Standardele internaţionale ISO SAM

Despre ISO

ISO (Internaţional Organization for Standardization) este o organizaţie independenţa, neguvernamentală internaţională, formată dintr-o reţea de organizaţii naţionale de standardizare din 163 de ţări (3.368 specialişti) cu sediul central la Geneva, în Elveţia.

Această organizaţie este cel mai mare dezvoltator şi editor al standardelor internaţionale ale lumii, care formează o punte între sectorul public şi cel privat pentru a facilita comerţul internaţional, prin asigurarea calităţii şi eficientiei a produselor, serviciilor şi sistemelor.

ISO a publicat până acum, mai mult de 21.000 de Standarde Internaţionale şi documentele conexe, acoperind aproape orice industrie: de la tehnologie, la siguranţă alimentară, de la agricultură, la medicină şi securitatea informaţiei.


ISO pentru SAM – Software Asset Management

Standardul principal care defineşte procesele prezente în jurul conceptului de SAM (planificare, implementare, control etc.) este ISO/IEC 19770.

Acesta este alcătuit din următoarele părţi: 

  • ISO/IEC 19770-1: SAM Processes
Această parte a ISO/IEC 19770 este alcătuită dintr-o serie de procese ITAM, care ajute organizaţiile în implementarea unui program de SAM eficient, care totodată asigure suport pentru Managementul Serviciilor IT, în conformitate cu standardul ISO/IEC 20000 (Service Management).

În anul 2006, a apărut prima generaţie a acestui standard şi inlcudea 27 de procese necesare pentru asigurarea conformităţii:

ISO SAM, SAM, SAM Romania, Software Asset Management, Solutie SAM, Standarde SAM,

A 2 a generaţie a standardului, a apărut în anul 2012 şi au fost definite 4 etape/niveluri (“Tiers”) care permit implementarea în mod progresiv ale procesului SAM

Tier 1: Trustworthy Data – “nu poţi gestiona, cea ce nu cunoşti”;

Tier 2: Practical Management – “politici, roluri şi responsabilităţi”;

Tier 3: Operational Integration – “eficienţă”;

Tier 4: Full ISO/IEC Software Asset Management conformance -“best-in-class“.

ISO SAM, SAM, SAM Romania, Solutie SAM, Standarde SAM,

  • ISO/IEC 19770-2:  Software identification tag
 Acesta stabileşte specificaţiile privind etichetarea software-ului (SWID tags), pentru a optimiza identificarea şi gestionarea acestuia.

SWID Tags-urile (numite şi “amprente ADN”), oferă informaţii importante pentru fiecare pachet software instalat: detalii despre instalare, despre producător, versiunea de produs etc.


ISO SAM, SAM, SAM Romania, Software Asset Management, Solutie SAM, Standarde SAM,

Informaţiile sunt furnizate într-o structura de date standardizate (fişier XML).

Conform acestui standard:

· fiecărei aplicaţii îi este atribuit un SWID tag unic;

· produsele Standalone folosesc un singur SWID tag;

· produsele care au fost achiziţionate parte a unei suite vor avea un SWID tag pentru a identifica suita din care provine.

  • ISO/IEC 19770-3:  Software entitlement schema (ENT)
Partea a 3 a, stabileşte un set de termeni şi definiţii care pot fi utilizaţi în structura tehnică a fişierului XML. Acesta poate încapsula detalii despre: drepturile de utilizare a licenţei, metrici de licenţiere etc).

  •  ISO/IEC 19770-5:  Overview and vocabulary oferă o imagine de ansamblu a ITAM şi defineşte terminologia SAM.

Acesta conţine:

· prezentare generală a ISO/IEC 19770;

· introducere în conceptul SAM;

· scurtă descriere a principiilor de baza;

· Şi definiţiile termenilor utilizaţi în standardele SAM.


ISO SAM, SAM, SAM Romania, Software Asset Management, Standarde SAM,

Autor : Catalin Iancu

Ești pregătit pentru un audit de licențiere Microsoft?

Procesul de auditare al licenţierii , în general, este prezentat de către vendori ca un ajutor pentru companii, în vederea verificării nivelului de complianţa software, însă în rândul clienţilor această terminologie poartă o conotaţie negativă deoarece este asociată cu un control.

Conform rapoartelor Gartner din ultimii ani, numărul auditurilor este într-o creştere accelerată, fiind folosite de către producători, atât în scopul obţinerii de venituri, cât şi în stoparea pirateriei software.
De asemenea în aceste rapoarte se fac o serie de recomandări către persoanele care ocupă poziţii de CIO sau administratori IT, îndemnând pe aceştia să investească în procese, instrumente şi soluţii de Software Asset Management (SAM) pentru a menţine în mod proactiv respectarea condiţiilor şi termenelor prevăzute în contractele de licenţiere.

Aş adaugă ca şi recomandare, îmbunătăţirea comunicării şi operaţiunilor care se realizează între departamentele IT şi cele de achiziţii - esenţială fiind existenţa unei proceduri prin care să fie urmărit pachetul software din momentul achiziţiei (înregistrarea în evidenţele contabile ) şi până la scoaterea din uz (casare/ decomisionare).
La fel de important este să se cunoască modul de achiziţie al unei licenţe (tipul de licenţiere), punerea în uz (instalarea), drepturile de tranziţie ale acesteia pe diferite device-uri, precum şi managementul documentelor (fiscale, juridice) ce o însoţesc.

Vendorii mari: Microsoft, Oracle, IBM şi nu numai, au efectuat o serie de schimbări în ultimii ani privind licenţierea, această devenind foarte complexă, utilizând o multitudine de metrici (per CPU, per Core, NUP, PVU etc.), iar mediile IT, datorită virtualizării au devenit dinamice cu un impact major în scenariile de licentire, respectiv a numărului real de licenţe utilizate.

Modificarea frecventă a licenţierii, coroborată cu lipsa unui instrument de management şi control al licenţelor, expun companiile la un risc financiar major în cazul unui audit din partea vendorilor.

În următoarele rânduri voi sumariza câteva informaţii importante despre auditul din partea Microsoft:


1. Cele mai comune criterii privind selectarea companiilor ce vor fi auditate:

  • fuziuni de companii
 În general, atunci când se realizează achiziţii, asimilări sau fuziuni între companii, se omite transferul licentelelor între entiati, şi/sau nu se fac achiziţii suficiente pentru ca nouă formă juridică să fie la un nivel bun de compliance din punct de vedere al licenţierii software.

  •  istoricul achiziţiilor corelat cu datele anuale declarate către Instituţiile de finanţe publice

 În acest criteriu, se încadrează companiile care au încheiat un Contract de licenţiere în Volum şi ulterior acestuia (în ultimii ani), nu au efectuat un număr suficient de achiziţii, în concordanţă cu evoluţia economică a companiei: creşterea numărului de angajaţi, creşterea cifrei de afaceri etc.

  •  auditarea companiilor în paralel şi de către alţi vendori

 În cele mai multe situaţii, companiile care au în desfăşurare proces de audit realizat de către un vendor, ajung şi în "atenţia" Microsoft, respectiv a celorlalţi mari producători de software.

  • contracte de licenţiere în derulare

 Dacă se realizează creşteri semnificative ale numărului de angajaţi, sau asimilări de alte companii pe durata contractului activ, însă la declararea rapoartelor anuale (true-up), nu există o creştere a numărului de licenţe corelată cu numărul de angajaţi, atunci este posibil că această să fie o situaţie de non-compliance.
  •    contracte de licenţiere ce nu beneficiază de reînnoire

 Prin acest criteriu, sunt "vizate" companiile care după încetarea perioadei de valabilitate a contractului de licenţiere în volum, nu îşi manifestă intenţia de reînnoire a acestuia sau nu există intenţia de încheiere a unui alt tip de contract în volum.
  •   schimbarea modului de licenţiere

 Exemplu: Un mare impact l-a avut, schimbarea licenţierii pentru produsele Microsoft SQL Server. Odată cu lansarea versiunii 2014, o mare parte din companiile care aveau contracte în volum active, au beneficiat de upgrade la această versiune, însă,  în acelaşi timp au ajuns într-un scenariu de non-compliance.

Audit, Audit software, Compliance, Licentiere, Microsoft, Software Asset Management, SAM,


2. Tipuri de audit Microsoft:

Self Audit - este cel mai "indulgent" tip de audit. Prin această procedura, companiile auditate trebuie să efectueze un "inventar" al licenţelor utilizate în infrastructură, că apoi rezultatele să fie livrate către Microsoft. Aceste informaţii vor fi comparate cu istoricul achiziţiilor pentru a se determina nivelul de compliance.

Software Asset Management (SAM) Engagement - este un audit de tip prevenitv. Microsoft recomandă realizarea unui proiect/ audit cu ajutorul unui partener certificat SAM. La finalizarea acestuia, rezultatele sunt centralizate într-un raport ce trebuie frunizat către producător.

Avantajele SAM Engagement
  •   costurile alocate proiectului/ auditului sunt suportate în totalitate de către Microsoft
  •  partenerul Microsoft va pune la dispoziţia companiei (clientului), atât specialişti tehnici pentru rularea/ implementarea soluţiei de identificare a aplicaţiilor instalate, cât şi specialişti în licenţiere, pentru a obţine o situaţie cât mai clară şi actualizată privind utilizarea pachetelor software.
  •  compania (clientul) va beneficia de recomandări pentru utilizarea corectă a licenţelor, precum şi de ajutor pentru implementarea unor proceduri specifice de management al activelor software.

 Legal Contracts and Compliance (LCC) Audit - este cel mai "costisitor" audit.

Aceste audituri se realizează prin intermediul unui auditor autorizat, care va acţiona în interesul producătorului de software.
Auditorul este împuternicit legal, să examineze dovezile de licenţiere, să efectueze verificări tehnice on-site, şi să furnizeze situaţia licenţierii (rezultatele procesului) către Microsoft.

Cea mai bună protecţie împotriva auditării o reprezintă implementarea în companie a unui sistem complet de management al activelor software (SAM) - soluţia tehnică şi serviciile asociate (proiect de tip on going), pentru menţinerea permanentă a complianţei software.

Audit Microsoft, Audit software, Compliance, Licentiere, Microsoft, Software Asset Management, SAM,


3. Etapele unui Audit Microsoft

A. Kickoff meeting

În prima faza, reprezentanţii auditorului angajat de către Microsoft (PriceWaterhouseCoopers, Deloitte, KPMG sau Ernst & Young) vor programa o întâlnire (de obicei conference call) pentru a prezenţa companiei auditate etapele şi timeline-ul proiectului.

BData collection

Compania auditată va colecta o serie de informaţii despre infrastructură IT, ce vor fi prezentate auditorului:
  •  Confirguratiile hardware ale device-urilor
  •  Aplicaţiile Microsoft instalate pe fiecare device
  •  Utilizatorii care accesează device-urile şi aplicaţiile Microsoft
  • Documentele ce reprezintă dovezile de licenţiere software

  C. Onsite visit

În această etapă, reprezentanţii auditorului vor face o vizită la sediul companiei auditate, pentru a verifica şi valida acurateţea informaţiilor prezentate anterior, eventual colectarea unor date adiţionale.

D.  Draft Report

Pe baza informaţiilor adunate în cadrul etapei numărul 2, respectiv al vizitei onsite, auditorul va pregăti un raport comparativ: aplicaţii Microsoft instalate versus aplicaţii Microsoft achiziţionate.
Acest raport va fi transmis companiei auditate pentru a identifica eventualele erori sau discrepanţe.

E. 3 Way Exit meeting

În cadrul etapei finale, se stabileşte un call cu toate părţile implicate în procesul de auditare: reprezentanţii auditorului, rezprentantii companiei auditate şi reprezentanţii Microsoft.
Auditorii vor expune rezultatele finale şi vor răspunde la eventualele întrebări cu privire la raport.

După finalizarea acestui ultim pas, auditorul îşi încheie activitatea, urmând că stabilirea termenilor finali (comerciali) să fie negociaţi între Microsoft şi client.


4. Intrebari frecvente


 Microsoft deţine autoritatea legală să auditeze companiile private?

Conform condiţiilor cuprinse în secţiunea “Verifying Compliance” din contractul de licenţiere : The Microsoft Business and Services (MBSA), Microsoft deţine drepturile legale de a angaja un auditor autorizat pentru a efectua verificarea utilizării aplicaţiilor software în infrastructură IT a clienţilor, parte din contract.
Majoritatea contractelor de licenţiere de volum sunt sub incidenţa termenilor şi condiţiilor cuprinse în MBSA.

Pot refuza companiile procesul de auditare Microsoft?

Companiile care refuză auditarea, încalcă termenii contractuali prevăzuţi în MBSA.
În acest caz, Microsoft poate rezilia contractul/ contractele de licenţiere şi clienţii trebuie să dezinstaleze toate aplicaţiile şi/ sau vor fi acţionaţi în instanţa pentru încălcarea drepturilor de autor.

Există vreun risc în furnizarea informaţiilor cerute de către auditor/ Microsoft?

Auditul Microsoft este un process complex cu scenarii variabile, ce necesită expertiză în licenţiere, tehnic şi cadrul legislativ.
Este recomandat că aceste companii să ceară ajutorul unui consultant/ partener specializat în consultanţă audit Microsoft.
Aceşti parteneri sunt familiarizaţi cu modul de lucru al auditorilor software, au experţi în licenţiere, experţi tehnici şi departament juridic specializat pe drepturile de autor.

Cu ajutorul acestora, companiile vor putea obţine o interpretare realistă şi corectă a rezultatelor auditorului, vor putea combate auditul şi într-un final un cost saving substanţial.

Autor : Catalin Iancu