Новая редакция ISO/IEC 19770–1: планируемые изменения и дополнения

По договорённости с журналом Information Management публикую свою статью, вышедшую в номере, посвящённом стандартам ISO в области SAM, в текстовом виде, в редакции Константина Зимина.

Принятие в 2006 году стандарта ISO/IEC 19770-1sв его первой редакции дало рынку долгожданную, признанную на международном уровне, методическую основу для оценки качества процессов управления программным обеспечением. Однако, при практическом применении стандарта обнаружился главный недостаток первой редакции: организация либо полностью соответствует описанным требованиям, либо не признаётся соответствующей стандарту.

На практике это оборачивается необходимостью долгосрочных проектов с полноценной реализацией всех требований, часто фундаментально изменяющих не только практику работы с программным обеспечением и связанными активами, но и затрагивающих широкий спектр связанных процессов основной операционной деятельности, бюджетирования, учёта и управления. Такая работа требует поэтапного подхода, тщательного планирования и выстраивания нововведений (внедряемых процессов) в логическую и взаимосвязанную последовательность с учётом многочисленных факторов. «За бортом» также остаются организации, которые желают показать зрелость своего подхода в управлении программным обеспечением, но в силу различных обстоятельств не могут реализовать все требования стандарта. Типичным примером являются небольшие компании, которые могут построить систему управления активами ПО, полностью соответствующую ISO/IEC 19770-1:2006, но накладные расходы (финансовые, временные, кадровые) на поддержание всех описанных в нём процессов выходят за приемлемые для компании рамки.

Рынок немедленно отреагировал появлением нескольких моделей оценки зрелости SAM и поэтапного выхода на соответствие стандарту, которые сделали частные разработчики (среди которых, например, компания Microsoft). В свою очередь, рабочая группа по разработке стандарта также приступила к разработке новой редакции стандарта, так называемого Tiered Software Asset Management (Уровней управления программными активами), которая призвана заменить редакцию 2006 года. На момент написания данной статьи предлагаемая многоуровневая модель SAM описана в финальном черновом варианте ISO/IEC FDIS 19770-1:2012. Выход новой редакции стандарта ожидается уже в середине 2012 года.

Преемственность

Перечень и структура процессов управления программными активами не претерпели никаких изменений по сравнению с текущей редакцией стандарта. Требования к результатам, ранее изложенные в виде списка, в новой редакции организованы в таблицы. В перечень требований к нескольким процессам внесены несущественные уточнения, однако в целом сохранена полная преемственность предыдущей редакции. Организации, уже сертифицированные на соответствие ISO/IEC 19770-1:2006, не будут обязаны вносить фундаментальные изменения в уже внедрённую практику.

Четыре уровня соответствия

Как и ожидалось, основное новшество планируемой к выходу версии стандарта 19770-1 — четырёхуровневый подход к внедрению управления активами ПО. Процессы сгруппированы в четыре кумулятивных уровня (tier), где каждый последующий уровень включает предыдущие (рис 1).

В ожидаемой новой редакции стандарта уровни разработаны таким образом, чтобы организация, постепенно переходя с младшего на старший, постоянно поддерживала стандартизированные процессы SAM. Четвёртый уровень — это полное соответствие всем требованиям стандарта, аналогично сертификации на соответствие ISO/IEC 19770-1:2006 (текущей версии). Опишем подробнее уровни, которые, как предполагается, будут определены новой редакцией.

Уровень 1. Надёжные данные. Достижение этого уровня означает постоянное наличие у компании полноценных данных об активах, которыми она управляет. Не имея информации об установленном программном обеспечении и лицензиях на него, невозможно ими управлять. Достижение лицензионного соответствия (license compliance) и снижение рисков, прежде всего юридических — один из мотивов внедрения управления активами ПО. Данные, которые компания получает в результате достижения первого уровня — основа для точной оценки лицензионного соответствия, основа спокойствия ее руководства.

Уровень 2. Практическое управление. Достижение этого уровня даёт усиление управленческого контроля и позволяет получить первые выгоды от управления активами ПО. В реальной практике менеджеры и ответственные сотрудники начинают всерьёз управлять программными активами только после того, как будут выявлены все риски, потери и нештатные ситуации, связанные с отсутствием точных данных. Достижение предыдущего уровня как раз даёт необходимые данные. В результате обнаруживаются «тонкие места», возможности их устранения, снижения рисков, экономии бюджетных средств. Уровень 2 описывает базовые требования к управлению, включая политики, должностные роли и ответственность. Он также нацелен на достижение первых результатов («быстрых побед» — quick wins) от внедрения управления активами ПО.

Уровень 3. Операционная интеграция. Этот уровень нацелен на повышение эффективности и результативности управления активами ПО. Работы по его достижению сосредоточены в основном в области подгруппы процессов главы 4.6 стандарта, именуемые «Операционные процессы управления и взаимодействия для SAM». Это части операционных процессов управления ИТ: управления отношениями и контрактами, финансами, уровнем обслуживания и безопасностью, связанные с SAM.

Уровень 4. Полное соответствие ISO/IEC. Это наивысшей уровень управления активами ПО в организации, которое, в свою очередь, глубоко интегрировано в стратегические процессы всей деятельности предприятия. Он предполагает сертификацию на соответствие всем требованиям ISO/IEC 19770-1.

Согласно проекту новой редакции стандарта компания может быть сертифицирована на соответствие любому из этих 4 уровней. Отметим, что при сертификации, проводимой авторизованным аудитором, проверке подлежат все процессы, включённые как в целевой, так и в предыдущие уровни. К примеру, при проверке соответствия второму уровню аудитор будет обязан оценить также процессы первого уровня, даже если организация ранее была успешно сертифицирована на первый уровень. Это связано не только с необходимостью проверки управления активами ПО на соответствие заданному уровню как единого, взаимосвязанного комплекса процессов и их результатов, но также с тем, что требования к ряду процессов отличаются для различных уровней. К примеру, требования к выходным результатам процесса «Проверка учётных записей активов ПО» для разных уровней показаны в таблице 1.

Новые главы

Как ожидается, в новую версию стандарта будет добавлена глава, кратко в виде таблиц описывающая, какие процессы необходимы для достижения каждого из четырёх уровней. На рисунке ниже приведён пример требований для достижения уровня 2.

Приложения

Кроме того, как ожидается, новая версия стандарта будет содержать целый ряд полезных приложений:

  • сводную таблицу требований ко всем процессам стандарта и соответствия их четырём уровням;
  • расширенную трактовку и толкование некоторых понятий и терминов, применяемых в стандарте, а также краткие рекомендации по управлению документами SAM, отсылающие к стандартам ISO 9001:2000 и ISO/IEC 20000-1:2005;
  • таблицы соответствия ISO/IEC 19770 передовому индустриальному опыту, некоторым локальным стандартам и частным разработкам, включая: IAITAM Best Practice Library, ITIL v3 Guide to Software Asset Management, SAM Standard and Evaluation Criteria (www.samac.or.jp) и CobiT;
  • краткое описание планов развития требований к процессам в группе стандартов ISO/IEC 19770;
  • краткий обзор ведущих практик и стандартов по оценке зрелости процессов (ISO/IEC 15504/33000, CobiT, модель зрелости BPMM, модель оптимизации SAM компании Microsoft (Microsoft SOM), модель оценки IAITAM 360, модель зрелости SAMAC) и рекомендации по их применению совместно со стандартом.

Заключение

В результате принятия новой редакции стандарта можно будет выбрать желаемый уровень и пройти соответствующую процедуру сертификации на соответствие управления активами ПО выбранному уровню. Появится близкая реальной практике возможность внедрить процессы в том количестве и на том уровне, который действительно необходим и который организация сможет поддерживать в рабочем состоянии, не беря на себя невыполнимые обязательства и не превращая управление активами ПО в обузу. К примеру, компании малого и компактного размеров могут сертифицироваться только на уровень 1 или 2 и на этом приостановить развитие SAM, тем не менее, получив сертификат соответствия ISO. В свою очередь, крупная корпорация, в которой внедрение управления активами ПО — это долгосрочный проект, получит возможность пройти через несколько этапов сертификации, фиксируя промежуточные результаты и выходя год за годом, постепенно, на полное соответствие требованиям ISO/IEC 19770-1.

© Alexander Golev & Partners Software Asset Management Experts Ltd. Сайт использует Nesta Ruby CMS.
Яндекс.Метрика