allgosts.ru35. ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ. МАШИНЫ КОНТОРСКИЕ35.080. Программное обеспечение

ГОСТ Р ИСО/МЭК 19770-1-2014 Информационные технологии. Менеджмент программных активов. Часть 1. Процессы и оценка соответствия по уровням

Обозначение:
ГОСТ Р ИСО/МЭК 19770-1-2014
Наименование:
Информационные технологии. Менеджмент программных активов. Часть 1. Процессы и оценка соответствия по уровням
Статус:
Действует
Дата введения:
03.01.2015
Дата отмены:
-
Заменен на:
-
Код ОКС:
35.080

Текст ГОСТ Р ИСО/МЭК 19770-1-2014 Информационные технологии. Менеджмент программных активов. Часть 1. Процессы и оценка соответствия по уровням


ГОСТ Р ИСО/МЭК 19770-1-2014

Группа П85



НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационные технологии

МЕНЕДЖМЕНТ ПРОГРАММНЫХ АКТИВОВ

Часть 1

Процессы и оценка соответствия по уровням

Information technologies. Software asset management. Part 1. Processes and tiered assessment of conformance



ОКС 35.080
ОКСТУ 4090

Дата введения 2015-03-01

Предисловие

Предисловие

1 ПОДГОТОВЛЕН Закрытым акционерным обществом "Консистент Софтвеа Дистрибушн" на основе перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 076 "Системы менеджмента"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 29 мая 2014 г. N 483-ст

4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 19770-1:2012* "Информационные технологии. Менеджмент программных активов. Часть 1. Процессы и оценка соответствия по уровням (ISO/IEC 19770-1:2012 "Information technology - Software asset management - Part 1: Processes and tiered assessment of conformance", IDT).
________________
* Доступ к международным и зарубежным документам, упомянутым здесь и далее по тексту, можно получить, перейдя по ссылке на сайт . - .


При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении ДА

Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с требованиями ГОСТ Р 1.5-2012 (пункт 3.5).

5 ВВЕДЕН ВПЕРВЫЕ

6 ПЕРЕИЗДАНИЕ. Январь 2017 г.


Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение


Настоящий стандарт предназначен для организаций, желающих освоить передовой опыт в области менеджмента программных активов (Software Asset Management, SAM). Настоящий стандарт идентичен ИСО/МЭК 19770-1:2012, который разработан на базе ИСО/МЭК 19770-1:2006 "Информационные технологии. Менеджмент программного обеспечения. Часть 1. Процессы" - комплексного стандарта, разработанного для применения ко всему менеджменту услуг, как это описано в ИСО/МЭК 20000.

Опыт применения ИСО/МЭК 19770-1:2006 выявил потребность в поэтапном внедрении, причем такие этапы должны наилучшим образом соответствовать потребностям организации. Настоящий стандарт разработан с целью обеспечения внедрения SAM в соответствии с требованиями настоящего стандарта в рамках любого из этапов наращивания, именуемых далее уровнями (кумулятивными по своей сути). Это позволяет организациям проходить независимую автономную сертификацию, соответствующую естественным уровням развития и приоритетов в управлении. Последующее подтверждение дается таким организациям через возможность публично заявлять о пройденной сертификации на соответствие заявленному уровню.

Разделение на уровни разработано таким образом, чтобы стандартизированные процессы менеджмента программных активов (SAM) были доступны для большинства организаций. Организации, внедряющие SAM впервые, часто могут ускорить этот процесс, тщательно определяя программные активы и части организации, охватываемые SAM. Обычно организация не стремится к достижению всех возможных внутренних целей, целей программного обеспечения и целей организации, описанных в настоящем стандарте в разделе 1 "Цель документа". Организация может определить для себя любую цель, если она является однозначной.

В тех случаях, когда организация предпочитает сузить цель SAM указанным выше образом, она должна учесть определенные факторы, обеспечивающие достижение всех необходимых преимуществ и целей организации. Например, для обеспечения надежного уровня безопасности обычно необходимо, чтобы в цели SAM были включены все активы, относящиеся к определенным разделам организационной инфраструктуры. Кроме того, управлять программными активами невозможно, не управляя одновременно аппаратными средствами, на базе которых оно работает, соответственно, настоящий стандарт может использоваться для управления и тем, и другим. Термин SAM предполагает охват всех связанных с программным обеспечением активов в инфраструктуре информационных технологий (ИТ) и применение термина SAM в настоящем стандарте отражает организационный выбор ответственной рабочей группы ИСО/МЭК и обычную практику рынка. SAM обладает большим набором преимуществ перед другими взаимосвязанными методами управления ИТ-активами, и разработчики качественных методик SAM могут ожидать получения дополнительных преимуществ помимо возможностей собственно управления программным обеспечением.

На рисунке 1 показаны четыре уровня SAM, определенные в настоящем стандарте. Более полное описание этих уровней приведено в разделе 5 "Уровни". Их можно кратко охарактеризовать следующим образом:

Рисунок 1 - Четыре уровня SAM


Рисунок 1 - Четыре уровня SAM


Основные связанные преимущества каждого уровня:

Уровень 1: Достоверные данные. Достижение этого уровня означает получение знаний о том, что у вас есть, чтобы уметь управлять этим.

Наличие достоверных данных - обязательное условие качественных процессов SAM. Здесь применим общий управленческий принцип, состоящий в том, что "невозможно управлять тем, чего не знаешь". На этом уровне также осуществляется демонстрация лицензионного соответствия, что обычно является высокоприоритетной целью управления.

Примечание - Другие части ИСО/МЭК 19770 определяют дескриптор идентификации программного обеспечения ( см. ИСО/МЭК 19770-2) и дескриптор права на программное обеспечение (см. ИСО/МЭК 19770-3), имеющие целью упростить задачу получения достоверных данных.


Уровень 2: Практическое управление. Достижение этого уровня означает повышение качества административного управления и получение немедленных преимуществ.

На практике руководство организации обычно начинает заниматься вопросами, относящимися к SAM, только после того, как будут выявлены проблемы, связанные с недостоверностью данных. Организация выясняет степень подверженности рискам, а также потенциал для усовершенствований и экономии. Этот уровень охватывает базовую среду административного управления (см. 4.2 "Контрольная среда SAM"), включая политики, роли и обязанности. На этом уровне также определяются цели и достигаются немедленные преимущества (за счет использования данных уровня 1).

Уровень 3: Операционная интеграция. Достижение этого уровня означает повышение эффективности и результативности.

Этот уровень, основываясь на результатах, полученных на двух предыдущих уровнях, интегрирует процессы SAM в операционные процессы (см. 4.6 "Процессы и интерфейсы управления операциями SAM"). В результате повышается эффективность и результативность.

Примечание - Другие части ИСО/МЭК 19770 определяют дескриптор идентификации программного обеспечения (см. ИСО/МЭК 19770-2) и дескриптор права на программное обеспечение (см. ИСО/МЭК 19770-3), имеющие целью упростить задачу интеграции.


Уровень 4: Полное соответствие настоящего стандарта SAM. Достижение этого уровня означает достижение лучшего в своем классе стратегического SAM.

Этот уровень охватывает более сложные и требовательные аспекты комплексного SAM, включая полную интеграцию процессов SAM в процессы стратегического планирования организации.

Уровни 1-3 определены как подмножества полного набора групп процессов и результатов, определенных в настоящем стандарте, т.е. у каждой группы процессов SAM имеется единственная цель, например, идентификация программных активов, и каждая группа процессов содержит множество результатов процессов для достижения каждой цели. Сводная таблица, иллюстрирующая эту структуру, приведена в приложении A.

Уровни формируются один над другим, причем уровень 4 определяется как полный набор групп процессов и результатов, определенных в настоящем стандарте. Следует обратить внимание, что группы процессов и результаты, определенные в настоящем стандарте, если сравнивать их с ИСО/МЭК 19770-1:2006, практически не изменились, не считая некоторых незначительных разъяснений. Также в целом сохранена структура целей групп процессов, устанавливающих множество результатов, после чего может быть установлено соответствие любому конкретному уровню. Несмотря на то, что любой из уровней можно сертифицировать по отдельности, все они рассчитаны на то, что все предыдущие уровни в любое время остаются функциональными. На практике это обычно означает, что в организации, претендующей на сертификацию более высокого уровня, аудитор при регулярной проверке любого предыдущего уровня или уровней также осуществит проверку более высокого уровня.

Более подробное описание уровней и их структуры приведено в разделе 5.

Общие преимущества SAM:

a) управление рисками: например, минимизация степени воздействия прерываний или снижения качества работы ИТ/служб; снижение юридических и регуляторных рисков;

b) контроль затрат: снижение прямых затрат на программное обеспечение и связанные активы (см. описание связанных активов в 1.2), контроль затрат, связанных с постоянной поддержкой, контроль контрактных издержек;

c) конкурентное преимущество: лучшие бизнес-решения и чувство удовлетворения от наличия постоянно доступных достоверных данных.

Обычно бизнес-требования относятся к приоритетным областям, например к конкретным производителям программного обеспечения, а иногда к конкретным группам организационных подразделений. Правильно выбрав уровни и соответствующим образом определив масштабы, организации получат преимущества от использования стандартизированных процессов SAM, описанные в настоящем стандарте в разделе 1 "Цель документа".

В принципе для определения стандарта, соответствие которому может быть поэтапно достигнуто, можно также применить подход на базе использования модели способности или зрелости. Однако на практике такой подход, если он предполагает независимую сертификацию, представляется значительно более сложным. Несмотря на это, по итогам переработки первой редакции ИСО/МЭК 15504 предполагается разработка такого подхода, что позволит объединить подходы, основанные на настоящем стандарте и других рыночных методологиях, исходя из уровня зрелости.

1 Общие положения

1.1 Цель документа


Настоящий стандарт определяет основу комплексного набора процессов менеджмента программных активов (Software Asset Management, SAM), разделенного на уровни, предусматривающие поэтапное внедрение, оценку и утверждение процессов SAM.

1.2 Область применения


Настоящий стандарт применяется к процессам SAM и может использоваться организациями для получения немедленных преимуществ. ИСО/МЭК 19770-2 определяет соответствующую спецификацию дескрипторов идентификации программного обеспечения. Для получения всех преимуществ данная спецификация должна быть внедрена производителями программного обеспечения (внешними и внутренними) и разработчиками инструментальных средств.

Предполагается, что настоящий стандарт станет стандартом внедрения для организаций. В последующих редакциях могут быть предусмотрены инструменты измерений, согласованные с требованиями ИСО/МЭК 15504-2:2003 или ИСО/МЭК 33003*.
________________
* ИСО/МЭК 33003 Системное проектирование и разработка программного обеспечения. Требования к инфраструктуре измерения процессов.


Настоящий стандарт применим к организациям любого размера или отрасли. С целью обеспечения соответствия, настоящий стандарт может применяться только к юридическому лицу или к частям отдельного юридического лица. Он также может применяться к нескольким юридическим лицам (например, родительской и дочерним предприятиям транснациональной компании), если между ними существуют юридические отношения (например, одна компания осуществляет контроль над другими). Настоящий раздел стандарта применяется только в тех случаях, когда контролирующая компания осуществляет контроль над всей областью применения (как это определено с целью обеспечения соответствия), а аудитор соглашается с таким определением организационной области применения.

Примечание - Определение организационной области применения документируется в разделе "Процесс корпоративного управления SAM" (4.2.2).


Настоящий стандарт может применяться к организации, передавшей процессы SAM в субподряд, при этом ответственность за демонстрацию соответствия всегда лежит на организации, привлекающей субподрядчиков.

Настоящий стандарт может применяться ко всему программному обеспечению и связанным активам, независимо от характера программного обеспечения, при этом под связанными активами понимаются активы, необходимые для использования программного обеспечения или управления им. Например, он может быть применен как к исполняемому программному обеспечению (прикладным программам, операционным системам и программным утилитам), так и к неисполняемому программному обеспечению (шрифтам, графике, аудио- и видеозаписям, шаблонам, словарям, документам и данным). Он может применяться ко всем технологическим средам и вычислительным платформам (например, виртуализированным приложениям, программному обеспечению, установленному на компьютерах организации или программному обеспечению "как услуга" (SaaS); в равной мере она применима к облачным сервисам и устаревшим вычислительным средам).

Примечание - Определение области применения программного актива (типов программного обеспечения, входящих в область применения), документируется как часть Плана SAM, разработанного в ходе процесса "Планирование SAM". Эта область может быть определена любым удобным для организации способом, например, ею может быть все программное обеспечение, компьютерные программы, программное обеспечение конкретных платформ или программное обеспечение конкретных производителей, при условии, что такое определение области является однозначным. См. также пояснения ниже после данного подраздела и в таблице 1.


За исключением требований, оговоренных в 4.7.4 "Процесс разработки программного обеспечения", применение настоящего стандарта при разработке программного обеспечения (в части написания и поддержания программного кода) не требуется. Он предназначен для применения ко всему программному обеспечению в производственной среде, в том числе к процессам конфигурирования программного обеспечения, создания и контроля сборок и релизов. Провести четкую границу между чистой разработкой (исключаемой, таким образом, из рассмотрения) и производственной средой (включаемой, таким образом, в рассмотрение) можно, однозначно формально определив организационную область или область применения программного обеспечения.

Примечание - Программное обеспечение, используемое для разработки другого программного обеспечения, считается частью производственной среды, другими словами, программное обеспечение, используемое разработчиками, само должно быть под контролем.


В рамках настоящего стандарта различают следующие формы программных активов:

a) права на использование программного обеспечения, выражаемые полной собственностью (в отношении программного обеспечения, разработанного внутри организации) и обладанием лицензиями (в отношении коммерческого программного обеспечения и программного обеспечения с открытым исходным кодом сторонней разработки);

b) программное обеспечение, предназначенное для использования, содержащее ценность, связанную с наличием интеллектуальной собственности (в том числе исходное программное обеспечение, предоставленное производителями и разработчиками программного обеспечения, сборки программного обеспечения и программного обеспечения в том виде, в котором оно было установлено и иным образом предоставлено, использовано или исполнено); и

c) носители, содержащие программное обеспечение для использования.

Примечание - В финансовом учете под активами в первую очередь понимается категория, приведенная в перечислении a), но даже в этом случае этот актив может быть полностью списан. Категория, приведенная в перечислении b) при использовании не лицензированного должным образом коммерческого программного обеспечения фактически может рассматриваться как пассив (а не актив). Настоящий стандарт предусматривает, что собственные активы категорий по перечислениям b) и c) должны контролироваться так же, как и категории перечисления а). Лицензии могут иметь бухгалтерскую стоимость, однако используемое программное обеспечение должно иметь коммерческую стоимость и рассматриваться как бизнес-актив.


Под связанными активами в области применения понимаются все активы с характеристиками, необходимыми для использования или управления программным обеспечением в этой области применения. Любые характеристики связанных активов, не требуемые для использования программного обеспечения или управления им, лежат вне области применения. В таблице 1 приведены примеры таких активов.


Таблица 1 - Применение настоящего стандарта к активам, не являющимся программным обеспечением

Тип актива

Применимость

Пример

Аппаратное обеспечение

Нормативная - для аппаратных активов с характеристиками, необходимыми для использования программных активов или управления ими в области применения

Инвентарная опись оборудования, на котором может храниться, исполняться или иным образом использоваться программное обеспечение;

количество процессоров или вычислительная мощность; поддаются ли учету аппаратные средства, используемые для целей лицензирования

Неприменимо для характеристик, не требуемых для использования программных активов или управления ими в области применения

Стоимость и амортизация аппаратных средств, даты профилактического обслуживания и обновления

Прочие активы

Нормативная - для прочих активов с характеристиками, необходимыми для использования программных активов или управления ими в области применения

Имена работников для идентификации ответственных лиц; подсчет численности персонала для целей лицензирования (если эта численность оговаривается в условиях лицензирования); инфраструктура или архитектура ИТ, в том числе интерфейсы (если это необходимо для определения соответствующего использования определенных лицензионных параметров, например для определения мультиплексирования)

Неприменимо для характеристик, не требуемых для использования программных активов или управления ими в области применения

Другая информация о работниках

1.3 Ограничения


Настоящий стандарт не оговаривает методы или процедуры SAM, необходимые для удовлетворения требований к результатам процесса.

В настоящем стандарте не оговаривается последовательность шагов, которые должна выполнить организация для реализации SAM, аналогично, никакая последовательность описания процессов не подразумевает никакой последовательности их реализации. Единственной последовательностью в этом смысле может быть последовательность, определяемая содержанием и контекстом. Например, планирование должно предшествовать внедрению.

Настоящий стандарт не определяет документацию с точки зрения именований, форматов, явного содержимого и информации.

Сведения о процессах сертификации и оформления официального подтверждения находятся вне области действия настоящего стандарта.

Настоящий стандарт не имеет целью вступление в противоречие с любыми политиками, процедурами и стандартами организации или с любыми внутригосударственными законами и регуляторными актами. Любое такое противоречие должно быть устранено до начала использования стандарта.

2 Соответствие требованиям

2.1 Предусмотренное использование


Настоящий стандарт предназначен для использования в качестве руководства по применению наилучших практик и имеет целью предоставление возможности прохождения независимой сертификации по отдельным уровням. При этом способы оценки соответствия организации требованиям могут быть разными.

При написании настоящего стандарта была сохранена преемственность ИСО/МЭК 19770-1:2006 с добавлением того, что оценка может осуществляться с применением того же подхода, который используется в других стандартах, принятых в качестве основных стандартов систем управления, как это определено в Руководстве ИСО 72. В частности, это означает, что аудитору теперь предоставлена возможность выбирать между оценкой на основе анализа главной цели каждой из групп процессов (по-новому) и оценкой на основе анализа всех результатов каждой из групп процессов, как это предусмотрено ИСО/МЭК 19770-1:2006 (по-старому). Сделанный выбор должен последовательно применяться в качестве метода оценки во всех группах процессов.

2.2 Методы демонстрации полного соответствия


Описание требований, предъявляемых настоящим стандартом, содержится в целях и результатах, перечисленных в разделе 4. Любое заявление о соответствии должно быть заявлением о полном соответствии условиям данного стандарта (в том числе это касается любых процессов, переданных на субподряд).

Полное соответствие любому уровню настоящего стандарта достигается одним из двух способов:

- посредством демонстрации выполнения всех требований соответствующего уровня настоящего стандарта. В качестве подтверждения выполнения используются результаты; или

- посредством демонстрации достижения всех целей соответствующего уровня настоящего стандарта.

Кроме того, необходимо продемонстрировать, что все приведенные ниже уровни на данный момент также прошли сертификацию на полное соответствие, и что они подвергаются постоянному контролю на полное соответствие в рамках установленной аудитором программы контроля; или, как вариант, что любые приведенные ниже уровни прошли сертификацию в рамках текущего аудита.

Если в процессе демонстрации достижений всех целей соответствующего уровня, определенного в настоящем стандарте, было подтверждено полное соответствие, выдвигаются два дальнейших требования:

- если группа процессов имеет результаты на различных уровнях, то цель такой группы процессов должна соответственно интерпретироваться при проведении аудита каждого уровня;

- помимо анализа подтверждений, демонстрирующих достижение всех целей, аудитор должен учитывать оговоренные результаты на соответствующем уровне.

При неполучении всех оговоренных результатов аудитор должен для каждого такого результата письменно пояснить причину(ы), по которой цели уровня все же считаются им полностью выполненными без учета такого результата.

Во избежание сомнений, если результаты описываются с использованием слов "включая" или "в том числе", или "в частности", за которыми следует перечисление, то все элементы перечисления считаются необходимыми, при этом дополнительные (не включенные в перечисление) элементы считаются возможными, но не необходимыми.

3 Термины и определения


В настоящем стандарте применены следующие термины с соответствующими определениями:

3.1 базовые показатели: Состояние услуги или отдельных элементов конфигурации (3.2) в конкретный момент времени [ИСО/МЭК 20000-1:2005].

3.2 элемент конфигурации (ЭК): Компонент инфраструктуры или объект, который находится или будет находиться под контролем.

Примечания

1 В контексте настоящего стандарта термин "под контролем" означает под контролем процессов инвентаризации. Процессы инвентаризации SAM (4.4) являются основой не только SAM, но и всего управления конфигурациями.

2 Элементы конфигурации (ЭК) обычно определяются как часть практики менеджмента услуг и могут значительно различаться по сложности, размеру и типу. Элементами конфигурации могут быть, например, система целиком со всем своим аппаратным и программным обеспечением и документацией или же отдельные модули или небольшие аппаратные компоненты.

3.3 правление или эквивалентный орган: Лицо или группа лиц, несущих юридическую ответственность за руководство или управление организацией на высшем уровне.

3.4 финальная основная версия: Исходный экземпляр программного обеспечения, используемый для установки или поставки программного обеспечения.

Пример - Источник, используемый для создания экземпляров для распространения.

Примечание - Установка может применяться к исполняемому и неисполняемому программному обеспечению или связанным активам, например к шрифтам. Установку можно выполнять на клиентских/локальных и/или серверных устройствах, например при предоставлении программного актива как услуги.

3.5 экземпляр для распространения: Экземпляр финальной основной версии программного обеспечения, подготовленный с целью установки на другое аппаратное обеспечение. Экземпляры для распространения могут размещаться, например на сервере или физическом носителе, например на компакт-диске.

3.6 действующая полная лицензия: Документ, предоставляющий права на программное обеспечение, разрешающие одно полное использование программного обеспечения.

Примечания

1 Действующая лицензия состоит из одной или более составляющих лицензий (3.16).

Пример - В некоторых типах лицензирования составляющая полная лицензия для версии 1 программного продукта плюс составляющая лицензия на обновление программного продукта до версии 2 объединяются и составляют одну действующую полную лицензию для версии 2 программного продукта. В данном примере права на обновление лицензии могут быть получены в соответствии с условиями контракта на предоставление услуг поддержки или по подписке.

2 Термин "полное использование программного обеспечения" определяется в условиях использования лицензии(ий).

3.7 локальный владелец процессов SAM: Физическое лицо на любом уровне организации, располагающееся ниже уровня владельца процессов SAM (3.13), определяемое как лицо, ответственное за процессы SAM в определенной части организации.

3.8 персонал: Любое физическое лицо, выполняющее обязанности по поручению организации, в том числе должностные лица, работники и подрядчики.

3.9 платформа: Тип компьютера или аппаратного устройства и/или связанной операционной системы, или виртуальной среды, на которых может устанавливаться или запускаться программное обеспечение.

Примечание - Платформа - не одно и то же, что отдельно взятые экземпляры этой платформы, которые именуются "устройства" или "экземпляры".

3.10 процедура: Определенный способ выполнения действия или процесса.

Примечание - Если процедура определена как результат, то в итоговом документе должно быть указано, кто, что и в какой последовательности ее выполняет. Процедура имеет более детальный уровень описания, чем процесс (3.11).

3.11 процесс: Набор взаимосвязанных операций, с помощью которых исходные данные преобразуются в выходные данные.

Примечание - Если процесс определен как результат, то в итоговом документе должны быть перечислены исходные и выходные данные и приведено общее описание ожидаемых операций. Процесс при этом не требует такого же подробного уровня детализации, как процедура (3.10).

3.12 релиз: Набор новых и/или измененных элементов конфигурации, которые были совместно протестированы и внедрены в рабочую среду.

[ИСО/МЭК 20000-1:2005]

Примечание - Релиз может получить техническое утверждение, но быть пока не разрешенным для внедрения. Релиз может состоять из исходного, исполняемого кода или множественных программных активов, упакованных в производственный релиз, протестированный для установки на целевую платформу.

3.13 владелец процессов SAM: Физическое лицо на высшем уровне руководства организации, определенное как лицо, ответственное за процессы SAM.

3.14 программное обеспечение: Все или часть программ, процедур, правил и связанной документации, относящихся к системе обработки информации.

Примечания

1 Имеется множество определений используемого программного обеспечения. В контексте настоящего стандарта в программное обеспечение важно включать как исполняемое, так и неисполняемое программное обеспечение, например шрифты, графику, аудио- и видеозаписи, шаблоны, словари и документы. (См. также 1.2 "Область применения").

2 Пользователь настоящего стандарта должен определить собственную область действия для своего приложения, и может ограничить типы программного обеспечения, учитываемые в области действия. (См. также раздел 1 "Цель документа").


[ИСО/МЭК 2382-1:1993, 01.01.08]

3.15 менеджмент программных активов (SAM): Эффективное управление, контроль и защита программных активов в масштабах организации и эффективное управление, контроль и защита информации о связанных активах, необходимых для управления программными активами.

Примечание - Соответствующее определение в Библиотеке инфраструктуры информационных технологий (InformationTechnologylnfrastructureLibrary, ITIL) - "вся инфраструктура и процессы, необходимые для эффективного управления, контроля и защиты программных активов в пределах организации на протяжении всех стадий ее жизненного цикла".

3.16 составляющая лицензия: Лицензия на использование программного обеспечения в форме, в которой оно было первоначально приобретено или получено и которая непосредственно связана с закупочными документами.

Примечание - Составляющая лицензия может содержать условия, требующие ее использования в сочетании с другой лицензией или лицензиями, с целью получения действующей полной лицензии (3.6). Составляющая лицензия также может предоставлять право на использование будущих версий программного обеспечения, или определять способы ее обновления или замены на новую версию, или оговаривать соответствующие ограничения, или описывать методы обновления лицензии посредством объединения с другой лицензией, непосредственно связанной с другим закупочным документом.

4 Процессы SAM

4.1 Общие положения

4.1.1 Определение и отношение к менеджменту услуг

Под менеджментом программных активов понимается эффективное управление, контроль и защита программных активов в масштабе организации, а также эффективное управление, контроль и защита информации о связанных активах, необходимых для управления программными активами.

Процессы SAM, в соответствии с их определением в настоящем стандарте, согласованы и предназначены для поддержки менеджмента ИТ-услуг, в соответствии с определением стандарта ИСО/МЭК 20000-1.

4.1.2 Обзор процессов SAM

Концептуальная основа процессов SAM имеет комплексный характер и сама по себе не отражает уровни, описанные во введении или в разделе 5 "Уровни".

Концепция процессов SAM структурирована по трем основным категориям:

a) процессы организационного управления SAM;

b) базовые процессы SAM;

c) первичные интерфейсы процессов SAM.

Структура процессов SAM с разбивкой по трем основным категориям приведена на рисунке 2.

Рисунок 2 - Структура процессов SAM


Рисунок 2 - Структура процессов SAM


Более подробное описание процессов приведено в 4.2-4.7.

4.1.3 Результаты, операции и интерфейсы

Настоящий стандарт составлен с использованием таких элементов процесса, как право, цель и результаты. В настоящий стандарт не входят операции, представляющие собой действия, которые могут выполняться для достижения результатов.

Результаты, описанные в настоящем стандарте, разработаны таким образом, чтобы их можно было легко оценить, однако они не обязательно отражают объемы операций, которые нужно выполнить для их получения. Например, ведение инвентарной описи в процессе "Управление инвентаризацией программных активов" по логике требует выполнения операций, связанных с подтверждением корректности данных, хотя это и не указано в качестве результата настоящего стандарта.

Целостность данных обеспечивается в настоящем стандарте с помощью процессов проверки правильности и соблюдения соответствия SAM.

Некоторые наиболее важные операции представляют собой действия по обеспечению взаимодействия с другими процессами. Например, после приобретения (или "закупки") программного актива цель к достижению формулируется так: "Цель процесса закупки программного обеспечения и связанных активов состоит в обеспечении получения программного обеспечения контролируемым способом и в регистрации этого программного обеспечения". Этот процесс, как и многие другие, требует применения процесса "Управление инвентаризацией программных активов" для регистрации данных, их проверки на наличие обязательных полей и т.п. Другим примером может служить создание базовых показателей в процессе "Контроль программных активов". Этот процесс вызывается процессом "Разработка программного обеспечения" и процессом "Управление релизами программного обеспечения". В настоящем стандарте не ставится цель подробного описания таких деталей, однако для достижения поставленных целей косвенно подразумеваются к наличию таких операций или интерфейсов.

4.2 Контрольная среда SAM

4.2.1 Общие положения

Контрольная среда SAM создает и поддерживает систему менеджмента, в рамках которой реализуются другие процессы SAM.

Контрольная среда SAM состоит из следующих групп процессов:

a) процесс корпоративного управления SAM;

b) роли и обязанности SAM;

c) политики, процессы и процедуры SAM;

d) компетенции в SAM.

4.2.2 Процесс корпоративного управления SAM

4.2.2.1 Цель

Цель процесса корпоративного управления SAM состоит в обеспечении того, чтобы обязанности по управлению программными активами подтверждались на уровне правления или эквивалентного органа и чтобы для обеспечения надлежащего исполнения этих обязанностей использовались соответствующие механизмы.

Применимо к уровням 2 и 4

Примечание - Этот процесс может рассматриваться как часть общего корпоративного управления ИТ. (См. ИСО/МЭК 38500).

4.2.2.2 Результаты

Результат

Уровень

1

2

3

4

Реализация процесса корпоративного управления SAM позволит организации продемонстрировать следующее:

a) на корпоративном уровне организации имеется ясное изложение организационной области применения в контексте данного стандарта в отношении:

1) юридического лица или частей юридического лица, включенных в область применения.

Примечание - Одним из факторов, которые следует учитывать при определении организационной области применения, может быть наличие контрактов на поставку программного обеспечения, базирующихся на определенных организационных областях;


2) отдельного органа или физического лица, которые несут ответственность за решение всех вопросов корпоративного управления для такого лица или части такого юридического лица.

Примечание - Такой отдельный орган или физическое лицо далее именуются "правление" или "эквивалентный орган"

b) ответственность за корпоративное управление программным обеспечением и связанными активами формально подтверждена правлением или эквивалентным органом организации

c) организацией были определены, документированы и не реже одного раза в год пересматриваются корпоративные регулирующие документы или нормативы, относящиеся к использованию программного обеспечения и связанных активов во всех странах, в которых работает организация

d) организацией были определены, задокументированы и утверждены правлением или эквивалентным органом и не реже одного раза в год обновляются результаты оценки рисков, имеющих отношение к программному обеспечению и связанным активам, и определяемые руководством методы их снижения. К таким рискам, как минимум, относятся следующие:

1) риск несоответствия регуляторным документам.

Примечание - Эти риски могут возникать, например, вследствие защиты частных данных для контроля использования персоналом программного обеспечения, защиты данных SAM, ведущихся о физических лицах, и выдвижения специализированных требований в отдельных промышленных отраслях, например фармацевтической;


2) риск нарушения требований к безопасности.

Примечание - Нарушение требований безопасности может приводить, например, к прерыванию работы, неправомерному использованию конфиденциальной информации конкурентами и репутационному ущербу вследствие недостаточной защиты личных данных клиентов;


3) риск несоблюдения лицензионных требований;

4) риск прерывания деятельности из-за проблем с инфраструктурой ИТ, которые могли быть вызваны неадекватностью SAM;

5) риск чрезмерных расходов на лицензирование и других затрат на поддержку ИТ вследствие неадекватности SAM;

6) риски, связанные с применением разных подходов к управлению программным обеспечением и связанным активам - децентрализованного и централизованного.

Примечание - По культурным и экономическим соображениям крайне желательно децентрализовать операционное управление SAM. Однако при таких подходах снижение издержек станет более трудной задачей, связанной с высокими рисками, например риском несоблюдения условий лицензирования (при централизованном подходе к управлению эти риски меньше). Например, любое несоблюдение условий лицензирования в любой децентрализованной работе создает риск угрозы репутации и повышает юридические риски всей организации.

Вероятно, было бы разумно даже в децентрализованной среде операционного управления продолжать применять к выборочной информации и аналитическим данным для руководства принципы централизованного управления, что позволит распределенному руководству применять методы SAM без увеличения рисков. Управление централизованной информацией само по себе обычно предполагает некоторый централизованный контроль руководства над SAM;


7) риски, связанные с ведением деятельности в разных странах, учитываются местные культуры соответствия требованиям и подходы к обеспечению исполнения

e) цели управления SAM утверждаются правлением или эквивалентным органом и пересматриваются не реже одного раза в год

4.2.3 Роли и обязанности SAM

4.2.3.1 Цель

Цель процесса "Роли и обязанности SAM" состоит в четком определении ролей и обязанностей в отношении ПО и связанных активов. Эти роли и обязанности должны соблюдаться и пониматься всем персоналом, к которому они могут относиться.

Примечание - К этим ролям и обязанностям относятся, в частности, роли, связанные с регуляторными требованиями или требованиями корпоративного управления

Применимо к уровню 2

4.2.3.2 Результаты

Результат

Уровень

1

2

3

4

Реализация процесса "Роли и обязанности SAM" позволит организации продемонстрировать следующее:

a) в организации четко определена и утверждена правлением или эквивалентным органом роль владельца процессов SAM, ответственного за корпоративное управление программным обеспечением и связанными активами. Возложенные на владельца процессов SAM в масштабе всей организации обязанности включают следующее:

1) предложение целей управления SAM;

2) надзор за разработкой плана SAM;

3) получение ресурсов для реализации утвержденного плана SAM;

4) получение результатов в соответствии с утвержденным планом SAM;

5) обеспечение надлежащего исполнения всеми локальными владельцами процессов SAM своих обязанностей, охват всех частей организации владельцем процессов SAM или локальными владельцами процессов SAM без конфликтующих наложений

b) в организации документированы и назначены конкретным лицам локальные роли и обязанности по корпоративному управлению программного обеспечения и связанными активами. Возложенные обязанности для той части организации, за которую несет ответственность каждое лицо, включают следующее:

1) получение ресурсов для реализации утвержденного плана SAM;

2) получение результатов в соответствии с утвержденным планом SAM;

3) принятие и внедрение необходимых политик, процессов и процедур;

4) ведение точного учета программного обеспечения и связанных активов;

5) обеспечение управления и технических согласований, требуемых для закупки, развертывания и контроля программных активов;

6) управление контрактами, отношениями с поставщиками и внутренними клиентами;

7) определение потребностей в усовершенствованиях и их реализация

Примечания

1 Настоящий стандарт проводит различие между владельцем процессов SAM на уровне организации и локальными ролями и обязанностями, поскольку некоторые организации с распределенным местоположением проводят такое различие в своих управленческих ролях. Если организация размещается только в одном месте, или если удаленные места можно считать несущественными, и управление ими осуществляется непосредственно из центрального местоположения, эти два набора функций объединяются друг с другом.

2 Обязанности могут назначаться определенным должностям или классам должностей, при условии, что характер этих обязанностей и ответственность за их выполнение не вызывает сомнений. На практике это означает, что назначать различные обязанности различным физическим лицам, особенно в небольших организациях, где такое разделение обязанностей не практикуется, нет необходимости

c) эти обязанности доводятся до сведения всех связанных с SAM частей организации тем же образом, что и другие политики (уровня организации и локальные)

4.2.4 Политики, процессы и процедуры SAM

4.2.4.1 Цель

Цель процесса "Политики, процессы и процедуры SAM" состоит в обеспечении проведения организацией четких политик, процессов и процедур, обеспечивающих эффективное планирование, работу и управление SAM

Применимо к уровню 2

4.2.4.2 Результаты

Результат

Уровень

1

2

3

4

Реализация процесса "Политики, процессы и процедуры SAM" позволит организации продемонстрировать следующее:

a) в организации применяется структурированный подход к созданию, анализу, утверждению, выпуску и контролю политик, процессов, процедур и связанной документации, относящихся к SAM, позволяющий в любое время определять полный доступный набор, текущую рабочую версию любого документа и документы, которые должны применяться к различным типам ПО и связанных активов.

Примечание - Эта установка относится не только к SAM, обычно она является частью общего подхода, применяемого организацией ко всем своим политикам, процессам и процедурам

b) документация по политикам, процессам и процедурам, описываемая настоящим стандартом, классифицируется в организации по процессам, определенным в настоящем стандарте, или по ссылкам на такие классификации

c) в организации разрабатываются, утверждаются и выпускаются политики, охватывающие, как минимум:

1) индивидуальные и корпоративные обязанности по корпоративному управлению ПО и связанными активами;

2) любые ограничения на персональное использование корпоративного ПО и связанных активов;

3) вопросы соблюдения законодательных и регуляторных требований, в том числе с целью защиты авторских прав и данных;

4) любые требования к закупкам (например, использование корпоративных соглашений или закупки только у авторитетных/утвержденных поставщиков);

5) оформление любых требований на получение утверждений на установку или использование программного обеспечения, как приобретенного, так и полученного иным способом.

6) дисциплинарные последствия нарушения этих политик.

Примечание - Перечисленные выше политики должны удовлетворять общим требованиям, в том числе требованиям конечных пользователей. Политики и процедуры, относящиеся к определенным группам процессов, определяются в соответствующих группах процессов

d) политики и процедуры доводятся до сведения всего персонала в организации способом, который позволяет:

1) оповещать всех новых работников после их выхода на работу, и не реже одного раза в год оповещать постоянно работающих работников;

2) получать подтверждение об оповещении от всех новых работников после их выхода на работу, и впоследствии не реже одного раза в год;

3) работникам в любое время получать доступ к политикам и процедурам.

Примечание - Документация может вестись в любой форме и на любом носителе. Документация может выпускаться совместно с другими документами, например, могут выпускаться консолидированные заявления о политике, также устанавливающие требования к персоналу относительно конфиденциальности

4.2.5 Компетенции в SAM

4.2.5.1 Цель

Цель процесса "Компетенции в SAM" состоит в обеспечении доступности и применении соответствующей компетенции и опыта в SAM

Применимо к уровням 2 и 4

4.2.5.2 Результаты

Результат

Уровень

1

2

3

4

Реализация процесса "Компетенции в SAM" позволит организации продемонстрировать следующее:

a) в организации не реже одного раза в год документируется процесс проверки изменений требований. Проверяется доступность и прохождение обучения и сертификации персонала в сфере обязанностей SAM в отношении:

1) SAM в целом;

2) лицензирования продукции производителей используемого программного обеспечения.

Примечание - Это требование относится только к программному обеспечению, определенному как относящееся к области применения (см. 4.2.2.2.a1 и 4.3.2.2.b1)

b) в организации не реже одного раза в год проводится проверка требований к составляющим "Подтверждения лицензии" для производителя программного обеспечения

c) персонал организации, ответственный за управление SAM, ежегодно проходит обучение (включая начальное и дополнительное) в области SAM и соответствующее лицензирование.

Примечание - Также, если имеется такая возможность, персоналу рекомендуется повышать квалификацию индивидуально

d) в организации не реже одного раза в год осуществляется проверка наличия дополнительных инструкций производителей программного обеспечения (если таковые имеются) с целью обеспечения соответствия их лицензиям

4.3 Процессы планирования и внедрения SAM

4.3.1 Общие положения

Процессы планирования и внедрения SAM обеспечивают эффективное достижение целей управления SAM.

Процессы в этой области в целом соответствуют процессам "Планируй - выполняй - проверяй - действуй", определенным в ИСО/МЭК 9001.

Процессы планирования и внедрения SAM состоят из следующих групп процессов:

a) планирование SAM;

b) внедрение SAM;

c) мониторинг и проверка SAM;

d) непрерывное совершенствование SAM.

4.3.2 Планирование SAM

4.3.2.1 Цель

Цель процесса "Планирование SAM" состоит в обеспечении адекватной подготовки и планировании для эффективного достижения целей SAM

Применимо к уровням 2 и 4

4.3.2.2 Результаты

Результат

Уровень

1

2

3

4

Реализация процесса "Планирование в SAM" позволит организации продемонстрировать следующее:

a) управленческие цели SAM в организации разрабатываются и предлагаются для утверждения правлением или эквивалентным органом и обновляются не реже одного раза в год

b) план реализации и представления SAM (далее - план SAM) разрабатывается, документируется и обновляется не реже одного раза в год. Этот план включает в себя:

1) четкое изложение области применения (однозначно определенной "области применения программного актива"), описывающее, какие типы ПО в нее включены; охват программного обеспечения и связанных активов, например должна быть указана доля складской заполненности в соответствии с последним обновлением плана SAM с указанием фактических и плановых показателей; любой охват активов сверх минимума, требуемого настоящим стандартом; любые методы взаимодействия с другими организациями или системами и/или требования к ним. См. также организационную область применения по 4.2.2.2.a1;

2) четкое определение политик, процессов и процедур, требуемых для использования активов в области применения;

3) четкое разъяснение подхода к управлению, аудиту и усовершенствованию SAM (в том числе с применением методов автоматизации), используемого для поддержания процессов;

4) разъяснение подхода, используемого для идентификации, оценки и управления проблемами и рисками, связанными с достижением установленных целей управления;

5) графики выполнения периодических операций и распределение ответственностей по их выполнению, в том числе подготовка отчетов для руководства и контроль соответствия;

6) определение ресурсов (включая бюджетные ресурсы), необходимых для реализации плана SAM;

7) отслеживание показателей выполнения плана SAM, включая целевые измерения точности записей об управлении активами.

Примечание - В плане SAM должен быть предусмотрен адекватный уровень автоматизации, при котором процессы не будут неэффективными или подвержены ошибкам или вообще не смогут выполняться

c) план утвержден правлением или эквивалентным органом организации

4.3.3 Внедрение SAM

4.3.3.1 Цель

Цель процесса "Внедрение SAM" состоит в достижении общих целей SAM и выполнении плана SAM

Применимо к уровню 4

4.3.3.2 Результаты

Результат

Уровень

1

2

3

4

Реализация процесса "Внедрение SAM" позволит организации продемонстрировать следующее:

a) в организации имеются механизмы сбора информации, в том числе информации локальных владельцев процессов SAM, об изменениях, проблемах и рисках, воздействующих на план SAM на протяжении года

b) владельцами процессов SAM готовятся регулярные отчеты о состоянии дел (не реже одного раза в квартал), подробно описывающие общий ход выполнения плана SAM, для выдачи отчета правлению или эквивалентному органу организации

c) в организации проводится оперативное отслеживание и документирование любых выявленных расхождений

4.3.4 Мониторинг и проверка SAM

4.3.4.1 Цель

Цель процесса "Мониторинг и проверка SAM" состоит в обеспечении достижения общих целей управления SAM

Применимо к уровням 2 и 4

4.3.4.2 Результаты

Результат

Уровень

1

2

3

4

Реализация процесса "Мониторинг и проверка SAM" позволит организации продемонстрировать следующее:

a) в организации не реже одного раза в год проводится формальная проверка с целью:

1) оценки достижений целей управления SAM и выполнения плана SAM;

2) подведения итогов работы по всем производственным показателям, установленным в плане SAM и в соглашениях об уровне обслуживания, относящихся к SAM.

Примечание - Соглашения об уровне обслуживания, устанавливающие требования SAM, могут относиться не только к SAM;


3) выдачи сводного изложения результатов процесса "Проверка соответствия SAM";

4) выдачи на основании вышеизложенного заключения о том, действительно ли:

i) утвержденные руководством политики SAM были эффективно распространены по всей организационной области применения, определенной в контексте настоящего стандарта;

ii) утвержденные руководством процессы и процедуры SAM были эффективно реализованы во всей организационной области применения, определенной в контексте настоящего стандарта;

5) краткого изложения любых выявленных исключительных ситуаций и действий, которые может понадобиться выполнить в результате вышеизложенного;

6) определения возможностей улучшения обслуживания, относящегося к программному обеспечению и связанным активам;

7) определения потребности в пересмотре политик, процессов и процедур в плане обеспечения их постоянной адекватности, полноты и правильности

b) владелец процессов SAM формально утверждает итоговые отчет, документы, решения и меры, и направляет их копии в правление или эквивалентный орган организации

c) в организации проводится периодическая (не реже одного раза в год) проверка того, развернуты ли программное обеспечение и связанные активы наиболее рентабельным способом; и выдаются рекомендации по возможным усовершенствованиям.

Примечания

1 Этот процесс, по сути, можно считать процессом оптимизации лицензий. Он должен обеспечить максимальную экономическую эффективность лицензирования. В качестве базового уровня, от которого ведется оптимизация, могут использоваться базовые показатели стоимости активов. Базовый показатель стоимости - это выбранная организацией основа учета стоимости программного обеспечения. Таким показателем может быть, например, базис себестоимости, с помощью которого организация может оценивать изменения со временем и постоянно отслеживать качество оптимизации, например стоимость лицензий.

2 Этот результат, в основном, используется на уровне 4. На уровне 2 результат имеет ограниченное применение, например используется для определения непосредственных возможностей усовершенствования

4.3.5 Непрерывное совершенствование SAM

4.3.5.1 Цель

Цель процесса "Непрерывное совершенствование SAM" состоит в определении и реализации возможностей усовершенствования там, где они оправданы, при использовании как программного обеспечения и связанных активов, так и самих процессов SAM

Применимо к уровню 4

4.3.5.2 Результаты

Результат

Уровень

1

2

3

4

Реализация процесса "Непрерывное совершенствование SAM" позволит организации продемонстрировать следующее:

a) в организации имеется механизм сбора и учета предложений по усовершенствованию SAM, поступающих из всех источников в течение года

b) в организации регулярно выполняются оценки, классификации и утверждения для включения предложений по усовершенствованию в планы реализации и совершенствования SAM

4.4 Процессы инвентаризации SAM

4.4.1 Общие положения

Процессы инвентаризации SAM формируют и поддерживают все учетные записи и отчеты по программному обеспечению и связанным активам, а также реализуют функционал управления данными, обеспечивающий целостность управления программным обеспечением и связанными активами в других процессах SAM.

Процессы инвентаризации SAM являются основой не только SAM, но и всего управления конфигурациями. Управление конфигурациями - более широкая категория, чем SAM, так как оно охватывает не только все ИТ-активы (не только программное обеспечение и связанные активы), но активы, не относящиеся к ИТ, а также взаимоотношения между всеми этими активами. В контексте программы, охватывающей весь менеджмент ИТ-услуг, процессы инвентаризации SAM рассматриваются как часть управления конфигурациями.

Для обеспечения надлежащего функционирования всего процесса SAM и любых процессов менеджмента ИТ-услуг (базирующихся на процессах инвентаризации), процессы инвентаризации необходимо выполнять на регулярной основе.

Примечание - Стандартизированные информационные структуры, например, определенные в других частях настоящего стандарта, облегчают использование информационных процессов SAM, в том числе обеспечивают их автоматизацию.


Процессы инвентаризации SAM состоят из следующих групп процессов:

a) идентификация программных активов;

b) управление инвентаризацией программных активов;

c) контроль программных активов.

4.4.2 Идентификация программных активов

4.4.2.1 Цель

Цель процесса "Идентификация программных активов" состоит в отборе, группировании и классификации по соответствующим характеристикам необходимых классов активов, обеспечивающих эффективное управление программным обеспечением и связанными активами

Применимо к уровням 1 и 4

4.4.2.2 Результаты

Результат

Уровень

1

2

3

4

Реализация процесса "Идентификация программных активов" позволит организации продемонстрировать следующее:

a) в организации формально определены типы контролируемых активов и связанная с ними информация, характеризуемые следующими особенностями:

1) управляемые позиции выбраны в соответствии с установленными критериями отбора, сгруппированы, классифицированы и идентифицированы, что обеспечит их управляемость и отслеживаемость на протяжении всего жизненного цикла.

Примечание - Важные с точки зрения бизнеса и безопасности активы, а также активы высокого риска должны классифицироваться и контролироваться на более детальном уровне;


2) к управляемым позициям относятся:

i) все экземпляры устройств или платформ, на которых может устанавливаться или запускаться программное обеспечение;

ii) финальные основные версии и экземпляры для распространения программного обеспечения;

iii) сборки и релизы программного обеспечения (финальные основные версии и экземпляры для распространения);

iv) все установленное программное обеспечение;

v) версии программного обеспечения;

vi) методология, в соответствии с которой программное обеспечение идентифицируется в области применения.

Примечание - Необходимая информация может быть получена из соответствующим образом определенных и отслеживаемых дескрипторов идентификации программного обеспечения, как это определено в других частях настоящего стандарта;


vii) патчи и обновления;

viii) лицензии, в том числе составляющие лицензии и действующие полные лицензии;

ix) документы, доказывающие наличие лицензии ("Подтверждение лицензии");

x) контракты (включая количественные характеристики и условия), имеющие отношение к программным активам, в том числе их бумажные и электронные копии;

xi) физические и электронные хранилища и описи вышеуказанного (в зависимости от обстоятельств);

xii) модели лицензирования;

3) управление программным обеспечением осуществляется в организации, как по файлам, так и по пакетам, в соответствии с особенностями конкретных продуктов, выпущенных производителями программного обеспечения или разработчиками;

4) Базовая информация для всех активов:

i) уникальный идентификатор;

ii) имя/описание;

iii) расположение;

iv) ответственный (или владелец);

v) статус (например, тестовый/производственный; разработка/сборка и т.п.);

vi) тип (например, программное обеспечение, аппаратное обеспечение, устройство);

vii) версия (если имеется).

Примечания

1 В рамках данного процесса также могут определяться требования к проверке правильности данных.

2 Эта информация может быть извлечена из соответствующим образом определенного и отслеживаемого дескриптора идентификации программного обеспечения (см. ИСО/МЭК 19770-2);

b) в организации имеется реестр хранилищ и запасов, содержащий сведения о хранимых запасах и типах информации. Дублирование информации такого реестра допускается только в том случае, если дублируемую информацию можно отследить до определенной исходной записи.

Примечание - Обычно в этом реестре содержатся следующие типы информации о каждом физическом наборе (хранилище) хранимых активов или списке (инвентарной описи) активов:

1) определенный тип актива SAM;

2) имя лица, отвечающего за управление этой информацией;

3) место, в котором можно получить доступ к такому хранилищу или инвентарной описи

4.4.3 Управление инвентаризацией программных активов

4.4.3.1 Цель

Цель процесса "Управление инвентаризацией программных активов" состоит в обеспечении надлежащего хранения физических экземпляров программных активов и учете необходимых данных о характеристиках всех активов и элементов конфигурации на протяжении всего жизненного цикла. Этот процесс также выдает информацию о программных и связанных активах, необходимую для обеспечения эффективности других бизнес-процессов

Применимо к уровням 1 и 4

4.4.3.2 Результаты

Результат

Уровень

1

2

3

4

Реализация процесса "Управление инвентаризацией программных активов" позволит организации продемонстрировать следующее:

a) организацией разработаны, утверждены и выпущены политики и процедуры, относящиеся к управлению и обслуживанию физических/электронных хранилищ, в том числе имеются средства контроля доступа:

1) защищающие их от несанкционированного доступа, изменений или повреждений;

2) обеспечивающие аварийное восстановление после отказа

b) в организации имеются инвентарные описи:

1) всех экземпляров устройств или платформ, на которых могут устанавливаться или запускаться программные активы;

2) всего разрешенного установленного программного обеспечения с указанием пакетов и версий (которые могут быть лицензированы или разрешены к развертыванию по отдельности, статуса обновлений/патчей программного обеспечения по всем платформам, на которых они установлены.

Примечание - Инвентарная опись программного обеспечения, разрешенного для установки (или использования), является важным документом, однозначно устанавливающим тот факт, что программное обеспечение разрешено к установке, и определяющим, может ли какой-либо конкретный экземпляр платформы/устройства использовать программное обеспечение или разрешать его установку. Разрешение может выдаваться на любом уровне, например на уровне устройства, класса пользователя или всей организации;


3) имеющихся составляющих лицензий и действующих полных лицензий.

Примечание - Ведение отдельных инвентарных описей для составляющих и действующих полных лицензий не требуется, однако должна быть предусмотрена возможность различения этих двух типов

c) в организации имеются инвентарные описи и соответствующие физические/электронные хранилища:

1) программного обеспечения (финальных основных версий и экземпляров для распространения);

2) сборок и релизов программного обеспечения (финальных основных версий и экземпляров для распространения);

3) контрактов, имеющих отношение к программным активам, как бумажных, так и электронных;

4) документов, доказывающих наличие лицензии ("Подтверждение лицензии")

d) в организации имеются инвентарные описи или другие четко определенные механизмы анализа или отслеживания количественных показателей, позволяющие определить любое лицензированное использование на базе других критериев, помимо количества установленного программного обеспечения.

Примечание - Эти требования будут зависеть от моделей лицензирования используемого программного обеспечения. Например, они могут включать следующие количественные показатели: численность работников в указанных частях организации; количество ПК, удовлетворяющих указанным критериям; количество пользователей или оконечных станций, имеющих доступ к ресурсам сервера; количество процессоров и их производительные характеристики

e) организацией приняты меры, направленные на обеспечение постоянной доступности источников упомянутых выше инвентарных описей и хранилищ

f) все представленные инвентарные отчеты составлены в соответствии с четкой описательной схемой, в том числе содержат наименование, предназначение и подробные сведения об источнике данных

4.4.4 Контроль программных активов

4.4.4.1 Цель

Цель процесса "Контроль программных активов" состоит в обеспечении механизма контроля программных активов и изменений программного обеспечения и связанных активов в процессе учета изменений статуса и утверждений

Применимо к уровню 4

4.4.4.2 Результаты

Результат

Уровень

1

2

3

4

Реализация процесса "Контроль программных активов" позволит организации продемонстрировать следующее:

a) организацией ведется журнал учета изменений, внесенных в программное обеспечение и связанные активы, в том числе изменений статуса, расположения, ответственности и версий

b) организацией разработаны, утверждены и выпущены политики и процедуры для разработки, обслуживания и управления версиями программного обеспечения, образами/сборками и релизами

c) организацией разработаны, утверждены и выпущены политики и процедуры, устанавливающие требования учета базовых показателей соответствующих активов перед выпуском программного обеспечения в производственную среду, причем таким образом, чтобы эти показатели могли использоваться при последующей сверке с фактическим развертыванием

4.5 Процессы проверки правильности и соблюдения соответствия SAM

4.5.1 Общие положения

Процессы проверки правильности и соблюдения соответствия SAM выявляют и контролируют все исключительные ситуации в политиках, процессах и процедурах SAM, включая права на использование лицензии.

Процессы проверки правильности и соблюдения соответствия SAM имеют важную функциональную значимость для организации. Фактически они являются процессами самоаудита и самооценки, т.е. проводятся организацией самостоятельно, без привлечения сторонних аудиторских организаций (хотя и имеют с аудиторскими процессами общие черты). С целью обеспечения надлежащего функционирования всего процесса SAM и любых основанных на них процессов менеджмента ИТ-услуг, процессы проверки правильности и соблюдения соответствия SAM должны выполняться на регулярной основе.

Процессы проверки правильности и соблюдения соответствия SAM состоят из следующих групп процессов:

a) проверка правильности записей о программных активах;

b) соответствие лицензии на ПО;

c) проверка соответствия требованиям безопасности программных активов;

d) проверка соответствия SAM.

4.5.2 Проверка правильности записей о программных активах

4.5.2.1 Цель

Цель процесса "Проверка правильности записей о программных активах" состоит в обеспечении того, что записи точно и полно отражают то, что они должны учитывать, и, с другой стороны, что учтенная информация не изменяется без согласования

Применимо к уровням 1, 2 и 4

4.5.2.2 Результаты

Результат

Уровень

1

2

3

4

Реализация процесса "Проверка правильности записей о программных активах" позволит организации продемонстрировать следующее:

a) организацией разработаны, утверждены и выпущены процедуры для процесса "Проверка правильности записей о программных активах", характеризуемые следующими особенностями:

1) при любом определении или изменении области применения проверяется допустимость этой области применения посредством анализа контракта и истории закупок, с целью обеспечения соответствия организационных целей и областей применения программного обеспечения бизнес-требованиям.

Примечание - Например, такой анализ необходим в тех случаях, когда в область применения включается другой производитель программного обеспечения, или при слиянии или разделении организации в соответствии со стандартом, или при перераспределении прав собственности между производителями программного обеспечения;

2) не реже одного раза в квартал проводится сверка того, что установлено на каждом экземпляре устройства или платформы, с тем, что было разрешено для установки, включая выпуск отчетов об исключительных ситуациях, выявленных по результатам текущей сверки, и об изменениях, внесенных со времени предыдущей сверки.

Примечание - Некоторые изменения могут обуславливаться обновлениями методики, посредством которой идентифицируется программное обеспечение (например, обновленные файлы подписи, в результате чего продукт, ранее учитываемый как отдельное приложение, теперь корректно идентифицируется как часть пакета);

3) не реже одного раза в 6 мес проверяется инвентарная опись аппаратного обеспечения (а также его размещения), в том числе выпускаются отчеты о выявленных исключительных ситуациях;

4) не реже одного раза в 6 мес проверяется инвентарная опись программ (финальных основных версий и экземпляров для распространения), в том числе выпускаются отчеты о выявленных исключительных ситуациях;

5) не реже одного раза в 6 мес проверяется инвентарная опись программных сборок (оригиналы и экземпляры для распространения), в том числе выпускаются отчеты о выявленных исключительных ситуациях;

6) не реже одного раза в год проверяется физическое хранилище документов, доказывающих наличие лицензии ("Подтверждение лицензии") (включая проверку документации на аутентичность), в том числе выпускаются отчеты о выявленных исключительных ситуациях;

7) не реже одного раза в год пересматриваются основания и расчеты по действующим лицензиям из составляющих лицензий, с целью подтверждения наличия необходимых составляющих лицензий и исключения дублирования учета;

8) не реже одного раза в год осуществляется проверка целостности физического хранилища контрактной документации, имеющей отношение к программному обеспечению), в том числе выпускаются отчеты о выявленных исключительных ситуациях;

9) не реже одного раза в год проверяется инвентарная опись контрактов, в том числе выпускаются отчеты о выявленных исключительных ситуациях;

10) проводится периодическая проверка прошлых счетов-фактур с целью выявления неверно оформленных счетов и переплат.

Примечание - Это действие, в принципе, можно отнести к процессу проверки соответствия, однако оно имеет более расширительный и формальный смысл, чем это оговорено в процессе проверки соответствия;

11) при выявлении любых расхождений или возникновении описанных выше проблем выполняются и документируются последующие корректирующие действия.

Примечание - По мере того как на последующих уровнях вводятся новые проверки, для такого уровня должны демонстрироваться новые последующие мероприятия

4.5.3 Проверка соответствия лицензирования программного обеспечения

4.5.3.1 Цель

Цель процесса "Проверка соответствия лицензирования программного обеспечения" состоит в обеспечении надлежащего лицензирования и использования в соответствии с условиями лицензии всей интеллектуальной собственности, имеющей отношение к программному обеспечению и связанным активам, используемой организацией, однако принадлежащей другим сторонам

Применимо к уровню 1

4.5.3.2 Результаты

Результат

Уровень

1

2

3

4

Реализация процесса "Проверка соответствия лицензирования программного обеспечения" позволит организации продемонстрировать следующее:

a) организацией разработаны, утверждены и выпущены процедуры для процесса "Проверка соответствия лицензирования программного обеспечения", характеризуемые следующими особенностями:

1) не реже одного раза в квартал проводится сверка действующих приобретенных лицензий и лицензий, требуемых для используемого программного обеспечения, с учетом определения лицензионных требований в соответствии с условиями лицензии.

Примечания

1 В частности, сюда относятся лицензионные требования, не связанные с количеством установленных копий, например права на доступ к серверу.

2 Ежеквартальный цикл сверки, по сути, представляет собой процесс анализа и расчета, использующий количественные характеристики требуемых лицензий, количественные параметры инвентарных описей и количество документированных установок для расчета того или иного количества лицензий. Предполагается, что условия пересматриваются не реже одного раза в год (с последующими проверками в течение трех месяцев, если выяснится необходимость принятия новых мер или применения новых моделей лицензирования, или если будет изменена область применения, или если производитель особо оговорит изменения условий лицензирования);


2) расхождения, выявленные в ходе этой сверки, немедленно регистрируются, анализируются, и определяется их первопричина;

3) устанавливается очередность исполнения, и принимаются корректирующие меры

4.5.4 Проверка соответствия требованиям безопасности программных активов

4.5.4.1 Цель

Цель процесса "Проверка соответствия требованиям безопасности программных активов" состоит в обеспечении требований к безопасности, имеющих отношение к использованию программного обеспечения и связанных активов

Применимо к уровню 3

4.5.4.2 Результаты

Результат

Уровень

1

2

3

4

Реализация процесса "Проверка соответствия требованиям безопасности программных активов" позволит организации продемонстрировать следующее:

a) в организации не реже одного раза в год проводится анализ фактической практики с целью выявления исключительных ситуаций в политике безопасности. В ходе этой проверки должен проводиться анализ средств контроля доступа к финальным основным версиям и экземплярам для распространения программного обеспечения, а также прав на установку и/или использование, указанных пользователем или группой пользователей

b) в организации принимаются документированные меры по любым выявленным при таком анализе расхождениям

4.5.5 Проверка соответствия SAM

4.5.5.1 Цель

Цель процесса "Проверка соответствия SAM" состоит в обеспечении постоянного соответствия требованиям настоящего стандарта, в том числе соответствия необходимым политикам и процедурам.

Примечание - Это одна из самых важных групп процессов, определенных в данном стандарте, поскольку она обеспечивает функционирование других процессов в соответствии с ожидаемыми требованиями. По сути, это процесс самопроверки, сохраняющий подтверждения проведенных проверок. Несмотря на то, что каждый уровень определяется отдельно, работа каждого из них обуславливается бесперебойным функционированием всех предыдущих уровней. На практике это обычно означает, что в организацию, претендующую на сертификацию более высокого уровня, прибудет аудитор для регулярной проверки любого предыдущего уровня или уровней и в ходе этого же визита будет осуществлена проверка более высокого уровня. Соблюдение условий подпункта 4.5.5.2 (проверка соответствия) оценивается посредством самопроверки всех других результатов на требуемом уровне.

На всех уровнях для требований этого уровня

4.5.5.2 Результаты

Результат

Уровень

1

2

3

4

Реализация процесса "Проверка соответствия SAM" позволит организации продемонстрировать следующее:

a) организацией разработаны, утверждены и выпущены политики и процедуры для проверки соответствия данному уровню (уровням) настоящего стандарта, обеспечивающие такую проверку не реже одного раза в год на основе выборки всех требований, оговоренных для соответствующего уровня(ей) настоящего стандарта. В частности выполняется проверка того, что процедуры, реализованные организацией для других процессов SAM, удовлетворяют всем требованиям, описанным в настоящем стандарте для таких процедур

b) в организации имеются письменные подтверждения выполнения указанных выше процедур проверки и выполнения последующих корректирующих мер вплоть до успешного устранения причин всех выявленных исключительных ситуаций

4.6 Процессы и интерфейсы управления операциями SAM

4.6.1 Общие положения

Процессы и интерфейсы управления операциями SAM выполняют функции операционного управления, необходимые для достижения общих целей и преимуществ SAM.

Процессы и интерфейсы управления операциями SAM состоят из следующих групп процессов:

a) управление отношениями и контрактами SAM;

b) управление финансами SAM;

c) управление уровнями обслуживания SAM;

d) управление безопасностью SAM.

4.6.2 Управление отношениями и контрактами SAM

4.6.2.1 Цель

Цель процесса "Управление отношениями и контрактами SAM" состоит в управлении отношениями с другими как внешними, так и внутренними организациями, предоставлении непрерывных качественных услуг SAM и управлении всеми контрактами на поставку и обслуживание программного обеспечения и связанных с ним активов и услуг.

Примечание - Процесс "Управление отношениями и контрактами SAM" обычно выполняется в тесном взаимодействии с процессом "Управление уровнями обслуживания SAM", поскольку уровни обслуживания обычно определяются таким образом, чтобы упростить управление таким взаимодействием.

Применимо к уровням 2, 3 и 4

4.6.2.2 Результаты

Результат

Уровень

1

2

3

4

Реализация процесса "Управление отношениями и контрактами SAM" позволит организации продемонстрировать следующее:

a) организацией разработаны, утверждены и выпущены политики и процедуры для управления отношениями с поставщиками, поставляющими программное обеспечение и связанные с ним активы и услуги, характеризуемые следующими особенностями:

1) определены обязанности конкретных назначенных лиц по управлению поставщиками, с целью получения полной картины ответственности по управлению каждым поставщиком;

2) разрабатываются приглашения на участие в тендерах на поставку программного обеспечения или связанных услуг, с целью обеспечения учета процессом требований к SAM, в том числе требований к управлению уровнями обслуживания, средствам контроля безопасности, управлению версиями и изменениями;

3) выпускаются официальные отчеты (не реже одного раза в 6 мес) о работе поставщиков, их достижениях и проблемах с документально зафиксированными выводами и решениями о принятии любых необходимых мер

b) организацией разработаны, утверждены и выпущены политики и процедуры для управления отношениями на стороне клиентов, в частности включающие:

1) определение обязанностей по управлению деловыми отношениями на стороне клиентов в отношении программного обеспечения и связанных с ним активов и услуг;

2) формальный анализ (проводимый не реже одного раза в год) текущих и будущих программных требований клиентов и организации в целом;

3) формальный анализ (проводимый не реже одного раза в год) показателей эффективности работы поставщиков, степени удовлетворенности клиентов, достижений и проблем с документально зафиксированными выводами и решениями о принятии любых необходимых мер

с) организацией разработаны, утверждены и выпущены политики и процедуры для управления контрактами, в частности предусматривающие:

1) непрерывную регистрацию в системе управления контрактами сведений о контрактах по мере их подписания.

Примечание - Система управления контрактами представляет собой фирменное руководство или электронную систему, позволяющую управлять контрактами и контролировать их выполнение;

2) надежное хранение экземпляров всей подписанной контрактной документации, а также всех их копий в системе управления документами.

Примечание - В системе управления документами также могут храниться условия, принятые в электронной форме (если установлено стороннее программное обеспечение);

3) документированный анализ (не реже одного раза в 6 мес, а также перед истечением срока действия) всех контрактов на поставку и обслуживание программного обеспечения и связанных активов и услуг с документально зафиксированными выводами и решениями о принятии любых необходимых мер.

Примечание - Этот результат, в основном, применяется на уровне 3. На уровне 2 этот результат используется реже и позволяет определять непосредственные возможности усовершенствования (например, при обслуживании неиспользуемого программного обеспечения), а также возможности достижения более качественных договоренностей о закупках

4.6.3 Финансовое управление SAM

4.6.3.1 Цель

Целью процесса "Финансовое управление SAM" является планирование и учет программного обеспечения и связанных активов и обеспечение быстрой доступности информации для оформления финансовой отчетности, налогового планирования и проведения расчетов, например совокупной стоимости владения и доходов от инвестиций.

Примечание - Процесс "Финансовое управление SAM" не имеет дела с начислениями. На практике многие организации будут заниматься начислениями за программное обеспечение и связанные активы и услуги. Однако, поскольку начисления являются дополнительной деятельностью, они не рассматриваются в настоящем стандарте. При использовании начислений рекомендуется полностью определить понятный для всех сторон механизм

Применимо к уровням 2 и 3

4.6.3.2 Результаты

Результат

Уровень

1

2

3

4

Реализация процесса "Финансовое управление SAM" позволит организации продемонстрировать следующее:

a) организация согласовала с соответствующими сторонами и документировала по типам активов определения финансовой информации, относящейся к управлению программным обеспечением и связанными активами.

Примечания

1 Финансовая классификация затрат, имеющих отношение к программному обеспечению и связанным активам, является важной частью процесса "Финансовое управление SAM". Типы активов, используемые в финансовом управлении, должны быть согласованы с типами активов в SAM или быть сопоставлены с ними (при наличии различий).

2 Требования к данным для типов активов формально определены для уровня 4. Эти требования будут распространены на уровни 1-3. (См. пункт 4.4.2 "Идентификация программных активов")

b) организацией разработаны официальные бюджеты на приобретение программных активов (внешних или внутренних) и определены связанные затраты на поддержку и обслуживание инфраструктуры

c) организацией учтены в бюджете фактические расходы на программные активы и затраты на поддержку и обслуживание инфраструктуры

d) в организации имеются средства оперативного доступа к четко документированной финансовой информации о стоимости программных активов (в том числе к данным о первоначальной и амортизированной стоимости)

e) в организации проводится формально документированная сверка (не реже одного раза в квартал) фактических расходов с бюджетными показателями с документально зафиксированными выводами и решениями о принятии любых необходимых мер

f) в организации проводится оптимизационный анализ лицензий, заключающийся в анализе рентабельности затрат на лицензирование, по результатам которого выдаются рекомендации по улучшению.

Примечания

1 Например, малоценное бизнес-приложение (к примеру, утилита для работы со справочником персонала, требующая приобретения дорогих лицензий для каждого пользователя) можно заменить на альтернативное менее дорогое приложение, обеспечивающее достижение той же коммерческой цели.

2 Этот результат, в основном, применяется на уровне 3. На уровне 2 результат применяется реже и служит для определения и документирования непосредственных возможностей улучшения. Оценки уровней исходят из этой основы

4.6.4 Управление уровнями обслуживания SAM

4.6.4.1 Цель

Цель процесса "Управление уровнями обслуживания SAM" состоит в определении, регистрировании и управлении уровнями обслуживания, имеющими отношение к SAM

Применимо к уровню 3

4.6.4.2 Результаты

Результат

Уровень

1

2

3

4

Реализация процесса "Управление уровнями обслуживания SAM" позволит организации продемонстрировать следующее:

a) для услуг, предоставляемых в рамках SAM, организацией разработаны и утверждены соглашения об уровне обслуживания и вспомогательные соглашения. В таких соглашениях об уровне обслуживания оговариваются:

1) определенные и согласованные с соответствующими сторонами услуги, относящиеся к приобретению, установке, перемещению и изменению программных и связанных активов (вместе с целевыми показателями уровня обслуживания и характеристиками рабочей нагрузки);

2) обязательства и обязанности потребителей и пользователей в отношении SAM, или на них дается ссылка.

Примечание - Соглашения об уровне обслуживания, устанавливающие требования SAM, могут относиться не только к SAM

b) регулярно (не реже одного раза в квартал) в организации оцениваются фактические рабочие нагрузки и уровни обслуживания в сравнении с целевыми показателями и документируются причины несоответствия целевым показателям SAM

c) соответствующими сторонами проводится регулярный (не реже одного раза в квартал) анализ показателей и их сравнение с уровнями обслуживания SAM с документально зафиксированными выводами и решениями о принятии любых необходимых мер

4.6.5 Управление безопасностью SAM

4.6.5.1 Цель

Цель процесса "Управление безопасностью SAM" состоит в эффективном управлении безопасностью информации в рамках всех операций SAM и обеспечение требований к согласованиям, касающихся SAM.

Примечание - ИСО/МЭК 27001 содержит руководство по управлению информационной безопасностью. Организации, сертифицированные в соответствии с ИСО/МЭК 27001-1:2005, обычно удовлетворяют требованиям к безопасности, установленным в настоящем стандарте

Применимо к уровню 4

4.6.5.2 Результаты

Результат

Уровень

1

2

3

4

Реализация процесса "Управление безопасностью SAM" позволит организации продемонстрировать следующее:

a) организацией разработана и утверждена формальная политика безопасности/ограничения доступа ко всем ресурсам SAM, в том числе к физическим и/или электронным хранилищам программного обеспечения, сборок и релизов программного обеспечения.

Примечание - Переход на полное соответствие требует более активного управления правами доступа ко всем ресурсам SAM, в том числе к документам и инвентарным описям (требования уровня 3 удовлетворяются посредством регулярных проверок средств контроля доступа. Результаты см. в пункте 4.5.4, перечисления a) и b) "Проверка соответствия требованиям безопасности программных активов"

b) организацией определены физические и логические средства контроля доступа с целью обеспечения требований политик SAM

c) организация имеет документальные подтверждения практического внедрения этих средств контроля доступа.

4.7 Интерфейсы процессов жизненного цикла SAM

4.7.1 Общие положения

Интерфейсы процессов жизненного цикла SAM в целом соответствуют основным процессам жизненного цикла стандарта ИСО/МЭК 12207 в применении к SAM, а также стандарта ИСО/МЭК 20000. В настоящем стандарте определяются требования SAM к таким процессам жизненного цикла.

Интерфейсы процессов жизненного цикла SAM состоят из требований к следующим группам процессов жизненного цикла:

a) процесс управления изменениями;

b) процесс закупок;

c) процесс разработки программного обеспечения;

d) процесс управления релизами программного обеспечения;

e) процесс развертывания программного обеспечения;

f) процесс управления инцидентами;

g) процесс управления проблемами;

h) процесс списания.

4.7.2 Процесс управления изменениями

4.7.2.1 Цель

Цель процесса управления изменениями применительно к программному обеспечению и связанным активам состоит в обеспечении того, чтобы все изменения, оказывающие влияние на SAM, были оценены, одобрены, реализованы и проанализированы управляемым способом и удовлетворяли всем требованиям ведения учета.

Примечание - Процесс управления изменениями применительно к программному обеспечению и связанным активам тесно связан с процессом управления программными активами, реализующим механизм контроля, отслеживающим любые изменения программного обеспечения и связанных активов.

Применимо к уровню 4

4.7.2.2 Результаты

Результат

Уровень

1

2

3

4

Реализация процесса управления изменениями позволит организации продемонстрировать следующее:

a) в организации имеется формальный процесс управления изменениями, характеризуемый следующими особенностями:

1) идентифицируются и регистрируются все запросы на внесение изменений, оказывающих влияние на программное обеспечение или связанные активы, услуги или процессы SAM;

2) запросы на внесение изменений, оказывающих влияние на программное обеспечение или связанные активы, услуги или процессы SAM, оцениваются на предмет их возможного воздействия, классифицируются и утверждаются ответственным руководством;

3) процесс реализации утвержденного запроса на внесение изменений выполняется только при условии получения утверждения;

4) регистрируются все изменения, оказывающие влияние на программное обеспечение или связанные активы, услуги или процессы SAM;

5) регистрируются и периодически анализируются успешные или неуспешные попытки таких изменений

4.7.3 Процесс закупок

4.7.3.1 Цель

Цель процесса закупок состоит в обеспечении контролируемого приобретения программного обеспечения и связанных активов и их надлежащем учете

Применимо к уровню 3

4.7.3.2 Результаты

Результат

Уровень

1

2

3

4

Реализация процесса закупок позволит организации продемонстрировать следующее:

a) организацией определены стандартные архитектуры предоставления программных услуг, а также критерии отклонения от таких стандартов

b) организацией определены стандартные конфигурации программного обеспечения, а также критерии отклонения от таких стандартов

c) организацией разработаны, надлежащим образом утверждены и выпущены политики и процедуры для подачи заявок и заказа программных и связанных активов, в том числе:

1) способ указания требований;

2) необходимые утверждения руководства и технические согласования;

3) использование и/или повторное развертывание существующих лицензий (при их наличии).

Примечание - Организация может выбрать для себя удобный метод определения наличия свободных лицензий для развертывания. В зависимости от того, как именно организация реализует управление программными активами, этот метод может меняться. Например, программное обеспечение может быть утверждено для установки, но пока не установлено. Чтобы избежать риска повторного использования одних и тех же лицензий, перед повторным развертыванием лицензий может потребоваться проверка полномочий и анализ операций по текущему развертыванию;


4) учет требований к будущим закупкам в тех случаях, когда программное обеспечение может быть развернуто до оформления отчетности и совершения оплаты

d) организацией разработаны, надлежащим образом утверждены и выпущены политики и процедуры обработки доходов, имеющих отношение к программному обеспечению и связанным активам, в том числе:

1) политики и процедуры обработки счетов, включая сверку с заказами, и сохранения копий для управления лицензиями;

2) политики и процедуры обеспечения получения и надежного хранения подтверждений лицензии по всем приобретенным лицензиям.

Примечание - При этом может потребоваться проверка подлинности документов, доказывающих наличие лицензии (не контрафактная ли лицензия), особенно если подтверждения лицензии получены не непосредственно от производителя программного обеспечения;


3) обработка поступающих носителей, в том числе проверка, учет и надлежащее хранение содержимого (физических носителей и электронных копий)

4.7.4 Процесс разработки программного обеспечения

4.7.4.1 Цель

Цель процесса разработки программного обеспечения состоит в обеспечении разработки программного обеспечения с учетом требований SAM.

Примечания

1 Настоящий стандарт обычно не применяется к разработке программного обеспечения в целях разработки и ведения исходного кода или иных разрабатываемых компонентов. Настоящий стандарт предназначен для применения ко всему программному обеспечению, используемому для работы в этих средах разработки, для перехода к производственной среде, а также для выполнения таких начальных работ, как настройка программного обеспечения и создание и контроль производственных сборок и релизов. Граница между тем, что считается исходным программным обеспечением для чистой разработки (таким образом исключаемым из рассмотрения), и программным обеспечением для использования (таким образом включаемым в рассмотрение) может определяться как часть формального определения области применения.

2 Программное обеспечение, используемое для разработки другого программного обеспечения, считается программным обеспечением для использования, другими словами, программное обеспечение, используемое разработчиками программного обеспечения, само должно быть под контролем.

Применимо к уровню 4

4.7.4.2 Результаты

Результат

Уровень

1

2

3

4

Реализация процесса разработки программного обеспечения позволит организации продемонстрировать следующее:

a) в организации имеется формальный процесс разработки программного обеспечения, обеспечивающий учет:

1) стандартных архитектур и стандартных конфигураций;

2) лицензионных ограничений и зависимостей

b) в организации имеется формальный процесс разработки программного обеспечения, в соответствии с которым программные продукты проходят программный контроль до того, как будут внедрены в производственную среду

4.7.5 Процесс управления релизами программного обеспечения

4.7.5.1 Цель

Цель процесса управления релизами программного обеспечения состоит в обеспечении планирования и выпуске релизов программного обеспечения и связанных активов с учетом требований SAM.

Примечание - Процесс управления релизами программного обеспечения относится к планированию и фактическому выпуску программного обеспечения и связанных активов. Процесс управления релизами программного обеспечения тесно связан с процессом управления изменениями, эти процессы должны быть связаны между собой процедурно

Применимо к уровню 4

4.7.5.2 Результаты

Результат

Уровень

1

2

3

4

Реализация процесса управления релизами программного обеспечения позволит организации продемонстрировать следующее:

a) в организации имеется формальный процесс управления релизами программного обеспечения, характеризуемый следующими особенностями:

1) использование контролируемой среды приемки для создания и тестирования всех предлагаемых релизов, включая патчи, до релиза.

Примечание - Настоящий стандарт не определяет подробные требования к созданию или тестированию. В частности, он не требует повторного создания и независимого тестирования всех сборок, требующих установки патчей производителя. Между тем, организация может потребовать этого независимо от требований настоящего стандарта. Тем не менее, обычно предполагается, что любое изменение или исправление будет протестировано перед развертыванием;


2) периодичность и тип релизов, в том числе периодичность выпусков патчей безопасности, планируются и согласовываются с бизнесом и клиентами;

3) плановые даты релизов и получаемые результаты регистрируются со ссылкой на связанные запросы на внесение изменений и проблемы и передаются в процесс управления инцидентами;

4) релизы программного обеспечения и связанных активов утверждаются ответственным руководством;

5) успешные или неуспешные релизы регистрируются и периодически анализируются

4.7.6 Процесс развертывания программного обеспечения

4.7.6.1 Цель

Цель процесса развертывания программного обеспечения применительно к SAM и связанным активам состоит в обеспечении развертывания и повторного развертывания программного обеспечения с учетом требований SAM

Применимо к уровню 3

4.7.6.2 Результаты

Результат

Уровень

1

2

3

4

Реализация процесса развертывания программного обеспечения позволит организации продемонстрировать следующее:

a) организацией разработаны, утверждены и выпущены политики и процедуры для развертывания программного обеспечения, характеризуемые следующими особенностями:

1) любой новый экземпляр для распространения программного обеспечения и связанных активов утверждается ответственным руководством;

2) для любого развертывания существует процедура отката или метод исправления, если развертывание окажется неуспешным;

3) соблюдены требования к безопасности, в том числе в отношении доступа к программному обеспечению в процессе развертывания и после его установки;

4) все изменения статуса соответствующего программного обеспечения и связанных активов тщательно и своевременно регистрируются (в том числе любые изменения статуса хранения активов), и ведется журнал учета таких изменений.

Примечание - Регистрировать каждое отдельно вносимое изменение не требуется. Важно определить все допустимые статусы, используемые для записи всех шагов развертывания, а затем убедиться в том, что любые изменения статусов будут фиксироваться. Обычно изменения статуса могут быть связаны с осуществлением полномочий на закупки (общих полномочий, полномочий для поименованных групп или отдельных лиц), полномочий на выпуск (в рамках сборки), полномочий на развертывание/удаление (общих, а также для поименованных групп или отдельных лиц), а также полномочий на фактическое развертывание/установку/удаление;


5) для проверки того, что развертывание было выполнено в точном соответствии с тем, что было разрешено, осуществляется документированный контроль. При выявленном несоответствии (или если не удалось проверить, что актив был развернут в рамках разрешенных ограничений) устанавливается признак исключительной ситуации с перечислением всех несоответствий.

Примечания

1 Полномочия со временем могут меняться. Поэтому всякий раз при изменении полномочий, как явных, так и неявных (например, при изменениях в организационном масштабе), рекомендуется сопоставлять результаты развертывания с полномочиями.

2 Для учета программного обеспечения, разрешенного к установке, рекомендуется направлять владельцу копию отчета об исключительных ситуациях;

6) регистрируется и периодически анализируется успех или неуспех развертываний.

4.7.7 Процесс управления инцидентами

4.7.7.1 Цель

Цель процесса управления инцидентами применительно к программному обеспечению и связанным активам состоит в том, чтобы отслеживать инциденты, относящиеся к программному обеспечению и связанным активам, возникающие при выполнении текущих операций, и реагировать на них

Применимо к уровню 4

4.7.1.2 Результаты

Результат

Уровень

1

2

3

4

Реализация процесса управления инцидентами позволит организации продемонстрировать следующее:

a) организация имеет формальный процесс управления инцидентами, обеспечивающий:

1) регистрацию и ранжирование по приоритету разрешения всех инцидентов, влияющих на программное обеспечение, связанные активы или процессы управления программными активами;

2) разрешение всех таких инцидентов в соответствии с их приоритетами и документирование такого разрешения

4.7.8 Процесс управления проблемами

4.7.8.1 Цель

Цель процесса управления проблемами применительно к программному обеспечению и связанным активам состоит в поддержании программных активов в актуальном рабочем состоянии, в том числе посредством превентивного выявления и изучения причин инцидентов и анализа вызвавших их проблем

Применимо к уровню 4

4.7.8.2 Результаты

Результат

Уровень

1

2

3

4

Реализация процесса управления проблемами позволит организации продемонстрировать следующее:

a) организация имеет формальный процесс управления проблемами, характеризуемый следующими особенностями:

1) все инциденты, оказывающие воздействие на программное обеспечение, услуги или процессы SAM, регистрируются и классифицируются по степени воздействия;

2) высокоприоритетные и повторяющиеся инциденты анализируются для выяснения первопричин и располагаются в порядке приоритета разрешения;

3) первопричины документируются и передаются в процесс управления инцидентами;

4) проблемы разрешаются в соответствии с их приоритетом, а результат разрешения документируется и передается в процесс управления инцидентами

4.7.9 Процесс списания

4.7.9.1 Цель

Цель процесса списания состоит в исключении из использования программного обеспечения и связанных активов, в том числе в повторном использовании связанных активов (если возможно), в соответствии с политикой компании и с соблюдением всех требований к учету.

Примечание - Исключение из использования нелицензионного программного обеспечения обычно не устраняет проблему отсутствия лицензии, поскольку в результате использования программного обеспечения лицензионное обязательство уже возникло. Вместо исключения следует использовать процессы контроля за установкой или первоначальным использованием.

Применимо к уровню 3

4.7.9.2 Результаты

Результат

Уровень

1

2

3

4

Реализация процесса списания позволит организации продемонстрировать следующее:

a) организацией разработаны, утверждены и выпущены политики и процедуры для надежного списания программного обеспечения или аппаратного обеспечения, на котором установлено программное обеспечение, характеризуемые следующими особенностями:

1) установленные копии программного обеспечения удаляются со списанных аппаратных средств, кроме тех случаев, когда их использование явным образом разрешено руководством после проведения надлежащего анализа любых последствий лицензирования программного обеспечения и обеспечения конфиденциальности данных.

Примечания

1 Под списанием понимается передача аппаратных средств за пределы организации (эти средства, возможно, поступят в распоряжение других пользователей).

2 Установленное программное обеспечение не включает программное обеспечение, привязанное к аппаратным средствам, например программное обеспечение OEM, которое не может быть развернуто повторно;

2) лицензии и другие активы, которые могут быть развернуты повторно, идентифицированы для повторного развертывания;

3) любые активы, передаваемые третьим сторонам (независимо от того, являются ли такие стороны связанными или несвязанными, и независимо от того, каким способом передаются эти активы (продаются, иным образом уступаются и пр.), передаются с надлежащим учетом любых требований конфиденциальности, лицензирования и других контрактных требований;

4) лицензии и другие активы, которые не могут быть развернуты повторно, надлежащим образом утилизируются;

5) в оформляемые записи заносятся описанные выше изменения, и ведутся журналы учета изменений

5 Уровни

5.1 Обзор


Обзор уровней приведен во введении к настоящему стандарту. На рисунке 1 проиллюстрирована концептуальная взаимосвязь между уровнями.

В основе группирования и упорядочивания уровней лежат следующие принципы:

a) Число уровней

С целью обеспечения концептуальной простоты, количество уровней должно быть ограничено.

b) Приоритет соблюдения лицензионного соответствия

Результаты официального исследования рыночного спроса на стандарты SAM свидетельствуют о том, что соблюдение лицензионного соответствия всегда было наивысшим приоритетом для всех категорий респондентов. Основа для постоянного соблюдения лицензионного соответствия устанавливается на первом уровне "Достоверные данные". Этот уровень не гарантирует соблюдения лицензионного соответствия, однако любая организация, полностью отвечающая требованиям уровня 1, будет знать, соответствует ли она требованиям к лицензированию программного обеспечения, и вопрос состоит лишь в том, как руководство собирается применять это знание.

c) Естественные группирования отражают естественную последовательность

Предполагается, что группирования результатов и групп процессов на каждом уровне должны быть относительно естественными, отражающими существующую на самом деле естественную последовательность. В подразделах 5.2-5.5 под названиями уровней приведены описания фактических группирований. При этом в основе лежат следующие принципы:

1) наличие достоверных данных - почти всегда главный приоритет. Именно это требование чаще всего выдвигает поставщик лицензий, инициирующий аудит. Нередко обнаруживается большой разрыв между тем, что было обнаружено, и тем, что ожидалось. И только после этого руководство начинает понимать, как велика важность рисков, и осознавать потребность в улучшении ситуации, в том числе в сфере безопасности и снижения издержек;

2) в тех случаях, когда руководство, имея под рукой качественные данные, берет под контроль проблемы SAM, принимаемые им меры обычно идут по двум направлениям. Во-первых, вводятся базовые улучшения управленческой структуры, например уточняются роли и обязанности и определяются политики. Во-вторых, обычно запускаются специальные проекты для устранения выявленных проблем и получения немедленных преимуществ везде, где это возможно;

3) в качестве ожидаемых преимуществ SAM часто указываются повышение эффективности и результативности, однако часто эти показатели не дотягивают до желаемого уровня, поскольку эти действия требуют значительных усилий по внедрению, в том числе по интеграции и повторному проектированию процессов. Однако организация, по всей вероятности, пойдет по этому пути, когда ей станут понятны явные плюсы получения немедленных преимуществ, и она поймет, что можно улучшить результат;

4) лучшие в своем классе методы SAM замыкают список. Обычно к ним относятся методы, оказывающие стратегическое воздействие и дающие долгосрочные преимущества.

d) Минимальные требования к признанию

Уровни разработаны таким образом, чтобы они удовлетворяли минимальным требованиям к признанию достижений, но не включают все то, что организация может просто пожелать реализовать. Например, политики не включены в уровень 1, а только в уровень 2, хотя большинство организаций, вероятно, уже будут иметь дело с рядом политик во время работы на уровне 1. Это обстоятельство не снижает важность политик, а только свидетельствует о том, что изначально на политики ориентируется уровень 2. Результаты, полученные после достижения уровня 1, могут существенно продвинуть разработку или, по крайней мере, исполнение политик на уровне 2, поскольку реальность обычно не совпадает с ожиданиями (с точки зрения соблюдения лицензионного соответствия, требований безопасности, стандартизации и т.п.). Аналогичным образом, если руководство выдвигает определенные требования или определяет возможности, организация может захотеть сосредоточиться на некоторых специальных вопросах или группах процессов раньше, чем это требуется соответствующими уровнями. Этого следует ожидать. Однако такие проблемы или группы процессов не будут включены в область действия возможного проекта сертификации, пока не будет достигнут соответствующий уровень.

e) Ограничения в технологии и ее использовании

Пример - Существуют сотни инструментов, способных выявлять установленное программное обеспечение, однако гораздо меньше таких, которые могут полностью управлять конфигурацией, а эффективное использование таких инструментов встречается еще реже.

Также следует обратить внимание на концепцию "трудности".

a) Трудность сама по себе не является базовым принципом группирования и упорядочивания уровней. Например, создание и ведение инвентарных описей контрактов на поставку и обслуживание программного обеспечения и лицензий - нелегкая задача, выполняемая, в основном, вручную. Тем не менее, эта задача находится на уровне 1, поскольку она выдает важные типы данных, которые необходимо контролировать, чтобы обеспечить их достоверность.

b) Множество результатов или групп процессов обычно вообще не достигаются менее зрелыми организациями, и они, как правило, помещаются на уровень 4. С одной стороны, они могут рассматриваться как "трудные" результаты и группы процессов. Однако они скорее отражают этап становления организации, чем присущую им внутреннюю сложность. Поэтому такие результаты и группы процессов было бы точнее считать частью лучшего в своем классе SAM.

5.2 Уровень 1. Достоверные данные


На рисунке 3 показаны группы процессов, включенные в уровень 1.

Рисунок 3 - Уровень 1 SAM. Достоверные данные


Рисунок 3 - Уровень 1 SAM. Достоверные данные


Естественными группированиями, включенными в этот уровень, являются следующие:

a) базовые записи SAM;

b) лицензионное соответствие

5.3 Уровень 2. Практическое управление


На рисунке 4 показаны группы процессов, включенные в уровень 2.

Рисунок 4 - Уровень 2 SAM. Практическое управление


Рисунок 4 - Уровень 2 SAM. Практическое управление


Естественными группированиями, включенными в этот уровень, являются следующие:

a) немедленные преимущества;

b) обязательная контрольная среда.

5.4 Уровень 3. Операционная интеграция


На рисунке 5 показаны группы процессов, включенные в уровень 3.

Рисунок 5 - Уровень 3 SAM. Операционная интеграция


Рисунок 5 - Уровень 3 SAM. Операционная интеграция


Естественными группированиями, включенными в этот уровень, являются следующие:

a) процессы базового жизненного цикла (закупка/развертывание/списание);

b) базовые процессы управления операциями.

5.5 Уровень 4. Полное соответствие настоящего стандарта SAM


На рисунке 6 показаны группы процессов, включенные в уровень 4.

Рисунок 6 - Уровень 4. Полное соответствие настоящего стандарта SAM


Рисунок 6 - Уровень 4. Полное соответствие настоящего стандарта SAM


Естественными группированиями, включенными в этот уровень, являются следующие:

a) стратегический SAM (SAM представляет собой инструмент реализации и является частью стратегии и планирования);

b) расширенные процессы жизненного цикла менеджмента услуг;

c) лучшие в своем классе процессы SAM (не включены в более низкие уровни).

Приложение A (справочное). Справочная диаграмма результатов по уровням

Приложение A
(справочное)



Таблица A.1

Основное наимено-
вание

Вспомога-
тельное наименование

Наименование группы процессов

Результат

Наименование

Дополнительные комментарии

Уро-
вень 1

Уровень 2

Уровень 3

Уровень 4

Процессы организационного управления SAM

Контрольная среда SAM

Процесс корпоративного управления SAM

4.2.2.2.a

Организационная область применения и общая ответственность

X

4.2.2.2.b

Признание ответственности за SAM

X

4.2.2.2.c

Законодательство, нормативные акты и руководящие документы

X

4.2.2.2.d

Оценка рисков

X

4.2.2.2.e

Утверждение целей управления SAM

X

Роли и обязанности SAM

4.2.3.2.a

Обязанности SAM в масштабе всей организации

X

4.2.3.2.b

Локальные обязанности SAM

X

4.2.3.2.c

Доведение до сведения обязанностей

X

Политики, процессы и процедуры SAM

4.2.4.2.a

Структурированный подход к политикам, процессам и процедурам

X

4.2.4.2.b

Организация политик, процессов и процедур

X

4.2.4.2.c

Проблемы, охватываемые политикой

X

4.2.4.2.d

Доведение до сведения политик и процедур

X

Компетенции в SAM

4.2.5.2.a

Доступность обучения

X

4.2.5.2.b

Доказательство наличия лицензии

X

4.2.5.2.c

Проведенное обучение

X

4.2.5.2.d

Доступность инструкций производителей программного обеспечения

X

Процессы планирования и внедрения SAM

Планирование SAM

4.3.2.2.a

Разработка целей управления SAM

X

4.3.2.2.b

Разработка планов SAM

X

4.3.2.2.c

Утверждение планов SAM

X

Внедрение SAM

4.3.3.2.a

Обратная связь по проблемам

X

4.3.3.2.b

Ход выполнения в сравнении с планом SAM

X

4.3.3.2.c

Отслеживание расхождений

X

Мониторинг и пересмотр SAM

4.3.4.2.a

Ежегодные отчеты для руководства по SAM

X

4.3.4.2.b

Утверждение владельцем процессов SAM

X

4.3.4.2.c

Анализ развертывания программного обеспечения

Частично (немедленные преимущества)

Полностью

Непрерывное совершенствование SAM

4.3.5.2.a

Обработка предложений по усовершенствованию SAM

X

4.3.5.2.b

Обработка предложений по внедрению усовершенствований

X

Базовые процессы SAM

Процессы инвентаризации SAM

Идентификация программных активов

4.4.2.2.a

Первоначальное установление требований к данным

X

4.4.2.2.b

Главный реестр хранилищ и инвентарных описей

X

Управление инвентаризацией программных активов

4.4.3.2.a

Политики и процедуры управления запасами

X

4.4.3.2.b

Инвентарные описи аппаратных средств, установленного программного обеспечения и лицензий

X

4.4.3.2.c

Инвентарные описи эталонных копий программного обеспечения и контрактной документации

1, 3-4

2

4.4.3.2.d

Механизмы измерения всех остальных лицензионных метрик

X

4.4.3.2.e

Непрерывность операций

X

4.4.3.2.f

Минимальные дескрипторы отчетов

X

Контроль программных активов

4.4.4.2.a

Контрольный журнал изменений

X

4.4.4.2.b

Политики и процедуры контроля версий

X

4.4.4.2.c

Политики и процедуры базовых показателей развертывания

X

Процессы проверки правильности и соблюдения соответствия SAM

Проверка правильности записей о программных активах

4.5.2.2.a

Политики и процедуры проверки правильности записей

11 на всех уровнях для соответствующих процессов

1-3, 8-9

10 (немедленные преимущества)

4-7

Соответствие лицензии на ПО

4.5.3.2.a

Политики и процедуры соблюдения соответствия лицензии на программное обеспечение

X

Соответствие требованиям безопасности программных активов

4.5.4.2.a

Проверки политик безопасности SAM

X

4.5.4.2.b

Отслеживание выявленных исключительных ситуаций

X

Проверка соответствия SAM

4.5.5.2.a

Политики и процедуры проверки соответствия

На всех уровнях для соответствующих процессов

X

X

X

X

4.5.5.2.b

Проверки соответствия

На всех уровнях для соответствующих процессов

X

X

X

X

Процессы и интерфейсы управления операциями SAM

Управление отношениями и контрактами SAM

4.6.2.2.a

Политики и процедуры управления отношениями с поставщиками

X

4.6.2.2.b

Политики и процедуры управления отношениями на стороне клиентов

X

4.6.2.2.с

Политики и процедуры управления контрактами

Частично (немедленные преимущества)

Полностью

Финансовое управление SAM

4.6.3.2.a

Определение требуемой финансовой информации

X

4.6.3.2.b

Бюджеты

X

4.6.3.2.c

Отчетность о фактических показателях в сравнении с бюджетными

X

4.6.3.2.d

Доступность информации о стоимости активов

X

4.6.3.2.e

Анализ фактических показателей в сравнении с бюджетными и принятие соответствующих мер

X

4.6.3.2.f

Оптимизация лицензий

Частично (немедленные преимущества)

полностью

Управление уровнем обслуживания SAM

4.6.4.2.a

Определение соглашений об уровне обслуживания

X

4.6.4.2.b

Отчетность о фактических показателях в сравнении с целевыми

X

4.6.4.2.c

Анализ эффективности

X

Управление безопасностью SAM

4.6.5.2.a

Политика безопасности для ресурсов SAM

X

4.6.5.2.b

Спецификация средств контроля доступа для ресурсов SAM

X

4.6.5.2.c

Реализация средств контроля доступа

X

Первичные интерфейсы процессов SAM

Интерфейсы процессов жизненного цикла SAM

Процесс управления изменениями

4.7.2.2.a

Определение процесса управления изменениями

X

Процесс закупок

4.7.3.2.a

Стандартные архитектуры

X

4.7.3.2.b

Стандартные конфигурации

X

4.7.3.2.c

Политики и процедуры закупок

X

4.7.3.2.d

Политики и процедуры обработки доходов

X

Процесс разработки программного обеспечения

4.7.4.2.a

Определение процесса разработки программного обеспечения для учета требований SAM

X

4.7.4.2.b

Определение процесса разработки программного обеспечения для контроля активов

X

Процесс управления релизами программного обеспечения

4.7.5.2.a

Определение процесса управления релизами программного обеспечения

X

Процесс развертывания программного обеспечения

4.7.6.2.a

Определение процесса развертывания программного обеспечения

X

Процесс управления инцидентами

4.7.7.2.a

Определение процесса управления инцидентами

X

Процесс управления проблемами

4.7.8.2.a

Определение процесса управления проблемами

X

Процесс списания

4.7.9.2.a

Определение процесса списания

X

Примечание - "х" - означает, что уровень включает все подразделы этого результата; "частично" - означает, что в уровень включены отдельные подразделы этого результата (включенные подразделы см. в соответствующем пункте).

Приложение B (справочное). Руководство по избранным темам


Приложение B
(справочное)

B.1 Введение

Настоящее приложение представляет собой руководство по избранным темам, относящимся к настоящему стандарту. Также имеются отраслевые руководства, например, описанные в приложении С.

B.2 Релизы

Термин "релиз" будет часто применяться к окончательному внутреннему выпуску продукции, например выпуску экземпляра для распространения, получившего техническое утверждение, или корпоративной сборке, выпускаемой для использования в составе определенных устройств, например на некотором количестве настольных компьютеров.

Второй вариант использования терминов "релиз" и "сборка" применяется к программным активам в рамках процесса разработки программного обеспечения. Эти термины также широко применяются при использовании программного обеспечения с открытым исходным кодом (Open Source Software, OSS), например релиз кода OSS для пользователей, которые могут после этого собирать такое программное обеспечение самостоятельно. Настоящий стандарт не определяет процессы, характерные для разработки, однако предусматривает идентификацию и контроль активов, оставляя свободу для применения процессов SAM, которые могли бы в равной степени применяться к программным активам в любом из двух указанных выше контекстов использования (см. обсуждение применимости настоящего стандарта к разработке в подразделе 1.2 "Область применения").

Хотя управление любыми релизами может осуществляться посредством использования настоящего стандарта, принимается, что, если термин "релиз" появляется в последовательности событий дважды, то этому, возможно, будет необходимо дать дополнительное пояснение, особенно учитывая тот факт, что для обоих релизов может потребоваться официальное утверждение. В качестве объединенного примера можно привести процесс корпоративной сборки, который может состоять из нескольких последовательных шагов, объединяющих произведенное программное обеспечение со сборками кода, выпущенного внутренними разработчиками, и может включать релиз исходного кода, полученного в результате разработок OSS. Этот процесс обычно будет включать патчи. Все или некоторые такие виды деятельности иногда называют "созданием пакетов". Создание пакетов обычно подразумевает добавление программной "оболочки", требуемой определенной утилитой для развертывания программного обеспечения.

Несколько таких корпоративных сборок обычно тестируются и проходят техническое утверждение до того, как будет создан и утвержден для окончательного выпуска в производственную среду экземпляр для распространения (иногда в виде образа).

В заключение следует отметить, что настоящий стандарт может использоваться для управления обоими видами выпускаемых программных активов - релизом кода, выпущенным разработчиками, и внутренним релизом продукции в результате выполнения ряда последовательных операций по созданию пакетов. Оба варианта могут находиться в области применения, к ним могут применяться процессы инвентаризации и проверки правильности записей; любой управляемый релиз должен сначала пройти техническое утверждение, а затем получить окончательное разрешение на развертывание с утвержденной инвентарной описью установок.

B.3 Управление документами и записями

Настоящий стандарт явно не оговаривает требования по управлению документами и записями, тем не менее, такие требования могут выдвигаться в тех случаях, когда:

a) в организации применяется структурированный подход к созданию, анализу, утверждению, выпуску и контролю политик, процессов, процедур и связанной документации, относящихся к SAM, позволяющий в любое время определять полный доступный набор, текущую рабочую версию любого документа и документы, которые должны применяться к различным типам программного обеспечения и связанных активов (см. 4.2.4.2a));

b) документация по политикам, процессам и процедурам, оговариваемая данным стандартом, классифицируется в организации по процессам, определенным в данном стандарте, или по ссылкам на такие классификации (4.2.4.2b));

c) в организации имеются письменные подтверждения выполнения указанных выше процедур проверки, и выполнения последующих корректирующих мер вплоть до успешного устранения причин всех выявленных исключительных ситуаций (см. 4.5.5.2b)).

Настоятельно рекомендуется, чтобы организации, реализующие этот стандарт, также реализовали процессы управления документами и записями в соответствии с требованиями таких стандартов систем управления, как ИСО 9001:2000 и ИСО/МЭК 20000-1:2005, что позволит реализовать требуемую общую функциональность.

Приложение C (справочное). Перекрестные ссылки на руководства по отраслевой передовой практике

Приложение C
(справочное)

C.1 Введение

Настоящий стандарт не детализирует процессы SAM с точки зрения методов или процедур, необходимых для удовлетворения требований к результатам процесса (по 1.1). Настоящий стандарт не указывает последовательность шагов, которые должна предпринять организация, чтобы реализовать SAM, равно как и любая последовательность описания процессов не подразумевает никакой последовательности реализации.

Хотя настоящий стандарт подробно не освещает эти темы, они имеют важное значение для реализации SAM и удовлетворения требований настоящего стандарта. В настоящем стандарте не указываются конкретные источники руководства по SAM и не упоминаются никакие связанные продукты или сорсинговые организации. Однако необходимо указать, что такие источники руководства существуют, и на них в качестве примера может быть приведена ссылка.

C.2 Источники

В настоящее время имеются как минимум три основных источника руководства по SAM, все они представлены частными лицами в рабочей группе, ответственной за ИСО/МЭК 19770-1. Приведенные источники руководства являются лишь примерами. Общественная экспертиза, связанная с разработкой ИСО/МЭК 19770-1, указывает и несколько других, а именно: CMMI, FFIEC, BSA SAM Advantage, Gartner, Институт управления технологическими активами (Institute for Technology Asset Management) и ISEB SAM Essentials. Кроме того, доступны и другие (далее упомянутые Национальным органом), такие как Agnitio Advisor's [http://www.agnitioadvisor.com/Assessment] и руководства IBSMA [http://www.ecpmedia.com/publications.html#sm_guidetosam].

Три основных источника руководства по SAM, упомянутые выше, в порядке опубликования:

ITILV3 Guideto Software Asset Management ("Руководство по управлению программными активами ITIL V3"), TSO, 2009, ISBN 978 0 11 331106 4. Версия 2 этой публикации была разработана до разработки ИСО/МЭК 19770-1:2006. Во многих отношениях она является предшественником стандарта ИСО/МЭК 19770-1:2006.

IAITAM Best Practice Library, International Association of IT Asset Managers ("Библиотека лучшего мирового опыта по управлению ИТ-активами Международной Ассоциации IAITAM"), [www.iaitam.org] 2008, ISBN 978-1-935019-00-8, 978-1-935019-01-5, 978-1-935019-02-2, 978-1-935019-03-9, 978-1-935019-04-6, 978-1-935019-05-3, 978-1-935019-06-0, 978-1-935019-07-7, 978-1-935019-08-4, 978-1-935019-09-1, 978-1-935019-10-7, 978-1-935019-11-4. Данное руководство по передовой практике представляет собой универсальный 12-томный комплект, охватывающий все области управления ИТ-активами, а не только управление программными активами. Это руководство было разработано до публикации ИСО/МЭК 19770-1:2006. ИСО/МЭК ссылается на IBPL и используется с разрешения IAITAM. 2008 IAITAM. Все права защищены.

SAM Standardand Evaluation Criteria, SAMAC, [www.samac.or.jp] Software Asset Management Standard, the association of SAM Assessment and Certification ("Стандарт SAM и критерии оценки, SAMAC), Стандарт управления программными активами, Ассоциация оценки и сертификации SAM"), Япония 2010. Эта документация составлена на японском и английском языках. Несмотря на то, что она называется стандартом - это прежде всего сборник передовой практики. Он был переработан после публикации стандарта ИСО/МЭК 19770-1:2006 и согласован со стандартом ИСО/МЭК 19770-1:2006. Настоящий ссылается на версию 2 стандарта SAMAC и используется с разрешения SAMAC. SAMAC 2010. Все права защищены.

С целью облегчения доступа к данному руководству в конце данного приложения приведена таблица со ссылками на последние два источника, указанные выше.

Настоящий стандарт также включает в себя стандарты CobiT 4.1, используемые с разрешения ISACA/ITGI [www.isaca.org]. ©1996-2007 ITGI. Все права защищены. Стандарты CobiT представляют собой набор инструментов и методик контроля и управления ИТ. Они формирует основу управления ИТ, помогая руководителям ставить цели для ИТ-подразделений, что, в свою очередь, способствует достижению целей предприятия.

C.3 Дополнительная информация по избранным сопоставлениям с CobiT

Внедрение передовых практик в соответствии со стандартами CobiT и настоящим стандартом, а также в любой другой инфраструктуре управления ИТ занимает время и сопряжено с выполнением ряда шагов. Уровни позволяют осуществлять выборочные усовершенствования и идентифицировать области, требующие дальнейшего внимания. Вспомогательный подход может использовать стандарт CobiT, однако связанные цели определены в нем по-другому, и поэтому в приведенном ниже руководстве описаны некоторые из связей. Подход может применяться организациями, которые уже используют CobiT, с указанием того, какие процессы CobiT поддерживают тот или иной уровень (указание связей с CobiT само по себе не подразумевает соответствия требованиям уровня 1 настоящего стандарта).

Как и все приложения настоящего стандарта, данное приложение является справочным и описывает связанные темы, содержащиеся в других методиках и оценках. Оно имеет лишь смысл руководящих указаний и не может считаться точной интерпретацией знаний стандарта CobiT. См. также приложение E о соотнесении CobiT с другими доступными методологиями.

C.3.1 О сопоставлении уровня 1 (достоверные данные) с CobiT

Достижение этого уровня означает получение знаний о том, что есть, чтобы уметь этим управлять.

Организации, достигшие уровня 1, для сбора и проверки знаний об ИТ активах и их статусе используют управленческие методы. Особенно это относится к дисциплинам управления конфигурацией. В CobiT эти действия связаны с управлением и отслеживанием информации об инфраструктуре, ресурсах и возможностях ИТ, информационной архитектуре и других активах.

В частности, достижение результатов уровня 1 обеспечивается следующими процессами CobiT:

Процесс CobiT

Комментарий

DS11 Управление данными

Данный процесс заключается в определении процедур и требований к управлению данными SAM

PO2 Определение ИТ архитектуры

Определение ИТ архитектуры создает твердую основу для управления данными ИТ активов

ME1 Мониторинг и оценка производительности ИТ

Требования к мониторингу инвентарных запасов и процессам проверки с целью обеспечения контроля над данными

DS9 Управление конфигурацией

Большие объемы конфигурационной информации, собранной в этом процессе, передаются в SAM для управления

C.3.2 О сопоставлении уровня 2 (практическое управление) с CobiT

Достижение этого уровня означает совершенствование административного управления и получение немедленных преимуществ.

Действия на этом уровне обычно называют управлением, контролем и руководством. Достигаемые на этом уровне результаты требуют внедрения методов упреждающего управления, уделяя особое внимание планированию SAM как таковому. Здесь также подразумевается контроль над уже реализованными процессами SAM, в том числе мониторинг и проверка правильности результатов. В CobiT связанные процессы группируются в категории "Планирование и организация" и "Мониторинг и оценка".

Достижение результатов уровня 2 обеспечивается следующими процессами CobiT:

Процесс CobiT

Комментарий

PO4 Формализация ИТ процессов, организации и взаимоотношений с бизнесом

Требования PO4 создают основу для создания среды управления SAM

ME3 Гарантирование соответствия регуляторным требованиям

Законодательные и регуляторные требования учитываются как часть контрольной среды уровня 2 (решения по обеспечению соответствия лицензиям принимаются на уровне 1)

ME4 Обеспечение руководства ИТ

Установленное руководство определяет способы управления и контроля

PO5 Управление инвестициями в ИТ

Получение ряда результатов финансового менеджмента, требуемых на этом уровне

PO8 Управление качеством

Система управления качеством обеспечивает и определяет управленческую деятельность

PO9 Оценка и управление рисками ИТ

На этом уровне осуществляется управление рисками

DS7 Обучение пользователей

Этот процесс тесно связан с политиками, процессами и процедурами использования программных активов уровня 2 (особенно в части оповещений)

C.3.3 О сопоставлении уровня 3 (операционная интеграция) с CobiT

Достижение этого уровня означает повышение эффективности.

На этом уровне процессы SAM интегрируются с ИТ-операциями. Здесь осуществляется управление жизненным циклом программного обеспечения и связанных активов. Здесь устанавливается контроль соответствия стандартам и внешним требованиям. В CobiT процессы жизненного цикла определяются, в основном, в части "Приобретение и внедрение", а аспекты соответствия описываются, в основном, в части "Эксплуатация и сопровождение".

Достижение результатов уровня 3 обеспечивается следующими процессами CobiT:

Процесс CobiT

Комментарий

AI3 Проектирование и поддержка технической инфраструктуры

Управление жизненным циклом технологии, лежащей в основе программного обеспечения

AI2 Проектирование и разработка приложений

Поддержка жизненного цикла приложений

AI5 Закупка ИТ-ресурсов

Определение и управление процедурами закупок

DS1 Определение и управление уровнями сервиса

Непосредственная связь с требованиями процесса управления уровнем обслуживания

DS2 Управление сервисами подрядчиков

Используется при управлении поставщиками

DS6 Определение и распределение ИТ-затрат

На данном уровне требуется комплексное финансовое управление

ME2 Отслеживание и оценка внутренних контролей

Важный процесс для правильного финансового управления

DS3 Управление производительностью и мощностью

Поддержка процесса управления уровнем обслуживания SAM

C.3.4 О сопоставлении уровня 4 (полное соответствие настоящего стандарта SAM) с CobiT

Достижение этого уровня означает достижение лучшего в своем классе стратегического SAM.

На последнем уровне достигаются цели SAM, связанные с поддержкой стратегических целей организации. На этом уровне полностью поддерживаются процессы менеджмента ИТ-услуг. SAM также получает процессы, обеспечивающие устойчивость и собственное непрерывное совершенствование. В результате SAM превращается в полнофункциональную систему процессов, на надежность которых может рассчитывать организация.

В CobiT стратегические процессы распределены по всей инфраструктуре, и, зная схему такого распределения, организация может создавать конкретные элементы менеджмента ИТ как лучшие в своем классе.

При создании лучшего в своем классе стратегического SAM наиболее полезными считаются следующие процессы CobiT:

Процесс CobiT

Комментарий

РO1 Разработка стратегического плана ИТ

* См. также общие разделы CobiT: PO6 Согласованное управление целями и задачами. Заинтересованные лица, таким образом, поддерживают цели SAM, утвержденные руководством на уровне 4

Создание процессов в ходе стратегического планирования помогает согласовать действия бизнеса и ИТ и обеспечить их интеграцию. На уровне 4 также определяется утверждение* управленческих целей SAM (4.2.2.2 e)

AI6 Управление изменениями

Поддержка процесса управления изменениями уровня 4

AI7 Установка и утверждение решений и изменений

Требуется в рамках управления изменениями

DS4 Обеспечение непрерывности сервисов

На этом уровне обеспечивается непрерывность операций

DS5 Обеспечение безопасности систем

На этом уровне обеспечивается управление безопасностью

DS8 Управление службой поддержки и инцидентами

На этом уровне осуществляется обратная связь с клиентами, а также выполняются процессы управления инцидентами

DS10 Управление проблемами

На этом уровне должен быть явным образом определен процесс управления проблемами

ME1 Отслеживание и оценка производительности ИТ

На этом уровне требуется постоянное усовершенствование


Большая часть связей в приведенной выше таблице отражает строго однозначную связь CobiT с одним уровнем. Некоторые уровни, особенно уровень 4, также поддерживаются одним или несколькими обобщенными процессами CobiT. Эти процессы обеспечивают косвенную поддержку целей ISO или широкую поддержку одного или нескольких уровней. Примером такого обобщенного процесса CobiT может служить процесс "DS13 Управление операциями по эксплуатации систем", косвенно поддерживающий процесс "Управление уровнем обслуживания" уровня 3, а на уровне 4 DS13 также поддерживает процессы "Мониторинг и анализ SAM", "Непрерывное совершенствование" и "Контроль программных активов".

С.3.5 Другие процессы CobiT

В дополнение к перечисленным выше процессам, поддерживающим строго определенные уровни, существуют также другие процессы CobiT, поддерживающие SAM либо косвенно, либо в целом. Ниже приведен перечень других процессов CobiT (справочно):

PO3 - Определение направления технологического развития;

PO6 - Информирование о целях и направлениях развития ИТ;

PO7 - Управление персоналом;

PO10 - Управление проектами;

AI1 - Выбор решений по автоматизации;

AI4 - Обеспечение выполнения операций;

DS12 - Управление физической безопасностью и защитой от воздействий окружающей среды;

DS13 - Управление операциями по эксплуатации систем.

C.4 Таблица перекрестных ссылок на результаты отраслевых руководств


Таблица C.1

Ключевые результаты области ИСО/МЭК 19770-1

Ссылка на ИСО/МЭК 19770-1

Уровень
по ИСО/МЭК 19770-1

Ключевая область IBPL (библиотеки передовой практики IAITAM)

Японская передовая практика SAMAC

Ключевая область CobiT 4.1

4.2 Контрольная среда SAM

Цель контрольной среды SAM состоит в создании и поддержании системы управления, в рамках которой реализуются другие процессы SAM

4.2.2 Процесс корпоративного управления SAM

Цель процесса корпоративного управления SAM состоит в обеспечении того, чтобы обязанности по управлению программными активами подтверждались на уровне правления или эквивалентного органа, и чтобы для обеспечения надлежащего исполнения этих обязанностей использовались соответствующие механизмы

Внедрение процесса корпоративного управления SAM позволит организации продемонстрировать следующее:

4.2.2.2

на корпоративном уровне организации имеется ясное изложение организационной области применения в контексте настоящего стандарта в отношении:

4.2.2.2.a

Уровень 2

Управление программами

1 Политика: установление политики и регулирование

ME4 Обеспечение корпоративного управления ИТ

юридического лица или частей юридического лица, включенных в область применения

4.2.2.2.a1

Уровень 2

Управление проектами

1 Политика

PO4 Определение ИТ-процессов, организационной структуры и взаимосвязей

PO6 Информирование о целях и направлениях развития ИТ

ME4 Обеспечение корпоративного управления ИТ

отдельного органа или физического лица, которые несут ответственность за решение всех вопросов корпоративного управления для такого лица или части такого юридического лица

4.2.2.2.a2

Уровень 2

Управление проектами

1 Политика

PO4 Определение ИТ-процессов, организационной структуры и взаимосвязей

ME4 Обеспечение корпоративного управления ИТ

ответственность за корпоративное управление программным обеспечением и связанными активами формально подтверждена правлением или эквивалентным органом организации

4.2.2.2.b

Уровень 2

Управление программами

1 Политика

PO1 Разработка стратегического плана развития ИТ

PO4.2 Комитет по стратегии ИТ

PO10.3 Методология управления проектами

PO10.6 Выделение фаз реализации проекта

PO10.11 Контроль за внесением изменений в проект

ME4 Обеспечение корпоративного управления ИТ

были определены, задокументированы и не реже одного раза в год пересматриваются корпоративные регулирующие документы или нормативы, относящиеся к использованию программного обеспечения и связанных активов во всех странах, в которых работает организация

4.2.2.2.c

Уровень 2

Управление политиками

1 Политика

PO2 Определение информационной архитектуры

ME3 Обеспечение соответствия внешним требованиям

организацией были определены, задокументированы и утверждены правлением или эквивалентным органом и не реже одного раза в год обновляются результаты оценки рисков, имеющих отношение к программному обеспечению и связанным активам, и определяемые руководством методы их снижения. К таким рискам, как минимум, относятся следующие:

4.2.2.2.d

Уровень 2

Управление соответствием

1 Политика

PO9 Оценка и управление ИТ-рисками

риск несоответствия нормативным документам

4.2.2.2.d1

Уровень 2

Управление программами, соответствием, законодательством

1 Политика

PO9 Оценка и управление ИТ-рисками

риск нарушения требований к безопасности

4.2.2.2.d2

Уровень 2

1 Политика

PO9 Оценка и управление ИТ-рисками

DS5 Обеспечение безопасности систем

риск несоблюдения лицензионных требований

4.2.2.2.d3

Уровень 2

Управление программами, соответствием, закупками

1 Политика

PO9 Оценка и управление ИТ-рисками

ME3 Обеспечение соответствия внешним требованиям

AI2 Приобретение и поддержка программных приложений

риск прерывания деятельности из-за проблем с инфраструктурой ИТ, которые могли быть вызваны неадекватностью SAM

4.2.2.2.d4

Уровень 2

Управление программами, закупками, идентификацией активов, проектами

1 Политика

PO2 Определение информационной архитектуры

PO9 Оценка и управление ИТ-рисками

риск чрезмерных расходов на лицензирование и других затрат на поддержку ИТ вследствие неадекватности SAM

4.2.2.2.d5

Уровень 2

Управление программами, закупками, идентификацией активов, финансовое управление, управление утилизацией

1 Политика

PO5 Управление ИТ-инвестициями

AI1 Выбор решений по автоматизации

DS6 Определение и распределение затрат

DS9 Управление конфигурацией

риски, связанные с применением разных подходов к управлению программным обеспечением и связанным активам - децентрализованного и централизованного

4.2.2.2.d6

Уровень 2

Управление программами

Управление закупками

Управление идентификацией активов

Управление утилизацией

1 Политика

PO9 Оценка и управление ИТ-рисками

риски, связанные с ведением деятельности в разных странах, учитываются местные культуры соответствия требованиям и подходы к обеспечению исполнения

4.2.2.2.d7

Уровень 2

Управление программами, соответствием, законодательством

1 Политика

ME3 Обеспечение соответствия внешним требованиям

PO4 Определение ИТ-процессов, организационной структуры и взаимосвязей

PO9 Оценка и управление ИТ рисками

цели управления SAM утверждаются правлением или эквивалентным органом и пересматриваются не реже одного раза в год

4.2.2.2.e

Уровень 4

Управление программами

1 Политика

PO1 Разработка стратегического плана развития ИТ

ME4 Обеспечение корпоративного управления ИТ

ME2 Мониторинг и оценка системы внутреннего контроля

4.2.3 Роли и обязанности SAM

Цель процесса "Роли и обязанности SAM" состоит в четком определении ролей и обязанностей в отношении ПО и связанных активов. Эти роли и обязанности должны соблюдаться и пониматься всем персоналом, к которому они могут относиться

Реализация процесса роли и обязанностей SAM позволит организации продемонстрировать следующее:

4.2.3.2

Управление программами

PO4.6 Определение должностных обязанностей и полномочий

в организации четко определена и утверждена правлением или эквивалентным органом роль владельца процессов SAM, ответственного за корпоративное управление программным обеспечением и связанными активами. Возложенные на владельца процессов SAM в масштабе всей организации обязанности включают следующие:

4.2.3.2.a

Уровень 2

2 Системы:
Создание системы управления

ME4 Обеспечение корпоративного управления ИТ

PO4.6 Определение должностных обязанностей и полномочий

предложение целей управления SAM

4.2.3.2.a1

Уровень 2

Управление программами

2 Системы

PO4.6 Определение должностных обязанностей и полномочий

надзор за разработкой плана SAM

4.2.3.2.a2

Уровень 2

Управление программами

2 Системы

PO4.6 Определение должностных обязанностей и полномочий

получение ресурсов для реализации утвержденного плана SAM

4.2.3.2.a3

Уровень 2

Управление программами

2 Системы

PO4.10 Надзорные функции

получение результатов в соответствии с утвержденным планом SAM

4.2.3.2.a4

Уровень 2

Управление программами

2 Системы

PO4.6 Определение должностных обязанностей и полномочий

обеспечение надлежащего исполнения всеми локальными владельцами процессов SAM своих обязанностей, охват всех частей организации владельцем процессов SAM или локальными владельцами процессов SAM без конфликтующих наложений

4.2.3.2.a5

Уровень 2

Управление программами

2 Системы

PO4.6 Определение должностных обязанностей и полномочий

в организации документированы и назначены конкретным лицам локальные роли и обязанности по корпоративному управлению программным обеспечением и связанными активами. Возложенные обязанности для той части организации, за которую несет ответственность каждое лицо, включают следующее:

4.2.3.2.b

Уровень 2

Управление программами

2 Системы

PO4.6 Определение должностных обязанностей и полномочий

получение ресурсов для реализации утвержденного плана SAM

4.2.3.2.b1

Уровень 2

Управление программами

2 Системы

PO4 Определение ИТ-процессов, организационной структуры и взаимосвязей

получение результатов в соответствии с утвержденным планом SAM

4.2.3.2.b2

Уровень 2

Управление программами

2 Системы

PO4 Определение ИТ-процессов, организационной структуры и взаимосвязей

принятие и внедрение необходимых политик, процессов и процедур

4.2.3.2.b3

Уровень 2

Управление программами, политиками

2 Системы

PO6 Информирование о целях и направлениях развития ИТ

ведение точного учета программного обеспечения и связанных активов

4.2.3.2.b4

Уровень 2

Управление программами

2 Системы

PO1.4 Стратегический план ИТ

обеспечение управления и технических согласований, требуемых для закупки, развертывания и контроля программных активов

4.2.3.2.b5

Уровень 2

Управление закупками

2 Системы

PO10.8 Ресурсы проекта

управление контрактами, отношениями с поставщиками, внутренними клиентами

4.2.3.2.b6

Уровень 2

Управление программами, документацией, поставщиками

2 Системы

PO4 Определение ИТ-процессов, организационной структуры и взаимосвязей

PO8.4 Акцент на потребностях заказчика

PO10 Управление проектами

DS1.6 Рассмотрение соглашений об уровне обслуживания и контрактов

определение потребностей в усовершенствованиях и их реализация

4.2.3.2.b7

Уровень 2

Управление программами

2 Системы

DS10.4 Интеграция управления конфигурацией, управления инцидентами и проблемами

эти обязанности доводятся до сведения всех связанных с SAM частей организации тем же образом, что и другие политики (уровня организации и локальные)

4.2.3.2.c

Уровень 2

Управление коммуникацией и обучением

2 Системы

PO4.6 Определение должностных обязанностей и полномочий

4.2.4 Политики, процессы и процедуры SAM

Цель процесса "Политики, процессы и процедуры SAM" состоит в обеспечении проведения организацией четких политик, процессов и процедур, обеспечивающих эффективное планирование, работу и управление SAM

Реализация процесса "Политики, процессы и процедуры SAM" позволит организации продемонстрировать следующее:

4.2.4.2

PO4 Определение ИТ-процессов, организационной структуры и взаимосвязей

в организации применяется структурированный подход к созданию, анализу, утверждению, выпуску и контролю политик, процессов, процедур и связанной документации, относящихся к SAM, позволяющий в любое время определять полный доступный набор, текущую рабочую версию любого документа и документы, которые должны применяться к различным типам программного обеспечения и связанных активов

4.2.4.2.a

Уровень 2

Управление политиками

1 Политика

PO2 Определение информационной архитектуры

ME2 Мониторинг и оценка системы внутреннего контроля

PO3 Определение направления технологического развития

документация по политикам, процессам и процедурам, оговариваемая настоящим стандартом, классифицируется в организации по процессам, определенным в настоящем стандарте, или по ссылкам на такие классификации

4.2.4.2.b

Уровень 2

Управление политиками

1 Политика

PO2 Определение информационной архитектуры

PO2.1 Модель корпоративной информационной архитектуры

PO2.3 Схема классификации данных

в организации разрабатываются, утверждаются и выпускаются политики, охватывающие, как минимум:

4.2.4.2.c

Уровень 2

Управление политиками

Управление коммуникацией и обучением

1 Политика

PO1 Разработка стратегического плана развития ИТ

PO2 Определение информационной архитектуры

PO6 Информирование о целях и направлениях развития ИТ

PO8 Управление качеством

DS7 Обучение и подготовка пользователей

индивидуальные и корпоративные обязанности по корпоративному управлению программным обеспечением и связанными активами

4.2.4.2.c.1

Уровень 2

Управление политиками, программами

1 Политика

PO1 Разработка стратегического плана развития ИТ

PO2 Определение информационной архитектуры

PO4 Определение ИТ-процессов, организационной структуры и взаимосвязей

PO4.6 Определение должностных обязанностей и полномочий

PO4.7 Ответственность за обеспечение качества ИТ

любые ограничения на персональное использование корпоративного программного обеспечения и связанных активов

4.2.4.2.c2

Уровень 2

Управление политиками

1 Политика

PO4.8 Ответственность за риск, безопасность и соответствие требованиям

вопросы соблюдения законодательных и регуляторных требований, в том числе с целью защиты авторских прав и данных

4.2.4.2.c3

Уровень 2

Управление соответствием

Управление политиками

1 Политика

ME3 Обеспечение соответствия внешним требованиям

PO4.8 Ответственность за риск, безопасность и соответствие требованиям

любые требования к закупкам (например использование корпоративных соглашений или закупки только у авторитетных/
утвержденных поставщиков)

4.2.4.2.c4

Уровень 2

Управление закупками

Управление политиками

1 Политика

AI1 Выбор решений по автоматизации

PO4.8 Ответственность за риск, безопасность и соответствие требованиям

оформление любых требований на получение утверждений на установку или использование программного обеспечения, как приобретенного, так и полученного иным способом

4.2.4.2.c5

Уровень 2

Управление закупками

1 Политика

PO2 Определение информационной архитектуры

PO10 Управление проектами

дисциплинарные взыскания за нарушения этих политик

4.2.4.2.c6

Уровень 2

Управление политиками

1 Политика

ME2 Мониторинг и оценка системы внутреннего контроля

DS5 Обеспечение безопасности систем

политики и процедуры доводятся до сведения всего персонала в организации способом, который позволяет: оповещать всех новых работников после их выхода на работу, и не реже одного раза в год оповещать постоянно работающего персонала, получать подтверждение об оповещении от всех новых работников после их выхода на работу, и впоследствии не реже одного раза в год и работникам в любое время получать доступ к политикам и процедурам

4.2.4.2.d

Уровень 2

Управление коммуникацией и обучением

1 Политика

3 Компетенция: создание и поддержание компетенции в SAM

5 Реализация: подтверждение внедренного ПО и связанных активов

DS7 Обучение и подготовка пользователей

PO1 Разработка стратегического плана развития ИТ

PO2 Определение информационной архитектуры

PO6 Информирование о целях и направлениях развития ИТ

PO8 Управление качеством

4.2.5 Компетенции в SAM

Цель процесса "Компетенции в SAM" состоит в обеспечении доступности и применении соответствующей компетенции и опыта в SAM

Реализация процесса компетенции в SAM позволит организации продемонстрировать следующее:

4.2.5.2

PO6 Информирование о целях и направлениях развития ИТ

PO7 Управление персоналом

в организации не реже одного раза в год документируется процесс проверки изменений требований. Проверяется доступность и прохождение обучения и сертификации персонала в сфере обязанностей SAM в отношении:

4.2.5.2.a

Уровень 2

Управление коммуникацией и обучением

3 Компетенция

PO7 Управление персоналом

SAM в целом

4.2.5.2.a1

Уровень 2

Управление коммуникацией и обучением

3 Компетенция

PO7 Управление персоналом

лицензирования продукции производителей используемого программного обеспечения

4.2.5.2.a2

Уровень 2

Управление коммуникацией и обучением

3 Компетенция

AI5 Поставки ИТ ресурсов

AI6 Управление внесением изменений

DS9 Управление конфигурацией

DS9.3 Проверка целостности конфигурации

в организации не реже одного раза в год проводится проверка требований к составляющим "подтверждения лицензии" для производителя программного обеспечения

4.2.5.2.b

Уровень 4

Управление соответствием

3 Компетенция

ME2 Мониторинг и оценка системы внутреннего контроля

AI6 Управление внесением изменений

DS9 Управление конфигурацией

DS9.3 Проверка целостности конфигурации

персонал организации, ответственный за управление SAM, ежегодно проходит обучение (включая начальное и продвинутое) в области SAM и соответствующее лицензирование

4.2.5.2.c

Уровень 2

Управление коммуникацией и обучением

3 Компетенция

PO7 Управление персоналом

в организации не реже одного раза в год осуществляется проверка наличия дополнительных инструкций производителей программного обеспечения (если таковые имеются) с целью обеспечения соответствия их лицензиям

4.2.5.2.d

Уровень 2

Управление соответствием

3 Компетенция

PO1 Разработка стратегического плана развития ИТ

PO2 Определение информационной архитектуры

PO3 Определение направления технологического развития

PO3.4 Технологические стандарты

PO3.5 Коллегия по вопросам ИТ архитектуры

PO4 Определение ИТ-процессов, организационной структуры и взаимосвязей

PO4.1 Методология ИТ-процесса

PO4.8 Ответственность за риск, безопасность и соответствие требованиям

PO6 Информирование о целях и направлениях развития ИТ

PO8.6 Оценка уровня качества, мониторинг и обзор



Продолжение таблицы С.1

4.3 Процессы планирования и внедрения SAM

Цель процессов "Планирование и внедрение SAM" состоит в обеспечении эффективного достижения целей управления SAM

4.3.2 Планирование SAM

Цель процесса "Планирование SAM" состоит в обеспечении адекватной подготовки и планировании для эффективного достижения целей SAM

Реализация процесса "Планирование SAM" позволит организации продемонстрировать следующее:

4.3.2.2

PO1 Разработка стратегического плана развития ИТ

PO3 Определение направления технологического развития

PO10 Управление проектами

управленческие цели SAM в организации разрабатываются и предлагаются для утверждения правлением или эквивалентным органом и обновляются не реже одного раза в год

4.3.2.2.a

Уровень 4

Управление программами

1 Политика

PO4.8 Ответственность за риск, безопасность и соответствие требованиям

PO5 Управление ИТ инвестициями

PO9.6 Поддержка и мониторинг плана обработки рисков

AI1 Выбор решений по автоматизации

PO6 Информирование о целях и направлениях развития ИТ

ME4 Обеспечение корпоративного управления ИТ

план реализации и представления SAM (далее - "план SAM") разрабатывается, документируется и обновляется не реже одного раза в год. Этот план включает в себя:

4.3.2.2.b

Уровень 2

Управление программами

1 Политика

PO4.8 Ответственность за риск, безопасность и соблюдение требований

PO5 Управление ИТ-инвестициями

PO9.6 Поддержка и мониторинг плана обработки рисков

AI1 Выбор решений по автоматизации

PO1 Разработка стратегического плана развития ИТ

четкое изложение области применения (однозначно определенной "области применения программного актива"), описывающее, какие типы программного обеспечения в нее включены; охват программного обеспечения и связанных активов, например, должна быть указана доля складской заполненности в соответствии с последним обновлением плана SAM с указанием фактических и плановых показателей; любой охват активов сверх минимума, требуемого настоящим стандартом; любые методы взаимодействия с другими организациями или системами и/или требования к ним. См. также организационную область применения: 4.2.2.2.a1

4.3.2.2.b1

Уровень 2

Управление программами, соответствием

1 Политика

AI1 Выбор решений по автоматизации

DS9 Управление конфигурацией

четкое определение политик, процессов и процедур, требуемых для использования активов в области применения

4.3.2.2.b2

Уровень 2

Управление программами, политиками, закупками

1 Политика

PO6 Информирование о целях и направлениях развития ИТ

PO7 Управление персоналом

четкое разъяснение подхода к управлению, аудиту и усовершенствованию SAM (в том числе с применением методов автоматизации), используемого для поддержания процессов

4.3.2.2.b3

Уровень 2

Управление программами

1 Политика

PO2 Определение информационной архитектуры

PO3 Определение направления технологического развития

PO8.3 Стандарты в области разработки и приобретения

AI1 Выбор решений по автоматизации

разъяснение подхода, используемого для идентификации, оценки и управления проблемами и рисками, связанными с достижением установленных целей управления

4.3.2.2.b4

Уровень 2

Управление программами, соответствием, законодательством

1 Политика

PO2 Определение информационной архитектуры

PO3 Определение направления технологического развития

PO8.3 Стандарты в области разработки и приобретения

AI1 Выбор решений по автоматизации

DS8 Управление службой технической поддержки и инцидентами

DS10 Управление проблемами

графики выполнения периодических операций и распределение ответственностей по их выполнению, в том числе подготовка отчетов для руководства и контроль соответствия

4.3.2.2.b5

Уровень 2

Управление программами

1 Политика

PO2 Определение информационной архитектуры

PO3 Определение направлений развития технологий

PO8.3 Стандарты в области разработки и приобретения

AI1 Выбор решений по автоматизации

ME1 Мониторинг и оценка эффективности ИТ

определение ресурсов (включая бюджетные ресурсы), необходимых для реализации плана SAM

4.3.2.2.b6

Уровень 2

Управление программами

1 Политика

PO2 Определение информационной архитектуры

PO3 Определение направления технологического развития

PO8.3 Стандарты в области разработки и приобретения

AI1 Выбор решений по автоматизации

PO5 Управление ИТ инвестициями

DS6 Определение и распределение затрат

отслеживание показателей выполнения плана SAM, включая целевые измерения точности записей об управлении активами

4.3.2.2.b7

Уровень 2

Управление программами, соответствием

1 Политика

PO2 Определение информационной архитектуры

PO3 Определение направления технологического развития

PO8.3 Стандарты в области разработки и приобретения

AI1 Выбор решений по автоматизации

ME1 Мониторинг и оценка эффективности ИТ

план утвержден правлением или эквивалентным органом организации

4.3.2.2.c

Уровень 2

Управление программами

1 Политика

PO4.8 Ответственность за риск, безопасность и соответствие требованиям

PO5 Управление ИТ-инвестициями

PO9.6 Поддержка и мониторинг плана обработки рисков

ME4 Обеспечение корпоративного управления ИТ

4.3.3 Внедрение SAM

Цель процесса "Внедрение SAM" состоит в достижении общих целей SAM и выполнении плана SAM

Реализация процесса "Внедрение SAM" позволит организации продемонстрировать следующее:

4.3.3.2

в организации имеются механизмы сбора информации, в том числе информации локальных владельцев процессов SAM, об изменениях, проблемах и рисках, воздействующих на план SAM на протяжении года

4.3.3.2.a

Уровень 4

Управление программами, коммуникацией и обучением

2 Системы

AI6 Управление внесением изменений

PO9 Оценка и управление ИТ-рисками

PO6 Информирование о целях и направлениях развития ИТ

владельцами процессов SAM готовятся регулярные отчеты о состоянии дел (не реже одного раза в квартал), подробно описывающие общий ход выполнения плана SAM, для выдачи отчета правлению или эквивалентному органу организации

4.3.3.2.b

Уровень 4

Управление программами, коммуникацией и обучением

2 Системы

ME2 Мониторинг и оценка системы внутреннего контроля

PO6 Информирование о целях и направлениях развития ИТ

в организации проводится оперативное отслеживание и документирование любых выявленных расхождений

4.3.3.2.c

Уровень 4

Управление программами

2 Системы

ME1 Мониторинг и оценка эффективности ИТ

ME2 Мониторинг и оценка системы внутреннего контроля

МЕ3 Обеспечение соответствия внешним требованиям

ME4 Обеспечение корпоративного управления ИТ

PO6 Информирование о целях и направлениях развития ИТ

PO7 Управление персоналом

4.3.4 Мониторинг и проверка SAM

Цель процесса "Мониторинг и проверка SAM" состоит в обеспечении достижения целей управления SAM

Реализация процесса "Мониторинг и проверка SAM" позволит организации продемонстрировать следующее:

4.3.4.2

ME1 Мониторинг и оценка эффективности ИТ

в организации не реже одного раза в год проводится формальная проверка с целью:

4.3.4.2.a

Уровень 4

Управление программами

3 Компетенция

4 Владение: Подтверждение и проверка лицензий во владение

5 Реализация

ME1 Мониторинг и оценка эффективности ИТ

оценки достижений целей управления SAM и выполнения плана SAM

4.3.4.2.a1

Уровень 4

Управление программами

3 Компетенция

4 Ответственность

5 Реализация

ME1 Мониторинг и оценка эффективности ИТ

подведения итогов работы по всем производственным показателям, установленным в плане SAM и в соглашениях об уровне обслуживания, относящихся к SAM

4.3.4.2.a2

Уровень 4

Управление программами

3 Компетенция

4 Ответственность

5 Реализация

ME2 Мониторинг и оценка системы внутреннего контроля

PO8 Управление качеством

выдачи сводного изложения результатов процесса "Проверка соответствия SAM"

4.3.4.2.a3

Уровень 4

Управление соответствием

3 Компетенция

4 Ответственность

5 Реализация

PO8 Управление качеством

ME3 Обеспечение соответствия внешним требованиям

выдачи на основании вышеизложенного заключения о том, действительно ли:

4.3.4.2.a4

Уровень 4

3 Компетенция

4 Ответственность

5 Реализация

утвержденные руководством политики SAM были эффективно распространены по всей организационной области применения, определенной в контексте настоящего стандарта

4.3.4.2.a4i

Уровень 4

Управление политиками, коммуникацией и обучением

3 Компетенция

4 Ответственность

5 Реализация

PO1 Разработка стратегического плана развития ИТ

PO2.4 Управление целостностью

PO4 Определение ИТ-процессов, организационной структуры и взаимосвязей

PO4.14 Политика и процедуры в отношении привлекаемых специалистов

утвержденные руководством процессы и процедуры SAM были эффективно реализованы во всей организационной области применения, определенной в контексте настоящего стандарта

4.3.4.2.a4ii

Уровень 4

Управление программами, соответствием

3 Компетенция

4 Ответственность

5 Реализация

PO1 Разработка стратегического плана развития ИТ

PO2.4 Управление целостностью

PO4 Определение ИТ процессов, организационной структуры и взаимосвязей

PO4.14 Политика и процедуры в отношении привлекаемых специалистов

краткого изложения любых выявленных исключительных ситуаций и действий, которые может понадобиться выполнить в результате вышеизложенного

4.3.4.2.a5

Уровень 4

Управление программами

3 Компетенция

4 Ответственность

5 Реализация

PO1 Разработка стратегического плана развития ИТ

PO2.4 Управление целостностью

PO4 Определение ИТ-процессов, организационной структуры и взаимосвязей

PO4.14 Политика и процедуры в отношении привлекаемых специалистов

определения возможностей повышения качества обслуживания программного обеспечения и связанных активов

4.3.4.2.a6

Уровень 4

Управление программами

3 Компетенция

4 Ответственность

5 Внедрение

PO1 Разработка стратегического плана развития ИТ

PO1.1 Управление пользой от ИТ

PO1.3 Оценка текущих возможностей и эффективности

PO1.4 Стратегический план ИТ

PO1.5 Тактические планы ИТ

PO3 Определение направления технологического развития

PO4.3 Комитет по управлению ИТ

PO4 Определение ИТ-процессов, организационной структуры и взаимосвязей

определения потребности в пересмотре политик, процессов и процедур в плане обеспечения их постоянной адекватности, полноты и правильности

4.3.4.2.a7

Уровень 4

Управление политиками

3 Компетенция

4 Ответственность

5 Реализация

PO9 Оценка и управление ИТ-рисками

DS9 Управление конфигурацией

владелец процессов SAM формально утверждает итоговые отчет, документы, решения и меры и направляет их копии в правление или эквивалентный орган организации

4.3.4.2.b

Уровень 4

Управление программами

3 Компетенция

4 Ответственность

5 Реализация

PO2 Определение информационной архитектуры

в организации проводится периодическая (не реже одного раза в год) проверка того, развернуты ли программное обеспечение и связанные активы наиболее рентабельным способом и выдаются ли рекомендации по возможным усовершенствованиям

4.3.4.2.c

Уровень 4

Управление программами

3 Компетенция

4 Ответственность

5 Реализация

PO9 Оценка и управление ИТ-рисками

DS9 Управление конфигурацией

4.3.5 Непрерывное совершенствование SAM

Цель процесса "Непрерывное совершенствование SAM" состоит в определении и реализации возможностей
усовершенствования там, где они оправданы, при использовании как программного обеспечения и связанных активов, так и самих процессов SAM

Реализация процесса "Непрерывное совершенствование SAM" позволит организации продемонстрировать следующее:

4.3.5.2

PO2 Определение информационной архитектуры

PO4.1 Методология ИТ-процесса

в организации имеется механизм сбора и учета предложений по совершенствованию SAM, поступающих из всех источников в течение года

4.3.5.2.a

Уровень 4

Управление коммуникацией и обучением

2 Системы

4 Ответственность

PO2 Определение информационной архитектуры

PO4.1 Методология ИТ-процесса

в организации регулярно выполняются оценки, классификации и утверждения для включения предложений по усовершенствованию в планы реализации и совершенствования SAM

4.3.5.2.b

Уровень 4

Управление программами

2 Системы

4 Ответственность

PO2 Определение
Информационной
архитектуры

PO4.1 Методология ИТ-процесса



Продолжение таблицы С.1

4.4 Процесс инвентаризации SAM

Цель процессов инвентаризации SAM состоит в формировании и поддержке всех учетных записей и отчетов по программному обеспечению и связанным активам, а также реализация функционала управления данными, обеспечивающего целостность управления программным обеспечением и связанными активами в других процессах SAM.

Процессы инвентаризации SAM являются основой не только SAM, но и всего управления конфигурациями.

Управление конфигурациями - более широкая категория, чем SAM, так как оно охватывает не только все ИТ-активы (не только программное обеспечение и связанные активы), но активы, не относящиеся к ИТ, а также взаимоотношения между всеми этими активами. В контексте программы, охватывающей весь менеджмент ИТ-услуг, процессы инвентаризации SAM рассматриваются как часть управления конфигурациями

4.4.2 Идентификация программных активов

Цель процесса "Идентификация программных активов" состоит в отборе, группировании и классификации по соответствующим характеристикам необходимых классов активов, обеспечивающих эффективное управление программным обеспечением и связанными активами

Реализация процесса "Идентификация программных активов" позволит организации продемонстрировать следующее:

4.4.2.2

PO2 Определение информационной архитектуры

PO4.1 Методология ИТ-процесса

в организации формально определены типы контролируемых активов и связанная с ними информация, характеризуемые следующими особенностями:

4.4.2.2.a

Уровень 4

1 Политика

4 Ответственность

5 Реализация

DS9 Управление конфигурацией

PO2 Определение информационной архитектуры

AI1 Выбор решений по автоматизации

PO1.5 Тактические планы ИТ

PO5 Управление ИТ-инвестициями

PO9 Оценка и управление ИТ-рисками

управляемые позиции выбраны в соответствии с установленными критериями отбора, сгруппированы, классифицированы и идентифицированы, что обеспечит их управляемость и отслеживаемость на протяжении всего жизненного цикла

4.4.2.2.a1

Уровень 4

Управление идентификацией активов

1 Политика

4 Ответственность

5 Реализация

PO9 Оценка и управление ИТ-рисками

DS5 Обеспечение безопасности систем

DS9.1 Хранилище конфигурационных данных и прототип

к управляемым позициям относятся:

4.4.2.2.a2

Уровень 4

1 Политика

4 Ответственность

5 Реализация

PO9 Оценка и управление ИТ-рисками

все экземпляры устройств или платформ, на которых может устанавливаться или запускаться программное обеспечение

4.4.2.2.a2i

Уровень 4

Управление идентификацией активов

1 Политика

4 Ответственность

5 Внедрение

PO9 Оценка и управление ИТ-рисками

PO10 Управление проектами

DS9 Управление конфигурацией

финальные основные версии и экземпляры для распространения программного обеспечения

4.4.2.2.a2ii

Уровень 4

Управление идентификацией активов

1 Политика

4 Ответственность

5 Реализация

DS9 Управление конфигурацией

сборки и релизы программного обеспечения (финальные основные версии и экземпляры для распространения)

4.4.2.2.a2iii

Уровень 4

Управление идентификацией активов

1 Политика

4 Ответственность

5 Реализация

DS9 Управление конфигурацией

все установленное программное обеспечение

4.4.2.2.a2iv

Уровень 4

Управление идентификацией активов

1 Политика

4 Ответственность

5 Реализация

PO10 Управление проектами

DS9 Управление конфигурацией

версии программного обеспечения

4.4.2.2.a2v

Уровень 4

Управление идентификацией активов, программами

1 Политика

4 Ответственность

5 Реализация

DS9 Управление конфигурацией

методология, в соответствии с которой программное обеспечение идентифицируется в области применения, патчи и обновления

4.4.2.2.a2vi

Уровень 4

Управление идентификацией активов

1 Политика

4 Ответственность

5 Реализация

PO10 Управление проектами

DS9 Управление конфигурацией

патчи и обновления

4.4.2.2.a2vii

Уровень 4

Управление идентификацией активов

1 Политика

4 Ответственность

5 Реализация

DS9 Управление конфигурацией

лицензии, в том числе составляющие лицензии и действующие полные лицензии

4.4.2.2.a2viii

Уровень 4

Управление идентификацией активов, соответствием

1 Политика

4 Ответственность

5 Реализация

AI2 Приобретение и поддержка программных приложений

документы, доказывающие наличие лицензии ("подтверждения лицензии")

4.4.2.2.a2ix

Уровень 4

Управление соответствием, документацией

1 Политика

4 Ответственность

5 Реализация

AI2 Приобретение и поддержка программных приложений

контракты (включая количественные характеристики и условия), имеющие отношение к программным активам, в том числе их бумажные и электронные копии

4.4.2.2.a2x

Уровень 4

Управление соответствием, документацией, закупками

1 Политика

4 Ответственность

5 Реализация

AI2 Приобретение и поддержка программных приложений

физические и электронные хранилища и описи вышеуказанного (в зависимости от обстоятельств)

4.4.2.2.a2xi

Уровень 4

Управление идентификацией активов

1 Политика

4 Ответственность

5 Реализация

PO9 Оценка и управление ИТ-рисками

DS9 Управление конфигурацией

модели лицензирования

4.4.2.2.a2xii

Уровень 4

Управление соответствием

1 Политика

4 Ответственность

5 Реализация

PO9 Оценка и управление ИТ-рисками

PO5 Управление ИТ-инвестициями

управление программным обеспечением осуществляется в организации как по файлам, так и по пакетам, в соответствии с особенностями конкретных продуктов, выпущенных производителями программного обеспечения или разработчиками

4.4.2.2.a3

Уровень 4

Управление идентификацией активов

1 Политика

4 Ответственность

5 Реализация

PO9 Оценка и управление ИТ-рисками

DS12 Управление физической безопасностью и защитой от воздействия окружающей среды

базовая информация для всех активов

4.4.2.2.a4

Уровень 4

Управление идентификацией активов

1 Политика

4 Ответственность

5 Реализация

DS9 Управление конфигурацией

уникальный идентификатор

4.4.2.2.a4i

Уровень 4

Управление идентификацией активов

1 Политика

4 Ответственность

5 Реализация

DS9 Управление конфигурацией

имя/описание

4.4.2.2.а4ii

Уровень 4

Управление идентификацией активов

1 Политика

4 Ответственность

5 Реализация

DS9 Управление конфигурацией

расположение

4.4.2.2.a4iii

Уровень 4

Управление идентификацией активов, программами

1 Политика

4 Ответственность

5 Реализация

DS9 Управление конфигурацией

ответственный (или владелец)

4.4.2.2.a4iv

Уровень 4

Управление идентификацией активов, программами, закупками

1 Политика

4 Ответственность

5 Реализация

DS9 Управление конфигурацией

статус (например, тестовый/производственный, разработка/сборка и т.п.)

4.4.2.2.a4v

Уровень 4

Управление идентификацией активов, программами

1 Политика

4 Ответственность

5 Реализация

DS9 Управление конфигурацией

тип (например, программное обеспечение, аппаратное обеспечение, устройство)

4.4.2.2.a4vi

Уровень 4

Управление идентификацией активов

1 Политика

4 Ответственность

5 Реализация

DS9 Управление конфигурацией

версия (если имеется);

4.4.2.2.a4vii

Уровень 4

Управление идентификацией активов

1 Политика

4 Ответственность

5 Реализация

DS9 Управление конфигурацией

в организации имеется реестр хранилищ и запасов, содержащий сведения о хранимых запасах и типах информации. Дублирование информации такого реестра допускается только в том случае, если дублируемую информацию можно отследить до определенной исходной записи

4.4.2.2.b

Уровень 1

Управление идентификацией активов

Управление документацией

4 Ответственность

5 Реализация

DS9 Управление конфигурацией

DS12 Управление физической безопасностью и защитой от воздействия окружающей среды

4.4.3 Управление инвентаризацией программных активов

Цель процесса "Управление инвентаризацией программных активов" состоит в обеспечении надлежащего хранения физических экземпляров программных активов и учете необходимых данных о характеристиках всех активов и элементов конфигурации на протяжении всего жизненного цикла. Этот процесс также выдает информацию о программных и связанных активах, необходимую для обеспечения эффективности других бизнес-процессов

Реализация процесса "Управление инвентаризацией программных активов" позволит организации продемонстрировать следующее:

4.4.3.2

DS13.4 Важные документы и устройства вывода данных

организацией разработаны, утверждены и выпущены политики и процедуры, относящиеся к управлению и обслуживанию физических/электронных хранилищ, в том числе имеются средства контроля доступа:

4.4.3.2.a

Уровень 1

Управление политиками

Управление коммуникацией и обучением

4 Ответственность

5 Реализация

DS9 Управление конфигурацией

DS13.4 Важные документы и устройства вывода данных

защищающие их от несанкционированного доступа, изменений или повреждений

4.4.3.2.a1

Уровень 1

Управление политиками

4 Ответственность

5 Реализация

PO7.8 Переход на другую работу и увольнение

обеспечивающие аварийное восстановление после отказа

4.4.3.2.a2

Уровень 1

Управление документацией

4 Ответственность

5 Реализация

DS5.3 Управление идентификацией

DS4.1 Методология непрерывности обслуживания ИТ

в организации имеются инвентарные описи:

4.4.3.2.b

Уровень 1

4 Ответственность

5 Реализация

всех экземпляров устройств или платформ, на которых могут устанавливаться или запускаться программные активы

4.4.3.2.b1

Уровень 1

Управление идентификацией активов

4 Ответственность

5 Реализация

DS9 Управление конфигурацией

PO10 Управление проектами

всего разрешенного установленного программного обеспечения с указанием: пакетов и версий (которые могут быть лицензированы или разрешены к развертыванию по отдельности), и статуса обновлений/патчей программного обеспечения по всем платформам, на которых они установлены

4.4.3.2.b2

Уровень 1

Управление идентификацией активов

4 Ответственность

5 Реализация

DS9 Управление конфигурацией

PO10 Управление проектами

имеющихся составляющих лицензий и действующих полных лицензий

4.4.3.2.b3

Уровень 1

Управление идентификацией
активов, документацией

4 Ответственность

5 Реализация

PO9 Оценка и управление ИТ-рисками

DS9 Управление конфигурацией

в организации имеются инвентарные описи и соответствующие физические/электронные хранилища:

4.4.3.2.c

Уровень 1

Управление идентификацией активов

4 Ответственность

5 Реализация

PO9 Оценка и управление ИТ-рисками

DS9 Управление конфигурацией

программного обеспечения (финальных основных версий и экземпляров для распространения)

4.4.3.2.c1

Уровень 1

Управление идентификацией активов

4 Ответственность

5 Реализация

PO9 Оценка и управление ИТ-рисками

DS9 Управление конфигурацией

сборок и релизов программного обеспечения (финальных основных версий и экземпляров для распространения)

4.4.3.2.c2

Уровень 4

Управление идентификацией активов

4 Ответственность

5 Реализация

PO9 Оценка и управление ИТ-рисками

DS9 Управление конфигурацией

контрактов, имеющих отношение к программным активам, как бумажных, так и электронных

4.4.3.2.c3

Уровень 1

Управление идентификацией активов, документацией

4 Ответственность

5 Реализация

PO9 Оценка и управление ИТ-рисками

DS9 Управление конфигурацией

документов, доказывающих наличие лицензии ("подтверждений лицензии")

4.4.3.2.c4

Уровень 1

Управление документацией

4 Ответственность

5 Реализация

PO9 Оценка и управление ИТ-рисками

DS9 Управление конфигурацией

PO5 Управление ИТ-инвестициями

AI1 Выбор решений по автоматизации

AI2 Приобретение и поддержка программных приложений

в организации имеются инвентарные описи или другие четко определенные механизмы анализа или отслеживания количественных показателей, позволяющие определить любое лицензированное использование на базе других критериев, помимо количества установленного программного обеспечения

4.4.3.2.d

Уровень 1

Управление идентификацией активов, программами

5 Реализация

PO9 Оценка и управление ИТ-рисками

PO10 Управление проектами

организацией приняты меры, направленные на обеспечение постоянной доступности источников упомянутых выше инвентарных описей и хранилищ

4.4.3.2.e

Уровень 4

Управление документацией

4 Ответственность

5 Реализация

PO5 Управление ИТ-инвестициями

AI1 Выбор решений по автоматизации

все представленные инвентарные отчеты составлены в соответствии с четкой описательной схемой, в том числе содержат наименование, предназначение и подробные сведения об источнике данных

4.4.3.2.f

Уровень 4

Управление идентификацией активов

4 Ответственность

5 Реализация

PO5 Управление ИТ-инвестициями

AI1 Выбор решений по автоматизации

DS13.4 Важные документы и устройства вывода данных

4.4.4 Контроль программных активов

Цель процесса "Контроль программных активов" состоит в обеспечении механизма контроля программных активов и изменений программного обеспечения и связанных активов в процессе учета изменений статуса и утверждений

Реализация процесса "Контроль программных активов" позволит организации продемонстрировать следующее:

4.4.4.2

организацией ведется журнал учета изменений, внесенных в программное обеспечение и связанные активы, в том числе изменений статуса, расположения, ответственности и версий

4.4.4.2.a

Уровень 4

Управление идентификацией активов, программами

4 Ответственность

5 Реализация

AI7 Внедрение и приемка решений и изменений

AI7.5 Перенос системы и данных

DS9 Управление конфигурацией

организацией разработаны, утверждены и выпущены политики и процедуры для разработки, обслуживания и управления версиями программного обеспечения, образами/сборками и релизами

4.4.4.2.b

Уровень 4

Управление политиками, коммуникацией и обучением

4 Ответственность

PO1 Разработка стратегического плана развития ИТ

PO2.4 Управление целостностью

PO4 Определение ИТ-процессов, организационной структуры и взаимосвязей

PO4.14 Политика и процедуры в отношении привлекаемых специалистов

DS9 Управление конфигурацией

организацией разработаны, утверждены и выпущены политики и процедуры, устанавливающие требования учета базовых показателей соответствующих активов перед выпуском программного обеспечения в производственную среду таким образом, чтобы эти показатели могли использоваться при последующей сверке с фактическим развертыванием

4.4.4.2.c

Уровень 4

Управление политиками, коммуникацией и обучением

4 Ответственность

PO1 Разработка стратегического плана развития ИТ

PO2.4 Управление целостностью

PO4 Определение ИТ-процессов, организационной структуры и взаимосвязей

PO4.14 Политика и процедуры в отношении привлекаемых специалистов

DS9 Управление конфигурацией



Продолжение таблицы С.1

4.5 Процессы проверки правильности и соблюдения соответствия SAM

Цель процессов проверки правильности и соблюдения соответствия SAM состоит в выявлении и контролировании всех исключительных ситуаций политик, процессов и процедур SAM, включая использование лицензионных прав.

Процессы проверки правильности и соблюдения соответствия SAM имеют важную функциональную значимость для организации. Фактически они являются процессами самоаудита и самооценки, т.е. проводятся организацией самостоятельно, без привлечения сторонних аудиторских организаций (хотя и имеют с аудиторскими процессами общие черты). С целью обеспечения надлежащего функционирования всего процесса SAM и любых основанных на них процессов менеджмента ИТ-услуг процессы проверки правильности и соблюдения соответствия SAM должны выполняться на регулярной основе

4.5.2 Проверка правильности записей о программных активах

Цель процесса "Проверка правильности записей о программных активах" состоит в обеспечении того, что записи точно и полно отражают то, что они должны учитывать, и, с другой стороны, что учтенная информация не изменяется без согласования

Реализация процесса "Проверка правильности записей о программных активах" позволит организации продемонстрировать следующее:

4.5.2.2

PO1 Разработка стратегического плана развития ИТ

PO3 Определение направления технологического развития

PO10 Управление проектами

DS9 Управление конфигурацией

ME2 Мониторинг и оценка системы внутреннего контроля

организацией разработаны, утверждены и выпущены процедуры для процесса проверки записи о программных активах, характеризуемые следующими особенностями:

4.5.2.2.a

Уровень 1

Управление программами, соответствием

4 Ответственность

5 Внедрение

PO1 Разработка стратегического плана развития ИТ

PO2.4 Управление целостностью

PO4 Определение ИТ-процессов, организационной структуры и взаимосвязей

PO4.14 Политика и процедуры в отношении привлекаемых специалистов

при любом определении или изменении области применения проверяется допустимость этой области применения посредством анализа контракта и истории закупок, с целью обеспечения соответствия организационных целей и областей применения программного обеспечения бизнес-требованиям

4.5.2.2.a1

Уровень 1

Управление программами

Управление соответствием

4 Ответственность

5 Реализация

PO1 Разработка стратегического плана развития ИТ

PO2.4 Управление целостностью

PO4 Определение ИТ-процессов, организационной структуры и взаимосвязей

PO4.14 Политика и процедуры в отношении привлекаемых специалистов

не реже одного раза в квартал проводится сверка того, что установлено на каждом экземпляре устройства или платформы, с тем, что было разрешено для установки, включая выпуск отчетов об исключительных ситуациях, выявленных по результатам текущей сверки, и об изменениях, внесенных со времени предыдущей сверки

4.5.2.2.a2

Уровень 1

Управление программами, соответствием, идентификацией активов

4 Ответственность

5 Реализация

DS9 Управление конфигурацией

ME2 Мониторинг и оценка системы внутреннего контроля

PO9 Оценка и управление ИТ-рисками

PO10 Управление проектами

не реже одного раза в 6 мес проверяется инвентарная опись аппаратного обеспечения (а также его размещения), в том числе выпускаются отчеты о выявленных исключительных ситуациях

4.5.2.2.a3

Уровень 1

Управление программами, соответствием, идентификацией активов

4 Ответственность

5 Реализация

DS9 Управление конфигурацией

ME2 Мониторинг и оценка системы внутреннего контроля

PO5 Управление ИТ инвестициями

AI1 Выбор решений по автоматизации

DS13.4 Важные документы и устройства вывода данных

не реже одного раза в 6 мес проверяется инвентарная опись программ (финальных основных версий и экземпляров для распространения), в том числе выпускаются отчеты о выявленных исключительных ситуациях

4.5.2.2.a4

Уровень 4

Управление идентификацией активов

4 Ответственность

5 Реализация

AI2 Приобретение и поддержка программных приложений

DS9 Управление конфигурацией

ME2 Мониторинг и оценка системы внутреннего контроля

PO5 Управление ИТ-инвестициями

AI1 Выбор решений по автоматизации

DS13.4 Важные документы и устройства вывода данных

не реже одного раза в 6 мес проверяется инвентарная опись программных сборок (оригиналов и экземпляров для распространения), в том числе выпускаются отчеты о выявленных исключительных ситуациях

4.5.2.2.a5

Уровень 4

Управление идентификацией активов

4 Ответственность

5 Реализация

AI2 Приобретение и поддержка программных приложений

DS9 Управление конфигурацией

ME2 Мониторинг и оценка системы внутреннего контроля

не реже одного раза в год проверяется физическое хранилище документов, доказывающих наличие лицензии ("подтверждений лицензии") (включая проверку документации на аутентичность), в том числе выпускаются отчеты о выявленных исключительных ситуациях

4.5.2.2.a6

Уровень 4

Управление документацией

4 Ответственность

5 Реализация

PO9 Оценка и управление ИТ-рисками

DS9 Управление конфигурацией

не реже одного раза в год пересматриваются основания и расчеты по действующим лицензиям из составляющих лицензий, с целью подтверждения наличия необходимых составляющих лицензий и исключения дублирования учета

4.5.2.2.a7

Уровень 4

Управление соответствием, закупками

4 Ответственность

5 Реализация

PO9 Оценка и управление ИТ-рисками

DS9 Управление конфигурацией

не реже одного раза в год осуществляется проверка целостности физического хранилища контрактной документации, имеющей отношение к программному обеспечению), в том числе выпускаются отчеты о выявленных исключительных ситуациях

4.5.2.2.a8

Уровень 1

Управление документацией

4 Ответственность

5 Реализация

PO9 Оценка и управление ИТ-рисками

DS9 Управление конфигурацией

не реже одного раза в год проверяется инвентарная опись контрактов, в том числе выпускаются отчеты о выявленных исключительных ситуациях

4.5.2.2.a9

Уровень 1

Управление документацией, идентификацией активов

4 Ответственность

5 Реализация

PO5 Управление ИТ-инвестициями

AI1 Выбор решений по автоматизации

DS13.4 Важные документы и устройства вывода данных

PO5 Управление ИТ-инвестициями

AI1 Выбор решений по автоматизации

DS13.4 Важные документы и устройства вывода данных

проводится периодическая проверка прошлых счетов-фактур с целью выявления неверно оформленных счетов и переплат

4.5.2.2.а10

Уровень 2

Финансовое управление

4 Ответственность

5 Реализация

ME2 Мониторинг и оценка системы внутреннего контроля

ME3 Обеспечение соответствия внешним требованиям

DS2 Управление услугами сторонних организаций

при выявлении любых расхождений или возникновении описанных выше проблем выполняются и документируются последующие корректирующие действия

4.5.2.2.a11

Уровни 1-4

Управление программами

4 Ответственность

5 Реализация

DS5 Обеспечение безопасности систем

DS10 Управление проблемами

ME3.4 Положительное заключение о соответствии

4.5.3 Проверка соответствия лицензирования программного обеспечения

Цель процесса "Проверка соответствия лицензирования программного обеспечения" состоит в обеспечении надлежащего лицензирования и использования в соответствии с условиями лицензии всей интеллектуальной собственности, имеющей отношение к программному обеспечению и связанным активам, используемой организацией, однако принадлежащей другим сторонам

Реализация процесса "Проверка соответствия лицензирования программного обеспечения" позволит организации продемонстрировать следующее:

4.5.3.2

PO1 Разработка стратегического плана развития ИТ

PO3 Определение направления технологического развития

PO10 Управление проектами

организацией разработаны, утверждены и выпущены процедуры для процесса "Проверка соответствия лицензирования программного обеспечения", характеризуемые следующими особенностями:

4.5.3.2.a

Уровень 1

4 Ответственность

5 Реализация

PO1 Разработка стратегического плана развития ИТ

PO2.4 Управление целостностью

PO4 Определение ИТ-процессов, организационной структуры и взаимосвязей

PO4.14 Политика и процедуры в отношении привлекаемых специалистов

не реже одного раза в квартал проводится сверка действующих приобретенных лицензий и лицензий, требуемых для используемого программного обеспечения, с учетом определения лицензионных требований в соответствии с условиями лицензии

4.5.3.2.a1

Уровень 1

Управление соответствием, идентификацией активов

4 Ответственность

5 Реализация

PO9 Оценка и управление ИТ-рисками

DS9 Управление конфигурацией

расхождения, выявленные в ходе этой сверки, немедленно регистрируются, анализируются и определяется их первопричина

4.5.3.2.a2

Уровень 1

Управление соответствием, идентификацией активов

4 Ответственность

5 Реализация

DS10 Управление проблемами

PO4.8 Ответственность за риск, безопасность и соответствие требованиям

устанавливается очередность исполнения и принимаются корректирующие меры

4.5.3.2.a3

Уровень 1

Управление программами, идентификацией активов

4 Ответственность

5 Реализация

PO4.8 Ответственность за риск, безопасность и соответствие требованиям

4.5.4 Проверка соответствия требованиям безопасности программных активов

Цель процесса "Проверка соответствия требованиям безопасности программных активов" состоит в обеспечении требований к безопасности, имеющих отношение к использованию программного обеспечения и связанных активов

Реализация процесса "Проверка соответствия требованиям безопасности программных активов" позволит организации продемонстрировать следующее:

4.5.4.2

PO1 Разработка стратегического плана развития ИТ

PO3 Определение направления технологического развития

PO10 Управление проектами

DS5 Обеспечение безопасности систем

в организации не реже одного раза в год производится анализ фактической практики с целью выявления исключительных ситуаций в политике безопасности. В ходе этой проверки должен проводиться анализ средств контроля доступа к финальным основным версиям и экземплярам для распространения программного обеспечения, а также прав на установку и/или использование, указанных пользователем или группой пользователей

4.5.4.2.a

Уровень 3

Управление политиками

4 Ответственность

7 Безопасность: соблюдение требований безопасности

PO9 Оценка и управление ИТ-рисками

DS9 Управление конфигурацией

в организации принимаются документированные меры по любым выявленным при таком анализе расхождениям

4.5.4.2.b

Уровень 4

Управление политиками, программами

4 Ответственность

7 Безопасность

PO4.8 Ответственность за риск, безопасность и соответствие требованиям

4.5.5 Проверка соответствия SAM

Цель процесса "Проверка соответствия SAM" состоит в обеспечении постоянного соответствия требованиям настоящего стандарта, в том числе соответствия необходимым политикам и процедурам

Реализация процесса "Проверка соответствия SAM" позволит организации продемонстрировать следующее:

4.5.5.2

PO1 Разработка стратегического плана развития ИТ

PO3 Определение направления технологического развития

PO10 Управление проектами

ME2 Мониторинг и оценка системы внутреннего контроля

ME3 Обеспечение соответствия внешним требованиям

организацией разработаны, утверждены и выпущены политики и процедуры для проверки соответствия данному уровню(ям) настоящего стандарта, обеспечивающие такую проверку не реже одного раза в год на основе выборки всех требований, оговоренных для соответствующего уровня(ей) настоящего стандарта. В частности, выполняется проверка того, что процедуры, реализованные организацией для других процессов SAM, удовлетворяют всем требованиям, оговоренным в данном стандарте для таких процедур

4.5.5.2.a

Уровни 1-4

Управление соответствием, политиками, коммуникацией и обучением

1 Политика

ME2 Мониторинг и оценка системы внутреннего контроля

ME3 Обеспечение соответствия внешним требованиям

PO1 Разработка стратегического плана развития ИТ

PO2.4 Управление целостностью

PO4 Определение ИТ-процессов, организационной структуры и взаимосвязей

PO4.14 Политика и процедуры в отношении привлекаемых специалистов

в организации имеются письменные подтверждения: выполнения указанных выше процедур проверки и выполнения последующих корректирующих мер вплоть до успешного устранения причин всех выявленных исключительных ситуаций

4.5.5.2.b

Уровни 1-4

Управление соответствием, документацией

1 Политика

ME2 Мониторинг и оценка системы внутреннего контроля

ME3 Обеспечение соответствия внешним требованиям

PO4.8 Ответственность за риск, безопасность и соответствие требованиям



Продолжение таблицы С.1

4.6 Процессы и интерфейсы управления операциями SAM

Цель процессов и интерфейсов управления операциями SAM состоит в выполнении функций операционного управления, необходимых для достижения общих целей и преимуществ SAM

4.6.2 Управление отношениями и контрактами SAM

Цель процесса "Управление отношениями и контрактами SAM" состоит в управлении отношениями с другими как внешними, так и внутренними организациями, предоставлении непрерывных качественных услуг SAM и управлении всеми контрактами на поставку и обслуживание программного обеспечения и связанных с ним активов и услуг

Реализация процесса "Управление отношениями и контрактами SAM" позволит организации продемонстрировать следующее:

4.6.2.2

PO1 Разработка стратегического плана развития ИТ

PO3 Определение направления технологического развития

PO10 Управление проектами

организацией разработаны, утверждены и выпущены политики и процедуры для управления отношениями с поставщиками, поставляющими программное обеспечение и связанные с ним активы и услуги, характеризуемые следующими особенностями:

4.6.2.2.a

Уровень 3

Управление поставщиками

8 Операционное управление: процессы управления операциями SAM

AI5 Поставки ИТ ресурсов

PO1 Разработка стратегического плана развития ИТ

PO2.4 Управление целостностью

PO4 Определение ИТ-процессов, организационной структуры и взаимосвязей

PO4.14 Политика и процедуры в отношении привлекаемых специалистов

определены обязанности конкретных назначенных лиц по управлению поставщиками, с целью получения полной картины ответственностей по управлению каждым поставщиком

4.6.2.2.a1

Уровень 3

Управление поставщиками

8 Операционное управление

AI5 Поставки ИТ-ресурсов

PO2 Определение информационной архитектуры

PO3 Определение направления технологического развития

PO4 Определение ИТ-процессов, организационной структуры и взаимосвязей

AI1 Выбор решений по автоматизации

AI5 Поставки ИТ-ресурсов

DS2 Управление услугами сторонних организаций

разрабатываются приглашения на участие в тендерах на поставку программного обеспечения или связанных услуг, с целью обеспечения учета процессом требований к SAM, в том числе требований к управлению уровнями обслуживания, средствам контроля безопасности, управлению версиями и изменениями

4.6.2.2.a2

Уровень 3

Управление закупками, соответствием, программами

8 Операционное управление

DS2 Управление услугами сторонних организаций

выпускаются официальные отчеты (не реже одного раза в 6 мес) о работе поставщиков, их достижениях и проблемах с документально зафиксированными выводами и решениями о принятии любых необходимых мер

4.6.2.2.a3

Уровень 3

Управление поставщиками

8 Операционное управление

DS2 Управление услугами сторонних организаций

организацией разработаны, утверждены и выпущены политики и процедуры для управления отношениями на стороне клиентов, в частности, включающие:

4.6.2.2.b

Уровень 4

8 Операционное управление

PO1 Разработка стратегического плана развития ИТ

PO2.4 Управление целостностью

PO4 Определение ИТ-процессов, организационной структуры и взаимосвязей

PO4.14 Политика и процедуры в отношении привлекаемых специалистов

определения обязанностей по управлению деловыми отношениями на стороне клиентов в отношении программного обеспечения и связанных с ним активов и услуг

4.6.2.2.b1

Уровень 4

Управление закупками, поставщиками

8 Операционное управление

DS1 Определение и управление уровнем обслуживания

PO8 Управление качеством

формальный анализ (проводимый не реже одного раза в год) текущих и будущих программных требований клиентов и организации в целом

4.6.2.2.b2

Уровень 4

Управление программами

8 Операционное управление

DS1 Определение и управление уровнем обслуживания

PO8 Управление качеством

PO9 Оценка и управление ИТ-рисками

DS9 Управление конфигурацией

формальный анализ (проводимый не реже одного раза в год) показателей эффективности работы поставщиков, степени удовлетворенности клиентов, достижений и проблем с документально зафиксированными выводами и решениями о принятии любых необходимых мер

4.6.2.2.b3

Уровень 4

Управление поставщиками, программами

8 Операционное управление

DS1 Определение и управление уровнем обслуживания

PO8 Управление качеством

ME1 Мониторинг и оценка эффективности ИТ

PO9 Оценка и управление ИТ-рисками

DS9 Управление конфигурацией

организацией разработаны, утверждены и выпущены политики и процедуры для управления контрактами, в частности, предусматривающие:

4.6.2.2.c

Уровень 3

8 Операционное управление

непрерывную регистрацию в системе управления контрактами, сведений о контрактах по мере их подписания

4.6.2.2.c1

Уровень 3

Управление закупками, соответствием, политиками, поставщиками

8 Операционное управление

DS2 Управление услугами сторонних организаций

надежное хранение экземпляров всей подписанной контрактной документации, а также всех их копий, в системе управления документами

4.6.2.2.c2

Уровень 3

Управление документацией

8 Операционное управление

DS2 Управление услугами сторонних организаций

документированный анализ (не реже одного раза в 6 мес, а также перед истечением срока действия) всех контрактов на поставку и обслуживание программного обеспечения и связанных активов и услуг с документально зафиксированными выводами и решениями о принятии любых необходимых мер

4.6.2.2.c3

Уровень 3

Управление соответствием, поставщиками

8 Операционное управление

ME2 Мониторинг и оценка системы внутреннего контроля

4.6.3 Финансовое управление SAM

Целью процесса "Финансовое управление SAM" является планирование и учет программного обеспечения и связанных активов и обеспечение быстрой доступности информации для оформления финансовой отчетности, налогового планирования и проведения расчетов, например, совокупной стоимости владения и доходов от инвестиций

Реализация процесса "Финансовое управление SAM" позволит организации продемонстрировать следующее:

4.6.3.2

PO1 Разработка стратегического плана развития ИТ

PO3 Определение направления технологического развития

PO10 Управление проектами

PO5 Управление ИТ-инвестициями

организация согласовала с соответствующими сторонами и документировала по типам активов определения финансовой информации, относящейся к управлению программным обеспечением и связанными активами

4.6.3.2.a

Уровень 3

Финансовое управление

Управление программами

8 Операционное управление

PO5 Управление ИТ-инвестициями

AI1 Выбор решений по автоматизации

DS6 Определение и распределение затрат

организацией разработаны официальные бюджеты на приобретение программных активов (внешних или внутренних) и определены связанные затраты на поддержку и обслуживание инфраструктуры

4.6.3.2.b

Уровень 3

Управление программами

Финансовое управление

8 Операционное управление

PO5 Управление ИТ инвестициями

DS6 Определение и распределение затрат

организацией учтены в бюджете фактические расходы на программные активы и затраты на поддержку и обслуживание инфраструктуры

4.6.3.2.c

Уровень 3

Управление программами, финансовое управление

6 Оптимизация затрат

8 Операционное управление

PO5 Управление ИТ-инвестициями

DS6 Определение и распределение затрат

в организации имеются средства оперативного доступа к четко документированной финансовой информации о стоимости программных активов (в том числе к данным о первоначальной и амортизированной стоимости)

4.6.3.2.d

Уровень 3

Управление документацией

6 Оптимизация затрат

8 Операционное управление

DS6 Определение и распределение затрат

в организации проводится формально документированная сверка (не реже одного раза в квартал) фактических расходов с бюджетными показателями с документально зафиксированными выводами и решениями о принятии любых необходимых мер

4.6.3.2.e

Уровень 3

Финансовое управление

8 Операционное управление

PO5 Управление ИТ-инвестициями

в организации проводится оптимизационный анализ лицензий, заключающийся в анализе рентабельности затрат на лицензирование, по результатам которого выдаются рекомендации по улучшению

4.6.3.2.f

Уровень 3

Управление идентификацией активов

Управление программами

6 Оптимизация затрат

PO2 Определение информационной архитектуры

PO4.1 Методология ИТ-процесса

4.6.4 Управление уровнями обслуживания SAM

Цель процесса "Управление уровнями обслуживания SAM" состоит в определении, регистрировании и управлении уровнями обслуживания, имеющими отношение к SAM

Реализация процесса "Управление уровнями обслуживания SAM" позволит организации продемонстрировать следующее:

4.6.4.2

DS1 Определение и управление уровнем обслуживания

PO1 Разработка стратегического плана развития ИТ

PO3 Определение направления технологического развития

PO10 Управление проектами

для услуг, предоставляемых в рамках SAM, организацией разработаны и утверждены соглашения об уровне обслуживания и вспомогательные соглашения. В таких соглашениях об уровне обслуживания оговариваются:

4.6.4.2.a

Уровень 3

8 Процессы управления операциями SAM

PO1 Разработка стратегического плана развития ИТ

PO1.1 Управление пользой от ИТ

определенные и согласованные с соответствующими сторонами услуги, относящиеся к приобретению, установке, перемещению и изменению программных и связанных активов (вместе с целевыми показателями уровня обслуживания и характеристиками рабочей нагрузки)

4.6.4.2.a1

Уровень 3

Управление закупками, программами

8 Процессы управления операциями SAM

AI6 Управление внесением изменений

PO9 Оценка и управление ИТ-рисками

PO10 Управление проектами

обязательства и обязанности потребителей и пользователей в отношении SAM, или на них дается ссылка

4.6.4.2.a2

Уровень 3

Управление программами

8 Процессы управления операциями SAM

DS1 Определение и управление уровнем обслуживания

PO1 Разработка стратегического плана развития ИТ

PO1.1 Управление пользой от ИТ

регулярно (не реже одного раза в квартал) в организации оцениваются фактические рабочие нагрузки и уровни обслуживания в сравнении с целевыми показателями и документируются причины несоответствия целевым показателям SAM

4.6.4.2.b

Уровень 3

Управление программами, соответствием

8 Процессы управления операциями SAM

PO7 Управление персоналом

ME1 Мониторинг и оценка эффективности ИТ

соответствующими сторонами проводится регулярный (не реже одного раза в квартал) анализ показателей и их сравнение с уровнями обслуживания SAM с документально зафиксированными выводами и решениями о принятии любых необходимых мер

4.6.4.2.c

Уровень 3

Управление программами, соответствием, поставщиками

8 Процессы управления операциями SAM

DS1 Определение и управление уровнем обслуживания

ME1 Мониторинг и оценка эффективности ИТ

4.6.5 Управление безопасностью SAM

Цель процесса "Управление безопасностью SAM" состоит в эффективном управлении безопасностью информации в рамках всех операций SAM и обеспечение требований к согласованиям, касающихся SAM

Реализация процесса "Управление безопасностью SAM" позволит организации продемонстрировать следующее:

4.6.5.2

PO1 Разработка стратегического плана развития ИТ

PO3 Определение направления технологического развития

PO10 Управление проектами

DS5 Обеспечение безопасности систем

организацией разработана и утверждена формальная политика безопасности/
ограничения доступа ко всем ресурсам SAM, в том числе к физическим и/или электронным хранилищам программного обеспечения, сборок и релизов программного обеспечения

4.6.5.2.a3

Уровень 4

Управление политиками

8 Процессы управления операциями SAM

PO2.3 Схема классификации данных

DS5.3 Управление идентификацией

организацией определены физические и логические средства контроля доступа с целью обеспечения требований политик SAM

4.6.5.2.b

Уровень 4

Управление политиками

8 Процессы управления операциями SAM

PO2.3 Схема классификации данных

DS5.3 Управление идентификацией

организация имеет документальные подтверждения практического внедрения этих средств контроля доступа

4.6.5.2.c

Уровень 4

Управление коммуникацией и обучением политикам

8 Процессы управления операциями SAM

PO2.3 Схема классификации данных

DS5.3 Управление идентификацией



Продолжение таблицы С.1

4.7 Интерфейсы процессов жизненного цикла SAM

Интерфейсы процессов жизненного цикла SAM в целом соответствуют основным процессам жизненного цикла ИСО/МЭК 12207 в применении к SAM, а также ИСО/МЭК 20000. В настоящем стандарте определяются требования SAM к таким процессам жизненного цикла

4.7.2 Процесс управления изменениями

Цель процесса управления изменениями применительно к программному обеспечению и связанным активам состоит в обеспечении того, чтобы все изменения, оказывающие влияние нa SAM, были оценены, одобрены, реализованы и проанализированы управляемым способом и удовлетворяли всем требованиям ведения учета

Реализация процесса управления изменениями позволит организации продемонстрировать следующее:

4.7.2.2

AI6 Управление внесением изменений

PO1 Разработка стратегического плана развития ИТ

PO3 Определение направления технологического развития

PO10 Управление проектами

в организации имеется формальный процесс управления изменениями, характеризуемый следующими особенностями:

4.7.2.2.a

Уровень 4

1 Политика

2 Создание системы управления

3 Компетенция

4 Ответственность

5 Реализация

9 Процессы и интерфейсы жизненного цикла

AI2.9 Управление требованиями к приложениям

AI3.3 Обслуживание инфраструктуры

AI6.1 Стандарты и процедуры изменений

идентифицируются и регистрируются все запросы на внесение изменений, оказывающих влияние на программное обеспечение или связанные активы, услуги или процессы SAM

4.7.2.2.a1

Уровень 4

Управление программами

1 Политика

2 Создание системы управления

3 Компетенция

4 Ответственность

5 Реализация

9 Жизненный цикл

AI2.9 Управление требованиями к приложениям

AI3.3 Обслуживание инфраструктуры

AI6.1 Стандарты и процедуры изменений

запросы на внесение изменений, оказывающих влияние на программное обеспечение или связанные активы, услуги или процессы SAM, оцениваются на предмет их возможного воздействия, классифицируются и утверждаются ответственным руководством

4.7.2.2.a2

Уровень 4

Управление программами

1 Политика

2 Создание системы управления

3 Компетенция

4 Ответственность

5 Внедрение

9 Жизненный цикл

AI2.9 Управление требованиями к приложениям

AI3.3 Обслуживание инфраструктуры

AI6.1 Изменение стандартов и процедур

процесс реализации утвержденного запроса на внесение изменений выполняется только при условии получения утверждения

4.7.2.2.a3

Уровень 4

Управление программами, проектами

1 Политика

2 Создание системы управления

3 Компетенция

4 Ответственность

5 Реализация

9 Жизненный цикл

AI2.9 Управление требованиями к приложениям

AI3.3 Обслуживание инфраструктуры

AI6.1 Стандарты и процедуры изменений

регистрируются все изменения, оказывающие влияние на программное обеспечение или связанные активы, услуги или процессы SAM

4.7.2.2.a4

Уровень 4

Управление программами, проектами

1 Политика

2 Создание системы управления

3 Компетенция

4 Ответственность

5 Реализация

9 Жизненный цикл

AI2.9 Управление требованиями к приложениям

AI3.3 Обслуживание инфраструктуры

AI6.1 Стандарты и процедуры изменений

регистрируются и периодически анализируются успешные или неуспешные попытки таких изменений

4.7.2.2.a5

Уровень 4

Управление программами

1 Политика

2 Создание системы управления

3 Компетенция

4 Ответственность

5 Реализация

9 Жизненный цикл

AI2.9 Управление требованиями к приложениям

AI3.3 Обслуживание инфраструктуры

AI6.1 Стандарты и процедуры изменений

4.7.3 Процесс закупок

Цель процесса закупок состоит в обеспечении контролируемого приобретения программного обеспечения и связанных активов и их надлежащем учете

Реализация процесса закупок позволит организации продемонстрировать следующее:

4.7.3.2

организацией определены стандартные архитектуры предоставления программных услуг, а также критерии отклонения от таких стандартов

4.7.3.2.a

Уровень 3

Управление закупками,
программами

4 Ответственность

6 Оптимизация затрат

PO2 Определение информационной архитектуры

PO3 Определение направления технологического развития

организацией определены стандартные конфигурации программного обеспечения, а также критерии отклонения от таких стандартов

4.7.3.2.b

Уровень 3

Управление программами

4 Ответственность

6 Оптимизация затрат

PO2 Определение информационной архитектуры

PO3 Определение направления технологического развития

DS9 Управление конфигурацией

организацией разработаны, надлежащим образом утверждены и выпущены политики и процедуры для подачи заявок и заказа программных и связанных активов, в том числе:

4.7.3.2.c

Уровень 3

4 Ответственность

6 Оптимизация затрат

способ указания требований

4.7.3.2.c1

Уровень 3

Управление закупками, политиками

4 Ответственность

6 Оптимизация затрат

PO1 Разработка стратегического плана развития ИТ

PO2.4 Управление целостностью

PO4 Определение ИТ-процессов, организационной структуры и взаимосвязей

PO4.14 Политика и процедуры в отношении привлекаемых специалистов

необходимые утверждения руководства и технические согласования

4.7.3.2.c2

Уровень 3

Управление закупками

Управление политиками

4 Ответственность

6 Оптимизация затрат

PO1 Разработка стратегического плана развития ИТ

PO2.4 Управление целостностью

PO4 Определение ИТ-процессов, организационной структуры и взаимосвязей

PO4.14 Политика и процедуры в отношении привлекаемых специалистов

использование и/или повторное развертывание существующих лицензий (при их наличии)

4.7.3.2.c3

Уровень 3

Управление закупками

4 Ответственность

6 Оптимизация затрат

PO1 Разработка стратегического плана развития ИТ

PO2.4 Управление целостностью

PO4 Определение ИТ-процессов, организационной структуры и взаимосвязей

PO4.14 Политика и процедуры в отношении привлекаемых специалистов

учет требований к будущим закупкам в тех случаях, когда программное обеспечение может быть развернуто до оформления отчетности и совершения оплаты

4.7.3.2.c4

Уровень 3

Управление закупками

4 Ответственность

6 Оптимизация затрат

PO1 Разработка стратегического плана развития ИТ

PO2.4 Управление целостностью

PO4 Определение ИТ-процессов, организационной структуры и взаимосвязей

PO4.14 Политика и процедуры в отношении привлекаемых специалистов

организацией разработаны, надлежащим образом утверждены и выпущены политики и процедуры для обработки доходов, имеющих отношение к программному обеспечению и связанным активам, в том числе:

4.7.3.2.d

Уровень 3

4 Ответственность

6 Оптимизация затрат

PO1 Разработка стратегического плана развития ИТ

PO2.4 Управление целостностью

PO4 Определение ИТ-процессов, организационной структуры и взаимосвязей

PO4.14 Политика и процедуры в отношении привлекаемых специалистов

политики и процедуры обработки счетов, включая сверку с заказами, и сохранения копий для управления лицензиями

4.7.3.2.d1

Уровень 3

Управление идентификацией активов, финансовое управление

4 Ответственность

6 Оптимизация затрат

PO9 Оценка и управление ИТ-рисками

DS5 Обеспечение безопасности систем

DS9.1 Хранилище конфигурационных данных и прототип

политики и процедуры обеспечения получения и надежного хранения подтверждений лицензии по всем приобретенным лицензиям,

4.7.3.2.d2

Уровень 3

Управление закупками, документацией

4 Ответственность

6 Оптимизация затрат

обработка поступающих носителей, в том числе проверка, учет и надлежащее хранение содержимого (физических носителей и электронных копий)

4.7.3.2.d3

Уровень 3

Управление идентификацией активов

4 Ответственность

6 Оптимизация затрат

PO9 Оценка и управление ИТ рисками

DS5 Обеспечение безопасности систем

DS9.1 Хранилище конфигурационных данных и прототип

4.7.4 Процесс разработки программного обеспечения

Цель процесса разработки программного обеспечения состоит в обеспечении разработки программного обеспечения с учетом требований SAM

Реализация процесса разработки программного обеспечения позволит организации продемонстрировать следующее:

4.7.4.2

PO1 Разработка стратегического плана развития ИТ

PO3 Определение направления технологического развития

PO10 Управление проектами

в организации имеется формальный процесс разработки программного обеспечения, обеспечивающий учет:

4.7.4.2.a

Уровень 4

6 Оптимизация затрат

9 Жизненный цикл

AI2 Приобретение и поддержка программных приложений

PO2 Определение информационной архитектуры

стандартных архитектур и стандартных конфигураций

4.7.4.2.a1

Уровень 4

Управление программами

6 Оптимизация затрат

9 Жизненный цикл

PO3 Определение направления технологического развития

PO2 Определение информационной архитектуры

лицензионных ограничений и зависимостей

4.7.4.2.a2

Уровень 4

Управление соответствием

6 Оптимизация затрат

9 Жизненный цикл

PO2 Определение информационной архитектуры

в организации имеется формальный процесс разработки программного обеспечения, в соответствии с которым программные продукты проходят программный контроль до того, как будут внедрены в производственную среду

4.7.4.2.b

Уровень 4

Управление программами, идентификацией активов

6 Оптимизация затрат

9 Жизненный цикл

AI2 Приобретение и поддержка программных приложений

PO9 Оценка и управление ИТ-рисками

DS5 Обеспечение безопасности систем

DS9.1 Хранилище конфигурационных данных и прототип

4.7.5 Процесс управления релизами программного обеспечения

Цель процесса управления релизами программного обеспечения состоит в обеспечении планирования и выпуске релизов программного обеспечения и связанных активов с учетом требований SAM

Реализация процесса управления релизами программного обеспечения позволит организации продемонстрировать следующее:

4.7.5.2

AI2 Приобретение и поддержка программных приложений

PO1 Разработка стратегического плана развития ИТ

PO3 Определение направления технологического развития

PO10 Управление проектами

в организации имеется формальный процесс управления релизами программного обеспечения, характеризуемый следующими особенностями:

4.7.5.2.a

Уровень 4

9 Жизненный цикл

использование контролируемой среды приемки для создания и тестирования всех предлагаемых релизов, включая патчи, до релиза

4.7.5.2.a1

Уровень 4

Управление закупками

9 Жизненный цикл

AI2 Приобретение и поддержка программных приложений

PO1 Разработка стратегического плана развития ИТ

PO2.4 Управление целостностью

PO4 Определение ИТ-процессов, организационной структуры и взаимосвязей

PO4.14 Политика и процедуры в отношении привлекаемых специалистов

периодичность и тип релизов, в том числе периодичность выпусков патчей безопасности, планируются и согласовываются с бизнесом и клиентами

4.7.5.2.a2

Уровень 4

9 Жизненный цикл

AI6 Управление внесением изменений

AI7 Внедрение и приемка решений и изменений

DS9 Управление конфигурацией

плановые даты релизов и получаемые результаты регистрируются со ссылкой на связанные запросы на внесение изменений и проблемы и передаются в процесс управления инцидентами

4.7.5.2.a3

Уровень 4

9 Жизненный цикл

AI6 Управление внесением изменений

AI7 Внедрение и приемка решений и изменений

DS9 Управление конфигурацией

релизы программного обеспечения и связанных активов утверждаются ответственным руководством

4.7.5.2.a4

Уровень 4

9 Жизненный цикл

AI6 Управление внесением изменений

AI7 Внедрение и приемка решений и изменений

DS9 Управление конфигурацией

успешные или неуспешные релизы регистрируются и периодически анализируются

4.7.5.2.a5

Уровень 4

9 Жизненный цикл

AI6 Управление внесением изменений

AI7 Внедрение и приемка решений и изменений

DS9 Управление конфигурацией

4.7.6 Процесс развертывания программного обеспечения

Цель процесса развертывания программного обеспечения применительно к SAM и связанным активам состоит в обеспечении развертывания и повторного развертывания программного обеспечения с учетом требований SAM

Реализация процесса развертывания программного обеспечения позволит организации продемонстрировать следующее:

4.7.6.2

PO1 Разработка стратегического плана развития ИТ

POЗ Определение направления технологического развития

PO10 Управление проектами

организацией разработаны, утверждены и выпущены политики и процедуры для развертывания программного обеспечения, характеризуемые следующими особенностями:

4.7.6.2.a

Уровень 3

5 Реализация

9 Жизненный цикл

PO1 Разработка стратегического плана развития ИТ

PO2.4 Управление целостностью

PO4 Определение ИТ-процессов, организационной структуры и взаимосвязей

PO4.14 Политика и процедуры в отношении привлекаемых специалистов

любой новый экземпляр для распространения программного обеспечения и связанных активов утверждается ответственным руководством

4.7.6.2.a1

Уровень 3

Управление закупками

5 Реализация

9 Жизненный цикл

POЗ.2 План технологической инфраструктуры

PO8 Управление качеством

для любого развертывания существует процедура отката или метод исправления, если развертывание окажется неуспешным

4.7.6.2.a2

Уровень 3

5 Реализация

9 Жизненный цикл

POЗ.2 План технологической инфраструктуры

PO8 Управление качеством

соблюдены требования к безопасности, в том числе в отношении доступа к программному обеспечению в процессе развертывания и после его установки

4.7.6.2.aЗ

Уровень 3

Управление программами, идентификацией активов, закупками

5 Реализация

9 Жизненный цикл

PO9 Оценка и управление ИТ-рисками

PO10 Управление проектами

все изменения статуса соответствующего программного обеспечения и связанных активов тщательно и своевременно регистрируются (в том числе любые изменения статуса хранения активов), и ведется журнал учета таких изменений

4.7.6.2.a4

Уровень 3

Управление идентификацией активов

5 Реализация

9 Жизненный цикл

PO9 Оценка и управление ИТ-рисками

PO10 Управление проектами

AI6 Управление внесением изменений

для проверки того, что развертывание было выполнено в точном соответствии с тем, что было разрешено, осуществляется документированный контроль. При выявленном несоответствии (или если не удалось проверить, что актив был развернут в рамках разрешенных ограничений) устанавливается признак исключительной ситуации с перечислением всех несоответствий

4.7.6.2.a5

Уровень 3

Управление идентификацией активов

5 Реализация

9 Жизненный цикл

PO9 Оценка и управление ИТ-рисками

PO10 Управление проектами

регистрируется и периодически анализируется успех или неуспех развертываний

4.7.6.2.a6

Уровень 3

Управление соответствием

5 Реализация

9 Жизненный цикл

DS8 Управление службой технической поддержки и инцидентами

DS10 Управление проблемами

4.7.7 Процесс управления инцидентами

Цель процесса управления инцидентами применительно к программному обеспечению и связанным активам состоит в том, чтобы отслеживать инциденты, относящиеся к программному обеспечению и связанным активам, возникающие при выполнении текущих операций, и реагировать на них

Реализация процесса управления инцидентами позволит организации продемонстрировать следующее:

4.7.7.2

PO1 Разработка стратегического плана развития ИТ

PO3 Определение направления технологического развития

PO10 Управление проектами

организация имеет формальный процесс управления инцидентами, обеспечивающий:

4.7.7.2.a

Уровень 4

9 Жизненный цикл

DS3 Управление производительностью и мощностями

DS4 Пороги инцидентов/аварий

DS8 Управление службой технической поддержки и инцидентами

регистрацию и ранжирование по приоритету разрешения всех инцидентов, влияющих на программное обеспечение, связанные активы или процессы управления программными активами

4.7.7.2.a1

Уровень 4

Управление программами

9 Жизненный цикл

DS3 Управление производительностью и мощностями

DS4 Пороги инцидентов/аварий

DS8 Управление службой технической поддержки и инцидентами

разрешение всех таких инцидентов в соответствии с их приоритетами и документирование такого разрешения

4.7.7.2.a2

Уровень 4

Управление программами

9 Жизненный цикл

DS3 Управление производительностью и мощностями

DS4 Пороги инцидентов/ аварий

DS8 Управление службой технической поддержки и инцидентами

4.7.8 Процесс управления проблемами

Цель процесса управления проблемами применительно к программному обеспечению и связанным активам состоит в поддержании программных активов в актуальном рабочем состоянии, в том числе посредством превентивного выявления и изучения причин инцидентов и анализа вызвавших их проблем

Реализация процесса управления проблемами позволит организации продемонстрировать следующее:

4.7.8.2

PO1 Разработка стратегического плана развития ИТ

PO3 Определение направления технологического развития

PO10 Управление проектами

DS10 Управление проблемами

организация имеет формальный процесс управления проблемами, характеризуемый следующими особенностями:

4.7.8.2.a

Уровень 4

9 Жизненный цикл

DS9 Управление конфигурацией

DS9.2 Идентификация и обслуживание объектов конфигурации

DS10 Управление проблемами

все инциденты, оказывающие воздействие на программное обеспечение, услуги или процессы SAM, регистрируются и классифицируются по степени воздействия

4.7.8.2.a1

Уровень 4

Управление программами

9 Жизненный цикл

DS9 Управление конфигурацией

DS9.2 Идентификация и обслуживание объектов конфигурации

DS10 Управление проблемами

высокоприоритетные и повторяющиеся инциденты анализируются для выяснения первопричин и располагаются в порядке приоритета разрешения

4.7.8.2.a2

Уровень 4

Управление программами

9 Жизненный цикл

DS9 Управление конфигурацией

DS9.2 Идентификация и обслуживание объектов конфигурации

DS10 Управление проблемами

первопричины документируются и передаются в процесс управления инцидентами

4.7.8.2.a3

Уровень 4

Управление программами

9 Жизненный цикл

DS9 Управление конфигурацией

DS9.2 Идентификация и обслуживание объектов конфигурации

DS10 Управление проблемами

проблемы разрешаются в соответствии с их приоритетом, а результат разрешения документируется и передается в процесс управления инцидентами

4.7.8.2.a4

Уровень 4

Управление программами

9 Жизненный цикл

DS9 Управление конфигурацией

DS9.2 Идентификация и обслуживание объектов конфигурации

DS10 Управление проблемами

4.7.9 Процесс списания

Цель процесса списания состоит в исключении из использования программного обеспечения и связанных активов, в том числе в повторном использовании связанных активов (если возможно), в соответствии с политикой компании и с соблюдением всех требований к учету

Реализация процесса списания позволит организации продемонстрировать следующее:

4.7.9.2

PO1 Разработка стратегического плана развития ИТ

PO3 Определение направления технологического развития

PO10 Управление проектами

организацией разработаны, утверждены и выпущены политики и процедуры для надежного списания программного обеспечения или аппаратного обеспечения, на котором установлено программное обеспечение, характеризуемое следующими особенностями

4.7.9.2.a

Уровень 3

Управление утилизацией, политиками

4 Ответственность

5 Реализация

9 Жизненный цикл

PO1 Разработка стратегического плана развития ИТ

PO2.4 Управление целостностью

PO4 Определение ИТ-процессов, организационной структуры и взаимосвязей

PO4.14 Политика и процедуры в отношении привлекаемых специалистов

PO9 Оценка и управление ИТ рисками

PO10 Управление проектами

ME3 Обеспечение соответствия внешним требованиям

установленные копии программного обеспечения удаляются со списанных аппаратных средств кроме тех случаев, когда их использование явным образом разрешено руководством после проведения надлежащего анализа любых последствий лицензирования программного обеспечения и обеспечения конфиденциальности данных

4.7.9.2.a1

Уровень 3

Управление утилизацией

4 Ответственность

5 Реализация

9 Жизненный цикл

DS11 Управление данными

DS11.4 Вывод из эксплуатации (списание)

лицензии и другие активы, которые могут быть развернуты повторно, идентифицированы для повторного развертывания

4.7.9.2.a2

Уровень 3

Управление утилизацией

4 Ответственность

5 Реализация

9 Жизненный цикл

DS11 Управление данными

DS11.4 Вывод из эксплуатации (списание)

любые активы, передаваемые третьим сторонам (независимо от того, являются ли такие стороны связанными или не связанными, и независимо от того, каким способом передаются эти активы (продаются, иным образом уступаются и пр.), передаются с надлежащим учетом любых требований конфиденциальности, лицензирования и других контрактных требований

4.7.9.2.a3

Уровень 3

Управление утилизацией

4 Ответственность

5 Реализация

9 Жизненный цикл

DS11 Управление данными

DS11.4 Вывод из эксплуатации (списание)

лицензии и другие активы, которые не могут быть развернуты повторно, надлежащим образом утилизируются

4.7.9.2.a4

Уровень 3

Управление утилизацией

4 Ответственность

5 Реализация

9 Жизненный цикл

DS11 Управление данными

DS11.4 Вывод из эксплуатации (списание)

в оформляемые записи заносятся описанные выше изменения, и ведутся журналы учета изменений

4.7.9.2.a5

Уровень 3

Управление утилизацией

4 Ответственность

5 Реализация

9 Жизненный цикл

DS11 Управление данными

DS11.4 Вывод из эксплуатации (списание)

Приложение D (справочное). План развития



Приложение D
(справочное)

D.1 Введение

В приведенных ниже подразделах содержится сводный план развития стандартов требований к процессам в семействе стандартов управления программными активами ИСО/МЭК 19770. План развития всего семейства стандартов приведен в ИСО/МЭК 19770-5.

D.2 План развития стандартов требований к процессам

D.2.1 Введение

Подмножество стандартов требований к процессам плана развития, полностью описанного в ИСО/МЭК 19770-5, охватывает три поколения стандартов, как это показано на рисунке 7, а именно:

1) первое поколение - ИСО/МЭК 19770-1:2006;

2) второе поколение - ИСО/МЭК 19770-1:2012 (текущая редакция ИСО/МЭК 19770-1);

3) третье поколение - ИСО/МЭК 19770-1:20хх (будущий стандарт полнофункциональной системы управления).


Рисунок 7 - План развития стандарта процессов

D.2.2 Предпосылки

Для достижения целей бизнеса организации разрабатывают SAM как непрерывную программу развивающихся со временем процессов для обеспечения более широкой управляемости связанными ИТ-активами, лицензируемой интеллектуальной собственностью, а также регуляторными и договорными обязательствами.

Реализации могут иметь различный характер, но все они имеют общее свойство - нацеленность на непрерывное совершенствование процессов для эффективного управления ими. Организации обычно улучшают такие управленческие системы в ходе этапов эволюционного развития, определяемых комплексными факторами, например, потребностями бизнеса, другими программами, затрагивающими операционную среду, а также внешними факторами, связанными с регулированием и соблюдением требований. Организации все чаще стремятся показывать эффективность своих процессов и с этой целью обращаются к стандартам, предлагающим разнообразные способы усовершенствования.

SAM - широкая дисциплина, и ИСО/МЭК 19770-1:2006 предоставляет полностью всеобъемлющий источник процессов. Некоторые организации, демонстрируя широкое соответствие всем передовым практикам, руководствуются чисто коммерческими мотивами, другие, реализуя только существенные элементы процесса, демонстрируют соблюдение требований лицензирования. Строгие требования рынка применяются на нескольких уровнях процессов, однако все они базируются на общей совокупности знаний о процессах SAM.

Организации все в большей степени предпочитают совершенствовать системы управления посредством сравнения с организациями, у которых имеются аналогичные деловые и эксплуатационные среды. В стандарте SAM имеются для этого постоянно совершенствуемые стандартизируемые средства, позволяющие осуществлять сравнение и согласование с проверенными методами, которые организации уже используют для измерения зрелости с использованием стандартов.

Кроме того, для оценок различных систем управления желательно применение общего подхода. Поскольку организации используют и другие стандарты (для целей, не связанных с SAM), им необходимо исключить дублирование и объединить функциональность стандартов, зная, что одни и те же принципы и опыт могут быть применены повторно, например во всей работе по усовершенствованию стандартов систем управления. В будущем будет реализовано больше возможностей объединения и повторного использования стандартов, что позволит повысить рентабельность использования стандартов.

План развития стандартов требований к процессам охватывает три поколения стандартов, созданных таким образом, чтобы организации могли извлекать выгоду от работы по оценке и соответствующей сертификации, которая полностью доступна.

D.2.3 Поколения требований к процессам

D.2.3.1 Первое поколение - ИСО/МЭК 19770-1:2006

ИСО/МЭК 19770-1:2006 описан в терминах, сходных с технической спецификацией продукта. Полное соответствие в ИСО/МЭК 19770-1:2006 определяется как достигнутое, если сумеет продемонстрировать, что все требования были удовлетворены; в качестве доказательства используются полученные результаты.

Требования ИСО/МЭК 19770-1:2006 широко распространены в качестве базовой инфраструктуры процессов SAM. Он остается твердой основой для формирования требований к стандартизованным процессам SAM. Однако подход к обеспечению соответствия, основанный на принципе "все или ничего" и требующий достижения результата по каждой цели, многими организациями обычно рассматривается как слишком жесткий.

D.2.3.2 Второе поколение - ИСО/МЭК 19770-1:2012

ИСО/МЭК 19770-1:2012 (текущая редакция ИСО/МЭК 19770-1) подразделяет требования ИСО/МЭК 19770-1:2006 на ряд групп, именуемых уровнями. Все определенные в ИСО/МЭК 19770-1:2006 результаты (с порядковыми номерами) закрепляются за уровнями, и такие уровни связаны с признанными отраслевыми практиками и другими руководствами. О соответствии ИСО/МЭК 19770-1:2012 может быть заявлено отдельно по каждому уровню; такое соответствие также может быть заявлено в отношении либо результатов процессов (как в ИСО/МЭК 19770-1:2006), либо достижения целей. Возможность достижения соответствия на уровнях решает основную проблему стандарта ИСО/МЭК 19770-1:2006 - всеохватность и чрезмерную требовательность для большинства организаций.

D.2.3.3 Третье поколение - ИСО/МЭК 19770-1:20хх (будущий стандарт системы управления)

Будущее развитие требований к процессам в семействе стандартов ИСО/МЭК 19770 должно отразить готовность включения этих стандартов в комплексную инфраструктуру стандартов системы управления. Такое развитие также позволит применять подход к оценке на базе моделей зрелости возможностей, надежно зарекомендовавший себя в других областях и хорошо согласующийся с другими параллельно ведущимися разработками стандартов (например, ИСО/МЭК 20000).

ИСО/МЭК 19770-1:20хх будет продолжать разрабатывать варианты демонстрации соответствия, определенные в стандартах первых двух поколений. В этом поколении можно будет обеспечивать соответствие на уровнях оценки, определенных для ИСО/МЭК 33000 (ранее ИСО/МЭК 15504) из семейства стандартов оценки процессов ИСО/МЭК. Третье поколение ИСО/МЭК 19770-1:20хх также облегчит согласованную оценку на основе собственных моделей зрелости возможностей SAM.

Приложение E (справочное). Отраслевые подходы к оценке зрелости процессов

Приложение E
(справочное)

E.1 Введение

Подходы к оценке зрелости процессов не включены в нормативный текст настоящего стандарта. Однако на такие подходы имеется значительный рыночный спрос, поэтому этот подход предполагается включить в состав разрабатываемого третьего поколения настоящего стандарта (см. D.2 "План развития стандартов требований к процессам").

Желательно и полезно иметь возможность оценивать эффективность внедрения процессов, описанных в ИСО/МЭК 19770-1:2006, используя определенную модель зрелости возможностей. Однако среди множества созданных моделей на сегодняшний день отсутствует определенная и глобально принятая модель зрелости возможностей для оценки SAM. Разработка определенной и глобально принятой модели зрелости возможностей для оценки SAM потребует дополнительного времени и объединения подходов, основанных на всех частях ИСО/МЭК 19770 и других доступных рыночных методологиях.

Управление как государственными, так и частными организациями требует четкого понимания того, насколько хорошо осуществляется управление программными активами в организации. Четко определенная модель зрелости возможностей позволит организациям использовать объективные измерения при оценке эффективности процессов SAM. Сосредотачиваясь на результатах процессов SAM, а не на используемых методах, организации смогут принимать более качественные решения, направленные на совершенствование процессов SAM. Кроме того, организации, сравнивая свои показатели с показателями аналогичных организаций, смогут получить дополнительную ценную информацию.

Эффективные процессы SAM связывают людей, инструменты/технологии и методы в один общий механизм, ориентированный на достижение поставленных целей. По мере повышения зрелости программы SAM, процессы SAM становятся более качественными и согласованными в рамках всей организации. Однако каким образом организация может объективно оценить, насколько эффективно результаты процессов SAM отвечают поставленным целям. Именно здесь может пригодиться модель зрелости возможностей по установке программного обеспечения SAM.

Используя четко определенную модель зрелости возможностей как основу согласованной оценки, организации могут получить более объективные измерения и более осмысленные результаты.

Модель зрелости возможностей определяет инфраструктуру для оценки эффективности реализованных процессов достижения поставленных целей. Такая модель зрелости возможностей будет иметь различные уровни эффективности, необходимые для достижения цели. Уровни будут варьироваться от базового (не обеспечивающего эффективность) до уровня передовой практики. На основе оцененного уровня возможностей или зрелости организации смогут определить необходимые улучшения процессов для достижения требуемой эффективности. Кроме того, при оценке модели возможностей или зрелости могут использоваться системы измерений, позволяющие организациям сравнивать уровни зрелости своих процессов с процессами других организаций.

Целью модели зрелости возможностей SAM является:

1) создание определенной модели оценки эффективности процессов SAM для достижения целей;

2) согласование этой модели с существующими стандартами зрелости возможностей (например, с широко распространенным подходом ИСО/МЭК 15504), для того чтобы организации могли использовать согласованные подходы к измерению процессов; и

3) создание методологии, с помощью которой организация может отслеживать непрерывное совершенствование в рамках программы SAM.

Кроме того, предполагается создать дополнительное руководство, с помощью которого организации смогут улучшить процессы, относящиеся к программе SAM.

E.2 Основные модели зрелости возможностей

E.2.1 Обзор

В настоящее время имеется множество четко определенных моделей зрелости возможностей, используемых для оценки управления процессами. Из них наиболее распространенными моделями измерений, используемыми для оценки связанных с SAM процессов, являются следующие: ИСО/МЭК 15504:2003 (часто именуемый SPICE); Control Objective for Information and related Technology (CobiT) ("Цели контроля для информационных и смежных технологий"); Capability Maturity Model Integration (CMMI) ("Интегрированная модель зрелости процессов программного обеспечения"); Business Process Maturity Model (BPMM) ("Модель зрелости бизнес-процессов"); Microsoft's Software Asset Management Optimization Model (SOM) ("Модель оптимизации управления программными активами Microsoft"); lAITAM's 360 Assessment Model ("Модель оценки IAITAM 360") и стандарт управления активами (SAMAC) Software Asset Management Standards ("Стандарт управления программными активами, ассоциация оценки и сертификации SAM"). В настоящее время особое внимание SAM уделяют в своих моделях Microsoft, IAITAM и SAMC. Стандарт CobiT более универсален, но также применим и широко используется. Более подробная информация о стандартах CobiT и SAM приведена в подразделе С.3 "Дополнительная информация по избранным сопоставлениям с CobiT".

Примечание - В настоящем стандарте не оговариваются никакие конкретные источники внешних моделей SAM и не подразумеваются никакие утверждения связанных продуктов или сорсинговых организаций. Особенности будущей работы никак не привязываются к выбранной модели (из перечисленных в настоящем стандарте).


Различные модели зрелости возможностей используют в процессе оценки две различные методологии. Наиболее распространенная методология основана на оценке каждого отдельного процесса, исходя из возможностей достижения целей или результатов. Другая методология, используемая в моделях оценки как Microsoft SOM, так и IAITAM 360, базируется на группировании сходных процессов и последующей оценке этих групп, исходя из возможностей достижения целей или результатов. Кроме того, модели CobiT и ВРММ могут свободно применять методологию группирования процессов по определенным целям организации и ИТ.

Ниже приводится краткий обзор наиболее распространенных моделей зрелости возможностей в существующей среде.

Е.2.2 ИСО/МЭК 15504/33000

ИСО/МЭК 15504 в настоящий момент находится в процессе пересмотра и станет серией 33000. ИСО/МЭК 15504 не только представляет введение в концепцию оценки процессов, но также описывает методы оценки и некоторые образцы моделей оценки процессов. При оценке эффективности процесса ИСО/МЭК 15504 использует следующие 6 уровней:

0 - Незавершенный процесс: процесс не реализован или не может достигнуть цели. На этом уровне доказательств любого систематического достижения цели процесса мало или они отсутствуют.

1 - Выполненный процесс: реализованный процесс достигает цели.

2 - Управляемый процесс: выше описанный уровень 1 реализуется управляемым способом (запланирован, отслеживается и корректируется), а результаты его работы надлежащим образом задаются, контролируются и фиксируются.

3 - Установленный процесс: вышеописанный уровень 2 реализуется с помощью определенного процесса, обеспечивающего достижение результатов управляемого процесса.

4 - Предсказуемый процесс: выше описанный уровень 3 выполняется в определенных рамках, что позволяет обеспечить достижение результатов процесса.

5 - Оптимизирующий процесс: выше описанный уровень 4 непрерывно усовершенствуется, что позволяет обеспечить достижение текущих и прогнозируемых целей.

Е.2.3 CobiT

(См. также подраздел C.3 "Дополнительная информация по избранным сопоставлениям с CobiT"). Модель процессов CobiT подразделяет ИТ на четыре области и 34 процесса, в соответствии с зонами ответственности: планирование, создание, выполнение и мониторинг, обеспечивающими полное покрытие ИТ. При оценке эффективности процесса стандарт CobiT использует следующие 6 уровней:

0 - Несуществующий: полное отсутствие применяемых процессов. Организация даже не понимает, что у нее имеются проблемы.

1 - Исходный/несистематический: установлен тот факт, что организация поняла, что у нее имеются проблемы, и эти проблемы нужно решать. Однако стандартизированные процессы для этого отсутствуют; вместо них в каждом отдельном случае применяются специализированные подходы (чаще всего индивидуальные и нерегулярные). Общий подход к управлению дезорганизован.

2 - Повторяющийся, но интуитивный: процессы разработаны до той стадии, когда аналогичные процедуры выполняются различными людьми, выполняющими ту же задачу. Формальное обучение или знания стандартных процедур отсутствуют, ответственность возлагается на конкретного человека. Успех процессов в большой степени базируется на знаниях отдельных людей, поэтому вероятны ошибки.

3 - Определенный процесс: процедуры стандартизированы и документированы, и знания о них передаются посредством обучения. Такие процессы обязательны к соблюдению, однако выявление отклонений от таких процессов маловероятно. Сами по себе процедуры не сложны и создаются на базе формального анализа существующей практики.

4 - Управляемый и измеряемый процесс: руководство следит за выполнением процедур и принимает меры в тех случаях, когда процессы, по его мнению, выполняются неэффективно. Процессы постоянно улучшаются и обеспечивают полезный опыт. Использование средств автоматизации и инструментария ограничено или фрагментировано.

5 - Оптимизированный процесс: процессы доведены до уровня передовых практик на основе непрерывного совершенствования и моделирования зрелости совместно с другими организациями. С целью автоматизации рабочего окружения, в общие процессы интегрируются ИТ-процессы, реализующие инструментарий повышения качества и эффективности, что помогает организации быстро адаптироваться к новым требованиям.

Последняя актуальная информация, связанная с моделью CobiT, приводится в исходных источниках (см. ISACA/ITGI [www.isaca.org]).

E.2.4 Модель зрелости BPMM

Модель зрелости BPMM базируется на принципах модели CMMI. Изначально модель BPMM охватывает широкий диапазон сфер применения, используя 30 областей процессов, однако этот диапазон может быть расширен до определенной сферы применения. При оценке эффективности процессов модель BPMM использует следующие 5 уровней:

1 - Начальный, или "руководство тушением пожара": конкретные цели у организации отсутствуют. Успех в таких организациях зависит от компетентности и личного отношения к работе людей, а не от использования проверенных процессов.

2 - Управляемый, или "управление составными элементами работы": цель состоит в создании основы управления в пределах каждого составного элемента работы или проекта.

3 - Стандартизованный, или "управление процессами": цель состоит в установлении и использовании общей организационной инфраструктуры процессов и связанных активов процессов для согласованного выполнения работ по выпуску продукции и предоставлению услуг организацией.

4 - Прогнозируемый, или "управление возможностями": цель состоит в управлении и использовании ресурсов организационной инфраструктуры процессов и связанных активов процессов для достижения прогнозируемых результатов с контролируемыми отклонениями.

5 - Инновационный, или "управление изменениями": цель состоит в непрерывном совершенствовании процессов организации и создаваемых в результате продуктов и услуг посредством предотвращения дефектов и проблем, непрерывного повышения возможностей и плановых инновационных улучшений.

Последняя актуальная информация, связанная со стандартом, приводится в исходных источниках (см. Object Management Group [www.omg.org]).

E.2.5 Модель оптимизации SAM от Microsoft

Модель оптимизации SAM компании Microsoft (Microsoft's SAM Optimization Model, SOM) группирует 27 процессов, перечисленных в настоящем стандарте, по шести категориям, а затем определяет 10 ключевых компетенций для измерения. По мнению Microsoft, эти 10 компетенций точно определяют то, что необходимо предпринять организации для реализации эффективной программы SAM. При оценке эффективности компетенций модель SOM использует следующие 4 уровня:

1 - Базовый SAM, или "несистематический": слабый контроль за тем, какие ИТ-активы используются и где. Политики, процедуры, ресурсы и инструменты отсутствуют.

2 - Стандартизованный SAM, или "отслеживание активов": имеются процессы SAM, а также хранилище инструментов/данных. Информация может быть неполной и неточной и обычно не используется для принятия решений.

3 - Рационализированный SAM, или "активное управление": для управления жизненным циклом программных ИТ-активов используются представления, политики, процедуры и инструменты. Для управления активами используется надежная информация.

4 - Динамический SAM, или "оптимизированный": отслеживание изменений бизнес-потребностей практически в реальном времени. Формирование конкурентных преимуществ благодаря применению процессов SAM.

Последняя актуальная информация приводится в исходных источниках (см. Microsoft [www.microsoft.com]).

E.2.6 Модель оценки IAITAM 360

(См. также приложение С). Модель оценки IAITAM 360 базируется на 12 ключевых группах процессов (КРА), определенных в Библиотеке передовой практики IAITAM (IBPL). Для оценки IAITAM группирует различные процессы в 12 КРА и при оценке эффективности процесса использует следующие 5 уровней:

1 - Несистематический: процессы не определены; функции и политики существуют только в самодостаточных подразделениях; внутренняя коммуникация минимальна; реактивные действия вместо превентивных; имеется риск несоблюдения требований; производительность минимальна; ценность уровня минимальна.

2 - Повторяющийся: основные процессы периодически используются в масштабе всей организации; процессы начинают становиться более прибыльными; процессы принимают более определенную форму и чаще повторяются, однако все еще выполняются независимо друг от друга; политики определены и исполняются; процедуры созданы; взаимозависимости минимальны; согласованность с бизнес-требованиями минимальна; создаются роли; достигается личная заинтересованность руководства.

3 - Согласование: основные процессы четко определены, ясно прослеживается взаимодействие с другими процессами и КРА; программа в целом выполняется более эффективно, однако имеются резервы для ее повышения; взаимозависимости имеются, однако еще не оптимальные; внедряется базовая программа ITAM; достигнута максимальная коммуникационная эффективность в масштабе всей организации; риски несоблюдения требований заметно снижены; роли определены и исполняются.

4 - Стратегический: эффективность процессов оптимизирована, налажено взаимодействие между процессами и КРА; упреждающее принятие решений становится стандартным действием; определенные роли способствуют достижению общей цели; проекты планируются в соответствии с потребностями; поставленные цели достигаются; программа согласована с целями и бизнес-требованиями; в процессы вовлечена вся организация.

5 - Адаптивная оценка: результаты процессов предсказуемы; результаты процессов корректируются по мере необходимости; программа функционирует как базовая компетенция в рамках организации; риски несоблюдения требований отслеживаются или исключаются.

Последняя актуальная информация приводится в исходных источниках (см. IAITAM [www.iaitam.org]).

E.2.7 Модель зрелости Ассоциации оценки и сертификации SAM (SAMAC)

(См. также приложение С). Модель зрелости SAMAC базируется на документе "Стандарты управления программными активами", определяющем 13 управленческих областей применения процессов SAM в организации. При оценке эффективности процесса эта модель зрелости использует следующие 6 уровней:

0 - Неполный: управление никак не реализовано. Это самая низкая оценка (уровень зрелости).

1 - Начальный/несистематический: управление не организовано и реализуется по указаниям ответственных работников или других лиц.

2 - Повторяющийся: организационная система частично имеется, реализовано непрерывное управление.

3 - Определенный: к деятельности всей организации и системам управления адекватно применяются политики и регуляторные акты, серьезные упущения отсутствуют.

4 - Управляемый: реализация процессов управления отслеживается в соответствии с установленными политиками, регуляторными актами и системами управления.

5 - Оптимизированный: с целью обеспечения оптимального управления и отслеживания изменений производственной среды SAM, процессы SAM пересматриваются по мере необходимости и на регулярной основе. Это самая высокая оценка (уровень зрелости).

Последняя актуальная информация приводится в исходных источниках (см. SAMAC [www.samac.or.jp]).

Приложение ДА (справочное). Сведения о соответствии ссылочных международных стандартов национальным стандартам Российской Федерации (и действующим в этом качестве межгосударственным стандартам)

Приложение ДА
(справочное)



Таблица ДА.1

Обозначение ссылочного международного стандарта

Степень соответствия

Обозначение и наименование соответствующего межгосударственного стандарта, национального стандарта Российской Федерации

ИСО 9001:2008

IDT

ГОСТ ISO 9001-2011 "Системы менеджмента качества. Требования"

ИСО/МЭК 33003

-

*

ИСО/МЭК 19770-2

-

*

ИСО/МЭК 19770-3

-

*

* Соответствующий национальный стандарт отсутствует. До его утверждения рекомендуется использовать перевод на русский язык данного международного стандарта. Перевод данного международного стандарта находится в Федеральном информационном фонде технических регламентов и стандартов.

Примечание - В настоящей таблице использовано следующее условное обозначение степени соответствия стандартов:

- IDT - идентичные стандарты.

Библиография

[1]

Руководство по ИСО 72

Руководящие указания для подтверждения и разработки стандартов системы управления (ISO Guide 72 Guidelines for the justification and development of management systemst and ards)

[2]

ИСО/МЭК 2382-1:1993

Информационные технологии. Словарь. Часть 1. Основные термины (ISO/IEC 2382-1:1993 Information technology - Vocabulary - Part 1: Fundamental terms)

[3]

ИСО 9001

Системы управления качеством. Требования (ISO 9001 Quality management systems - Requirements)

[4]

ИСО/МЭК 12207

Системная и программная инженерия. Процессы жизненного цикла программного обеспечения (ISO/IEC 12207 Systems and software engineering - Software life cycle processes)

[5]

ИСО/МЭК 15504-2

Информационные технологии. Оценка процессов. Часть 2. Оценка процессов (ISO/IEC 15504-2 Information technology - Process assessment - Part 2: Performing an assessment)

[6]

ИСО/МЭК 20000-1:2005

Информационные технологии. Менеджмент услуг. Часть 1. Спецификации (ISO/IEC 20000-1:2005 Information technology - Service management - Part 1: Specification)*

[7]

ИСО/МЭК 27001

Информационная технология. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования (ISO/IEC 27001 Information technology - Security techniques - Information security management systems - Requirements)

[8]

ИСО/МЭК 38500

Корпоративное управление информационными технологиями (ISO/IEC 38500 Corporate governance of information technology)

_________________
* ИСО/МЭК 20000-1:2005 был отменен и заменен на ИСО/МЭК 20000-1:2011 Информационные технологии. Менеджмент услуг. Часть 1. Системные требования к управлению услугами (ИСО/МЭК 20000-1:2011 Information technology - Service management - Part 1: Service management system requirements).

УДК 65.012:004.45:006.354

ОКС 35.080

П85

ОКСТУ 4090

Ключевые слова: информационные технологии, программные активы, процессы, оценка соответствия




Электронный текст документа
и сверен по:
официальное издание
М.: Стандартинформ, 2017