从软件资产管理看信息安全

5月11日，ISO和IEC(国际电工委员会)出台了一项软件资产管理标准――ISO/IEC19770-1:2006，一段时间以来，该标准也为广大企业用户在节省成本、提高效率、加强风险管理和提高内外部客户满意度方面起到明显的改善作用。

软件资产管理（SAM）准则将运用于与软件产品相关的媒体、硬件、许可证和知识产权保护中。鉴于目前上述方面的软件资产管理往往是零散而无序的，鲜有机构能全面贯彻一套完整的软件资产管理方法，因此，执行ISO/IEC19770-1:2006将使机构的管理架构更加标准化。企业将把SAM和其他管理准则有效结合起来，找到最优的管理模型/方法，从而帮助服务提供商更好地理解如何提高对内部和外部客户的服务质量。尤其在信息安全软件方面，颁发、授权、认证、回馈将受到SAM强有力度的支撑，为信息系统安全的过程提供最完善的保障。

ISO/IEC19770:2006由两部分组成，第一部分:SAM使用方法和相关程序的描述，第二部分:对产品识别的详细说明，简化软件总量的管理程序。该标准可作为与ISO/IEC20000:2005“信息技术服务管理”相关的支持标准。

同时，随着国内越来越多的企业赴美上市，萨班斯(Sarbanes-Oxley)法案也得到国内企业的广泛关注，尤其是借鉴哪些方法，可以使企业符合萨班斯法案要求是当前大家关注的焦点。

按照萨班斯(Sarbanes-Oxley)法案的要求，需要企业提供的所有信息都必须是准确和最新的，并且是得到完全确认的，因此企业需要相关组织评估它们的内部控制，并通过报告来展示它们的有效性。而这些信息的确认是由IT部门和信息系统负责生成、支持和维护，并且信息系统要保证这些数据的有效性和可用性。很多软件分析师认为，软件资产管理和COSO及COBIT这些IT管理模型一起使用，能够帮助企业符合并遵守萨班斯法案所设定的标准。

对于COSO和COBIT这些IT管理模型而言，大家并不陌生，早已是企业通用的遵守萨班斯法案的方法。而对于软件资产管理来说，国内的很多企业则相对比较陌生，因为大家很早就意识到IT硬件资产是需要管理的，而对软件资产管理不太重视，其实对企业来说，软件资产同样也是一种非常重要的资产，也需要有效的管理才能发挥其更大的价值。软件资产管理(Software Assets Management)就是通过建立一种完善的管理模式和适当的技术支持体系，将软件作为企业的资产加以统筹管理，其目的是将企业所拥有的软件纳入企业资产的正常管理程序。

目前，部分国内外软件厂商、国际知名咨询服务商以及部分本地的系统集成商，正致力于与行业组织及企业客户合作，积极推进建立软件资产管理在中国市场的生态系统，包括教育、培训、服务及标准认证体系等。我们相信，随着我国企业越来越多的需要与国际接轨、建立自身的创新体系、更好的做好内部控制，从而增加企业竞争力，软件资产乃至IT资产管理的国际标准规范的实施，必将会给企业带来越来越多的价值。