4.2.1 Общие положения
Контрольная среда SAM создает и поддерживает систему менеджмента, в рамках которой реализуются другие процессы SAM.
Контрольная среда SAM состоит из следующих групп процессов:
a) процесс корпоративного управления SAM;
b) роли и обязанности SAM;
c) политики, процессы и процедуры SAM;
d) компетенции в SAM.
4.2.2 Процесс корпоративного управления SAM
4.2.2.1 Цель
| |
Цель процесса корпоративного управления SAM состоит в обеспечении того, чтобы обязанности по управлению программными активами подтверждались на уровне правления или эквивалентного органа и чтобы для обеспечения надлежащего исполнения этих обязанностей использовались соответствующие механизмы.
| Применимо к уровням 2 и 4 |
Примечание - Этот процесс может рассматриваться как часть общего корпоративного управления ИТ. (См. ИСО/МЭК 38500).
| |
4.2.2.2 Результаты
| | | | |
Результат
| Уровень |
| 1
| 2 | 3 | 4 |
Реализация процесса корпоративного управления SAM позволит организации продемонстрировать следующее:
|
a) на корпоративном уровне организации имеется ясное изложение организационной области применения в контексте данного стандарта в отношении:
1) юридического лица или частей юридического лица, включенных в область применения.
Примечание - Одним из факторов, которые следует учитывать при определении организационной области применения, может быть наличие контрактов на поставку программного обеспечения, базирующихся на определенных организационных областях;
2) отдельного органа или физического лица, которые несут ответственность за решение всех вопросов корпоративного управления для такого лица или части такого юридического лица.
Примечание - Такой отдельный орган или физическое лицо далее именуются "правление" или "эквивалентный орган"
| | | | |
b) ответственность за корпоративное управление программным обеспечением и связанными активами формально подтверждена правлением или эквивалентным органом организации
| | | | |
c) организацией были определены, документированы и не реже одного раза в год пересматриваются корпоративные регулирующие документы или нормативы, относящиеся к использованию программного обеспечения и связанных активов во всех странах, в которых работает организация
| | | | |
d) организацией были определены, задокументированы и утверждены правлением или эквивалентным органом и не реже одного раза в год обновляются результаты оценки рисков, имеющих отношение к программному обеспечению и связанным активам, и определяемые руководством методы их снижения. К таким рискам, как минимум, относятся следующие:
1) риск несоответствия регуляторным документам.
Примечание - Эти риски могут возникать, например, вследствие защиты частных данных для контроля использования персоналом программного обеспечения, защиты данных SAM, ведущихся о физических лицах, и выдвижения специализированных требований в отдельных промышленных отраслях, например фармацевтической;
2) риск нарушения требований к безопасности.
Примечание - Нарушение требований безопасности может приводить, например, к прерыванию работы, неправомерному использованию конфиденциальной информации конкурентами и репутационному ущербу вследствие недостаточной защиты личных данных клиентов;
3) риск несоблюдения лицензионных требований;
4) риск прерывания деятельности из-за проблем с инфраструктурой ИТ, которые могли быть вызваны неадекватностью SAM;
5) риск чрезмерных расходов на лицензирование и других затрат на поддержку ИТ вследствие неадекватности SAM;
6) риски, связанные с применением разных подходов к управлению программным обеспечением и связанным активам - децентрализованного и централизованного.
Примечание - По культурным и экономическим соображениям крайне желательно децентрализовать операционное управление SAM. Однако при таких подходах снижение издержек станет более трудной задачей, связанной с высокими рисками, например риском несоблюдения условий лицензирования (при централизованном подходе к управлению эти риски меньше). Например, любое несоблюдение условий лицензирования в любой децентрализованной работе создает риск угрозы репутации и повышает юридические риски всей организации.
Вероятно, было бы разумно даже в децентрализованной среде операционного управления продолжать применять к выборочной информации и аналитическим данным для руководства принципы централизованного управления, что позволит распределенному руководству применять методы SAM без увеличения рисков. Управление централизованной информацией само по себе обычно предполагает некоторый централизованный контроль руководства над SAM;
7) риски, связанные с ведением деятельности в разных странах, учитываются местные культуры соответствия требованиям и подходы к обеспечению исполнения
| | | | |
e) цели управления SAM утверждаются правлением или эквивалентным органом и пересматриваются не реже одного раза в год
| | | | |
4.2.3 Роли и обязанности SAM
4.2.3.1 Цель
| |
Цель процесса "Роли и обязанности SAM" состоит в четком определении ролей и обязанностей в отношении ПО и связанных активов. Эти роли и обязанности должны соблюдаться и пониматься всем персоналом, к которому они могут относиться.
Примечание - К этим ролям и обязанностям относятся, в частности, роли, связанные с регуляторными требованиями или требованиями корпоративного управления
| Применимо к уровню 2
|
4.2.3.2 Результаты
| | | | |
Результат
| Уровень |
| 1
| 2 | 3 | 4 |
Реализация процесса "Роли и обязанности SAM" позволит организации продемонстрировать следующее:
|
a) в организации четко определена и утверждена правлением или эквивалентным органом роль владельца процессов SAM, ответственного за корпоративное управление программным обеспечением и связанными активами. Возложенные на владельца процессов SAM в масштабе всей организации обязанности включают следующее:
1) предложение целей управления SAM;
2) надзор за разработкой плана SAM;
3) получение ресурсов для реализации утвержденного плана SAM;
4) получение результатов в соответствии с утвержденным планом SAM;
5) обеспечение надлежащего исполнения всеми локальными владельцами процессов SAM своих обязанностей, охват всех частей организации владельцем процессов SAM или локальными владельцами процессов SAM без конфликтующих наложений
| | | | |
b) в организации документированы и назначены конкретным лицам локальные роли и обязанности по корпоративному управлению программного обеспечения и связанными активами. Возложенные обязанности для той части организации, за которую несет ответственность каждое лицо, включают следующее:
1) получение ресурсов для реализации утвержденного плана SAM;
2) получение результатов в соответствии с утвержденным планом SAM;
3) принятие и внедрение необходимых политик, процессов и процедур;
4) ведение точного учета программного обеспечения и связанных активов;
5) обеспечение управления и технических согласований, требуемых для закупки, развертывания и контроля программных активов;
6) управление контрактами, отношениями с поставщиками и внутренними клиентами;
7) определение потребностей в усовершенствованиях и их реализация
Примечания
1 Настоящий стандарт проводит различие между владельцем процессов SAM на уровне организации и локальными ролями и обязанностями, поскольку некоторые организации с распределенным местоположением проводят такое различие в своих управленческих ролях. Если организация размещается только в одном месте, или если удаленные места можно считать несущественными, и управление ими осуществляется непосредственно из центрального местоположения, эти два набора функций объединяются друг с другом.
2 Обязанности могут назначаться определенным должностям или классам должностей, при условии, что характер этих обязанностей и ответственность за их выполнение не вызывает сомнений. На практике это означает, что назначать различные обязанности различным физическим лицам, особенно в небольших организациях, где такое разделение обязанностей не практикуется, нет необходимости
| | | | |
c) эти обязанности доводятся до сведения всех связанных с SAM частей организации тем же образом, что и другие политики (уровня организации и локальные)
| | | | |
4.2.4 Политики, процессы и процедуры SAM
4.2.4.1 Цель