软件资产管理标准体系研究

1、软件资产管理标准体系研究软件资产管理标准体系研究Research on Software Asset Management Standards System1 中国电子技术标准化研究院 2 上海计算机软件技术开发中心 李 刚 1 孔 磊 2 杨 爽 2摘 要 为建立我国软件正版化工作的长效机制， 必须依据标准体系推动组 织内部的软件资产管理。研究了国际软件资产管理标准体系的发展现状， 分析了在我国建立相 应标准体系的要求，提出符合国情的软件资产管理标准体系框架， 重点介绍了实施指南和成熟度评 估基准两项标准的内容。关键词 软件资产管理 标准体系 软件正版化Abstract ： To estab

2、lish a long-term operation mechanismfor software legalization inChina, a standards system has to be referred to promote software asset management (SAM)within an organization. This paper studied current development of international SAMstandards system, analyzed the requirements for setting up a corre

3、sponding SAM standardssystem in China, proposed a SAM standards system framework which is suitable for Chinesenational conditions, and highlighted the contents of SAM implementation guidance standardand SAM maturity assessment baseline standard.Keywords： software asset management ； standards system

4、； software legalization1 引言从 2000 年开始的软件正版化工作， 体现了中国政府保护软件知识产权的决 心和承诺，业已取得很大的成绩， 但在检查整改中也发现， 虽然软件在各类组织采购中的比重日 益加大，但由于软件没有进入内控体系， 组织的软件资产规模和状态就没法确定， 这往往会产生财 产损失、投资浪费、假冒伪劣、安全风险等不利影响。众所周知，标准是得到一致同意，并经公认 的标准化团体批准，作为工作或工作成果的衡量准则、 规则或特性要求， 供有关各方共同重复使用 的文件，目的是在给定范围内达到最佳有序化程度。 而标准体系则是指与实现某一特定的标准化目 的有关的标准系列，

5、按其内在联系形成的科学的有机整体。 因此，为了保证软件正版化的工作成果， 有效地将软件资产纳入到组织内控体系中，需要尽快建立起一套适合国情的软件资产管理( Software Asset Management ，简称SAM标准体系，并逐步在各级政府部门、各类企业及非政府组织中推 行。2 软件资产管理标准体系发展现状软件资产管理理念在国际上的发展也是近些年随着信息技术， 特别是软件技 术的发展和信息系统的广泛应用推动起来的， 目前，与软件资产管理相关的国际标准或最佳实 践框架大概有以下几种。2.1 ISO/IEC 19770从 2006 年开始， ISO 和 IEC 联合开发关于软件资产管理的系列

6、国际标准 ISO/IEC 19770 ，目前已经对外公开发布了其中的两项标准：? ISO/IEC 19770-1:2006 信息技术 软件资产管理 第 1 部分：过程? ISO/IEC 19770-2:2009 信息技术 软件资产管理 第 2 部分：软件标识标志该系列标准是迄今为止国际上软件资产管理领域相对比较完整的标准体系 之一，目前还有数项SAM相关标准处在起草过程中。2.2 ITILITIL （Information Technology Infrastructure Library，信息技术基础架构库）是 IT 服务管理领域最佳实践框架，它从复杂的 IT 管理活动中梳理出各组织所共有的

7、最佳实践 （如事件管理、问题管理、变更管理等），然后将这些流程规范化、 标准化， 明确定义各个流程的目标、 范围、职能和责任、成本和效益、规划和实施过程、主要活动、主要角色、关键成功因素、绩效评 价指标以及与其他流程的相互关系等。 ITIL 框架已经过多次的更新，目前最新的版本为 2011 年 修订版。实际上， ITIL 很早就被用于组织的软件资产管理，早在 2003 年 ITIL 框架中就包括了 SAM 的内容，并提出了 SAM 的较为规范的定义：“在软件生命周期的各个阶段，它都是一个组织内容有效管 理、操控和保护软件资产所需要的全部基础设施和程序。 ”2.3 IBPLIT资产管理协会（IA

8、ITAM）于2002年正式成立，是一家集软件资产管理和硬件资产管理于一身的组织。IAITAM最佳实践库(IBPL)将IT资产管理划分为12个关键过 程域，并对每一部分的内容进行了详细的介绍，从而帮助组织提升 ITAM 的管理水平。 ITAM 360 是 IAITAM 的一套最佳实践和知识库，可用于测量 IT 资产管理活动的性能并自动创建最佳实践路线图， 主要 包括：? 评估。软件资产管理是从评估开始，根据 IAITAM 的加权分，对整个组 织的软件资产管理进行打分，得出组织的 SAM 成熟度水平。? 能力分析。允许组织针对其中某个过程域进行单独评估和测量。2.4 COBIT美国信息系统审计与控

9、制协会(ISACA)于1996推出了用于“IT审计”的知 识体系 COBIT( ControlObjectives for Information and related Technology信息系统和技术控制目标)，并逐渐成为众多国家的政府部门、企业对 IT 管理进行全面考核与认可的业界标准。 作为 IT 治理的核心模型，目前 COBIT 4.1包含 34 个信息技术过程控制，并归集为四个控制域： IT 计划和组织、系 统获得和实施、交付与支持以及信息系统运行性能监控。在 COBIT 的四个控制域中，都有与软件资产 管理过程和需求相关的内容，特别是“交付与支持”控制域内的“配置管理”过程，以

10、及“计划与组 织”控制域中的“ IT 投资管理”过程等。随着 SAM 标准和实践框架的建立， 有利地推动了国际软件资产管理的发展， 然而，根据 2011年 Gartner 公司的一份调查报告显示，大约 63%被调查者表示将采用标准 和框架来进行组织的软件资产管理，但仍然有 31%的被调查者认为标准和框架对于支持他们的 SAM 活 动不是必须的。另外 ,32%的组织 采用了 ITIL V3 SACM( Service Asset and ConfigurationManagemen)t 来进行软件资产管理，而ITIL V3 SACM主要针对服务资产管理而不是硬件或软件资产， 如图1所示Gartn

11、er 2011 )图 1 SAM 标准/ 框架采用情况调查统计（来自因此，从调查结果来看，有兴趣引入 SAM 标准和最佳实践框架来支持自身软件资产管理的组织变得越来越多，但能真正采用特定的 SAM 标准和框架的却很少，所以完善 和推广应用软件资产管理标准体系仍然是一件任重道远的事情。3 我国软件资产管理标准体系建议3.1 标准体系要求从我国建设软件资产管理标准体系的要求来看， 一方面标准体系要具有目的 性、协调性、层次性、系统性和发展性等固有的一般性特点； 另一方面， 标准体系也要满足反 映我国实情的特殊性原则：（1）保障软件正版化工作的成果：有利于建立购买和使用正版软件的长效 机制，推动中国

12、软件产业的健康发展，提高各级组织的信息安全水平和法律的合规性。2）切合政府监管的职能：指导软件业发展；拟订并组织实施软件、系统集成及服务的技术规范和标准；推进软件服务外包。（3）体现产业发展的现状：从目前的发展现状来看，软件资产管理需要从人员、资源、工具、规范等多个层面进行能力提升， 需要从咨询设计、 建设实施、 运行维护等产业链的不同阶段提供指导，解决目前产业发展过程中的共性技术问题。（4）规范行业自律和市场准入机制： 为适应新的软件销售、 软件服务模式，如互联网免费下载、软件在线服务租用等， 同时为提升正版化程度， 从软件提供以及软件资产处置等方面建立指导行动的标准规范。（5）促进相关新兴

13、领域的技术和服务的创新：特别在云计算、物联网（嵌 入式应用）等受到广泛关注的情况下，通过制定相应标准规范，为其健康、持续、有序发展提供 相应标准层面的管理和技术保障。从软件资产管理本身的概念来看，也要分别考虑以下两个方面因素：（1）从内涵来看，软件资产管理是一套指导企业在组织内部 , 对软件资产 的采购、部署、移动、更新、升级、维护、报废、删除等的完整生命周期进行有效的管理、控制和 保护的基础架构和流程的总和。（2）从外延来看，软件资产管理覆盖了软件提供、软件资产管理实施、软 件资产处置、软件资产监管等产业链上下游各方面的关注内容和相互之间的关系， 将为促进软件 业健康发展、提高软件正版化程度

14、、降低用户成本发挥着积极的作用， 为云计算、 物联网等新兴应 用领域的技术和服务模式创新提供有力的支撑。3.2 标准体系框架我国软件资产管理标准体系的提出建议从产业链、软件资产管理生命周期、 前沿重点领域等方面进行整体考虑， 它可分为基础标准、 软件资产提供标准、 软件资产管理标 准、软件资产处置标准和前沿领域标准等类别，体系框架如图 2 所示。图 2 软件资产管理标准体系框架3.3 标准体系内容软件资产管理标准体系是动态发展的， 与软件资产管理相关的技术和产业发 展紧密相关，同时也与标准化工作的目标和定位紧密相关，因此对于标准内容的建议如下：（1）基础标准旨在阐述软件资产管理中的软件资产分类

15、和软件标识符；（2）软件提供标准是指通过对软件供应商、新商业模式下的软件获取市场 等对象进行监管、自律和行业准入管理，从源头上为提升正版化水平奠定基础；（3）软件资产管理标准是以软件资产管理生命周期思想为核心，为组织如 何实施软件资产管理过程提供指南， 包括管理过程定义和描述、 针对管理过程落地的实施要求和 规范、对于实施质量和效果的成熟度评估等等。（4）软件资产处置标准是针对大量的二手软件的交易和流通提供指南，在 整体上提升软件使用的经济效益和社会效益；（5）前沿领域标准是为新的技术背景下形成的新的软件服务模式的应用落 地提供实施指南。3.4 标准核心内容软件正版化工作的核心是建立长效机制，

16、 有效手段是实施软件资产管理， 而 目前国内各类组织在实施软件资产管理过程中，缺乏相应的技术规范和方法来指导其实际工 作，现在所制定的大多属于制度性文件，指导性强，但操作性较弱，尤其缺乏关于实施指南、成熟度 评估等内容的技术性标准，包括在国际上也缺乏相应的标准可供参考， 因此现阶段制定符合国情的 软件资产管理实施指南和成熟度评估基准标准是非常有必要的，也是刻不容缓的。3.4.1 软件资产管理 - 实施指南目标：帮助组织机构建设软件资产管理体系， 并保障和维护软件资产管理体 系的运行。对象：建立软件资产管理体系的组织决策层， 以及软件资产管理团队管理人 员及实施人员。工作内容：软件资产管理的实施

17、工作是围绕着人员、流程、技术三个核心要 素展开，本标准将分四个阶段描述一个完整的软件资产管理实施过程：阶段一：评估。评估组织软件资产管理的整体状况，分析不足和差异。阶段二：设计。建立基本的管理框架，包括指定软件资产管理人并定义职责， 确认组织的软件资产管理要求和目标，以及建立软件资产管理政策和流程。 将面向组织决策 层描述如何在组织中建立软件资产管理团队，明确软件资产管理团队责任，制定软件资产管理实施 计划等。阶段三：执行。根据组织的软件资产管理计划，执行软件资产管理的日常工 作。标准将面向软件资产管理团队人员描述如何开始实施软件资产管理。主要围 绕软件资产库存和软件部署数据库，结合软件资产从

18、需求、采购、部署、移动、更新、升级、 维护、报废、删除的整个生命周期的工作流程，维护软件资产库的动态平衡建立软件资产管理体 系，并与组织原有软件管理流程进行关联。标准亦将描述软件资产管理实施过程中使用的技术工具总体需求。 满足该技 术需求的工具会在软件资产管理实施过程中帮助组织完成软件资产管理的部分自动化工作。阶段四： 监督和改进。 执行软件资产管理实施的后评估， 审阅软件资产管理 按计划实施的成果以及政策的有效性； 确保组织软件资产管理体系的合规性； 及时修订和更改 软件资产管理要求和目标，以持续改进。3.4.2 软件资产管理 - 成熟度评估基准目标：旨在为实施软件资产管理的用户组织及咨询、

19、 评估组织提供一个评估 基准来衡量组织的软件资产管理水平。对象：本标准的适用对象包括：? 软件使用方：需要对自身的软件资产管理水平有总体认识，并期望通过 软件资产管理评估了解其软件资产管理体系成熟度的组织。? 咨询方：专门从事软件资产管理过程咨询工作的专业机构。? 评估方：专门从事软件资产管理成熟度评估认证的专业机构。工作内容： 将提出软件资产管理成熟度评估模型， 给出软件资产管理评估的 核心要素、评估内容、评估方法及实施要点等。 标准将根据组织对软件资产的管理水平的不同， 建立了四级成熟度水平（认知级、管理级、合理级、已优化级） ，并通过将各项有关软件资产管 理的需要关注与评估的内容进行细化， 分割成多个容易量化与评估的成熟度元素。 标准针对各级水平 的成熟度元素列出具有代表性的最佳实践基准， 便于各种组织通过对比自身的现实情况了解组织所在的软件资产管理水平的成熟度范围。本标准将基于软件资产管理的核心要素 （人员与组织、 政策与流程、 技术与 方法）提出相应的18 个维度，如表 1 所示，其中每个维度将建立该维度的目标以及每个能力 度等级的基准。表 1 SAM 成熟度评估要素和维度核心要素 人员与组织 政策与流程 技术与方