ISO/IEC 19770-1:2012
(Main)Information technology — Software asset management — Part 1: Processes and tiered assessment of conformance
Information technology — Software asset management — Part 1: Processes and tiered assessment of conformance
ISO/IEC 19770-1:2012 establishes a baseline for an integrated set of processes for Software Asset Management (SAM), divided into tiers to allow for incremental implementation, assessment and recognition. ISO/IEC 19770-1:2012 applies to SAM processes and can be implemented by organizations to achieve immediate benefits. It can be applied to all software and related assets, regardless of the nature of the software, where related assets are all other assets with characteristics which are necessary to use or manage software. For example, it can be applied to executable software (such as application programs, operating systems and utility programs) and to non-executable software (such as fonts, graphics, audio and video recordings, templates, dictionaries, documents and data). It can be applied to all technological environments and computing platforms (e.g. virtualized software applications, on-premises or software-as-a-service; it is equally relevant in cloud computing as it is in older computing environments).
Technologies de l'information — Gestion des actifs logiciels — Partie 1: Procédés et évaluation progressive de la conformité
L'ISO/CEI 19770:2012 établit une base de référence pour un ensemble intégré de processus de gestion des actifs logiciels (SAM, Software Asset Management), laquelle est divisée en paliers pour permettre sa mise en ?uvre, son évaluation et sa reconnaissance de manière progressive.
General Information
Relations
Buy Standard
Standards Content (Sample)
INTERNATIONAL ISO/IEC
STANDARD 19770-1
Second edition
2012-06-15
Information technology — Software asset
management —
Part 1:
Processes and tiered assessment of
conformance
Technologies de l'information — Gestion de biens de logiciel —
Partie 1: Procédés et évaluation progressive de la conformité
Reference number
ISO/IEC 19770-1:2012(E)
©
ISO/IEC 2012
---------------------- Page: 1 ----------------------
ISO/IEC 19770-1:2012(E)
COPYRIGHT PROTECTED DOCUMENT
© ISO/IEC 2012
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means,
electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or
ISO's member body in the country of the requester.
ISO copyright office
Case postale 56 CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO/IEC 2012 – All rights reserved
---------------------- Page: 2 ----------------------
ISO/IEC 19770-1:2012(E)
Contents Page
Foreword . iv
Introduction . v
1 Scope . 1
1.1 Purpose . 1
1.2 Field of application . 1
1.3 Limitations . 3
2 Conformance . 3
2.1 Intended usage . 3
2.2 Methods of demonstrating full conformance . 3
3 Terms and definitions . 4
4 SAM processes . 6
4.1 General . 6
4.2 Control environment for SAM . 8
4.3 Planning and implementation processes for SAM . 12
4.4 Inventory processes for SAM . 16
4.5 Verification and compliance processes for SAM . 19
4.6 Operations management processes and interfaces for SAM . 23
4.7 Life cycle process interfaces for SAM . 27
5 Tiers . 33
5.1 Overview . 33
5.2 Tier 1 – trustworthy data . 35
5.3 Tier 2 – practical management . 36
5.4 Tier 3 – operational integration . 37
5.5 Tier 4 – full ISO/IEC SAM conformance . 38
Annex A (informative) Reference chart of outcomes by tier . 39
Annex B (informative) Guidance on selected topics . 43
Annex C (informative) Cross reference to industry best practice guidance . 45
Annex D (informative) Roadmap . 73
Annex E (informative) Industry capability/maturity approaches . 75
Bibliography . 80
© ISO/IEC 2012 – All rights reserved iii
---------------------- Page: 3 ----------------------
ISO/IEC 19770-1:2012(E)
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that are members of
ISO or IEC participate in the development of International Standards through technical committees
established by the respective organization to deal with particular fields of technical activity. ISO and IEC
technical committees collaborate in fields of mutual interest. Other international organizations, governmental
and non-governmental, in liaison with ISO and IEC, also take part in the work. In the field of information
technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of the joint technical committee is to prepare International Standards. Draft International
Standards adopted by the joint technical committee are circulated to national bodies for voting. Publication as
an International Standard requires approval by at least 75 % of the national bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights.
ISO/IEC 19770-1 was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology,
Subcommittee SC 7, Software and system engineering.
This second edition cancels and replaces the first edition (ISO/IEC 19770-1:2006), which has been technically
revised.
ISO/IEC 19770 consists of the following parts, under the general title Information technology — Software
asset management:
Part 1: Processes and tiered assessment of conformance
Part 2: Software identification tag
The following parts are under preparation:
Part 3: Software entitlement tag
Part 5: Overview and vocabulary
Part 5 will define a common set of vocabulary for the ISO/IEC 19770 series, which may update definitions
given in previously published parts.
Tag management will form the subject of a future Part 7.
iv © ISO/IEC 2012 – All rights reserved
---------------------- Page: 4 ----------------------
ISO/IEC 19770-1:2012(E)
Introduction
This part of ISO/IEC 19770 is for organizations that want to achieve best practice in Software Asset
Management (SAM). It grew out of ISO/IEC 19770-1:2006 Software asset management processes which was
a comprehensive standard designed to align to all of service management as specified in ISO/IEC 20000.
However, market feedback was that organizations wanted something which could be accomplished in multiple
increments and to that increment most suited to the needs of the organization. This part of ISO/IEC 19770 has
been designed to make implementation of SAM and conformance to a published standard possible at any one
of these increments, called “tiers”, which are cumulative. This allows for free-standing independent
certification which correspond to natural levels of development and management priority. Recognition is given
to those organizations through the ability to publicly display that certification has been achieved to a stated tier.
Division into tiers is designed so that standardized SAM is within reach of most organizations. Those
implementing SAM for the first time can often implement SAM more rapidly by also applying careful scoping of
the software assets covered and by scoping the parts of the organization covered by SAM. An organization
will not normally cover everything possible in-scope and software scope and organizational scope definitions
are allowed as described in Clause 1 Scope. Any scope may be defined so long as it is not ambiguous.
When an organization chooses to narrow the scope of SAM in this way, certain factors should be considered
so that all desired benefits and objectives of the organization can be achieved. For example, for good security
it is usually necessary for all assets within certain sections of an organization’s infrastructure to be included
within the scope of SAM. Furthermore, it is impossible to manage software assets without also managing the
hardware on which it runs and this part of ISO/IEC 19770 may be used for both. The term SAM is intended to
cover all software-related assets within IT and use of the term SAM for this part of ISO/IEC 19770 reflects the
organizational location of the responsible ISO/IEC Working Group and reflects market usage. SAM has wide
ranging benefits across other interrelated practices of managing IT assets and implementers of good SAM
practices can expect to attain benefits beyond management of the software itself.
The four tiers of SAM as defined in this part of ISO/IEC 19770 are shown in Figure 1. For a fuller description
of the four tiers, see Clause 5 Tiers. They can be briefly explained as follows:
© ISO/IEC 2012 – All rights reserved v
---------------------- Page: 5 ----------------------
ISO/IEC 19770-1:2012(E)
Figure 1 — The four tiers of SAM
The major associated benefits of each tier are:
Tier 1: Trustworthy Data. Achieving this tier means knowing what you have so that you can manage it.
Good data is a prerequisite for good SAM. A common management observation which applies here is
that “you cannot manage what you do not know”. This tier also provides the basis for demonstrating
license compliance, which is typically a high priority management objective.
NOTE Other parts of ISO/IEC 19770 define a Software Identification Tag (ISO/IEC 19770-2), and a Software
Entitlement Tag (ISO/IEC 19770-3) that are intended to simplify the task of achieving trustworthy data.
Tier 2: Practical Management. Achieving this tier means improving management controls and driving
immediate benefits.
In practice, management typically only starts to take ownership of issues related to SAM after the
organization has recognized the issues which result from not having trustworthy data. The
organization recognizes the extent of the risks it faces as well as the opportunities for improvement
and savings. This tier covers the basic management control environment (see 4.2 Control
environment for SAM), including policies, roles and responsibilities. It also includes targeting and
delivering “quick wins” made obvious by the data of Tier 1.
Tier 3: Operational Integration. Achieving this tier means improving efficiency and effectiveness.
Building on the foundation of the previous two tiers, this tier drives the integration of SAM into
operational processes (see 4.6 Operations management processes and interfaces for SAM). The
result is improved efficiency and effectiveness.
NOTE Other parts of ISO/IEC 19770 define a Software Identification Tag (ISO/IEC 19770-2), and a Software
Entitlement Tag (ISO/IEC 19770-3) that are designed to simplify the task of integration.
vi © ISO/IEC 2012 – All rights reserved
---------------------- Page: 6 ----------------------
ISO/IEC 19770-1:2012(E)
Tier 4: Full ISO/IEC SAM conformance. Achieving this tier means achieving best-in-class strategic
SAM.
This tier addresses the more advanced and demanding aspects of full SAM, including its full
integration into strategic planning for the organization.
The first three tiers are defined as subsets of the total set of process areas and outcomes defined in this part
of ISO/IEC 19770, i.e. each process area has a single SAM objective, such as Software Asset Identification,
and contains multiple outcomes for processes to support each objective. See Annex A for a summary table
illustrating this structure.
The tiers build on one another with Tier 4 defined as the total set of process areas and outcomes defined in
this part of ISO/IEC 19770. Note that the process areas and outcomes defined in this part of ISO/IEC 19770
are largely unchanged from ISO/IEC 19770-1:2006 but some minor clarifications have been included. The
structure of process group objectives containing multiple outcomes has also been consistently maintained.
Conformance may now be established to any specific tier. Although each can be certified separately, each
relies on the continued performance of the previous tiers. In practical terms, this would typically mean that an
organization going through a certification exercise for a higher tier would receive the usual review visit by the
certifier for surveillance of any previous tier or tiers, and this same certifier visit would review the higher tier
too.
A fuller explanation of the tiers and their makeup is given in Clause 5.
The overall benefits of SAM should include:
a) Risk management: for example mitigating interruption or deterioration of IT/services; legal and regulatory
exposure;
b) Cost control: reduced direct costs of software and reduced direct costs of software, related assets
(see 1.2 for a description of related assets) and ongoing support costs and contracts;
c) Competitive advantage: better business decisions and satisfaction from trustworthy data always at-hand.
Typically business requirements may mean targeting priority areas, such as for particular software
manufacturers or sometimes for a specified group of organizational units. Choices of tiers, combined with
scoping, allow for many organizations to benefit from standardized SAM processes as described in
Clause 1 Scope.
In principle it would also be possible to use a capability or maturity approach to define a standard which can
be accomplished in stages. In practice however, such an approach is significantly more complex if it is to be
independently certifiable. This notwithstanding, it is intended to develop such an approach in the future, after a
planned revision of the first edition of ISO/IEC 15504 is completed. This will allow for a convergence of
approaches based on this part of ISO/IEC 19770 and on other methodologies in the marketplace based on
maturity.
© ISO/IEC 2012 – All rights reserved vii
---------------------- Page: 7 ----------------------
INTERNATIONAL STANDARD ISO/IEC 19770-1:2012(E)
Information technology — Software asset management —
Part 1:
Processes and tiered assessment of conformance
1 Scope
1.1 Purpose
This part of ISO/IEC 19770 establishes a baseline for an integrated set of processes for Software Asset
Management (SAM), divided into tiers to allow for incremental implementation, assessment and recognition.
1.2 Field of application
This part of ISO/IEC 19770 applies to SAM processes and can be implemented by organizations to achieve
immediate benefits. ISO/IEC 19770-2 provides a corresponding specification for software identification tags,
which requires implementation by software manufacturers (external and internal) and by tool developers for its
full benefits to be achieved
It is intended that this part of ISO/IEC 19770 be an implementation standard for organizations. Future editions
may provide a measurement framework that is aligned to the requirements in ISO/IEC 15504-2:2003 or the
1
future International Standard ISO/IEC 33003 .
This part of ISO/IEC 19770 applies to all organizations of any size or sector. For the purposes of conformance,
this part of ISO/IEC 19770 can only be applied to a legal entity, or to parts of a single legal entity. It may also
be applied to multiple legal entities (e.g. the parent and subsidiaries of a multinational organization) where
there is a legal controlling relationship between them, so that one entity may exercise control over the others.
It applies only where such a controlling entity exercises control over the entire scope (as defined for purposes
of conformance) and the assessor of conformance accepts this definition of organizational scope.
NOTE The definition of organizational scope is documented as part of the Corporate governance process for SAM
(4.2.2).
This part of ISO/IEC 19770 may be applied to an organization which has outsourced SAM processes, with the
responsibility for demonstrating conformance always remaining with the outsourcing organization.
This part of ISO/IEC 19770 can be applied to all software and related assets, regardless of the nature of the
software, where related assets are all other assets with characteristics which are necessary to use or manage
software. For example, it can be applied to executable software (such as application programs, operating
systems and utility programs) and to non-executable software (such as fonts, graphics, audio and video
recordings, templates, dictionaries, documents and data). It can be applied to all technological environments
and computing platforms (e.g., virtualized software applications, on-premises or software-as-a-service; it is
equally relevant in cloud computing as it is in older computing environments).
NOTE The definition of software asset scope (software types to be included within the scope) is documented as part
of the SAM Plan developed in the Planning for SAM process. It may be defined in any way considered appropriate by the
organization, such as for all software, for all program software, for all software on specific platforms, or for the software of
specified manufacturers, as long as it is unambiguous. See also explanations following in this subclause and in Table 1.
1
ISO/IEC 33003, Systems and software engineering — Requirements for process measurement frameworks.
© ISO/IEC 2012 – All rights reserved 1
---------------------- Page: 8 ----------------------
ISO/IEC 19770-1:2012(E)
With the exception of the requirements of 4.7.4 Software development process, it is not required for this part
of ISO/IEC 19770 to be applied to software development in the sense of the development and maintenance of
code. It is intended that it be applied to all software in a live environment and precursor activities, such as
configuring software and creating and controlling production builds and releases. The exact dividing line
between what is considered pure development, and therefore excluded, and what is related to the live
environment, and therefore included, may be defined making use of the unambiguous formal statements of
organizational scope or software scope.
NOTE Software used to develop other software is considered part of the live environment, i.e. the software used by
software developers must itself be controlled.
The following forms of software assets are within the scope of this part of ISO/IEC 19770:
a) software use rights, reflected by full ownership (as for in-house developed software) and licenses (as for
most externally sourced software, whether commercial or open-source);
b) software for use, which contains the intellectual property value of software (including original software
provided by software manufacturers and developers, software builds, and software as installed and
otherwise provisioned, consumed or executed); and
c) media holding copies of software for use.
NOTE From a financial accounting point of view, it is primarily category (a) which may be considered an asset, and
even then it may have been completely written off. From a financial accounting point of view, category (b) may be viewed
as actually creating a liability (rather than an asset) with commercial software if it is not properly licensed. This part of
ISO/IEC 19770 considers categories (b) and (c) proper assets to be controlled as well as (a). Licenses may have
bookkeeping value, but software in use in particular should have business value and needs to be treated as a business
asset.
Related assets within the scope are all other assets with characteristics which are necessary to use or
manage software in scope. Any characteristics of these related assets which are not required to use or
manage software are outside of the scope. Table 1 provides examples of these.
Table 1 — Application of ISO/IEC 19770-1 to Non-Software Assets
Asset type Applicability Example
Normative for hardware assets Inventory of equipment on which software
Hardware
with characteristics required for can be stored, executed or otherwise used;
the use or management of number of processors or processing power;
software assets in scope whether the hardware qualifies for counting
for site licensing purposes
Not applicable for characteristics Cost and depreciation of hardware,
not required for the use or preventive maintenance renewal dates
management of software assets
in scope
Other assets Normative for other assets with Personnel names for identifying
characteristics required for the custodianship; personnel counts for
use or management of software licensing, where determined on this basis; IT
assets in scope infrastructure or architecture (including
interfaces) if needed to determine the proper
usage for certain license metrics, e.g. to
identify multiplexing
Not applicable for characteristics Other personnel information
not required for the use or
management of software assets
in scope
2 © ISO/IEC 2012 – All rights reserved
---------------------- Page: 9 ----------------------
ISO/IEC 19770-1:2012(E)
1.3 Limitations
This part of ISO/IEC 19770 does not detail the SAM processes in terms of methods or procedures required to
meet the requirements for outcomes of a process.
This part of ISO/IEC 19770 does not specify the sequence of steps an organization should follow to implement
SAM, nor is any sequence implied by the sequence in which processes are described. The only sequencing
which is relevant is that which is required by content and context. For example, planning should precede
implementation.
This part of ISO/IEC 19770 does not detail documentation in terms of name, format, explicit content and
recording media.
Details of certification and recognition schemes are outside of the scope of this part of ISO/IEC 19770.
This part of ISO/IEC 19770 is not intended to be in conflict with any organization's policies, procedures and
standards or with any national laws and regulations. Any such conflict should be resolved before using this
part of ISO/IEC 19770.
2 Conformance
2.1 Intended usage
This part of ISO/IEC 19770 is intended for use as best practice guidance, and also to allow for the possibility
of independent certification of achievement of the individual tiers. There is choice, however, in the ways of
assessing an organization’s conformance.
This part of ISO/IEC 19770 has been written to allow continuity with ISO/IEC 19770-1:2006, but in addition to
allow assessment following the same approach used in other standards that are accepted as defining a
management system standards framework as defined in ISO Guide 72. In particular, this means that the
assessor has the newly added option of assessing against the overall objective of each of the process areas,
or the previous approach of assessing against all of the detailed outcomes for each of the process areas, as
for ISO/IEC 19770-1:2006. One choice must be applied consistently as a way of assessing across all process
areas.
2.2 Methods of demonstrating full conformance
The requirements in this part of ISO/IEC 19770 are contained in the objectives and outcomes listed within
Clause 4 of this part of ISO/IEC 19770. Any claim of conformance shall be a claim of full conformance to the
provisions of this part of ISO/IEC 19770 as described below, including for any outsourced processes.
Full conformance with any of the tiers of this part of ISO/IEC 19770 is achieved in either of two ways:
By demonstrating that all of the requirements of the respective tier of this part of ISO/IEC 19770 have
been satisfied using the outcomes as evidence; or
By demonstrating that all of the objectives of the respective tier of this part of ISO/IEC 19770 have
been achieved.
Furthermore, it must be demonstrated that any underlying tiers are currently certified for full conformance and
that they are being monitored for continuing full conformance by a surveillance program accepted by the
assessor; or alternatively that any underlying tiers are being certified as part of the current assessment.
© ISO/IEC 2012 – All rights reserved 3
---------------------- Page: 10 ----------------------
ISO/IEC 19770-1:2012(E)
If full conformance is achieved by demonstrating that all of the objectives of the respective tier of this part of
ISO/IEC 19770 have been met, two further requirements exist:
Where a process area includes outcomes in different tiers, the objective for that process area shall be
interpreted correspondingly for assessments of each tier.
The assessor shall, in addition to reviewing evidence demonstrating that all objectives are achieved,
still take into account the specified outcomes for the respective tier. Where there is any failure to meet
all specified outcomes, for each such outcome the assessor shall explain in writing their reason(s) for
accepting the objectives of a tier are nevertheless still fully satisfied without need for that outcome.
For the avoidance of doubt, where outcomes are specified using the word “including” which is then followed by
a list, this is to be understood as requiring all of the items in the list, with additional unlisted items possible but
not required.
3 Terms and definitions
For the purposes of this document, the following terms and definitions apply.
3.1
baseline
snapshot of the state of a service or individual configuration items (3.2) at a point in time
[ISO/IEC 20000-1:2005]
3.2
configuration item
CI
component of an infrastructure or an item which is or will be under control
NOTE 1 For the purpose of this part of ISO/IEC 19770, 'under control' means under the control of inventory
processes. Inventory processes for SAM (4.4) are the basis not only for SAM, but for all of configuration management.
NOTE 2 Configuration items or CIs are commonly defined as part of Service Management practice and may vary
widely in complexity, size and type, ranging from an entire system including all hardware, software and documentation, to
a single module or a minor hardware component.
3.3
corporate board or equivalent body
person or group of people who assumes legal responsibility for conducting or controlling an organization at the
highest level
3.4
definitive master version
originating instance of the software that is used to install or provision the software
EXAMPLE Source used to create distribution copies.
NOTE Install can apply to executable or non-executable software, or related assets such as fonts. It can apply to
installs on clients/local devices and/or server-side installs, for example as part of a service-type software asset provision.
3.5
distribution copy
copy of the software definitive master version, for the purposes of installation onto other hardware, which
resides for example on a server, or on physical media such as CDs
3.6
effective full license
license rights for software which allow one full use of the software
4 © ISO/IEC 2012 – All rights reserved
---------------------- Page: 11 ----------------------
ISO/IEC 19770-1:2012(E)
NOTE 1 An effective license consists of one or more underlying licenses (3.16).
EXAMPLE In some licensing an underlying full license for version 1 of a software product, plus an underlying
upgrade license to version 2 of the software product, combine to produce one effective full license for version 2 of the
software product. In this example, sometimes the upgrade license rights can come from a support contract or subscription.
NOTE 2 Full use of the software is as defined in the terms and conditions of the license(s).
3.7
local SAM owner
individual at any level of the organization below that of the SAM owner (3.13) who is identified as being
responsible for SAM for a defined part of the organization.
3.8
personnel
any individual expected to perform duties on behalf of the organization, including officers, employees and
contractors
3.9
platform
type of computer or hardware device and/or associated operating system, or a virtual environme
...
NORME ISO/CEI
INTERNATIONALE 19770-1
Deuxième édition
2012-06-15
Technologies de l’information —
Gestion des actifs logiciels —
Partie 1:
Procédés et évaluation progressive de
la conformité
Information technology — Software asset management —
Part 1: Processes and tiered assessment of conformance
Numéro de référence
ISO/CEI 19770-1:2012(F)
©
ISO/CEI 2012
---------------------- Page: 1 ----------------------
ISO/CEI 19770-1:2012(F)
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO/CEI 2012
Droits de reproduction réservés. Sauf indication contraire, aucune partie de cette publication ne peut être reproduite ni utilisée
sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie, l’affichage sur
l’internet ou sur un Intranet, sans autorisation écrite préalable. Les demandes d’autorisation peuvent être adressées à l’ISO à
l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Version française parue en 2013
Publié en Suisse
ii © ISO/CEI 2012 – Tous droits réservés
---------------------- Page: 2 ----------------------
ISO/CEI 19770-1:2012(F)
Sommaire Page
Avant-propos .iv
Introduction .v
1 Domaine d’application . 1
1.1 Objet . 1
1.2 Champ d’application . 1
1.3 Limitations . 3
2 Conformité . 3
2.1 Utilisation prévue . 3
2.2 Méthodes d’établissement de conformité totale . 4
3 Termes et définitions . 4
4 Processus de gestion des actifs logiciels (Processus SAM) . 7
4.1 Généralités . 7
4.2 Environnement de contrôle pour le SAM . 9
4.3 Processus de planification et de mise en œuvre du SAM .14
4.4 Processus d’Inventaire SAM .17
4.5 Processus de vérification et de conformité SAM.21
4.6 Processus et Interfaces de gestion opérationnelle pour le SAM .25
4.7 Interfaces SAM des processus du cycle de vie.29
5 Paliers .36
5.1 Vue d’ensemble .36
5.2 Palier 1 — Données fiables.37
5.3 Palier 2 — Gestion pratique .38
5.4 Palier 3 — Intégration opérationnelle .39
5.5 Palier 4 — Conformité intégrale ISO/CEI du SAM .40
Annexe A (informative) Tableau de référence des résultats par palier .42
Annexe B (informative) Lignes directrices sur des sujets donnés .48
Annexe C (informative) Renvoi au guide des meilleures pratiques dans le secteur .50
Annexe D (informative) Guide .82
Annexe E (informative) Approches de capacité / maturité du secteur .85
Bibliographie .90
© ISO/CEI 2012 – Tous droits réservés iii
---------------------- Page: 3 ----------------------
ISO/CEI 19770-1:2012(F)
Avant-propos
L’ISO (Organisation internationale de normalisation) et la CEI (Commission électrotechnique
internationale) forment le système spécialisé de la normalisation mondiale. Les organismes nationaux
membres de l’ISO ou de la CEI participent au développement de Normes internationales par l’intermédiaire
des comités techniques créés par l’organisation concernée afin de s’occuper des domaines particuliers
de l’activité technique. Les comités techniques de l’ISO et de la CEI collaborent dans des domaines
d’intérêt commun. D’autres organisations internationales, gouvernementales et non gouvernementales,
en liaison avec l’ISO et la CEI participent également aux travaux. Dans le domaine des technologies de
l’information, l’ISO et la CEI ont créé un comité technique mixte, l’ISO/CEI JTC 1.
Les Normes internationales sont rédigées conformément aux règles données dans les Directives
ISO/CEI, Partie 2.
La tâche principale des comités techniques est d’élaborer les Normes internationales. Les projets de
Normes internationales adoptés par les comités techniques sont soumis aux comités membres pour vote.
Leur publication comme Normes internationales requiert l’approbation de 75 % au moins des comités
membres votants.
L’attention est appelée sur le fait que certains des éléments du présent document peuvent faire l’objet de
droits de propriété intellectuelle ou de droits analogues. L’ISO ne saurait être tenue pour responsable de
ne pas avoir identifié de tels droits de propriété et averti de leur existence.
L’ISO/CEI 19770-1 a été élaborée par le comité technique mixte ISO/CEI JTC 1, Technologies de l’information,
sous-comité SC 7, Ingénierie du logiciel et des systèmes.
Cette deuxième édition annule et remplace la première édition (ISO/CEI 19770-1:2006), qui a fait l’objet
d’une révision technique.
L’ISO/CEI 19770 comprend les parties suivantes, présentées sous le titre général Technologies de
l’information — Gestion des actifs logiciels:
— Partie 1: Procédés et évaluation progressive de la conformité
— Partie 2: Marqueurs d’identification du logiciel
Les parties suivantes sont en cours d’élaboration:
— Partie 3: Marqueurs de recevabilité du logiciel
— Partie 5: Aperçu général et vocabulaire
La Partie 5 définit un ensemble terminologique commun applicable à la série de normes ISO/CEI 19770
qui peut actualiser les définitions données dans les parties précédemment publiées.
La «Gestion des marqueurs» fera l’objet d’une future Partie 7.
iv © ISO/CEI 2012 – Tous droits réservés
---------------------- Page: 4 ----------------------
ISO/CEI 19770-1:2012(F)
Introduction
La présente partie de l’ISO/CEI 19770 est destinée aux organisations qui souhaitent avoir les meilleures
pratiques en matière de Gestion des actifs logiciels (SAM, Software Asset Management). Elle est issue de
l’ISO/CEI 19770-1:2006 Software asset management processes (Processus de gestion des actifs logiciels)
qui était une norme exhaustive conçue pour l’harmonisation de l’ensemble de la gestion des services
telle que spécifiée dans l’ISO/CEI 20000.
Cependant, la réaction du marché indiquait que les organisations recherchaient quelque chose qui
pourrait être réalisé par étapes successives, chacune devant correspondre au mieux aux besoins de
l’organisation. La présente partie de l’ISO/CEI 19770 a pour objet de pouvoir réaliser la mise en œuvre du
SAM et sa mise en conformité avec une norme publiée au niveau de n’importe lequel de ces incréments,
désignés «paliers», qui sont cumulatifs. Cela favorise une certification autonome séparée qui correspond
aux niveaux naturels de développement et de priorité de gouvernance. Les organisations sont reconnues
lorsqu’elles démontrent publiquement leur aptitude à obtenir la certification à un palier donné.
La division en paliers est conçue pour que la normalisation du SAM soit à la portée de la plupart des
organisations. Les organisations mettant en place le SAM pour la première fois, peuvent généralement
réaliser une mise en œuvre plus rapide en procédant également à une délimitation minutieuse des actifs
logiciels et des parties de l’organisation couvertes par le SAM. Normalement une organisation ne couvrira
pas tout ce qui est possible dans le domaine d’application. Les définitions du domaine d’application des
logiciels et du domaine d’application organisationnel sont admises telles qu’elles sont décrites dans
l’Article 1 Domaine d’application. Tout domaine d’application peut être défini tant qu’il n’est pas ambigu.
Lorsqu’une organisation choisit de restreindre de cette façon le domaine d’application du SAM, il
convient de prendre en compte certains facteurs afin de pouvoir bénéficier de tous les avantages et
atteindre les objectifs escomptés de l’organisation. Par exemple, pour garantir une bonne sécurité, il est
généralement nécessaire que tous les biens contenus dans certaines sections de l’infrastructure d’une
organisation soient inclus dans le domaine d’application du SAM. Par ailleurs, il est impossible de gérer
les actifs logiciels sans gérer également le matériel sur lequel les logiciels sont exécutés; la présente
partie de l’ISO/CEI 19770 peut être utilisée pour les deux fonctions. Le terme «SAM» est destiné à couvrir
tous les biens et droits de propriété intellectuelle associés au logiciel dans le cadre des technologies de
l’information et l’utilisation du terme «SAM» dans la présente partie de l’ISO/CEI 19770 reflète le souci
de contextualisation du Groupe de travail ISO/CEI responsable ainsi que l’usage qui en est fait sur le
marché. Le SAM offre une large gamme d’avantages parmi d’autres pratiques corrélées de gestion des
biens relevant des technologies de l’information et les personnes chargées de mettre en application les
bonnes pratiques du SAM peuvent espérer tirer des avantages au-delà de ceux que procure la gestion
même des logiciels et droits de propriété intellectuelle y afférents.
Les quatre paliers du SAM tels que définis dans la présente partie de l’ISO/CEI 19770 sont illustrés à la
Figure 1. Pour une description plus exhaustive de ces quatre paliers, voir l’Article 5 Paliers. Ils peuvent
être brièvement expliqués comme suit:
© ISO/CEI 2012 – Tous droits réservés v
---------------------- Page: 5 ----------------------
ISO/CEI 19770-1:2012(F)
Palier 4
Conformité intégrale ISO/CEI du SAM
Réaliser les meilleures pratiques et une gestion
Palier 3
stratégique du SAM
Intégration opérationnelle du SAM
Palier 2
Améliorer l’efficience et l’efficacité des processus SAM
Palier 1
Gestion pratique du SAM
Améliorer les contrôles & générer des bénéfices immédiats
Fiabilité des données du SAM
Identifier ses actifs logiciels afin d’en améliorer la gestion
Figure 1 — Les quatre paliers du SAM
Les principaux avantages associés à chaque palier sont:
— Palier 1: Fiabilité des données du SAM (Trustworthy Data). Atteindre ce palier signifie identifier ce
que l’on détient pour pouvoir le gérer.
— La fiabilité des données est un préalable indispensable au SAM. Un principe courant de gestion qui
s’applique ici est «on ne peut pas gérer ce qu’on ne connaît pas». Ce palier constitue également la
base permettant de démontrer la conformité aux termes des licences, qui constitue généralement
un objectif de gouvernance majeur.
NOTE D’autres parties de l’ISO/CEI 19770 définissent des marqueurs d’identification d’un logiciel
(Software Identification Tag) (ISO/CEI 19770-2) et des marqueurs de recevabilité d’un logiciel (Software
Entitlement Tag) (ISO/CEI 19770-3) qui ont pour objet de simplifier la tâche de mise en œuvre du palier relatif
à la fiabilité des données du SAM.
— Palier 2: Gestion pratique du SAM (Practical Management). Atteindre ce palier signifie améliorer les
contrôles et générer des bénéfices immédiats.
— Dans la pratique, la gestion ne commence généralement que par la prise en compte des questions liées
au SAM après la reconnaissance par l’organisation des problèmes découlant de l’absence de données
fiables. L’organisation prend conscience de l’étendue des risques auxquels elle est confrontée ainsi
que des opportunités d’amélioration et de réduction des coûts. Ce palier couvre l’environnement
élémentaire de contrôle du SAM (voir 4.2 Environnement de contrôle pour le SAM), y compris les
politiques, rôles et responsabilités du SAM. Il couvre également le ciblage et la réalisation de «gains
rapides» rendus évidents par les données du Palier 1.
— Palier 3: Intégration opérationnelle du SAM (Operational Integration). Atteindre ce palier signifie
améliorer l’efficience et l’efficacité des processus SAM.
— En se fondant sur les deux paliers précédents, ce palier conduit à l’intégration du SAM dans les
processus opérationnels (voir 4.6 Interfaces et processus de gestion opérationnelle du SAM). Le
résultat de ce palier est une amélioration de l’efficience et de l’efficacité des processus SAM.
vi © ISO/CEI 2012 – Tous droits réservés
---------------------- Page: 6 ----------------------
ISO/CEI 19770-1:2012(F)
NOTE D’autres parties de l’ISO/CEI 19770 définissent des marqueurs d’identification d’un logiciel
(Software Identification Tag) (ISO/CEI 19770-2) et des marqueurs de recevabilité d’un logiciel (Software
Entitlement Tag) (ISO/CEI 19770-3) qui ont pour objet de simplifier la tâche d’intégration.
— Palier 4: Conformité intégrale ISO/CEI du SAM (Full ISO/IEC SAM conformance). Atteindre ce palier
signifie réaliser les meilleurs pratiques et une gestion stratégique du SAM.
— Ce palier traite des aspects les plus complexes et exigeants de la gestion intégrale du SAM, y compris
sa pleine intégration dans la planification stratégique de l’organisation.
Les trois premiers paliers sont définis comme des sous-ensembles de l’ensemble total des domaines et
résultats de processus définis dans la présente partie de l’ISO/CEI 19770. Chaque domaine de processus
a un seul objectif SAM, par exemple l’Identification des actifs logiciels, et comporte plusieurs résultats
permettant aux processus de prendre en charge chacun des objectifs. Pour l’illustration de cette
structure, voir le tableau récapitulatif à l’Annexe A.
Les paliers sont cumulatifs avec le Palier 4 défini comme l’ensemble total des domaines et résultats de
processus définis dans la présente partie de l’ISO/CEI 19770. A noter que les domaines et résultats de
processus définis dans la présente partie de l’ISO/CEI 19770 sont issus presque sans modifications de
l’ISO/CEI 19770-1:2006 mis à part quelques clarifications mineures qui ont été apportées. De même, la
structure des objectifs des groupes de processus comprenant plusieurs résultats a été conservée. La
conformité peut désormais être établie par rapport à tout palier spécifique. Bien que chaque palier puisse
être certifié séparément, chacun d’eux repose sur les performances continues des paliers précédents.
En termes pratiques, cela signifie généralement que toute organisation soumise à un processus de
certification pour un palier supérieur ferait l’objet de la mission de revue habituelle du certificateur
dédiée au contrôle de tous paliers éventuels précédents, mission au cours de laquelle le certificateur
examinerait également le palier supérieur en question.
Une explication plus exhaustive des paliers et de leur composition est donnée à l’Article 5.
Dans l’ensemble, les avantages du SAM devraient inclure:
a) La gestion des risques: par exemple, la réduction de l’interruption ou de la détérioration des
technologies de l’information / services d’information; risques juridiques et réglementaires;
b) La maîtrise des coûts: réduction des coûts directs de logiciel, des coûts des actifs associés au
logiciel (voir 1.2 pour une description des actifs associés,) et des frais d’exploitation et coûts
contractuels en cours;
c) Les avantages concurrentiels: meilleures décisions opérationnelles et meilleure satisfaction sur
la base de la mise à disposition permanente de données fiables.
En général, les exigences opérationnelles peuvent comprendre le ciblage de domaines prioritaires, tels
que pour des fabricants particuliers de logiciels ou parfois pour un groupe d’unités organisationnelles
identifié. Le choix des paliers, couplé avec la définition du domaine d’application, permet à nombre
d’organisations de tirer profit de la normalisation des processus SAM tel qu’il est décrit à l’Article 1
Domaine d’application.
En principe, il serait également possible d’utiliser une approche par les capacités ou par maturité pour
définir une norme pouvant être réalisée par étapes. Dans la pratique, cependant, une telle approche est
beaucoup plus complexe si elle doit conduire à la certification autonome de chaque étape. Néanmoins, il
est envisagé de développer une telle approche à l’avenir, à l’issue d’une révision prévue de la première
édition de l’ISO/CEI 15504. Cela favorisera une convergence des approches basées sur la présente partie
de l’ISO/CEI 19770 et sur d’autres méthodologies existantes fondées sur l’approche par maturité.
© ISO/CEI 2012 – Tous droits réservés vii
---------------------- Page: 7 ----------------------
NORME INTERNATIONALE ISO/CEI 19770-1:2012(F)
Technologies de l’information — Gestion des actifs
logiciels —
Partie 1:
Procédés et évaluation progressive de la conformité
1 Domaine d’application
1.1 Objet
La présente partie de l’ISO/CEI 19770 établit une base de référence pour un ensemble intégré de
processus de gestion des actifs logiciels (SAM, Software Asset Management), laquelle est divisée en
paliers pour permettre sa mise en œuvre, son évaluation et sa reconnaissance de manière progressive.
1.2 Champ d’application
La présente partie de l’ISO/CEI 19770 s’applique aux processus de gestion SAM et peut être mise en
œuvre par les organisations pour générer des bénéfices immédiats. L’ISO/CEI 19770-2 fournit une
spécification correspondante de marqueurs d’identification de logiciel, laquelle doit être mise en œuvre
par les fabricants de logiciel (externes ou internes) et par les développeurs d’outils afin d’en tirer tous
les avantages escomptés.
Il est prévu que la présente partie de l’ISO/CEI 19770 soit une norme d’intégration pour les organisations.
Les prochaines éditions peuvent fournir un référentiel d’évaluation qui s’aligne sur les exigences
1)
contenues dans l’ISO/CEI 15504-2:2003 ou la future Norme internationale ISO/CEI 33003 .
La présente partie de l’ISO/CEI 19770 s’applique aux organisations de toute taille ou de tout secteur. A des
fins de conformité, la présente partie de l’ISO/CEI 19770 ne peut s’appliquer qu’à une personne morale,
ou à des entités d’une personne morale simple. Elle peut également s’appliquer aux personnes morales
multiples (par exemple, la société mère et les filiales d’une organisation multinationale) lorsqu’il existe
un lien légal de contrôle entre elles, de sorte qu’une entité puisse exercer un contrôle sur les autres. Elle
ne s’applique que lorsqu’une telle entité de contrôle exerce le contrôle sur tout ce qui relève du domaine
d’application (tel que défini pour les besoins de conformité) et que l’évaluateur de conformité accepte
cette définition du domaine d’application organisationnel.
NOTE La définition de domaine d’application organisationnel est documentée comme partie intégrante du
Processus SAM de gouvernance au niveau organisationnel (4.2.2).
La présente partie de l’ISO/CEI 19770 peut s’appliquer à une organisation qui a externalisé ses processus
SAM, et dont la responsabilité de prouver la conformité est toujours maintenue au niveau de l’organisme
d’externalisation.
La présente partie de l’ISO/CEI 19770 peut s’appliquer à tous les logiciels, biens associés et droits de
propriété intellectuelle y afférents indépendamment de la nature du logiciel, lorsque les biens associés
sont tous les autres biens dont les caractéristiques sont nécessaires à l’utilisation ou à la gestion du
logiciel. Par exemple, elle peut s’appliquer aux logiciels exécutables (tels que programmes d’application,
systèmes d’exploitation et programmes utilitaires) et aux logiciels non exécutables (tels que polices de
caractères, graphiques, enregistrements audio et vidéo, masques de saisie, dictionnaires, documents et
données). Elle peut s’appliquer à tous les environnements technologiques et à toutes les plates-formes
informatiques (par exemple, les applications logicielles virtuelles, les logiciels hébergés sur site ou les
1) ISO/CEI 33003, Systems and software engineering — Requirements for process measurement frameworks.
© ISO/CEI 2012 – Tous droits réservés 1
---------------------- Page: 8 ----------------------
ISO/CEI 19770-1:2012(F)
logiciels sous forme de service (Saas); cela concerne le “Cloud computing” (ou «Informatique en nuage»),
comme les environnements informatiques plus anciens).
NOTE La définition du domaine d’application des actifs logiciels (types de logiciel à inclure dans le domaine
d’application) est documentée comme partie intégrante du plan SAM élaboré dans le processus de Planification
SAM. On considère de toute façon qu’il peut être jugé approprié à l’organisation, comme pour tout logiciel, progiciel,
logiciel sur des plates-formes spécifiques ou logiciel de fabricants spécifiés, tant qu’il n’est pas ambigu. Voir aussi
les explications dans la suite de cette section et dans le Tableau 1.
A l’exception des exigences de l’Article 4.7.4 Processus de gestion du développement logiciel, il n’est pas
nécessaire d’appliquer la présente partie de l’ISO/CEI 19770 au développement de logiciels dans le
sens du développement et de la conservation du code. Il est prévu de l’appliquer à tout logiciel dans
un environnement de production et aux activités initiales, telles que la configuration de logiciel, ou la
création et le contrôle des intrants et extrants de production. La ligne de démarcation exacte entre ce qui
est considéré comme pur développement, et par conséquent exclu, et ce qui est relatif à l’environnement
de production, et par conséquent inclus, peut être définie à l’aide des déclarations formelles univoques
du domaine d’application organisationnel ou du domaine d’application des logiciels.
NOTE Le logiciel utilisé pour développer d’autres logiciels est considéré comme faisant partie de
l’environnement de production, c’est-à-dire que le logiciel utilisé par les développeurs de logiciel doit être lui-
même contrôlé.
Les formes d’actifs logiciels suivantes relèvent du domaine d’application de la présente partie de
l’ISO/CEI 19770:
a) droits d’utilisation du logiciel, reflétés par la pleine propriété (comme pour les logiciels développés
à l’interne) et les licences (comme pour la plupart des logiciels acquis à l’externe, qu’ils soient
commerciaux ou à code source libre);
b) logiciel destiné à l’utilisation, en tant qu’objet de droit de propriété intellectuelle (y compris le
logiciel original fourni par les fabricants et éditeurs de logiciel, les différents versions du logiciel, et
le logiciel tel qu’il est installé et autrement mis à disposition, utilisé ou exploité); et
c) supports des copies du logiciel destinées à l’utilisation.
NOTE D’un point de vue de comptabilité financière, c’est essentiellement la catégorie (a) qui peut être
considérée comme un bien, et même à ce titre, il a pu être amorti complètement. D’un point de vue de comptabilité
financière, la catégorie (b) peut être perçue comme générant réellement une dette (plutôt qu’un bien) avec un
logiciel commercial s’il n’est pas convenablement autorisé sous licence. La présente partie de l’ISO/CEI 19770
considère les catégories (b) et (c) comme des biens légitimes à contrôler de même que la catégorie (a). Les
licences peuvent avoir une valeur comptable, mais il convient que le logiciel particulier en usage ait une valeur
opérationnelle et soit traité comme un bien d’entreprise.
Les biens associés relevant du domaine d’application sont tous les autres biens dont les caractéristiques
sont nécessaires à l’utilisation ou à la gestion du logiciel dans le domaine d’application. Toutes les
caractéristiques des biens associés qui ne sont pas nécessaires à l’utilisation ou à la gestion du logiciel
ne relèvent pas du domaine d’application. Le Tableau 1 donne des exemples de ces biens associés.
2 © ISO/CEI 2012 – Tous droits réservés
---------------------- Page: 9 ----------------------
ISO/CEI 19770-1:2012(F)
Tableau 1 — Application de l’ISO/CEI 19770-1 aux actifs non logiciels
Type de bien Applicabilité Exemple
Matériel Normative pour les actifs matériels Inventaire du matériel sur lequel le logiciel
avec des caractéristiques néces- peut être stocké, exécuté ou utilisé autre-
saires à l’utilisation ou à la gestion ment; nombre de processeurs ou capacité de
des actifs logiciels dans le domaine traitement; que le matériel soit qualifié pour
d’application le comptage à des fins d’attribution de licences
d’utilisation sur site.
Sans objet pour les caractéristiques Coût et amortissement du matériel, dates de
non nécessaires à l’utilisation ou à reprise de la maintenance préventive.
la gestion des actifs logiciels dans le
domaine d’application
Autres biens Normative pour d’autres biens avec Noms du personnel afin d’en identifier la garde,
des caractéristiques nécessaires à comptage de l’effectif à des fins d’attribution
l’utilisation ou à la gestion des actifs de licences, lorsque déterminé sur cette base;
logiciels dans le domaine d’applica- infrastructure ou architecture des technolo-
tion gies de l’information (y compris les interfaces)
s’il y a lieu pour déterminer l’usage approprié
de certaines mesures de licence, par exemple
pour identifier le multiplexage.
Sans objet pour les caractéristiques Autres informations sur le personnel
non nécessaires à l’utilisation ou à
la gestion des actifs logiciels dans le
domaine d’application
1.3 Limitations
La présente partie de l’ISO/CEI 19770 ne décrit pas en détail les processus SAM en termes de méthodes
ou procédures nécessaires pour satisfaire aux exigences de résultats d’un processus.
La présente partie de l’ISO/CEI 19770 ne spécifie pas la séquence des étapes qu’il convient qu’une
organisation suive pour implémenter la gestion SAM; il n’y a non plus aucune séquence impliquée par la
séquence dans laquelle les processus sont décrits. Le seul séquencement pertinent est celui exigé par le
contenu et le contexte. Il convient par exemple que la planification précède la mise en œuvre.
La présente partie de l’ISO/CEI 19770 ne donne pas une description détaillée de la documentation en
termes de nom, format, contenu explicite et support d’enregistrement.
Les informations relatives aux systèmes de certification et de reconnaissance ne relèvent pas du domaine
d’application de la présente partie de l’ISO/CEI 19770.
La présente partie de l’ISO/CEI 19770 n’a pas pour objet d’être en conflit avec les politiques, procédures
et normes d’une organisation donnée ou avec les lois et réglementations nat
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.