применим общий управленческий принцип, состоящий в том, что "невозможно управлять тем, чего не знаешь". На этом уровне также осуществляется демонстрация лицензионного соответствия, что обычно является высокоприоритетной целью управления.
Примечание - Другие части ИСО/МЭК 19770 определяют дескриптор идентификации программного обеспечения ( см. ИСО/МЭК 19770-2) и дескриптор права на программное обеспечение (см. ИСО/МЭК 19770-3), имеющие целью упростить задачу получения достоверных данных.
Уровень 2: Практическое управление. Достижение этого уровня означает повышение качества административного управления и получение немедленных преимуществ.
На практике руководство организации обычно начинает заниматься вопросами, относящимися к SAM, только после того, как будут выявлены проблемы, связанные с недостоверностью данных. Организация выясняет степень подверженности рискам, а также потенциал для усовершенствований и экономии. Этот уровень охватывает базовую среду административного управления (см. 4.2 "Контрольная среда SAM"), включая политики, роли и обязанности. На этом уровне также определяются цели и достигаются немедленные преимущества (за счет использования данных уровня 1).
Уровень 3: Операционная интеграция. Достижение этого уровня означает повышение эффективности и результативности.
Этот уровень, основываясь на результатах, полученных на двух предыдущих уровнях, интегрирует процессы SAM в операционные процессы (см. 4.6 "Процессы и интерфейсы управления операциями SAM"). В результате повышается эффективность и результативность.
Примечание - Другие части ИСО/МЭК 19770 определяют дескриптор идентификации программного обеспечения (см. ИСО/МЭК 19770-2) и дескриптор права на программное обеспечение (см. ИСО/МЭК 19770-3), имеющие целью упростить задачу интеграции.
Уровень 4: Полное соответствие настоящего стандарта SAM. Достижение этого уровня означает достижение лучшего в своем классе стратегического SAM.
Этот уровень охватывает более сложные и требовательные аспекты комплексного SAM, включая полную интеграцию процессов SAM в процессы стратегического планирования организации.
Уровни 1-3 определены как подмножества полного набора групп процессов и результатов, определенных в настоящем стандарте, т.е. у каждой группы процессов SAM имеется единственная цель, например, идентификация программных активов, и каждая группа процессов содержит множество результатов процессов для достижения каждой цели. Сводная таблица, иллюстрирующая эту структуру, приведена в приложении A.
Уровни формируются один над другим, причем уровень 4 определяется как полный набор групп процессов и результатов, определенных в настоящем стандарте. Следует обратить внимание, что группы процессов и результаты, определенные в настоящем стандарте, если сравнивать их с ИСО/МЭК 19770-1:2006, практически не изменились, не считая некоторых незначительных разъяснений. Также в целом сохранена структура целей групп процессов, устанавливающих множество результатов, после чего может быть установлено соответствие любому конкретному уровню. Несмотря на то, что любой из уровней можно сертифицировать по отдельности, все они рассчитаны на то, что все предыдущие уровни в любое время остаются функциональными. На практике это обычно означает, что в организации, претендующей на сертификацию более высокого уровня, аудитор при регулярной проверке любого предыдущего уровня или уровней также осуществит проверку более высокого уровня.
Более подробное описание уровней и их структуры приведено в разделе 5.
Общие преимущества SAM:
a) управление рисками: например, минимизация степени воздействия прерываний или снижения качества работы ИТ/служб; снижение юридических и регуляторных рисков;
b) контроль затрат: снижение прямых затрат на программное обеспечение и связанные активы (см. описание связанных активов в 1.2), контроль затрат, связанных с постоянной поддержкой, контроль контрактных издержек;
c) конкурентное преимущество: лучшие бизнес-решения и чувство удовлетворения от наличия постоянно доступных достоверных данных.
Обычно бизнес-требования относятся к приоритетным областям, например к конкретным производителям программного обеспечения, а иногда к конкретным группам организационных подразделений. Правильно выбрав уровни и соответствующим образом определив масштабы, организации получат преимущества от использования стандартизированных процессов SAM, описанные в настоящем стандарте в разделе 1 "Цель документа".
В принципе для определения стандарта, соответствие которому может быть поэтапно достигнуто, можно также применить подход на базе использования модели способности или зрелости. Однако на практике такой подход, если он предполагает независимую сертификацию, представляется значительно более сложным. Несмотря на это, по итогам переработки первой редакции ИСО/МЭК 15504 предполагается разработка такого подхода, что позволит объединить подходы, основанные на настоящем стандарте и других рыночных методологиях, исходя из уровня зрелости.