>サイトトップへ >このカテゴリの一覧へ

X 0164-1

:2010 (ISO/IEC 19770-1:2006)

(1) 

目  次

ページ

序文 

1

1

  適用範囲

1

1.1

  目的

1

1.2

  適用分野 

1

1.3

  制限

3

2

  適合

3

2.1

  意図した用途 

3

2.2

  完全適合 

3

2.3

  合意の順守 

3

3

  用語及び定義 

3

4

  SAM プロセス 

5

4.1

  一般

5

4.2

  SAM の統制環境

6

4.3

  SAM の計画立案及び導入プロセス

10

4.4

  SAM の在庫プロセス

12

4.5

  SAM の検証及び順守プロセス

14

4.6

  SAM の運用管理プロセス及びインタフェース

16

4.7

  SAM のライフサイクルプロセスインタフェース 

19

附属書 JA(参考)参考文献 

23


X 0164-1

:2010 (ISO/IEC 19770-1:2006)

(2) 

まえがき

この規格は,工業標準化法に基づき,日本工業標準調査会の審議を経て,経済産業大臣が制定した日本

工業規格である。

この規格は,著作権法で保護対象となっている著作物である。

この規格の一部が,特許権,出願公開後の特許出願,実用新案権又は出願公開後の実用新案登録出願に

抵触する可能性があることに注意を喚起する。経済産業大臣及び日本工業標準調査会は,このような特許

権,出願公開後の特許出願,実用新案権及び出願公開後の実用新案登録出願にかかわる確認について,責

任はもたない。

JIS X 0164

の規格群には,次に示す部編成がある。

JIS

X

0164-1

  第 1 部:プロセス

JIS

X

0164-2

  第 2 部:ソフトウェア識別タグ(予定)


   

日本工業規格

JIS

 X

0164-1

:2010

(ISO/IEC 19770-1

:2006

)

ソフトウェア資産管理−第 1 部:プロセス

Information technology-Software asset management-Part 1: Processes

序文 

この規格は,2006 年に第 1 版として発行された ISO/IEC 19770-1 を基に,技術的内容及び対応国際規格

の構成を変更することなく作成した日本工業規格である。

なお,この規格で点線の下線を施してある参考事項及び

附属書 JA は,対応国際規格にない事項である。

適用範囲 

1.1 

目的 

この規格は,ソフトウェア資産管理(software asset management,SAM)のための統合された一連のプロ

セスの基準を定める。

注記  この規格の対応国際規格及びその対応の程度を表す記号を,次に示す。

ISO/IEC 19770-1:2006

,Information technology−Software asset management−Part 1: Processes

(IDT)

なお,対応の程度を表す記号“IDT”は,ISO/IEC Guide 21-1 に基づき,

“一致している”こ

とを示す。

1.2 

適用分野 

この規格は,SAM プロセスに適用するためのものであり,組織は便益を得るために,この規格を導入で

きる。ISO/IEC 19770-2 は,SAM データの仕様について規定するものであり,その十分な便益が達成され

るためには,

(組織内部及び外部の)ソフトウェア製造業者並びにツール開発者による実装が必要である。

この規格は,組織のための実践的な規格となることを意図したものである。将来の版は,JIS X 0145-2

の要求事項に整合した評価の枠組みとなる可能性がある。

この規格は,規模又は業種を問わず,すべての組織に適用できる。この規格は,一つの法人の全体又は

その一部分にも適用できる。

注記 1  組織における適用範囲は,“SAM の企業統治プロセス”の一部として文書化する。

この規格は,SAM プロセスを外部委託している組織に適用してもよいが,その場合でも適合しているこ

との実証責任は必ず外部委託している側の組織にある。

この規格は,ソフトウェアの性質に関係なく,すべてのソフトウェア及び関連資産に適用できる。例え

ば,実行可能ソフトウェア(アプリケーションプログラム,オペレーティングシステム,ユーティリティ

プログラムなど)及び非実行可能ソフトウェア(フォント,グラフィック,音声,映像,テンプレート,

辞書,文書,データなど)に適用できる。

注記 2  ソフトウェア資産の適用範囲の定義(この規格適用の範囲に入るソフトウェアの種類)は,

“SAM の計画立案”プロセスで開発される SAM 計画の一部として文書化する。あいまいで


2

X 0164-1

:2010 (ISO/IEC 19770-1:2006)

   

ない限り,すべてのソフトウェア,すべてのプログラムソフトウェア,特定のプラットフォ

ーム上のすべてのソフトウェア又は特定の製造業者のソフトウェアのような,組織が適切と

考える何らかの方法で定義をしてもよい。

次の形態のソフトウェア資産は,この規格の適用の範囲内にある。

a)

ソフトウェアの使用権。これは,内部開発のソフトウェアの場合には完全な所有権によってもたらさ

れ,外部から入手したソフトウェア(商用でもオープンソースでも)のほとんどの場合には使用許諾

契約によってもたらされる。

b)

使用しているソフトウェア。これは,ソフトウェアとしての知的財産価値をもつものであり,ソフト

ウェア製造業者及び開発者の提供するソフトウェア原本,ソフトウェアのビルド

1)

,並びに導入され

実行されるソフトウェアを含む。

1)

ビルド(builds)

:最終製品としてのソフトウェアがもつ機能の中の特定のものが組み入れら

れたコンポーネントの動作可能な版で,繰り返し作成されることが多い。

c)

使用ソフトウェアの複写を保持している媒体

注記 3  財務会計の観点からは,資産として扱ってよいのは,たとえ減価償却によって残存価額がな

くなっていても,まずは上記の a)  に分類される。財務会計の観点からは,上記の b)  に分類

されるものは,使用許諾を適正に受けていなければ,商用ソフトウェアに関する(資産とい

うよりは)債務を実際に発生させているとみてよい。この規格は,上記の b)  及び c)  に分類

されるものを,上記の a)  に分類されるものと同様の,管理が必要な正当な資産として扱う。

使用許諾契約の権利に帳簿価額をつけてもよいが,使用中のソフトウェアには特に,事業上

の価値を認めることが望ましく,事業資産として扱う必要がある。

適用範囲に入る関連資産は,

適用範囲内のソフトウェアを使用又は管理するのに必要である特性をもつ,

その他すべての資産である。ソフトウェアの使用又は管理をするのに必要のない関連資産の特性は,いず

れも適用範囲外である。

表 に,その例を示す。

表 1−非ソフトウェア資産へのこの規格の適用 

資産の種類

適用性

適用範囲内のソフトウェア資産の使用又

は管理をするのに必要となる特性をもつ
ハードウェア資産に関しては,適用が必
す(須)である。

ソフトウェアの保管,実行又はその他の

方法による使用がその機器で可能である
ときの,その機器の物理的な在庫。プロ
セッサの数又は処理能力。そのハードウ

ェアは,サイトライセンスの対象に数え
てよいかどうかなど。

ハードウェア

適用範囲内のソフトウェア資産の使用又

は管理をするのに必要のない特性をもつ
資産に関しては,適用しない。

ハードウェアの費用及び減価償却,予防

保守更新期日。

適用範囲内のソフトウェア資産の使用又
は管理をするのに必要となる特性をもつ
その他の資産に関しては,適用が必す

(須)である。

管財担当者の氏名。管財担当者ごとの使
用許諾を受ける要員数。

その他資産

適用範囲内のソフトウェア資産の使用又

は管理をするのに必要のない特性をもつ
その他の資産に関しては,適用しない。

その他の要員情報。


3

X 0164-1

:2010 (ISO/IEC 19770-1:2006)

1.3 

制限 

この規格は,プロセスの成果に対する要求事項を満たすために必要な手法及び手順に関して,SAM プロ

セスの詳細を規定しない。

この規格は,SAM を実施するために組織がたどることが望ましい段階の順序について規定しないし,ま

た,プロセスの記述順が何らかの順序を暗示することもない。適切な順序の指定があるとすれば,内容と

前後関係とによって必要となる順序だけである。例えば,計画立案は導入よりも前にある。

この規格は,名称,形式,明示的内容及び記録媒体の観点からは,文書については詳述しない。

この規格は,組織の方針,手順及び基準,又は国内法及び規制と矛盾した形での導入を推進するもので

はない。もしそのような矛盾があるならば,この規格を使用する前に解決しておくことが望ましい。

適合 

2.1 

意図した用途 

この規格の要求事項は,箇条 の“成果”に含まれている。適合宣言は外部委託プロセスに関するもの

を含めて,この規格の規定への完全適合(2.2 参照)の宣言でなければならない。2.3 に規定するように,

個々の合意に対して成果を選択することも可能だが,その場合はこの規格に適合していると表明してはな

らない。

2.2 

完全適合 

完全適合は,成果を証拠として用い,立証することによって,この規格の要求事項すべてが満たされて

いることを示すことで達成される。

2.3 

合意の順守 

この規格は,取得者と供給者との間で合意を成立させる手助けとして用いてもよく,その場合は,この

規格の箇条を(必要ならば修正して)選択的に合意に盛り込めばよい。この場合は,取得者及び供給者は,

この規格への適合性よりは,両者の合意事項を順守する必要がある。

注記  供給者との合意では,通常,合意が及ぶ組織の範囲を規定する(例えば,“企業のすべての子会

社にわたって”という語句で規定する。

。そのような合意に,この規格の規定を盛り込む場合

には,この合意の範囲に合致するように,SAM の適用される範囲を調整する必要が生じる。

用語及び定義 

この規格で用いる主な用語及び定義は,次による。

3.1 

ベースライン(baseline 

構成品目(3.2)がそのライフサイクル上の決められた時期に,媒体に関係なく,正式に指定し確定され

た構成品目の正式版として認定されたもの(JIS X 0160

3.2 

構成品目,CIconfiguration itemCI 

ハードウェア若しくはその集合体,ソフトウェア若しくはその集合体,又はこれらの集合体で,単体と

して管理するように設計されたもの。

注記  構成品目は,複雑さ,規模及び種類の点で多様であり,すべてのハードウェア,ソフトウェア,

及び文書を含んだシステム全体から,単独のモジュール又は小規模なハードウェアコンポーネ

ントにまで及ぶ。


4

X 0164-1

:2010 (ISO/IEC 19770-1:2006)

   

3.3 

取締役会又は同等の機関(corporate board or equivalent body 

組織の運営又は管理に関して,最高レベルの法的責任を負う個人又はグループ。

3.4 

確定版原本(definitive master version 

ソフトウェアの版で,そのソフトウェアの導入及び配付用写しの作成に用いるもの。

3.5 

配付用写し(distribution copy 

確定版原本の写しで,そのソフトウェアを他のハードウェア(例えば,サーバ,コンパクトディスクの

ような物理的媒体)に導入するためのもの。

3.6 

有効フルライセンス(effective full license 

そのソフトウェアの一つの完全な使用を認める,ソフトウェアの使用許諾契約に基づく権利。

注記  有効フルライセンスは,一つ以上の基本ライセンス(3.15)で構成される。

例  あるソフトウェア製品の第 1 版の完全な基本ライセンスに,そのソフトウェア製品の第 2 版への

アップグレード用基本ライセンスが加わると,そのソフトウェア製品の第 2 版の一つの有効フル

ライセンスが形成される。

3.7 

部門 SAM 管理責任者(local SAM owner 

組織の中の特定の部分(部門など)の SAM 責任者と認められた個人であって,SAM 管理責任者(3.11

より下位に当たる組織レベルに位置する個人。

3.8 

要員(personnel 

組織のために責務を果たすことを期待されている個人で,役員,従業員及び契約者を含む。

3.9 

手順(procedure 

活動又はプロセスを実行するために規定された方法。

注記  成果によって手順を規定した場合,結果としての成果物は,一般に,何を,だれが,どのよう

な順序で行う必要があるかを規定したものになる。これは,プロセス(3.10)のためのものと

比較して,より詳細なレベルでの仕様である。

3.10 

プロセス(process 

入力を出力に変換する,相互に関連した一連の活動。

注記  成果によってプロセス定義を規定した場合,結果としての成果物は,一般に,入力及び出力を

規定し,期待される活動を概説したものとなる。ただし,その詳細さは,手順(3.9)の場合と

同じレベルであることは必要ない。

3.11 

SAM

管理責任者(SAM owner 

SAM

に対して責任を負う特定された個人で,組織全体で最上位のレベルに位置する者。


5

X 0164-1

:2010 (ISO/IEC 19770-1:2006)

3.12 

ソフトウェア資産管理,SAMsoftware asset managementSAM 

組織内のソフトウェア資産の有効な管理,制御及び保護。

3.13 

ソフトウェアヘッダ(software header 

管理を行いやすくするためにファイル自身に埋め込まれた,ソフトウェアファイルに関する情報。

注記  ソフトウェアヘッダは,ソフトウェアタグ(3.14)情報の,より一般的なカテゴリに属する一

種の情報である。

3.14 

ソフトウェアタグ(software tag 

管理を行いやすくするためのソフトウェアファイル又はパッケージに関する情報で,

その情報の中には,

ソフトウェアヘッダ(3.13)の中で維持されるものもある。

3.15 

基本ライセンス(underlying license 

ソフトウェアを購入又は調達したときの状態での,そのソフトウェアの使用許諾契約に基づく権利。通

常は購入記録に直接結びつけることができる。

注記  基本ライセンスに,有効フルライセンス(3.6)を形成するため,他の一つ以上の使用許諾契約

と組み合わせて使用することを求める条件が附帯していてもよい。

4 SAM

プロセス 

4.1 

一般 

4.1.1 

定義及びサービスマネジメントとの関係 

ソフトウェア資産管理とは,組織内のソフトウェア資産の有効な管理,制御及び保護をいう。

この規格が定義する SAM のプロセスは,JIS Q 20000 規格群が定義している情報技術(IT)サービスマ

ネジメントとよく両立するように構成されており,それを適切に支援することを意図している。

4.1.2 SAM

プロセスの概要 

図 は,SAM プロセスの枠組みを概念的に示したものであり,この枠組みは,次の三つの領域に分けら

れている。

a) SAM

の組織管理プロセス

b)

中核 SAM プロセス

c) SAM

の主プロセスインタフェース

これらのプロセスについては,4.24.7 に詳述する。


6

X 0164-1

:2010 (ISO/IEC 19770-1:2006)

   

SAM

の組織管理プロセス 

4.2

  SAM の統制環境 

SAM

の企業統治プロセス SAM の役割及び責任 SAM の方針,プロセス及び手順 SAM における能力

4.3

  SAM の計画立案及び導入プロセス 

SAM

の計画立案 SAM の導入 SAM の監視及びレビュー SAM の継続的改善

中核 SAM プロセス 

4.4

  SAM の在庫プロセス 

ソフトウェア資産の識別

ソフトウェア資産の在庫管理

ソフトウェア資産の管理

4.5

  SAM の検証及び順守プロセス 

ソ フ トウ ェア 資産 記録の
検証

ソフトウェア使用許諾条件
の順守

ソフトウェア資産セキュリティ
の順守

SAM

の適合性検証

4.6

  SAM の運用管理プロセス及びインタフェース 

SAM

の関係及び契約管理 SAM の財務管理 SAM のサービスレベル管理 SAM のセキュリティ管理

SAM

の主プロセスインタフェース 

4.7

  SAM のライフサイクルプロセスインタフェース 

変更管理プロセス

ソフトウェア開発プロセス

ソフトウェア展開プロセス

問題管理プロセス

取得プロセス

ソフトウェアリリース管理プロセス

事件・事故管理プロセス

廃棄プロセス

図 1SAM プロセスの枠組み 

4.1.3 

成果,活動及びインタフェース 

この規格は,名称,目的及び成果という要素によって,プロセスを規定している。

この規格は,アクティビティ(成果を達成するために用いる行動)については規定していない。

この規格が規定する成果は,アセスメントが容易に行えるように設定されているが,成果を生み出すた

めに必要となる活動の幅を必ずしも示してはいない。例えば,

“ソフトウェア資産の在庫管理”プロセスの

中での在庫の維持活動には,論理的に,データの妥当性確認活動が必要になるが,この規格は,このこと

を成果として挙げていない(データの完全性は,この規格では“SAM の検証及び順守プロセス”によって

保証する。

最も重要な活動の中に,他のプロセスとのインタフェース活動がある。例えば,ソフトウェア資産を購

入(又は取得)するときに達成すべき目的は,

“ソフトウェア及び関連資産に関する‘取得プロセス’の目

的は,ソフトウェア及び関連資産が管理された方法で取得され,適正に記録されるようにする”ことにあ

る。このプロセスは,他の多くのプロセスと同様に,要求された項目などのデータを記録し,そのデータ

を確認するために“ソフトウェア資産の在庫管理”プロセスの発動が必要になる。もう一つの例として,

“ソフトウェア資産の管理”プロセスで作り出されるベースラインの作成が挙げられる。このプロセスは,

“ソフトウェア開発プロセス”及び“ソフトウェアリリース管理プロセス”によって発動される。この種

の詳細を規定することは,この規格の目的ではないが,明記された目的を達成するためには,このような

活動又はインタフェースが暗に要求される。

4.2 SAM

の統制環境 

4.2.1 

一般 


7

X 0164-1

:2010 (ISO/IEC 19770-1:2006)

“SAM の統制環境”の目的は,他の SAM プロセス群で構築されたマネジメントシステムを確立し,維

持することにある。

“SAM の統制環境”は,次のもので構成される。

a) SAM

の企業統治プロセス

b) SAM

の役割及び責任

c) SAM

の方針,プロセス及び手順

d) SAM

における能力

4.2.2 SAM

の企業統治プロセス 

4.2.2.1 

目的 

“SAM の企業統治プロセス”の目的は,ソフトウェア資産に関する管理責任が取締役会又は同等の機関

のレベルにおいて認識されること,及びこの責任が適正に果たされるような適切な仕組みが設けられるよ

うにすることを確実にすることにある。

注記  このプロセスは,IT の企業統治全体の一部と考えることもできる。

4.2.2.2 

成果 

“SAM の企業統治プロセス”の導入は,組織が次のことを実証できるようにする。

a)

この規格の目的に沿った,次の事項を取り上げた明確な企業の宣言書がある。

1)

適用される範囲に入る法人又はその部門。

注記  組織上の適用される範囲を定義するときの考慮事項の一つに,組織上の範囲を特定したソ

フトウェア契約が存在するかどうかがある。

2)

ある法人又はその部門に対し全般的な企業管理責任をもつ特定の機関又は個人。

注記  この特定の機関又は個人は,以降,“取締役会又は同等の機関”と表記する。

b)

ソフトウェア及び関連資産についての企業統治に関する責任が,取締役会又は同等の機関によって正

式に認められている。

c)

ソフトウェア及び関連資産の使用に関して,組織に関連する企業統治規制又は指針が,組織が運営を

行っているすべての国で特定され文書化され,かつ,少なくとも年に 1 回はレビューされている。

d)

ソフトウェア及び関連資産に付随するリスクのアセスメントと,経営陣が指示したリスク低減策のア

セスメントとが文書化され,少なくとも年に 1 回は更新され,取締役会又は同等の機関によって承認

されている。これらのアセスメントは,少なくとも次の事項を対象にしている。

1)

規制を順守しないことのリスク

注記  ここで規制と呼ぶものには,例えば,要員のソフトウェア使用の監視に対するプライバシ

ー保護の要求,SAM の記録で個人に関するものに対するデータ保護の要求,製薬業界にあ

るような業界固有の要求がある。

2)

使用許諾条件を順守しないことのリスク

3)

不適切な SAM に起因する IT インフラストラクチャの問題による運用中断のリスク

4)

不適切な SAM による,ソフトウェア使用権の取得費及びその他の IT サポート費の,過剰な支出の

リスク

5)

ソフトウェア及び関連資産に対して,分散管理手法を採用したのか,それとも集中管理手法を採用

したのかに関係するリスク

注記  分散管理手法は,集中管理手法と比べると,費用の削減がより困難とみられ,また,使用

許諾条件を順守しないといったリスクにより多くさらされるとみられる。


8

X 0164-1

:2010 (ISO/IEC 19770-1:2006)

   

6)

その地域の法令・規制の順守についての文化及び強制手段を考慮しつつ,幾つかの国で事業を行う

ことに関係するリスク

e) SAM

の管理目的が,取締役会又は同等の機関によって承認され,少なくとも年に 1 回はレビューされ

ている。

4.2.3 SAM

の役割及び責任 

4.2.3.1 

目的 

“SAM の役割及び責任”プロセスの目的は,ソフトウェア及び関連資産の役割及び責任が明確に定義さ

れ,維持され,影響を受ける可能性のある要員全員によって理解されることを確実にすることにある。

注記  こうした役割及び責任は,特に規制又は企業統治の要求事項に関連付けられるものをすべて含

めることが望ましい。

4.2.3.2 

成果 

“SAM の役割及び責任”プロセスの導入は,組織が次のことを実証できるようにする。

a) SAM

管理責任者の役割,すなわち,組織全体のためのソフトウェア及び関連資産についての企業統治

責任が,取締役会又は同等の機関によって明確に定義され,承認される。割り当てられる責任には,

組織全体のための次の事項を含む。

1) SAM

の管理目的の提案

2) SAM

計画策定の監督

3)

承認された SAM 計画を実施するための資源の確保

4) SAM

計画に対する結果の伝達

5)

すべての部門の SAM 管理責任者がその責任を適正に果たすこと,及び組織のすべての部門が,SAM

管理責任者又は部門 SAM 管理責任者によって,矛盾を起こすような重複がなく管理されることを

確実にすること。

b)

ソフトウェア及び関連資産についての企業統治に関する部門の役割及び責任が文書化され,指定され

た個人に割り当てられている。割り当てられる責任には,各個人が責任を負う部門のための次の事項

を含む。

1) SAM

計画を実施するための資源の確保

2) SAM

計画に対する結果の伝達

3)

必要な方針,プロセス及び手順の採用及び導入

4)

ソフトウェア及び関連資産の正確な記録の維持

5)

ソフトウェア資産の調達,展開及び管理に,管理面及び技術面からの承認が必要になることを確実

にすること。

6)

契約,供給者との関係,及び内部顧客との関係の管理

7)

必要改善点の特定及び実施

c)

これらの責任が,その他の組織全体の方針及び部門・部署の方針が伝達されているのと同じように,

SAM

に多少ともかかわる部門のすべてに伝達されている。

4.2.4 SAM

の方針,プロセス及び手順 

4.2.4.1 

目的 

“SAM の方針,プロセス及び手順”プロセスの目的は,SAM の効果的な計画策定,運用及び制御を確

実にするために,組織が明確な方針,プロセス及び手順を維持することを確実にすることにある。

4.2.4.2 

成果 


9

X 0164-1

:2010 (ISO/IEC 19770-1:2006)

“SAM の方針,プロセス及び手順”プロセスの導入は,組織が次のことを実証できるようにする。

a) SAM

の方針・プロセス・手順・関連文書の,作成・レビュー・承認・発行・管理のための構造化され

た実施手段が存在し,利用可能な文書の完全な組合せ,各文書の版で現在有効なもの,並びに種類の

異なるソフトウェア・関連資産に対して適用可能な文書を常に判定できるようになっている。

注記  これは,組織がその方針,プロセス及び手順のすべてのために採用する,全体的な実施手段

の一部であるのが通常であり,SAM 独自のものではない。

b)

この規格が要求する方針,プロセス及び手順の文書は,この規格のプロセス分類を用いて,又はその

分類と相互参照できるように編成されている。

c)

少なくとも次の事項を取り上げた方針が,策定され,承認され,かつ,公表されている。

1)

ソフトウェア及び関連資産の企業統治に関する個人及び企業の責任

2)

企業のソフトウェア及び関連資産を私的に利用することの制限

3)

著作権保護及びデータ保護を含む,法令及び規制の順守に関する要求事項

4)

調達に関する要求事項(例えば,企業合意の利用,又は評判がよいか若しくは承認された供給者だ

けからの購入)

5)

購入したものかそうでないかに関係なく,ソフトウェアのインストール又は使用の承認に関する要

求事項

6)

これらの方針に違反した場合の懲罰の取決め

d)

方針及び手順は,次の方法ですべての要員に伝達されている。

1)

すべての新しい要員には初めて職務に就くときに,従来からの要員には少なくとも年に 1 回は伝え

る。

2)

職務に就くとき,及び少なくとも年に 1 回は,伝えられたことの確認を要員に求める。

3)

要員が常に閲覧できる状態におく。

注記  文書の様式及び用いる媒体はどのようなものでもよい。文書は,要員への機密保持の要求

事項を含んだ統合方針宣言書のように,他の文書と併せて発行してもよい。

4.2.5 SAM

における能力 

4.2.5.1 

目的 

“SAM における能力”プロセスの目的は,SAM において適切な能力及び専門知識が活用可能となり,

それが適用できることを確実にすることにある。

4.2.5.2 

成果 

“SAM における能力”プロセスの導入は,組織が次のことを実証できるようにする。

a)

次の点について SAM の責任を負う要員への教育訓練の可用性及び有効性並びに資格認定についての

レビューが,文書化され,少なくとも年に 1 回は更新されている。

1) SAM

全般

2)

使用しているソフトウェアに対するソフトウェア製造業者からの使用許諾

b)

ソフトウェア製造業者に対して何が

“使用許諾契約の証明”になるのかを決定するためのレビューを,

少なくとも年に 1 回は行っている。

c) SAM

の管理責任を負う要員は,SAM 及び関係する使用許諾に関する教育訓練を,導入教育と毎年の

正式な継続教育との両方で受けている。

注記  可能な場合,個人の資格取得についても推奨する。

d)

使用許諾契約を順守できるように,ソフトウェア製造業者から何らかの指針が追加提供されているか


10

X 0164-1

:2010 (ISO/IEC 19770-1:2006)

   

どうかを確認するためのレビューを,少なくとも年に 1 回は行っている。

4.3 SAM

の計画立案及び導入プロセス 

4.3.1 

一般 

“SAM の計画立案及び導入プロセス”の目的は,SAM の管理目的が効果的かつ効率的に達成されるよ

うにすることにある。

この領域のプロセスは,一般に JIS Q 9001 の“Plan-Do-Check-Act”プロセスに一致する。

“SAM の計画立案及び導入プロセス”は次のもので構成される。

a) SAM

の計画立案

b) SAM

の導入

c) SAM

の監視及びレビュー

d) SAM

の継続的改善

4.3.2 SAM

の計画立案 

4.3.2.1 

目的 

“SAM の計画立案”プロセスの目的は,SAM の目的の効果的かつ効率的な達成のための適切な準備及

び計画立案を確実に行うことにある。

4.3.2.2 

成果 

“SAM の計画立案”プロセスの導入は,組織が次のことを実証できるようにする。

a)

取締役会又は同等の機関によって承認される SAM の管理目的が策定され,提案されて,少なくとも

年に 1 回は更新されている。

b) SAM

を導入し,実行するための計画(

“SAM 計画”

)が開発及び文書化されて,少なくとも年に 1 回

は更新される。その計画には次のものを含む。

1)

どのような種類のソフトウェアが含まれるかを記述した明確な範囲の宣言書(ソフトウェア資産の

範囲)

。それには,この規格の要求する最低限の範囲を超えたものがあればそれを含めた関連資産の

範囲,及び他の組織又はシステムとのインタフェース又はその要求事項を含む。

2)

対象となる資産に,どのような方針,プロセス及び手順が必要となるかに関する明確な仕様書

3)

場合によってはプロセスを支援する自動操作を含めた,SAM の管理,監査及び改善を行うためのア

プローチの明確な説明書

4)

定義された管理目的の達成に関連した問題及びリスクの特定,評価及び管理に用いるアプローチの

説明書

5)

管理報告書の作成及び検証活動・順守活動の実施を含めた,定期的な活動の予定及び責任

6) SAM

計画の導入に必要な予算を含めた資源の特定

7)

資産管理記録の正確さの目標達成指標を含めた,SAM 計画を基準にした達成度を追跡調査するため

のパフォーマンス指標

注記  プロセスが非効率になったり,誤りが起きやすくなったり,全く従わなくなったりするこ

とがないことを確実にするために,適切な水準の自動化が導入されることが望ましい。

c)

計画が,取締役会又は同等の機関によって承認される。

4.3.3 SAM

の導入 

4.3.3.1 

目的 

“SAM の導入”プロセスの目的は,SAM の全体目的及び SAM 計画を確実に達成することにある。

4.3.3.2 

成果 


11

X 0164-1

:2010 (ISO/IEC 19770-1:2006)

“SAM の導入”プロセスの導入は,組織が次のことを実証できるようにする。

a)

部門 SAM 管理責任者からの情報を含めて,年間を通して SAM 計画に影響する変更,問題及びリスク

に関する情報を収集するための仕組みが整備される。

b)

取締役会又は同等の機関に報告するための,SAM 計画を基準にした全体的な進ちょく(捗)状況につ

いて詳述した定期的な状況報告書(少なくとも四半期に 1 回)が SAM 管理責任者によって作成され

る。

c)

明らかになった不一致に関して追跡調査が速やかに実施され,文書化される。

4.3.4 SAM

の監視及びレビュー 

4.3.4.1 

目的 

“SAM の監視及びレビュー”プロセスの目的は,SAM の管理目的が達成されていることを確実にする

ことにある。

4.3.4.2 

成果 

“SAM の監視及びレビュー”プロセスの導入は,組織が次のことを実証できるようにする。

a)

少なくとも年に 1 回,次のような目的で正式なレビューが実施される。

1) SAM

の管理目的及び SAM 計画が達成されているかどうかの評価

2) SAM

計画及び SAM に関するサービスレベル合意書に規定された,すべての実施計測指標に対する

実行結果の要約

注記 SAM の要求事項を対象とするサービスレベル合意書は,SAM そのものよりも対象が大き

くなることがある。

3) SAM

プロセスの適合性検証の所見の要約の提供

4)

上記に基づいて,次の事項に関する結論

4.1) SAM

に関して経営陣が承認した方針が,この規格の目的のために定義された組織の全範囲に効果

的に周知されているかどうか。

4.2) SAM

に関して経営陣が承認したプロセス及び手順が,この規格の目的のために定義された組織の

全範囲に効果的に導入されているかどうか。

5)

識別された違反事項及び上記の結果として,とる必要のある措置の要約

6)

ソフトウェア及び関連資産に関するサービスの提供についての改善機会の特定

7)

方針,プロセス及び手順の継続的な適切性,完全性及び正確性に関してレビューを行う必要性の有

無の検討

b) SAM

管理責任者は,正式に,報告書を承認し,結果としてとるべき意思決定と行動とを文書化し,取

締役会又は同等の機関のためにそれを配付している。

c)

費用対効果が最大になるようにソフトウェア及び関連資産が展開されているかどうかに関して,定期

的なレビュー(少なくとも年に 1 回)が行われ,改善を目指して勧告が行われるようになる。

4.3.5 SAM

の継続的改善 

4.3.5.1 

目的 

“SAM の継続的改善”プロセスの目的は,ソフトウェア及び関連資産の使用と SAM プロセスそのもの

との両方に関して,改善機会が特定され,それが妥当であると考えられる場合,それに対処することを確

実にすることにある。

4.3.5.2 

成果 

“SAM の継続的改善”プロセスの導入は,組織が次のことを実証できるようにする。


12

X 0164-1

:2010 (ISO/IEC 19770-1:2006)

   

a)

年間を通じて,あらゆる発信源から寄せられる SAM の改善案を収集し,記録する仕組みが整備され

る。

b)

改善案が定期的に評価され,優先度を定め,承認されて,SAM 導入改善計画に取り込まれるようにな

る。

4.4 SAM

の在庫プロセス 

4.4.1 

一般 

“SAM の在庫プロセス”の目的は,ソフトウェア及び関連資産のすべての管理対象及び記録を作成し維

持すること,並びに他の SAM プロセスでのソフトウェア及び関連資産の管理が統一的であることを確実

にする,データ管理機能を提供することにある。

“SAM の在庫プロセス”は,SAM の基本であるだけでなく,すべての構成管理の基本である。すべて

の IT 資産(ソフトウェア及び関連資産だけではない。

)及びこれらの資産すべての間の関係を対象にする

限りにおいて,更に非 IT 資産も含んでよいことから,構成管理は,SAM の適用される範囲を超える。IT

サービスマネジメントのすべてを含むプロジェクトでは,

“SAM の在庫管理プロセス”が構成管理の一部

とみなされることもある。IT サービスマネジメントのすべてを含むプロジェクトでは,

“SAM の在庫管理

プロセス”が構成管理の一部とみなされることもある。

“SAM の在庫プロセス”は,次のもので構成される。

a)

ソフトウェア資産の識別

b)

ソフトウェア資産の在庫管理

c)

ソフトウェア資産の管理

4.4.2 

ソフトウェア資産の識別 

4.4.2.1 

目的 

“ソフトウェア資産の識別”プロセスの目的は,資産の必要な分類が選択され,グループ化されること

を確実にすることにある。そして,ソフトウェア及び関連資産の効果的かつ効率的な管理を可能にする適

切な特性によって定義される。

4.4.2.2 

成果 

“ソフトウェア資産の識別”プロセスの導入は,組織が次のことを実証できるようにする。

a)

管理すべき資産の種類及びそれに関係する情報が,次の点を踏まえて正式に定義されるようになる。

1)

ライフサイクル全体で管理可能で,追跡可能であることを確実にするために,設定された選択基準

を用いて,管理すべき項目が選択され,グループ化され,分類され,特定される。

注記  事業資産,安全重視資産,及び高リスク資産は優先される必要があり,より詳細な水準で

管理するとよい。

2)

管理すべき項目として,次のようなものが挙げられる。

2.1)

ソフトウェアのインストール又は実行が可能なすべてのプラットフォーム

2.2)

ソフトウェア確定版原本及び配付用写し

2.3)

ソフトウェアのビルド及びリリース(原本及び配付用写し)

2.4)

インストールされたすべてのソフトウェア

2.5)

ソフトウェアの版

2.6)

パッチ及びアップデート

2.7)

基本ライセンス及び有効フルライセンスの使用許諾契約

2.8)

使用許諾契約を証明する文書


13

X 0164-1

:2010 (ISO/IEC 19770-1:2006)

2.9)

ソフトウェア資産に関する,紙及び電子版の両方の契約(契約条件を含む。

2.10)

  上記に関連した,物理的及び電子的な保管先

2.11)

  使用許諾の方式

3)

ソフトウェアは,ソフトウェアの製造業者又は開発者がリリースする具体的な製品に対応するファ

イルと,パッケージとの両方で管理可能となるようにすることが望ましい。

4)

すべての資産に必要となる基本情報は,次のとおりである。

4.1)

一意の識別子

4.2)

名称及び説明

4.3)

場所

4.4)

管財担当者(又は管理責任者)

4.5)

状態(例えば,テスト状態又は生産状態,開発状態又はビルド状態)

4.6)

種類(例えば,ソフトウェア,ハードウェア,附帯設備)

4.7)

版(該当するものがある場合)

注記  このプロセスの一部として,データの妥当性確認の要件を定義してもよい。

b)

保管先がどこでどのような種類の情報が保存されているかが明らかにされた保管先及び在庫の台帳が

存在する。これには,情報の複製は,複製元となった確定版ソースの記録までさかのぼれる場合にだ

け許されることの記述がある。

4.4.3 

ソフトウェア資産の在庫管理 

4.4.3.1 

目的 

“ソフトウェア資産の在庫管理”プロセスの目的は,ソフトウェア資産の物理的実体が適正に保管され,

すべての資産及び構成品目の特性に関して必要となるデータが,ライフサイクル全体にわたって正確に記

録されることを確実にすることにある。このプロセスは,他の事業プロセスの有効性及び効率性を支援す

るために,ソフトウェア資産及び関連資産に関する情報も提供する。

4.4.3.2 

成果 

“ソフトウェア資産の在庫管理”プロセスの導入は,組織が次のことを実証できるようにする。

a)

次のようなアクセス制御を含んだ,在庫及び物理的又は電子的な保管先の管理・保守を含む,方針及

び手順が策定され,承認され,発行される。

1)

認可されていないアクセス,変更又は改変から保護する。

2)

災害復旧手段を提供する。

b)

在庫として次のものがある。

1)

ソフトウェア資産のインストール又は実行が可能なすべてのプラットフォーム

2)

認可を得てインストールされているすべてのソフトウェア

これらには,すべてのインストールされたプラットフォームごとに,次のことが示されている。

2.1)

個別に使用許諾が受けられるか又は展開することの認可が得られるパッケージ及び版

2.2)

ソフトウェアのアップデート又はパッチの状況

3)

保有している基本ライセンス及び有効フルライセンス

注記  基本ライセンスの在庫品と有効フルライセンスの在庫品とを物理的に区分する必要はない

が,その二つを区別できることは必要である。

c)

在庫に対応する物理的又は電子的な管理対象として次のものがある。

1)

ソフトウェア(確定版原本及び配付用写し)


14

X 0164-1

:2010 (ISO/IEC 19770-1:2006)

   

2)

ソフトウェアのビルド及びリリース(原本及び配付用写し)

3)

ソフトウェア資産に関する契約(紙及び電子版の両方)

4)

使用許諾契約を証明する文書

d)

ソフトウェアのインストール数以外の基準によった使用権の利用状況を測定するために,在庫又は他

の明確に定義された分析若しくは測定の仕組みが設けられるようになる。

注記  こうした必要は,使用しようとするソフトウェアの使用許諾の方式に依存する。例えば,使

用許諾の方式は,組織の特定部署の要員数,一定の基準を満たした PC の数,サーバ資源に

アクセスするユーザ数又は端末数,プロセッサの数,プロセッサの処理能力などの数値基準

を含むことがある。

e)

上記の資源を継続して確実に利用可能とするための対策がとられるようになる。

f)

作成される各在庫報告書には,その識別,目的及びデータソースの詳細を含めて明確な記述を行う。

4.4.4 

ソフトウェア資産の管理 

4.4.4.1 

目的 

“ソフトウェア資産の管理”プロセスの目的は,ソフトウェア資産並びにソフトウェア及び関連資産の

変更の管理を行う仕組みを提供することにあり,その過程においては,状況及び承認に対する変更記録を

維持することが必要である。

4.4.4.2 

成果 

“ソフトウェア資産の管理”プロセスの導入は,組織が次のことを実証できるようにする。

a)

状況,場所,管財担当者及び版の変更を含めた,ソフトウェア及び関連資産に加えられる変更につい

て監査証跡が維持される。

b)

ソフトウェアの版,インストールイメージ及びビルド,並びにリリースを,策定し,保守し,管理す

るための方針及び手順が,策定され,承認され,発行される。

c)

実際の展開に関するその後の点検に利用できるように,実稼働環境へのソフトウェアのリリース前に,

適切な資産のべースラインを設定することを要求する方針及び手順が,策定され,承認され,発行さ

れる。

4.5 SAM

の検証及び順守プロセス 

4.5.1 

一般 

“SAM の検証及び順守プロセス”の目的は,使用許諾契約の権利を含めて,SAM の方針,プロセス及

び手順についてのすべての違反事項を検出し管理することにある。

“SAM の検証及び順守プロセス”は,組織にとって重要な機能である。この機能は,ソフトウェア製造

業者によって行われる監査と類似性はあるが異なっている。SAM プロセス全体の適正な機能に対して,及

びその機能に依存する IT サービスマネジメントプロセスに対して,定期的に実施する必要がある。

“SAM の検証及び順守プロセス”は,次のもので構成される。

a)

ソフトウェア資産記録の検証

b)

ソフトウェア使用許諾条件の順守

c)

ソフトウェア資産セキュリティの順守

d) SAM

の適合性検証

4.5.2 

ソフトウェア資産記録の検証 

4.5.2.1 

目的 

“ソフトウェア資産記録の検証”プロセスの目的は,記録が記録すべき事柄を正確かつ完全に反映し,


15

X 0164-1

:2010 (ISO/IEC 19770-1:2006)

逆に記録した事柄が承認なしに変更されないことを確実にすることにある。

4.5.2.2 

成果 

“ソフトウェア資産記録の検証”プロセスの導入は,組織が次のことを実証できるようにする。

a)

“ソフトウェア資産記録の検証”プロセスについて,次のような手順が策定され,承認され,発行さ

れるようになる。

1)

識別された違反事項の報告を含めて,各プラットフォームにインストールされているものとインス

トールの認可の得られているものとの調整が,少なくとも四半期に 1 回行われる。

2)

識別された違反事項の報告を含めて,ハードウェア在庫が少なくとも 6 か月に 1 回,設置場所を含

めて検証される。

3)

識別された違反事項の報告を含めて,ソフトウェアプログラム(確定版原本及び配付用写し)の在

庫が少なくとも 6 か月に 1 回検証される。

4)

識別された違反事項の報告を含めて,ソフトウェアのビルド(原本及び配付用写し)の在庫が少な

くとも 6 か月に 1 回検証される。

5)

識別された違反事項の報告を含めて,使用許諾契約を証明する文書の物理的な保管物が,少なくと

も年に 1 回(その真正性を含めて)検証される。

6)

必要な数の基本ライセンスが存在すること,及び有効ライセンスの数が二重に数えられないことを

確実にするために,有効ライセンスの基準,及び基本ライセンスからの有効ライセンスの計算につ

いて,少なくとも年に 1 回のレビューが行われる。

7)

識別された違反事項の報告を含めて,ソフトウェア資産に関連する契約文書の物理的な保管物につ

いて,その完全性が少なくとも年に 1 回検証される。

8)

識別された違反事項の報告を含めて,保管されている契約書が少なくとも年に 1 回検証される。

9)

上記のようにして検出された不一致又は問題について追跡是正措置がとられ,それが文書化される。

4.5.3 

ソフトウェア使用許諾条件の順守 

4.5.3.1 

目的 

“ソフトウェア使用許諾条件の順守”プロセスの目的は,その組織以外が所有しているが組織で使用す

るソフトウェア及び関連資産に関係するすべての知的財産について,組織が,適正に使用許諾を受け,か

つ,契約条件に従って使用することを確実にすることにある。

4.5.3.2 

成果 

“ソフトウェア使用許諾条件の順守”プロセスの導入は,組織が次のことを実証できるようにする。

a)

“ソフトウェア使用許諾条件の順守”プロセスに関する次のような手順が策定され,承認され,発行

されるようになる。

1)

使用許諾契約の条件ごとに使用許諾の要求が数えられることを考慮して,保有する有効ライセンス

の数と使用するソフトウェアのために要求される使用許諾契約との照合作業が,少なくとも四半期

に 1 回実施される。

注記  これは特に,インストールするソフトウェアの写しの数ではない基準(例えばサーバアク

セス権)によって決まる使用許諾契約の要求事項が該当する。

2)

この調整で識別された不一致が,適切に記録され,分析され,原因が究明される。

3)

追跡措置の優先度が決められ,実行される。

4.5.4 

ソフトウェア資産セキュリティの順守 

4.5.4.1 

目的 


16

X 0164-1

:2010 (ISO/IEC 19770-1:2006)

   

“ソフトウェア資産セキュリティの順守”プロセスの目的は,ソフトウェア及び関連資産の使用に関す

るセキュリティ要求事項が順守されることを確実にすることにある。

4.5.4.2 

成果 

“ソフトウェア資産セキュリティの順守”プロセスの導入は,組織が次のことを実証できるようにする。

a)

方針に基づいた実践行為について,少なくとも年に 1 回のレビューが行われる。

注記  これには,ソフトウェアの確定版原本及びソフトウェアの配付用写しについてのアクセス制

御,並びにユーザ又はユーザグループが指定する導入権及び使用権を含めることが望ましい。

b)

このレビューで識別された不一致に関する追跡が行われ,文書化される。

4.5.5 SAM

の適合性検証 

4.5.5.1 

目的 

“SAM の適合性検証”プロセスの目的は,要求された方針及び手順の順守を含めて,この規格の要求事

項を継続的に順守することを確実にすることにある。

4.5.5.2 

成果 

“SAM の適合性検証”プロセスの導入は,組織が次のことを実証できるようにする。

a)

この規格の順守を検証するための方針及び手順が策定され,承認され,発行されるようになり,それ

が少なくともサンプル単位で年に 1 回,この規格に規定するすべての要求事項を基準とする検証を確

実に実施する。これには,他の SAM プロセスに関して組織の実施する手順が,その手順に関してこ

の規格に規定するすべての要求事項を満たしていることの検証を含めなければならない。

b)

次のことを実証する証拠文書ができる。

1)  a)

の検証手順が実行されている。

2)

識別されたすべての違反事項の原因が完全に究明されるまで,是正のための追跡措置がとられてい

る。

4.6 SAM

の運用管理プロセス及びインタフェース 

4.6.1 

一般 

“SAM の運用管理プロセス及びインタフェース”の目的は,SAM 全体の目標及び便益を達成するため

に不可欠な運用管理機能を実行することにある。

“SAM の運用管理プロセス及びインタフェース”は,次のもので構成される。

a) SAM

の関係及び契約管理

b) SAM

の財務管理

c) SAM

のサービスレベル管理

d) SAM

のセキュリティ管理

4.6.2 SAM

の関係及び契約管理 

4.6.2.1 

目的 

“SAM の関係及び契約管理”プロセスの目的は,内部及び外部の他の組織との関係を管理し,均質な

SAM

サービスの一貫した提供を確実にし,ソフトウェア並びに関連資産及びサービスに関するすべての契

約を管理することにある。

注記  “SAM の関係及び契約管理”は一般に,“SAM のサービスレベル管理”と密接に連動して運用

される。サービスレベルは一般に,こうした関係の管理を補佐するように定義されるからであ

る。

4.6.2.2 

成果 


17

X 0164-1

:2010 (ISO/IEC 19770-1:2006)

“SAM の関係及び契約管理”プロセスの導入は,組織が次のことを実証できるようにする。

a)

ソフトウェア並びに関連資産及びサービスを提供する供給者との関係を管理するために,次のような

方針及び手順が策定され,承認され,発行されるようになる。

1)

各供給者管理に対する明確な責任全般を割り当てられた個人の,供給者管理責任の定義

2)

プロセスに SAM の要求事項の検討が含まれることを確実にするように,サービスレベル管理,セ

キュリティ管理,リリース管理及び変更管理を含めた,ソフトウェア又は関連サービスの供給に関

する入札案内の策定

3)

文書化された結論及び講じるべき対策に関する決定事項と突き合わせた,供給者のパフォーマンス,

成績及び問題点についての少なくとも 6 か月に 1 回の正式なレビュー文書

b)

顧客との関係を管理するために,次のような方針及び手順が策定され,承認され,発行されるように

なる。

1)

ソフトウェア並びに関連資産及びサービス面で,顧客との関係を管理するための責任の定義

2)

顧客及び事業全体の現在及び将来のソフトウェア要求事項に関する,少なくとも年に 1 回の正式な

レビュー

3)

文書化された結論及び講じるべき対策に関する決定事項と突き合わせた,サービス提供者のパフォ

ーマンス,顧客満足度,成績及び問題点についての少なくとも年に 1 回の正式なレビュー文書

c)

契約を管理するための次のような方針及び手順が策定され,承認され,発行されるようになる。

1)

契約が署名されると,契約の詳細が稼働中の契約管理システムに確実に記録される。

注記  契約管理システムは,契約の管理及び制御を可能にする自社開発のマニュアルシステムの

こともあれば,電子システムのこともある。

2)

署名された契約文書の写しが,文書管理システムに保存された写しと合わせてセキュリティが確保

され保管される。

注記  第三者のソフトウェアには,インストールすることで,電子的に契約条件を受諾すること

になるものもあり,これもここに含まれる。

3)

文書化された結論及び講じるべき対策に関する決定事項と突き合わせた,ソフトウェア並びに関連

資産及びサービスに関するすべての契約についての少なくとも 6 か月に 1 回,及び契約満了前のレ

ビュー文書

4.6.3 SAM

の財務管理 

4.6.3.1 

目的 

“SAM の財務管理”プロセスの目的は,ソフトウェア及び関連資産の予算業務及び会計業務にあり,財

務報告,税務計画及び,所有資産の総費用又は投資収益率のような計算のために,関係する財務情報がす

ぐに取り出せることを確実にすることにある。

注記  “SAM の財務管理”では,課金業務を対象としない。実際には,多くの組織は,ソフトウェア

並びに関連資産及び関連サービスの課金業務に関与する。しかしながら,課金業務は任意の活

動なので,この規格では扱わない。課金業務が行われる場合は,それを行う仕組みを完全に定

義し,全関係者がそれを理解することが望まれる。

4.6.3.2 

成果 

“SAM の財務管理”プロセスの導入は,組織が次のことを実証できるようにする。

a)

ソフトウェア及び関連資産の管理に関する財務情報の定義が,該当関係者の間で合意され,資産の種

類別に文書化される。


18

X 0164-1

:2010 (ISO/IEC 19770-1:2006)

   

注記  財務管理に用いる資産の種類が SAM の資産の種類と相違している場合には,SAM の資産の

種類に合わせるか,財務管理の資産の種類を SAM の資産の種類と対応付けることが望まし

い。

b)

ソフトウェア資産(内部又は外部)の取得並びに関連する支援及びインフラストラクチャの費用のた

めに,正規の予算が当てられる。

c)

ソフトウェア資産並びに関連する支援及びインフラストラクチャの費用の実支出が,予算を基準にし

て計上される。

d)

ソフトウェア資産価値(取得原価及び減価償却済み原価を含む。

)について,明確に文書化された財務

情報がすぐに入手できる。

e)

文書化された結論及び講じるべき対策に関する決定事項と合わせて,予算を基準にした実支出の正式

な文書によるレビューが少なくとも四半期に 1 回行われ,それが文書化されている。

4.6.4 SAM

のサービスレベル管理 

4.6.4.1 

目的 

“SAM のサービスレベル管理”プロセスの目的は,SAM 関連サービスのレベルを定義し,記録し,管

理することにある。

4.6.4.2 

成果 

“SAM のサービスレベル管理”プロセスの導入は,組織が次のことを実証できるようにする。

a) SAM

の範囲内で実施されるサービスに関して,サービスレベル合意書及び支援合意書が策定され,承

認される。それは次のようなものである。

1)

ソフトウェアの取得,インストール,移動並びにソフトウェア資産及び関連資産の変更に関するサ

ービスが,対応するサービスレベル目標及び作業負荷特性と合わせて定義され該当する関係部門間

で合意される。

2) SAM

に関する顧客及びユーザの義務及び責任が定義されるか,サービスレベル合意書を論拠とした

ものになる。

注記 SAM の要求事項に関するサービスレベル合意書は,SAM よりも広範なものとなることが

ある。

b) SAM

の目標を基準にしたときの実際の作業負荷及びサービスレベルが,定期的(少なくとも四半期に

1

回)に報告され,不適合の理由が文書化される。

c) SAM

のサービスレベルに対するパフォーマンスを見直すために,該当する関係部門による定期的(少

なくとも四半期に 1 回)なレビューが行われ,それに合わせて,結論及び講じるべき対策に関する決

定事項が文書化される。

4.6.5 SAM

のセキュリティ管理 

4.6.5.1 

目的 

“SAM のセキュリティ管理”プロセスの目的は,すべての SAM 活動の中で情報セキュリティを効果的

に管理し,SAM 関連の承認に関する要求事項を支援することにある。

注記  JIS Q 27002 は,情報セキュリティ管理の指針となるものである。JIS Q 27001 の認証を受けた

組織は,この規格のセキュリティ要求事項を満たすことが望ましい。

4.6.5.2 

成果 

“SAM のセキュリティ管理”プロセスの導入は,組織が次のことを実証できるようにする。

a)

ソフトウェア,ソフトウェアのビルド及びリリースの物理的又は電子的な管理対象を含む,すべての


19

X 0164-1

:2010 (ISO/IEC 19770-1:2006)

SAM

資源に対するセキュリティ制限及びアクセス制限に関する正式な方針が策定され,承認されるよ

うになる。

b) SAM

方針の承認に関する要求事項を実施するために,物理的及び論理的なアクセス制御が特定され

る。

c)

これらの特定されたアクセス制御が実施されているという証拠文書がある。

4.7 SAM

のライフサイクルプロセスインタフェース 

4.7.1 

一般 

“SAM のライフサイクルプロセスインタフェース”は,SAM との関連では,JIS X 0160 での主ライフ

サイクルプロセス及び JIS Q 20000 規格群のプロセスとほぼ整合がとられている。この規格の目的は,こ

のようなライフサイクルプロセスにおける SAM 要求事項について規定することにある。

“SAM のライフサイクルプロセスインタフェース”は,次のライフサイクルプロセスの要求事項で構成

される。

a)

変更管理プロセス

b)

取得プロセス

c)

ソフトウェア開発プロセス

d)

ソフトウェアリリース管理プロセス

e)

ソフトウェア展開プロセス

f)

事件・事故管理プロセス

g)

問題管理プロセス

h)

廃棄プロセス

4.7.2 

変更管理プロセス 

4.7.2.1 

目的 

ソフトウェア及び関連資産に関する“変更管理プロセス”の目的は,SAM に影響するすべての変更が,制

御された方法で評価され,承認され,実施され,レビューが行われて,すべての記録保持の要求事項を満

たすことにある。

注記  ソフトウェア及び関連資産に関する“変更管理プロセス”は,ソフトウェア及び関連資産に加

えられる変更の根底にある管理の仕組みを提供する“ソフトウェア資産の管理”プロセスと密

接に関連している。

4.7.2.2 

成果 

“変更管理プロセス”の導入は,組織が次のことを実証できるようにする。

a)

次のような正式な変更管理プロセスがある。

1)

ソフトウェア,関連資産若しくはサービス又は SAM プロセスに影響するすべての変更要求が特定

され,記録される。

2)

ソフトウェア,関連資産若しくはサービス又は SAM プロセスに影響するすべての変更要求が,影

響の可能性について評価され,優先度を定められ,担当の管理者によって承認される。

3)

承認された変更要求を実施するプロセスは,承認されたときだけ実施される。

4)

ソフトウェア,関連資産若しくはサービス又は SAM プロセスに影響するすべての変更が記録され

る。

5)

このような変更の成否は文書化され,定期的にレビューされる。

4.7.3 

取得プロセス 


20

X 0164-1

:2010 (ISO/IEC 19770-1:2006)

   

4.7.3.1 

目的 

ソフトウェア及び関連資産に関する“取得プロセス”の目的は,ソフトウェア及び関連資産が制御され

た方法で取得され,適正に記録されることを確実にすることにある。

4.7.3.2 

成果 

“取得プロセス”の導入は,組織が次のことを実証できるようにする。

a)

標準から逸脱するものを明確にするためのソフトウェアサービスの提供に関する標準アーキテクチャ

が定義される。

b)

標準ソフトウェア構成が定義され,それが標準からの逸脱に関する基準となる。

c)

ソフトウェア資産及び関連資産の取得要求及び発注に関する,次のような方針及び手順が策定され,

適正に認可され,発行される。

1)

要求事項の規定方法

2)

必要となる管理及び技術的承認

3)

利用可能な場合,既存の使用許諾契約の権利の利用又は再展開

4)

報告及び支払いに先立ってソフトウェアの展開ができる場合,将来の購入に対する要求事項の記録

d)

ソフトウェア及び関連資産に関係する受領の処理機能に関して,次のような方針及び手順が策定され,

適正に認可され,発行される。

1)

送付書の処理。これには,発注書との照合及び使用許諾契約の管理のための写しの保管を含む。

2)

購入したすべての使用許諾契約の権利について,法的に有効な使用許諾契約書の確実な受領及び安

全な保管

注記  これは,使用許諾契約書の真正性の確認,すなわち,それが偽物ではないことの確認が必

要になるということであり,使用許諾契約書を関係するソフトウェア製造業者から直接受

け取っていない場合には,特にこれが必要となる。

3)

内容の検証,記録の保管及び安全な保管に関する要求事項を含む,受入れ媒体(物理的媒体及び電

子的な写し)の処理

4.7.4 

ソフトウェア開発プロセス 

4.7.4.1 

目的 

ソフトウェア及び関連資産に関する“ソフトウェア開発プロセス”の目的は,ソフトウェア及び関連資

産が,SAM 要求事項を考慮して開発されることを確実にすることにある。

4.7.4.2 

成果 

“ソフトウェア開発プロセス”の導入は,組織が次のことを実証できるようにする。

a)

次の事項を考慮していることを確実にする,ソフトウェア開発の正式なプロセスがある。

1)

標準アーキテクチャ及び標準構成

2)

使用許諾契約からの制約及びそれとの依存関係

b)

ソフトウェア製品がソフトウェア資産の管理下に確実に置かれるようにした,ソフトウェア開発の正

式なプロセスができあがる。

4.7.5 

ソフトウェアリリース管理プロセス 

4.7.5.1 

目的 

ソフトウェア及び関連資産に関する“ソフトウェアリリース管理プロセス”の目的は,SAM 要求事項を

支援するようにしてリリースが計画され,実施されることを確実にすることにある。

注記  “ソフトウェアリリース管理プロセス”は,ソフトウェア及び関連資産の計画立案及び実際の


21

X 0164-1

:2010 (ISO/IEC 19770-1:2006)

リリースを対象にする。

“ソフトウェアリリース管理プロセス”は,

“変更管理プロセス”と密

接に連動する。

4.7.5.2 

成果 

“ソフトウェアリリース管理プロセス”の導入は,組織が次のことを実証できるようにする。

a)

次のようなリリース管理の正式なプロセスがある。

1)

リリース前のパッチを含めて,すべてのリリース案を構築しテストするために,制御された受入れ

環境が使用される。

注記  この規格は,ビルド又はテストに関する詳細な要求事項を規定しない。例えば,製造業者

のパッチを必要とするすべてのビルドが構築され,独立してテストを受けるようにこの規

格は要求していないが,組織は,この規格が何を要求しているかに関係なく,これを要求

してもよい。とはいえ,一般には配付前に何らかの方法で変更又はパッチのテストを行う

ことが期待される。

2)

リリースの頻度及び種類が,セキュリティパッチリリースの頻度を含めて,計画され,企業と顧客

との間で合意される。

3)

予定のリリース期日及び成果物が,関連する変更要求及び問題を参照して記録され,事件・事故管

理に伝達される。

4)

ソフトウェア及び関連資産のリリースが担当の管理者によって承認される。

5)

リリースの成否が記録され,定期的なレビューを受ける。

4.7.6 

ソフトウェア展開プロセス 

4.7.6.1 

目的 

SAM

に関する“ソフトウェア展開プロセス”の目的は,SAM 要求事項を支援するようにして,ソフト

ウェアの展開及び再展開が実施されることを確実にすることにある。

4.7.6.2 

成果 

“ソフトウェア展開プロセス”の導入は,組織が次のことを実証できるようにする。

a)

次のようなソフトウェアの配付及びインストールに関する方針及び手順が策定され,承認され,発行

される。

1)

ソフトウェア及び関連資産の配付が,担当の管理者によって承認される。

2)

展開が成功しない場合,どの展開についても,リリース前の状態に戻す手順又は改善方法がある。

3)

配付されるソフトウェアヘの過大なアクセス及びインストール後を含めた,セキュリティ要求事項

が順守される。

4)

関連するソフトウェア及び関連資産の状態の変更が,資産の管財担当者の変更及びこの変更につい

て記録する監査証跡を含めて,正確に,適時に記録される。

5)

展開されたものが,展開の認可を得たものと同じであることを検証するための,文書化された管理

策がある。

6)

展開の成否が記録され,定期的にレビューを受ける。

4.7.7 

事件・事故管理プロセス 

4.7.7.1 

目的 

ソフトウェア及び関連資産に関する“事件・事故管理プロセス”の目的は,ソフトウェア及び関連資産

の実運用において,事件・事故を監視し,事件・事故に対応することを確実にすることにある。

4.7.7.2 

成果 


22

X 0164-1

:2010 (ISO/IEC 19770-1:2006)

   

“事件・事故管理プロセス”の導入は,組織が次のことを実証できるようにする。

a)

次のような,事件・事故管理の正式なプロセスがある。

1)

ソフトウェア若しくは関連資産,又は SAM プロセスに影響する,すべての事件・事故が記録され,

その解決の優先度に応じて分類される。

2)

このような事件・事故が,解決の優先度に応じて解決され,その解決策が文書化される。

4.7.8 

問題管理プロセス 

4.7.8.1 

目的 

ソフトウェア及び関連資産に関する“問題管理プロセス”の目的は,事件・事故の原因を事前予防的に

識別し,分析することによって,また,根本的な問題に対処することによって,ソフトウェア資産を最新

の状態に保ち,運用に適したものにすることを確実にすることにある。

4.7.8.2 

成果 

“問題管理プロセス”の導入は,組織が次のことを実証できるようにする。

a)

次のような,問題管理の正式なプロセスがある。

1)

ソフトウェア,関連資産若しくはサービス又は SAM プロセスに影響するすべての事件・事故が記

録され,その影響度合いに従って分類される。

2)

優先度が高く,繰り返し起こる事件・事故の根本原因が分析され,その事件・事故の解決の優先度

が定められる。

3)

根本原因が文書化され,事件・事故管理に伝達される。

4)

解決の優先度に従って問題が解決され,解決策が文書化され,事件・事故管理者に伝達される。

4.7.9 

廃棄プロセス 

4.7.9.1 

目的 

ソフトウェア及び関連資産に関する“廃棄プロセス”の目的は,会社の方針に従い,また,記録保持に

ついてのすべての要求事項を満たしながら,場合によっては関係資産の再活用を含めて,ソフトウェア及

び関連資産を撤去することを確実にすることにある。

注記  一般に,使用許諾を受けていないソフトウェアを撤去しても,使用権についての不備の問題を

解決したことにはならない。なぜならば,ソフトウェアを使用した時点で,既に使用許諾を受

ける義務が発生しているからである。だから,インストール又は初めての使用に対する管理を

しっかりすることが望ましい。

4.7.9.2 

成果 

“廃棄プロセス”の導入は,組織が次のことを実証できるようにする。

a)

ソフトウェア,又はソフトウェアをインストールしているハードウェアを,セキュリティを確保して

撤去するために,次のような方針及び手順が策定され,承認され,発行される。

1)

撤去するハードウェアから,展開されているソフトウェアの写しを削除する。

2)

再展開可能な使用許諾契約の権利及びその他の資産を,再展開のために特定する。

3)

他者に譲渡する資産を,譲渡先が何らかの関係があるなしにかかわらず,また,どのような方法で

譲渡するか(すなわち,売却かそれ以外か)にかかわらず,機密保持,使用許諾条件又はその他の

契約上の要求事項を踏まえて,適正に譲渡する。

4)

再展開不可能な使用許諾契約の権利及びその他の資産が,適正に処分される。

5)

上記の変更を反映するように記録が更新され,その変更についての監査証跡が維持される。


23

X 0164-1

:2010 (ISO/IEC 19770-1:2006)

附属書 JA

(参考) 
参考文献

JIS Q 9001

  品質マネジメントシステム−要求事項

注記  対応国際規格:ISO 9001,Quality management systems−Requirements(IDT)

JIS Q 20000-1

  情報技術−サービスマネジメント−第 1 部:仕様

注記  対 応 国 際 規 格 : ISO/IEC 20000-1 , Information technology − Service management − Part 1:

Specification

(IDT)

JIS Q 20000-2

  情報技術−サービスマネジメント−第 2 部:実践のための規範

注記  対応国際規格:ISO/IEC 20000-2,Information technology−Service management−Part 2: Code of

practice

(IDT)

JIS Q 27001

  情報技術−セキュリティ技術−情報セキュリティマネジメントシステム−要求事項

注記  対応国際規格:ISO/IEC 27001,Information technology−Security techniques−Information security

management systems

−Requirements(IDT)

JIS Q 27002

  情報技術−セキュリティ技術−情報セキュリティマネジメントの実践のための規範

注記  対応国際規格:ISO/IEC 27002,Information technology−Security techniques−Code of practice for

information security management

(IDT)

JIS X 0145-2

  情報技術−プロセスアセスメント−第 2 部:アセスメントの実施

注記  対応国際規格:ISO/IEC 15504-2,Information technology−Process assessment−Part 2: Performing

an assessment

(IDT)

JIS X 0160

  ソフトウェアライフサイクルプロセス

注記  対応国際規格:ISO/IEC 12207,Systems and software engineering−Software life cycle processes

(IDT)