基于ISO 19770 的軟件資產管理體系建立綜述

徐承宇

（上海計算機軟件技術開發(fā)中心，上海201112）

0 引言

隨著信息化投入不斷增大，以及在國家大力推行軟件正版化的號召下，中小型企業(yè)對于軟件介質和軟件許可證數量的采購也日益增長。軟件作為一項“看不見的資產”已經成為企業(yè)主要資產的一部分[1]。然而，由于不同于硬件資產的“可視性”以及缺乏規(guī)范化管理，中小型企業(yè)普遍對軟件資產的采購和管理方法比較簡單，始終沒有形成良好的制度管理體系，容易帶來軟件新舊版本并存、許可證缺失等內控問題。但是對中小型企業(yè)來說，如果從零開始建立管理體系，無非是對企業(yè)人力、資源和成本的巨大考驗[2]。

1 軟件資產管理

軟件資產管理（Software Asset Management，SAM）是指對一個組織內的軟件資產的有效的管理、控制和保護。軟件資產管理旨在將組織內部保有的軟件資產狀況和軟件的使用狀況聯系起來進行管理。但軟件資產是一種無形物，無法像有形資產那樣進行資產管理。建立軟件資產管理體系，構建軟件資產管理生命周期，有效地保證企業(yè)在成本控制、風險管理等方面的積極作用。

ISO 19770 是軟件資產管理領域的國際標準，制定該項標準是為了使一個組織能夠證明其實施軟件資產管理（SAM）達到標準，足以滿足公司治理要求，并確保全面有效的支持IT 服務管理。19770-1 建立了SAM過程框架，包括：SAM 組織管理過程、SAM 核心過程、SAM 主要過程接口[3]。一些規(guī)模較大的外資企業(yè)也將該項標準作為管理企業(yè)內部軟件資產的主要標準來源。但是，對于國有企業(yè)、民營企業(yè)——尤其是中小企業(yè)來說，國際標準并不能讓他們照搬使用，簡單的“拿來主義”不僅可能適應不了企業(yè)環(huán)境，也會加重運行成本。因此，基于ISO 19770，在標準的指導下，掌握軟件資產管理的核心要素，讓中小企業(yè)根據單位實際情況取長補短，建立屬于自己單位的資產管理體系，才是正確而可行的解決方法。

2 管理體系的核心要素

2.1 核心關注點

軟件資產管理最重要的關注點是人員、流程和技術[4]。對于人員來說，重要的不僅僅有軟件資產管理團隊，更有企業(yè)管理層，得到管理層的重視，制度的實施往往事半功倍。流程是管理的具體內容，從軟件獲取直到軟件報廢，每一個環(huán)節(jié)都可以制定詳細的管理方案以便優(yōu)化管理。技術則通常可以通過工具來實現，以便降低人工成本和提高準確率。

（1）人員

軟件資產管理的第一核心要素是人員的需求。從總體上看，企業(yè)管理層的接受和支持、明確的軟件資產管理責任以及員工的執(zhí)行力度會影響軟件資產管理在組織中的實施效果。

首先，軟件資產管理體系的實施需要獲得組織決策層面的接受和支持，并由決策層確定軟件資產管理團隊管理成員，并明確團隊管理人員責任。管理層的接受和支持是決定了組織是否能實施良好的軟件資產管理的前提。從實際軟件資產管理實施過程來看，如果沒有管理層的接受，軟件資產管理的理念在企業(yè)中很難得到貫徹；其次，如果離開了管理層的支持，在實施的具體環(huán)節(jié)中，軟件資產管理的政策將在各部門內部難以推廣。

在組織中，有必要讓每個員工了解企業(yè)的軟件資產管理政策及相關流程。只有這樣，他們才能在從領用軟件資產時開始對組織的軟件資產在整個使用生命周期中的保護政策完全理解，也減少了在軟件資產管理政策推行過程中的阻力，有效地減少了組織軟件資產外流的概率。

（2）流程

軟件資產管理的第二要素是定義軟件資產管理制度及相關流程，包括所有軟件資產從需求、采購、部署、移動、更新、升級、維護、報廢、刪除的整個生命周期過程中各環(huán)節(jié)的相關政策。軟件資產管理流程還應該包含軟件資產管理本身的相關政策，如軟件資產管理流程自身的執(zhí)行計劃、監(jiān)督維護等。所有的政策和流程應該被文檔化，并且被公布到企業(yè)中的各個部門中。當所有的流程被確保執(zhí)行時，才可以建立基本的軟件資產管理體系。

軟件資產管理流程還應該包含軟件資產管理計劃的改進流程，通過不斷地對現有軟件資產管理流程進行監(jiān)控，定期的改進計劃有利于建立長期有效的軟件資產管理體系。

軟件資產管理是一套指導企業(yè)在組織內部，對軟件資產的采購、部署、移動、更新、升級、維護、報廢、刪除的整個生命周期進行有效的管理、控制和保護的基礎架構和流程。軟件管理流程包括：需求管理流程、采購管理流程、庫存管理流程、部署管理流程、維修管理流程、處置管理流程。

（3）技術

使用技術工具可以有效的提高軟件資產管理實施的效率和準確性。在軟件資產管理實施過程中，最核心的工作是建立擁有軟件資產的庫存以及部署的軟件清單。如果沒有技術工具，所有的清單只能通過手工收集，數據的準確性將依賴于執(zhí)行人員對各種軟件部署技術的知識掌握度，同時也無法保證數據收集的全面性，在組織中擁有大量計算機時，數據收集工作也將花費大量的時間和人力。通過使用信息化工具可以迅速的在大量計算機中收集全面的軟件部署數據，建立全面的軟件部署清單，有效地配合軟件資產管理政策和流程的實施。

除了在收集數據時采用技術工具之外，軟件資產管理實施團隊還應該擁有對軟件廠商產品的產品授權策略和技術知識。了解正確的產品授權策略可以幫助企業(yè)選擇性價比最佳的授權方式，從而在采購環(huán)節(jié)實現“少花錢，多辦事”，在硬件報廢時及時回收可用軟件資產，避免軟件資產的浪費；掌握軟件廠商產品的技術可以幫助組織使用正確的軟件產品部署及更新方法，建立統(tǒng)一、有效的軟件部署和更新流程。

2.2 核心管理項

管理體系的核心關注點是人員、流程和技術。其中，技術可以通過工具來實現。因此，在設計管理體系的管理項時，要重點建立人員和流程相關的管理要求。另外，軟件資產的管理基線是對清單的管理，例如軟件資產清單、硬件資產清單、許可證清單等，因此圍繞軟件資產基線采集數據，也是管理體系重要的一部分。

圍繞上述的要素，在制度研究上，將軟件資產的管理項分解為三大領域：人員領域的管理項、流程領域的管理項、數據領域的管理項。人員領域的管理項可以包括軟件資產管理的角色和職責、管理層的支持與參與、對軟件資產管理的認識、人員知識和技能等；流程領域的管理項可以包括獲?。ú少彛┕芾?、軟件供應商管理、部署管理、運維管理、處置和退役管理、變更管理、軟件資產的安全管理等；在數據領域的管理項包括：軟件部署清單管理、硬件清單管理、軟件使用許可清單管理等。在管理項確定的基礎上，進一步的，對每個管理項編制管理要求。管理要求既有定性要求也有定量要求，既有考核指標也是指導意見。

3 管理體系建立的路徑

建立體系是為了能夠推行和實施，那么這個體系的首要條件就是要能適應企業(yè)自身環(huán)境和特點。每家企業(yè)都有自身的環(huán)境和特點，然而，管理體系的建立路徑卻是相通的。我們將一個完整的軟件資產管理體系建設路徑分為四個階段，即分析階段、設計階段、執(zhí)行階段、檢查和改進階段。通過這四個階段實現一個可以循環(huán)改進的閉環(huán)。

（1）分析階段：在開始這項管理工作之初，需要明確企業(yè)在軟件資產管理方面的整體狀況。通過收集軟件資產管理的相關信息，使對企業(yè)的整體情況有清晰的視圖，了解整體水平和管理范圍，以便制定適宜的軟件資產管理計劃。分析需要從外部、內部兩方面進行，外部指組織環(huán)境分析，內部指軟件資產現狀分析。通過分析，找到不足和差異，提出管理目標。

（2）設計階段：設計是整個管理體系中的重要環(huán)節(jié)。首先，需要建立基本的管理框架，包括指定軟件資產管理負責人并定義職責。結合企業(yè)規(guī)模和業(yè)務模式等因素，考慮運營中會涉及的軟件資產管理流程，確定軟件資產管理項和管理要求，以及確認企業(yè)的軟件資產管理要求和目標。

（3）執(zhí)行階段：執(zhí)行也是本體系中的重要環(huán)節(jié)。根據建立的軟件資產管理項和管理要求，執(zhí)行軟件資產管理的日常工作。必要時可以使用軟件資產管理工具。

（4）檢查和改進階段：進行軟件資產管理實施后的檢查，審閱軟件資產管理實施的成果，評估企業(yè)軟件資產管理目標的符合性。關注軟件資產管理國際、國家標準和法律法規(guī)的更新，與既定的政策和流程有沖突時進行修正軟件資產管理工具，及時修訂和更改軟件資產管理的目標，以便持續(xù)改進。

4 結語

本文給出了基于ISO19770 的軟件資產管理體系建立的核心要素和實施路徑，既符合國際標準ISO19770 的核心思想，也可解決國內企業(yè)在開展軟件資產管理過程中最基本的人員和流程管理的問題。尤其是為中小企業(yè)建立軟件資產管理體系的提供了路徑和方法。