ГОСТ Р ИСО/МЭК 19770-1-2014
Группа П85
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Информационные технологии
МЕНЕДЖМЕНТ ПРОГРАММНЫХ АКТИВОВ
Часть 1
Процессы и оценка соответствия по уровням
Information technologies. Software asset management. Part 1. Processes and tiered assessment of conformance
ОКС 35.080
ОКСТУ 4090
Дата введения 2015-03-01
Предисловие
1 ПОДГОТОВЛЕН Закрытым акционерным обществом "Консистент Софтвеа Дистрибушн" на основе перевода на русский язык англоязычной версии стандарта, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 076 "Системы менеджмента"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 29 мая 2014 г. N 483-ст
4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 19770-1:2012* "Информационные технологии. Менеджмент программных активов. Часть 1. Процессы и оценка соответствия по уровням (ISO/IEC 19770-1:2012 "Information technology - Software asset management - Part 1: Processes and tiered assessment of conformance", IDT).
________________
* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - .
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении ДА
Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с требованиями ГОСТ Р 1.5-2012 (пункт 3.5).
5 ВВЕДЕН ВПЕРВЫЕ
6 ПЕРЕИЗДАНИЕ. Январь 2017 г.
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
Введение
Настоящий стандарт предназначен для организаций, желающих освоить передовой опыт в области менеджмента программных активов (Software Asset Management, SAM). Настоящий стандарт идентичен ИСО/МЭК 19770-1:2012, который разработан на базе ИСО/МЭК 19770-1:2006 "Информационные технологии. Менеджмент программного обеспечения. Часть 1. Процессы" - комплексного стандарта, разработанного для применения ко всему менеджменту услуг, как это описано в ИСО/МЭК 20000.
Опыт применения ИСО/МЭК 19770-1:2006 выявил потребность в поэтапном внедрении, причем такие этапы должны наилучшим образом соответствовать потребностям организации. Настоящий стандарт разработан с целью обеспечения внедрения SAM в соответствии с требованиями настоящего стандарта в рамках любого из этапов наращивания, именуемых далее уровнями (кумулятивными по своей сути). Это позволяет организациям проходить независимую автономную сертификацию, соответствующую естественным уровням развития и приоритетов в управлении. Последующее подтверждение дается таким организациям через возможность публично заявлять о пройденной сертификации на соответствие заявленному уровню.
Разделение на уровни разработано таким образом, чтобы стандартизированные процессы менеджмента программных активов (SAM) были доступны для большинства организаций. Организации, внедряющие SAM впервые, часто могут ускорить этот процесс, тщательно определяя программные активы и части организации, охватываемые SAM. Обычно организация не стремится к достижению всех возможных внутренних целей, целей программного обеспечения и целей организации, описанных в настоящем стандарте в разделе 1 "Цель документа". Организация может определить для себя любую цель, если она является однозначной.
В тех случаях, когда организация предпочитает сузить цель SAM указанным выше образом, она должна учесть определенные факторы, обеспечивающие достижение всех необходимых преимуществ и целей организации. Например, для обеспечения надежного уровня безопасности обычно необходимо, чтобы в цели SAM были включены все активы, относящиеся к определенным разделам организационной инфраструктуры. Кроме того, управлять программными активами невозможно, не управляя одновременно аппаратными средствами, на базе которых оно работает, соответственно, настоящий стандарт может использоваться для управления и тем, и другим. Термин SAM предполагает охват всех связанных с программным обеспечением активов в инфраструктуре информационных технологий (ИТ) и применение термина SAM в настоящем стандарте отражает организационный выбор ответственной рабочей группы ИСО/МЭК и обычную практику рынка. SAM обладает большим набором преимуществ перед другими взаимосвязанными методами управления ИТ-активами, и разработчики качественных методик SAM могут ожидать получения дополнительных преимуществ помимо возможностей собственно управления программным обеспечением.
На рисунке 1 показаны четыре уровня SAM, определенные в настоящем стандарте. Более полное описание этих уровней приведено в разделе 5 "Уровни". Их можно кратко охарактеризовать следующим образом:
Рисунок 1 - Четыре уровня SAM
Основные связанные преимущества каждого уровня:
Уровень 1: Достоверные данные. Достижение этого уровня означает получение знаний о том, что у вас есть, чтобы уметь управлять этим.
Наличие достоверных данных - обязательное условие качественных процессов SAM. Здесь применим общий управленческий принцип, состоящий в том, что "невозможно управлять тем, чего не знаешь". На этом уровне также осуществляется демонстрация лицензионного соответствия, что обычно является высокоприоритетной целью управления.
Примечание - Другие части ИСО/МЭК 19770 определяют дескриптор идентификации программного обеспечения ( см. ИСО/МЭК 19770-2) и дескриптор права на программное обеспечение (см. ИСО/МЭК 19770-3), имеющие целью упростить задачу получения достоверных данных.
Уровень 2: Практическое управление. Достижение этого уровня означает повышение качества административного управления и получение немедленных преимуществ.
На практике руководство организации обычно начинает заниматься вопросами, относящимися к SAM, только после того, как будут выявлены проблемы, связанные с недостоверностью данных. Организация выясняет степень подверженности рискам, а также потенциал для усовершенствований и экономии. Этот уровень охватывает базовую среду административного управления (см. 4.2 "Контрольная среда SAM"), включая политики, роли и обязанности. На этом уровне также определяются цели и достигаются немедленные преимущества (за счет использования данных уровня 1).
Уровень 3: Операционная интеграция. Достижение этого уровня означает повышение эффективности и результативности.
Этот уровень, основываясь на результатах, полученных на двух предыдущих уровнях, интегрирует процессы SAM в операционные процессы (см. 4.6 "Процессы и интерфейсы управления операциями SAM"). В результате повышается эффективность и результативность.
Примечание - Другие части ИСО/МЭК 19770 определяют дескриптор идентификации программного обеспечения (см. ИСО/МЭК 19770-2) и дескриптор права на программное обеспечение (см. ИСО/МЭК 19770-3), имеющие целью упростить задачу интеграции.
Уровень 4: Полное соответствие настоящего стандарта SAM. Достижение этого уровня означает достижение лучшего в своем классе стратегического SAM.
Этот уровень охватывает более сложные и требовательные аспекты комплексного SAM, включая полную интеграцию процессов SAM в процессы стратегического планирования организации.
Уровни 1-3 определены как подмножества полного набора групп процессов и результатов, определенных в настоящем стандарте, т.е. у каждой группы процессов SAM имеется единственная цель, например, идентификация программных активов, и каждая группа процессов содержит множество результатов процессов для достижения каждой цели. Сводная таблица, иллюстрирующая эту структуру, приведена в приложении A.
Уровни формируются один над другим, причем уровень 4 определяется как полный набор групп процессов и результатов, определенных в настоящем стандарте. Следует обратить внимание, что группы процессов и результаты, определенные в настоящем стандарте, если сравнивать их с ИСО/МЭК 19770-1:2006, практически не изменились, не считая некоторых незначительных разъяснений. Также в целом сохранена структура целей групп процессов, устанавливающих множество результатов, после чего может быть установлено соответствие любому конкретному уровню. Несмотря на то, что любой из уровней можно сертифицировать по отдельности, все они рассчитаны на то, что все предыдущие уровни в любое время остаются функциональными. На практике это обычно означает, что в организации, претендующей на сертификацию более высокого уровня, аудитор при регулярной проверке любого предыдущего уровня или уровней также осуществит проверку более высокого уровня.
Более подробное описание уровней и их структуры приведено в разделе 5.
Общие преимущества SAM:
a) управление рисками: например, минимизация степени воздействия прерываний или снижения качества работы ИТ/служб; снижение юридических и регуляторных рисков;
b) контроль затрат: снижение прямых затрат на программное обеспечение и связанные активы (см. описание связанных активов в 1.2), контроль затрат, связанных с постоянной поддержкой, контроль контрактных издержек;
c) конкурентное преимущество: лучшие бизнес-решения и чувство удовлетворения от наличия постоянно доступных достоверных данных.
Обычно бизнес-требования относятся к приоритетным областям, например к конкретным производителям программного обеспечения, а иногда к конкретным группам организационных подразделений. Правильно выбрав уровни и соответствующим образом определив масштабы, организации получат преимущества от использования стандартизированных процессов SAM, описанные в настоящем стандарте в разделе 1 "Цель документа".
В принципе для определения стандарта, соответствие которому может быть поэтапно достигнуто, можно также применить подход на базе использования модели способности или зрелости. Однако на практике такой подход, если он предполагает независимую сертификацию, представляется значительно более сложным. Несмотря на это, по итогам переработки первой редакции ИСО/МЭК 15504 предполагается разработка такого подхода, что позволит объединить подходы, основанные на настоящем стандарте и других рыночных методологиях, исходя из уровня зрелости.
1 Общие положения
1.1 Цель документа
Настоящий стандарт определяет основу комплексного набора процессов менеджмента программных активов (Software Asset Management, SAM), разделенного на уровни, предусматривающие поэтапное внедрение, оценку и утверждение процессов SAM.
1.2 Область применения
Настоящий стандарт применяется к процессам SAM и может использоваться организациями для получения немедленных преимуществ. ИСО/МЭК 19770-2 определяет соответствующую спецификацию дескрипторов идентификации программного обеспечения. Для получения всех преимуществ данная спецификация должна быть внедрена производителями программного обеспечения (внешними и внутренними) и разработчиками инструментальных средств.
Предполагается, что настоящий стандарт станет стандартом внедрения для организаций. В последующих редакциях могут быть предусмотрены инструменты измерений, согласованные с требованиями ИСО/МЭК 15504-2:2003 или ИСО/МЭК 33003*.
________________
* ИСО/МЭК 33003 Системное проектирование и разработка программного обеспечения. Требования к инфраструктуре измерения процессов.
Настоящий стандарт применим к организациям любого размера или отрасли. С целью обеспечения соответствия, настоящий стандарт может применяться только к юридическому лицу или к частям отдельного юридического лица. Он также может применяться к нескольким юридическим лицам (например, родительской и дочерним предприятиям транснациональной компании), если между ними существуют юридические отношения (например, одна компания осуществляет контроль над другими). Настоящий раздел стандарта применяется только в тех случаях, когда контролирующая компания осуществляет контроль над всей областью применения (как это определено с целью обеспечения соответствия), а аудитор соглашается с таким определением организационной области применения.
Примечание - Определение организационной области применения документируется в разделе "Процесс корпоративного управления SAM" (4.2.2).
Настоящий стандарт может применяться к организации, передавшей процессы SAM в субподряд, при этом ответственность за демонстрацию соответствия всегда лежит на организации, привлекающей субподрядчиков.
Настоящий стандарт может применяться ко всему программному обеспечению и связанным активам, независимо от характера программного обеспечения, при этом под связанными активами понимаются активы, необходимые для использования программного обеспечения или управления им. Например, он может быть применен как к исполняемому программному обеспечению (прикладным программам, операционным системам и программным утилитам), так и к неисполняемому программному обеспечению (шрифтам, графике, аудио- и видеозаписям, шаблонам, словарям, документам и данным). Он может применяться ко всем технологическим средам и вычислительным платформам (например, виртуализированным приложениям, программному обеспечению, установленному на компьютерах организации или программному обеспечению "как услуга" (SaaS); в равной мере она применима к облачным сервисам и устаревшим вычислительным средам).
Примечание - Определение области применения программного актива (типов программного обеспечения, входящих в область применения), документируется как часть Плана SAM, разработанного в ходе процесса "Планирование SAM". Эта область может быть определена любым удобным для организации способом, например, ею может быть все программное обеспечение, компьютерные программы, программное обеспечение конкретных платформ или программное обеспечение конкретных производителей, при условии, что такое определение области является однозначным. См. также пояснения ниже после данного подраздела и в таблице 1.
За исключением требований, оговоренных в 4.7.4 "Процесс разработки программного обеспечения", применение настоящего стандарта при разработке программного обеспечения (в части написания и поддержания программного кода) не требуется. Он предназначен для применения ко всему программному обеспечению в производственной среде, в том числе к процессам конфигурирования программного обеспечения, создания и контроля сборок и релизов. Провести четкую границу между чистой разработкой (исключаемой, таким образом, из рассмотрения) и производственной средой (включаемой, таким образом, в рассмотрение) можно, однозначно формально определив организационную область или область применения программного обеспечения.
Примечание - Программное обеспечение, используемое для разработки другого программного обеспечения, считается частью производственной среды, другими словами, программное обеспечение, используемое разработчиками, само должно быть под контролем.
В рамках настоящего стандарта различают следующие формы программных активов:
a) права на использование программного обеспечения, выражаемые полной собственностью (в отношении программного обеспечения, разработанного внутри организации) и обладанием лицензиями (в отношении коммерческого программного обеспечения и программного обеспечения с открытым исходным кодом сторонней разработки);
b) программное обеспечение, предназначенное для использования, содержащее ценность, связанную с наличием интеллектуальной собственности (в том числе исходное программное обеспечение, предоставленное производителями и разработчиками программного обеспечения, сборки программного обеспечения и программного обеспечения в том виде, в котором оно было установлено и иным образом предоставлено, использовано или исполнено); и
c) носители, содержащие программное обеспечение для использования.
Примечание - В финансовом учете под активами в первую очередь понимается категория, приведенная в перечислении a), но даже в этом случае этот актив может быть полностью списан. Категория, приведенная в перечислении b) при использовании не лицензированного должным образом коммерческого программного обеспечения фактически может рассматриваться как пассив (а не актив). Настоящий стандарт предусматривает, что собственные активы категорий по перечислениям b) и c) должны контролироваться так же, как и категории перечисления а). Лицензии могут иметь бухгалтерскую стоимость, однако используемое программное обеспечение должно иметь коммерческую стоимость и рассматриваться как бизнес-актив.
Под связанными активами в области применения понимаются все активы с характеристиками, необходимыми для использования или управления программным обеспечением в этой области применения. Любые характеристики связанных активов, не требуемые для использования программного обеспечения или управления им, лежат вне области применения. В таблице 1 приведены примеры таких активов.
Таблица 1 - Применение настоящего стандарта к активам, не являющимся программным обеспечением
Тип актива | Применимость | Пример |
Аппаратное обеспечение | Нормативная - для аппаратных активов с характеристиками, необходимыми для использования программных активов или управления ими в области применения | Инвентарная опись оборудования, на котором может храниться, исполняться или иным образом использоваться программное обеспечение; |
Неприменимо для характеристик, не требуемых для использования программных активов или управления ими в области применения | Стоимость и амортизация аппаратных средств, даты профилактического обслуживания и обновления | |
Прочие активы | Нормативная - для прочих активов с характеристиками, необходимыми для использования программных активов или управления ими в области применения | Имена работников для идентификации ответственных лиц; подсчет численности персонала для целей лицензирования (если эта численность оговаривается в условиях лицензирования); инфраструктура или архитектура ИТ, в том числе интерфейсы (если это необходимо для определения соответствующего использования определенных лицензионных параметров, например для определения мультиплексирования) |
Неприменимо для характеристик, не требуемых для использования программных активов или управления ими в области применения | Другая информация о работниках |
1.3 Ограничения
Настоящий стандарт не оговаривает методы или процедуры SAM, необходимые для удовлетворения требований к результатам процесса.
В настоящем стандарте не оговаривается последовательность шагов, которые должна выполнить организация для реализации SAM, аналогично, никакая последовательность описания процессов не подразумевает никакой последовательности их реализации. Единственной последовательностью в этом смысле может быть последовательность, определяемая содержанием и контекстом. Например, планирование должно предшествовать внедрению.
Настоящий стандарт не определяет документацию с точки зрения именований, форматов, явного содержимого и информации.
Сведения о процессах сертификации и оформления официального подтверждения находятся вне области действия настоящего стандарта.
Настоящий стандарт не имеет целью вступление в противоречие с любыми политиками, процедурами и стандартами организации или с любыми внутригосударственными законами и регуляторными актами. Любое такое противоречие должно быть устранено до начала использования стандарта.
2 Соответствие требованиям
2.1 Предусмотренное использование
Настоящий стандарт предназначен для использования в качестве руководства по применению наилучших практик и имеет целью предоставление возможности прохождения независимой сертификации по отдельным уровням. При этом способы оценки соответствия организации требованиям могут быть разными.
При написании настоящего стандарта была сохранена преемственность ИСО/МЭК 19770-1:2006 с добавлением того, что оценка может осуществляться с применением того же подхода, который используется в других стандартах, принятых в качестве основных стандартов систем управления, как это определено в Руководстве ИСО 72. В частности, это означает, что аудитору теперь предоставлена возможность выбирать между оценкой на основе анализа главной цели каждой из групп процессов (по-новому) и оценкой на основе анализа всех результатов каждой из групп процессов, как это предусмотрено ИСО/МЭК 19770-1:2006 (по-старому). Сделанный выбор должен последовательно применяться в качестве метода оценки во всех группах процессов.
2.2 Методы демонстрации полного соответствия
Описание требований, предъявляемых настоящим стандартом, содержится в целях и результатах, перечисленных в разделе 4. Любое заявление о соответствии должно быть заявлением о полном соответствии условиям данного стандарта (в том числе это касается любых процессов, переданных на субподряд).
Полное соответствие любому уровню настоящего стандарта достигается одним из двух способов:
- посредством демонстрации выполнения всех требований соответствующего уровня настоящего стандарта. В качестве подтверждения выполнения используются результаты; или
- посредством демонстрации достижения всех целей соответствующего уровня настоящего стандарта.
Кроме того, необходимо продемонстрировать, что все приведенные ниже уровни на данный момент также прошли сертификацию на полное соответствие, и что они подвергаются постоянному контролю на полное соответствие в рамках установленной аудитором программы контроля; или, как вариант, что любые приведенные ниже уровни прошли сертификацию в рамках текущего аудита.
Если в процессе демонстрации достижений всех целей соответствующего уровня, определенного в настоящем стандарте, было подтверждено полное соответствие, выдвигаются два дальнейших требования:
- если группа процессов имеет результаты на различных уровнях, то цель такой группы процессов должна соответственно интерпретироваться при проведении аудита каждого уровня;
- помимо анализа подтверждений, демонстрирующих достижение всех целей, аудитор должен учитывать оговоренные результаты на соответствующем уровне.
При неполучении всех оговоренных результатов аудитор должен для каждого такого результата письменно пояснить причину(ы), по которой цели уровня все же считаются им полностью выполненными без учета такого результата.
Во избежание сомнений, если результаты описываются с использованием слов "включая" или "в том числе", или "в частности", за которыми следует перечисление, то все элементы перечисления считаются необходимыми, при этом дополнительные (не включенные в перечисление) элементы считаются возможными, но не необходимыми.
3 Термины и определения
В настоящем стандарте применены следующие термины с соответствующими определениями:
3.1 базовые показатели: Состояние услуги или отдельных элементов конфигурации (3.2) в конкретный момент времени [ИСО/МЭК 20000-1:2005].
3.2 элемент конфигурации (ЭК): Компонент инфраструктуры или объект, который находится или будет находиться под контролем.
Примечания
1 В контексте настоящего стандарта термин "под контролем" означает под контролем процессов инвентаризации. Процессы инвентаризации SAM (4.4) являются основой не только SAM, но и всего управления конфигурациями.
2 Элементы конфигурации (ЭК) обычно определяются как часть практики менеджмента услуг и могут значительно различаться по сложности, размеру и типу. Элементами конфигурации могут быть, например, система целиком со всем своим аппаратным и программным обеспечением и документацией или же отдельные модули или небольшие аппаратные компоненты.
3.3 правление или эквивалентный орган: Лицо или группа лиц, несущих юридическую ответственность за руководство или управление организацией на высшем уровне.
3.4 финальная основная версия: Исходный экземпляр программного обеспечения, используемый для установки или поставки программного обеспечения.
Пример - Источник, используемый для создания экземпляров для распространения.
Примечание - Установка может применяться к исполняемому и неисполняемому программному обеспечению или связанным активам, например к шрифтам. Установку можно выполнять на клиентских/локальных и/или серверных устройствах, например при предоставлении программного актива как услуги.
3.5 экземпляр для распространения: Экземпляр финальной основной версии программного обеспечения, подготовленный с целью установки на другое аппаратное обеспечение. Экземпляры для распространения могут размещаться, например на сервере или физическом носителе, например на компакт-диске.
3.6 действующая полная лицензия: Документ, предоставляющий права на программное обеспечение, разрешающие одно полное использование программного обеспечения.
Примечания
1 Действующая лицензия состоит из одной или более составляющих лицензий (3.16).
Пример - В некоторых типах лицензирования составляющая полная лицензия для версии 1 программного продукта плюс составляющая лицензия на обновление программного продукта до версии 2 объединяются и составляют одну действующую полную лицензию для версии 2 программного продукта. В данном примере права на обновление лицензии могут быть получены в соответствии с условиями контракта на предоставление услуг поддержки или по подписке.
2 Термин "полное использование программного обеспечения" определяется в условиях использования лицензии(ий).
3.7 локальный владелец процессов SAM: Физическое лицо на любом уровне организации, располагающееся ниже уровня владельца процессов SAM (3.13), определяемое как лицо, ответственное за процессы SAM в определенной части организации.
3.8 персонал: Любое физическое лицо, выполняющее обязанности по поручению организации, в том числе должностные лица, работники и подрядчики.
3.9 платформа: Тип компьютера или аппаратного устройства и/или связанной операционной системы, или виртуальной среды, на которых может устанавливаться или запускаться программное обеспечение.
Примечание - Платформа - не одно и то же, что отдельно взятые экземпляры этой платформы, которые именуются "устройства" или "экземпляры".
3.10 процедура: Определенный способ выполнения действия или процесса.
Примечание - Если процедура определена как результат, то в итоговом документе должно быть указано, кто, что и в какой последовательности ее выполняет. Процедура имеет более детальный уровень описания, чем процесс (3.11).
3.11 процесс: Набор взаимосвязанных операций, с помощью которых исходные данные преобразуются в выходные данные.
Примечание - Если процесс определен как результат, то в итоговом документе должны быть перечислены исходные и выходные данные и приведено общее описание ожидаемых операций. Процесс при этом не требует такого же подробного уровня детализации, как процедура (3.10).
3.12 релиз: Набор новых и/или измененных элементов конфигурации, которые были совместно протестированы и внедрены в рабочую среду.
[ИСО/МЭК 20000-1:2005]
Примечание - Релиз может получить техническое утверждение, но быть пока не разрешенным для внедрения. Релиз может состоять из исходного, исполняемого кода или множественных программных активов, упакованных в производственный релиз, протестированный для установки на целевую платформу.
3.13 владелец процессов SAM: Физическое лицо на высшем уровне руководства организации, определенное как лицо, ответственное за процессы SAM.
3.14 программное обеспечение: Все или часть программ, процедур, правил и связанной документации, относящихся к системе обработки информации.
Примечания
1 Имеется множество определений используемого программного обеспечения. В контексте настоящего стандарта в программное обеспечение важно включать как исполняемое, так и неисполняемое программное обеспечение, например шрифты, графику, аудио- и видеозаписи, шаблоны, словари и документы. (См. также 1.2 "Область применения").
2 Пользователь настоящего стандарта должен определить собственную область действия для своего приложения, и может ограничить типы программного обеспечения, учитываемые в области действия. (См. также раздел 1 "Цель документа").
[ИСО/МЭК 2382-1:1993, 01.01.08]
3.15 менеджмент программных активов (SAM): Эффективное управление, контроль и защита программных активов в масштабах организации и эффективное управление, контроль и защита информации о связанных активах, необходимых для управления программными активами.
Примечание - Соответствующее определение в Библиотеке инфраструктуры информационных технологий (InformationTechnologylnfrastructureLibrary, ITIL) - "вся инфраструктура и процессы, необходимые для эффективного управления, контроля и защиты программных активов в пределах организации на протяжении всех стадий ее жизненного цикла".
3.16 составляющая лицензия: Лицензия на использование программного обеспечения в форме, в которой оно было первоначально приобретено или получено и которая непосредственно связана с закупочными документами.
Примечание - Составляющая лицензия может содержать условия, требующие ее использования в сочетании с другой лицензией или лицензиями, с целью получения действующей полной лицензии (3.6). Составляющая лицензия также может предоставлять право на использование будущих версий программного обеспечения, или определять способы ее обновления или замены на новую версию, или оговаривать соответствующие ограничения, или описывать методы обновления лицензии посредством объединения с другой лицензией, непосредственно связанной с другим закупочным документом.
4 Процессы SAM
4.1 Общие положения
4.1.1 Определение и отношение к менеджменту услуг
Под менеджментом программных активов понимается эффективное управление, контроль и защита программных активов в масштабе организации, а также эффективное управление, контроль и защита информации о связанных активах, необходимых для управления программными активами.
Процессы SAM, в соответствии с их определением в настоящем стандарте, согласованы и предназначены для поддержки менеджмента ИТ-услуг, в соответствии с определением стандарта ИСО/МЭК 20000-1.
4.1.2 Обзор процессов SAM
Концептуальная основа процессов SAM имеет комплексный характер и сама по себе не отражает уровни, описанные во введении или в разделе 5 "Уровни".
Концепция процессов SAM структурирована по трем основным категориям:
a) процессы организационного управления SAM;
b) базовые процессы SAM;
c) первичные интерфейсы процессов SAM.
Структура процессов SAM с разбивкой по трем основным категориям приведена на рисунке 2.
Рисунок 2 - Структура процессов SAM
Более подробное описание процессов приведено в 4.2-4.7.
4.1.3 Результаты, операции и интерфейсы
Настоящий стандарт составлен с использованием таких элементов процесса, как право, цель и результаты. В настоящий стандарт не входят операции, представляющие собой действия, которые могут выполняться для достижения результатов.
Результаты, описанные в настоящем стандарте, разработаны таким образом, чтобы их можно было легко оценить, однако они не обязательно отражают объемы операций, которые нужно выполнить для их получения. Например, ведение инвентарной описи в процессе "Управление инвентаризацией программных активов" по логике требует выполнения операций, связанных с подтверждением корректности данных, хотя это и не указано в качестве результата настоящего стандарта.
Целостность данных обеспечивается в настоящем стандарте с помощью процессов проверки правильности и соблюдения соответствия SAM.
Некоторые наиболее важные операции представляют собой действия по обеспечению взаимодействия с другими процессами. Например, после приобретения (или "закупки") программного актива цель к достижению формулируется так: "Цель процесса закупки программного обеспечения и связанных активов состоит в обеспечении получения программного обеспечения контролируемым способом и в регистрации этого программного обеспечения". Этот процесс, как и многие другие, требует применения процесса "Управление инвентаризацией программных активов" для регистрации данных, их проверки на наличие обязательных полей и т.п. Другим примером может служить создание базовых показателей в процессе "Контроль программных активов". Этот процесс вызывается процессом "Разработка программного обеспечения" и процессом "Управление релизами программного обеспечения". В настоящем стандарте не ставится цель подробного описания таких деталей, однако для достижения поставленных целей косвенно подразумеваются к наличию таких операций или интерфейсов.
4.2 Контрольная среда SAM
4.2.1 Общие положения
Контрольная среда SAM создает и поддерживает систему менеджмента, в рамках которой реализуются другие процессы SAM.
Контрольная среда SAM состоит из следующих групп процессов:
a) процесс корпоративного управления SAM;
b) роли и обязанности SAM;
c) политики, процессы и процедуры SAM;
d) компетенции в SAM.
4.2.2 Процесс корпоративного управления SAM
4.2.2.1 Цель
Цель процесса корпоративного управления SAM состоит в обеспечении того, чтобы обязанности по управлению программными активами подтверждались на уровне правления или эквивалентного органа и чтобы для обеспечения надлежащего исполнения этих обязанностей использовались соответствующие механизмы. | Применимо к уровням 2 и 4 |
Примечание - Этот процесс может рассматриваться как часть общего корпоративного управления ИТ. (См. ИСО/МЭК 38500). |
4.2.2.2 Результаты
Результат | Уровень | |||
1 | 2 | 3 | 4 | |
Реализация процесса корпоративного управления SAM позволит организации продемонстрировать следующее: | ||||
a) на корпоративном уровне организации имеется ясное изложение организационной области применения в контексте данного стандарта в отношении: | ||||
b) ответственность за корпоративное управление программным обеспечением и связанными активами формально подтверждена правлением или эквивалентным органом организации | ||||
c) организацией были определены, документированы и не реже одного раза в год пересматриваются корпоративные регулирующие документы или нормативы, относящиеся к использованию программного обеспечения и связанных активов во всех странах, в которых работает организация | ||||
d) организацией были определены, задокументированы и утверждены правлением или эквивалентным органом и не реже одного раза в год обновляются результаты оценки рисков, имеющих отношение к программному обеспечению и связанным активам, и определяемые руководством методы их снижения. К таким рискам, как минимум, относятся следующие: | ||||
e) цели управления SAM утверждаются правлением или эквивалентным органом и пересматриваются не реже одного раза в год | ||||
4.2.3 Роли и обязанности SAM
4.2.3.1 Цель
Цель процесса "Роли и обязанности SAM" состоит в четком определении ролей и обязанностей в отношении ПО и связанных активов. Эти роли и обязанности должны соблюдаться и пониматься всем персоналом, к которому они могут относиться. | Применимо к уровню 2 |
4.2.3.2 Результаты
Результат | Уровень | |||
1 | 2 | 3 | 4 | |
Реализация процесса "Роли и обязанности SAM" позволит организации продемонстрировать следующее: | ||||
a) в организации четко определена и утверждена правлением или эквивалентным органом роль владельца процессов SAM, ответственного за корпоративное управление программным обеспечением и связанными активами. Возложенные на владельца процессов SAM в масштабе всей организации обязанности включают следующее: | ||||
b) в организации документированы и назначены конкретным лицам локальные роли и обязанности по корпоративному управлению программного обеспечения и связанными активами. Возложенные обязанности для той части организации, за которую несет ответственность каждое лицо, включают следующее: | ||||
c) эти обязанности доводятся до сведения всех связанных с SAM частей организации тем же образом, что и другие политики (уровня организации и локальные) | ||||
4.2.4 Политики, процессы и процедуры SAM
4.2.4.1 Цель
Цель процесса "Политики, процессы и процедуры SAM" состоит в обеспечении проведения организацией четких политик, процессов и процедур, обеспечивающих эффективное планирование, работу и управление SAM | Применимо к уровню 2 |
4.2.4.2 Результаты
Результат | Уровень | |||
1 | 2 | 3 | 4 | |
Реализация процесса "Политики, процессы и процедуры SAM" позволит организации продемонстрировать следующее: | ||||
a) в организации применяется структурированный подход к созданию, анализу, утверждению, выпуску и контролю политик, процессов, процедур и связанной документации, относящихся к SAM, позволяющий в любое время определять полный доступный набор, текущую рабочую версию любого документа и документы, которые должны применяться к различным типам ПО и связанных активов. | ||||
b) документация по политикам, процессам и процедурам, описываемая настоящим стандартом, классифицируется в организации по процессам, определенным в настоящем стандарте, или по ссылкам на такие классификации | ||||
c) в организации разрабатываются, утверждаются и выпускаются политики, охватывающие, как минимум: | ||||
d) политики и процедуры доводятся до сведения всего персонала в организации способом, который позволяет: | ||||
4.2.5 Компетенции в SAM
4.2.5.1 Цель
Цель процесса "Компетенции в SAM" состоит в обеспечении доступности и применении соответствующей компетенции и опыта в SAM | Применимо к уровням 2 и 4 |
4.2.5.2 Результаты
Результат | Уровень | |||
1 | 2 | 3 | 4 | |
Реализация процесса "Компетенции в SAM" позволит организации продемонстрировать следующее: | ||||
a) в организации не реже одного раза в год документируется процесс проверки изменений требований. Проверяется доступность и прохождение обучения и сертификации персонала в сфере обязанностей SAM в отношении: | ||||
b) в организации не реже одного раза в год проводится проверка требований к составляющим "Подтверждения лицензии" для производителя программного обеспечения | ||||
c) персонал организации, ответственный за управление SAM, ежегодно проходит обучение (включая начальное и дополнительное) в области SAM и соответствующее лицензирование. | ||||
d) в организации не реже одного раза в год осуществляется проверка наличия дополнительных инструкций производителей программного обеспечения (если таковые имеются) с целью обеспечения соответствия их лицензиям | ||||
4.3 Процессы планирования и внедрения SAM
4.3.1 Общие положения
Процессы планирования и внедрения SAM обеспечивают эффективное достижение целей управления SAM.
Процессы в этой области в целом соответствуют процессам "Планируй - выполняй - проверяй - действуй", определенным в ИСО/МЭК 9001.
Процессы планирования и внедрения SAM состоят из следующих групп процессов:
a) планирование SAM;
b) внедрение SAM;
c) мониторинг и проверка SAM;
d) непрерывное совершенствование SAM.
4.3.2 Планирование SAM
4.3.2.1 Цель
Цель процесса "Планирование SAM" состоит в обеспечении адекватной подготовки и планировании для эффективного достижения целей SAM | Применимо к уровням 2 и 4 |
4.3.2.2 Результаты
Результат | Уровень | |||
1 | 2 | 3 | 4 | |
Реализация процесса "Планирование в SAM" позволит организации продемонстрировать следующее: | ||||
a) управленческие цели SAM в организации разрабатываются и предлагаются для утверждения правлением или эквивалентным органом и обновляются не реже одного раза в год | ||||
b) план реализации и представления SAM (далее - план SAM) разрабатывается, документируется и обновляется не реже одного раза в год. Этот план включает в себя: | ||||
c) план утвержден правлением или эквивалентным органом организации | ||||
4.3.3 Внедрение SAM
4.3.3.1 Цель
Цель процесса "Внедрение SAM" состоит в достижении общих целей SAM и выполнении плана SAM | Применимо к уровню 4 |
4.3.3.2 Результаты
Результат | Уровень | |||
1 | 2 | 3 | 4 | |
Реализация процесса "Внедрение SAM" позволит организации продемонстрировать следующее: | ||||
a) в организации имеются механизмы сбора информации, в том числе информации локальных владельцев процессов SAM, об изменениях, проблемах и рисках, воздействующих на план SAM на протяжении года | ||||
b) владельцами процессов SAM готовятся регулярные отчеты о состоянии дел (не реже одного раза в квартал), подробно описывающие общий ход выполнения плана SAM, для выдачи отчета правлению или эквивалентному органу организации | ||||
c) в организации проводится оперативное отслеживание и документирование любых выявленных расхождений | ||||
4.3.4 Мониторинг и проверка SAM
4.3.4.1 Цель
Цель процесса "Мониторинг и проверка SAM" состоит в обеспечении достижения общих целей управления SAM | Применимо к уровням 2 и 4 |
4.3.4.2 Результаты
Результат | Уровень | |||
1 | 2 | 3 | 4 | |
Реализация процесса "Мониторинг и проверка SAM" позволит организации продемонстрировать следующее: | ||||
a) в организации не реже одного раза в год проводится формальная проверка с целью: | ||||
b) владелец процессов SAM формально утверждает итоговые отчет, документы, решения и меры, и направляет их копии в правление или эквивалентный орган организации | ||||
c) в организации проводится периодическая (не реже одного раза в год) проверка того, развернуты ли программное обеспечение и связанные активы наиболее рентабельным способом; и выдаются рекомендации по возможным усовершенствованиям. | ||||
4.3.5 Непрерывное совершенствование SAM
4.3.5.1 Цель
Цель процесса "Непрерывное совершенствование SAM" состоит в определении и реализации возможностей усовершенствования там, где они оправданы, при использовании как программного обеспечения и связанных активов, так и самих процессов SAM | Применимо к уровню 4 |
4.3.5.2 Результаты
Результат | Уровень | |||
1 | 2 | 3 | 4 | |
Реализация процесса "Непрерывное совершенствование SAM" позволит организации продемонстрировать следующее: | ||||
a) в организации имеется механизм сбора и учета предложений по усовершенствованию SAM, поступающих из всех источников в течение года | ||||
b) в организации регулярно выполняются оценки, классификации и утверждения для включения предложений по усовершенствованию в планы реализации и совершенствования SAM | ||||
4.4 Процессы инвентаризации SAM
4.4.1 Общие положения
Процессы инвентаризации SAM формируют и поддерживают все учетные записи и отчеты по программному обеспечению и связанным активам, а также реализуют функционал управления данными, обеспечивающий целостность управления программным обеспечением и связанными активами в других процессах SAM.
Процессы инвентаризации SAM являются основой не только SAM, но и всего управления конфигурациями. Управление конфигурациями - более широкая категория, чем SAM, так как оно охватывает не только все ИТ-активы (не только программное обеспечение и связанные активы), но активы, не относящиеся к ИТ, а также взаимоотношения между всеми этими активами. В контексте программы, охватывающей весь менеджмент ИТ-услуг, процессы инвентаризации SAM рассматриваются как часть управления конфигурациями.
Для обеспечения надлежащего функционирования всего процесса SAM и любых процессов менеджмента ИТ-услуг (базирующихся на процессах инвентаризации), процессы инвентаризации необходимо выполнять на регулярной основе.
Примечание - Стандартизированные информационные структуры, например, определенные в других частях настоящего стандарта, облегчают использование информационных процессов SAM, в том числе обеспечивают их автоматизацию.
Процессы инвентаризации SAM состоят из следующих групп процессов:
a) идентификация программных активов;
b) управление инвентаризацией программных активов;
c) контроль программных активов.
4.4.2 Идентификация программных активов
4.4.2.1 Цель
Цель процесса "Идентификация программных активов" состоит в отборе, группировании и классификации по соответствующим характеристикам необходимых классов активов, обеспечивающих эффективное управление программным обеспечением и связанными активами | Применимо к уровням 1 и 4 |
4.4.2.2 Результаты
Результат | Уровень | |||
1 | 2 | 3 | 4 | |
Реализация процесса "Идентификация программных активов" позволит организации продемонстрировать следующее: | ||||
a) в организации формально определены типы контролируемых активов и связанная с ними информация, характеризуемые следующими особенностями: | ||||
b) в организации имеется реестр хранилищ и запасов, содержащий сведения о хранимых запасах и типах информации. Дублирование информации такого реестра допускается только в том случае, если дублируемую информацию можно отследить до определенной исходной записи. | ||||
4.4.3 Управление инвентаризацией программных активов
4.4.3.1 Цель
Цель процесса "Управление инвентаризацией программных активов" состоит в обеспечении надлежащего хранения физических экземпляров программных активов и учете необходимых данных о характеристиках всех активов и элементов конфигурации на протяжении всего жизненного цикла. Этот процесс также выдает информацию о программных и связанных активах, необходимую для обеспечения эффективности других бизнес-процессов | Применимо к уровням 1 и 4 |
4.4.3.2 Результаты
Результат | Уровень | |||
1 | 2 | 3 | 4 | |
Реализация процесса "Управление инвентаризацией программных активов" позволит организации продемонстрировать следующее: | ||||
a) организацией разработаны, утверждены и выпущены политики и процедуры, относящиеся к управлению и обслуживанию физических/электронных хранилищ, в том числе имеются средства контроля доступа: | ||||
b) в организации имеются инвентарные описи: | ||||
c) в организации имеются инвентарные описи и соответствующие физические/электронные хранилища: | ||||
1) программного обеспечения (финальных основных версий и экземпляров для распространения); | ||||
2) сборок и релизов программного обеспечения (финальных основных версий и экземпляров для распространения); | ||||
3) контрактов, имеющих отношение к программным активам, как бумажных, так и электронных; | ||||
4) документов, доказывающих наличие лицензии ("Подтверждение лицензии") | ||||
d) в организации имеются инвентарные описи или другие четко определенные механизмы анализа или отслеживания количественных показателей, позволяющие определить любое лицензированное использование на базе других критериев, помимо количества установленного программного обеспечения. | ||||
e) организацией приняты меры, направленные на обеспечение постоянной доступности источников упомянутых выше инвентарных описей и хранилищ | ||||
f) все представленные инвентарные отчеты составлены в соответствии с четкой описательной схемой, в том числе содержат наименование, предназначение и подробные сведения об источнике данных | ||||
4.4.4 Контроль программных активов
4.4.4.1 Цель
Цель процесса "Контроль программных активов" состоит в обеспечении механизма контроля программных активов и изменений программного обеспечения и связанных активов в процессе учета изменений статуса и утверждений | Применимо к уровню 4 |
4.4.4.2 Результаты
Результат | Уровень | |||
1 | 2 | 3 | 4 | |
Реализация процесса "Контроль программных активов" позволит организации продемонстрировать следующее: | ||||
a) организацией ведется журнал учета изменений, внесенных в программное обеспечение и связанные активы, в том числе изменений статуса, расположения, ответственности и версий | ||||
b) организацией разработаны, утверждены и выпущены политики и процедуры для разработки, обслуживания и управления версиями программного обеспечения, образами/сборками и релизами | ||||
c) организацией разработаны, утверждены и выпущены политики и процедуры, устанавливающие требования учета базовых показателей соответствующих активов перед выпуском программного обеспечения в производственную среду, причем таким образом, чтобы эти показатели могли использоваться при последующей сверке с фактическим развертыванием | ||||
4.5 Процессы проверки правильности и соблюдения соответствия SAM
4.5.1 Общие положения
Процессы проверки правильности и соблюдения соответствия SAM выявляют и контролируют все исключительные ситуации в политиках, процессах и процедурах SAM, включая права на использование лицензии.
Процессы проверки правильности и соблюдения соответствия SAM имеют важную функциональную значимость для организации. Фактически они являются процессами самоаудита и самооценки, т.е. проводятся организацией самостоятельно, без привлечения сторонних аудиторских организаций (хотя и имеют с аудиторскими процессами общие черты). С целью обеспечения надлежащего функционирования всего процесса SAM и любых основанных на них процессов менеджмента ИТ-услуг, процессы проверки правильности и соблюдения соответствия SAM должны выполняться на регулярной основе.
Процессы проверки правильности и соблюдения соответствия SAM состоят из следующих групп процессов:
a) проверка правильности записей о программных активах;
b) соответствие лицензии на ПО;
c) проверка соответствия требованиям безопасности программных активов;
d) проверка соответствия SAM.
4.5.2 Проверка правильности записей о программных активах
4.5.2.1 Цель
Цель процесса "Проверка правильности записей о программных активах" состоит в обеспечении того, что записи точно и полно отражают то, что они должны учитывать, и, с другой стороны, что учтенная информация не изменяется без согласования | Применимо к уровням 1, 2 и 4 |
4.5.2.2 Результаты
Результат | Уровень | |||
1 | 2 | 3 | 4 | |
Реализация процесса "Проверка правильности записей о программных активах" позволит организации продемонстрировать следующее: | ||||
a) организацией разработаны, утверждены и выпущены процедуры для процесса "Проверка правильности записей о программных активах", характеризуемые следующими особенностями: | ||||
1) при любом определении или изменении области применения проверяется допустимость этой области применения посредством анализа контракта и истории закупок, с целью обеспечения соответствия организационных целей и областей применения программного обеспечения бизнес-требованиям. | ||||
Примечание - Например, такой анализ необходим в тех случаях, когда в область применения включается другой производитель программного обеспечения, или при слиянии или разделении организации в соответствии со стандартом, или при перераспределении прав собственности между производителями программного обеспечения; | ||||
2) не реже одного раза в квартал проводится сверка того, что установлено на каждом экземпляре устройства или платформы, с тем, что было разрешено для установки, включая выпуск отчетов об исключительных ситуациях, выявленных по результатам текущей сверки, и об изменениях, внесенных со времени предыдущей сверки. | ||||
Примечание - Некоторые изменения могут обуславливаться обновлениями методики, посредством которой идентифицируется программное обеспечение (например, обновленные файлы подписи, в результате чего продукт, ранее учитываемый как отдельное приложение, теперь корректно идентифицируется как часть пакета); | ||||
3) не реже одного раза в 6 мес проверяется инвентарная опись аппаратного обеспечения (а также его размещения), в том числе выпускаются отчеты о выявленных исключительных ситуациях; | ||||
4) не реже одного раза в 6 мес проверяется инвентарная опись программ (финальных основных версий и экземпляров для распространения), в том числе выпускаются отчеты о выявленных исключительных ситуациях; | ||||
5) не реже одного раза в 6 мес проверяется инвентарная опись программных сборок (оригиналы и экземпляры для распространения), в том числе выпускаются отчеты о выявленных исключительных ситуациях; | ||||
6) не реже одного раза в год проверяется физическое хранилище документов, доказывающих наличие лицензии ("Подтверждение лицензии") (включая проверку документации на аутентичность), в том числе выпускаются отчеты о выявленных исключительных ситуациях; | ||||
7) не реже одного раза в год пересматриваются основания и расчеты по действующим лицензиям из составляющих лицензий, с целью подтверждения наличия необходимых составляющих лицензий и исключения дублирования учета; | ||||
8) не реже одного раза в год осуществляется проверка целостности физического хранилища контрактной документации, имеющей отношение к программному обеспечению), в том числе выпускаются отчеты о выявленных исключительных ситуациях; | ||||
9) не реже одного раза в год проверяется инвентарная опись контрактов, в том числе выпускаются отчеты о выявленных исключительных ситуациях; | ||||
10) проводится периодическая проверка прошлых счетов-фактур с целью выявления неверно оформленных счетов и переплат. | ||||
11) при выявлении любых расхождений или возникновении описанных выше проблем выполняются и документируются последующие корректирующие действия. | ||||
4.5.3 Проверка соответствия лицензирования программного обеспечения
4.5.3.1 Цель
Цель процесса "Проверка соответствия лицензирования программного обеспечения" состоит в обеспечении надлежащего лицензирования и использования в соответствии с условиями лицензии всей интеллектуальной собственности, имеющей отношение к программному обеспечению и связанным активам, используемой организацией, однако принадлежащей другим сторонам | Применимо к уровню 1 |
4.5.3.2 Результаты
Результат | Уровень | |||
1 | 2 | 3 | 4 | |
Реализация процесса "Проверка соответствия лицензирования программного обеспечения" позволит организации продемонстрировать следующее: | ||||
a) организацией разработаны, утверждены и выпущены процедуры для процесса "Проверка соответствия лицензирования программного обеспечения", характеризуемые следующими особенностями: | ||||
4.5.4 Проверка соответствия требованиям безопасности программных активов
4.5.4.1 Цель
Цель процесса "Проверка соответствия требованиям безопасности программных активов" состоит в обеспечении требований к безопасности, имеющих отношение к использованию программного обеспечения и связанных активов | Применимо к уровню 3 |
4.5.4.2 Результаты
Результат | Уровень | |||
1 | 2 | 3 | 4 | |
Реализация процесса "Проверка соответствия требованиям безопасности программных активов" позволит организации продемонстрировать следующее: | ||||
a) в организации не реже одного раза в год проводится анализ фактической практики с целью выявления исключительных ситуаций в политике безопасности. В ходе этой проверки должен проводиться анализ средств контроля доступа к финальным основным версиям и экземплярам для распространения программного обеспечения, а также прав на установку и/или использование, указанных пользователем или группой пользователей | ||||
b) в организации принимаются документированные меры по любым выявленным при таком анализе расхождениям | ||||
4.5.5 Проверка соответствия SAM
4.5.5.1 Цель
Цель процесса "Проверка соответствия SAM" состоит в обеспечении постоянного соответствия требованиям настоящего стандарта, в том числе соответствия необходимым политикам и процедурам. | На всех уровнях для требований этого уровня |
4.5.5.2 Результаты
Результат | Уровень | |||
1 | 2 | 3 | 4 | |
Реализация процесса "Проверка соответствия SAM" позволит организации продемонстрировать следующее: | ||||
a) организацией разработаны, утверждены и выпущены политики и процедуры для проверки соответствия данному уровню (уровням) настоящего стандарта, обеспечивающие такую проверку не реже одного раза в год на основе выборки всех требований, оговоренных для соответствующего уровня(ей) настоящего стандарта. В частности выполняется проверка того, что процедуры, реализованные организацией для других процессов SAM, удовлетворяют всем требованиям, описанным в настоящем стандарте для таких процедур | ||||
b) в организации имеются письменные подтверждения выполнения указанных выше процедур проверки и выполнения последующих корректирующих мер вплоть до успешного устранения причин всех выявленных исключительных ситуаций | ||||
4.6 Процессы и интерфейсы управления операциями SAM
4.6.1 Общие положения
Процессы и интерфейсы управления операциями SAM выполняют функции операционного управления, необходимые для достижения общих целей и преимуществ SAM.
Процессы и интерфейсы управления операциями SAM состоят из следующих групп процессов:
a) управление отношениями и контрактами SAM;
b) управление финансами SAM;
c) управление уровнями обслуживания SAM;
d) управление безопасностью SAM.
4.6.2 Управление отношениями и контрактами SAM
4.6.2.1 Цель
Цель процесса "Управление отношениями и контрактами SAM" состоит в управлении отношениями с другими как внешними, так и внутренними организациями, предоставлении непрерывных качественных услуг SAM и управлении всеми контрактами на поставку и обслуживание программного обеспечения и связанных с ним активов и услуг. | Применимо к уровням 2, 3 и 4 |
4.6.2.2 Результаты
Результат | Уровень | |||
1 | 2 | 3 | 4 | |
Реализация процесса "Управление отношениями и контрактами SAM" позволит организации продемонстрировать следующее: | ||||
a) организацией разработаны, утверждены и выпущены политики и процедуры для управления отношениями с поставщиками, поставляющими программное обеспечение и связанные с ним активы и услуги, характеризуемые следующими особенностями: | ||||
b) организацией разработаны, утверждены и выпущены политики и процедуры для управления отношениями на стороне клиентов, в частности включающие: | ||||
с) организацией разработаны, утверждены и выпущены политики и процедуры для управления контрактами, в частности предусматривающие: | ||||
1) непрерывную регистрацию в системе управления контрактами сведений о контрактах по мере их подписания. | ||||
2) надежное хранение экземпляров всей подписанной контрактной документации, а также всех их копий в системе управления документами. | ||||
3) документированный анализ (не реже одного раза в 6 мес, а также перед истечением срока действия) всех контрактов на поставку и обслуживание программного обеспечения и связанных активов и услуг с документально зафиксированными выводами и решениями о принятии любых необходимых мер. | ||||
4.6.3 Финансовое управление SAM
4.6.3.1 Цель
Целью процесса "Финансовое управление SAM" является планирование и учет программного обеспечения и связанных активов и обеспечение быстрой доступности информации для оформления финансовой отчетности, налогового планирования и проведения расчетов, например совокупной стоимости владения и доходов от инвестиций. | Применимо к уровням 2 и 3 |
4.6.3.2 Результаты
Результат | Уровень | |||
1 | 2 | 3 | 4 | |
Реализация процесса "Финансовое управление SAM" позволит организации продемонстрировать следующее: | ||||
a) организация согласовала с соответствующими сторонами и документировала по типам активов определения финансовой информации, относящейся к управлению программным обеспечением и связанными активами. | ||||
b) организацией разработаны официальные бюджеты на приобретение программных активов (внешних или внутренних) и определены связанные затраты на поддержку и обслуживание инфраструктуры | ||||
c) организацией учтены в бюджете фактические расходы на программные активы и затраты на поддержку и обслуживание инфраструктуры | ||||
d) в организации имеются средства оперативного доступа к четко документированной финансовой информации о стоимости программных активов (в том числе к данным о первоначальной и амортизированной стоимости) | ||||
e) в организации проводится формально документированная сверка (не реже одного раза в квартал) фактических расходов с бюджетными показателями с документально зафиксированными выводами и решениями о принятии любых необходимых мер | ||||
f) в организации проводится оптимизационный анализ лицензий, заключающийся в анализе рентабельности затрат на лицензирование, по результатам которого выдаются рекомендации по улучшению. | ||||
4.6.4 Управление уровнями обслуживания SAM
4.6.4.1 Цель
Цель процесса "Управление уровнями обслуживания SAM" состоит в определении, регистрировании и управлении уровнями обслуживания, имеющими отношение к SAM | Применимо к уровню 3 |
4.6.4.2 Результаты
Результат | Уровень | |||
1 | 2 | 3 | 4 | |
Реализация процесса "Управление уровнями обслуживания SAM" позволит организации продемонстрировать следующее: | ||||
a) для услуг, предоставляемых в рамках SAM, организацией разработаны и утверждены соглашения об уровне обслуживания и вспомогательные соглашения. В таких соглашениях об уровне обслуживания оговариваются: | ||||
b) регулярно (не реже одного раза в квартал) в организации оцениваются фактические рабочие нагрузки и уровни обслуживания в сравнении с целевыми показателями и документируются причины несоответствия целевым показателям SAM | ||||
c) соответствующими сторонами проводится регулярный (не реже одного раза в квартал) анализ показателей и их сравнение с уровнями обслуживания SAM с документально зафиксированными выводами и решениями о принятии любых необходимых мер | ||||
4.6.5 Управление безопасностью SAM
4.6.5.1 Цель
Цель процесса "Управление безопасностью SAM" состоит в эффективном управлении безопасностью информации в рамках всех операций SAM и обеспечение требований к согласованиям, касающихся SAM. | Применимо к уровню 4 |
4.6.5.2 Результаты
Результат | Уровень | |||
1 | 2 | 3 | 4 | |
Реализация процесса "Управление безопасностью SAM" позволит организации продемонстрировать следующее: | ||||
a) организацией разработана и утверждена формальная политика безопасности/ограничения доступа ко всем ресурсам SAM, в том числе к физическим и/или электронным хранилищам программного обеспечения, сборок и релизов программного обеспечения. | ||||
b) организацией определены физические и логические средства контроля доступа с целью обеспечения требований политик SAM | ||||
c) организация имеет документальные подтверждения практического внедрения этих средств контроля доступа. | ||||
4.7 Интерфейсы процессов жизненного цикла SAM
4.7.1 Общие положения
Интерфейсы процессов жизненного цикла SAM в целом соответствуют основным процессам жизненного цикла стандарта ИСО/МЭК 12207 в применении к SAM, а также стандарта ИСО/МЭК 20000. В настоящем стандарте определяются требования SAM к таким процессам жизненного цикла.
Интерфейсы процессов жизненного цикла SAM состоят из требований к следующим группам процессов жизненного цикла:
a) процесс управления изменениями;
b) процесс закупок;
c) процесс разработки программного обеспечения;
d) процесс управления релизами программного обеспечения;
e) процесс развертывания программного обеспечения;
f) процесс управления инцидентами;
g) процесс управления проблемами;
h) процесс списания.
4.7.2 Процесс управления изменениями
4.7.2.1 Цель
Цель процесса управления изменениями применительно к программному обеспечению и связанным активам состоит в обеспечении того, чтобы все изменения, оказывающие влияние на SAM, были оценены, одобрены, реализованы и проанализированы управляемым способом и удовлетворяли всем требованиям ведения учета. | Применимо к уровню 4 |
4.7.2.2 Результаты
Результат | Уровень | |||
1 | 2 | 3 | 4 | |
Реализация процесса управления изменениями позволит организации продемонстрировать следующее: | ||||
a) в организации имеется формальный процесс управления изменениями, характеризуемый следующими особенностями: | ||||
4.7.3 Процесс закупок
4.7.3.1 Цель
Цель процесса закупок состоит в обеспечении контролируемого приобретения программного обеспечения и связанных активов и их надлежащем учете | Применимо к уровню 3 |
4.7.3.2 Результаты
Результат | Уровень | |||
1 | 2 | 3 | 4 | |
Реализация процесса закупок позволит организации продемонстрировать следующее: | ||||
a) организацией определены стандартные архитектуры предоставления программных услуг, а также критерии отклонения от таких стандартов | ||||
b) организацией определены стандартные конфигурации программного обеспечения, а также критерии отклонения от таких стандартов | ||||
c) организацией разработаны, надлежащим образом утверждены и выпущены политики и процедуры для подачи заявок и заказа программных и связанных активов, в том числе: | ||||
d) организацией разработаны, надлежащим образом утверждены и выпущены политики и процедуры обработки доходов, имеющих отношение к программному обеспечению и связанным активам, в том числе: | ||||
4.7.4 Процесс разработки программного обеспечения
4.7.4.1 Цель
Цель процесса разработки программного обеспечения состоит в обеспечении разработки программного обеспечения с учетом требований SAM. | Применимо к уровню 4 |
4.7.4.2 Результаты
Результат | Уровень | |||
1 | 2 | 3 | 4 | |
Реализация процесса разработки программного обеспечения позволит организации продемонстрировать следующее: | ||||
a) в организации имеется формальный процесс разработки программного обеспечения, обеспечивающий учет: | ||||
b) в организации имеется формальный процесс разработки программного обеспечения, в соответствии с которым программные продукты проходят программный контроль до того, как будут внедрены в производственную среду | ||||
4.7.5 Процесс управления релизами программного обеспечения
4.7.5.1 Цель
Цель процесса управления релизами программного обеспечения состоит в обеспечении планирования и выпуске релизов программного обеспечения и связанных активов с учетом требований SAM. | Применимо к уровню 4 |
4.7.5.2 Результаты
Результат | Уровень | |||
1 | 2 | 3 | 4 | |
Реализация процесса управления релизами программного обеспечения позволит организации продемонстрировать следующее: | ||||
a) в организации имеется формальный процесс управления релизами программного обеспечения, характеризуемый следующими особенностями: | ||||
4.7.6 Процесс развертывания программного обеспечения
4.7.6.1 Цель
Цель процесса развертывания программного обеспечения применительно к SAM и связанным активам состоит в обеспечении развертывания и повторного развертывания программного обеспечения с учетом требований SAM | Применимо к уровню 3 |
4.7.6.2 Результаты
Результат | Уровень | |||
1 | 2 | 3 | 4 | |
Реализация процесса развертывания программного обеспечения позволит организации продемонстрировать следующее: | ||||
a) организацией разработаны, утверждены и выпущены политики и процедуры для развертывания программного обеспечения, характеризуемые следующими особенностями: | ||||
4.7.7 Процесс управления инцидентами
4.7.7.1 Цель
Цель процесса управления инцидентами применительно к программному обеспечению и связанным активам состоит в том, чтобы отслеживать инциденты, относящиеся к программному обеспечению и связанным активам, возникающие при выполнении текущих операций, и реагировать на них | Применимо к уровню 4 |
4.7.1.2 Результаты
Результат | Уровень | |||
1 | 2 | 3 | 4 | |
Реализация процесса управления инцидентами позволит организации продемонстрировать следующее: | ||||
a) организация имеет формальный процесс управления инцидентами, обеспечивающий: | ||||
4.7.8 Процесс управления проблемами
4.7.8.1 Цель
Цель процесса управления проблемами применительно к программному обеспечению и связанным активам состоит в поддержании программных активов в актуальном рабочем состоянии, в том числе посредством превентивного выявления и изучения причин инцидентов и анализа вызвавших их проблем | Применимо к уровню 4 |
4.7.8.2 Результаты
Результат | Уровень | |||
1 | 2 | 3 | 4 | |
Реализация процесса управления проблемами позволит организации продемонстрировать следующее: | ||||
a) организация имеет формальный процесс управления проблемами, характеризуемый следующими особенностями: | ||||
4.7.9 Процесс списания
4.7.9.1 Цель
Цель процесса списания состоит в исключении из использования программного обеспечения и связанных активов, в том числе в повторном использовании связанных активов (если возможно), в соответствии с политикой компании и с соблюдением всех требований к учету. | Применимо к уровню 3 |
4.7.9.2 Результаты
Результат | Уровень | |||
1 | 2 | 3 | 4 | |
Реализация процесса списания позволит организации продемонстрировать следующее: | ||||
a) организацией разработаны, утверждены и выпущены политики и процедуры для надежного списания программного обеспечения или аппаратного обеспечения, на котором установлено программное обеспечение, характеризуемые следующими особенностями: | ||||
5 Уровни
5.1 Обзор
Обзор уровней приведен во введении к настоящему стандарту. На рисунке 1 проиллюстрирована концептуальная взаимосвязь между уровнями.
В основе группирования и упорядочивания уровней лежат следующие принципы:
a) Число уровней
С целью обеспечения концептуальной простоты, количество уровней должно быть ограничено.
b) Приоритет соблюдения лицензионного соответствия
Результаты официального исследования рыночного спроса на стандарты SAM свидетельствуют о том, что соблюдение лицензионного соответствия всегда было наивысшим приоритетом для всех категорий респондентов. Основа для постоянного соблюдения лицензионного соответствия устанавливается на первом уровне "Достоверные данные". Этот уровень не гарантирует соблюдения лицензионного соответствия, однако любая организация, полностью отвечающая требованиям уровня 1, будет знать, соответствует ли она требованиям к лицензированию программного обеспечения, и вопрос состоит лишь в том, как руководство собирается применять это знание.
c) Естественные группирования отражают естественную последовательность
Предполагается, что группирования результатов и групп процессов на каждом уровне должны быть относительно естественными, отражающими существующую на самом деле естественную последовательность. В подразделах 5.2-5.5 под названиями уровней приведены описания фактических группирований. При этом в основе лежат следующие принципы:
1) наличие достоверных данных - почти всегда главный приоритет. Именно это требование чаще всего выдвигает поставщик лицензий, инициирующий аудит. Нередко обнаруживается большой разрыв между тем, что было обнаружено, и тем, что ожидалось. И только после этого руководство начинает понимать, как велика важность рисков, и осознавать потребность в улучшении ситуации, в том числе в сфере безопасности и снижения издержек;
2) в тех случаях, когда руководство, имея под рукой качественные данные, берет под контроль проблемы SAM, принимаемые им меры обычно идут по двум направлениям. Во-первых, вводятся базовые улучшения управленческой структуры, например уточняются роли и обязанности и определяются политики. Во-вторых, обычно запускаются специальные проекты для устранения выявленных проблем и получения немедленных преимуществ везде, где это возможно;
3) в качестве ожидаемых преимуществ SAM часто указываются повышение эффективности и результативности, однако часто эти показатели не дотягивают до желаемого уровня, поскольку эти действия требуют значительных усилий по внедрению, в том числе по интеграции и повторному проектированию процессов. Однако организация, по всей вероятности, пойдет по этому пути, когда ей станут понятны явные плюсы получения немедленных преимуществ, и она поймет, что можно улучшить результат;
4) лучшие в своем классе методы SAM замыкают список. Обычно к ним относятся методы, оказывающие стратегическое воздействие и дающие долгосрочные преимущества.
d) Минимальные требования к признанию
Уровни разработаны таким образом, чтобы они удовлетворяли минимальным требованиям к признанию достижений, но не включают все то, что организация может просто пожелать реализовать. Например, политики не включены в уровень 1, а только в уровень 2, хотя большинство организаций, вероятно, уже будут иметь дело с рядом политик во время работы на уровне 1. Это обстоятельство не снижает важность политик, а только свидетельствует о том, что изначально на политики ориентируется уровень 2. Результаты, полученные после достижения уровня 1, могут существенно продвинуть разработку или, по крайней мере, исполнение политик на уровне 2, поскольку реальность обычно не совпадает с ожиданиями (с точки зрения соблюдения лицензионного соответствия, требований безопасности, стандартизации и т.п.). Аналогичным образом, если руководство выдвигает определенные требования или определяет возможности, организация может захотеть сосредоточиться на некоторых специальных вопросах или группах процессов раньше, чем это требуется соответствующими уровнями. Этого следует ожидать. Однако такие проблемы или группы процессов не будут включены в область действия возможного проекта сертификации, пока не будет достигнут соответствующий уровень.
e) Ограничения в технологии и ее использовании
Пример - Существуют сотни инструментов, способных выявлять установленное программное обеспечение, однако гораздо меньше таких, которые могут полностью управлять конфигурацией, а эффективное использование таких инструментов встречается еще реже.
Также следует обратить внимание на концепцию "трудности".
a) Трудность сама по себе не является базовым принципом группирования и упорядочивания уровней. Например, создание и ведение инвентарных описей контрактов на поставку и обслуживание программного обеспечения и лицензий - нелегкая задача, выполняемая, в основном, вручную. Тем не менее, эта задача находится на уровне 1, поскольку она выдает важные типы данных, которые необходимо контролировать, чтобы обеспечить их достоверность.
b) Множество результатов или групп процессов обычно вообще не достигаются менее зрелыми организациями, и они, как правило, помещаются на уровень 4. С одной стороны, они могут рассматриваться как "трудные" результаты и группы процессов. Однако они скорее отражают этап становления организации, чем присущую им внутреннюю сложность. Поэтому такие результаты и группы процессов было бы точнее считать частью лучшего в своем классе SAM.
5.2 Уровень 1. Достоверные данные
На рисунке 3 показаны группы процессов, включенные в уровень 1.
Рисунок 3 - Уровень 1 SAM. Достоверные данные
Естественными группированиями, включенными в этот уровень, являются следующие:
a) базовые записи SAM;
b) лицензионное соответствие
5.3 Уровень 2. Практическое управление
На рисунке 4 показаны группы процессов, включенные в уровень 2.
Рисунок 4 - Уровень 2 SAM. Практическое управление
Естественными группированиями, включенными в этот уровень, являются следующие:
a) немедленные преимущества;
b) обязательная контрольная среда.
5.4 Уровень 3. Операционная интеграция
На рисунке 5 показаны группы процессов, включенные в уровень 3.
Рисунок 5 - Уровень 3 SAM. Операционная интеграция
Естественными группированиями, включенными в этот уровень, являются следующие:
a) процессы базового жизненного цикла (закупка/развертывание/списание);
b) базовые процессы управления операциями.
5.5 Уровень 4. Полное соответствие настоящего стандарта SAM
На рисунке 6 показаны группы процессов, включенные в уровень 4.
Рисунок 6 - Уровень 4. Полное соответствие настоящего стандарта SAM
Естественными группированиями, включенными в этот уровень, являются следующие:
a) стратегический SAM (SAM представляет собой инструмент реализации и является частью стратегии и планирования);
b) расширенные процессы жизненного цикла менеджмента услуг;
c) лучшие в своем классе процессы SAM (не включены в более низкие уровни).
Приложение A
(справочное)
Справочная диаграмма результатов по уровням
Таблица A.1
Основное наимено- | Вспомога- | Наименование группы процессов | Результат | Наименование | Дополнительные комментарии | Уро- | Уровень 2 | Уровень 3 | Уровень 4 |
Процессы организационного управления SAM | Контрольная среда SAM | Процесс корпоративного управления SAM | 4.2.2.2.a | Организационная область применения и общая ответственность | X | ||||
4.2.2.2.b | Признание ответственности за SAM | X | |||||||
4.2.2.2.c | Законодательство, нормативные акты и руководящие документы | X | |||||||
4.2.2.2.d | Оценка рисков | X | |||||||
4.2.2.2.e | Утверждение целей управления SAM | X | |||||||
Роли и обязанности SAM | 4.2.3.2.a | Обязанности SAM в масштабе всей организации | X | ||||||
4.2.3.2.b | Локальные обязанности SAM | X | |||||||
4.2.3.2.c | Доведение до сведения обязанностей | X | |||||||
Политики, процессы и процедуры SAM | 4.2.4.2.a | Структурированный подход к политикам, процессам и процедурам | X | ||||||
4.2.4.2.b | Организация политик, процессов и процедур | X | |||||||
4.2.4.2.c | Проблемы, охватываемые политикой | X | |||||||
4.2.4.2.d | Доведение до сведения политик и процедур | X | |||||||
Компетенции в SAM | 4.2.5.2.a | Доступность обучения | X | ||||||
4.2.5.2.b | Доказательство наличия лицензии | X | |||||||
4.2.5.2.c | Проведенное обучение | X | |||||||
4.2.5.2.d | Доступность инструкций производителей программного обеспечения | X | |||||||
Процессы планирования и внедрения SAM | Планирование SAM | 4.3.2.2.a | Разработка целей управления SAM | X | |||||
4.3.2.2.b | Разработка планов SAM | X | |||||||
4.3.2.2.c | Утверждение планов SAM | X | |||||||
Внедрение SAM | 4.3.3.2.a | Обратная связь по проблемам | X | ||||||
4.3.3.2.b | Ход выполнения в сравнении с планом SAM | X | |||||||
4.3.3.2.c | Отслеживание расхождений | X | |||||||
Мониторинг и пересмотр SAM | 4.3.4.2.a | Ежегодные отчеты для руководства по SAM | X | ||||||
4.3.4.2.b | Утверждение владельцем процессов SAM | X | |||||||
4.3.4.2.c | Анализ развертывания программного обеспечения | Частично (немедленные преимущества) | Полностью | ||||||
Непрерывное совершенствование SAM | 4.3.5.2.a | Обработка предложений по усовершенствованию SAM | X | ||||||
4.3.5.2.b | Обработка предложений по внедрению усовершенствований | X | |||||||
Базовые процессы SAM | Процессы инвентаризации SAM | Идентификация программных активов | 4.4.2.2.a | Первоначальное установление требований к данным | X | ||||
4.4.2.2.b | Главный реестр хранилищ и инвентарных описей | X | |||||||
Управление инвентаризацией программных активов | 4.4.3.2.a | Политики и процедуры управления запасами | X | ||||||
4.4.3.2.b | Инвентарные описи аппаратных средств, установленного программного обеспечения и лицензий | X | |||||||
4.4.3.2.c | Инвентарные описи эталонных копий программного обеспечения и контрактной документации | 1, 3-4 | 2 | ||||||
4.4.3.2.d | Механизмы измерения всех остальных лицензионных метрик | X | |||||||
4.4.3.2.e | Непрерывность операций | X | |||||||
4.4.3.2.f | Минимальные дескрипторы отчетов | X | |||||||
Контроль программных активов | 4.4.4.2.a | Контрольный журнал изменений | X | ||||||
4.4.4.2.b | Политики и процедуры контроля версий | X | |||||||
4.4.4.2.c | Политики и процедуры базовых показателей развертывания | X | |||||||
Процессы проверки правильности и соблюдения соответствия SAM | Проверка правильности записей о программных активах | 4.5.2.2.a | Политики и процедуры проверки правильности записей | 11 на всех уровнях для соответствующих процессов | 1-3, 8-9 | 10 (немедленные преимущества) | 4-7 | ||
Соответствие лицензии на ПО | 4.5.3.2.a | Политики и процедуры соблюдения соответствия лицензии на программное обеспечение | X | ||||||
Соответствие требованиям безопасности программных активов | 4.5.4.2.a | Проверки политик безопасности SAM | X | ||||||
4.5.4.2.b | Отслеживание выявленных исключительных ситуаций | X | |||||||
Проверка соответствия SAM | 4.5.5.2.a | Политики и процедуры проверки соответствия | На всех уровнях для соответствующих процессов | X | X | X | X | ||
4.5.5.2.b | Проверки соответствия | На всех уровнях для соответствующих процессов | X | X | X | X | |||
Процессы и интерфейсы управления операциями SAM | Управление отношениями и контрактами SAM | 4.6.2.2.a | Политики и процедуры управления отношениями с поставщиками | X | |||||
4.6.2.2.b | Политики и процедуры управления отношениями на стороне клиентов | X | |||||||
4.6.2.2.с | Политики и процедуры управления контрактами | Частично (немедленные преимущества) | Полностью | ||||||
Финансовое управление SAM | 4.6.3.2.a | Определение требуемой финансовой информации | X | ||||||
4.6.3.2.b | Бюджеты | X | |||||||
4.6.3.2.c | Отчетность о фактических показателях в сравнении с бюджетными | X | |||||||
4.6.3.2.d | Доступность информации о стоимости активов | X | |||||||
4.6.3.2.e | Анализ фактических показателей в сравнении с бюджетными и принятие соответствующих мер | X | |||||||
4.6.3.2.f | Оптимизация лицензий | Частично (немедленные преимущества) | полностью | ||||||
Управление уровнем обслуживания SAM | 4.6.4.2.a | Определение соглашений об уровне обслуживания | X | ||||||
4.6.4.2.b | Отчетность о фактических показателях в сравнении с целевыми | X | |||||||
4.6.4.2.c | Анализ эффективности | X | |||||||
Управление безопасностью SAM | 4.6.5.2.a | Политика безопасности для ресурсов SAM | X | ||||||
4.6.5.2.b | Спецификация средств контроля доступа для ресурсов SAM | X | |||||||
4.6.5.2.c | Реализация средств контроля доступа | X | |||||||
Первичные интерфейсы процессов SAM | Интерфейсы процессов жизненного цикла SAM | Процесс управления изменениями | 4.7.2.2.a | Определение процесса управления изменениями | X | ||||
Процесс закупок | 4.7.3.2.a | Стандартные архитектуры | X | ||||||
4.7.3.2.b | Стандартные конфигурации | X | |||||||
4.7.3.2.c | Политики и процедуры закупок | X | |||||||
4.7.3.2.d | Политики и процедуры обработки доходов | X | |||||||
Процесс разработки программного обеспечения | 4.7.4.2.a | Определение процесса разработки программного обеспечения для учета требований SAM | X | ||||||
4.7.4.2.b | Определение процесса разработки программного обеспечения для контроля активов | X | |||||||
Процесс управления релизами программного обеспечения | 4.7.5.2.a | Определение процесса управления релизами программного обеспечения | X | ||||||
Процесс развертывания программного обеспечения | 4.7.6.2.a | Определение процесса развертывания программного обеспечения | X | ||||||
Процесс управления инцидентами | 4.7.7.2.a | Определение процесса управления инцидентами | X | ||||||
Процесс управления проблемами | 4.7.8.2.a | Определение процесса управления проблемами | X | ||||||
Процесс списания | 4.7.9.2.a | Определение процесса списания | X | ||||||
Примечание - "х" - означает, что уровень включает все подразделы этого результата; "частично" - означает, что в уровень включены отдельные подразделы этого результата (включенные подразделы см. в соответствующем пункте). | |||||||||
Приложение B
(справочное)
Руководство по избранным темам
B.1 Введение
Настоящее приложение представляет собой руководство по избранным темам, относящимся к настоящему стандарту. Также имеются отраслевые руководства, например, описанные в приложении С.
B.2 Релизы
Термин "релиз" будет часто применяться к окончательному внутреннему выпуску продукции, например выпуску экземпляра для распространения, получившего техническое утверждение, или корпоративной сборке, выпускаемой для использования в составе определенных устройств, например на некотором количестве настольных компьютеров.
Второй вариант использования терминов "релиз" и "сборка" применяется к программным активам в рамках процесса разработки программного обеспечения. Эти термины также широко применяются при использовании программного обеспечения с открытым исходным кодом (Open Source Software, OSS), например релиз кода OSS для пользователей, которые могут после этого собирать такое программное обеспечение самостоятельно. Настоящий стандарт не определяет процессы, характерные для разработки, однако предусматривает идентификацию и контроль активов, оставляя свободу для применения процессов SAM, которые могли бы в равной степени применяться к программным активам в любом из двух указанных выше контекстов использования (см. обсуждение применимости настоящего стандарта к разработке в подразделе 1.2 "Область применения").
Хотя управление любыми релизами может осуществляться посредством использования настоящего стандарта, принимается, что, если термин "релиз" появляется в последовательности событий дважды, то этому, возможно, будет необходимо дать дополнительное пояснение, особенно учитывая тот факт, что для обоих релизов может потребоваться официальное утверждение. В качестве объединенного примера можно привести процесс корпоративной сборки, который может состоять из нескольких последовательных шагов, объединяющих произведенное программное обеспечение со сборками кода, выпущенного внутренними разработчиками, и может включать релиз исходного кода, полученного в результате разработок OSS. Этот процесс обычно будет включать патчи. Все или некоторые такие виды деятельности иногда называют "созданием пакетов". Создание пакетов обычно подразумевает добавление программной "оболочки", требуемой определенной утилитой для развертывания программного обеспечения.
Несколько таких корпоративных сборок обычно тестируются и проходят техническое утверждение до того, как будет создан и утвержден для окончательного выпуска в производственную среду экземпляр для распространения (иногда в виде образа).
В заключение следует отметить, что настоящий стандарт может использоваться для управления обоими видами выпускаемых программных активов - релизом кода, выпущенным разработчиками, и внутренним релизом продукции в результате выполнения ряда последовательных операций по созданию пакетов. Оба варианта могут находиться в области применения, к ним могут применяться процессы инвентаризации и проверки правильности записей; любой управляемый релиз должен сначала пройти техническое утверждение, а затем получить окончательное разрешение на развертывание с утвержденной инвентарной описью установок.
B.3 Управление документами и записями
Настоящий стандарт явно не оговаривает требования по управлению документами и записями, тем не менее, такие требования могут выдвигаться в тех случаях, когда:
a) в организации применяется структурированный подход к созданию, анализу, утверждению, выпуску и контролю политик, процессов, процедур и связанной документации, относящихся к SAM, позволяющий в любое время определять полный доступный набор, текущую рабочую версию любого документа и документы, которые должны применяться к различным типам программного обеспечения и связанных активов (см. 4.2.4.2a));
b) документация по политикам, процессам и процедурам, оговариваемая данным стандартом, классифицируется в организации по процессам, определенным в данном стандарте, или по ссылкам на такие классификации (4.2.4.2b));
c) в организации имеются письменные подтверждения выполнения указанных выше процедур проверки, и выполнения последующих корректирующих мер вплоть до успешного устранения причин всех выявленных исключительных ситуаций (см. 4.5.5.2b)).
Настоятельно рекомендуется, чтобы организации, реализующие этот стандарт, также реализовали процессы управления документами и записями в соответствии с требованиями таких стандартов систем управления, как ИСО 9001:2000 и ИСО/МЭК 20000-1:2005, что позволит реализовать требуемую общую функциональность.
Приложение C
(справочное)
Перекрестные ссылки на руководства по отраслевой передовой практике
C.1 Введение
Настоящий стандарт не детализирует процессы SAM с точки зрения методов или процедур, необходимых для удовлетворения требований к результатам процесса (по 1.1). Настоящий стандарт не указывает последовательность шагов, которые должна предпринять организация, чтобы реализовать SAM, равно как и любая последовательность описания процессов не подразумевает никакой последовательности реализации.
Хотя настоящий стандарт подробно не освещает эти темы, они имеют важное значение для реализации SAM и удовлетворения требований настоящего стандарта. В настоящем стандарте не указываются конкретные источники руководства по SAM и не упоминаются никакие связанные продукты или сорсинговые организации. Однако необходимо указать, что такие источники руководства существуют, и на них в качестве примера может быть приведена ссылка.
C.2 Источники
В настоящее время имеются как минимум три основных источника руководства по SAM, все они представлены частными лицами в рабочей группе, ответственной за ИСО/МЭК 19770-1. Приведенные источники руководства являются лишь примерами. Общественная экспертиза, связанная с разработкой ИСО/МЭК 19770-1, указывает и несколько других, а именно: CMMI, FFIEC, BSA SAM Advantage, Gartner, Институт управления технологическими активами (Institute for Technology Asset Management) и ISEB SAM Essentials. Кроме того, доступны и другие (далее упомянутые Национальным органом), такие как Agnitio Advisor's [http://www.agnitioadvisor.com/Assessment] и руководства IBSMA [http://www.ecpmedia.com/publications.html#sm_guidetosam].
Три основных источника руководства по SAM, упомянутые выше, в порядке опубликования:
ITIL
V3 Guideto Software Asset Management ("Руководство по управлению программными активами ITIL
V3"), TSO,
2009, ISBN 978 0 11 331106 4. Версия 2 этой публикации была разработана до разработки ИСО/МЭК 19770-1:2006. Во многих отношениях она является предшественником стандарта ИСО/МЭК 19770-1:2006.
IAITAM Best Practice Library, International Association of IT Asset Managers ("Библиотека лучшего мирового опыта по управлению ИТ-активами Международной Ассоциации IAITAM"), [www.iaitam.org]
2008, ISBN 978-1-935019-00-8, 978-1-935019-01-5, 978-1-935019-02-2, 978-1-935019-03-9, 978-1-935019-04-6, 978-1-935019-05-3, 978-1-935019-06-0, 978-1-935019-07-7, 978-1-935019-08-4, 978-1-935019-09-1, 978-1-935019-10-7, 978-1-935019-11-4. Данное руководство по передовой практике представляет собой универсальный 12-томный комплект, охватывающий все области управления ИТ-активами, а не только управление программными активами. Это руководство было разработано до публикации ИСО/МЭК 19770-1:2006. ИСО/МЭК ссылается на IBPL и используется с разрешения IAITAM.
2008 IAITAM. Все права защищены.
SAM Standardand Evaluation Criteria, SAMAC, [www.samac.or.jp] Software Asset Management Standard, the association of SAM Assessment and Certification ("Стандарт SAM и критерии оценки, SAMAC), Стандарт управления программными активами, Ассоциация оценки и сертификации SAM"), Япония
2010. Эта документация составлена на японском и английском языках. Несмотря на то, что она называется стандартом - это прежде всего сборник передовой практики. Он был переработан после публикации стандарта ИСО/МЭК 19770-1:2006 и согласован со стандартом ИСО/МЭК 19770-1:2006. Настоящий ссылается на версию 2 стандарта SAMAC и используется с разрешения SAMAC.
SAMAC 2010. Все права защищены.
С целью облегчения доступа к данному руководству в конце данного приложения приведена таблица со ссылками на последние два источника, указанные выше.
Настоящий стандарт также включает в себя стандарты CobiT 4.1, используемые с разрешения ISACA/ITGI [www.isaca.org]. ©1996-2007 ITGI. Все права защищены. Стандарты CobiT представляют собой набор инструментов и методик контроля и управления ИТ. Они формирует основу управления ИТ, помогая руководителям ставить цели для ИТ-подразделений, что, в свою очередь, способствует достижению целей предприятия.
C.3 Дополнительная информация по избранным сопоставлениям с CobiT
Внедрение передовых практик в соответствии со стандартами CobiT и настоящим стандартом, а также в любой другой инфраструктуре управления ИТ занимает время и сопряжено с выполнением ряда шагов. Уровни позволяют осуществлять выборочные усовершенствования и идентифицировать области, требующие дальнейшего внимания. Вспомогательный подход может использовать стандарт CobiT, однако связанные цели определены в нем по-другому, и поэтому в приведенном ниже руководстве описаны некоторые из связей. Подход может применяться организациями, которые уже используют CobiT, с указанием того, какие процессы CobiT поддерживают тот или иной уровень (указание связей с CobiT само по себе не подразумевает соответствия требованиям уровня 1 настоящего стандарта).
Как и все приложения настоящего стандарта, данное приложение является справочным и описывает связанные темы, содержащиеся в других методиках и оценках. Оно имеет лишь смысл руководящих указаний и не может считаться точной интерпретацией знаний стандарта CobiT. См. также приложение E о соотнесении CobiT с другими доступными методологиями.
C.3.1 О сопоставлении уровня 1 (достоверные данные) с CobiT
Достижение этого уровня означает получение знаний о том, что есть, чтобы уметь этим управлять.
Организации, достигшие уровня 1, для сбора и проверки знаний об ИТ активах и их статусе используют управленческие методы. Особенно это относится к дисциплинам управления конфигурацией. В CobiT эти действия связаны с управлением и отслеживанием информации об инфраструктуре, ресурсах и возможностях ИТ, информационной архитектуре и других активах.
В частности, достижение результатов уровня 1 обеспечивается следующими процессами CobiT:
Процесс CobiT | Комментарий |
DS11 Управление данными | Данный процесс заключается в определении процедур и требований к управлению данными SAM |
PO2 Определение ИТ архитектуры | Определение ИТ архитектуры создает твердую основу для управления данными ИТ активов |
ME1 Мониторинг и оценка производительности ИТ | Требования к мониторингу инвентарных запасов и процессам проверки с целью обеспечения контроля над данными |
DS9 Управление конфигурацией | Большие объемы конфигурационной информации, собранной в этом процессе, передаются в SAM для управления |
C.3.2 О сопоставлении уровня 2 (практическое управление) с CobiT
Достижение этого уровня означает совершенствование административного управления и получение немедленных преимуществ.
Действия на этом уровне обычно называют управлением, контролем и руководством. Достигаемые на этом уровне результаты требуют внедрения методов упреждающего управления, уделяя особое внимание планированию SAM как таковому. Здесь также подразумевается контроль над уже реализованными процессами SAM, в том числе мониторинг и проверка правильности результатов. В CobiT связанные процессы группируются в категории "Планирование и организация" и "Мониторинг и оценка".
Достижение результатов уровня 2 обеспечивается следующими процессами CobiT:
Процесс CobiT | Комментарий |
PO4 Формализация ИТ процессов, организации и взаимоотношений с бизнесом | Требования PO4 создают основу для создания среды управления SAM |
ME3 Гарантирование соответствия регуляторным требованиям | Законодательные и регуляторные требования учитываются как часть контрольной среды уровня 2 (решения по обеспечению соответствия лицензиям принимаются на уровне 1) |
ME4 Обеспечение руководства ИТ | Установленное руководство определяет способы управления и контроля |
PO5 Управление инвестициями в ИТ | Получение ряда результатов финансового менеджмента, требуемых на этом уровне |
PO8 Управление качеством | Система управления качеством обеспечивает и определяет управленческую деятельность |
PO9 Оценка и управление рисками ИТ | На этом уровне осуществляется управление рисками |
DS7 Обучение пользователей | Этот процесс тесно связан с политиками, процессами и процедурами использования программных активов уровня 2 (особенно в части оповещений) |
C.3.3 О сопоставлении уровня 3 (операционная интеграция) с CobiT
Достижение этого уровня означает повышение эффективности.
На этом уровне процессы SAM интегрируются с ИТ-операциями. Здесь осуществляется управление жизненным циклом программного обеспечения и связанных активов. Здесь устанавливается контроль соответствия стандартам и внешним требованиям. В CobiT процессы жизненного цикла определяются, в основном, в части "Приобретение и внедрение", а аспекты соответствия описываются, в основном, в части "Эксплуатация и сопровождение".
Достижение результатов уровня 3 обеспечивается следующими процессами CobiT:
Процесс CobiT | Комментарий |
AI3 Проектирование и поддержка технической инфраструктуры | Управление жизненным циклом технологии, лежащей в основе программного обеспечения |
AI2 Проектирование и разработка приложений | Поддержка жизненного цикла приложений |
AI5 Закупка ИТ-ресурсов | Определение и управление процедурами закупок |
DS1 Определение и управление уровнями сервиса | Непосредственная связь с требованиями процесса управления уровнем обслуживания |
DS2 Управление сервисами подрядчиков | Используется при управлении поставщиками |
DS6 Определение и распределение ИТ-затрат | На данном уровне требуется комплексное финансовое управление |
ME2 Отслеживание и оценка внутренних контролей | Важный процесс для правильного финансового управления |
DS3 Управление производительностью и мощностью | Поддержка процесса управления уровнем обслуживания SAM |
C.3.4 О сопоставлении уровня 4 (полное соответствие настоящего стандарта SAM) с CobiT
Достижение этого уровня означает достижение лучшего в своем классе стратегического SAM.
На последнем уровне достигаются цели SAM, связанные с поддержкой стратегических целей организации. На этом уровне полностью поддерживаются процессы менеджмента ИТ-услуг. SAM также получает процессы, обеспечивающие устойчивость и собственное непрерывное совершенствование. В результате SAM превращается в полнофункциональную систему процессов, на надежность которых может рассчитывать организация.
В CobiT стратегические процессы распределены по всей инфраструктуре, и, зная схему такого распределения, организация может создавать конкретные элементы менеджмента ИТ как лучшие в своем классе.
При создании лучшего в своем классе стратегического SAM наиболее полезными считаются следующие процессы CobiT:
Процесс CobiT | Комментарий |
РO1 Разработка стратегического плана ИТ | Создание процессов в ходе стратегического планирования помогает согласовать действия бизнеса и ИТ и обеспечить их интеграцию. На уровне 4 также определяется утверждение* управленческих целей SAM (4.2.2.2 e) |
AI6 Управление изменениями | Поддержка процесса управления изменениями уровня 4 |
AI7 Установка и утверждение решений и изменений | Требуется в рамках управления изменениями |
DS4 Обеспечение непрерывности сервисов | На этом уровне обеспечивается непрерывность операций |
DS5 Обеспечение безопасности систем | На этом уровне обеспечивается управление безопасностью |
DS8 Управление службой поддержки и инцидентами | На этом уровне осуществляется обратная связь с клиентами, а также выполняются процессы управления инцидентами |
DS10 Управление проблемами | На этом уровне должен быть явным образом определен процесс управления проблемами |
ME1 Отслеживание и оценка производительности ИТ | На этом уровне требуется постоянное усовершенствование |
Большая часть связей в приведенной выше таблице отражает строго однозначную связь CobiT с одним уровнем. Некоторые уровни, особенно уровень 4, также поддерживаются одним или несколькими обобщенными процессами CobiT. Эти процессы обеспечивают косвенную поддержку целей ISO или широкую поддержку одного или нескольких уровней. Примером такого обобщенного процесса CobiT может служить процесс "DS13 Управление операциями по эксплуатации систем", косвенно поддерживающий процесс "Управление уровнем обслуживания" уровня 3, а на уровне 4 DS13 также поддерживает процессы "Мониторинг и анализ SAM", "Непрерывное совершенствование" и "Контроль программных активов".
С.3.5 Другие процессы CobiT
В дополнение к перечисленным выше процессам, поддерживающим строго определенные уровни, существуют также другие процессы CobiT, поддерживающие SAM либо косвенно, либо в целом. Ниже приведен перечень других процессов CobiT (справочно):
PO3 - Определение направления технологического развития;
PO6 - Информирование о целях и направлениях развития ИТ;
PO7 - Управление персоналом;
PO10 - Управление проектами;
AI1 - Выбор решений по автоматизации;
AI4 - Обеспечение выполнения операций;
DS12 - Управление физической безопасностью и защитой от воздействий окружающей среды;
DS13 - Управление операциями по эксплуатации систем.
C.4 Таблица перекрестных ссылок на результаты отраслевых руководств
Таблица C.1
Ключевые результаты области ИСО/МЭК 19770-1 | Ссылка на ИСО/МЭК 19770-1 | Уровень | Ключевая область IBPL (библиотеки передовой практики IAITAM) | Японская передовая практика SAMAC | Ключевая область CobiT 4.1 |
4.2 Контрольная среда SAM | |||||
4.2.2 Процесс корпоративного управления SAM | |||||
Внедрение процесса корпоративного управления SAM позволит организации продемонстрировать следующее: | 4.2.2.2 | ||||
на корпоративном уровне организации имеется ясное изложение организационной области применения в контексте настоящего стандарта в отношении: | 4.2.2.2.a | Уровень 2 | Управление программами | 1 Политика: установление политики и регулирование | ME4 Обеспечение корпоративного управления ИТ |
юридического лица или частей юридического лица, включенных в область применения | 4.2.2.2.a1 | Уровень 2 | Управление проектами | 1 Политика | PO4 Определение ИТ-процессов, организационной структуры и взаимосвязей |
отдельного органа или физического лица, которые несут ответственность за решение всех вопросов корпоративного управления для такого лица или части такого юридического лица | 4.2.2.2.a2 | Уровень 2 | Управление проектами | 1 Политика | PO4 Определение ИТ-процессов, организационной структуры и взаимосвязей |
ответственность за корпоративное управление программным обеспечением и связанными активами формально подтверждена правлением или эквивалентным органом организации | 4.2.2.2.b | Уровень 2 | Управление программами | 1 Политика | PO1 Разработка стратегического плана развития ИТ |
были определены, задокументированы и не реже одного раза в год пересматриваются корпоративные регулирующие документы или нормативы, относящиеся к использованию программного обеспечения и связанных активов во всех странах, в которых работает организация | 4.2.2.2.c | Уровень 2 | Управление политиками | 1 Политика | PO2 Определение информационной архитектуры |
организацией были определены, задокументированы и утверждены правлением или эквивалентным органом и не реже одного раза в год обновляются результаты оценки рисков, имеющих отношение к программному обеспечению и связанным активам, и определяемые руководством методы их снижения. К таким рискам, как минимум, относятся следующие: | 4.2.2.2.d | Уровень 2 | Управление соответствием | 1 Политика | PO9 Оценка и управление ИТ-рисками |
риск несоответствия нормативным документам | 4.2.2.2.d1 | Уровень 2 | Управление программами, соответствием, законодательством | 1 Политика | PO9 Оценка и управление ИТ-рисками |
риск нарушения требований к безопасности | 4.2.2.2.d2 | Уровень 2 | 1 Политика | PO9 Оценка и управление ИТ-рисками | |
риск несоблюдения лицензионных требований | 4.2.2.2.d3 | Уровень 2 | Управление программами, соответствием, закупками | 1 Политика | PO9 Оценка и управление ИТ-рисками |
риск прерывания деятельности из-за проблем с инфраструктурой ИТ, которые могли быть вызваны неадекватностью SAM | 4.2.2.2.d4 | Уровень 2 | Управление программами, закупками, идентификацией активов, проектами | 1 Политика | PO2 Определение информационной архитектуры |
риск чрезмерных расходов на лицензирование и других затрат на поддержку ИТ вследствие неадекватности SAM | 4.2.2.2.d5 | Уровень 2 | Управление программами, закупками, идентификацией активов, финансовое управление, управление утилизацией | 1 Политика | PO5 Управление ИТ-инвестициями |
риски, связанные с применением разных подходов к управлению программным обеспечением и связанным активам - децентрализованного и централизованного | 4.2.2.2.d6 | Уровень 2 | Управление программами | 1 Политика | PO9 Оценка и управление ИТ-рисками |
риски, связанные с ведением деятельности в разных странах, учитываются местные культуры соответствия требованиям и подходы к обеспечению исполнения | 4.2.2.2.d7 | Уровень 2 | Управление программами, соответствием, законодательством | 1 Политика | ME3 Обеспечение соответствия внешним требованиям |
цели управления SAM утверждаются правлением или эквивалентным органом и пересматриваются не реже одного раза в год | 4.2.2.2.e | Уровень 4 | Управление программами | 1 Политика | PO1 Разработка стратегического плана развития ИТ |
4.2.3 Роли и обязанности SAM | |||||
Реализация процесса роли и обязанностей SAM позволит организации продемонстрировать следующее: | 4.2.3.2 | Управление программами | PO4.6 Определение должностных обязанностей и полномочий | ||
в организации четко определена и утверждена правлением или эквивалентным органом роль владельца процессов SAM, ответственного за корпоративное управление программным обеспечением и связанными активами. Возложенные на владельца процессов SAM в масштабе всей организации обязанности включают следующие: | 4.2.3.2.a | Уровень 2 | 2 Системы: | ME4 Обеспечение корпоративного управления ИТ | |
предложение целей управления SAM | 4.2.3.2.a1 | Уровень 2 | Управление программами | 2 Системы | PO4.6 Определение должностных обязанностей и полномочий |
надзор за разработкой плана SAM | 4.2.3.2.a2 | Уровень 2 | Управление программами | 2 Системы | PO4.6 Определение должностных обязанностей и полномочий |
получение ресурсов для реализации утвержденного плана SAM | 4.2.3.2.a3 | Уровень 2 | Управление программами | 2 Системы | PO4.10 Надзорные функции |
получение результатов в соответствии с утвержденным планом SAM | 4.2.3.2.a4 | Уровень 2 | Управление программами | 2 Системы | PO4.6 Определение должностных обязанностей и полномочий |
обеспечение надлежащего исполнения всеми локальными владельцами процессов SAM своих обязанностей, охват всех частей организации владельцем процессов SAM или локальными владельцами процессов SAM без конфликтующих наложений | 4.2.3.2.a5 | Уровень 2 | Управление программами | 2 Системы | PO4.6 Определение должностных обязанностей и полномочий |
в организации документированы и назначены конкретным лицам локальные роли и обязанности по корпоративному управлению программным обеспечением и связанными активами. Возложенные обязанности для той части организации, за которую несет ответственность каждое лицо, включают следующее: | 4.2.3.2.b | Уровень 2 | Управление программами | 2 Системы | PO4.6 Определение должностных обязанностей и полномочий |
получение ресурсов для реализации утвержденного плана SAM | 4.2.3.2.b1 | Уровень 2 | Управление программами | 2 Системы | PO4 Определение ИТ-процессов, организационной структуры и взаимосвязей |
получение результатов в соответствии с утвержденным планом SAM | 4.2.3.2.b2 | Уровень 2 | Управление программами | 2 Системы | PO4 Определение ИТ-процессов, организационной структуры и взаимосвязей |
принятие и внедрение необходимых политик, процессов и процедур | 4.2.3.2.b3 | Уровень 2 | Управление программами, политиками | 2 Системы | PO6 Информирование о целях и направлениях развития ИТ |
ведение точного учета программного обеспечения и связанных активов | 4.2.3.2.b4 | Уровень 2 | Управление программами | 2 Системы | PO1.4 Стратегический план ИТ |
обеспечение управления и технических согласований, требуемых для закупки, развертывания и контроля программных активов | 4.2.3.2.b5 | Уровень 2 | Управление закупками | 2 Системы | PO10.8 Ресурсы проекта |
управление контрактами, отношениями с поставщиками, внутренними клиентами | 4.2.3.2.b6 | Уровень 2 | Управление программами, документацией, поставщиками | 2 Системы | PO4 Определение ИТ-процессов, организационной структуры и взаимосвязей |
определение потребностей в усовершенствованиях и их реализация | 4.2.3.2.b7 | Уровень 2 | Управление программами | 2 Системы | DS10.4 Интеграция управления конфигурацией, управления инцидентами и проблемами |
эти обязанности доводятся до сведения всех связанных с SAM частей организации тем же образом, что и другие политики (уровня организации и локальные) | 4.2.3.2.c | Уровень 2 | Управление коммуникацией и обучением | 2 Системы | PO4.6 Определение должностных обязанностей и полномочий |
4.2.4 Политики, процессы и процедуры SAM | |||||
Реализация процесса "Политики, процессы и процедуры SAM" позволит организации продемонстрировать следующее: | 4.2.4.2 | PO4 Определение ИТ-процессов, организационной структуры и взаимосвязей | |||
в организации применяется структурированный подход к созданию, анализу, утверждению, выпуску и контролю политик, процессов, процедур и связанной документации, относящихся к SAM, позволяющий в любое время определять полный доступный набор, текущую рабочую версию любого документа и документы, которые должны применяться к различным типам программного обеспечения и связанных активов | 4.2.4.2.a | Уровень 2 | Управление политиками | 1 Политика | PO2 Определение информационной архитектуры |
документация по политикам, процессам и процедурам, оговариваемая настоящим стандартом, классифицируется в организации по процессам, определенным в настоящем стандарте, или по ссылкам на такие классификации | 4.2.4.2.b | Уровень 2 | Управление политиками | 1 Политика | PO2 Определение информационной архитектуры |
в организации разрабатываются, утверждаются и выпускаются политики, охватывающие, как минимум: | 4.2.4.2.c | Уровень 2 | Управление политиками | 1 Политика | PO1 Разработка стратегического плана развития ИТ |
индивидуальные и корпоративные обязанности по корпоративному управлению программным обеспечением и связанными активами | 4.2.4.2.c.1 | Уровень 2 | Управление политиками, программами | 1 Политика | PO1 Разработка стратегического плана развития ИТ |
любые ограничения на персональное использование корпоративного программного обеспечения и связанных активов | 4.2.4.2.c2 | Уровень 2 | Управление политиками | 1 Политика | PO4.8 Ответственность за риск, безопасность и соответствие требованиям |
вопросы соблюдения законодательных и регуляторных требований, в том числе с целью защиты авторских прав и данных | 4.2.4.2.c3 | Уровень 2 | Управление соответствием | 1 Политика | ME3 Обеспечение соответствия внешним требованиям |
любые требования к закупкам (например использование корпоративных соглашений или закупки только у авторитетных/ | 4.2.4.2.c4 | Уровень 2 | Управление закупками | 1 Политика | AI1 Выбор решений по автоматизации |
оформление любых требований на получение утверждений на установку или использование программного обеспечения, как приобретенного, так и полученного иным способом | 4.2.4.2.c5 | Уровень 2 | Управление закупками | 1 Политика | PO2 Определение информационной архитектуры |
дисциплинарные взыскания за нарушения этих политик | 4.2.4.2.c6 | Уровень 2 | Управление политиками | 1 Политика | ME2 Мониторинг и оценка системы внутреннего контроля |
политики и процедуры доводятся до сведения всего персонала в организации способом, который позволяет: оповещать всех новых работников после их выхода на работу, и не реже одного раза в год оповещать постоянно работающего персонала, получать подтверждение об оповещении от всех новых работников после их выхода на работу, и впоследствии не реже одного раза в год и работникам в любое время получать доступ к политикам и процедурам | 4.2.4.2.d | Уровень 2 | Управление коммуникацией и обучением | 1 Политика | DS7 Обучение и подготовка пользователей |
4.2.5 Компетенции в SAM | |||||
Реализация процесса компетенции в SAM позволит организации продемонстрировать следующее: | 4.2.5.2 | PO6 Информирование о целях и направлениях развития ИТ | |||
в организации не реже одного раза в год документируется процесс проверки изменений требований. Проверяется доступность и прохождение обучения и сертификации персонала в сфере обязанностей SAM в отношении: | 4.2.5.2.a | Уровень 2 | Управление коммуникацией и обучением | 3 Компетенция | PO7 Управление персоналом |
SAM в целом | 4.2.5.2.a1 | Уровень 2 | Управление коммуникацией и обучением | 3 Компетенция | PO7 Управление персоналом |
лицензирования продукции производителей используемого программного обеспечения | 4.2.5.2.a2 | Уровень 2 | Управление коммуникацией и обучением | 3 Компетенция | AI5 Поставки ИТ ресурсов |
в организации не реже одного раза в год проводится проверка требований к составляющим "подтверждения лицензии" для производителя программного обеспечения | 4.2.5.2.b | Уровень 4 | Управление соответствием | 3 Компетенция | ME2 Мониторинг и оценка системы внутреннего контроля |
персонал организации, ответственный за управление SAM, ежегодно проходит обучение (включая начальное и продвинутое) в области SAM и соответствующее лицензирование | 4.2.5.2.c | Уровень 2 | Управление коммуникацией и обучением | 3 Компетенция | PO7 Управление персоналом |
в организации не реже одного раза в год осуществляется проверка наличия дополнительных инструкций производителей программного обеспечения (если таковые имеются) с целью обеспечения соответствия их лицензиям | 4.2.5.2.d | Уровень 2 | Управление соответствием | 3 Компетенция | PO1 Разработка стратегического плана развития ИТ |
Продолжение таблицы С.1
4.3 Процессы планирования и внедрения SAM | |||||||
4.3.2 Планирование SAM | |||||||
Реализация процесса "Планирование SAM" позволит организации продемонстрировать следующее: | 4.3.2.2 | PO1 Разработка стратегического плана развития ИТ | |||||
управленческие цели SAM в организации разрабатываются и предлагаются для утверждения правлением или эквивалентным органом и обновляются не реже одного раза в год | 4.3.2.2.a | Уровень 4 | Управление программами | 1 Политика | PO4.8 Ответственность за риск, безопасность и соответствие требованиям | ||
план реализации и представления SAM (далее - "план SAM") разрабатывается, документируется и обновляется не реже одного раза в год. Этот план включает в себя: | 4.3.2.2.b | Уровень 2 | Управление программами | 1 Политика | PO4.8 Ответственность за риск, безопасность и соблюдение требований | ||
четкое изложение области применения (однозначно определенной "области применения программного актива"), описывающее, какие типы программного обеспечения в нее включены; охват программного обеспечения и связанных активов, например, должна быть указана доля складской заполненности в соответствии с последним обновлением плана SAM с указанием фактических и плановых показателей; любой охват активов сверх минимума, требуемого настоящим стандартом; любые методы взаимодействия с другими организациями или системами и/или требования к ним. См. также организационную область применения: 4.2.2.2.a1 | 4.3.2.2.b1 | Уровень 2 | Управление программами, соответствием | 1 Политика | AI1 Выбор решений по автоматизации | ||
четкое определение политик, процессов и процедур, требуемых для использования активов в области применения | 4.3.2.2.b2 | Уровень 2 | Управление программами, политиками, закупками | 1 Политика | PO6 Информирование о целях и направлениях развития ИТ | ||
четкое разъяснение подхода к управлению, аудиту и усовершенствованию SAM (в том числе с применением методов автоматизации), используемого для поддержания процессов | 4.3.2.2.b3 | Уровень 2 | Управление программами | 1 Политика | PO2 Определение информационной архитектуры | ||
разъяснение подхода, используемого для идентификации, оценки и управления проблемами и рисками, связанными с достижением установленных целей управления | 4.3.2.2.b4 | Уровень 2 | Управление программами, соответствием, законодательством | 1 Политика | PO2 Определение информационной архитектуры | ||
графики выполнения периодических операций и распределение ответственностей по их выполнению, в том числе подготовка отчетов для руководства и контроль соответствия | 4.3.2.2.b5 | Уровень 2 | Управление программами | 1 Политика | PO2 Определение информационной архитектуры | ||
определение ресурсов (включая бюджетные ресурсы), необходимых для реализации плана SAM | 4.3.2.2.b6 | Уровень 2 | Управление программами | 1 Политика | PO2 Определение информационной архитектуры | ||
отслеживание показателей выполнения плана SAM, включая целевые измерения точности записей об управлении активами | 4.3.2.2.b7 | Уровень 2 | Управление программами, соответствием | 1 Политика | PO2 Определение информационной архитектуры | ||
план утвержден правлением или эквивалентным органом организации | 4.3.2.2.c | Уровень 2 | Управление программами | 1 Политика | PO4.8 Ответственность за риск, безопасность и соответствие требованиям | ||
4.3.3 Внедрение SAM | |||||||
Реализация процесса "Внедрение SAM" позволит организации продемонстрировать следующее: | 4.3.3.2 | ||||||
в организации имеются механизмы сбора информации, в том числе информации локальных владельцев процессов SAM, об изменениях, проблемах и рисках, воздействующих на план SAM на протяжении года | 4.3.3.2.a | Уровень 4 | Управление программами, коммуникацией и обучением | 2 Системы | AI6 Управление внесением изменений | ||
владельцами процессов SAM готовятся регулярные отчеты о состоянии дел (не реже одного раза в квартал), подробно описывающие общий ход выполнения плана SAM, для выдачи отчета правлению или эквивалентному органу организации | 4.3.3.2.b | Уровень 4 | Управление программами, коммуникацией и обучением | 2 Системы | ME2 Мониторинг и оценка системы внутреннего контроля | ||
в организации проводится оперативное отслеживание и документирование любых выявленных расхождений | 4.3.3.2.c | Уровень 4 | Управление программами | 2 Системы | ME1 Мониторинг и оценка эффективности ИТ | ||
4.3.4 Мониторинг и проверка SAM | |||||||
Реализация процесса "Мониторинг и проверка SAM" позволит организации продемонстрировать следующее: | 4.3.4.2 | ME1 Мониторинг и оценка эффективности ИТ | |||||
в организации не реже одного раза в год проводится формальная проверка с целью: | 4.3.4.2.a | Уровень 4 | Управление программами | 3 Компетенция | ME1 Мониторинг и оценка эффективности ИТ | ||
оценки достижений целей управления SAM и выполнения плана SAM | 4.3.4.2.a1 | Уровень 4 | Управление программами | 3 Компетенция | ME1 Мониторинг и оценка эффективности ИТ | ||
подведения итогов работы по всем производственным показателям, установленным в плане SAM и в соглашениях об уровне обслуживания, относящихся к SAM | 4.3.4.2.a2 | Уровень 4 | Управление программами | 3 Компетенция | ME2 Мониторинг и оценка системы внутреннего контроля | ||
выдачи сводного изложения результатов процесса "Проверка соответствия SAM" | 4.3.4.2.a3 | Уровень 4 | Управление соответствием | 3 Компетенция | PO8 Управление качеством | ||
выдачи на основании вышеизложенного заключения о том, действительно ли: | 4.3.4.2.a4 | Уровень 4 | 3 Компетенция | ||||
утвержденные руководством политики SAM были эффективно распространены по всей организационной области применения, определенной в контексте настоящего стандарта | 4.3.4.2.a4i | Уровень 4 | Управление политиками, коммуникацией и обучением | 3 Компетенция | PO1 Разработка стратегического плана развития ИТ | ||
утвержденные руководством процессы и процедуры SAM были эффективно реализованы во всей организационной области применения, определенной в контексте настоящего стандарта | 4.3.4.2.a4ii | Уровень 4 | Управление программами, соответствием | 3 Компетенция | PO1 Разработка стратегического плана развития ИТ | ||
краткого изложения любых выявленных исключительных ситуаций и действий, которые может понадобиться выполнить в результате вышеизложенного | 4.3.4.2.a5 | Уровень 4 | Управление программами | 3 Компетенция | PO1 Разработка стратегического плана развития ИТ | ||
определения возможностей повышения качества обслуживания программного обеспечения и связанных активов | 4.3.4.2.a6 | Уровень 4 | Управление программами | 3 Компетенция | PO1 Разработка стратегического плана развития ИТ | ||
определения потребности в пересмотре политик, процессов и процедур в плане обеспечения их постоянной адекватности, полноты и правильности | 4.3.4.2.a7 | Уровень 4 | Управление политиками | 3 Компетенция | PO9 Оценка и управление ИТ-рисками | ||
владелец процессов SAM формально утверждает итоговые отчет, документы, решения и меры и направляет их копии в правление или эквивалентный орган организации | 4.3.4.2.b | Уровень 4 | Управление программами | 3 Компетенция | PO2 Определение информационной архитектуры | ||
в организации проводится периодическая (не реже одного раза в год) проверка того, развернуты ли программное обеспечение и связанные активы наиболее рентабельным способом и выдаются ли рекомендации по возможным усовершенствованиям | 4.3.4.2.c | Уровень 4 | Управление программами | 3 Компетенция | PO9 Оценка и управление ИТ-рисками | ||
4.3.5 Непрерывное совершенствование SAM | |||||||
Реализация процесса "Непрерывное совершенствование SAM" позволит организации продемонстрировать следующее: | 4.3.5.2 | PO2 Определение информационной архитектуры | |||||
в организации имеется механизм сбора и учета предложений по совершенствованию SAM, поступающих из всех источников в течение года | 4.3.5.2.a | Уровень 4 | Управление коммуникацией и обучением | 2 Системы | PO2 Определение информационной архитектуры | ||
в организации регулярно выполняются оценки, классификации и утверждения для включения предложений по усовершенствованию в планы реализации и совершенствования SAM | 4.3.5.2.b | Уровень 4 | Управление программами | 2 Системы | PO2 Определение | ||
Продолжение таблицы С.1
4.4 Процесс инвентаризации SAM | |||||
4.4.2 Идентификация программных активов | |||||
Реализация процесса "Идентификация программных активов" позволит организации продемонстрировать следующее: | 4.4.2.2 | PO2 Определение информационной архитектуры | |||
в организации формально определены типы контролируемых активов и связанная с ними информация, характеризуемые следующими особенностями: | 4.4.2.2.a | Уровень 4 | 1 Политика | DS9 Управление конфигурацией | |
управляемые позиции выбраны в соответствии с установленными критериями отбора, сгруппированы, классифицированы и идентифицированы, что обеспечит их управляемость и отслеживаемость на протяжении всего жизненного цикла | 4.4.2.2.a1 | Уровень 4 | Управление идентификацией активов | 1 Политика | PO9 Оценка и управление ИТ-рисками |
к управляемым позициям относятся: | 4.4.2.2.a2 | Уровень 4 | 1 Политика | PO9 Оценка и управление ИТ-рисками | |
все экземпляры устройств или платформ, на которых может устанавливаться или запускаться программное обеспечение | 4.4.2.2.a2i | Уровень 4 | Управление идентификацией активов | 1 Политика | PO9 Оценка и управление ИТ-рисками |
финальные основные версии и экземпляры для распространения программного обеспечения | 4.4.2.2.a2ii | Уровень 4 | Управление идентификацией активов | 1 Политика | DS9 Управление конфигурацией |
сборки и релизы программного обеспечения (финальные основные версии и экземпляры для распространения) | 4.4.2.2.a2iii | Уровень 4 | Управление идентификацией активов | 1 Политика | DS9 Управление конфигурацией |
все установленное программное обеспечение | 4.4.2.2.a2iv | Уровень 4 | Управление идентификацией активов | 1 Политика | PO10 Управление проектами |
версии программного обеспечения | 4.4.2.2.a2v | Уровень 4 | Управление идентификацией активов, программами | 1 Политика | DS9 Управление конфигурацией |
методология, в соответствии с которой программное обеспечение идентифицируется в области применения, патчи и обновления | 4.4.2.2.a2vi | Уровень 4 | Управление идентификацией активов | 1 Политика | PO10 Управление проектами |
патчи и обновления | 4.4.2.2.a2vii | Уровень 4 | Управление идентификацией активов | 1 Политика | DS9 Управление конфигурацией |
лицензии, в том числе составляющие лицензии и действующие полные лицензии | 4.4.2.2.a2viii | Уровень 4 | Управление идентификацией активов, соответствием | 1 Политика | AI2 Приобретение и поддержка программных приложений |
документы, доказывающие наличие лицензии ("подтверждения лицензии") | 4.4.2.2.a2ix | Уровень 4 | Управление соответствием, документацией | 1 Политика | AI2 Приобретение и поддержка программных приложений |
контракты (включая количественные характеристики и условия), имеющие отношение к программным активам, в том числе их бумажные и электронные копии | 4.4.2.2.a2x | Уровень 4 | Управление соответствием, документацией, закупками | 1 Политика | AI2 Приобретение и поддержка программных приложений |
физические и электронные хранилища и описи вышеуказанного (в зависимости от обстоятельств) | 4.4.2.2.a2xi | Уровень 4 | Управление идентификацией активов | 1 Политика | PO9 Оценка и управление ИТ-рисками |
модели лицензирования | 4.4.2.2.a2xii | Уровень 4 | Управление соответствием | 1 Политика | PO9 Оценка и управление ИТ-рисками |
управление программным обеспечением осуществляется в организации как по файлам, так и по пакетам, в соответствии с особенностями конкретных продуктов, выпущенных производителями программного обеспечения или разработчиками | 4.4.2.2.a3 | Уровень 4 | Управление идентификацией активов | 1 Политика | PO9 Оценка и управление ИТ-рисками |
базовая информация для всех активов | 4.4.2.2.a4 | Уровень 4 | Управление идентификацией активов | 1 Политика | DS9 Управление конфигурацией |
уникальный идентификатор | 4.4.2.2.a4i | Уровень 4 | Управление идентификацией активов | 1 Политика | DS9 Управление конфигурацией |
имя/описание | 4.4.2.2.а4ii | Уровень 4 | Управление идентификацией активов | 1 Политика | DS9 Управление конфигурацией |
расположение | 4.4.2.2.a4iii | Уровень 4 | Управление идентификацией активов, программами | 1 Политика | DS9 Управление конфигурацией |
ответственный (или владелец) | 4.4.2.2.a4iv | Уровень 4 | Управление идентификацией активов, программами, закупками | 1 Политика | DS9 Управление конфигурацией |
статус (например, тестовый/производственный, разработка/сборка и т.п.) | 4.4.2.2.a4v | Уровень 4 | Управление идентификацией активов, программами | 1 Политика | DS9 Управление конфигурацией |
тип (например, программное обеспечение, аппаратное обеспечение, устройство) | 4.4.2.2.a4vi | Уровень 4 | Управление идентификацией активов | 1 Политика | DS9 Управление конфигурацией |
версия (если имеется); | 4.4.2.2.a4vii | Уровень 4 | Управление идентификацией активов | 1 Политика | DS9 Управление конфигурацией |
в организации имеется реестр хранилищ и запасов, содержащий сведения о хранимых запасах и типах информации. Дублирование информации такого реестра допускается только в том случае, если дублируемую информацию можно отследить до определенной исходной записи | 4.4.2.2.b | Уровень 1 | Управление идентификацией активов | 4 Ответственность | DS9 Управление конфигурацией |
4.4.3 Управление инвентаризацией программных активов | |||||
Реализация процесса "Управление инвентаризацией программных активов" позволит организации продемонстрировать следующее: | 4.4.3.2 | DS13.4 Важные документы и устройства вывода данных | |||
организацией разработаны, утверждены и выпущены политики и процедуры, относящиеся к управлению и обслуживанию физических/электронных хранилищ, в том числе имеются средства контроля доступа: | 4.4.3.2.a | Уровень 1 | Управление политиками | 4 Ответственность | DS9 Управление конфигурацией |
защищающие их от несанкционированного доступа, изменений или повреждений | 4.4.3.2.a1 | Уровень 1 | Управление политиками | 4 Ответственность | PO7.8 Переход на другую работу и увольнение |
обеспечивающие аварийное восстановление после отказа | 4.4.3.2.a2 | Уровень 1 | Управление документацией | 4 Ответственность | DS5.3 Управление идентификацией |
в организации имеются инвентарные описи: | 4.4.3.2.b | Уровень 1 | 4 Ответственность | ||
всех экземпляров устройств или платформ, на которых могут устанавливаться или запускаться программные активы | 4.4.3.2.b1 | Уровень 1 | Управление идентификацией активов | 4 Ответственность | DS9 Управление конфигурацией |
всего разрешенного установленного программного обеспечения с указанием: пакетов и версий (которые могут быть лицензированы или разрешены к развертыванию по отдельности), и статуса обновлений/патчей программного обеспечения по всем платформам, на которых они установлены | 4.4.3.2.b2 | Уровень 1 | Управление идентификацией активов | 4 Ответственность | DS9 Управление конфигурацией |
имеющихся составляющих лицензий и действующих полных лицензий | 4.4.3.2.b3 | Уровень 1 | Управление идентификацией | 4 Ответственность | PO9 Оценка и управление ИТ-рисками |
в организации имеются инвентарные описи и соответствующие физические/электронные хранилища: | 4.4.3.2.c | Уровень 1 | Управление идентификацией активов | 4 Ответственность | PO9 Оценка и управление ИТ-рисками |
программного обеспечения (финальных основных версий и экземпляров для распространения) | 4.4.3.2.c1 | Уровень 1 | Управление идентификацией активов | 4 Ответственность | PO9 Оценка и управление ИТ-рисками |
сборок и релизов программного обеспечения (финальных основных версий и экземпляров для распространения) | 4.4.3.2.c2 | Уровень 4 | Управление идентификацией активов | 4 Ответственность | PO9 Оценка и управление ИТ-рисками |
контрактов, имеющих отношение к программным активам, как бумажных, так и электронных | 4.4.3.2.c3 | Уровень 1 | Управление идентификацией активов, документацией | 4 Ответственность | PO9 Оценка и управление ИТ-рисками |
документов, доказывающих наличие лицензии ("подтверждений лицензии") | 4.4.3.2.c4 | Уровень 1 | Управление документацией | 4 Ответственность | PO9 Оценка и управление ИТ-рисками |
в организации имеются инвентарные описи или другие четко определенные механизмы анализа или отслеживания количественных показателей, позволяющие определить любое лицензированное использование на базе других критериев, помимо количества установленного программного обеспечения | 4.4.3.2.d | Уровень 1 | Управление идентификацией активов, программами | 5 Реализация | PO9 Оценка и управление ИТ-рисками |
организацией приняты меры, направленные на обеспечение постоянной доступности источников упомянутых выше инвентарных описей и хранилищ | 4.4.3.2.e | Уровень 4 | Управление документацией | 4 Ответственность | PO5 Управление ИТ-инвестициями |
все представленные инвентарные отчеты составлены в соответствии с четкой описательной схемой, в том числе содержат наименование, предназначение и подробные сведения об источнике данных | 4.4.3.2.f | Уровень 4 | Управление идентификацией активов | 4 Ответственность | PO5 Управление ИТ-инвестициями |
4.4.4 Контроль программных активов | |||||
Реализация процесса "Контроль программных активов" позволит организации продемонстрировать следующее: | 4.4.4.2 | ||||
организацией ведется журнал учета изменений, внесенных в программное обеспечение и связанные активы, в том числе изменений статуса, расположения, ответственности и версий | 4.4.4.2.a | Уровень 4 | Управление идентификацией активов, программами | 4 Ответственность | AI7 Внедрение и приемка решений и изменений |
организацией разработаны, утверждены и выпущены политики и процедуры для разработки, обслуживания и управления версиями программного обеспечения, образами/сборками и релизами | 4.4.4.2.b | Уровень 4 | Управление политиками, коммуникацией и обучением | 4 Ответственность | PO1 Разработка стратегического плана развития ИТ |
организацией разработаны, утверждены и выпущены политики и процедуры, устанавливающие требования учета базовых показателей соответствующих активов перед выпуском программного обеспечения в производственную среду таким образом, чтобы эти показатели могли использоваться при последующей сверке с фактическим развертыванием | 4.4.4.2.c | Уровень 4 | Управление политиками, коммуникацией и обучением | 4 Ответственность | PO1 Разработка стратегического плана развития ИТ |
Продолжение таблицы С.1
4.5 Процессы проверки правильности и соблюдения соответствия SAM | |||||
4.5.2 Проверка правильности записей о программных активах | |||||
Реализация процесса "Проверка правильности записей о программных активах" позволит организации продемонстрировать следующее: | 4.5.2.2 | PO1 Разработка стратегического плана развития ИТ | |||
организацией разработаны, утверждены и выпущены процедуры для процесса проверки записи о программных активах, характеризуемые следующими особенностями: | 4.5.2.2.a | Уровень 1 | Управление программами, соответствием | 4 Ответственность | PO1 Разработка стратегического плана развития ИТ |
при любом определении или изменении области применения проверяется допустимость этой области применения посредством анализа контракта и истории закупок, с целью обеспечения соответствия организационных целей и областей применения программного обеспечения бизнес-требованиям | 4.5.2.2.a1 | Уровень 1 | Управление программами | 4 Ответственность | PO1 Разработка стратегического плана развития ИТ |
не реже одного раза в квартал проводится сверка того, что установлено на каждом экземпляре устройства или платформы, с тем, что было разрешено для установки, включая выпуск отчетов об исключительных ситуациях, выявленных по результатам текущей сверки, и об изменениях, внесенных со времени предыдущей сверки | 4.5.2.2.a2 | Уровень 1 | Управление программами, соответствием, идентификацией активов | 4 Ответственность | DS9 Управление конфигурацией |
не реже одного раза в 6 мес проверяется инвентарная опись аппаратного обеспечения (а также его размещения), в том числе выпускаются отчеты о выявленных исключительных ситуациях | 4.5.2.2.a3 | Уровень 1 | Управление программами, соответствием, идентификацией активов | 4 Ответственность | DS9 Управление конфигурацией |
не реже одного раза в 6 мес проверяется инвентарная опись программ (финальных основных версий и экземпляров для распространения), в том числе выпускаются отчеты о выявленных исключительных ситуациях | 4.5.2.2.a4 | Уровень 4 | Управление идентификацией активов | 4 Ответственность | AI2 Приобретение и поддержка программных приложений |
не реже одного раза в 6 мес проверяется инвентарная опись программных сборок (оригиналов и экземпляров для распространения), в том числе выпускаются отчеты о выявленных исключительных ситуациях | 4.5.2.2.a5 | Уровень 4 | Управление идентификацией активов | 4 Ответственность | AI2 Приобретение и поддержка программных приложений |
не реже одного раза в год проверяется физическое хранилище документов, доказывающих наличие лицензии ("подтверждений лицензии") (включая проверку документации на аутентичность), в том числе выпускаются отчеты о выявленных исключительных ситуациях | 4.5.2.2.a6 | Уровень 4 | Управление документацией | 4 Ответственность | PO9 Оценка и управление ИТ-рисками |
не реже одного раза в год пересматриваются основания и расчеты по действующим лицензиям из составляющих лицензий, с целью подтверждения наличия необходимых составляющих лицензий и исключения дублирования учета | 4.5.2.2.a7 | Уровень 4 | Управление соответствием, закупками | 4 Ответственность | PO9 Оценка и управление ИТ-рисками |
не реже одного раза в год осуществляется проверка целостности физического хранилища контрактной документации, имеющей отношение к программному обеспечению), в том числе выпускаются отчеты о выявленных исключительных ситуациях | 4.5.2.2.a8 | Уровень 1 | Управление документацией | 4 Ответственность | PO9 Оценка и управление ИТ-рисками |
не реже одного раза в год проверяется инвентарная опись контрактов, в том числе выпускаются отчеты о выявленных исключительных ситуациях | 4.5.2.2.a9 | Уровень 1 | Управление документацией, идентификацией активов | 4 Ответственность | PO5 Управление ИТ-инвестициями |
проводится периодическая проверка прошлых счетов-фактур с целью выявления неверно оформленных счетов и переплат | 4.5.2.2.а10 | Уровень 2 | Финансовое управление | 4 Ответственность | ME2 Мониторинг и оценка системы внутреннего контроля |
при выявлении любых расхождений или возникновении описанных выше проблем выполняются и документируются последующие корректирующие действия | 4.5.2.2.a11 | Уровни 1-4 | Управление программами | 4 Ответственность | DS5 Обеспечение безопасности систем |
4.5.3 Проверка соответствия лицензирования программного обеспечения | |||||
Реализация процесса "Проверка соответствия лицензирования программного обеспечения" позволит организации продемонстрировать следующее: | 4.5.3.2 | PO1 Разработка стратегического плана развития ИТ | |||
организацией разработаны, утверждены и выпущены процедуры для процесса "Проверка соответствия лицензирования программного обеспечения", характеризуемые следующими особенностями: | 4.5.3.2.a | Уровень 1 | 4 Ответственность | PO1 Разработка стратегического плана развития ИТ | |
не реже одного раза в квартал проводится сверка действующих приобретенных лицензий и лицензий, требуемых для используемого программного обеспечения, с учетом определения лицензионных требований в соответствии с условиями лицензии | 4.5.3.2.a1 | Уровень 1 | Управление соответствием, идентификацией активов | 4 Ответственность | PO9 Оценка и управление ИТ-рисками |
расхождения, выявленные в ходе этой сверки, немедленно регистрируются, анализируются и определяется их первопричина | 4.5.3.2.a2 | Уровень 1 | Управление соответствием, идентификацией активов | 4 Ответственность | DS10 Управление проблемами |
устанавливается очередность исполнения и принимаются корректирующие меры | 4.5.3.2.a3 | Уровень 1 | Управление программами, идентификацией активов | 4 Ответственность | PO4.8 Ответственность за риск, безопасность и соответствие требованиям |
4.5.4 Проверка соответствия требованиям безопасности программных активов | |||||
Реализация процесса "Проверка соответствия требованиям безопасности программных активов" позволит организации продемонстрировать следующее: | 4.5.4.2 | PO1 Разработка стратегического плана развития ИТ | |||
в организации не реже одного раза в год производится анализ фактической практики с целью выявления исключительных ситуаций в политике безопасности. В ходе этой проверки должен проводиться анализ средств контроля доступа к финальным основным версиям и экземплярам для распространения программного обеспечения, а также прав на установку и/или использование, указанных пользователем или группой пользователей | 4.5.4.2.a | Уровень 3 | Управление политиками | 4 Ответственность | PO9 Оценка и управление ИТ-рисками |
в организации принимаются документированные меры по любым выявленным при таком анализе расхождениям | 4.5.4.2.b | Уровень 4 | Управление политиками, программами | 4 Ответственность | PO4.8 Ответственность за риск, безопасность и соответствие требованиям |
4.5.5 Проверка соответствия SAM | |||||
Реализация процесса "Проверка соответствия SAM" позволит организации продемонстрировать следующее: | 4.5.5.2 | PO1 Разработка стратегического плана развития ИТ | |||
организацией разработаны, утверждены и выпущены политики и процедуры для проверки соответствия данному уровню(ям) настоящего стандарта, обеспечивающие такую проверку не реже одного раза в год на основе выборки всех требований, оговоренных для соответствующего уровня(ей) настоящего стандарта. В частности, выполняется проверка того, что процедуры, реализованные организацией для других процессов SAM, удовлетворяют всем требованиям, оговоренным в данном стандарте для таких процедур | 4.5.5.2.a | Уровни 1-4 | Управление соответствием, политиками, коммуникацией и обучением | 1 Политика | ME2 Мониторинг и оценка системы внутреннего контроля |
в организации имеются письменные подтверждения: выполнения указанных выше процедур проверки и выполнения последующих корректирующих мер вплоть до успешного устранения причин всех выявленных исключительных ситуаций | 4.5.5.2.b | Уровни 1-4 | Управление соответствием, документацией | 1 Политика | ME2 Мониторинг и оценка системы внутреннего контроля |
Продолжение таблицы С.1
4.6 Процессы и интерфейсы управления операциями SAM | |||||
4.6.2 Управление отношениями и контрактами SAM | |||||
Реализация процесса "Управление отношениями и контрактами SAM" позволит организации продемонстрировать следующее: | 4.6.2.2 | PO1 Разработка стратегического плана развития ИТ | |||
организацией разработаны, утверждены и выпущены политики и процедуры для управления отношениями с поставщиками, поставляющими программное обеспечение и связанные с ним активы и услуги, характеризуемые следующими особенностями: | 4.6.2.2.a | Уровень 3 | Управление поставщиками | 8 Операционное управление: процессы управления операциями SAM | AI5 Поставки ИТ ресурсов |
определены обязанности конкретных назначенных лиц по управлению поставщиками, с целью получения полной картины ответственностей по управлению каждым поставщиком | 4.6.2.2.a1 | Уровень 3 | Управление поставщиками | 8 Операционное управление | AI5 Поставки ИТ-ресурсов |
разрабатываются приглашения на участие в тендерах на поставку программного обеспечения или связанных услуг, с целью обеспечения учета процессом требований к SAM, в том числе требований к управлению уровнями обслуживания, средствам контроля безопасности, управлению версиями и изменениями | 4.6.2.2.a2 | Уровень 3 | Управление закупками, соответствием, программами | 8 Операционное управление | DS2 Управление услугами сторонних организаций |
выпускаются официальные отчеты (не реже одного раза в 6 мес) о работе поставщиков, их достижениях и проблемах с документально зафиксированными выводами и решениями о принятии любых необходимых мер | 4.6.2.2.a3 | Уровень 3 | Управление поставщиками | 8 Операционное управление | DS2 Управление услугами сторонних организаций |
организацией разработаны, утверждены и выпущены политики и процедуры для управления отношениями на стороне клиентов, в частности, включающие: | 4.6.2.2.b | Уровень 4 | 8 Операционное управление | PO1 Разработка стратегического плана развития ИТ | |
определения обязанностей по управлению деловыми отношениями на стороне клиентов в отношении программного обеспечения и связанных с ним активов и услуг | 4.6.2.2.b1 | Уровень 4 | Управление закупками, поставщиками | 8 Операционное управление | DS1 Определение и управление уровнем обслуживания |
формальный анализ (проводимый не реже одного раза в год) текущих и будущих программных требований клиентов и организации в целом | 4.6.2.2.b2 | Уровень 4 | Управление программами | 8 Операционное управление | DS1 Определение и управление уровнем обслуживания |
формальный анализ (проводимый не реже одного раза в год) показателей эффективности работы поставщиков, степени удовлетворенности клиентов, достижений и проблем с документально зафиксированными выводами и решениями о принятии любых необходимых мер | 4.6.2.2.b3 | Уровень 4 | Управление поставщиками, программами | 8 Операционное управление | DS1 Определение и управление уровнем обслуживания |
организацией разработаны, утверждены и выпущены политики и процедуры для управления контрактами, в частности, предусматривающие: | 4.6.2.2.c | Уровень 3 | 8 Операционное управление | ||
непрерывную регистрацию в системе управления контрактами, сведений о контрактах по мере их подписания | 4.6.2.2.c1 | Уровень 3 | Управление закупками, соответствием, политиками, поставщиками | 8 Операционное управление | DS2 Управление услугами сторонних организаций |
надежное хранение экземпляров всей подписанной контрактной документации, а также всех их копий, в системе управления документами | 4.6.2.2.c2 | Уровень 3 | Управление документацией | 8 Операционное управление | DS2 Управление услугами сторонних организаций |
документированный анализ (не реже одного раза в 6 мес, а также перед истечением срока действия) всех контрактов на поставку и обслуживание программного обеспечения и связанных активов и услуг с документально зафиксированными выводами и решениями о принятии любых необходимых мер | 4.6.2.2.c3 | Уровень 3 | Управление соответствием, поставщиками | 8 Операционное управление | ME2 Мониторинг и оценка системы внутреннего контроля |
4.6.3 Финансовое управление SAM | |||||
Реализация процесса "Финансовое управление SAM" позволит организации продемонстрировать следующее: | 4.6.3.2 | PO1 Разработка стратегического плана развития ИТ | |||
организация согласовала с соответствующими сторонами и документировала по типам активов определения финансовой информации, относящейся к управлению программным обеспечением и связанными активами | 4.6.3.2.a | Уровень 3 | Финансовое управление | 8 Операционное управление | PO5 Управление ИТ-инвестициями |
организацией разработаны официальные бюджеты на приобретение программных активов (внешних или внутренних) и определены связанные затраты на поддержку и обслуживание инфраструктуры | 4.6.3.2.b | Уровень 3 | Управление программами | 8 Операционное управление | PO5 Управление ИТ инвестициями |
организацией учтены в бюджете фактические расходы на программные активы и затраты на поддержку и обслуживание инфраструктуры | 4.6.3.2.c | Уровень 3 | Управление программами, финансовое управление | 6 Оптимизация затрат | PO5 Управление ИТ-инвестициями |
в организации имеются средства оперативного доступа к четко документированной финансовой информации о стоимости программных активов (в том числе к данным о первоначальной и амортизированной стоимости) | 4.6.3.2.d | Уровень 3 | Управление документацией | 6 Оптимизация затрат | DS6 Определение и распределение затрат |
в организации проводится формально документированная сверка (не реже одного раза в квартал) фактических расходов с бюджетными показателями с документально зафиксированными выводами и решениями о принятии любых необходимых мер | 4.6.3.2.e | Уровень 3 | Финансовое управление | 8 Операционное управление | PO5 Управление ИТ-инвестициями |
в организации проводится оптимизационный анализ лицензий, заключающийся в анализе рентабельности затрат на лицензирование, по результатам которого выдаются рекомендации по улучшению | 4.6.3.2.f | Уровень 3 | Управление идентификацией активов | 6 Оптимизация затрат | PO2 Определение информационной архитектуры |
4.6.4 Управление уровнями обслуживания SAM | |||||
Реализация процесса "Управление уровнями обслуживания SAM" позволит организации продемонстрировать следующее: | 4.6.4.2 | DS1 Определение и управление уровнем обслуживания | |||
для услуг, предоставляемых в рамках SAM, организацией разработаны и утверждены соглашения об уровне обслуживания и вспомогательные соглашения. В таких соглашениях об уровне обслуживания оговариваются: | 4.6.4.2.a | Уровень 3 | 8 Процессы управления операциями SAM | PO1 Разработка стратегического плана развития ИТ | |
определенные и согласованные с соответствующими сторонами услуги, относящиеся к приобретению, установке, перемещению и изменению программных и связанных активов (вместе с целевыми показателями уровня обслуживания и характеристиками рабочей нагрузки) | 4.6.4.2.a1 | Уровень 3 | Управление закупками, программами | 8 Процессы управления операциями SAM | AI6 Управление внесением изменений |
обязательства и обязанности потребителей и пользователей в отношении SAM, или на них дается ссылка | 4.6.4.2.a2 | Уровень 3 | Управление программами | 8 Процессы управления операциями SAM | DS1 Определение и управление уровнем обслуживания |
регулярно (не реже одного раза в квартал) в организации оцениваются фактические рабочие нагрузки и уровни обслуживания в сравнении с целевыми показателями и документируются причины несоответствия целевым показателям SAM | 4.6.4.2.b | Уровень 3 | Управление программами, соответствием | 8 Процессы управления операциями SAM | PO7 Управление персоналом |
соответствующими сторонами проводится регулярный (не реже одного раза в квартал) анализ показателей и их сравнение с уровнями обслуживания SAM с документально зафиксированными выводами и решениями о принятии любых необходимых мер | 4.6.4.2.c | Уровень 3 | Управление программами, соответствием, поставщиками | 8 Процессы управления операциями SAM | DS1 Определение и управление уровнем обслуживания |
4.6.5 Управление безопасностью SAM | |||||
Реализация процесса "Управление безопасностью SAM" позволит организации продемонстрировать следующее: | 4.6.5.2 | PO1 Разработка стратегического плана развития ИТ | |||
организацией разработана и утверждена формальная политика безопасности/ | 4.6.5.2.a3 | Уровень 4 | Управление политиками | 8 Процессы управления операциями SAM | PO2.3 Схема классификации данных |
организацией определены физические и логические средства контроля доступа с целью обеспечения требований политик SAM | 4.6.5.2.b | Уровень 4 | Управление политиками | 8 Процессы управления операциями SAM | PO2.3 Схема классификации данных |
организация имеет документальные подтверждения практического внедрения этих средств контроля доступа | 4.6.5.2.c | Уровень 4 | Управление коммуникацией и обучением политикам | 8 Процессы управления операциями SAM | PO2.3 Схема классификации данных |
Продолжение таблицы С.1
4.7 Интерфейсы процессов жизненного цикла SAM | |||||||||
4.7.2 Процесс управления изменениями | |||||||||
Реализация процесса управления изменениями позволит организации продемонстрировать следующее: | 4.7.2.2 | AI6 Управление внесением изменений | |||||||
в организации имеется формальный процесс управления изменениями, характеризуемый следующими особенностями: | 4.7.2.2.a | Уровень 4 | 1 Политика | AI2.9 Управление требованиями к приложениям | |||||
идентифицируются и регистрируются все запросы на внесение изменений, оказывающих влияние на программное обеспечение или связанные активы, услуги или процессы SAM | 4.7.2.2.a1 | Уровень 4 | Управление программами | 1 Политика | AI2.9 Управление требованиями к приложениям | ||||
запросы на внесение изменений, оказывающих влияние на программное обеспечение или связанные активы, услуги или процессы SAM, оцениваются на предмет их возможного воздействия, классифицируются и утверждаются ответственным руководством | 4.7.2.2.a2 | Уровень 4 | Управление программами | 1 Политика | AI2.9 Управление требованиями к приложениям | ||||
процесс реализации утвержденного запроса на внесение изменений выполняется только при условии получения утверждения | 4.7.2.2.a3 | Уровень 4 | Управление программами, проектами | 1 Политика | AI2.9 Управление требованиями к приложениям | ||||
регистрируются все изменения, оказывающие влияние на программное обеспечение или связанные активы, услуги или процессы SAM | 4.7.2.2.a4 | Уровень 4 | Управление программами, проектами | 1 Политика | AI2.9 Управление требованиями к приложениям | ||||
регистрируются и периодически анализируются успешные или неуспешные попытки таких изменений | 4.7.2.2.a5 | Уровень 4 | Управление программами | 1 Политика | AI2.9 Управление требованиями к приложениям | ||||
4.7.3 Процесс закупок | |||||||||
Реализация процесса закупок позволит организации продемонстрировать следующее: | 4.7.3.2 | ||||||||
организацией определены стандартные архитектуры предоставления программных услуг, а также критерии отклонения от таких стандартов | 4.7.3.2.a | Уровень 3 | Управление закупками, | 4 Ответственность | PO2 Определение информационной архитектуры | ||||
организацией определены стандартные конфигурации программного обеспечения, а также критерии отклонения от таких стандартов | 4.7.3.2.b | Уровень 3 | Управление программами | 4 Ответственность | PO2 Определение информационной архитектуры | ||||
организацией разработаны, надлежащим образом утверждены и выпущены политики и процедуры для подачи заявок и заказа программных и связанных активов, в том числе: | 4.7.3.2.c | Уровень 3 | 4 Ответственность | ||||||
способ указания требований | 4.7.3.2.c1 | Уровень 3 | Управление закупками, политиками | 4 Ответственность | PO1 Разработка стратегического плана развития ИТ | ||||
необходимые утверждения руководства и технические согласования | 4.7.3.2.c2 | Уровень 3 | Управление закупками | 4 Ответственность | PO1 Разработка стратегического плана развития ИТ | ||||
использование и/или повторное развертывание существующих лицензий (при их наличии) | 4.7.3.2.c3 | Уровень 3 | Управление закупками | 4 Ответственность | PO1 Разработка стратегического плана развития ИТ | ||||
учет требований к будущим закупкам в тех случаях, когда программное обеспечение может быть развернуто до оформления отчетности и совершения оплаты | 4.7.3.2.c4 | Уровень 3 | Управление закупками | 4 Ответственность | PO1 Разработка стратегического плана развития ИТ | ||||
организацией разработаны, надлежащим образом утверждены и выпущены политики и процедуры для обработки доходов, имеющих отношение к программному обеспечению и связанным активам, в том числе: | 4.7.3.2.d | Уровень 3 | 4 Ответственность | PO1 Разработка стратегического плана развития ИТ | |||||
политики и процедуры обработки счетов, включая сверку с заказами, и сохранения копий для управления лицензиями | 4.7.3.2.d1 | Уровень 3 | Управление идентификацией активов, финансовое управление | 4 Ответственность | PO9 Оценка и управление ИТ-рисками | ||||
политики и процедуры обеспечения получения и надежного хранения подтверждений лицензии по всем приобретенным лицензиям, | 4.7.3.2.d2 | Уровень 3 | Управление закупками, документацией | 4 Ответственность | |||||
обработка поступающих носителей, в том числе проверка, учет и надлежащее хранение содержимого (физических носителей и электронных копий) | 4.7.3.2.d3 | Уровень 3 | Управление идентификацией активов | 4 Ответственность | PO9 Оценка и управление ИТ рисками | ||||
4.7.4 Процесс разработки программного обеспечения | |||||||||
Реализация процесса разработки программного обеспечения позволит организации продемонстрировать следующее: | 4.7.4.2 | PO1 Разработка стратегического плана развития ИТ | |||||||
в организации имеется формальный процесс разработки программного обеспечения, обеспечивающий учет: | 4.7.4.2.a | Уровень 4 | 6 Оптимизация затрат | AI2 Приобретение и поддержка программных приложений | |||||
стандартных архитектур и стандартных конфигураций | 4.7.4.2.a1 | Уровень 4 | Управление программами | 6 Оптимизация затрат | PO3 Определение направления технологического развития | ||||
лицензионных ограничений и зависимостей | 4.7.4.2.a2 | Уровень 4 | Управление соответствием | 6 Оптимизация затрат | PO2 Определение информационной архитектуры | ||||
в организации имеется формальный процесс разработки программного обеспечения, в соответствии с которым программные продукты проходят программный контроль до того, как будут внедрены в производственную среду | 4.7.4.2.b | Уровень 4 | Управление программами, идентификацией активов | 6 Оптимизация затрат | AI2 Приобретение и поддержка программных приложений | ||||
4.7.5 Процесс управления релизами программного обеспечения | |||||||||
Реализация процесса управления релизами программного обеспечения позволит организации продемонстрировать следующее: | 4.7.5.2 | AI2 Приобретение и поддержка программных приложений | |||||||
в организации имеется формальный процесс управления релизами программного обеспечения, характеризуемый следующими особенностями: | 4.7.5.2.a | Уровень 4 | 9 Жизненный цикл | ||||||
использование контролируемой среды приемки для создания и тестирования всех предлагаемых релизов, включая патчи, до релиза | 4.7.5.2.a1 | Уровень 4 | Управление закупками | 9 Жизненный цикл | AI2 Приобретение и поддержка программных приложений | ||||
периодичность и тип релизов, в том числе периодичность выпусков патчей безопасности, планируются и согласовываются с бизнесом и клиентами | 4.7.5.2.a2 | Уровень 4 | 9 Жизненный цикл | AI6 Управление внесением изменений | |||||
плановые даты релизов и получаемые результаты регистрируются со ссылкой на связанные запросы на внесение изменений и проблемы и передаются в процесс управления инцидентами | 4.7.5.2.a3 | Уровень 4 | 9 Жизненный цикл | AI6 Управление внесением изменений | |||||
релизы программного обеспечения и связанных активов утверждаются ответственным руководством | 4.7.5.2.a4 | Уровень 4 | 9 Жизненный цикл | AI6 Управление внесением изменений | |||||
успешные или неуспешные релизы регистрируются и периодически анализируются | 4.7.5.2.a5 | Уровень 4 | 9 Жизненный цикл | AI6 Управление внесением изменений | |||||
4.7.6 Процесс развертывания программного обеспечения | |||||||||
Реализация процесса развертывания программного обеспечения позволит организации продемонстрировать следующее: | 4.7.6.2 | PO1 Разработка стратегического плана развития ИТ | |||||||
организацией разработаны, утверждены и выпущены политики и процедуры для развертывания программного обеспечения, характеризуемые следующими особенностями: | 4.7.6.2.a | Уровень 3 | 5 Реализация | PO1 Разработка стратегического плана развития ИТ | |||||
любой новый экземпляр для распространения программного обеспечения и связанных активов утверждается ответственным руководством | 4.7.6.2.a1 | Уровень 3 | Управление закупками | 5 Реализация | POЗ.2 План технологической инфраструктуры | ||||
для любого развертывания существует процедура отката или метод исправления, если развертывание окажется неуспешным | 4.7.6.2.a2 | Уровень 3 | 5 Реализация | POЗ.2 План технологической инфраструктуры | |||||
соблюдены требования к безопасности, в том числе в отношении доступа к программному обеспечению в процессе развертывания и после его установки | 4.7.6.2.aЗ | Уровень 3 | Управление программами, идентификацией активов, закупками | 5 Реализация | PO9 Оценка и управление ИТ-рисками | ||||
все изменения статуса соответствующего программного обеспечения и связанных активов тщательно и своевременно регистрируются (в том числе любые изменения статуса хранения активов), и ведется журнал учета таких изменений | 4.7.6.2.a4 | Уровень 3 | Управление идентификацией активов | 5 Реализация | PO9 Оценка и управление ИТ-рисками | ||||
для проверки того, что развертывание было выполнено в точном соответствии с тем, что было разрешено, осуществляется документированный контроль. При выявленном несоответствии (или если не удалось проверить, что актив был развернут в рамках разрешенных ограничений) устанавливается признак исключительной ситуации с перечислением всех несоответствий | 4.7.6.2.a5 | Уровень 3 | Управление идентификацией активов | 5 Реализация | PO9 Оценка и управление ИТ-рисками | ||||
регистрируется и периодически анализируется успех или неуспех развертываний | 4.7.6.2.a6 | Уровень 3 | Управление соответствием | 5 Реализация | DS8 Управление службой технической поддержки и инцидентами | ||||
4.7.7 Процесс управления инцидентами | |||||||||
Реализация процесса управления инцидентами позволит организации продемонстрировать следующее: | 4.7.7.2 | PO1 Разработка стратегического плана развития ИТ | |||||||
организация имеет формальный процесс управления инцидентами, обеспечивающий: | 4.7.7.2.a | Уровень 4 | 9 Жизненный цикл | DS3 Управление производительностью и мощностями | |||||
регистрацию и ранжирование по приоритету разрешения всех инцидентов, влияющих на программное обеспечение, связанные активы или процессы управления программными активами | 4.7.7.2.a1 | Уровень 4 | Управление программами | 9 Жизненный цикл | DS3 Управление производительностью и мощностями | ||||
разрешение всех таких инцидентов в соответствии с их приоритетами и документирование такого разрешения | 4.7.7.2.a2 | Уровень 4 | Управление программами | 9 Жизненный цикл | DS3 Управление производительностью и мощностями | ||||
4.7.8 Процесс управления проблемами | |||||||||
Реализация процесса управления проблемами позволит организации продемонстрировать следующее: | 4.7.8.2 | PO1 Разработка стратегического плана развития ИТ | |||||||
организация имеет формальный процесс управления проблемами, характеризуемый следующими особенностями: | 4.7.8.2.a | Уровень 4 | 9 Жизненный цикл | DS9 Управление конфигурацией | |||||
все инциденты, оказывающие воздействие на программное обеспечение, услуги или процессы SAM, регистрируются и классифицируются по степени воздействия | 4.7.8.2.a1 | Уровень 4 | Управление программами | 9 Жизненный цикл | DS9 Управление конфигурацией | ||||
высокоприоритетные и повторяющиеся инциденты анализируются для выяснения первопричин и располагаются в порядке приоритета разрешения | 4.7.8.2.a2 | Уровень 4 | Управление программами | 9 Жизненный цикл | DS9 Управление конфигурацией | ||||
первопричины документируются и передаются в процесс управления инцидентами | 4.7.8.2.a3 | Уровень 4 | Управление программами | 9 Жизненный цикл | DS9 Управление конфигурацией | ||||
проблемы разрешаются в соответствии с их приоритетом, а результат разрешения документируется и передается в процесс управления инцидентами | 4.7.8.2.a4 | Уровень 4 | Управление программами | 9 Жизненный цикл | DS9 Управление конфигурацией | ||||
4.7.9 Процесс списания | |||||||||
Реализация процесса списания позволит организации продемонстрировать следующее: | 4.7.9.2 | PO1 Разработка стратегического плана развития ИТ | |||||||
организацией разработаны, утверждены и выпущены политики и процедуры для надежного списания программного обеспечения или аппаратного обеспечения, на котором установлено программное обеспечение, характеризуемое следующими особенностями | 4.7.9.2.a | Уровень 3 | Управление утилизацией, политиками | 4 Ответственность | PO1 Разработка стратегического плана развития ИТ | ||||
установленные копии программного обеспечения удаляются со списанных аппаратных средств кроме тех случаев, когда их использование явным образом разрешено руководством после проведения надлежащего анализа любых последствий лицензирования программного обеспечения и обеспечения конфиденциальности данных | 4.7.9.2.a1 | Уровень 3 | Управление утилизацией | 4 Ответственность | DS11 Управление данными | ||||
лицензии и другие активы, которые могут быть развернуты повторно, идентифицированы для повторного развертывания | 4.7.9.2.a2 | Уровень 3 | Управление утилизацией | 4 Ответственность | DS11 Управление данными | ||||
любые активы, передаваемые третьим сторонам (независимо от того, являются ли такие стороны связанными или не связанными, и независимо от того, каким способом передаются эти активы (продаются, иным образом уступаются и пр.), передаются с надлежащим учетом любых требований конфиденциальности, лицензирования и других контрактных требований | 4.7.9.2.a3 | Уровень 3 | Управление утилизацией | 4 Ответственность | DS11 Управление данными | ||||
лицензии и другие активы, которые не могут быть развернуты повторно, надлежащим образом утилизируются | 4.7.9.2.a4 | Уровень 3 | Управление утилизацией | 4 Ответственность | DS11 Управление данными | ||||
в оформляемые записи заносятся описанные выше изменения, и ведутся журналы учета изменений | 4.7.9.2.a5 | Уровень 3 | Управление утилизацией | 4 Ответственность | DS11 Управление данными | ||||
Приложение D
(справочное)
План развития
D.1 Введение
В приведенных ниже подразделах содержится сводный план развития стандартов требований к процессам в семействе стандартов управления программными активами ИСО/МЭК 19770. План развития всего семейства стандартов приведен в ИСО/МЭК 19770-5.
D.2 План развития стандартов требований к процессам
D.2.1 Введение
Подмножество стандартов требований к процессам плана развития, полностью описанного в ИСО/МЭК 19770-5, охватывает три поколения стандартов, как это показано на рисунке 7, а именно:
1) первое поколение - ИСО/МЭК 19770-1:2006;
2) второе поколение - ИСО/МЭК 19770-1:2012 (текущая редакция ИСО/МЭК 19770-1);
3) третье поколение - ИСО/МЭК 19770-1:20хх (будущий стандарт полнофункциональной системы управления).
Рисунок 7 - План развития стандарта процессов
D.2.2 Предпосылки
Для достижения целей бизнеса организации разрабатывают SAM как непрерывную программу развивающихся со временем процессов для обеспечения более широкой управляемости связанными ИТ-активами, лицензируемой интеллектуальной собственностью, а также регуляторными и договорными обязательствами.
Реализации могут иметь различный характер, но все они имеют общее свойство - нацеленность на непрерывное совершенствование процессов для эффективного управления ими. Организации обычно улучшают такие управленческие системы в ходе этапов эволюционного развития, определяемых комплексными факторами, например, потребностями бизнеса, другими программами, затрагивающими операционную среду, а также внешними факторами, связанными с регулированием и соблюдением требований. Организации все чаще стремятся показывать эффективность своих процессов и с этой целью обращаются к стандартам, предлагающим разнообразные способы усовершенствования.
SAM - широкая дисциплина, и ИСО/МЭК 19770-1:2006 предоставляет полностью всеобъемлющий источник процессов. Некоторые организации, демонстрируя широкое соответствие всем передовым практикам, руководствуются чисто коммерческими мотивами, другие, реализуя только существенные элементы процесса, демонстрируют соблюдение требований лицензирования. Строгие требования рынка применяются на нескольких уровнях процессов, однако все они базируются на общей совокупности знаний о процессах SAM.
Организации все в большей степени предпочитают совершенствовать системы управления посредством сравнения с организациями, у которых имеются аналогичные деловые и эксплуатационные среды. В стандарте SAM имеются для этого постоянно совершенствуемые стандартизируемые средства, позволяющие осуществлять сравнение и согласование с проверенными методами, которые организации уже используют для измерения зрелости с использованием стандартов.
Кроме того, для оценок различных систем управления желательно применение общего подхода. Поскольку организации используют и другие стандарты (для целей, не связанных с SAM), им необходимо исключить дублирование и объединить функциональность стандартов, зная, что одни и те же принципы и опыт могут быть применены повторно, например во всей работе по усовершенствованию стандартов систем управления. В будущем будет реализовано больше возможностей объединения и повторного использования стандартов, что позволит повысить рентабельность использования стандартов.
План развития стандартов требований к процессам охватывает три поколения стандартов, созданных таким образом, чтобы организации могли извлекать выгоду от работы по оценке и соответствующей сертификации, которая полностью доступна.
D.2.3 Поколения требований к процессам
D.2.3.1 Первое поколение - ИСО/МЭК 19770-1:2006
ИСО/МЭК 19770-1:2006 описан в терминах, сходных с технической спецификацией продукта. Полное соответствие в ИСО/МЭК 19770-1:2006 определяется как достигнутое, если сумеет продемонстрировать, что все требования были удовлетворены; в качестве доказательства используются полученные результаты.
Требования ИСО/МЭК 19770-1:2006 широко распространены в качестве базовой инфраструктуры процессов SAM. Он остается твердой основой для формирования требований к стандартизованным процессам SAM. Однако подход к обеспечению соответствия, основанный на принципе "все или ничего" и требующий достижения результата по каждой цели, многими организациями обычно рассматривается как слишком жесткий.
D.2.3.2 Второе поколение - ИСО/МЭК 19770-1:2012
ИСО/МЭК 19770-1:2012 (текущая редакция ИСО/МЭК 19770-1) подразделяет требования ИСО/МЭК 19770-1:2006 на ряд групп, именуемых уровнями. Все определенные в ИСО/МЭК 19770-1:2006 результаты (с порядковыми номерами) закрепляются за уровнями, и такие уровни связаны с признанными отраслевыми практиками и другими руководствами. О соответствии ИСО/МЭК 19770-1:2012 может быть заявлено отдельно по каждому уровню; такое соответствие также может быть заявлено в отношении либо результатов процессов (как в ИСО/МЭК 19770-1:2006), либо достижения целей. Возможность достижения соответствия на уровнях решает основную проблему стандарта ИСО/МЭК 19770-1:2006 - всеохватность и чрезмерную требовательность для большинства организаций.
D.2.3.3 Третье поколение - ИСО/МЭК 19770-1:20хх (будущий стандарт системы управления)
Будущее развитие требований к процессам в семействе стандартов ИСО/МЭК 19770 должно отразить готовность включения этих стандартов в комплексную инфраструктуру стандартов системы управления. Такое развитие также позволит применять подход к оценке на базе моделей зрелости возможностей, надежно зарекомендовавший себя в других областях и хорошо согласующийся с другими параллельно ведущимися разработками стандартов (например, ИСО/МЭК 20000).
ИСО/МЭК 19770-1:20хх будет продолжать разрабатывать варианты демонстрации соответствия, определенные в стандартах первых двух поколений. В этом поколении можно будет обеспечивать соответствие на уровнях оценки, определенных для ИСО/МЭК 33000 (ранее ИСО/МЭК 15504) из семейства стандартов оценки процессов ИСО/МЭК. Третье поколение ИСО/МЭК 19770-1:20хх также облегчит согласованную оценку на основе собственных моделей зрелости возможностей SAM.
Приложение E
(справочное)
Отраслевые подходы к оценке зрелости процессов
E.1 Введение
Подходы к оценке зрелости процессов не включены в нормативный текст настоящего стандарта. Однако на такие подходы имеется значительный рыночный спрос, поэтому этот подход предполагается включить в состав разрабатываемого третьего поколения настоящего стандарта (см. D.2 "План развития стандартов требований к процессам").
Желательно и полезно иметь возможность оценивать эффективность внедрения процессов, описанных в ИСО/МЭК 19770-1:2006, используя определенную модель зрелости возможностей. Однако среди множества созданных моделей на сегодняшний день отсутствует определенная и глобально принятая модель зрелости возможностей для оценки SAM. Разработка определенной и глобально принятой модели зрелости возможностей для оценки SAM потребует дополнительного времени и объединения подходов, основанных на всех частях ИСО/МЭК 19770 и других доступных рыночных методологиях.
Управление как государственными, так и частными организациями требует четкого понимания того, насколько хорошо осуществляется управление программными активами в организации. Четко определенная модель зрелости возможностей позволит организациям использовать объективные измерения при оценке эффективности процессов SAM. Сосредотачиваясь на результатах процессов SAM, а не на используемых методах, организации смогут принимать более качественные решения, направленные на совершенствование процессов SAM. Кроме того, организации, сравнивая свои показатели с показателями аналогичных организаций, смогут получить дополнительную ценную информацию.
Эффективные процессы SAM связывают людей, инструменты/технологии и методы в один общий механизм, ориентированный на достижение поставленных целей. По мере повышения зрелости программы SAM, процессы SAM становятся более качественными и согласованными в рамках всей организации. Однако каким образом организация может объективно оценить, насколько эффективно результаты процессов SAM отвечают поставленным целям. Именно здесь может пригодиться модель зрелости возможностей по установке программного обеспечения SAM.
Используя четко определенную модель зрелости возможностей как основу согласованной оценки, организации могут получить более объективные измерения и более осмысленные результаты.
Модель зрелости возможностей определяет инфраструктуру для оценки эффективности реализованных процессов достижения поставленных целей. Такая модель зрелости возможностей будет иметь различные уровни эффективности, необходимые для достижения цели. Уровни будут варьироваться от базового (не обеспечивающего эффективность) до уровня передовой практики. На основе оцененного уровня возможностей или зрелости организации смогут определить необходимые улучшения процессов для достижения требуемой эффективности. Кроме того, при оценке модели возможностей или зрелости могут использоваться системы измерений, позволяющие организациям сравнивать уровни зрелости своих процессов с процессами других организаций.
Целью модели зрелости возможностей SAM является:
1) создание определенной модели оценки эффективности процессов SAM для достижения целей;
2) согласование этой модели с существующими стандартами зрелости возможностей (например, с широко распространенным подходом ИСО/МЭК 15504), для того чтобы организации могли использовать согласованные подходы к измерению процессов; и
3) создание методологии, с помощью которой организация может отслеживать непрерывное совершенствование в рамках программы SAM.
Кроме того, предполагается создать дополнительное руководство, с помощью которого организации смогут улучшить процессы, относящиеся к программе SAM.
E.2 Основные модели зрелости возможностей
E.2.1 Обзор
В настоящее время имеется множество четко определенных моделей зрелости возможностей, используемых для оценки управления процессами. Из них наиболее распространенными моделями измерений, используемыми для оценки связанных с SAM процессов, являются следующие: ИСО/МЭК 15504:2003 (часто именуемый SPICE); Control Objective for Information and related Technology (CobiT) ("Цели контроля для информационных и смежных технологий"); Capability Maturity Model Integration (CMMI) ("Интегрированная модель зрелости процессов программного обеспечения"); Business Process Maturity Model (BPMM) ("Модель зрелости бизнес-процессов"); Microsoft's Software Asset Management Optimization Model (SOM) ("Модель оптимизации управления программными активами Microsoft"); lAITAM's 360 Assessment Model ("Модель оценки IAITAM 360") и стандарт управления активами (SAMAC) Software Asset Management Standards ("Стандарт управления программными активами, ассоциация оценки и сертификации SAM"). В настоящее время особое внимание SAM уделяют в своих моделях Microsoft, IAITAM и SAMC. Стандарт CobiT более универсален, но также применим и широко используется. Более подробная информация о стандартах CobiT и SAM приведена в подразделе С.3 "Дополнительная информация по избранным сопоставлениям с CobiT".
Примечание - В настоящем стандарте не оговариваются никакие конкретные источники внешних моделей SAM и не подразумеваются никакие утверждения связанных продуктов или сорсинговых организаций. Особенности будущей работы никак не привязываются к выбранной модели (из перечисленных в настоящем стандарте).
Различные модели зрелости возможностей используют в процессе оценки две различные методологии. Наиболее распространенная методология основана на оценке каждого отдельного процесса, исходя из возможностей достижения целей или результатов. Другая методология, используемая в моделях оценки как Microsoft SOM, так и IAITAM 360, базируется на группировании сходных процессов и последующей оценке этих групп, исходя из возможностей достижения целей или результатов. Кроме того, модели CobiT и ВРММ могут свободно применять методологию группирования процессов по определенным целям организации и ИТ.
Ниже приводится краткий обзор наиболее распространенных моделей зрелости возможностей в существующей среде.
Е.2.2 ИСО/МЭК 15504/33000
ИСО/МЭК 15504 в настоящий момент находится в процессе пересмотра и станет серией 33000. ИСО/МЭК 15504 не только представляет введение в концепцию оценки процессов, но также описывает методы оценки и некоторые образцы моделей оценки процессов. При оценке эффективности процесса ИСО/МЭК 15504 использует следующие 6 уровней:
0 - Незавершенный процесс: процесс не реализован или не может достигнуть цели. На этом уровне доказательств любого систематического достижения цели процесса мало или они отсутствуют.
1 - Выполненный процесс: реализованный процесс достигает цели.
2 - Управляемый процесс: выше описанный уровень 1 реализуется управляемым способом (запланирован, отслеживается и корректируется), а результаты его работы надлежащим образом задаются, контролируются и фиксируются.
3 - Установленный процесс: вышеописанный уровень 2 реализуется с помощью определенного процесса, обеспечивающего достижение результатов управляемого процесса.
4 - Предсказуемый процесс: выше описанный уровень 3 выполняется в определенных рамках, что позволяет обеспечить достижение результатов процесса.
5 - Оптимизирующий процесс: выше описанный уровень 4 непрерывно усовершенствуется, что позволяет обеспечить достижение текущих и прогнозируемых целей.
Е.2.3 CobiT
(См. также подраздел C.3 "Дополнительная информация по избранным сопоставлениям с CobiT"). Модель процессов CobiT подразделяет ИТ на четыре области и 34 процесса, в соответствии с зонами ответственности: планирование, создание, выполнение и мониторинг, обеспечивающими полное покрытие ИТ. При оценке эффективности процесса стандарт CobiT использует следующие 6 уровней:
0 - Несуществующий: полное отсутствие применяемых процессов. Организация даже не понимает, что у нее имеются проблемы.
1 - Исходный/несистематический: установлен тот факт, что организация поняла, что у нее имеются проблемы, и эти проблемы нужно решать. Однако стандартизированные процессы для этого отсутствуют; вместо них в каждом отдельном случае применяются специализированные подходы (чаще всего индивидуальные и нерегулярные). Общий подход к управлению дезорганизован.
2 - Повторяющийся, но интуитивный: процессы разработаны до той стадии, когда аналогичные процедуры выполняются различными людьми, выполняющими ту же задачу. Формальное обучение или знания стандартных процедур отсутствуют, ответственность возлагается на конкретного человека. Успех процессов в большой степени базируется на знаниях отдельных людей, поэтому вероятны ошибки.
3 - Определенный процесс: процедуры стандартизированы и документированы, и знания о них передаются посредством обучения. Такие процессы обязательны к соблюдению, однако выявление отклонений от таких процессов маловероятно. Сами по себе процедуры не сложны и создаются на базе формального анализа существующей практики.
4 - Управляемый и измеряемый процесс: руководство следит за выполнением процедур и принимает меры в тех случаях, когда процессы, по его мнению, выполняются неэффективно. Процессы постоянно улучшаются и обеспечивают полезный опыт. Использование средств автоматизации и инструментария ограничено или фрагментировано.
5 - Оптимизированный процесс: процессы доведены до уровня передовых практик на основе непрерывного совершенствования и моделирования зрелости совместно с другими организациями. С целью автоматизации рабочего окружения, в общие процессы интегрируются ИТ-процессы, реализующие инструментарий повышения качества и эффективности, что помогает организации быстро адаптироваться к новым требованиям.
Последняя актуальная информация, связанная с моделью CobiT, приводится в исходных источниках (см. ISACA/ITGI [www.isaca.org]).
E.2.4 Модель зрелости BPMM
Модель зрелости BPMM базируется на принципах модели CMMI. Изначально модель BPMM охватывает широкий диапазон сфер применения, используя 30 областей процессов, однако этот диапазон может быть расширен до определенной сферы применения. При оценке эффективности процессов модель BPMM использует следующие 5 уровней:
1 - Начальный, или "руководство тушением пожара": конкретные цели у организации отсутствуют. Успех в таких организациях зависит от компетентности и личного отношения к работе людей, а не от использования проверенных процессов.
2 - Управляемый, или "управление составными элементами работы": цель состоит в создании основы управления в пределах каждого составного элемента работы или проекта.
3 - Стандартизованный, или "управление процессами": цель состоит в установлении и использовании общей организационной инфраструктуры процессов и связанных активов процессов для согласованного выполнения работ по выпуску продукции и предоставлению услуг организацией.
4 - Прогнозируемый, или "управление возможностями": цель состоит в управлении и использовании ресурсов организационной инфраструктуры процессов и связанных активов процессов для достижения прогнозируемых результатов с контролируемыми отклонениями.
5 - Инновационный, или "управление изменениями": цель состоит в непрерывном совершенствовании процессов организации и создаваемых в результате продуктов и услуг посредством предотвращения дефектов и проблем, непрерывного повышения возможностей и плановых инновационных улучшений.
Последняя актуальная информация, связанная со стандартом, приводится в исходных источниках (см. Object Management Group [www.omg.org]).
E.2.5 Модель оптимизации SAM от Microsoft
Модель оптимизации SAM компании Microsoft (Microsoft's SAM Optimization Model, SOM) группирует 27 процессов, перечисленных в настоящем стандарте, по шести категориям, а затем определяет 10 ключевых компетенций для измерения. По мнению Microsoft, эти 10 компетенций точно определяют то, что необходимо предпринять организации для реализации эффективной программы SAM. При оценке эффективности компетенций модель SOM использует следующие 4 уровня:
1 - Базовый SAM, или "несистематический": слабый контроль за тем, какие ИТ-активы используются и где. Политики, процедуры, ресурсы и инструменты отсутствуют.
2 - Стандартизованный SAM, или "отслеживание активов": имеются процессы SAM, а также хранилище инструментов/данных. Информация может быть неполной и неточной и обычно не используется для принятия решений.
3 - Рационализированный SAM, или "активное управление": для управления жизненным циклом программных ИТ-активов используются представления, политики, процедуры и инструменты. Для управления активами используется надежная информация.
4 - Динамический SAM, или "оптимизированный": отслеживание изменений бизнес-потребностей практически в реальном времени. Формирование конкурентных преимуществ благодаря применению процессов SAM.
Последняя актуальная информация приводится в исходных источниках (см. Microsoft [www.microsoft.com]).
E.2.6 Модель оценки IAITAM 360
(См. также приложение С). Модель оценки IAITAM 360 базируется на 12 ключевых группах процессов (КРА), определенных в Библиотеке передовой практики IAITAM (IBPL). Для оценки IAITAM группирует различные процессы в 12 КРА и при оценке эффективности процесса использует следующие 5 уровней:
1 - Несистематический: процессы не определены; функции и политики существуют только в самодостаточных подразделениях; внутренняя коммуникация минимальна; реактивные действия вместо превентивных; имеется риск несоблюдения требований; производительность минимальна; ценность уровня минимальна.
2 - Повторяющийся: основные процессы периодически используются в масштабе всей организации; процессы начинают становиться более прибыльными; процессы принимают более определенную форму и чаще повторяются, однако все еще выполняются независимо друг от друга; политики определены и исполняются; процедуры созданы; взаимозависимости минимальны; согласованность с бизнес-требованиями минимальна; создаются роли; достигается личная заинтересованность руководства.
3 - Согласование: основные процессы четко определены, ясно прослеживается взаимодействие с другими процессами и КРА; программа в целом выполняется более эффективно, однако имеются резервы для ее повышения; взаимозависимости имеются, однако еще не оптимальные; внедряется базовая программа ITAM; достигнута максимальная коммуникационная эффективность в масштабе всей организации; риски несоблюдения требований заметно снижены; роли определены и исполняются.
4 - Стратегический: эффективность процессов оптимизирована, налажено взаимодействие между процессами и КРА; упреждающее принятие решений становится стандартным действием; определенные роли способствуют достижению общей цели; проекты планируются в соответствии с потребностями; поставленные цели достигаются; программа согласована с целями и бизнес-требованиями; в процессы вовлечена вся организация.
5 - Адаптивная оценка: результаты процессов предсказуемы; результаты процессов корректируются по мере необходимости; программа функционирует как базовая компетенция в рамках организации; риски несоблюдения требований отслеживаются или исключаются.
Последняя актуальная информация приводится в исходных источниках (см. IAITAM [www.iaitam.org]).
E.2.7 Модель зрелости Ассоциации оценки и сертификации SAM (SAMAC)
(См. также приложение С). Модель зрелости SAMAC базируется на документе "Стандарты управления программными активами", определяющем 13 управленческих областей применения процессов SAM в организации. При оценке эффективности процесса эта модель зрелости использует следующие 6 уровней:
0 - Неполный: управление никак не реализовано. Это самая низкая оценка (уровень зрелости).
1 - Начальный/несистематический: управление не организовано и реализуется по указаниям ответственных работников или других лиц.
2 - Повторяющийся: организационная система частично имеется, реализовано непрерывное управление.
3 - Определенный: к деятельности всей организации и системам управления адекватно применяются политики и регуляторные акты, серьезные упущения отсутствуют.
4 - Управляемый: реализация процессов управления отслеживается в соответствии с установленными политиками, регуляторными актами и системами управления.
5 - Оптимизированный: с целью обеспечения оптимального управления и отслеживания изменений производственной среды SAM, процессы SAM пересматриваются по мере необходимости и на регулярной основе. Это самая высокая оценка (уровень зрелости).
Последняя актуальная информация приводится в исходных источниках (см. SAMAC [www.samac.or.jp]).
Приложение ДА
(справочное)
Сведения о соответствии ссылочных международных стандартов национальным стандартам Российской Федерации (и действующим в этом качестве межгосударственным стандартам)
Таблица ДА.1
Обозначение ссылочного международного стандарта | Степень соответствия | Обозначение и наименование соответствующего межгосударственного стандарта, национального стандарта Российской Федерации |
ИСО 9001:2008 | IDT | ГОСТ ISO 9001-2011 "Системы менеджмента качества. Требования" |
ИСО/МЭК 33003 | - | * |
ИСО/МЭК 19770-2 | - | * |
ИСО/МЭК 19770-3 | - | * |
* Соответствующий национальный стандарт отсутствует. До его утверждения рекомендуется использовать перевод на русский язык данного международного стандарта. Перевод данного международного стандарта находится в Федеральном информационном фонде технических регламентов и стандартов. | ||
Библиография
[1] | Руководство по ИСО 72 | Руководящие указания для подтверждения и разработки стандартов системы управления (ISO Guide 72 Guidelines for the justification and development of management systemst and ards) |
[2] | ИСО/МЭК 2382-1:1993 | Информационные технологии. Словарь. Часть 1. Основные термины (ISO/IEC 2382-1:1993 Information technology - Vocabulary - Part 1: Fundamental terms) |
[3] | ИСО 9001 | Системы управления качеством. Требования (ISO 9001 Quality management systems - Requirements) |
[4] | ИСО/МЭК 12207 | Системная и программная инженерия. Процессы жизненного цикла программного обеспечения (ISO/IEC 12207 Systems and software engineering - Software life cycle processes) |
[5] | ИСО/МЭК 15504-2 | Информационные технологии. Оценка процессов. Часть 2. Оценка процессов (ISO/IEC 15504-2 Information technology - Process assessment - Part 2: Performing an assessment) |
[6] | ИСО/МЭК 20000-1:2005 | Информационные технологии. Менеджмент услуг. Часть 1. Спецификации (ISO/IEC 20000-1:2005 Information technology - Service management - Part 1: Specification)* |
[7] | ИСО/МЭК 27001 | Информационная технология. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования (ISO/IEC 27001 Information technology - Security techniques - Information security management systems - Requirements) |
[8] | ИСО/МЭК 38500 | Корпоративное управление информационными технологиями (ISO/IEC 38500 Corporate governance of information technology) |
_________________
* ИСО/МЭК 20000-1:2005 был отменен и заменен на ИСО/МЭК 20000-1:2011 Информационные технологии. Менеджмент услуг. Часть 1. Системные требования к управлению услугами (ИСО/МЭК 20000-1:2011 Information technology - Service management - Part 1: Service management system requirements).
УДК 65.012:004.45:006.354 | ОКС 35.080 | П85 | ОКСТУ 4090 |
Ключевые слова: информационные технологии, программные активы, процессы, оценка соответствия | |||
Электронный текст документа
и сверен по:
, 2017
