GB T 26236.1-2010 信息技术 软件资产管理 第1部分：过程.pdf

1、ICS 35.080 L77 道昌中华人民=lI工-、和国国家标准GB/T 26236.1-2010/ISO/IEC 19770-1 :2006 信息技术第1软件资产管理部分:过程Information technology-Software asset management Part 1 : Processes (ISO/IEC 19770-1: 2006 , IDT) 2011-01-14发布2011-05-01实施数码防伪中华人民共和国国家质量监督检验检菇总局中国国家标准化管理委员会发布GB/T 26236.1-2010/ISO/IEC 19770-1 :2006 自次前言.1 引言.n

2、 l 范围.1. 1 目的.1. 2 适用领域-1.3局限2 符合性2. 1 预期用法-2.2 完全符合性2.3 协议依从性3 术语和定义.4 软件资产管理(SAM)过程44. 1 总则.44.2 SAM控制环境4.3 SAM策划和实施过程4.4 SAM库存过程4.5 SAM验证和依从性过程4.6 SAM运作管理过程和接口124.7 SAM与生存周期过程接口u参考文献. . . . . . . . . . . . . . 18 GB/T 26236.1-2010/ISO/IEC 19770-1 :2006 目。吕GB/T 26236在信息技术软件资产管理的总标题下，分为如下两部分:第1部分:过

3、程;第2部分:标签。本部分是GB/T26236的第1部分。本部分等同采用ISO/IEC19770-1 :2006(信息技术软件资产管理第1部分:过程。由于正文中出现了与相关标准的关系说明，因此相对于ISO/IEC19770-1:2006而言，做了编译性修改，增加了参考文献一章。本部分由全国信息技术标准化技术委员会提出并归口。本部分起草单位:中国电子技术标准化研究所、上海计算机软件开发中心。本部分主要起草人:李海波、冯惠、付淑云、王有志、韩红强、郑红。I GB/T 26236.1-2010/ISO/IEC 19770-1 :2006 引制定GB/T26236的本部分的目的是，使一个组织能够证明其

4、按标准进行软件资产管理，以满足公司治理要求并确保对信息技术服务管理的有效支持。本部分旨在与ISO/IEC20000密切配合并提供有力支持。软件资产管理(SoftwareAsset Manage , SAM)中的良好惯例会带来下列各种利益，而且可认证的良好惯例应使管理层和其他组织信赖这些过程的适宜性，并会在很高的可信度上达到期望的利益:E a) 风险管理:软件资产管理应便于业务风险管理，这些风险包括:1) 信息技术服务中断的风险;2) 信息技术服务质量降低的风险;3) 违反法律法规方面的风险;的由上述情形之一引起的公众形象受损的风险。b) 成本控制=软件资产管理应便于下列各方面的成本控制:1)

5、降低软件和相关资产的直接成本，例如通过安排大宗合同以便在谈判中得到更好价格，以及通过可重新部署旧的许可证而避免购买新的许可权;2) 由于有更好的可利用信息而使与供方协商的时间减少、成本降低;3) 通过改进财务控制而降低成本，例如通过更完善的发票核对和更精确的预测和预算;4) 通过确保所需过程是有效和高效的，降低管理软件和相关资产的基础设施成本;5) 降低极受SAM过程的质量影响的支持性成本，包括信息技术范围内的直接影响及最终用户方面的间接影响。c) 竞争优势:软件资产管理应通过以下措施帮助组织获得竞争优势:1) 由于信息可用性更加完备和更加透明而使决策质量更高(例如随着数据质量的改善，可更快更

6、可靠地作出有关信息技术采购和系统开发的决定); 2) 能够利用新的系统和功能，以快速响应市场机遇或雨求;3) 提供的信息技术更切合业务苛求，从而确保所有的用户都能获得合适的软件和应用系统;4) 当发生业务并购或拆分时，能够更快地处理相应的IT问题;5) 通过将信息技术问题减少而提高员工积极性及顾客的满意度。1 范围1. 1 目的GB/T 26236.1-2010/ISO/IEC 19770-1 :2006 信息技术软件资产管理第1部分:过程GB/T 26236的本部分为软件资产CSAM)用的一整套过程建立了基线。1. 2 适用领域本部分适用于软件资产管理过程，各类组织均能通过实施本标准获得直接

7、利益。GB/T26236. 2 为软件资产管理数据提供了规范，要求软件制造商(外部的和内部的)和工具研发方加以实施，以获得应有的全部利益。本部分是一项供组织实施的标准。未来版可能提供一种与ISO/IEC15504-2中的要求相匹配的评估框架。本部分适用于任何规模、任何地区的所有组织。该部分仅能应用于法人实体或法人实体的各部门。注:对组织范围的确定已作为软件资产管理的公司治理过程的组成部分进行了文档化。本部分也适用于已将软件资产管理过程外包的组织，该组织负责与外包组织一起表明一直保持符合性不变。本部分能适用于所有的软件和相关资产而不论软件的性质如何。例如，既能适用于可执行软件(应用程序、操作系统

8、、实用程序等)，又能适用于不可执行软件(字型、图片、音视频、模板、字典、文档、数据等)。注:软件资产范围的定义(软件类型应包括在范围内)要包含在SAM策划过程的SAM计划中。只要定义不含糊，组织可以以任何合适的方式定义它，例如所有软件、所有程序软件、在特定平台上的所有软件，或指定厂商的软件。下列形式的软件资产包括在本部分的范围之内:a) 软件使用权，反映的是完全所有权(如组织内部开发的软件系统)和许可证(如大多数外部软件，不论是商业软件或是开源软件); b) 使用的软件，其中包含软件(包括由软件制造商和开发者提供的最初软件、软件构建版以及已安装和执行的软件)的知识产权价值;c) 存放软件副本的

9、介质。注:从财务会计的角度来看，这是最基本的类别:a)类可认为是一种资产，即使后来可完全注销。商业软件如果没有合适的许可证，b)类则可视为随商业软件实际带来的负债(而不是资产)。本部分认为b)、c)两类以及a)类都是正当的受控资产。许可证可具有簿记价值，但是，在用软件尤其应具有商业价值并需按商业资产对待。在此范围内的相关资产是需要使用或管理软件的所有其他资产。不要求使用或管理软件的这些相关资产的任何特性均超出此范围。表1提供了这些资产的示例。表1适用于本部分的非软件相关资产示例资产类型适用性刁亏例硬件适用于具有使用和管理范围内软件对能存储、执行或以其他方式使用软件的设备的物理资产特征的硬件资产

10、库存;处理器数目或处理能力;硬件是否能够胜任现场许可(sitelicensing)的计算1 G/T 26236.1-2010/ISO/IEC 19770-1 :2006 表1(续)资产类型适用性刀亏例硬件不适用于不具有使用和管理范围内硬件的成本和折旧，预防性维护的重新开始日期软件资产特征的硬件资产适用于具有要求使用或管理范围内明确管理员的人员姓名，在此基础上分发许可证的人软件资产特征的其他资产员总数其他资产不适用于不具有使用或管理范围内其他人事信息的软件资产特征的其他资产1. 3 局限本部分并没有按照所要求符合的过程结果的方法或规程来详述软件资产管理过程。本部分没有规定一个组织实施SAM应当采

11、取步骤的顺序，所描述的过程的顺序也没有隐含这种顺序。唯一相关的定序是由内容和周境所要求的。例如规划应在实施之前。本部分并没有按照名称、格式、显式内容和记录介质详述文档的编制。本部分不期望与任何组织的方针、规程和标准或国家的法律法规有冲突。任何这类冲突都必须在使用本部分之前加以解决。2 符合性2. 1 预期用法本部分的要求全部包含在第4章的各个结果部分。任何符合性声称均如2.2所描述的那样，是指满足本部分规定要求的完全符合性，包括对所有外包过程的规定。对于个别的协议，正如2.3所述，也可能有选择地采用结果部分，但是，事后不能声称符合本部分。2.2 完全符合性完全符合性是指以结果作为证据表明本部分

12、的所有要求均已满足。2.3 协议侬从性本部分可用于帮助在供需双方之间达成协议，在这种情况下，能从本部分中选出某些条款，经修改或不经修改纳入协议。此时，双方有必要使协议达到对本部分的依从性而不是符合性。注1:供方协议通常规定组织的控制范围，例如瞿盖法人实体的所有下属机构，这意味着，如果有意促成这种协议，就需要建立与此相称的SAM范围。注2:ISO/IEC的版权扩展到本部分的全部或其各组成部分。不过，对于上述条款中的特定使用，不需得到版权许可。3 术语和定义下列术语和定义适用于本部分。3. 1 基线baseline 对某一配置项(见3.2)，在其生存周期的某一特定时间，正式定名或固定下来并经正式批

13、准的任何媒体上的版本。GB/T8566中也有此定义3.2 2 配置项configuration item CI设计成作为单个实体管理的硬件、软件或兼有硬软件的项或聚集。注:配置项在复杂度、规模和类型上变化很大，从包括硬件、软件和文档在内的整个系统，到单一模块或一个硬件小组件。GB/T 26236.1-201 O/ISO/IEC 19770-1 : 2006 3.3 公司董事会或等价实体corporate board or equivalent body 在最高层对主持或管控一个组织承担法律职责的个人或一组人。3.4 确定的主版本definitive master version 对某一软件，用

14、于安装该软件并制作分发副本的版本。3.5 分发副本distribution copy 为了安装到其他硬件上而由软件确定的主版本制作的副本(驻留在例如服务器上或光盘之类的物理介质上)。3.6 有效的完全许可权effective full Iicense 对于软件，允许完全使用该软件的许可权。注:一个有效的许可权由一个或多个基本许可权组成。示例:对某一软件产品第1版的基本的完全许可权，加上对该软件产品升级到第2版的基本升级许可权，合并成为对其第2版的有效的完全许可权。3. 7 本地SAM责任人local SAM owner 在SAM负责人(3.11)下属组织的任意层次的个人，其被确定为负责组织某一

15、部分的SAM。3.8 人员personnel 拟代表组织履行职责的任何个人(包括官员、雇员及合同方)。3.9 规程procedure 为执行一个活动或过程所规定的方式。注2当把规程规定为一个结果时，所产生的交付件通常将规定必须做什么，由谁来做以及按什么顺序来做。这是一个比过程更加详细的规范层次。3. 10 过程process 将输入转换为输出的相互关联的一组活动。注:当把过程规定为一个结果时，所产生的交付件通常将规定输入和输出，并对期望的活动进行总的描述。不过并不要求像规程那样详细。3. 11 SAM责任人SAM owner 在组织高层明确为对SAM负责的个人。3. 12 软件资产管理soft

16、ware asset management SAM对一个组织内的软件资产的有效的管理、控制和保护。3. 13 软件头标software header 对某一软件文件，为便于管理而嵌入在该文件本身的信息。注:软件头标是软件标签信息这一更具普遍性的类别之内的一种信息类型。3. 14 软件标签software tag 便于软件管理的软件文件或软件包的信息，其中有些信息可留在软件头标之内。3 GjT 26236. 1-20 1 OjISOjIEC 19770-1 :2006 3. 15 基本许可权underlying license 按照原始购置或获得的许可权使用软件一一通常能与购置记录直接相联系。注

17、:基本许可权可带有一些相关条件，要求这种许可与另一种许可权或多种许可权一起使用，以便形成有效的完全许可权。4 软件资产管理(SAM)过程4. 1 总则4. 1. 1 SAM的定义以及与服务管理的关系软件资产管理是对组织内的软件资产进行有效的管理、控制和保护。本部分所定义的软件资产管理过程，与ISOjIEC20000中定义的IT服务管理密切配合并对其提供有力支持。4.1.2 SAM过程概述图1给出SAM过程的概念框架，并将过程划分为以下3大类:a) SAM组织管理过程;b) 核心SAM过程;c) SAM与基本过程接口。这些过程在4.24. 7中进一步详细描述。SAM组织管理过程4.2 SAM的控

18、制环境SAM的公司治理过程SAM的角色和职责SAM的方针、过程和规程SAM能力4.3 SAM的策划和实施过程SAM的规划SAM实施SAM监督与评审SAM持续改进核心SAM过程二十二一一一一二一一一一二4.4 SAM的库存过程软件资产标识软件资产库存管理软件资产控制4.5 SAM的验证和依从住过程软件资产记录验证软件许可权授予的依从性软件资产安全依从性SAM符合性验证4.6 SAM的运作管理过程和接口SAM关系和合同管理SAM时务管理SAM服务级别管理SAM安全管理SAM与基本过程接口4.7 SAM与生存周期过程的接口变更管理过程软件开发过程软件部署过程问题管理过程获取过程软件发布管理过程事件管

19、理过程退役过程图1SAM过程的框架4. 1.3 结果、活动和接口本部分采用标题、目标和结果这3种过程元素进行编写。本部分未包括可用于取得这些结果的行动。本部分所规定的结果设计得易于评估，但没有指出产生这些结果所需活动的广度。例如，在软件4 G/T 26236.1-201 O/ISO/IEC 19770-1: 2006 资产库存管理过程中的库存维护在逻辑上要求数据确认活动，尽管本部分并未将其作为一种结果加以援引。(对于数据的完整性，本部分是通过SAM的确认和依.M性过程得以确保的。)最重要活动是与其他过程的接口活动。例如，当购置(或获得)一个软件资产时，要达到的目标是软件和相关资产获取过程的目标

20、就是确保这些资产以受控方式获得并予以记录。这一过程，以及很多其他过程，都要求调用软件资产库存管理过程，以便记录数据并在所要求的领域等方面加以确认。另一个实倒是在软件资产控制过程中创建基线。这一过程由软件开发过程和软件发布管理过程调用。本部分的目的不是要说明这类细节，但为了获得既定目标，隐含的要求这些活动或接口。4.2 SAM控制环境4.2.1 总则SAM控制环捷的目标是建立和维护其他SAM过程在其中实施的管理体系。SAM的控制环境组成如下za) SAM公司治理过程;b) SAM角色和职责;c) SAM的方针、过程和规程;d) SAM能力。4.2.2 SAM公司治理过程4.2.2.1 目标SAM

21、公司治理过程的目标是确保软件资产管理的职责在公司董事会或等价实体的层面得到承认，并且规定适当的机制以确保职责的正当履行。注:该过程可视为公司IT全面监管的一部分。4.2.2.2 结果SAM治理过程的实施将使组织能证实:a) 本部分要求有一个明确的公司声明，内容包括:1) 包含在此范围内的法律实体或其一部分;注:在界定组织的范围时，要考虑的一个因素是组织范围内已存在的软件合同。2) 对上述实体或其各部门承担全面公司治理职责的特定机构或个人。注:这种特定的机构或个人，以下称为公司董事会或等价实体。b) 对软件和相关资产的公司治理的职责得到公司董事会或等价实体的正式承认。c) 有关于组织使用软件和相

22、关资产的公司治理法规或指南，在使用的所有国家均已确定并以文件记录下来，且至少每年评审一次。d) 将与软件、相关资产以及管理规定的减缓办法三者关联的风险评估文档化，至少每年更新一次，并经法人或等同法人批准，这种评估至少覆盖以下内容:1) 未依从法规的风险;注:这有可能指比如人事软件使用监督的隐私保护;个人持有的SAM记录的数据保护;以及行业特定的(例如在制药行业的)要求。2) 未依从许可权授予规定的风险;3) 由于信息技术基础设施的问题所造成的运行中断风险，这可能是SAM不造当导致的EO 由于SAM的不适当导致许可权和其他信息技术支撑成本花费过高的风险;5) 与软件和相关资产的分散式对集中式管理

23、办法关联的风险;注:与集中式管理办法相比，分散式管理办法有可能更难以达到节约成本的目标，可能面临更高的风险，例如未依从许可权规定。6) 在不同国家运行时，考虑到依从本地文化和实施办法所带来的风险。e) SAM的管理目标由公司董事会或等价实体批准，至少每年评审一次。5 G/T 26236.1-201 O/ISO/IEC 19770-1: 2006 4.2.3 SAM角色和职责4.2.3.1 目标SAM角色和职责过程的目标是确保对软件和相关资产的角色和职责已明确定义和维护，并使可能受到影响的人员了解。注:这些角色和职责应特别包括与法规或公司治理要求相联系的任何内容。4.2.3.2 结果SAM的角色

24、和职黄过程的实施将使组织能证实:a) 对整个组织的软件和相关资产的公司治理负责的SAM责任人的角色，由公司董事会或等价实体明确界定和批准。对于整个组织指派的职责包括:1) 提出SAM的管理目标;2) 监督SAM计划的制定;3) 为实施经批准的SAM计划获得资源;4) 按SAM计划交付结果;5) 确保所有本地的SAM责任人正确地履行职责，且组织的所有部门均由SAM责任人或本地SAM责任人所覆盖，且之间元冲突。b) 将公司治理软件和相关资产的本地角色和职责记录在案，并分配给特定人员。每个人负责一部分，职责如下:1) 为实施SAM计划获得资源;2) 按SAM计划交付结果;3) 采取和实施必要的方针、

25、过程和规程;4) 准确地维护软件和相关资产的记录;5) 对软件资产的采购、部署和控制，确保得到管理和技术两方面批准;6) 管理合同、供方关系及内部客户关系;7) 对改进的需求加以明确并实施。c) 将这些职责传达给组织中与SAM有关的所有部分，就像通告组织范围和本地的其他方针那样。4.2.4 SAM方针、过程和规程4.2.4.1 目标SAM方针、过程和规程过程的目标是确保组织维护明确的方针、过程和规程，以便对SAM进行有效的策划、运行和控制。4.2.4.2 结果6 SAM方针、过程和规程过程的实施使组织能证实:a) 有一种结构化方法来建立、评审、批准、颁布并控制与SAM相关的方针、过程、规程及相

26、关文档，使得总能够确定一套完整的文档，确定每个文件的有效版本，并确定适用于不同类型的软件及相关资产的文件。注:通常，这会成为一个组织为其整套方针、过程和规程而采用的一揽子办法的组成部分，且对于SAM并不是唯一性的。b) 本部分所要求的方针、过程和规程文档，按该部分的过程分类或带有对这些分类的相互参照加以组织。c) 对方针的制定、批准和颁布至少覆盖:1) 对于软件和相关资产的法人管辖的个人和团体的职责;2) 对个人使用公司软件以及有关资产的任何限制;3) 符合法律法规的要求，包括版权和数据保护;GB/T 26236.1-201 O/ISO/IEC 19770-1 : 2006 4) 任何采购要求

27、(例如公司协议的使用，或仅从声誉好的或经批准的供方处购买); 5) 元论购置与否，对批准软件安装或使用的任何要求;的违反这些方针所牵涉的惩罚。d) 采用以下方式之一将方针和规程通知到所有人员:。在新员工刚开始工作时，传达到每个人。每年对所有员工至少传达一次;2) 对新员工开始工作时的传达或每年至少一次的传达，要求得到员工反馈肯定性确认;3) 员工随时都可获取。注:文档可以是任何形式或介质。并可以与其他文档联合发布，例如包括人事保密要求的联合政策声明。4.2.5 SAM能力4.2.5. 1 目标SAM能力过程的目标是确保具有适当的SAM能力和专业技术，并正在应用。4.2.5.2 结果SAM能力过

28、程的实施将使组织能证实:a) 每年至少评审一次负有SAM职责的人员的培训和认证，并做好记录和更新，包括:1) SAM概况;2) 对在用软件的软件制造商的许可。b) 每年至少评审一次，以确定软件制造商的许可权证明的构成。c) 具有SAM管理职责的人员接受SAM和有关许可权的培训，包括初次培训和正式的年度继续教育。注:在可用的情况下，也推荐个人认证。d) 每年至少评审一次，以查明依从其许可权，软件制造商要提供哪些额外的指导。4.3 SAM策划和实施过程4.3.1 总则SAM的策划和实施过程的目标是确保有效、高效地达到SAM的管理目标。本领域中的过程原则上对应于GB/T19001中的策划-实施-检查

29、-处置CPlan-Do-Check-Act) 过程。SAM策划和实施过程包括za) 对SAM进行的策划;b) SAM的实施;c) 对SAM的监督和评审;d) 对SAM的持续改进。4.3.2 SAM策划4.3.2.1 目标SAM策划过程的目标是确保进行适当的准备和规划，从而有效、高效地实现SAM的目标。4.3.2.2 结果SAM的策划过程的实施将使组织能证实:a) 制定SAM管理目标，并提交公司董事会或等价实体批准，且至少每年更新一次。b) 制定SAM的实施和交付计划，并将其编成文档，每年至少更新一次，计划中包括:1) 范围陈述(软件资产范围勺明确，其中描述所包含的软件类型;相关资产的覆盖范围，

30、本部分要求的最低限度范围之外的任何相关资产;以及与其他组织或系统的任何接口或要求;2) 明确说明范围内资产所要求的方针、过程和规程;3) 清晰阐述对SAM的管理、审核和改进的办法，包括适当时支持过程的自动化;7 GB/T 26236.1-2010/ISO/IEC 19770-1 :2006 的说明标识、评估和管理与所界定的管理目标相关的重大问题和风险拟采用的办法;5) 定期活动的进度表和职责，包括起草管理报告和进行验证及依从性活动;的资源的标识，包括实施SAM计划所需的预算;7) 按照SAM计划对跟踪完成情况进行绩效测量，包括对资产管理记录准确性的目标测量。注:应实施适当的自动化，以确保过程高

31、效或不易出错，且避免完全无法实施。c) 该计划由公司董事会或等价实体批准。4.3.3 SAM实施4.3.3. 1 目标SAM实施过程的目标是全面达到SAM的目标，实现SAM计划。4.3.3.2 结果SAM实施过程将使组织能证实:a) 具有收集(包括从本地SAM责任人处收集)影响SAM全年计划的变更、问题和风险信息的机制;b) 由SAM责任人起草SAM计划进展详情的定期情况报告(每季度至少一次)，以便向公司董事会或等价实体报告;c) 对已发现的任何变化及时采取后续行动并做记录。4.3.4 SAM监督与评审4.3.4.1 目标SAM监督与评审过程的目标是确保SAM的管理目标正在实现。4.3.4.2

32、 结果SAM监督和评审过程的实施将使组织能证实:a) 正式评审每年至少一次:1) 评估SAM的管理目标和SAM计划是否正在实现;2) 对照SAM计划中与SAM相关的服务级别协议中规定的绩效测度，总结绩效;注:涵盖SAM要求的服务级别协议可能比SAM本身涵盖面更广。3) 提供对SAM的符合性验证过程的调查结果的总结;。在上述基础上就以下两方面进行总结;i) 由SAM相关的管理层批准的政策，是否已经在本部分定义的组织范围内有效传播;ii) 经管理层批准的与SAM相关的过程和规程，是否已经在本部分定义的组织范围内有效实施;5) 总结任何已发现的例外以及由于上述原因可能需要采取的措施;6) 在软件和相

33、关资产服务规定下，标识改进机会;7) 为了可持续的适当性、完备性和正确性，考虑是否需要评审方针、过程和规程。b) SAM责任人正式批准有关报告、将决策和为此采取的措施文档化，并抄报公司董事会或等价实体。c) 定期评审(每年至少一次)是否以成本效益最大的方式对软件及相关资产进行部署，并提出可能的改进建议。4.3.5 SAM持续改进4.3.5.1 目标SAM持续改进过程的目标是确保在使用软件及相关资产，以及SAM自身过程中，识别改进的机会，合理时采取行动。4.3.5.2 结果SAM持续改进过程的实施将使组织能证实:8 GjT 26236.1-2010jISOjIEC 19770-1 :2006 a

34、) 具有收集和记录全年来自各种渠道提出SAM改进的机制。b) 对改进建议进行定期评审、排定优先次序并经批准，并纳入SAM的实施和改进计划。4.4 SAM库存过程4.4.1 总则SAM的库存过程的目标是为软件和相关资产创建并维护所有存储和记录，并提供数据管理功能，确保对其他SAM过程中的软件和相关资产的整体控制。SAM的库存过程不仅是SAM的基础，也是所有配置管理的基础。配置管理超出了SAM的范围，因为前者不仅覆盖所有的信息技术资产(不仅是软件和相关资产)，也覆盖了非信息技术资产以及所有这些资产之间的关系。在涵盖所有IT服务管理项目的周境中，SAM库存过程被认为是配置管理的一部分。SAM库存过程

35、包括za) 软件资产标识;b) 软件资产库存管理;c) 软件资产控制。4.4.2 软件资产标识4.4.2. 1 目标软件资产标识过程的目标是确保选出必要的资产类别并进行分组;并按适当的特性定义，以便能有效、高效地控制软件和相关资产。4.4.2.2 结果软件资产标识过程的实施将使组织能证实:a) 对拟控制的资产的类型及与其关联的信息正式定义，并考虑下列方面:1) 利用已建立的选择准则选出拟管理的项，再进行分组、分类和标识，以确保在其全生存周期内可管理、可跟踪;注:对业务和人身、财产造成重大伤害的资产以及高风险资产，话要排定优先次序，并可在更详细的水平上进行控制。2) 拟管理的项包括:i) 能安装

36、和运行软件的所有平台zii) 软件确定的主版本和分发副本;iii) 软件构建版和发布版(原始版本和分发副本); iv) 所有已安装的软件;v) 软件不同版本5vi) 补丁和升级版;vii) 许可权，包括基本许可权和有效的完全许可权zviii) 许可权证明文档;ix) 有关软件资产的合同(含限制性规定)，包括硬拷贝的和电子版的;对上述各款的物理或电子存储区;xi) 许可权模式。3) 软件应是可管理的，这包括对应于软件制造商或开发商发布的特定产品的文件和程序包两种形式;4) 对所有资产，所帘的基本信息有:i) 唯一性标识符;ii) 名称或描述;iii) 位置;9 GBjT 26236.1-2010

37、jISOjIEC 19770-1 :2006 iv) 管理人(或所有者); v) 状态(例如;测试与生产状态;开发或构建状态); vi) 类型(例如软件、硬件或设施); vii) 版本(若适用时)。注:数据确认需求也可被定义为此过程的一部分。b) 对存储和库存备有登记簿，使信息的存储和类型清晰明了，只有在复制信息能追溯到明确的源记录时才允许复制。4.4.3 软件资产库存管理4.4.3. 1 目标软件资产库存管理过程的目标是确保软件资产的物理载体得到正确存储;并确保所有资产和配置项的特性所需数据在整个生存周期中正确的记录。同时还提供关于软件资产和相关资产的信息，以支持其他业务过程的有效性和效率。

38、4.4.3.2 结果软件资产库存管理过程的实施将使组织能证实:a) 开发、批准和发布了资产库的维护和管理的方针和规程，其中包括访问控制库存的物理或电子版的方针和规程:1) 防止非授权的访问、变更或者损坏;2) 提供灾难恢复的手段。b) 库存清单包括:1) 能安装或运行软件资产的所有平台;2) 所有己授权安装的软件，表明其为i)能单独得到许可权或授权部署的程序包和版本;ii)软件更新与补丁的状态;以及所有的安装平台;3) 持有的基本许可权和有效的完全许可权。注:不要求将基本许可权与有效的完全许可权的库存在物理上隔离，但要求能将两者区分开来。c) 库存清单和对应的物理与电子存储有:1) 软件(确定

39、的主版本和分发副本); 2) 软件构建版和发布版本(原始版本和分发副本); 3) 与软件资产有关的合同(含硬拷贝的和电子版的); 4) 许可证证明文挡。d) 存在库存或其他明确定义的库存机制，以确定任何许可权的使用，以便根据准则(而不是软件安装)确定任何许可权的用法;注:这些要求取决于所用软件的许可权模式。例如，有可能包括组织的特定部门的人员总数等计量数字;满足规定准则的个人计算机的总数;访问服务器资源的用户数或终端数;处理器数;以及处理器的能力。e) 签署协议书以确保以上所列资源的持续可用性。f) 所产生的每份库存报告都有明确描述，其中包括数据源的标识、目的和详细细节。4.4.4 软件资产控

40、制4.4.4. 1 目标软件资产控制过程的目标是对软件资产、对软件和相关资产的变更提供控制机制，同时维护变更状态和批准的记录。4.4.4.2 结果软件资产控制过程的实施将使组织能证实:a) 对软件和相关资产的变更维持有审核记录，包括在状态、位置、管理员和版本等方面的变更。b) 制定、批准和发布了开发、维护和管理软件版本、图像/构造版和发布版的方针和规程。10 GB/T 26236.1-2010/ISO/IEC 19770-1 :2006 c) 制定、批准和发布了相应方针和规程，要求在软件发布到实际环境之前，规定资产的基线以便以后根据实际部署进行检查。4.5 SAM验证和侬从性过程4.5.1 总

41、则SAM验证和依性过程的目标是发现和管理所有SAM的方针、过程及规程中的异常，包括许可证使用权。SAM验证和依性过程对组织来讲是一项很重要的功能。这些过程不是指软件制造商所进行的审核，尽管两者相似。为保证整个SAM过程以及依赖于其的IT服务管理过程正常运作，需要定期实施该过程。SAM验证和依从性过程组成如下za) 软件资产记录验证;b) 软件许可的依从性;c) 软件资产安全性的依从性;d) SAM的符合性验证。4.5.2 软件资产记录验证4.5.2. 1 目标软件资产纪录验证过程的目标是确保记录准确和完整地反映认为有必要记录的内容。另一方面确保记录内容未经批准不可以变更。4.5.2.2 结果软

42、件资产记录验证过程的实施将使组织能证实:a) 制定、批准和颁布软件资产记录验证过程的规程，内容包括:1) 至少每季度核对一次每个平台安装的软件与已授权安装的软件是否一致，并报告发现的异常情况;2) 对于硬件库存及其位置至少每半年验证一次，并报告发现的异常情况;3) 对于软件程序(确定的主版本和分发副本的库存至少每半年验证一次，并报告发现的异常情况54) 对于软件构建(原始版本和分发副本)的库存至少每半年验证一次，并报告发现的异常情况;5) 对许可权证明文档的物理存储每年至少验证(含对真实性)一次，并报告发现的异常情况56) 至少每年评审一次基本许可证以及以其为基础的得到的有效许可证，确保存在必

43、要的基本许可证并确定不会重复计算数量。7) 对与软件资产有关的合同文档的物理存储，就其完备性至少每年验证一次，并报告发现的异常情况;8) 对合同库存清单每年至少验证一次，并报告发现的异常情况;的对上述标识出的任何偏差或重大问题采取后续纠正行动，并形成文档。4.5.3 软件许可的侬从性4.5.3. 1 目标软件许可权的依性过程的目标是，确保组织使用其他人拥有的所有软件及相关资产的知识产权有合适的许可证，且在符合期限和条件的情况下正当办理许可证并使用。4.5.3.2 结果软件许可权的依从性过程的实施将使组织能证实za) 制定、批准和发布软件许可的依从性过程的规程，内容包括:1) 至少每季度核对一次

44、拥有的有效许可证与软件使用所需的许可证之间的一致，要考虑到GB/T 26236.1-201 O/ISO/IEC 19770-1 : 2006 许可证要求是由每个许可证期限和条件决定的;注:许可证要求由库中版本决定，而不是由安装副本决定，例如服务器访问权限。2) 出现不符合方面的问题要及时记录、分析并确定其根本原因;3) 对后续行动排出优先次序井予以执行。4.5.4 软件资产安全的侬从性4.5.4.1 目标软件资产安全的夜从性过程的目标是确保依从与使用软件及相关资产有关的安全要求。4.5.4.2 结果软件资产安全的依.性过程的实施将使组织能证实:a) 对照方针对实际做法每年至少评审一次。注2这里

45、应包括对软件确定的主版本和分发副本的访问控制;以及由用户或用户组规定的安装与使用权。b) 对评审中标识的任何偏差采取后续行动，并形成文档。4.5.5 SAM符合性验证4.5.5. 1 目标SAM符合验证过程的目标是确保继续保持对本部分的要求的符合性，包括对所要求的方针和规程的符合性。4.5.5.2 结果SAM符合性验证过程的实施将使组织能证实za) 为验证对本部分的依从性要求，制定、批准和颁布了方针和规程，以确保根据本部分规定的所有要求，以样本为基础，每年至少验证一次。这里应包括验证该组织对其他SAM过程所实施规程满足本部分为那些规程所规定的要求。b) 备有文档证据以表明:1) 上述验证规程正

46、在进行;2) 采取纠正性后续行动直到成功地找到所有异常情况。4.6 SAM运作管理过程和接口4.6. 1 总则SAM的运作管理过程和接口的目标是执行运作管理功能，这对全面实现SAM的目标和效益是必不可少的。SAM的运作管理过程和接口包括ta) SAM关系与合同管理;b) SAM财务管理;c) SAM服务级别管理;d) SAM安全管理。4.6.2 SAM的关系和合同管理4.6.2. 1 目标SAM关系和合同管理过程的目标是管理与其他组织的关系(包括内部的和外部的)，以确保提供无缝的优质SAM服务，并管理软件及相关资产和服务的全部合同。注:SAM的关系和合同管理与SAM的服务级别管理通常紧联在一起

47、运作，因为服务级别通常定义为有助于管理这样的关系。4.6.2.2 结果12 SAM关系和合同营理过程的实施将使组织能证实:a) 制定、批准和颁布有关管理与提供软件及相关资产和服务的供方之间关系的方针和规程，内容包括:G/T 26236.1-2010/ISO/IEC 19770-1 :2006 1) 定义供方管理的职责，使受指派的个人负起管理每个供方的职责;2) 对软件或相关服务的供给进行招标;确保该过程包括对SAM的要求(含服务级别管理、安全控制、发布和变更管理)的考虑;3) 对供方表现、绩效和问题至少每半年进行一次正式评审并编制文档，对任何拟采取的行动，记录结论和决定。b) 制定、批准和颁布

48、了管理客户方关系的方针和规程，内容包括:1) 就软件、相关资产和服务对管理客户方业务关系的职责加以定义;2) 对客户和业务的当前和未来软件的基本要求每年至少正式评审一次;3) 对服务提供方的表现、客户满意度、绩效和问题每年至少正式评审一次，对拟采取的任何行动，记录结论和决定。c) 制定、批准和颁布了管理合同的方针和规程，内容包括:1) 确保当签署合同时，合同的细节记录在正在使用的合同管理系统中;注:合同管理系统可以是组织内部研发的手工或咆子系统，可用于管理和控制合同。2) 以安全方式持有所有已签署合同的文档副本，并将其存在文档管理系统中;注:当安装第三方软件时，作为选项，这种系统可以电子方式，将接受的限制性规定包括在内。3) 对软件、相关资产和服务的所有合同，在合同期满之前，每半年至少评审一次并文档化，对任何拟采取的行动，记录结论和决定。4.6.3 SAM的财务管理4.6.3. 1 目标SAM的财务管理过程的目标是对软件和相关资产编制预算和建立会计制度;确保财务报告、财税计划和计算(例如所有者