ISO/IEC 19770-1:2012
(Main)Information technology - Software asset management - Part 1: Processes and tiered assessment of conformance
Information technology - Software asset management - Part 1: Processes and tiered assessment of conformance
ISO/IEC 19770-1:2012 establishes a baseline for an integrated set of processes for Software Asset Management (SAM), divided into tiers to allow for incremental implementation, assessment and recognition. ISO/IEC 19770-1:2012 applies to SAM processes and can be implemented by organizations to achieve immediate benefits. It can be applied to all software and related assets, regardless of the nature of the software, where related assets are all other assets with characteristics which are necessary to use or manage software. For example, it can be applied to executable software (such as application programs, operating systems and utility programs) and to non-executable software (such as fonts, graphics, audio and video recordings, templates, dictionaries, documents and data). It can be applied to all technological environments and computing platforms (e.g. virtualized software applications, on-premises or software-as-a-service; it is equally relevant in cloud computing as it is in older computing environments).
Technologies de l'information — Gestion des actifs logiciels — Partie 1: Procédés et évaluation progressive de la conformité
L'ISO/CEI 19770:2012 établit une base de référence pour un ensemble intégré de processus de gestion des actifs logiciels (SAM, Software Asset Management), laquelle est divisée en paliers pour permettre sa mise en ?uvre, son évaluation et sa reconnaissance de manière progressive.
General Information
Relations
Frequently Asked Questions
ISO/IEC 19770-1:2012 is a standard published by the International Organization for Standardization (ISO). Its full title is "Information technology - Software asset management - Part 1: Processes and tiered assessment of conformance". This standard covers: ISO/IEC 19770-1:2012 establishes a baseline for an integrated set of processes for Software Asset Management (SAM), divided into tiers to allow for incremental implementation, assessment and recognition. ISO/IEC 19770-1:2012 applies to SAM processes and can be implemented by organizations to achieve immediate benefits. It can be applied to all software and related assets, regardless of the nature of the software, where related assets are all other assets with characteristics which are necessary to use or manage software. For example, it can be applied to executable software (such as application programs, operating systems and utility programs) and to non-executable software (such as fonts, graphics, audio and video recordings, templates, dictionaries, documents and data). It can be applied to all technological environments and computing platforms (e.g. virtualized software applications, on-premises or software-as-a-service; it is equally relevant in cloud computing as it is in older computing environments).
ISO/IEC 19770-1:2012 establishes a baseline for an integrated set of processes for Software Asset Management (SAM), divided into tiers to allow for incremental implementation, assessment and recognition. ISO/IEC 19770-1:2012 applies to SAM processes and can be implemented by organizations to achieve immediate benefits. It can be applied to all software and related assets, regardless of the nature of the software, where related assets are all other assets with characteristics which are necessary to use or manage software. For example, it can be applied to executable software (such as application programs, operating systems and utility programs) and to non-executable software (such as fonts, graphics, audio and video recordings, templates, dictionaries, documents and data). It can be applied to all technological environments and computing platforms (e.g. virtualized software applications, on-premises or software-as-a-service; it is equally relevant in cloud computing as it is in older computing environments).
ISO/IEC 19770-1:2012 is classified under the following ICS (International Classification for Standards) categories: 35.080 - Software. The ICS classification helps identify the subject area and facilitates finding related standards.
ISO/IEC 19770-1:2012 has the following relationships with other standards: It is inter standard links to ISO/IEC 19770-1:2017, ISO/IEC 19770-1:2006. Understanding these relationships helps ensure you are using the most current and applicable version of the standard.
You can purchase ISO/IEC 19770-1:2012 directly from iTeh Standards. The document is available in PDF format and is delivered instantly after payment. Add the standard to your cart and complete the secure checkout process. iTeh Standards is an authorized distributor of ISO standards.
Standards Content (Sample)
INTERNATIONAL ISO/IEC
STANDARD 19770-1
Second edition
2012-06-15
Information technology — Software asset
management —
Part 1:
Processes and tiered assessment of
conformance
Technologies de l'information — Gestion de biens de logiciel —
Partie 1: Procédés et évaluation progressive de la conformité
Reference number
©
ISO/IEC 2012
© ISO/IEC 2012
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means,
electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or
ISO's member body in the country of the requester.
ISO copyright office
Case postale 56 CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO/IEC 2012 – All rights reserved
Contents Page
Foreword . iv
Introduction . v
1 Scope . 1
1.1 Purpose . 1
1.2 Field of application . 1
1.3 Limitations . 3
2 Conformance . 3
2.1 Intended usage . 3
2.2 Methods of demonstrating full conformance . 3
3 Terms and definitions . 4
4 SAM processes . 6
4.1 General . 6
4.2 Control environment for SAM . 8
4.3 Planning and implementation processes for SAM . 12
4.4 Inventory processes for SAM . 16
4.5 Verification and compliance processes for SAM . 19
4.6 Operations management processes and interfaces for SAM . 23
4.7 Life cycle process interfaces for SAM . 27
5 Tiers . 33
5.1 Overview . 33
5.2 Tier 1 – trustworthy data . 35
5.3 Tier 2 – practical management . 36
5.4 Tier 3 – operational integration . 37
5.5 Tier 4 – full ISO/IEC SAM conformance . 38
Annex A (informative) Reference chart of outcomes by tier . 39
Annex B (informative) Guidance on selected topics . 43
Annex C (informative) Cross reference to industry best practice guidance . 45
Annex D (informative) Roadmap . 73
Annex E (informative) Industry capability/maturity approaches . 75
Bibliography . 80
© ISO/IEC 2012 – All rights reserved iii
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that are members of
ISO or IEC participate in the development of International Standards through technical committees
established by the respective organization to deal with particular fields of technical activity. ISO and IEC
technical committees collaborate in fields of mutual interest. Other international organizations, governmental
and non-governmental, in liaison with ISO and IEC, also take part in the work. In the field of information
technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of the joint technical committee is to prepare International Standards. Draft International
Standards adopted by the joint technical committee are circulated to national bodies for voting. Publication as
an International Standard requires approval by at least 75 % of the national bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights.
ISO/IEC 19770-1 was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology,
Subcommittee SC 7, Software and system engineering.
This second edition cancels and replaces the first edition (ISO/IEC 19770-1:2006), which has been technically
revised.
ISO/IEC 19770 consists of the following parts, under the general title Information technology — Software
asset management:
Part 1: Processes and tiered assessment of conformance
Part 2: Software identification tag
The following parts are under preparation:
Part 3: Software entitlement tag
Part 5: Overview and vocabulary
Part 5 will define a common set of vocabulary for the ISO/IEC 19770 series, which may update definitions
given in previously published parts.
Tag management will form the subject of a future Part 7.
iv © ISO/IEC 2012 – All rights reserved
Introduction
This part of ISO/IEC 19770 is for organizations that want to achieve best practice in Software Asset
Management (SAM). It grew out of ISO/IEC 19770-1:2006 Software asset management processes which was
a comprehensive standard designed to align to all of service management as specified in ISO/IEC 20000.
However, market feedback was that organizations wanted something which could be accomplished in multiple
increments and to that increment most suited to the needs of the organization. This part of ISO/IEC 19770 has
been designed to make implementation of SAM and conformance to a published standard possible at any one
of these increments, called “tiers”, which are cumulative. This allows for free-standing independent
certification which correspond to natural levels of development and management priority. Recognition is given
to those organizations through the ability to publicly display that certification has been achieved to a stated tier.
Division into tiers is designed so that standardized SAM is within reach of most organizations. Those
implementing SAM for the first time can often implement SAM more rapidly by also applying careful scoping of
the software assets covered and by scoping the parts of the organization covered by SAM. An organization
will not normally cover everything possible in-scope and software scope and organizational scope definitions
are allowed as described in Clause 1 Scope. Any scope may be defined so long as it is not ambiguous.
When an organization chooses to narrow the scope of SAM in this way, certain factors should be considered
so that all desired benefits and objectives of the organization can be achieved. For example, for good security
it is usually necessary for all assets within certain sections of an organization’s infrastructure to be included
within the scope of SAM. Furthermore, it is impossible to manage software assets without also managing the
hardware on which it runs and this part of ISO/IEC 19770 may be used for both. The term SAM is intended to
cover all software-related assets within IT and use of the term SAM for this part of ISO/IEC 19770 reflects the
organizational location of the responsible ISO/IEC Working Group and reflects market usage. SAM has wide
ranging benefits across other interrelated practices of managing IT assets and implementers of good SAM
practices can expect to attain benefits beyond management of the software itself.
The four tiers of SAM as defined in this part of ISO/IEC 19770 are shown in Figure 1. For a fuller description
of the four tiers, see Clause 5 Tiers. They can be briefly explained as follows:
© ISO/IEC 2012 – All rights reserved v
Figure 1 — The four tiers of SAM
The major associated benefits of each tier are:
Tier 1: Trustworthy Data. Achieving this tier means knowing what you have so that you can manage it.
Good data is a prerequisite for good SAM. A common management observation which applies here is
that “you cannot manage what you do not know”. This tier also provides the basis for demonstrating
license compliance, which is typically a high priority management objective.
NOTE Other parts of ISO/IEC 19770 define a Software Identification Tag (ISO/IEC 19770-2), and a Software
Entitlement Tag (ISO/IEC 19770-3) that are intended to simplify the task of achieving trustworthy data.
Tier 2: Practical Management. Achieving this tier means improving management controls and driving
immediate benefits.
In practice, management typically only starts to take ownership of issues related to SAM after the
organization has recognized the issues which result from not having trustworthy data. The
organization recognizes the extent of the risks it faces as well as the opportunities for improvement
and savings. This tier covers the basic management control environment (see 4.2 Control
environment for SAM), including policies, roles and responsibilities. It also includes targeting and
delivering “quick wins” made obvious by the data of Tier 1.
Tier 3: Operational Integration. Achieving this tier means improving efficiency and effectiveness.
Building on the foundation of the previous two tiers, this tier drives the integration of SAM into
operational processes (see 4.6 Operations management processes and interfaces for SAM). The
result is improved efficiency and effectiveness.
NOTE Other parts of ISO/IEC 19770 define a Software Identification Tag (ISO/IEC 19770-2), and a Software
Entitlement Tag (ISO/IEC 19770-3) that are designed to simplify the task of integration.
vi © ISO/IEC 2012 – All rights reserved
Tier 4: Full ISO/IEC SAM conformance. Achieving this tier means achieving best-in-class strategic
SAM.
This tier addresses the more advanced and demanding aspects of full SAM, including its full
integration into strategic planning for the organization.
The first three tiers are defined as subsets of the total set of process areas and outcomes defined in this part
of ISO/IEC 19770, i.e. each process area has a single SAM objective, such as Software Asset Identification,
and contains multiple outcomes for processes to support each objective. See Annex A for a summary table
illustrating this structure.
The tiers build on one another with Tier 4 defined as the total set of process areas and outcomes defined in
this part of ISO/IEC 19770. Note that the process areas and outcomes defined in this part of ISO/IEC 19770
are largely unchanged from ISO/IEC 19770-1:2006 but some minor clarifications have been included. The
structure of process group objectives containing multiple outcomes has also been consistently maintained.
Conformance may now be established to any specific tier. Although each can be certified separately, each
relies on the continued performance of the previous tiers. In practical terms, this would typically mean that an
organization going through a certification exercise for a higher tier would receive the usual review visit by the
certifier for surveillance of any previous tier or tiers, and this same certifier visit would review the higher tier
too.
A fuller explanation of the tiers and their makeup is given in Clause 5.
The overall benefits of SAM should include:
a) Risk management: for example mitigating interruption or deterioration of IT/services; legal and regulatory
exposure;
b) Cost control: reduced direct costs of software and reduced direct costs of software, related assets
(see 1.2 for a description of related assets) and ongoing support costs and contracts;
c) Competitive advantage: better business decisions and satisfaction from trustworthy data always at-hand.
Typically business requirements may mean targeting priority areas, such as for particular software
manufacturers or sometimes for a specified group of organizational units. Choices of tiers, combined with
scoping, allow for many organizations to benefit from standardized SAM processes as described in
Clause 1 Scope.
In principle it would also be possible to use a capability or maturity approach to define a standard which can
be accomplished in stages. In practice however, such an approach is significantly more complex if it is to be
independently certifiable. This notwithstanding, it is intended to develop such an approach in the future, after a
planned revision of the first edition of ISO/IEC 15504 is completed. This will allow for a convergence of
approaches based on this part of ISO/IEC 19770 and on other methodologies in the marketplace based on
maturity.
© ISO/IEC 2012 – All rights reserved vii
INTERNATIONAL STANDARD ISO/IEC 19770-1:2012(E)
Information technology — Software asset management —
Part 1:
Processes and tiered assessment of conformance
1 Scope
1.1 Purpose
This part of ISO/IEC 19770 establishes a baseline for an integrated set of processes for Software Asset
Management (SAM), divided into tiers to allow for incremental implementation, assessment and recognition.
1.2 Field of application
This part of ISO/IEC 19770 applies to SAM processes and can be implemented by organizations to achieve
immediate benefits. ISO/IEC 19770-2 provides a corresponding specification for software identification tags,
which requires implementation by software manufacturers (external and internal) and by tool developers for its
full benefits to be achieved
It is intended that this part of ISO/IEC 19770 be an implementation standard for organizations. Future editions
may provide a measurement framework that is aligned to the requirements in ISO/IEC 15504-2:2003 or the
future International Standard ISO/IEC 33003 .
This part of ISO/IEC 19770 applies to all organizations of any size or sector. For the purposes of conformance,
this part of ISO/IEC 19770 can only be applied to a legal entity, or to parts of a single legal entity. It may also
be applied to multiple legal entities (e.g. the parent and subsidiaries of a multinational organization) where
there is a legal controlling relationship between them, so that one entity may exercise control over the others.
It applies only where such a controlling entity exercises control over the entire scope (as defined for purposes
of conformance) and the assessor of conformance accepts this definition of organizational scope.
NOTE The definition of organizational scope is documented as part of the Corporate governance process for SAM
(4.2.2).
This part of ISO/IEC 19770 may be applied to an organization which has outsourced SAM processes, with the
responsibility for demonstrating conformance always remaining with the outsourcing organization.
This part of ISO/IEC 19770 can be applied to all software and related assets, regardless of the nature of the
software, where related assets are all other assets with characteristics which are necessary to use or manage
software. For example, it can be applied to executable software (such as application programs, operating
systems and utility programs) and to non-executable software (such as fonts, graphics, audio and video
recordings, templates, dictionaries, documents and data). It can be applied to all technological environments
and computing platforms (e.g., virtualized software applications, on-premises or software-as-a-service; it is
equally relevant in cloud computing as it is in older computing environments).
NOTE The definition of software asset scope (software types to be included within the scope) is documented as part
of the SAM Plan developed in the Planning for SAM process. It may be defined in any way considered appropriate by the
organization, such as for all software, for all program software, for all software on specific platforms, or for the software of
specified manufacturers, as long as it is unambiguous. See also explanations following in this subclause and in Table 1.
ISO/IEC 33003, Systems and software engineering — Requirements for process measurement frameworks.
© ISO/IEC 2012 – All rights reserved 1
With the exception of the requirements of 4.7.4 Software development process, it is not required for this part
of ISO/IEC 19770 to be applied to software development in the sense of the development and maintenance of
code. It is intended that it be applied to all software in a live environment and precursor activities, such as
configuring software and creating and controlling production builds and releases. The exact dividing line
between what is considered pure development, and therefore excluded, and what is related to the live
environment, and therefore included, may be defined making use of the unambiguous formal statements of
organizational scope or software scope.
NOTE Software used to develop other software is considered part of the live environment, i.e. the software used by
software developers must itself be controlled.
The following forms of software assets are within the scope of this part of ISO/IEC 19770:
a) software use rights, reflected by full ownership (as for in-house developed software) and licenses (as for
most externally sourced software, whether commercial or open-source);
b) software for use, which contains the intellectual property value of software (including original software
provided by software manufacturers and developers, software builds, and software as installed and
otherwise provisioned, consumed or executed); and
c) media holding copies of software for use.
NOTE From a financial accounting point of view, it is primarily category (a) which may be considered an asset, and
even then it may have been completely written off. From a financial accounting point of view, category (b) may be viewed
as actually creating a liability (rather than an asset) with commercial software if it is not properly licensed. This part of
ISO/IEC 19770 considers categories (b) and (c) proper assets to be controlled as well as (a). Licenses may have
bookkeeping value, but software in use in particular should have business value and needs to be treated as a business
asset.
Related assets within the scope are all other assets with characteristics which are necessary to use or
manage software in scope. Any characteristics of these related assets which are not required to use or
manage software are outside of the scope. Table 1 provides examples of these.
Table 1 — Application of ISO/IEC 19770-1 to Non-Software Assets
Asset type Applicability Example
Normative for hardware assets Inventory of equipment on which software
Hardware
with characteristics required for can be stored, executed or otherwise used;
the use or management of number of processors or processing power;
software assets in scope whether the hardware qualifies for counting
for site licensing purposes
Not applicable for characteristics Cost and depreciation of hardware,
not required for the use or preventive maintenance renewal dates
management of software assets
in scope
Other assets Normative for other assets with Personnel names for identifying
characteristics required for the custodianship; personnel counts for
use or management of software licensing, where determined on this basis; IT
assets in scope infrastructure or architecture (including
interfaces) if needed to determine the proper
usage for certain license metrics, e.g. to
identify multiplexing
Not applicable for characteristics Other personnel information
not required for the use or
management of software assets
in scope
2 © ISO/IEC 2012 – All rights reserved
1.3 Limitations
This part of ISO/IEC 19770 does not detail the SAM processes in terms of methods or procedures required to
meet the requirements for outcomes of a process.
This part of ISO/IEC 19770 does not specify the sequence of steps an organization should follow to implement
SAM, nor is any sequence implied by the sequence in which processes are described. The only sequencing
which is relevant is that which is required by content and context. For example, planning should precede
implementation.
This part of ISO/IEC 19770 does not detail documentation in terms of name, format, explicit content and
recording media.
Details of certification and recognition schemes are outside of the scope of this part of ISO/IEC 19770.
This part of ISO/IEC 19770 is not intended to be in conflict with any organization's policies, procedures and
standards or with any national laws and regulations. Any such conflict should be resolved before using this
part of ISO/IEC 19770.
2 Conformance
2.1 Intended usage
This part of ISO/IEC 19770 is intended for use as best practice guidance, and also to allow for the possibility
of independent certification of achievement of the individual tiers. There is choice, however, in the ways of
assessing an organization’s conformance.
This part of ISO/IEC 19770 has been written to allow continuity with ISO/IEC 19770-1:2006, but in addition to
allow assessment following the same approach used in other standards that are accepted as defining a
management system standards framework as defined in ISO Guide 72. In particular, this means that the
assessor has the newly added option of assessing against the overall objective of each of the process areas,
or the previous approach of assessing against all of the detailed outcomes for each of the process areas, as
for ISO/IEC 19770-1:2006. One choice must be applied consistently as a way of assessing across all process
areas.
2.2 Methods of demonstrating full conformance
The requirements in this part of ISO/IEC 19770 are contained in the objectives and outcomes listed within
Clause 4 of this part of ISO/IEC 19770. Any claim of conformance shall be a claim of full conformance to the
provisions of this part of ISO/IEC 19770 as described below, including for any outsourced processes.
Full conformance with any of the tiers of this part of ISO/IEC 19770 is achieved in either of two ways:
By demonstrating that all of the requirements of the respective tier of this part of ISO/IEC 19770 have
been satisfied using the outcomes as evidence; or
By demonstrating that all of the objectives of the respective tier of this part of ISO/IEC 19770 have
been achieved.
Furthermore, it must be demonstrated that any underlying tiers are currently certified for full conformance and
that they are being monitored for continuing full conformance by a surveillance program accepted by the
assessor; or alternatively that any underlying tiers are being certified as part of the current assessment.
© ISO/IEC 2012 – All rights reserved 3
If full conformance is achieved by demonstrating that all of the objectives of the respective tier of this part of
ISO/IEC 19770 have been met, two further requirements exist:
Where a process area includes outcomes in different tiers, the objective for that process area shall be
interpreted correspondingly for assessments of each tier.
The assessor shall, in addition to reviewing evidence demonstrating that all objectives are achieved,
still take into account the specified outcomes for the respective tier. Where there is any failure to meet
all specified outcomes, for each such outcome the assessor shall explain in writing their reason(s) for
accepting the objectives of a tier are nevertheless still fully satisfied without need for that outcome.
For the avoidance of doubt, where outcomes are specified using the word “including” which is then followed by
a list, this is to be understood as requiring all of the items in the list, with additional unlisted items possible but
not required.
3 Terms and definitions
For the purposes of this document, the following terms and definitions apply.
3.1
baseline
snapshot of the state of a service or individual configuration items (3.2) at a point in time
[ISO/IEC 20000-1:2005]
3.2
configuration item
CI
component of an infrastructure or an item which is or will be under control
NOTE 1 For the purpose of this part of ISO/IEC 19770, 'under control' means under the control of inventory
processes. Inventory processes for SAM (4.4) are the basis not only for SAM, but for all of configuration management.
NOTE 2 Configuration items or CIs are commonly defined as part of Service Management practice and may vary
widely in complexity, size and type, ranging from an entire system including all hardware, software and documentation, to
a single module or a minor hardware component.
3.3
corporate board or equivalent body
person or group of people who assumes legal responsibility for conducting or controlling an organization at the
highest level
3.4
definitive master version
originating instance of the software that is used to install or provision the software
EXAMPLE Source used to create distribution copies.
NOTE Install can apply to executable or non-executable software, or related assets such as fonts. It can apply to
installs on clients/local devices and/or server-side installs, for example as part of a service-type software asset provision.
3.5
distribution copy
copy of the software definitive master version, for the purposes of installation onto other hardware, which
resides for example on a server, or on physical media such as CDs
3.6
effective full license
license rights for software which allow one full use of the software
4 © ISO/IEC 2012 – All rights reserved
NOTE 1 An effective license consists of one or more underlying licenses (3.16).
EXAMPLE In some licensing an underlying full license for version 1 of a software product, plus an underlying
upgrade license to version 2 of the software product, combine to produce one effective full license for version 2 of the
software product. In this example, sometimes the upgrade license rights can come from a support contract or subscription.
NOTE 2 Full use of the software is as defined in the terms and conditions of the license(s).
3.7
local SAM owner
individual at any level of the organization below that of the SAM owner (3.13) who is identified as being
responsible for SAM for a defined part of the organization.
3.8
personnel
any individual expected to perform duties on behalf of the organization, including officers, employees and
contractors
3.9
platform
type of computer or hardware device and/or associated operating system, or a virtual environment, on which
software can be installed or run
NOTE A platform is distinct from the unique instances of that platform, which are typically referred to as devices or
instances.
3.10
procedure
specified way to carry out an activity or process
NOTE When a procedure is specified as an outcome, the resulting deliverable will typically specify what must be
done, by whom, and in what sequence. This is a more detailed level of specification than for a process (3.11).
3.11
process
set of interrelated activities, which transforms inputs into outputs
NOTE When a process definition is specified as an outcome, the resulting deliverable will typically specify inputs and
outputs, and give a general description of expected activities. However, it does not require the same level of detail as for a
procedure (3.10).
3.12
release
collection of new and/or changed configuration items which are tested and introduced into a live environment
together
NOTE A release must have technical approval for this purpose but may not yet be authorized for deployment. A
release may consist of source-code, code for execution or of multiple software assets packaged into an internal production
release and tested for a target platform.
[ISO/IEC 20000-1:2005, with note added specific to this part of ISO/IEC 19770.]
3.13
SAM owner
individual at a senior organization-wide level who is identified as being responsible for SAM
3.14
software
all or part of the programs, procedures, rules, and associated documentation of an information processing
system
© ISO/IEC 2012 – All rights reserved 5
NOTE 1 There are multiple definitions of software in use. For the purpose of this part of ISO/IEC 19770, it is typically
important to include both executable and non-executable software, such as fonts, graphics, audio and video recordings,
templates, dictionaries, and documents. (See also 1.2 Field of Application.)
NOTE 2 The user of this part of ISO/IEC 19770 is required to define their own scope for its application, and may restrict
the types of software to be considered in scope. (See also Clause 1 Scope.)
[ISO/IEC 2382-1:1993, 01.01.08, with notes added specific to this part of ISO/IEC 19770.]
3.15
software asset management
SAM
effective management, control and protection of software assets within an organization, and the effective
management, control and protection of information about related assets which are needed in order to manage
software assets.
NOTE A corresponding definition from the Information Technology Infrastructure Library (ITIL®) is “all of the
infrastructure and processes necessary for the effective management, control and protection of the software assets within
an organization, throughout all stages of their lifecycle”
3.16
underlying license
license for software use as originally purchased or procured, and which can typically be linked directly to
purchase records
NOTE An underlying license may have conditions associated with it, requiring it to be used in combination with
another license or licenses to create an effective full license (3.6). It may also have capacity or permission to use future
versions of the software, or specify ways or limitations to how it may be upgraded or replaced by a new version, or how
the license may be upgraded by combining with another license that is linked directly to a another purchase record.
4 SAM processes
4.1 General
4.1.1 Definition and relationship to service management
Software asset management is the effective management, control and protection of software assets within an
organization, and the effective management, control and protection of information about related assets which
are needed in order to manage software assets.
SAM processes as defined in this part of ISO/IEC 19770 are closely aligned to and intended to closely support
IT service management as defined in ISO/IEC 20000-1.
4.1.2 Overview of SAM processes
The overall conceptual framework for SAM processes is comprehensive and does not by itself reflect the Tiers
as described in the Introduction or in Clause 5 Tiers. Figure 1 below gives the conceptual framework for the
SAM processes and is broken down into three main categories:
a) Organizational management processes for SAM;
b) Core SAM processes;
c) Primary process interfaces for SAM.
The processes are described in further detail in 4.2 to 4.7.
6 © ISO/IEC 2012 – All rights reserved
Figure 2 — Framework for SAM processes
4.1.3 Outcomes, activities and interfaces
This part of ISO/IEC 19770 has been written using the process elements of title, objective, and outcomes.
This part of ISO/IEC 19770 does not include activities, which are actions which may be used to achieve the
outcomes.
The outcomes specified in this part of ISO/IEC 19770 are designed to be readily assessable, but will not
necessarily indicate the breadth of activities which may be needed to produce them. For example, the
maintenance of inventories in the Software asset inventory management process will logically require data
validation activities, although this is not cited as an outcome in this part of ISO/IEC 19770. (Data integrity is
assured in this part of ISO/IEC 19770 by the Verification and compliance processes for SAM.)
Some of the most important activities are interface activities with other processes. For example, when a
software asset is purchased (or 'acquired') the objective to be met is "The objective of the Acquisition process
in respect of software and related assets is to ensure that they are acquired in a controlled manner and
recorded." This process, and many others, will require an invoking of the Software asset inventory
management process to record the data and validate it for required fields etc. Another example is the creation
of baselines, which are created in the Software asset control process. This process is invoked by the Software
development process and the Software release management process. It is not the objective of this part of
ISO/IEC 19770 to specify this type of detail, but such activities or interfaces are implicitly required in order to
achieve the stated objectives.
© ISO/IEC 2012 – All rights reserved 7
4.2 Control environment for SAM
4.2.1 General
The Control environment for SAM establishes and maintains the management system within which the other
SAM processes are implemented.
The Control environment for SAM consists of the following process areas:
a) Corporate governance process for SAM;
b) Roles and responsibilities for SAM;
c) Policies, processes and procedures for SAM;
d) Competence in SAM.
4.2.2 Corporate governance process for SAM
4.2.2.1 Objective
The objective of the Corporate governance process for SAM is to ensure that Applicable to
responsibility for management of software assets is recognized at the level of the tiers 2 and 4
corporate board or equivalent body, and that appropriate mechanisms are in place to
ensure the proper discharge of this responsibility.
NOTE This process could be considered part of overall corporate governance of IT – see
ISO/IEC 38500.
8 © ISO/IEC 2012 – All rights reserved
4.2.2.2 Outcomes
Tier
Outcome
1 2 3 4
Implementation of the Corporate governance process for SAM will enable the organization to demonstrate
that:
a) There is a clear corporate statement of organizational scope for the purposes of this
●
part of ISO/IEC 19770 about:
1) the legal entity or parts of a legal entity which are included in scope.
NOTE One factor to consider in defining organizational scope may be existing
software contracts which are based on specific organizational scopes.
2) the specific single body or individual that has overall corporate management
responsibility for that entity or parts of that entity.
NOTE This specific body or individual is referred to subsequently as the 'corporate
board or equivalent body'.
b) Responsibility for corporate governance of software and related assets is formally
●
recognized by the corporate board or equivalent body.
c) Corporate governance regulations or guidelines which are relevant to the
organization for its use of software and related assets, in all countries where it ●
operates, have been identified and documented, and are reviewed at least annually.
d) An assessment of the risks associated with software and related assets, and
management-specified mitigation approaches, is documented, updated at least
●
annually, and approved by the corporate board or equivalent body, covering at least
the following:
1) Risk of regulatory non-compliance.
NOTE This could refer for example to privacy protection for personnel software
usage monitoring; data protection for SAM records held on individuals; and industry-
specific requirements, such as in the pharmaceutical industry.
2) Risk of violation of security requirements.
NOTE The impact of security violations may include for example the interruption of
business operations, the misuse of confidential information by competitors, and
reputational damage resulting from insufficient protection of customer privacy.
3) Risk of licensing non-compliance.
4) Risk of interruption of operations due to problems with the IT infrastructure
which could result from inadequate SAM.
5) Risk of excessive spending on licensing and other IT support costs due to
inadequate SAM.
6) Risks associated with decentralized vs. centralized management approaches
for software and related assets.
NOTE It may be highly desirable for culture and efficiency reasons to decentralize
operational management of SAM. However, such approaches may find it more difficult
to achieve cost savings, and may have higher risk exposures, such as to licensing non-
compliance, than centralized management approaches. For example, any licensing non-
compliance in any decentralized operation still threatens the reputation and creates legal
exposure for the entire organization.
It is probably prudent, even in a decentralized operational management environment, to
centrally manage selected information and management review in such a way that
distributed management can operate SAM without increased risk. Managing centralized
information itself usually involves some centralized management oversight for SAM.
7) Risks associated with different countries of operation taking into account local
compliance cultures and enforcement approaches.
e) The management objectives for SAM are approved by the corporate board or
●
equivalent body, and reviewed at least annually.
© ISO/IEC 2012 – All rights reserved 9
4.2.3 Roles and responsibilities for SAM
4.2.3.1 Objective
The objective of the Roles and responsibilities for SAM process is to ensure that the roles Applicable to
and responsibilities for software and related assets are clearly defined, maintained and Tier 2
understood by all personnel potentially affected.
NOTE These roles and responsibilities include in particular any which link into regulatory or
corporate governance requirements.
4.2.3.2 Outcomes
Tier
Outcome
1 2 3 4
Implementation of the Roles and responsibilities for SAM process will enable the organization to
demonstrate that:
a) The role of the SAM owner, responsible for corporate governance of software and
related assets for the entire organization, is clearly defined and approved by the
●
corporate board or equivalent body. Responsibilities assigned include the following
for the entire organization:
1) Proposing management objectives for SAM.
2) Overseeing the development of the SAM plan.
3) Obtaining resources for implementing the approved SAM plan.
4) Delivering results against the approved SAM plan.
5) Ensuring that all local SAM owners discharge their responsibilities properly, and
that all parts of the organization are covered by the SAM owner or local SAM
owners, without conflicting overlap.
b) Local roles and responsibilities for corporate governance of software and related
assets are documented and assigned to specified individuals. Responsibilities
●
assigned include the following for the part of the organization for which each
individual is responsible:
1) Obtaining resources for implementing the approved SAM plan.
2) Delivering results against the approved SAM plan.
3) Adopting and implementing necessary policies, processes and procedures.
4) Maintaining accurate records of software and related assets.
5) Ensuring that management and technical approvals are required for
procurement, deployment and control of software assets.
6) Managing contracts, supplier relationships, and internal customer relationships.
7) Identifying the need for and implementing improvements.
NOTE 1 This part of ISO/IEC 19770 differentiates between the corporate SAM owner and local
roles and responsibilities because some organizations with multiple locations make such a
distinction in their management roles. Where there is only one location, or the remote locations are
small and directly managed by the central location, then these two sets of functions merge.
NOTE 2 Responsibilities may be assigned to specific positions, or to classes of positions, so
long as the nature of those responsibilities, and accountability for their discharge, is clear. In
practice, this means that it is not necessary to assign different responsibilities to different physical
persons, especially in smaller organizations where such division of duties is not practical.
c) These responsibilities are communicated to all parts of the organization involved in
any way with SAM, in the same way as other organization-wide and local policies ●
are communicated.
10 © ISO/IEC 2012 – All rights reserved
4.2.4 Policies, processes and procedures for SAM
4.2.4.1 Objective:
The objective of the Policies, processes and procedures for SAM process is to ensure Applicable to
that an organization maintains clear policies, processes and procedures to ensure Tier 2
effective planning, operation and control of SAM.
4.2.4.2 Outcomes
Tier
Outcome
1 2 3 4
Implementation of the Policies, processes and procedures for SAM process will enable the organization to
demonstrate that:
a) There is a structured approach to creating, reviewing, approving, issuing, and
controlling policies, processes, procedures and related docum
...
NORME ISO/CEI
INTERNATIONALE 19770-1
Deuxième édition
2012-06-15
Technologies de l’information —
Gestion des actifs logiciels —
Partie 1:
Procédés et évaluation progressive de
la conformité
Information technology — Software asset management —
Part 1: Processes and tiered assessment of conformance
Numéro de référence
ISO/CEI 19770-1:2012(F)
©
ISO/CEI 2012
ISO/CEI 19770-1:2012(F)
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO/CEI 2012
Droits de reproduction réservés. Sauf indication contraire, aucune partie de cette publication ne peut être reproduite ni utilisée
sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie, l’affichage sur
l’internet ou sur un Intranet, sans autorisation écrite préalable. Les demandes d’autorisation peuvent être adressées à l’ISO à
l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Version française parue en 2013
Publié en Suisse
ii © ISO/CEI 2012 – Tous droits réservés
ISO/CEI 19770-1:2012(F)
Sommaire Page
Avant-propos .iv
Introduction .v
1 Domaine d’application . 1
1.1 Objet . 1
1.2 Champ d’application . 1
1.3 Limitations . 3
2 Conformité . 3
2.1 Utilisation prévue . 3
2.2 Méthodes d’établissement de conformité totale . 4
3 Termes et définitions . 4
4 Processus de gestion des actifs logiciels (Processus SAM) . 7
4.1 Généralités . 7
4.2 Environnement de contrôle pour le SAM . 9
4.3 Processus de planification et de mise en œuvre du SAM .14
4.4 Processus d’Inventaire SAM .17
4.5 Processus de vérification et de conformité SAM.21
4.6 Processus et Interfaces de gestion opérationnelle pour le SAM .25
4.7 Interfaces SAM des processus du cycle de vie.29
5 Paliers .36
5.1 Vue d’ensemble .36
5.2 Palier 1 — Données fiables.37
5.3 Palier 2 — Gestion pratique .38
5.4 Palier 3 — Intégration opérationnelle .39
5.5 Palier 4 — Conformité intégrale ISO/CEI du SAM .40
Annexe A (informative) Tableau de référence des résultats par palier .42
Annexe B (informative) Lignes directrices sur des sujets donnés .48
Annexe C (informative) Renvoi au guide des meilleures pratiques dans le secteur .50
Annexe D (informative) Guide .82
Annexe E (informative) Approches de capacité / maturité du secteur .85
Bibliographie .90
© ISO/CEI 2012 – Tous droits réservés iii
ISO/CEI 19770-1:2012(F)
Avant-propos
L’ISO (Organisation internationale de normalisation) et la CEI (Commission électrotechnique
internationale) forment le système spécialisé de la normalisation mondiale. Les organismes nationaux
membres de l’ISO ou de la CEI participent au développement de Normes internationales par l’intermédiaire
des comités techniques créés par l’organisation concernée afin de s’occuper des domaines particuliers
de l’activité technique. Les comités techniques de l’ISO et de la CEI collaborent dans des domaines
d’intérêt commun. D’autres organisations internationales, gouvernementales et non gouvernementales,
en liaison avec l’ISO et la CEI participent également aux travaux. Dans le domaine des technologies de
l’information, l’ISO et la CEI ont créé un comité technique mixte, l’ISO/CEI JTC 1.
Les Normes internationales sont rédigées conformément aux règles données dans les Directives
ISO/CEI, Partie 2.
La tâche principale des comités techniques est d’élaborer les Normes internationales. Les projets de
Normes internationales adoptés par les comités techniques sont soumis aux comités membres pour vote.
Leur publication comme Normes internationales requiert l’approbation de 75 % au moins des comités
membres votants.
L’attention est appelée sur le fait que certains des éléments du présent document peuvent faire l’objet de
droits de propriété intellectuelle ou de droits analogues. L’ISO ne saurait être tenue pour responsable de
ne pas avoir identifié de tels droits de propriété et averti de leur existence.
L’ISO/CEI 19770-1 a été élaborée par le comité technique mixte ISO/CEI JTC 1, Technologies de l’information,
sous-comité SC 7, Ingénierie du logiciel et des systèmes.
Cette deuxième édition annule et remplace la première édition (ISO/CEI 19770-1:2006), qui a fait l’objet
d’une révision technique.
L’ISO/CEI 19770 comprend les parties suivantes, présentées sous le titre général Technologies de
l’information — Gestion des actifs logiciels:
— Partie 1: Procédés et évaluation progressive de la conformité
— Partie 2: Marqueurs d’identification du logiciel
Les parties suivantes sont en cours d’élaboration:
— Partie 3: Marqueurs de recevabilité du logiciel
— Partie 5: Aperçu général et vocabulaire
La Partie 5 définit un ensemble terminologique commun applicable à la série de normes ISO/CEI 19770
qui peut actualiser les définitions données dans les parties précédemment publiées.
La «Gestion des marqueurs» fera l’objet d’une future Partie 7.
iv © ISO/CEI 2012 – Tous droits réservés
ISO/CEI 19770-1:2012(F)
Introduction
La présente partie de l’ISO/CEI 19770 est destinée aux organisations qui souhaitent avoir les meilleures
pratiques en matière de Gestion des actifs logiciels (SAM, Software Asset Management). Elle est issue de
l’ISO/CEI 19770-1:2006 Software asset management processes (Processus de gestion des actifs logiciels)
qui était une norme exhaustive conçue pour l’harmonisation de l’ensemble de la gestion des services
telle que spécifiée dans l’ISO/CEI 20000.
Cependant, la réaction du marché indiquait que les organisations recherchaient quelque chose qui
pourrait être réalisé par étapes successives, chacune devant correspondre au mieux aux besoins de
l’organisation. La présente partie de l’ISO/CEI 19770 a pour objet de pouvoir réaliser la mise en œuvre du
SAM et sa mise en conformité avec une norme publiée au niveau de n’importe lequel de ces incréments,
désignés «paliers», qui sont cumulatifs. Cela favorise une certification autonome séparée qui correspond
aux niveaux naturels de développement et de priorité de gouvernance. Les organisations sont reconnues
lorsqu’elles démontrent publiquement leur aptitude à obtenir la certification à un palier donné.
La division en paliers est conçue pour que la normalisation du SAM soit à la portée de la plupart des
organisations. Les organisations mettant en place le SAM pour la première fois, peuvent généralement
réaliser une mise en œuvre plus rapide en procédant également à une délimitation minutieuse des actifs
logiciels et des parties de l’organisation couvertes par le SAM. Normalement une organisation ne couvrira
pas tout ce qui est possible dans le domaine d’application. Les définitions du domaine d’application des
logiciels et du domaine d’application organisationnel sont admises telles qu’elles sont décrites dans
l’Article 1 Domaine d’application. Tout domaine d’application peut être défini tant qu’il n’est pas ambigu.
Lorsqu’une organisation choisit de restreindre de cette façon le domaine d’application du SAM, il
convient de prendre en compte certains facteurs afin de pouvoir bénéficier de tous les avantages et
atteindre les objectifs escomptés de l’organisation. Par exemple, pour garantir une bonne sécurité, il est
généralement nécessaire que tous les biens contenus dans certaines sections de l’infrastructure d’une
organisation soient inclus dans le domaine d’application du SAM. Par ailleurs, il est impossible de gérer
les actifs logiciels sans gérer également le matériel sur lequel les logiciels sont exécutés; la présente
partie de l’ISO/CEI 19770 peut être utilisée pour les deux fonctions. Le terme «SAM» est destiné à couvrir
tous les biens et droits de propriété intellectuelle associés au logiciel dans le cadre des technologies de
l’information et l’utilisation du terme «SAM» dans la présente partie de l’ISO/CEI 19770 reflète le souci
de contextualisation du Groupe de travail ISO/CEI responsable ainsi que l’usage qui en est fait sur le
marché. Le SAM offre une large gamme d’avantages parmi d’autres pratiques corrélées de gestion des
biens relevant des technologies de l’information et les personnes chargées de mettre en application les
bonnes pratiques du SAM peuvent espérer tirer des avantages au-delà de ceux que procure la gestion
même des logiciels et droits de propriété intellectuelle y afférents.
Les quatre paliers du SAM tels que définis dans la présente partie de l’ISO/CEI 19770 sont illustrés à la
Figure 1. Pour une description plus exhaustive de ces quatre paliers, voir l’Article 5 Paliers. Ils peuvent
être brièvement expliqués comme suit:
© ISO/CEI 2012 – Tous droits réservés v
ISO/CEI 19770-1:2012(F)
Palier 4
Conformité intégrale ISO/CEI du SAM
Réaliser les meilleures pratiques et une gestion
Palier 3
stratégique du SAM
Intégration opérationnelle du SAM
Palier 2
Améliorer l’efficience et l’efficacité des processus SAM
Palier 1
Gestion pratique du SAM
Améliorer les contrôles & générer des bénéfices immédiats
Fiabilité des données du SAM
Identifier ses actifs logiciels afin d’en améliorer la gestion
Figure 1 — Les quatre paliers du SAM
Les principaux avantages associés à chaque palier sont:
— Palier 1: Fiabilité des données du SAM (Trustworthy Data). Atteindre ce palier signifie identifier ce
que l’on détient pour pouvoir le gérer.
— La fiabilité des données est un préalable indispensable au SAM. Un principe courant de gestion qui
s’applique ici est «on ne peut pas gérer ce qu’on ne connaît pas». Ce palier constitue également la
base permettant de démontrer la conformité aux termes des licences, qui constitue généralement
un objectif de gouvernance majeur.
NOTE D’autres parties de l’ISO/CEI 19770 définissent des marqueurs d’identification d’un logiciel
(Software Identification Tag) (ISO/CEI 19770-2) et des marqueurs de recevabilité d’un logiciel (Software
Entitlement Tag) (ISO/CEI 19770-3) qui ont pour objet de simplifier la tâche de mise en œuvre du palier relatif
à la fiabilité des données du SAM.
— Palier 2: Gestion pratique du SAM (Practical Management). Atteindre ce palier signifie améliorer les
contrôles et générer des bénéfices immédiats.
— Dans la pratique, la gestion ne commence généralement que par la prise en compte des questions liées
au SAM après la reconnaissance par l’organisation des problèmes découlant de l’absence de données
fiables. L’organisation prend conscience de l’étendue des risques auxquels elle est confrontée ainsi
que des opportunités d’amélioration et de réduction des coûts. Ce palier couvre l’environnement
élémentaire de contrôle du SAM (voir 4.2 Environnement de contrôle pour le SAM), y compris les
politiques, rôles et responsabilités du SAM. Il couvre également le ciblage et la réalisation de «gains
rapides» rendus évidents par les données du Palier 1.
— Palier 3: Intégration opérationnelle du SAM (Operational Integration). Atteindre ce palier signifie
améliorer l’efficience et l’efficacité des processus SAM.
— En se fondant sur les deux paliers précédents, ce palier conduit à l’intégration du SAM dans les
processus opérationnels (voir 4.6 Interfaces et processus de gestion opérationnelle du SAM). Le
résultat de ce palier est une amélioration de l’efficience et de l’efficacité des processus SAM.
vi © ISO/CEI 2012 – Tous droits réservés
ISO/CEI 19770-1:2012(F)
NOTE D’autres parties de l’ISO/CEI 19770 définissent des marqueurs d’identification d’un logiciel
(Software Identification Tag) (ISO/CEI 19770-2) et des marqueurs de recevabilité d’un logiciel (Software
Entitlement Tag) (ISO/CEI 19770-3) qui ont pour objet de simplifier la tâche d’intégration.
— Palier 4: Conformité intégrale ISO/CEI du SAM (Full ISO/IEC SAM conformance). Atteindre ce palier
signifie réaliser les meilleurs pratiques et une gestion stratégique du SAM.
— Ce palier traite des aspects les plus complexes et exigeants de la gestion intégrale du SAM, y compris
sa pleine intégration dans la planification stratégique de l’organisation.
Les trois premiers paliers sont définis comme des sous-ensembles de l’ensemble total des domaines et
résultats de processus définis dans la présente partie de l’ISO/CEI 19770. Chaque domaine de processus
a un seul objectif SAM, par exemple l’Identification des actifs logiciels, et comporte plusieurs résultats
permettant aux processus de prendre en charge chacun des objectifs. Pour l’illustration de cette
structure, voir le tableau récapitulatif à l’Annexe A.
Les paliers sont cumulatifs avec le Palier 4 défini comme l’ensemble total des domaines et résultats de
processus définis dans la présente partie de l’ISO/CEI 19770. A noter que les domaines et résultats de
processus définis dans la présente partie de l’ISO/CEI 19770 sont issus presque sans modifications de
l’ISO/CEI 19770-1:2006 mis à part quelques clarifications mineures qui ont été apportées. De même, la
structure des objectifs des groupes de processus comprenant plusieurs résultats a été conservée. La
conformité peut désormais être établie par rapport à tout palier spécifique. Bien que chaque palier puisse
être certifié séparément, chacun d’eux repose sur les performances continues des paliers précédents.
En termes pratiques, cela signifie généralement que toute organisation soumise à un processus de
certification pour un palier supérieur ferait l’objet de la mission de revue habituelle du certificateur
dédiée au contrôle de tous paliers éventuels précédents, mission au cours de laquelle le certificateur
examinerait également le palier supérieur en question.
Une explication plus exhaustive des paliers et de leur composition est donnée à l’Article 5.
Dans l’ensemble, les avantages du SAM devraient inclure:
a) La gestion des risques: par exemple, la réduction de l’interruption ou de la détérioration des
technologies de l’information / services d’information; risques juridiques et réglementaires;
b) La maîtrise des coûts: réduction des coûts directs de logiciel, des coûts des actifs associés au
logiciel (voir 1.2 pour une description des actifs associés,) et des frais d’exploitation et coûts
contractuels en cours;
c) Les avantages concurrentiels: meilleures décisions opérationnelles et meilleure satisfaction sur
la base de la mise à disposition permanente de données fiables.
En général, les exigences opérationnelles peuvent comprendre le ciblage de domaines prioritaires, tels
que pour des fabricants particuliers de logiciels ou parfois pour un groupe d’unités organisationnelles
identifié. Le choix des paliers, couplé avec la définition du domaine d’application, permet à nombre
d’organisations de tirer profit de la normalisation des processus SAM tel qu’il est décrit à l’Article 1
Domaine d’application.
En principe, il serait également possible d’utiliser une approche par les capacités ou par maturité pour
définir une norme pouvant être réalisée par étapes. Dans la pratique, cependant, une telle approche est
beaucoup plus complexe si elle doit conduire à la certification autonome de chaque étape. Néanmoins, il
est envisagé de développer une telle approche à l’avenir, à l’issue d’une révision prévue de la première
édition de l’ISO/CEI 15504. Cela favorisera une convergence des approches basées sur la présente partie
de l’ISO/CEI 19770 et sur d’autres méthodologies existantes fondées sur l’approche par maturité.
© ISO/CEI 2012 – Tous droits réservés vii
NORME INTERNATIONALE ISO/CEI 19770-1:2012(F)
Technologies de l’information — Gestion des actifs
logiciels —
Partie 1:
Procédés et évaluation progressive de la conformité
1 Domaine d’application
1.1 Objet
La présente partie de l’ISO/CEI 19770 établit une base de référence pour un ensemble intégré de
processus de gestion des actifs logiciels (SAM, Software Asset Management), laquelle est divisée en
paliers pour permettre sa mise en œuvre, son évaluation et sa reconnaissance de manière progressive.
1.2 Champ d’application
La présente partie de l’ISO/CEI 19770 s’applique aux processus de gestion SAM et peut être mise en
œuvre par les organisations pour générer des bénéfices immédiats. L’ISO/CEI 19770-2 fournit une
spécification correspondante de marqueurs d’identification de logiciel, laquelle doit être mise en œuvre
par les fabricants de logiciel (externes ou internes) et par les développeurs d’outils afin d’en tirer tous
les avantages escomptés.
Il est prévu que la présente partie de l’ISO/CEI 19770 soit une norme d’intégration pour les organisations.
Les prochaines éditions peuvent fournir un référentiel d’évaluation qui s’aligne sur les exigences
1)
contenues dans l’ISO/CEI 15504-2:2003 ou la future Norme internationale ISO/CEI 33003 .
La présente partie de l’ISO/CEI 19770 s’applique aux organisations de toute taille ou de tout secteur. A des
fins de conformité, la présente partie de l’ISO/CEI 19770 ne peut s’appliquer qu’à une personne morale,
ou à des entités d’une personne morale simple. Elle peut également s’appliquer aux personnes morales
multiples (par exemple, la société mère et les filiales d’une organisation multinationale) lorsqu’il existe
un lien légal de contrôle entre elles, de sorte qu’une entité puisse exercer un contrôle sur les autres. Elle
ne s’applique que lorsqu’une telle entité de contrôle exerce le contrôle sur tout ce qui relève du domaine
d’application (tel que défini pour les besoins de conformité) et que l’évaluateur de conformité accepte
cette définition du domaine d’application organisationnel.
NOTE La définition de domaine d’application organisationnel est documentée comme partie intégrante du
Processus SAM de gouvernance au niveau organisationnel (4.2.2).
La présente partie de l’ISO/CEI 19770 peut s’appliquer à une organisation qui a externalisé ses processus
SAM, et dont la responsabilité de prouver la conformité est toujours maintenue au niveau de l’organisme
d’externalisation.
La présente partie de l’ISO/CEI 19770 peut s’appliquer à tous les logiciels, biens associés et droits de
propriété intellectuelle y afférents indépendamment de la nature du logiciel, lorsque les biens associés
sont tous les autres biens dont les caractéristiques sont nécessaires à l’utilisation ou à la gestion du
logiciel. Par exemple, elle peut s’appliquer aux logiciels exécutables (tels que programmes d’application,
systèmes d’exploitation et programmes utilitaires) et aux logiciels non exécutables (tels que polices de
caractères, graphiques, enregistrements audio et vidéo, masques de saisie, dictionnaires, documents et
données). Elle peut s’appliquer à tous les environnements technologiques et à toutes les plates-formes
informatiques (par exemple, les applications logicielles virtuelles, les logiciels hébergés sur site ou les
1) ISO/CEI 33003, Systems and software engineering — Requirements for process measurement frameworks.
© ISO/CEI 2012 – Tous droits réservés 1
ISO/CEI 19770-1:2012(F)
logiciels sous forme de service (Saas); cela concerne le “Cloud computing” (ou «Informatique en nuage»),
comme les environnements informatiques plus anciens).
NOTE La définition du domaine d’application des actifs logiciels (types de logiciel à inclure dans le domaine
d’application) est documentée comme partie intégrante du plan SAM élaboré dans le processus de Planification
SAM. On considère de toute façon qu’il peut être jugé approprié à l’organisation, comme pour tout logiciel, progiciel,
logiciel sur des plates-formes spécifiques ou logiciel de fabricants spécifiés, tant qu’il n’est pas ambigu. Voir aussi
les explications dans la suite de cette section et dans le Tableau 1.
A l’exception des exigences de l’Article 4.7.4 Processus de gestion du développement logiciel, il n’est pas
nécessaire d’appliquer la présente partie de l’ISO/CEI 19770 au développement de logiciels dans le
sens du développement et de la conservation du code. Il est prévu de l’appliquer à tout logiciel dans
un environnement de production et aux activités initiales, telles que la configuration de logiciel, ou la
création et le contrôle des intrants et extrants de production. La ligne de démarcation exacte entre ce qui
est considéré comme pur développement, et par conséquent exclu, et ce qui est relatif à l’environnement
de production, et par conséquent inclus, peut être définie à l’aide des déclarations formelles univoques
du domaine d’application organisationnel ou du domaine d’application des logiciels.
NOTE Le logiciel utilisé pour développer d’autres logiciels est considéré comme faisant partie de
l’environnement de production, c’est-à-dire que le logiciel utilisé par les développeurs de logiciel doit être lui-
même contrôlé.
Les formes d’actifs logiciels suivantes relèvent du domaine d’application de la présente partie de
l’ISO/CEI 19770:
a) droits d’utilisation du logiciel, reflétés par la pleine propriété (comme pour les logiciels développés
à l’interne) et les licences (comme pour la plupart des logiciels acquis à l’externe, qu’ils soient
commerciaux ou à code source libre);
b) logiciel destiné à l’utilisation, en tant qu’objet de droit de propriété intellectuelle (y compris le
logiciel original fourni par les fabricants et éditeurs de logiciel, les différents versions du logiciel, et
le logiciel tel qu’il est installé et autrement mis à disposition, utilisé ou exploité); et
c) supports des copies du logiciel destinées à l’utilisation.
NOTE D’un point de vue de comptabilité financière, c’est essentiellement la catégorie (a) qui peut être
considérée comme un bien, et même à ce titre, il a pu être amorti complètement. D’un point de vue de comptabilité
financière, la catégorie (b) peut être perçue comme générant réellement une dette (plutôt qu’un bien) avec un
logiciel commercial s’il n’est pas convenablement autorisé sous licence. La présente partie de l’ISO/CEI 19770
considère les catégories (b) et (c) comme des biens légitimes à contrôler de même que la catégorie (a). Les
licences peuvent avoir une valeur comptable, mais il convient que le logiciel particulier en usage ait une valeur
opérationnelle et soit traité comme un bien d’entreprise.
Les biens associés relevant du domaine d’application sont tous les autres biens dont les caractéristiques
sont nécessaires à l’utilisation ou à la gestion du logiciel dans le domaine d’application. Toutes les
caractéristiques des biens associés qui ne sont pas nécessaires à l’utilisation ou à la gestion du logiciel
ne relèvent pas du domaine d’application. Le Tableau 1 donne des exemples de ces biens associés.
2 © ISO/CEI 2012 – Tous droits réservés
ISO/CEI 19770-1:2012(F)
Tableau 1 — Application de l’ISO/CEI 19770-1 aux actifs non logiciels
Type de bien Applicabilité Exemple
Matériel Normative pour les actifs matériels Inventaire du matériel sur lequel le logiciel
avec des caractéristiques néces- peut être stocké, exécuté ou utilisé autre-
saires à l’utilisation ou à la gestion ment; nombre de processeurs ou capacité de
des actifs logiciels dans le domaine traitement; que le matériel soit qualifié pour
d’application le comptage à des fins d’attribution de licences
d’utilisation sur site.
Sans objet pour les caractéristiques Coût et amortissement du matériel, dates de
non nécessaires à l’utilisation ou à reprise de la maintenance préventive.
la gestion des actifs logiciels dans le
domaine d’application
Autres biens Normative pour d’autres biens avec Noms du personnel afin d’en identifier la garde,
des caractéristiques nécessaires à comptage de l’effectif à des fins d’attribution
l’utilisation ou à la gestion des actifs de licences, lorsque déterminé sur cette base;
logiciels dans le domaine d’applica- infrastructure ou architecture des technolo-
tion gies de l’information (y compris les interfaces)
s’il y a lieu pour déterminer l’usage approprié
de certaines mesures de licence, par exemple
pour identifier le multiplexage.
Sans objet pour les caractéristiques Autres informations sur le personnel
non nécessaires à l’utilisation ou à
la gestion des actifs logiciels dans le
domaine d’application
1.3 Limitations
La présente partie de l’ISO/CEI 19770 ne décrit pas en détail les processus SAM en termes de méthodes
ou procédures nécessaires pour satisfaire aux exigences de résultats d’un processus.
La présente partie de l’ISO/CEI 19770 ne spécifie pas la séquence des étapes qu’il convient qu’une
organisation suive pour implémenter la gestion SAM; il n’y a non plus aucune séquence impliquée par la
séquence dans laquelle les processus sont décrits. Le seul séquencement pertinent est celui exigé par le
contenu et le contexte. Il convient par exemple que la planification précède la mise en œuvre.
La présente partie de l’ISO/CEI 19770 ne donne pas une description détaillée de la documentation en
termes de nom, format, contenu explicite et support d’enregistrement.
Les informations relatives aux systèmes de certification et de reconnaissance ne relèvent pas du domaine
d’application de la présente partie de l’ISO/CEI 19770.
La présente partie de l’ISO/CEI 19770 n’a pas pour objet d’être en conflit avec les politiques, procédures
et normes d’une organisation donnée ou avec les lois et réglementations nationales. Il convient que tout
conflit du genre soit résolu avant de procéder à l’utilisation de la présente partie de l’ISO/CEI 19770.
2 Conformité
2.1 Utilisation prévue
La présente partie de l’ISO/CEI 19770 est destinée à servir de guide de bonnes pratiques, et permettre
également la certification indépendante de la réalisation de chaque palier. Cependant, les méthodes
d’évaluation de la conformité d’une organisation font l’objet de choix.
La présente partie de l’ISO/CEI 19770 a été rédigée pour assurer une certaine continuité de l’ISO/CEI 19770-
1:2006, et aussi pour permettre l’évaluation sur la base de la même approche utilisée dans d’autres
normes qui sont considérées comme spécifiant un cadre pour les normes de système de management,
tel qu’il est défini dans le Guide ISO 72. Cela signifie en particulier que l’évaluateur dispose de la toute
© ISO/CEI 2012 – Tous droits réservés 3
ISO/CEI 19770-1:2012(F)
nouvelle possibilité d’évaluer par rapport à l’objectif global de chacun des domaines de processus, ou
celle d’utiliser l’approche précédente d’évaluation par rapport à l’ensemble des résultats détaillés pour
chaque domaine de processus, comme pour l’ISO/CEI 19770-1:2006. Une méthode d’évaluation doit être
choisie et doit être appliquée de façon cohérente dans tous les domaines de processus.
2.2 Méthodes d’établissement de conformité totale
Les exigences de la présente partie de l’ISO/CEI 19770 sont contenues dans les objectifs et résultats
énumérés à l’Article 4 de ladite partie. Toute revendication de conformité doit être une revendication de
conformité totale aux dispositions de la présente partie de l’ISO/CEI 19770 tel qu’il est décrit ci-dessous,
y compris pour tous les processus externalisés.
La conformité totale à l’un quelconque des paliers de la présente partie de l’ISO/CEI 19770 est réalisée
par l’une ou l’autre de ces méthodes:
— Démontrer que toutes les exigences du palier de la présente partie de l’ISO/CEI 19770 concerné ont
été satisfaites en utilisant les résultats comme preuve; ou
— démontrer que tous les objectifs du palier de la présente partie de l’ISO/CEI 19770 concerné ont
été réalisés.
Par ailleurs, il doit être démontré que tous les paliers sous-jacents sont au moment de l’évaluation certifiés
pour conformité totale et qu’ils sont suivis pour conformité totale permanente par un programme
de surveillance admis par l’évaluateur; ou en variante que les paliers sous-jacents sont en cours de
certification comme partie intégrante de l’évaluation actuelle.
Si une conformité totale est réalisée en démontrant que tous les objectifs du palier de la présente partie
de l’ISO/CEI 19770 concerné ont été réalisés, deux autres exigences subsistent:
— lorsqu’un domaine de processus comprend des résultats dans différents paliers, l’objectif du
domaine de processus doit être interprété en conséquence pour les évaluations de chaque palier;
— l’évaluateur doit, en plus de l’examen de la preuve démontrant que tous les objectifs sont atteints,
prendre encore en compte les résultats spécifiés pour le palier concerné. En cas de défaillance
éventuelle empêchant de réaliser tous les résultats spécifiés, l’évaluateur doit expliquer par écrit,
pour chaque résultat, les raisons justifiant son acceptation des objectifs d’un palier donné qui
restent pleinement satisfaisants sans la présence de ce résultat.
Pour écarter tout doute, lorsque les résultats sont spécifiés à l’aide de l’expression «y compris» suivie
d’une liste, cette situation doit être comprise comme une exigence d’énumérer tous les éléments de la
liste, avec la possibilité et non l’obligation de citer les éléments complémentaires non énumérés.
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions suivants s’appliquent.
3.1
base de référence
instantané de l’état d’un service ou des éléments de configuration individuels (3.2) à un moment donné
[ISO/CEI 20000-1:2005]
3.2
élément de configuration
CI (configuration item)
composant d’une infrastructure ou d’un élément qui est ou qui sera sous contrôle
Note 1 à l’article: Pour les besoins de la présente partie de l’ISO/CEI 19770, «sous contrôle» signifie sous le contrôle
des processus d’inventaire. Les processus d’inventaire du SAM (4.4) constituent la base non seulement de SAM,
mais aussi de toute la gestion de la configuration.
4 © ISO/CEI 2012 – Tous droits réservés
ISO/CEI 19770-1:2012(F)
Note 2 à l’article: Les éléments de configuration (ou CI) sont communément définis comme élément de la pratique
de Gestion des Services et peuvent varier significativement en termes de complexité, dimension et type, à partir
d’un système complet comprenant le matériel, le logiciel et la documentation, jusqu’à un seul module ou à un petit
composant matériel.
3.3
conseil d’administration ou structure équivalente
personne ou groupe de personnes qui assume une responsabilité légale de direction ou de contrôle d’une
organisation au plus haut niveau
3.4
version originale d’origine
instance d’origine du logiciel qui sert à installer ou à fournir le logiciel
EXEMPLE La source utilisée pour créer des copies de distribution.
Note 1 à l’article: Installer peut s’appliquer aux logiciels exécutables ou non-exécutables, ou aux biens associés tels
que les polices de caractère. Il peut s’appliquer aux installations des clients / dispositifs locaux et / ou installations
côté serveur, par exemple comme élément de la fourniture d’actifs logiciels sous forme de service.
3.5
copie de distribution
copie de la version originale d’origine du logiciel, à des fins d’installation sur un autre matériel, qui se
situe par exemple sur un serveur, ou sur des supports physiques comme les CD
3.6
licence totale effective
droits attachés à la licence du logiciel qui permettent une pleine jouissance du logiciel
Note 1 à l’article: Une licence totale comprend une ou plusieurs licences sous-jacentes (3.16).
EXEMPLE Dans certaines concessions de licence, une licence totale sous-jacente pour la version 1 d’un
produit logiciel et une licence d’amélioration sous-jacente pour la version 2 du produit logiciel sont combinées
pour produire une seule licence totale effective pour la version 2 du produit logiciel. Dans cet exemple, les droits
attachés à la licence d’amélioration peuvent parfois émaner d’un contrat de soutien ou d’une souscription.
Note 2 à l’article: La pleine jouissance du logiciel est telle que prévue dans les conditions générales de la ou des licences.
3.7
responsable SAM local
individu à n’importe quel niveau de l’organisation inférieur à celui du responsable SAM (3.13) qui est
identifié comme responsable du SAM pour une partie définie de l’organisation
3.8
personnel
tout individu supposé assumer des obligations au nom de l’organisation, y compris les dirigeants,
employés et agents contractuels
3.9
plate-forme
type d’ordinateur ou de périphérique et / ou de système d’exploitation associé, ou environnement
virtuel, sur lequel un logiciel peut être installé ou exécuté
Note 1 à l’article: Une plate-forme est différente de ses instances uniques, qui sont généralement désignées sous le
nom de périphériques ou instances.
3.10
procédure
manière spécifiée d’effectuer une activité ou un processus
Note 1 à l’article: Lorsqu’une procédure est spécifiée comme un résultat, les réalisations qui en résultent précisent
généralement ce qui doit être fait, par qui et dans quel ordre. Il s’agit d’un niveau de spécification plus détaillé
qu’un processus (3.11).
© ISO/CEI 2012 – Tous droits réservés 5
ISO/CEI 19770-1:2012(F)
3.11
processus
ensemble d’activités corrélées qui transforme des éléments d’entrée en éléments de sortie
Note 1 à l’article: Lorsqu’une définition de processus est spécifiée comme un résultat, les réalisations qui en résultent
précisent généralement les éléments d’entrée et les éléments de sortie, et donnent une description générale des
activités prévues. Cependant, cela n’exige pas le même niveau de détail requis pour une procédure (3.10).
3.12
mise en production
ensemble d’éléments de configuration nouveaux et / ou modifiés, qui sont soumis à essai et déployés
ensemble dans un environnement de production
Note 1 à l’article: Une mise en production doit avoir une approbation technique à cet effet mais peut ne pas encore
être autorisée pour le déploiement des éléments. Une mise en production peut comprendre un code-source, un
code d’exécution ou un code d’actifs logiciels multiples empaquetés dans une mise en production interne et soumis
à essai pour une plate-forme cible.
[ISO/CEI 20000-1:2005, avec l’ajout d’une note spécifique à la présente partie de l’ISO/CEI 19770.]
3.13
responsable SAM
individu à un niveau supérieur dans l’organisation qui est identifié comme responsable de SAM
3.14
logiciel
totalité ou partie des programmes, procédures, règles et documentation associée d’un système de
traitement de l’information
Note 1 à l’article: Plusieurs définitions du mot logiciel sont en usage. Pour les besoins de la présente partie de
l’ISO/CEI 19770, il est généralement important d’inclure à la fois les logiciels exécutables et les non exécutables,
tels que les polices de caractère, les graphiques, les enregistrements audio et vidéo, les masques de saisie, les
dictionnaires et les documents (voir aussi 1.2 Champ d’application).
Note 2 à l’article: L’utilisateur de la présente partie de l’ISO/CEI 19770 doit définir son propre domaine pour son
application, et peut limiter les types de logiciels à prendre en compte dans le domaine d’application (voir aussi
l’Article 1 Domaine d’application).
[ISO/CEI 2382-1:1993, 01.01.08, avec ajout de notes spécifiques à la présente partie de l’ISO/CEI 19770]
3.15
gestion des actifs logiciels SAM (software asset management)
gestion, contrôle et protection efficaces des actifs logiciels au sein d’une organisation, et gestion, contrôle
et protection efficaces de l’information relative aux biens associés qui sont nécessaires à la gestion des
actifs logiciels
Note 1 à l’article: Une définition correspondante de la Bibliothèque pour l’infrastructure des technologies de
l’information (ITIL®) considère la gestion des actifs logiciels comme «l’ensemble des infrastructures et des
processus requis pour la gestion, le contrôle et la protection efficaces des actifs logiciels au sein d’une organisation,
à travers toutes les étapes de leur cycle de vie».
3.16
licence sous-jacente
licence permettant l’utilisation d’un logiciel acheté ou obtenu en version originale, et qui généralement
peut être relié directement produits et services achetés par l’organisation
Note 1 à l’article: Une licence sous-jacente peut avoir des conditions qui lui sont associées, exigeant qu’elle soit
utilisée en combinaison avec une autre licence ou des licences pour créer une licence totale effective (3.6). Elle
peut aussi avoir la capacité ou l’autorisation d’utiliser les versions futures du logiciel ou de spécifier des méthodes
ou limitations relatives à la manière dont elle peut être améliorée ou remplacée par une nouvelle version, ou la
manière dont la licence peut être améliorée en combinaison avec une autre licence qui est liée directement à un
autre livre d’achats.
6 © ISO/CEI 2012 – Tous droits réservés
ISO/CEI 19770-1:2012(F)
4 Processus de gestion des actifs logiciels (Processus SAM)
4.1 Généralités
4.1.1 Définition et lien avec la gestion des services
La gestion des actifs logiciels (SAM) se définit par la gestion, le contrôle et la protection efficaces des
actifs logiciels au sein d’une organisation, dans le respects des droits de propriété intellectuelle y
afférents, ainsi que la gestion, le contrôle et la protection efficaces des informations relatives aux biens
associés qui sont nécessaires à la gestion des actifs logiciels.
Les processus SAM tels que définis dans la présente partie de l’ISO/CEI 19770 sont bien harmonisés et
ont pour objet d’appuyer fortement la gestion des services relevant des technologies de l’information
(TI) comme définie dans l’ISO/CEI 20000-1.
4.1.2 Vue d’ensemble des processus SAM
Le cadre conceptuel global des processus SAM est complet et ne reflète pas en soi les paliers décrits dans
l’Introduction ou l’Article 5 Paliers. La Figure 1 ci-dessous présente le cadre conceptuel des processus
SAM et comprend trois catégories principales:
a) Processus SAM de gestion au niveau organisationnel;
b) Processus fondamentaux du SAM;
c) Interfaces SAM des processus primaires.
Les processus sont décrits avec plus de détails de 4.2 à 4.7.
© ISO/CEI 2012 – Tous droits réservés 7
ISO/CEI 19770-1:2012(F)
Processus SAM de gestion au niveau organisationnel
4.2 Environnement de contrôle pour le SAM
Processus SAM de Compétences SAM
Politiques, processus
Rôles et
gouvernance au et procédures SAM 4.2.5
responsabilités
niveau organisationnel
4.2.4
SAM 4.2.3
4.2.2
4.3 Processus de planification et de mise en œuvre du SAM
Mise en Amélioration
Surveillance et
Planification du
œuvre du continue du
revue du SAM 4.3.4
SAM 4.3.2
SAM 4.3.3 SAM 4.3.5
Processus Fondamentaux du SAM
4.4 Processus d’inventaire SAM
Gestion des
Contrôle des actifs
Identification des
inventaires d’actifs
logiciels 4.4.4
actifs logiciels
logiciels 4.4.3
4.4.2
4.5 Processus de vérification et de conformité SAM
Vérification de
Conformité de la
Conformité des
Vérification de la
l’enregistrement
sécurité des actifs
modes d’attribution
conformité SAM 4.5.5
des actifs
logiciels 4.5.4
des licences 4.5.3
logiciels 4.5.2
4.6 Processus et Interfaces de gestion opérationnelle pour le SAM
Gestion des
Gestion des Gestion de la
Gestion Financière
niveaux de
relations et des sécurité pour le
pour le SAM 4.6.3
services pour le
contrats pour le SAM 4.6.6
SAM 4.6.4
SAM 4.6.2
Interfaces SAM des processus primaires
4.7 Interfaces SAM des processus du cycle de vie
Processus de
Processus de Processus de
Processus de
gestion des gestion du gestion des
gestion des
changements
développement disfonctionnements
déploiements
4.7.2 logiciels 4.7.4 4.7.8
logiciels 4.7.6
Processus
Processus de
Processus de
Processus de
d’acquisition
désinstallation
gestion des
gestion des
4.7.3
4.7.9
incidents 4.7.7
mises en
production 4.7.5
Figure 2 — Cadre des processus SAM
4.1.3 Résultats, activités et interfaces
La présente partie de l’ISO/CEI 19770 a été rédigée en utilisant les éléments de processus d’intitulé,
d’objectif et de résultats. La présente partie de l’ISO/CEI 19770 ne comporte pas les activités, qui sont
les actions qui peuvent être menées pour réaliser les résultats.
Les résultats spécifiés dans la présente partie de l’ISO/CEI 19770 sont dest
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.
Loading comments...