Norma łączy najlepsze praktyki w branży

Posiadanie systemu zarządzania (zbioru procesów, procedur itp.) opartego na wymaganiach normy pozwala na redukcję niepotrzebnych wydatków na IT, a także wyeliminowania wielu różnych zagrożeń wynikających z korzystania z systemów informatycznych.

Norma ISO/IEC 19770-1 jest napisana w postaci listy procesów. Każdy z nich jest podzielony jeszcze dodatkowo na elementy, które określają konkretne rezultaty jego działania. W ten sposób utworzona jest lista kontrolna pozwalająca sprawdzić, jakich narzędzi zarządzania brakuje w organizacji.

Wymagania normy dotyczą zarówno poszczególnych działań, jak i posiadanych dokumentów lub rejestrów, a nawet podjętych decyzji. Norma wymaga na przykład określenia, kto jest odpowiedzialny za zarządzanie zasobami, oraz tego, aby taka osoba miała wyznaczony konkretny zakres odpowiedzialności i by ten zakres był oficjalnie zatwierdzony przez zarząd. W innym miejscu norma wymaga posiadania spisu zasobów i wyszczególnia, jakiego typu mają być to spisy i co mają zawierać. Spotykamy w niej także zapis o konieczności wykonywania przeglądu wszystkich używanych komputerów co najmniej co pół roku.

Grupa robocza WG21, która jest autorem tej normy, to zespół ekspertów, zarówno dostawców, konsultantów, jak i użytkowników. Taka konstrukcja zespołu pozwala na upewnienie się, że zakres wymagań normy jest odpowiednio szeroki i pokrywa potrzeby wszystkich zainteresowanych stron. Doświadczenie tych ekspertów pozwoliło na zgromadzenie w tej normie najlepszych praktyk branżowych. Dzięki temu wykorzystanie zapisanej w normie wiedzy pozwala na uniknięcie wielu błędów, które zostały popełnione już wcześniej w innych organizacjach.

Nie należy zapominać, że wiele błędów popełnianych jest również podczas praktycznego wdrożenia najlepszych praktyk, a zwłaszcza zapisów normy. Szczególne niebezpieczeństwo leży w błędnych interpretacjach zapisów normy oraz określania kontekstu poszczególnych elementów. Wymagania występujące obok siebie w tekście normy niekoniecznie muszą być wdrażane jednocześnie oraz niekoniecznie dotyczą tego samego obszaru zarządzania. Przykładem może być repozytorium informacji o posiadanych zasobach, gdzie w jednym punkcie są opisane zarówno repozytoria zakupionego oprogramowania jak i oprogramowania utworzonego na własny użytek w firmie. Takie repozytoria są tworzone i zarządzane inaczej i trzeba je łączyć z innymi procesami.

Aby wdrożenie najlepszych praktyk zapisanych w normie było łatwiejsze, zespół pracujący nad nową edycją normy podzielił ją na cztery warstwy. Warstwy określają cztery domeny, w których każda kolejna wymaga wdrożenia elementów warstwy poprzedniej. Istotne jest to, że każda warstwa gromadzi elementy które są sobie bliskie kontekstowo.

Aby ułatwić wdrożenie zapisów normy w organizacji, BSA The Software Alliance przygotowało i udostępnia szkolenie SAM Advantage. Jest to szkolenie internetowe, które przedstawia praktyczną interpretację zapisów, a tym samym pomaga w prawidłowym wdrożeniu normy. Bogactwo przykładów i wyjaśnień daje użytkownikowi możliwość poznania takich metod utworzenia elementów opisanych w normie, aby przyniosły one rzeczywistą korzyść organizacji. Co jeszcze bardziej istotnie, właściwa interpretacja zapisów dokumentu ISO/IEC 19770-1 ułatwia ominięcie przez organizację pułapek wdrożeniowych, takich jak zbyt szczegółowe informacje przechowywane w repozytoriach.

Ważnym elementem szkolenia jest określenie wzajemnych relacji pomiędzy wymaganiami normy, jak również to, jak wymagania normy wpisują się w kontekst pozostałych elementów zarządzania organizacją. Ta informacja, jeśli jest nabyta we wczesnym okresie wdrożenia, daje możliwość utworzenia właściwej struktury systemu zarządzania oprogramowaniem. Dodatkową korzyścią z wyznaczenia punktów styku z innymi domenami zarządzania występującymi w organizacji jest utworzenie właściwych kanałów przepływu informacji pozwalających na jak najmniej bolesne przeprowadzenie koniecznych zmian.

Z perspektywy audytora

partner w dziale Zarządzania Ryzykiem Informatycznym EY

Ocena Verafirm jest specyficznym audytem, który w   kilku aspektach odróżnia się od typowych audytów mających na celu weryfikację zgodności z   wybraną normą czy audytów legalności oprogramowania. Obejmuje on całość procesu zarządzania oprogramowaniem, czyli organizację procesu, role i   odpowiedzialności, planowanie procesu, inwentaryzację licencji i   instalacji oprogramowania, weryfikację i   zapewnienie zgodności z   warunkami licencji czy zarządzanie całym procesem. Ponieważ wymagania normy są przedstawione na ogólnym poziomie, częścią audytu jest szkolenie SAM Advantage opracowane przez BSA. Szkolenie to ma na celu przybliżenie idei i   praktycznego podejścia do wdrożenia procesu zarządzania oprogramowaniem. Umożliwia ono przełożenie ogólnych wytycznych normy ISO/IEC 19700 na praktyczne wdrożenie skutecznego procesu. Istotne w   procesie audytu Verafirm jest podejście zakładające prowadzenie go w   dwóch etapach. Po pierwszym audytowany podmiot otrzymuje informację o   zidentyfikowanych słabościach w   procesie wraz z   praktycznymi rekomendacjami możliwości usprawnień. Po wdrożeniu rekomendowanych zmian prowadzona jest ponowna weryfikacja wybranych obszarów. Wynikiem audytu jest informacja o   poziomie zgodności procesów z   normą ISO oraz ocena legalności dla wybranej części wykorzystywanego oprogramowania w   firmie. Jeśli weryfikacja ta obejmuje produkty dostawców, którzy zawarli z   BSA stosowne porozumienie, pozytywny wynik audytu zapewnia, że firma posiadająca certyfikat Verafirm przez dwa lata nie będzie poddawana kolejnym audytom legalności.

@RY1@i02/2015/050/i02.2015.050.21400010a.802.jpg@RY2@

Krzysztof Bączkiewicz współautor normy ISO 19770-1

Krzysztof Bączkiewicz

współautor normy ISO 19770-1