ISO/IEC 19770-1:2006 - Information technology

Information technology - Software asset management - Part 1: Processes

ISO/IEC 19770-1:2006 has been developed to enable an organization to prove that it is performing software asset management (SAM) to a standard sufficient to satisfy corporate governance requirements and ensure effective support for IT service management overall. ISO/IEC 19770-1:2006 is intended to align closely to, and to support, ISO/IEC 20000. Good practice in SAM should result in several benefits, and certifiable good practice should allow management and other organizations to place reliance on the adequacy of these processes. The expected benefits should be achieved with a high degree of confidence: SAM should facilitate the management of business risks, cost control and give competitive advantages.

Technologies de l'information — Gestion de biens de logiciel — Partie 1: Procédés

General Information

Status

Withdrawn

Publication Date

07-May-2006

Withdrawal Date

07-May-2006

ICS

35.080 - Software

Technical Committee

ISO/IEC JTC 1/SC 7 - Software and systems engineering

Drafting Committee

ISO/IEC JTC 1/SC 7/WG 21 - Information technology asset management

Current Stage

9599 - Withdrawal of International Standard

Start Date

13-Jun-2012

Completion Date

30-Oct-2025

Ref Project

Relations

Revised

ISO/IEC 19770-1:2012 - Information technology - Software asset management - Part 1: Processes and tiered assessment of conformance

Effective Date

19-Jan-2012

ISO/IEC 19770-1:2006 - Information technology -- Software asset management

Standard

ISO/IEC 19770-1:2006 - Information technology -- Software asset management

English language

25 pages

sale 15% off

Preview

sale 15% off

Preview

Standard

ISO/IEC 19770-1:2006

Russian language

12 pages

sale 15% off

Preview

sale 15% off

Preview

Frequently Asked Questions

What is ISO/IEC 19770-1:2006?

ISO/IEC 19770-1:2006 is a standard published by the International Organization for Standardization (ISO). Its full title is "Information technology - Software asset management - Part 1: Processes". This standard covers: ISO/IEC 19770-1:2006 has been developed to enable an organization to prove that it is performing software asset management (SAM) to a standard sufficient to satisfy corporate governance requirements and ensure effective support for IT service management overall. ISO/IEC 19770-1:2006 is intended to align closely to, and to support, ISO/IEC 20000. Good practice in SAM should result in several benefits, and certifiable good practice should allow management and other organizations to place reliance on the adequacy of these processes. The expected benefits should be achieved with a high degree of confidence: SAM should facilitate the management of business risks, cost control and give competitive advantages.

What is the scope of ISO/IEC 19770-1:2006?

What ICS categories does ISO/IEC 19770-1:2006 belong to?

ISO/IEC 19770-1:2006 is classified under the following ICS (International Classification for Standards) categories: 35.080 - Software. The ICS classification helps identify the subject area and facilitates finding related standards.

What standards are related to ISO/IEC 19770-1:2006?

ISO/IEC 19770-1:2006 has the following relationships with other standards: It is inter standard links to ISO/IEC 19770-1:2012. Understanding these relationships helps ensure you are using the most current and applicable version of the standard.

How can I purchase ISO/IEC 19770-1:2006?

You can purchase ISO/IEC 19770-1:2006 directly from iTeh Standards. The document is available in PDF format and is delivered instantly after payment. Add the standard to your cart and complete the secure checkout process. iTeh Standards is an authorized distributor of ISO standards.

Standards Content (Sample)

INTERNATIONAL ISO/IEC
STANDARD 19770-1
First edition
2006-05-01
Information technology — Software asset
management —
Part 1:
Processes
Technologies de l'information — Gestion de biens de logiciel —
Partie 1: Procédés
Reference number
©
ISO/IEC 2006
PDF disclaimer
This PDF file may contain embedded typefaces. In accordance with Adobe's licensing policy, this file may be printed or viewed but
shall not be edited unless the typefaces which are embedded are licensed to and installed on the computer performing the editing. In
downloading this file, parties accept therein the responsibility of not infringing Adobe's licensing policy. The ISO Central Secretariat
accepts no liability in this area.
Adobe is a trademark of Adobe Systems Incorporated.
Details of the software products used to create this PDF file can be found in the General Info relative to the file; the PDF-creation
parameters were optimized for printing. Every care has been taken to ensure that the file is suitable for use by ISO member bodies. In
the unlikely event that a problem relating to it is found, please inform the Central Secretariat at the address given below.

© ISO/IEC 2006
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means,
electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or
ISO's member body in the country of the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO/IEC 2006 – All rights reserved

Contents Page
Foreword. iv
Introduction . v
1 Scope. 1
1.1 Purpose. 1
1.2 Field of application . 1
1.3 Limitations. 2
2 Conformance. 3
2.1 Intended usage. 3
2.2 Full conformance. 3
2.3 Agreement compliance. 3
3 Terms and definitions. 3
4 SAM processes. 5
4.1 General. 5
4.2 Control environment for SAM. 6
4.3 Planning and implementation processes for SAM. 10
4.4 Inventory processes for SAM . 12
4.5 Verification and compliance processes for SAM . 15
4.6 Operations management processes and interfaces for SAM . 17
4.7 Life cycle process interfaces for SAM. 20

© ISO/IEC 2006 – All rights reserved iii

Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that are members of
ISO or IEC participate in the development of International Standards through technical committees
established by the respective organization to deal with particular fields of technical activity. ISO and IEC
technical committees collaborate in fields of mutual interest. Other international organizations, governmental
and non-governmental, in liaison with ISO and IEC, also take part in the work. In the field of information
technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of the joint technical committee is to prepare International Standards. Draft International
Standards adopted by the joint technical committee are circulated to national bodies for voting. Publication as
an International Standard requires approval by at least 75 % of the national bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights.
ISO/IEC 19770-1 was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology,
Subcommittee SC 7, Software and system engineering.
ISO/IEC 19770 consists of the following parts, under the general title Software asset management:
⎯ Part 1: Processes
⎯ Part 2: Tag
iv © ISO/IEC 2006 – All rights reserved

Introduction
This part of ISO/IEC 19770 has been developed to enable an organization to prove that it is performing
Software Asset Management (SAM) to a standard sufficient to satisfy corporate governance requirements and
ensure effective support for IT service management overall. This part of ISO/IEC 19770 is intended to align
closely to, and to support, ISO/IEC 20000. Good practice in SAM should result in the following types of
benefits, and certifiable good practice should allow management and other organizations to place reliance on
the adequacy of these processes, and the expected benefits should be achieved with a high degree of
confidence:
a) Risk management: SAM should facilitate the management of business risks including:
1) risk of interruption to IT services;
2) risk of deterioration in the quality of IT services;
3) legal and regulatory exposure;
4) risk of damage to public image arising from any of the above.
b) Cost control: SAM should facilitate cost control including in the following areas:
1) reduced direct costs of software and related assets, such as by negotiating better pricing through
improved use of volume contracting arrangements, and by avoiding purchasing new licenses when
old ones can be redeployed;
2) reduced time and cost for negotiating with suppliers because of better information availability;
3) reduced costs through improved financial control, such as through better invoice reconciliation and
more accurate forecasting and budgeting;
4) reduced infrastructure costs for managing software and related assets, by ensuring that required
processes are efficient and effective;
5) reduced support costs which are significantly affected by the quality of SAM processes, both directly
within IT and indirectly within end-user areas.
c) Competitive advantage: SAM should help the organization gain competitive advantage through the
following:
1) better quality decision making because of more complete and more transparent information
availability (for example, IT procurement and system development decisions may be made more
quickly and more reliably with better quality data);
2) being able to deploy new systems and functionality more quickly and reliably in response to market
opportunities or demands;
3) providing IT which is more closely aligned to business needs, thus ensuring that all users have
access to appropriate software and applications;
4) being able to handle the IT aspects of business acquisitions, mergers or demergers more quickly;
5) better personnel motivation and client satisfaction through having less IT problems.
© ISO/IEC 2006 – All rights reserved v

INTERNATIONAL STANDARD ISO/IEC 19770-1:2006(E)

Information technology — Software asset management —
Part 1:
Processes
1 Scope
1.1 Purpose
This part of ISO/IEC 19770 establishes a baseline for an integrated set of processes for Software Asset
Management (SAM).
1.2 Field of application
This part of ISO/IEC 19770 applies to SAM processes and can be implemented by organizations to achieve
immediate benefits. ISO/IEC 19770-2 provides a specification for SAM data, which requires implementation by
software manufacturers (external and internal) and by tool developers for its full benefits to be achieved.
It is intended that this part of ISO/IEC 19770 be an implementation standard for organizations. Future editions
may provide an assessment framework that is aligned to the requirements in ISO/IEC15504-2.
This part of ISO/IEC 19770 applies to all organizations of any size or sector. This part of ISO/IEC 19770 can
only be applied to a legal entity, or to parts of a single legal entity.
NOTE The definition of organizational scope is documented as part of the Corporate governance process for SAM.
This part of ISO/IEC 19770 may be applied to an organization which has outsourced SAM processes, with the
responsibility for demonstrating conformance always remaining with the outsourcing organization.
This part of ISO/IEC 19770 can be applied to all software and related assets, regardless of the nature of the
software. For example, it can be applied to executable software (such as application programs, operating
systems and utility programs) and to non-executable software (such as fonts, graphics, audio and video
recordings, templates, dictionaries, documents and data).
NOTE The definition of software asset scope (software types to be included within the scope) is documented as part
of the SAM Plan developed in the Planning for SAM process. It may be defined in any way considered appropriate by the
organization, such as for all software, for all program software, for all software on specific platforms, or for the software of
specified manufacturers, as long as it is unambiguous.
The following forms of software assets are within the scope of this part of ISO/IEC 19770:
a) software use rights, reflected by full ownership (as for in-house developed software) and licenses (as for
most externally sourced software, whether commercial or open-source);
b) software for use, which contains the intellectual property value of software (including original software
provided by software manufacturers and developers, software builds, and software as installed and
executed); and
c) media holding copies of software for use.
© ISO/IEC 2006 – All rights reserved 1

NOTE From a financial accounting point of view, it is primarily category (a) which may be considered an asset, and
even then it may have been completely written off. From a financial accounting point of view, category (b) may be viewed
as actually creating a liability (rather than an asset) with commercial software if it is not properly licensed. This part of
ISO/IEC 19770 considers categories (b) and (c) proper assets to be controlled as well as (a). Licenses may have
bookkeeping value, but software in use in particular should have business value and needs to be treated as a business
asset.
Related assets within the scope are all other assets with characteristics which are necessary to use or
manage software in scope. Any characteristics of these related assets which are not required to use or
manage software are outside of the scope. Table 1 provides examples of these.
Table 1 — Application of ISO/IEC 19770-1 to Non-Software Assets
Asset type Applicability Example
Hardware Normative for hardware assets
Physical inventory of equipment on which
with characteristics required for software can be stored, executed or
the use or management of otherwise used; number of processors or
software assets in scope processing power; whether the hardware
qualifies for counting for site licensing
purposes
Not applicable for characteristics Cost and depreciation of hardware,
not required for the use or preventive maintenance renewal dates
management of software assets
in scope
Other assets Normative for other assets with Personnel names for identifying
characteristics required for the custodianship, personnel counts for
use or management of software licensing done on this basis
assets in scope
Not applicable for characteristics Other personnel information
not required for the use or
management of software assets
in scope
1.3 Limitations
This part of ISO/IEC 19770 does not detail the SAM processes in terms of methods or procedures required to
meet the requirements for outcomes of a process.
This part of ISO/IEC 19770 does not specify the sequence of steps an organization should follow to implement
SAM, nor is any sequence implied by the sequence in which processes are described. The only sequencing
which is relevant is that which is required by content and context. For example, planning should precede
implementation.
This part of ISO/IEC 19770 does not detail documentation in terms of name, format, explicit content and
recording media.
This part of ISO/IEC 19770 is not intended to be in conflict with any organization's policies, procedures and
standards or with any national laws and regulations. Any such conflict should be resolved before using this
part of ISO/IEC 19770.
2 © ISO/IEC 2006 – All rights reserved

2 Conformance
2.1 Intended usage
The requirements in this part of ISO/IEC 19770 are contained in the outcomes of Clause 4. Any claim of
conformance shall be a claim of full conformance to the provisions of this part of ISO/IEC 19770 as described
below, including for any outsourced processes. It is also possible to selectively choose outcomes for individual
agreements, as explained below, but conformance with this part of ISO/IEC 19770 may not then be cited.
2.2 Full conformance
Full conformance is achieved by demonstrating that all of the requirements of this part of ISO/IEC 19770 have
been satisfied using the outcomes as evidence.
2.3 Agreement compliance
This part of ISO/IEC 19770 may be used to help develop an agreement between an acquirer and a supplier, in
which case clauses of this part of ISO/IEC 19770 can be selected for incorporation in the agreement with or
without modification. In this case, it is necessary for the acquirer and supplier to achieve compliance with the
agreement rather than conformity with this part of ISO/IEC 19770.
NOTE 1 Supplier agreements usually specify the organizational scope of control, for example across all subsidiaries of
a corporate entity, which means the scope of SAM will need to be set up to match this, if the intention is to move into such
an agreement.
NOTE 2 ISO/IEC's copyright extends to all of this part of ISO/IEC 19770 and parts thereof. However, for the specific
use mentioned in the clause above, there is no need to obtain copyright permission.
3 Terms and definitions
For the purposes of this document, the following terms and definitions apply.
3.1
baseline
formally approved version of a configuration item (3.2), regardless of media, formally designated and fixed at a
specific time during the configuration item's life cycle (as also defined in ISO/IEC 12207)
3.2
configuration item
CI
item or aggregation of hardware or software or both that is designed to be managed as a single entity
NOTE Configuration items may vary widely in complexity, size and type, ranging from an entire system including all
hardware, software and documentation, to a single module or a minor hardware component.
3.3
corporate board or equivalent body
person or group of people who assumes legal responsibility for conducting or controlling an organization at the
highest level
3.4
definitive master version
version of the software that is used to install the software and to create distribution copies
3.5
distribution copy
copy of the software definitive master version, for the purposes of installation onto other hardware, which
resides for example on a server, or on physical media such as CDs
© ISO/IEC 2006 – All rights reserved 3

3.6
effective full license
license rights for software which allow one full use of the software
NOTE An effective license consists of one or more underlying licenses (3.15).
EXAMPLE An underlying full license for version 1 of a software product, plus an underlying upgrade license to
version 2 of the software product, combine to produce one effective full license for version 2 of the software product.
3.7
local SAM owner
individual at any level of the organization below that of the SAM owner (3.11) who is identified as being
responsible for SAM for a defined part of the organization
3.8
personnel
any individual expected to perform duties on behalf of the organization, including officers, employees and
contractors
3.9
procedure
specified way to carry out an activity or process
NOTE When a procedure is specified as an outcome, the resulting deliverable will typically specify what must be
done, by whom, and in what sequence. This is a more detailed level of specification than for a process (3.10).
3.10
process
a set of interrelated activities, which transforms inputs into outputs
NOTE When a process definition is specified as an outcome, the resulting deliverable will typically specify inputs and
outputs, and give a general description of expected activities. However, it does not require the same level of detail as for a
procedure (3.9).
3.11
SAM owner
individual at a senior organization-wide level who is identified as being responsible for SAM
3.12
software asset management
SAM
effective management, control and protection of software assets within an organization
3.13
software header
information about a software file to facilitate its management, embedded within the file itself
NOTE The software header is one type of information within the more generic category of software tag (3.14)
information.
3.14
software tag
information about a software file or package to facilitate its management, some of which information may be
held within a software header (3.13)
3.15
underlying license
license for software use as originally purchased or procured, and which can typically be linked directly to
purchase records
NOTE An underlying license may have conditions associated with it, requiring it to be used in combination with
another license or licenses to create an effective full license (3.6).
4 © ISO/IEC 2006 – All rights reserved

4 SAM processes
4.1 General
4.1.1 Definition and relationship to service management
Software asset management is the effective management, control and protection of software assets within an
organization.
SAM processes as defined in this part of ISO/IEC 19770 are closely aligned to and intended to closely support
IT service management as defined in ISO/IEC 20000.
4.1.2 Overview of SAM processes
Figure 1 below gives the conceptual framework for the SAM processes and is broken down into three main
categories:
a) Organizational management processes for SAM;
b) Core SAM processes;
c) Primary process interfaces for SAM.
The processes are described in further detail in 4.2 to 4.7

Figure 1 — Framework for SAM processes
© ISO/IEC 2006 – All rights reserved 5

4.1.3 Outcomes, activities and interfaces
This part of ISO/IEC 19770 has been written using the process elements of title, objective, and outcomes.
This part of ISO/IEC 19770 does not include activities, which are actions which may be used to achieve the
outcomes.
The outcomes specified in this part of ISO/IEC 19770 are designed to be readily assessable, but will not
necessarily indicate the breadth of activities which may be needed to produce them. For example, the
maintenance of inventories in the Software asset inventory management process will logically require data
validation activities, although this is not cited as an outcome in this part of ISO/IEC 19770. (Data integrity is
assured in this part of ISO/IEC 19770 by the Verification and compliance processes for SAM.)
Some of the most important activities are interface activities with other processes. For example, when a
software asset is purchased (or 'acquired') the objective to be met is "The objective of the Acquisition process
in respect of software and related assets is to ensure that they are acquired in a controlled manner and
recorded." This process, and many others, will require an invoking of the Software asset inventory
management process to record the data and validate it for required fields etc. Another example is the creation
of baselines, which are created in the Software asset control process. This process is invoked by the Software
development process and the Software release management process. It is not the objective of this part of
ISO/IEC 19770 to specify this type of detail, but such activities or interfaces are implicitly required in order to
achieve the stated objectives.
4.2 Control environment for SAM
4.2.1 General
The objective of the Control environment for SAM is to establish and maintain the management system within
which the other SAM processes are implemented.
The Control environment for SAM consists of the following:
a) Corporate governance process for SAM;
b) Roles and responsibilities for SAM;
c) Policies, processes and procedures for SAM;
d) Competence in SAM.
4.2.2 Corporate governance process for SAM
4.2.2.1 Objective
The objective of the Corporate governance process for SAM is to ensure that responsibility for management of
software assets is recognized at the level of the corporate board or equivalent body, and that appropriate
mechanisms are in place to ensure the proper discharge of this responsibility.
NOTE This process could be considered part of overall corporate governance of IT.
4.2.2.2 Outcomes
Implementation of the Corporate governance process for SAM will enable the organization to demonstrate
that:
a) There is a clear corporate statement for the purposes of this part of ISO/IEC 19770 about:
1) the legal entity or parts of a legal entity which are included in scope.
6 © ISO/IEC 2006 – All rights reserved

NOTE One factor to consider in defining organizational scope may be existing software contracts which are
based on specific organizational scopes.
2) the specific single body or individual that has overall corporate management responsibility for that
entity or parts of that entity.
NOTE This specific body or individual is referred to subsequently as the 'corporate board or equivalent body'.
b) Responsibility for corporate governance of software and related assets is formally recognized by the
corporate board or equivalent body.
c) Corporate governance regulations or guidelines which are relevant to the organization for its use of
software and related assets, in all countries where it operates, have been identified and documented, and
are reviewed at least annually.
d) An assessment of the risks associated with software and related assets, and management-specified
mitigation approaches, is documented, updated at least annually, and approved by the corporate board or
equivalent body, covering at least the following:
1) Risk of regulatory non-compliance.
NOTE This could refer for example to privacy protection for personnel software usage monitoring; data protection
for SAM records held on individuals; and industry-specific requirements, such as in the pharmaceutical industry.
2) Risk of licensing non-compliance.
3) Risk of interruption of operations due to problems with the IT infrastructure which could result from
inadequate SAM.
4) Risk of excessive spending on licensing and other IT support costs due to inadequate SAM.
5) Risks associated with decentralized vs. centralized management approaches for software and
related assets.
NOTE Decentralized management approaches may find it more difficult to achieve cost savings, and may have
higher risk exposures such as to licensing non-compliance than centralized management approaches.
6) Risks associated with different countries of operation taking into account local compliance cultures
and enforcement approaches.
e) The management objectives for SAM are approved by the corporate board or equivalent body, and
reviewed at least annually.
4.2.3 Roles and responsibilities for SAM
4.2.3.1 Objective
The objective of the Roles and responsibilities for SAM process is to ensure that the roles and responsibilities
for software and related assets are clearly defined, maintained and understood by all personnel potentially
affected.
NOTE These roles and responsibilities should include in particular any which link into regulatory or corporate
governance requirements.
4.2.3.2 Outcomes
Implementation of the Roles and responsibilities for SAM process will enable the organization to demonstrate
that:
© ISO/IEC 2006 – All rights reserved 7

a) The role of the SAM owner, responsible for corporate governance of software and related assets for the
entire organization, is clearly defined and approved by the corporate board or equivalent body.
Responsibilities assigned include the following for the entire organization:
1) Proposing management objectives for SAM.
2) Overseeing the development of the SAM plan.
3) Obtaining resources for implementing the approved SAM plan.
4) Delivering results against the SAM plan.
5) Ensuring that all local SAM owners discharge their responsibilities properly, and that all parts of the
organization are covered by the SAM owner or local SAM owners, without conflicting overlap.
b) Local roles and responsibilities for corporate governance of software and related assets are documented
and assigned to specified individuals. Responsibilities assigned include the following for the part of the
organization for which each individual is responsible:
1) Obtaining resources for implementing the SAM plan.
2) Delivering results against the SAM plan.
3) Adopting and implementing necessary policies, processes and procedures.
4) Maintaining accurate records of software and related assets.
5) Ensuring that management and technical approvals are required for procurement, deployment and
control of software assets.
6) Managing contracts, supplier relationships, and internal customer relationships
7) Identifying the need for and implementing improvements.
c) These responsibilities are communicated to all parts of the organization involved in any way with SAM, in
the same way as other organization-wide and local policies are communicated.
4.2.4 Policies, processes and procedures for SAM
4.2.4.1 Objective
The objective of the Policies, processes and procedures for SAM process is to ensure that an organization
maintains clear policies, processes and procedures to ensure effective planning, operation and control of SAM.
4.2.4.2 Outcomes
Implementation of the Policies, processes and procedures for SAM process will enable the organization to
demonstrate that:
a) There is a structured approach to creating, reviewing, approving, issuing, and controlling policies,
processes, procedures and related documentation relevant to SAM so that it is always possible to
determine the complete set available, which version of each document is currently in effect and which
documents apply to different types of software and related assets.
NOTE This would typically be part of an overall approach adopted by an organization for all of its policies, processes
and procedures, and not be unique for SAM.
8 © ISO/IEC 2006 – All rights reserved

b) Policy, process and procedure documentation required by this part of ISO/IEC 19770 are organized by the
process classifications of this part of ISO/IEC 19770 or with a cross-reference to these classifications.
c) Policies are developed, approved and issued covering at a minimum:
1) Individual and corporate responsibilities for corporate governance of software and related assets.
2) Any restrictions on personal use of corporate software and related assets.
3) Requirement for compliance with legal and regulatory requirements, including for copyright and data
protection.
4) Any procurement requirements (e.g. use of corporate agreements, or buying only from
reputable/approved suppliers)
5) Any requirement for approvals for installation or use of software, whether purchased or not.
6) Disciplinary implications of violation of these policies.
d) Policies and procedures are communicated to all personnel in a way which (a) reaches all new personnel
when they start, and continuing personnel at least annually; (b) requires positive acknowledgement back
from personnel when they start and at least annually; and (c) is readily accessible at all times to
personnel.
NOTE The documentation can be in any form or medium. The documentation may be issued in consolidated
versions with other documents, such as consolidated policy statements covering also personnel confidentiality
requirements.
4.2.5 Competence in SAM
4.2.5.1 Objective
The objective of the Competence in SAM process is to ensure that appropriate competence and expertise in
SAM is available and is being applied.
4.2.5.2 Outcomes
Implementation of the Competence in SAM process will enable the organization to demonstrate that:
a) A review is documented and updated at least annually which covers the availability and uptake of training
and certification by personnel with SAM responsibilities for:
1) SAM in general.
2) Licensing for software manufacturers whose software is being used.
b) A review is undertaken at least annually to determine what constitutes "Proof of License" for the software
manufacturer.
c) Personnel with SAM management responsibilities receive training in SAM and in relevant licensing,
including both initial training and formal continuing education annually.
NOTE Individual certifications are also recommended, to the extent available.
d) A review is undertaken at least annually to ascertain what, if any, extra guidance is offered by the
software manufacturers to enable compliance with their licenses.

© ISO/IEC 2006 – All rights reserved 9

4.3 Planning and implementation processes for SAM
4.3.1 General
The objective of Planning and implementation processes for SAM is to ensure the effective and efficient
accomplishment of SAM management objectives.
The processes in this area in principle map to the 'Plan-Do-Check-Act' processes of ISO 9001.
Planning and implementation processes for SAM consists of the following:
a) Planning for SAM;
b) Implementation of SAM;
c) Monitoring and review of SAM;
d) Continual improvement of SAM.
4.3.2 Planning for SAM
4.3.2.1 Objective
The objective of the Planning for SAM process is to ensure appropriate preparation and planning for the
effective and efficient accomplishment of SAM objectives.
4.3.2.2 Outcomes
Implementation of the Planning for SAM process will enable the organization to demonstrate that:
a) Management objectives for SAM are developed and proposed for approval by the corporate board or
equivalent body, and updated at least annually.
b) A plan (the 'SAM plan') for implementing and delivering SAM is developed and documented, and updated
at least annually, which includes:
1) A clear scope statement ('software asset scope') describing which types of software are included; the
coverage of related assets, including any beyond the minimum required by this part of
ISO/IEC 19770; and any interfaces with or requirements for other organizations or systems.
2) A clear specification of which policies, processes and procedures are required for assets in scope.
3) A clear explanation of the approach to managing, auditing and improving SAM including automation
as appropriate to support the processes.
4) An explanation of the approach to be used to identifying, assessing and managing issues and risks
related to the achievement of the defined management objectives.
5) Schedules and responsibilities for periodic activities, including preparation of management reports
and performance of verification and compliance activities.
6) Identification of the resources including budget needed to implement the SAM plan.
7) Performance measures for tracking accomplishment against the SAM plan, including target
measures for accuracy of the asset management records.
NOTE An appropriate level of automation should be implemented to ensure that processes do not become
inefficient or error prone, or may not be followed at all.
c) The plan is approved by the corporate board or equivalent body.
10 © ISO/IEC 2006 – All rights reserved

4.3.3 Implementation of SAM
4.3.3.1 Objective
The objective of the Implementation of SAM process is to accomplish overall SAM objectives and the SAM
plan.
4.3.3.2 Outcomes
Implementation of the Implementation of SAM process will enable the organization to demonstrate that:
a) Mechanisms are in place to collect information, including from local SAM owners, about changes, issues
and risks that affect the SAM plan throughout the year.
b) Regular status reports (at least quarterly) are prepared by the SAM owner detailing the overall progress
against the SAM plan for reporting to the corporate board or equivalent body.
c) Follow-up on any variances identified takes place promptly and is documented.
4.3.4 Monitoring and review of SAM
4.3.4.1 Objective
The objective of the Monitoring and review of SAM process is to ensure that the management objectives for
SAM are being achieved.
4.3.4.2 Outcomes
Implementation of the Monitoring and review of SAM process will enable the organization to demonstrate that:
a) A formal review is conducted at least annually:
1) to assess whether management objectives for SAM and the SAM plan are being achieved
2) to summarize performance against all performance measures specified in the SAM plan and in
service level agreements related to SAM
NOTE Service Level Agreements covering requirements for SAM could cover more than just SAM.
3) to provide a summary of the findings of the Conformance verification for SAM process
4) to conclude on the basis of the above whether:
i) the policies approved by management which are relevant for SAM have been effectively
disseminated throughout the organizational scope defined for the purposes of this part of
ISO/IEC 19770
ii) the processes and procedures which are relevant for SAM, as approved by management, have
been effectively implemented throughout the organizational scope defined for the purposes of
this part of ISO/IEC 19770
5) to summarize any exceptions identified and actions which may need to be taken as a result of the
above
6) to identify opportunities for improvement in the provision of services for software and related assets
7) to consider whether there is a need for a review of policies, processes and procedures as to their
continued appropriateness, completeness and correctness.
© ISO/IEC 2006 – All rights reserved 11

b) The SAM owner formally approves the report, documents decisions and actions that are to be taken as a
result, and copies it to the corporate board or equivalent body.
c) There is a periodic review (at least annually) of whether software and related assets are deployed in the
most cost-effective manner possible; and recommendations are made for possible improvement.
4.3.5 Continual improvement of SAM
4.3.5.1 Objective
The objective of the Continual improvement of SAM process is to ensure that opportunities for improvement
are identified and acted upon where considered justified, both in the use of software and related assets and in
the SAM processes themselves.
4.3.5.2 Outcomes
Implementation of the Continual improvement of SAM process will enable the organization to demonstrate
that:
a) A mechanism is in place to collect and record suggested improvements in SAM arising from all sources
throughout the year.
b) Suggestions for improvement are periodically assessed, prioritized and approved for incorporation in
SAM implementation and improvement plans.
4.4 Inventory processes for SAM
4.4.1 General
The objective of Inventory processes for SAM is to create and maintain all stores and records for software and
related assets, and to provide the data management functionality which ensures the integrity of control of
software and related assets in the other SAM processes.
Inventory processes for SAM are the basis not only for SAM, but for all of configuration management.
Configuration management goes beyond the scope of SAM insofar as it covers all IT assets (not only software
and related assets), may cover non-IT assets, and the relationships between all of these assets. In the context
of a project encompassing all of IT service management, Inventory processes for SAM would be considered
part of configuration management.
The Inventory processes for SAM consist of the following:
a) Software asset identification;
b) Software asset inventory management;
c) Software asset control.
4.4.2 Software asset identification
4.4.2.1 Objective
The objective of the Software asset identification process is to ensure that the necessary classes of assets are
selected and grouped; and defined by appropriate characteristics that enable effective and efficient control of
software and related assets.
12 © ISO/IEC 2006 – All rights reserved

4.4.2.2 Outcomes
Implementation of the Software asset identification process will enable the organization to demonstrate that:
a) Types of assets to be controlled and the information associated with them are formally defined, taking into
account the following:
1) Items to be managed are chosen using established selection criteria, grouped, classified and
identified to ensure that they are manageable and traceable throughout their lifecycle.
NOTE Business and safety critical assets and high risk assets need to be prioritized and may be controlled at a
more detailed level.
2) Items to be managed include:
i) All platforms on which software can be installed or run
ii) Software definitive master versions and distribution copies
iii) Software builds and releases (originals and distribution copies)
iv) All installed software
v) Software versions
vi) Patches and updates
vii) Licences including underlying licenses and effective full licenses
viii) Proof of license documentation
ix) Contracts (including terms and conditions) relating to software assets, including both hard-copy
and electronic
x) Both physical and electronic stores of the above, as relevant
xi) Licensing models
3) Software should be manageable both by files and by packages corresponding to specific products
released by software manufacturers or developers.
4) Basic information required for all assets is
i) Unique identifier
ii) Name/description
iii) Location
iv) Custodianship (or owner)
v) Status (e.g. test/production status; development or build status)
vi) Type (e.g. software, hardware, facility)
vii) Version (where applicable)
NOTE Data validation requirements may also be defined as part of this process.
b) A register of stores and inventories exists, clarifying which stores and types of information are held, with
duplication allowed only if duplicate information can be traced back to the definitive source record.
© ISO/IEC 2006 – All rights reserved 13

4.4.3 Software asset inventory management
4.4.3.1 Objective
The objective of the Software asset inventory management process is to ensure that physical instances of
software assets are properly stored; and that required data about characteristics for all assets and
configuration items is accurately recorded throughout the life cycle. It also provides information on software
assets and related assets to support the effectiveness and efficiency of other business processes.
4.4.3.2 Outcomes
Implementation of the Software asset inventory management process will enable the organization to
demonstrate that:
a) Policies and procedures are developed, approved and issued which include the management and
maintenance of inventories and physical/electronic stores including access controls which:
1) protect them from unauthorized access, change or corruption.
2) provide a means for disaster recovery.
b) Inventories exist of:
1) all platforms on which software assets can be installed or run.
2) all authorized installed software showing (a) packages and versions which can be individually licensed
or authorized for deployment; and (b) update/patch status of software; all by platform on which
installed.
3) underlying licenses and effective full licenses held.
NOTE There is no requirement for physically separate inventories of underlying and effective full licenses, but
there is a requirement to be able to differentiate between the two.
c) Inventories and corresponding physical/electronic stores exist of:
1) software (definitive master versions and distribution copies)
2) software builds and releases (originals and distribution copies)
3) contracts relating to software assets, both hard-copy and electronic
4) proof of license documentation.
d) Inventories or other clearly defined analysis or metric mechanisms exist to determine any licensing usage
based on criteria other than software installations.
NOTE These requirements will depend on the licensing models of software being used. For example, they might
include metrics such as personnel counts for specified parts of the organization; counts of PCs meeting specified criteria;
numbers of users or terminals accessing server resources; numbers of processors; and power of processors.
e) Arrangements are made to ensure the continued availability of the sources listed above.
f) Each inventory report produced has a clear description including its identity, purpose, and details of the
data source.
14 © ISO/IEC 2006 – All rights reserved

4.4.4 Software asset control
4.4.4.1 Objective
The objective of the Software asset control process is to provide the control mechanism over software assets
and changes to software and related assets while maintaining a record of changes to status and approvals.
4.4.4.2 Outcomes
Implementation of the Software
...

МЕЖДУНАРОДНЫЙ ISO/IEC
СТАНДАРТ
19770-1
Первое издание
2006-05-01
Информационные технологии.
Менеджмент программного
обеспечения.
Часть 1.
Процессы
Information technology — Software asset management —
Part 1: Processes
Ответственность за подготовку русской версии несёт GOST R
(Российская Федерация) в соответствии со статьёй 18.1 Устава ISO

Ссылочный номер
©
ISO/IEC 2006
Отказ от ответственности при работе в PDF
Настоящий файл PDF может содержать интегрированные шрифты. В соответствии с условиями лицензирования, принятыми
фирмой Adobe, этот файл можно распечатать или смотреть на экране, но его нельзя изменить, пока не будет получена
лицензия на интегрированные шрифты и они не будут установлены на компьютере, на котором ведется редактирование. В
случае загрузки настоящего файла заинтересованные стороны принимают на себя ответственность за соблюдение
лицензионных условий фирмы Adobe. Центральный секретариат ISO не несет никакой ответственности в этом отношении.
Adobe - торговый знак фирмы Adobe Systems Incorporated.
Подробности, относящиеся к программным продуктам, использованные для создания настоящего файла PDF, можно найти в
рубрике General Info файла; параметры создания PDF были оптимизированы для печати. Были приняты во внимание все
меры предосторожности с тем, чтобы обеспечить пригодность настоящего файла для использования комитетами-членами
ISO. В редких случаях возникновения проблемы, связанной со сказанным выше, просьба проинформировать Центральный
секретариат по адресу, приведенному ниже.

ДОКУМЕНТ ЗАЩИЩЕН АВТОРСКИМ ПРАВОМ

© ISO/IEC 2006
Все права сохраняются. Если не указано иное, никакую часть настоящей публикации нельзя копировать или использовать в
какой-либо форме или каким-либо электронным или механическим способом, включая фотокопии и микрофильмы, без
предварительного письменного согласия ISO, которое должно быть получено после запроса о разрешении, направленного по
адресу, приведенному ниже, или в комитет-член ISO в стране запрашивающей стороны.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Опубликовано в Швейцарии
ii © ISO/IEC 2006– Все права сохраняются

Содержание Страница
Предисловие .iv
Введение .v
1 Область действия .1
1.1 Назначение.1
1.2 Область применения .1
1.3 Ограничения .3
2 Соответствие.3
2.1 Предназначенное применение.3
2.2 Полное соответствие.3
2.3 Соответствие в соглашении.3
3 Термины и определения .3
4 Процессы SAM .5
4.1 Общие положения .5
4.2 Среда управления для SAM .7
4.3 Планирование и реализация процессов для SAM.11
4.4 Процессы инвентаризации для SAM .13
4.5 Процессы проверки и соответствия для SAM.17
4.6 Процессы и Взаимодействия при Управлении Операциями для SAM.19
4.7 Интерфейсы процессов жизненного цикла для SAM.22

© ISO/IEC 2006– Все права сохраняются iii

Предисловие
ISO (Международная организация по стандартизации) и IEC (Международная электротехническая
комиссия) создали специализированную систему всемирной стандартизации. Национальные
организации, являющиеся комитетами-членами ISO или IEC, участвуют в разработке международных
стандартов через технические комитеты, учрежденные соответствующей организацией для того, чтобы
заниматься отдельными областями технической деятельности. Технические комитеты ISO и IEC
сотрудничают в областях, представляющих взаимный интерес. Другие правительственные и
неправительственные международные организации, сотрудничающие с ISO и IEC, также принимают
участие в этой работе. В области информационной технологии ISO и IEC учредили Совместный
Технический комитет ISO/IEC JTC1.
Проекты международных стандартов разрабатываются согласно правилам, привёденным в
Директивах ISO/IEC, Часть 2.
Основной задачей технических комитетов является подготовка международных стандартов. Проекты
международных стандартов, принятые техническими комитетами, рассылаются комитетам-членам на
голосование. Для публикации в качестве международного стандарта требуется одобрение не менее 75 %
комитетов-членов, принявших участие в голосовании.
Следует иметь в виду, что, возможно, некоторые элементы настоящего документа могут быть
объектом патентных прав. ISO и IEC не несут ответственность за определение некоторых или всех
таких патентных прав.
ISO/IEC 19770-1 подготовлен Совместным Техническим комитетом ISO/IEC JTC 1, Информационные
технологии, Подкомитетом SC 7, Разработка программного обеспечения и системы.
ISO/IEC 19770 состоит из следующих частей под общим заголовком Менеджмент программного
обеспечения:
- Часть 1. Процессы
- Часть 2. Теги
4 © ISO/IEC 2006 – Все права сохраняются

Введение
Данная часть ISO/IEC 19770 разработана, чтобы дать возможность организации убедиться в том, что
выполнение Менеджмента Программного Обеспечения (SAM) по стандарту достаточно для
удовлетворения требований корпоративного управления и вообще для обеспечения эффективной
поддержки менеджмента услуг Информационных Технологий (IT). Данная часть ISO/IEC 19770
предназначена для тесного совмещения и поддержки ISO/IEC 20000. Сложившаяся практика по SAM
должна привести к следующим типам выгод, а аттестуемая сложившаяся практика должна позволить
менеджменту и другим организациям доверять адекватности этих процессов, и ожидаемые выгоды
должны достигаться с высоким уровнем доверия.
a) Управление рисками: SAM должна облегчить управление предпринимательскими рисками,
включая:
1) риск прерывания услуг IT;
2) риск ухудшения качества услуг IT;
3) правовая и регулятивная незащищенность;
4) риск нанесения вреда репутации, вызванный любой из названных выше причин.
b) Контроль затрат: SAM должна облегчить контроль затрат, включая следующие сферы:
1) уменьшенные прямые издержки на программное обеспечение и связанные средства,
например, путем ведения переговоров по лучшему установлению цены через лучшее
использование подрядных соглашений по объему, или путем исключения покупки новых
лицензий, когда старые лицензии могут быть перегруппированы;
2) уменьшенное время и затраты на ведение переговоров с поставщиками при большой
доступности информации;
3) уменьшенные затраты при повышенном финансовом контроле, например, при улучшенном
согласовании счетов и более точном прогнозировании и составлении счета;
4) уменьшенные затраты на инфраструктуру при управлении программным обеспечением и
связанными средствами при том, что требуемые процессы являются рациональными и
эффективными;
5) уменьшенные затраты на поддержку, на которые качество процессов SAM оказывает
значительное влияние, как непосредственно в рамках IT, так и косвенно в сферах конечного
пользователя.
c) Конкурентное преимущество: SAM должна помочь организации получить конкурентное
преимущество за счет следующих моментов:
1) лучшее принятие решений по качеству при доступности более полной и более прозрачной
информации (например, решения по приобретению IT и разработке системы могут быть приняты
быстрее и с большей надежностью при лучших данных по качеству);
2) способность быстрее и надежнее применять новые системы и функциональные возможности в
ответ на конъюнктуру и потребности рынка;
3) обеспечение Информационных Технологий, которое более тесно связано с потребностями
бизнеса, обеспечивая, таким образом, доступ всем пользователям к соответствующему
программному обеспечению и приложениям;
4) способность быстрее реагировать на такие аспекты IT, как поглощение, слияние или
разъединения бизнеса;
5) лучшая мотивация персонала и удовлетворение клиентов при меньшем числе проблем IT.
© ISO/IEC 2006– Все права сохраняются v

МЕЖДУНАРОДНЫЙ СТАНДАРТ ISO/IEC 19770-1:2006(R)
Информационные технологии. Менеджмент
программного обеспечения.
Часть 1.
Процессы
1 Область применения
1.1 Назначение
В данной части ISO/IEC 19770 устанавливается базовый уровень единого набора процессов для
Менеджмента Программного Обеспечения (Software Asset Management) (SAM).
1.2 Область применения
В настоящей части ISO/IEC 19770 применяются процессы SAM, эта часть может реализовываться
организациями для получения немедленных преимуществ. ISO/IEC 19770-2 предоставляет
технические требования к данным SAM, которые должны быть реализованы изготовителями
программного обеспечения (внешними и внутренними) и разработчиками инструментальных
средств для достижения полных преимуществ.
Предполагается, что данная часть ISO/IEC 19770 будет стандартом на разработку для
организаций. Будущие издания могут содержать структуру оценки, которая совмещена с
требованиями ISO/IEC15504-2.
Данная часть ISO/IEC 19770 применима ко всем организациям любого размера или отрасли.
Данная часть ISO/IEC 19770 может применяться только к юридическим субъектам или к частям
отдельного юридического субъекта.
Примечание Определение области применения документируется, как часть процесса Корпоративного
управления для SAM.
Данная часть ISO/IEC 19770 может применяться в организации, которая отдала процессы SAM на
сторону с ответственностью за демонстрацию соответствия, всегда сохраняющейся за внешней
организацией.
Данная часть ISO/IEC 19770 может применяться ко всему программному обеспечению и
связанным с ним средствам, не взирая на характер программного обеспечения. Например, она
может применяться к выполняемым программам (таким как программы приложений,
операционные системы и служебные программы) и к неисполняемому программному обеспечению
(например, шрифтам, графике, аудиозаписям и видеозаписям, шаблонам, словарям, документам и
данным).
ПРИМЕЧАНИЕ Определение области применения программных средств (типов программного обеспечения,
которые должны быть включены в область применения) документируется как часть Плана SAM,
разработанного в Планировании для процесса SAM. Он может быть определен любым способом,
подходящим для организации, например, для всего программного обеспечения, для всех программ,
реализуемых программно, для всех программ на специальной платформе или для программ определенных
изготовителей, но только чтобы это было точно выражено.
Следующие формы находятся в рамках действия данной части ISO/IEC 19770:
© ISO/IEC 2006– Все права сохраняются 1

a) права на использование программного обеспечения, отражающие полную собственность (как
для программ внутренней разработки) и лицензии (как для большинства программ, полученных
извне, либо коммерческих, либо из открытого источника);
b) применяемое программное обеспечение, которое содержит стоимость интеллектуальной
собственности программного обеспечения (включая оригинальное программное обеспечение,
предоставляемое изготовителями и разработчиками программ, компоновки программ и
установленные и исполняемые программы); и
c) хранящиеся на носителе программное обеспечение для использования.
ПРИМЕЧАНИЕ С точки зрения финансового учета сначала идет категория (a), которая рассматривается как
актив, даже тогда, когда она полностью списана. С точки зрения финансового учета категория (b) может
рассматриваться как фактически созданное долговое обязательство (а не актив) при коммерческом
программном обеспечении, если оно надлежащим образом не лицензировано. В данной части ISO/IEC 19770
рассматриваются подходящие активы категории (b) и (c) для контроля, также как и (a). Лицензии могут иметь
бухгалтерскую ценность, но используемое программное обеспечение, в частности, должно иметь
коммерческую ценность, и ее нужно трактовать как производственные фонды.
Связанными активами в рамках области применения являются все другие средства с
характеристиками, которые необходимы для использования и управления программным
обеспечением в области применения. Любые характеристики этих связанных средств, которые не
являются необходимыми, находятся вне области применения. В Таблице 1 показаны примеры
таких средств.
Таблица 1 — Применение ISO/IEC 19770-1 к Не-программным Средствам
Тип средств Применимость Пример
Технические средства Нормативная для технических Физическая опись оборудования, на
средств с характеристиками, котором программное обеспечение
необходимыми для может храниться, исполняться или иначе
использования или управления использоваться; число процессоров или
программными средствами в вычислительная мощность; либо
области применения технические средства, которые
уточняются для целей лицензирования
на использование
Не применимы для Стоимость и амортизация технических
характеристик, которые не средств, даты восстановительного
являются необходимыми для ремонта при профилактическом

использования или управления обслуживании
программными средствами в
области применения
Другие средства Нормативная для других Фамилии персонала для определения
средств с характеристиками, статуса опекуна, количество персонала
необходимыми для для лицензирования на этой базе
использования или управления
программными средствами в
области применения
Не применимы для Другая информация о персонале
характеристик, которые не
являются необходимыми для
использования или управления
программными средствами в
области применения
2 © ISO/IEC 2006 – Все права сохраняются

1.3 Ограничения
В данной части ISO/IEC 19770 не детализируются процессы SAM в виде методов или процедур,
необходимых для удовлетворения требований к результатам процесса.
В данной части ISO/IEC 19770 не определяется последовательность шагов, которой организация
должна следовать при реализации SAM, это также не последовательность, в которой описываются
процессы. Должна применяться последовательность, которая требуется содержанием и
контекстом. Например, планирование должно предшествовать реализации.
В данной части ISO/IEC 19770 не детализируются документация в виде имени, формата, явно
заданного содержания и носителя записи.
Данная часть ISO/IEC 19770 не находится в конфликте с любыми стратегиями, процедурами и
стандартами организации или с национальными законодательными актами и регламентами.
Любой такой конфликт должен разрешаться до применения данной части ISO/IEC 19770.
2 Соответствие
2.1 Предназначенное применение
Требования данной части ISO/IEC 19770 содержатся в результатах Раздела 4. Любое утверждение
о соответствии должно утверждать полное соответствие положениям данной ISO/IEC 19770,
описанным ниже, включая процессы, выполняемые сторонними организациями. Можно также
избирательно выбирать результаты для отдельных соглашений, как пояснено ниже, но при этом
нельзя утверждать соответствие с данной частью ISO/IEC 19770.
2.2 Полное соответствие
Полное соответствие достигается путем демонстрации того, что все требования данной части
ISO/IEC 19770 выполнены, при использовании результатов в качестве доказательства.
2.3 Соответствие в соглашении
Данная часть ISO/IEC 19770 может использоваться как помощь в разработке соглашения между
покупателем и поставщиком, в этом случае могут выбираться разделы данной части ISO/IEC 19770
для включения в соглашение с их модификацией или без модификации. В этом случае для
покупателя и поставщика необходимо достичь согласия скорее, чем соответствия с данной частью
ISO/IEC 19770.
ПРИМЕЧАНИЕ 1 Соглашение с поставщиком обычно определяет область действия организации по
управлению, например, по всем филиалам корпорации, это означает, что потребуется установить область
применения SAM для согласования, если SAM предполагается включить в такое соглашение.
ПРИМЕЧАНИЕ 2 Авторское право ISO/IEC распространяется на всю эту часть ISO/IEC 19770, а также на
его составные части. Однако при конкретном применении, указанном выше, нет необходимости получать
разрешение на авторское право.
3 Термины и определения
В настоящем документе используются следующие термины и определения.
3.1
базовый уровень
baseline
формально одобренная версия элемента конфигурации (3.2), независимо от носителя, формально
определенная и зафиксированная в определенный момент времени жизненного цикла элемента
конфигурации (определенная также в ISO/IEC 12207)
© ISO/IEC 2006– Все права сохраняются 3

3.2
элемент конфигурации
configuration item
CI
элемент или объединение технических средств или программного обеспечения, или и того и
другого, предназначенные для управления одним объектом
ПРИМЕЧАНИЕ Элементы конфигурации могут варьироваться в широких пределах по сложности, размеру и
типу, изменяясь от полной системы, включающей все технические средства, программное обеспечение и
документацию, до единственного модуля или не основного компонента технических средств.
3.3
корпоративный совет или эквивалентный орган
corporate board or equivalent body
лицо или группа людей, которые приняли на себя правовую ответственность за проведение или
управление организацией на самом высоком уровне
3.4
последняя эталонная версия
definitive master version
версия программного обеспечения, которая используется для установки программ и для создания
копий для распространения
3.5
копия для распространения
distribution copy
копия последней оригинальной версии программного обеспечения для целей установки на других
технических средствах, которая постоянно хранится, например, на сервере или на физических
носителях, таких как компакт-диски (CD)
3.6
действующая полная лицензия
effective full license
лицензионные права на программное обеспечение, которые дают возможность полного
использования этого программного обеспечения
ПРИМЕЧАНИЕ Действующая лицензия состоит из одной или большего числа базовых лицензий (3.15).
ПРИМЕР Базовая полная лицензия для версии 1 программного продукта плюс базовая лицензия на
модернизацию до версии 2 программного продукта составляют одну действующую полную лицензию на
версию 2 программного продукта.
3.7
локальный владелец SAM
local SAM owner
человек на любом уровне организации ниже владельца SAM (3.11), который определен
ответственным за SAM для некоторой части организации
3.8
персонал
personnel
любой человек, назначенный для выполнения обязанностей от имени организации, в том числе
должностные лица, сотрудники и подрядчики
3.9
процедура
procedure
заданный способ выполнения действия или процесса
4 © ISO/IEC 2006 – Все права сохраняются

ПРИМЕЧАНИЕ Когда процедура задается в виде результата, она обычно определяет, что должно быть
сделано, кем и в какой последовательности. Это более детальный уровень технических требований, чем
процесс (3.10).
3.10
процесс
process
набор взаимосвязанных действий, которые преобразуют входы в выходы
ПРИМЕЧАНИЕ Когда задается определение процесса в виде результата, он обычно определяет входы и
выходы и дает общее описание ожидаемых действий. Однако он не требует такого же уровня детализации,
как для процедуры (3.9).
3.11
владелец SAM
SAM owner
человек на старшем уровне всей организации, который определен ответственным за SAM
3.12
менеджмент программного обеспечения
software asset management
SAM
эффективное управление, контроль и защита программного обеспечения в организации
3.13
головная метка программного обеспечения
software header
информация о программном файле для облегчения управления им, встроенная в сам файл
ПРИМЕЧАНИЕ Головная метка программного обеспечения – это один тип информации в более общей
категории информации в теге программного обеспечения (3.14).
3.14
тег программно обеспечения
software tag
информация о программном файле или пакете для облегчения управления ими, некоторая из этой
информации может храниться в головной метке программного обеспечения (3.13)
3.15
базовая лицензия
underlying license
лицензия на использование программного обеспечения, первоначально закупленная или
приобретенная, которая обычно может привязываться к регистрации покупки
ПРИМЕЧАНИЕ Базовая лицензия может содержать связанные с ней условия, требующие использовать ее
вместе с другими лицензиями для создания действующей полной лицензии (3.6).
4 Процессы SAM
4.1 Общие положения
4.1.1 Определение и отношение с менеджментом услуг
Менеджмент программного обеспечения – это эффективное управление, контроль и защита
программного обеспечения в организации.
Процессы SAM, определенные в данной части ISO/IEC 19770, тесно привязаны и предназначены
для непосредственной поддержки менеджмента услуг IT, определенных в ISO/IEC 20000.
© ISO/IEC 2006– Все права сохраняются 5

4.1.2 Обзор процессов SAM
На Рисунке 1 ниже приведена концептуальная структура процессов SAM и их разбиение на три
главных категории:
a) Процессы организационного управления для SAM;
b) Базовые процессы SAM;
c) Основные интерфейсы процессов для SAM.
Более детально процессы описываются далее в разделах с 4.2 по 4.7
Процессы организационного управления для SAM
4.2 Средства управления для SAM
Процесс Корпоративного Роли и Ответственности для Процессы и Процедуры Компетентность в SAM
Управления для SAM SAM Стратегий для SAM
4.3 Процессы Планирования и Реализации для SAM
Планирование для SAM Реализация SAM Мониторинг и Анализ SAM Непрерывное
совершенствование SAM
Базовые Процессы SAM
4.4 Процессы инвентаризации для SAM
Идентификация Программного Управление Инвентаризацией Контроль Программного
Обеспечения Программного Обеспечения Обеспечения
4.5 Процессы Проверки и Соответствия
Проверка регистрации Соответствие лицензирования Соответствие Безопасности Проверка Соответствия для
Программных Средств Программного Обеспечения Программных Средств SAM
4.6 Процессы и Взаимодействия при Управлении Операциями для SAM
Управление Отношениями и Управление финансами для Управление Уровнем Сервиса Управление Безопасностью
контрактами для SAM SAM для SAM для SAM

Основные Интерфейсы процессов для SAM
4.7 Взаимодействие Процессов Жизненного Цикла для SAM
Процесс Управления Процесс Разработки Процесс использования Процесс Контроля Проблем
Изменением Программного Обеспечения Программного Обеспечения

Процесс Процесс Управления Выпуском Процесс Контроля
Процесс изъятия
Приобретения Программного Обеспечения Происшествий

Рисунок 1 — Структура для процессов SAM
4.1.3 Результаты, действия и интерфейсы
Данная часть ISO/IEC 19770 написана с использованием элементов процесса – заголовка, цели и
результатов. Данная часть ISO/IEC 19770 не включает действия, которые могут быть
использованы для достижения результатов.
Результаты, определенные в данной части ISO/IEC 19770, разработаны легко доступными, и нет
необходимости указывать объем действий, который может потребоваться для их выполнения.
Например, обслуживание инвентаризации в процессе Управления инвентаризацией
программного обеспечения логически требует действий по проверке правильности данных, хотя
это не указывается как результат в данной части ISO/IEC 19770. (Целостность данных
предполагается в данной части ISO/IEC 19770 в процессах Проверки и соответствия для SAM.)
6 © ISO/IEC 2006 – Все права сохраняются

Некоторые из наиболее важных действий являются сопряженными действиями с другими
процессами. Например, когда программное обеспечение закупается (или 'приобретается') целью,
которая должна быть удовлетворена, является: "Цель процесса Приобретения в отношении
программного обеспечения и связанных средств состоит в обеспечении того, чтобы они
приобретались контролируемым способом и регистрировались." Этот процесс и многие другие
потребуют активизации процесса Управления инвентаризацией программного обеспечения для
регистрации данных и проверки их на требуемые области применения и др. Другим примером
является создание базового уровня, который формируется в процессе Управление программным
обеспечением. Этот процесс активизируется процессом Разработка программного обеспечения и
процессом Управление выпуском программного обеспечения. Цель данной части ISO/IEC 19770
не состоит в определении типа такой детализации, но такие действия или сопряжения неявно
требуются для достижения установленных целей.
4.2 Среда управления для SAM
4.2.1 Общие положения
Цель Среды управления для SAM состоит в установлении и поддержании системы управления, в
которой реализуются другие процессы SAM.
Среда управления для SAM состоит из следующего:
a) Процесс корпоративного управления для SAM;
b) Роли и ответственности для SAM;
c) Стратегии, процессы и процедуры для SAM;
d) Компетентность в SAM.
4.2.2 Процесс корпоративного управления для SAM
4.2.2.1 Цель
Цель Процесса корпоративного управления для SAM состоит в обеспечении того, чтобы
ответственность за управление программными средствами осознавалась на уровне корпоративного
совета или эквивалентного органа и чтобы были приняты соответствующие механизмы для
обеспечения надлежащего выполнения этой ответственности.
ПРИМЕЧАНИЕ Этот процесс может рассматриваться как часть общего корпоративного кправления
Информационной технологией (IT).
4.2.2.2 Результаты
Реализация Процесса корпоративного управления позволит организации продемонстрировать,
что:
a) Существует четкое корпоративное положение для целей данной части ISO/IEC 19770 по:
1) правовому субъекту или сторонам правового субъекта, которые включены в сферу
деятельности
ПРИМЕЧАНИЕ Одним из факторов, которые рассматриваются при определении сферы
деятельности организации, могут быть существующие контракты на программное обеспечение,
базирующиеся на конкретной сферах деятельности организации.
2) конкретный один орган или лицо, которое несет общую ответственность за корпоративное
управление этим правовым субъектом или сторонами этого правового субъекта.
© ISO/IEC 2006– Все права сохраняются 7

ПРИМЕЧАНИЕ Этот специальный орган или человек называется далее 'корпоративный совет или
эквивалентный орган'.
b) Ответственность за корпоративное управление программным обеспечением и связанными
средствами официально возлагается на корпоративный совет или эквивалентный орган.
c) Нормативные документы или руководящие принципы, которые относятся к организации, по
использованию программного обеспечения и связанных средств во всех странах, где они
эксплуатируются, определены и документированы и пересматриваются, по крайней мере,
ежегодно.
d) Оценка рисков, связанных с программным обеспечением и связанными средствами, и подходы
по их уменьшению, заданные в области управления, документируются, обновляются, по
крайней мере, ежегодно и утверждаются корпоративным советом или эквивалентным органом,
включая, по меньшей мере, следующее:
1) Риск регулятивного несоответствия.
ПРИМЕЧАНИЕ Это может относиться, например, к обеспечению секретности при мониторинге
использования программного обеспечения для персонала; защите данных в документах SAM,
сохраняемых по отдельным лицам; и требованиям к отдельным отраслям промышленности, таким как
фармацевтическая промышленность.
2) Риск несоответствия лицензированию.
3) Риск прерывания эксплуатации из-за проблем с инфраструктурой Информационной
Технологии (IT), которые являются следствием неадекватного SAM.
4) Риск чрезмерных затрат на лицензирование и других расходов на поддержку IT из-за
неадекватного SAM.
5) Риски, связанные с децентрализованными в сравнении с централизованными подходами к
управлению программным обеспечением и связанными средствами.
ПРИМЕЧАНИЕ Децентрализованные подходы к управлению могут быть более трудными с точки
зрения достижения экономии затрат и могут иметь более высокие риски, например, по несоответствию
лицензирования, чем централизованные подходы к управлению.
6) Риски, связанные с различными странами, в которых происходит эксплуатация, принимая
во внимание местные подходы к культуре согласования и обеспечению выполнения.
e) Цели управления для SAM утверждаются корпоративным советом или эквивалентным органом
и пересматриваются, по крайней мере, ежегодно.
4.2.3 Роли и ответственности для SAM
4.2.3.1 Цель
Цель Роли и ответственности для процесса SAM состоит в обеспечении того, чтобы роли и
ответственности для программного обеспечения и связанных средств были четко определены,
поддерживались и понимались всем персоналом, для которого они предназначены.
ПРИМЕЧАНИЕ Эти роли и ответственности должны включать, в частности, какую-то ссылку на
нормативные документы или на требования корпоративного управления.
4.2.3.2 Результаты
Реализация Роли и ответственности для процесса SAM позволит организации продемонстрировать, что:
8 © ISO/IEC 2006 – Все права сохраняются

a) Роль владельца SAM, ответственность за корпоративное управление программным
обеспечением и связанными средствами для всей организации четко определены и
утверждены корпоративным советом или эквивалентным органом. Назначенные
ответственности для всей организации включают следующее:
1) Предложение целей управления для SAM.
2) Наблюдение за разработкой плана SAM.
3) Получение ресурсов для реализации утвержденного плана SAM.
4) Предоставление результатов по плану SAM.
5) Обеспечение того, чтобы все локальные владельцы SAM выполняли свои обязанности
надлежащим образом и чтобы все части организации охватывались владельцем SAM или
локальными владельцами SAM без конфликтующего перекрытия.
b) Локальные роли и ответственности по корпоративному управлению программным
обеспечением и связанными средствами документируются и назначаются конкретным лицам.
Назначенные ответственности включают следующие пункты для каждой части организации, за
которую каждый человек несет ответственность:
1) Получение ресурсов для реализации плана SAM.
2) Предоставление результатов по плану SAM.
3) Принятие и реализация необходимых стратегий, процессов и процедур.
4) Поддержание точных записей по программному обеспечению и связанным средствам.
5) Обеспечение того, чтобы для приобретения, применения и контроля программных
средств требовались менеджмент и техническое одобрение.
6) Управление контрактами, взаимоотношениями с поставщиком и взаимоотношениями с
внутренним заказчиком
7) Определение и реализация потребности в модернизациях.
c) Эти ответственности сообщаются всем частям организации, привлеченным любым способом к
SAM, сообщаются также другие локальные правила и правила в рамках организации.
4.2.4 Стратегии, процессы и процедуры для SAM
4.2.4.1 Цель
Цель Стратегий, процессов и процедур для процесса SAM состоит в гарантии того, что
организация поддерживает четкие стратегии, процессы и процедуры для обеспечения
эффективного планирования, функционирования и управления SAM.
4.2.4.2 Результаты
Реализация Стратегий, процессов и процедур для процесса SAM позволит организации
продемонстрировать, что:
a) Существует структурированный подход к созданию, рассмотрению, одобрению, выпуску и
систематическому контролю стратегий, процессов, процедур и связанной документации,
относящейся к SAM, с тем, чтобы всегда можно было определить имеющийся в наличии
© ISO/IEC 2006– Все права сохраняются 9

полный набор, а также определить, какая версия каждого документа в настоящее время
действует и какой документ применим к различным типам программного обеспечения и
связанным средствам.
ПРИМЕЧАНИЕ Это обычно является частью общего подхода, принятого организацией для всех ее
стратегий, процессов и процедур и не является уникальным для SAM.
b) Документация по стратегии, процессу и процедуре, требуемая данной частью ISO/IEC 19770,
готовится путем классификаций процессов данной части ISO/IEC 19770 или с помощью
перекрестных ссылок на эти классификации.
c) Стратегии разрабатываются, одобряются и выпускаются, включая, как минимум:
1) Индивидуальные и корпоративные ответственности для корпоративного управления
программным обеспечением и связанными средствами.
2) Любые ограничения на персональное использование корпоративного программного
обеспечения и связанных средств.
3) Требование на соответствие правовым и нормативным требованиям, включая авторское
право и защиту данных.
4) Любые требования на приобретение (например, использование корпоративных
соглашений или закупка только у известных/апробированных поставщиков)
5) Любое требование к разрешению на установку или использование программного
обеспечения, закупаемого или не закупаемого.
6) Дисциплинарные последствия нарушений этих стратегий.
d) Стратегии и процедуры сообщаются всему персоналу таким образом, чтобы (a) они доходили до всех
новых сотрудников, которые начинают работать, и до продолжающих работу, по крайней мере, ежегодно;
(b) требовалось положительное подтверждение от сотрудников при начале работы и, по меньшей мере,
ежегодно; и (c) были легко доступными для персонала в любое время.
ПРИМЕЧАНИЕ Документация может быть в любой форме и на любом носителе. Эта документация может
быть выпущена в консолидированных версиях вместе с другими документами, например, консолидированные
положения по стратегии, включающие также требования к персоналу по секретности.
4.2.5 Компетентность в SAM
4.2.5.1 Цель
Цель Компетентности в процессе SAM состоит в обеспечении того, что соответствующая
компетентность и профессиональные знания в SAM имеются в наличии и применяются.
4.2.5.2 Результаты
Реализация Компетентности в процессе SAM позволит организации продемонстрировать, что:
a) Оценка документируется и обновляется, по крайней мере, ежегодно, она включает доступность
и понимание персоналом обучения и сертификации по обязанностям SAM для:
1) SAM в целом.
2) Лицензирования для изготовителей программного обеспечения, чьи программы используются.
b) Экспертиза проводится, по крайней мере, ежегодно для определения того, что составляет
10 © ISO/IEC 2006 – Все права сохраняются

"Доказательство Лицензии " для изготовителя программного обеспечения.
c) Персонал с ответственностью по управлению SAM получает обучение по SAM и по
соответствующему лицензированию, которое включает как первоначальную подготовку, так и
дальнейшее ежегодное образование.
ПРИМЕЧАНИЕ Рекомендуются также индивидуальные сертификации в доступных пределах.
d) Экспертиза проводится, по крайней мере, ежегодно для выяснения того, какие
дополнительные руководящие указания, если они имеются, предлагаются изготовителями
программного обеспечения для соответствия их лицензиям.
4.3 Планирование и реализация процессов для SAM
4.3.1 Общие положения
Цель Планирования и реализации процессов для SAM состоит в обеспечении эффективного и
рационального достижения целей управления SAM.
Процессы в этой области в принципе соответствуют процессам 'Plan-Do-Check-Act /Выполняй- -
План- Проверяй -Исполнение' ISO 9001.
Планирование и реализация процессов для SAM состоит из следующего:
a) Планирование для SAM;
b) Реализация SAM;
c) Мониторинг и оценка SAM;
d) Непрерывное улучшение SAM.
4.3.2 Планирование для SAM
4.3.2.1 Цель
Цель Планирования для процесса SAM состоит в обеспечении соответствующей подготовки и
планирования для эффективного и рационального достижения целей управления SAM.
4.3.2.2 Результаты
Реализация Планирования для процесса SAM позволит организации продемонстрировать, что:
a) Цели управления для SAM разрабатываются и предлагаются для одобрения корпоративным
советом или эквивалентным органом и обновляются, по крайней мере, ежегодно.
b) План (План 'SAM') для реализации и представления SAM разрабатывается и документируется,
а также обновляется, по крайней мере, ежегодно, он включает:
1) Четкую формулировку области применения ('области применения программных средств'),
описывающей какие типы программного обеспечения включаются; полноту охвата
связанных средств, включая те, которые находятся вне минимально требуемых данной
частью ISO/IEC 19770; и любые взаимодействия или требования к другим организациям
или системам.
2) Четкую спецификацию тех стратегий, процессов и процедур, которые необходимы для
средств в области их применения.
© ISO/IEC 2006– Все права сохраняются 11

3) Четкое пояснение подхода к управлению, контрольной проверке и улучшению SAM,
включая соответствующую автоматизацию для поддержки процессов.
4) Пояснение используемого подхода к проблемам идентификации, оценки и управления и
связанным рискам при достижении определенных целей менеджмента.
5) Графики и ответственности для периодических работ, включая подготовку отчетов по
менеджменту и эффективность работ по проверке и соответствию.
6) Определение ресурсов, включая бюджет, необходимых для реализации плана SAM.
7) Критерии качества для отслеживания выполнения плана SAM, включая целевые критерии
по точности документов по менеджменту средств.
ПРИМЕЧАНИЕ Следует реализовать соответствующий уровень автоматизации для обеспечения того, чтобы
процессы не стали неэффективными или содержали ошибки, или вообще не соблюдались.
c) План утверждается корпоративным советом или эквивалентным органом.
4.3.3 Реализация SAM
4.3.3.1 Цель
Цель Реализации процесса SAM состоит в выполнении общих целей SAM и плана SAM.
4.3.3.2 Результаты
Реализация процесса Реализация SAM позволит организации продемонстрировать, что:
a) Механизмы для сбора информации действуют, включая информацию от владельцев SAM, об
изменениях, проблемах и рисках, которые влияют на план SAM в течение года.
b) Для корпоративного совета или эквивалентного органа владельцем SAM готовятся (по
крайней мере, ежеквартально) регулярные отчеты о состоянии, которые детализируют общий
ход работ по плану SAM.
c) Производится своевременное отслеживание любых идентифицированных отклонений,
которые документируются.
4.3.4 Мониторинг и оценка SAM
4.3.4.1 Цель
Цель Мониторинга и оценки процесса SAM состоит в обеспечении достижения целей управления SAM.
4.3.4.2 Результаты
Реализация Мониторинга и оценки процесса SAM позволит организации продемонстрировать, что:
a) Официальная оценка проводится, про крайней мере, ежегодно:
1) для оценки того, достигнуты ли цели менеджмента для SAM и выполнен ли план SAM
2) для подведения итогов по выполнению всех критериев качества, заданных в плане SAM, и
по соглашениям по уровню обслуживания, привязанных к SAM
ПРИМЕЧАНИЕ Соглашения по Уровню Обслуживания, включающие требования к SAM, могут касаться не
только SAM.
12 © ISO/IEC 2006 – Все права сохраняются

3) для обеспечения сводки полученных данных Проверки соответствия для процесса SAM
4) чтобы сделать вывод на основе вышесказанного:
i) эффективно ли распространяются стратегии, одобренные руководством и
относящиеся к SAM, по всей области деятельности организации, определенной для
целей данной части ISO/IEC 19770
ii) эффективно ли реализуются процессы и процедуры, одобренные руководством и
относящиеся к SAM, во всей области деятельности организации, определенной для
целей данной части ISO/IEC 19770
5) чтобы подытожить любые установленные отклонения и действия, которые могут
потребоваться как результат вышеназванного
6) для определения возможностей по улучшению в предоставлении услуг для программного
обеспечения и связанных средств
7) для рассмотрения того, существует ли необходимость анализа стратегий, процессов и
процедур с точки зрения их непрерывной пригодности, полноты и правильности.
b) Владелец SAM официально одобряет отчет, документы с решениями и действиями, которые в
результате должны быть приняты, и копирует их для корпоративного совета или
эквивалентного органа.
c) Проводится периодический анализ (по крайней мере, ежегодно) того, применяется ли
программное обеспечение и связанные средства наиболее рентабельным способом, и даются
рекомендации по возможному улучшению.
4.3.5 Непрерывное улучшение SAM
4.3.5.1 Цель
Цель Непрерывного улучшения процесса SAM состоит в обеспечении того, чтобы возможности
улучшения определялись и реализовывались соответствующим образом, когда они обоснованы,
как в части программного обеспечения и связанных средств, так и для самих процессов SAM.
4.3.5.2 Результаты
Реализация Непрерывного улучшения процесса SAM позволит организации продемонстрировать, что:
a) Принят механизм сбора и регистрации предполагаемых улучшений по всем направлениям в
течение года.
b) Предложения по улучшению периодически оцениваются, им назначаются приоритеты и они
утверждаются для включения в реализацию и планы улучшения SAM.
4.4 Процессы инвентаризации для SAM
4.4.1 Общие положения
Цель Процессов инвентаризации для SAM состоит в создании и поддержании всех хранилищ и
документов для программного обеспечения и связанных средств и обеспечении функциональных
возможностей управления данными, которые гарантируют целостность управления программным
обеспечением и связанными средствами в других процессах SAM.
Процессы инвентаризации для SAM являются основой не только для SAM, но и для всего
управления конфигурацией. Управление конфигурацией находится вне области действия SAM,
поскольку оно включает все средства IT (не только программное обеспечение и связанные с ним
© ISO/IEC 2006– Все права сохраняются 13

средства), может охватывать средства не Информационных Технологий (IT) и взаимосвязи между
всеми этими средствами. В контексте проекта, охватывающего всю организацию обслуживания IT,
Процессы инвентаризации для SAM могут рассматриваться как часть управления конфигурацией.
Процессы инвентаризации для SAM состоят из следующего:
a) Идентификация программного обеспечения;
b) Управление инвентаризацией программного обеспечения;
c) Управление программным обеспечением.
4.4.2 Идентификация программного обеспечения
4.4.2.1 Цель
Цель процесса Идентификация программного обеспечения состоит в обеспечении выбора и
группировки необходимых классов средств, определяемых соответствующими характеристиками,
которые дают возможность эффективно и рационально управлять программным обеспечением и
связанными ср
...

Questions, Comments and Discussion

Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.

Loading comments...

Information technology - Software asset management - Part 1: Processes

Technologies de l'information — Gestion de biens de logiciel — Partie 1: Procédés

General Information

Relations

Frequently Asked Questions

Standards Content (Sample)

Questions, Comments and Discussion

Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.

This May Also Interest You