SAM Consulting

KS X ISO/IEC 19770-1(2012) 소프트웨어자산관리(제1부: 프로세스 및 단계별 적합성 평가)는 소프트웨어자산의 획득, 릴리스, 배포, 유지보수 및 최종 폐기를 특별히 관리대상으로 한다. SAM 프로세스는 조직 내 소프트웨어자산의 효과적인 관리, 통제 및 보호를 제공한다. SAM은 배포 후 가상화 환경에서 소프트웨어자산이 실시간으로 이동하는 문제와 같은 SAM 고유의 문제를 처리하기 위한 구체적인 접근방식을 포함하고 있다. 이 표준은 소프트웨어자산관리(SAM)을 실시하고 있는지를 단계별로 평가할 수 있도록 개발되었다. 4개의 단계로서, 제1단계는 관리할 수 있도록 올바른 데이터가 모아진 단계, 제2단계는 실제적인 관리가 행해져 직접적인 효과가 나오기 시작하고 있는 단계, 제3단계는 효율성과 유효성이 향상된 상태의 단계, 제4단계는 모든 요구사항에 적합한 조직에서 최적의 전략적인 SAM이 달성되는 단계를 정의하고 있다. 이 표준은 관리 시스템으로 ISO 가이드 72의 표준 프레임 워크를 고려하고 있으며, 동일한 프레임 워크를 채택하고 있는 서비스 관리 표준 ISO/IEC 20000-1 및 보안 관리 표준 ISO/IEC 27001과 연계가 쉽게 되어 있다. SAM 프로세스에 대한 요구사항은 27개의 프로세스로 구성되어 있으며, 각 프로세스가 실현해야 할 상태를 "성과(Outcomes)"로 기재하고 있다. 각 요구사항에 대한 요청이 어떤 단계(Tier)에 속하는 지 여부를 표시하고 있다. "SAM 조직관리 프로세스"에서는 경영진의 참여, 대상 조직 및 자산의 범위 결정, 체제의 구축, 자원 활용, 도입 정책과 계획 수립, 지속적 개선 등 8개의 프로세스로 구성되어 있다. 그리고 "SAM의 핵심 프로세스"에는 소프트웨어 자산 및 관련 자산 식별, 재고 관리, 변경 관리에 관한 규정 및 재고 기록의 정확성 검증, 라이선스 준수, 보안 준수를 위해 수행해야 할 규정, SAM을 위한 내부 및 외부 조직과의 관계/계약관리, 재무관리, SLA 정의 및 기록에 관한 규정 등 11개의 프로세스로 구성되어 있다. 끝으로, "SAM의 주요 프로세스 및 인터페이스"에서는 변경 관리, 취득관리, 개발관리, 릴리스관리, 배포관리, 문제관리, 사건.사고관리, 폐기관리 등 주요 8개의 프로세스로 구성되어 있다.

소프트웨어의 도입 상황을 파악하기 위해 도입된 소프트웨어를 식별하는 태그의 규격이 ISO/IEC 19770-2로 2009년 11월에 표준화 되었다. 이 표준은 소프트웨어 식별태그의 표현 방법으로 XML 포맷이 사용되고 있다. 필수 속성과 임의 속성을 가지고 있으며 확장할 수 있다. 소프트웨어 제조자에 의존하지 않는 표현방법을 이용하는 것으로, MS사의 Windows® OS와 다른 운영 체제(UNIX® 및 Linux)에 도입된 소프트웨어 인벤토리 정보를 쉽게 인식할 수 있다. 또한 소프트웨어 식별태그는 프로그램 이름 및 공급 업체 이름, 버전뿐만 아니라 해당 소프트웨어가 포함된 패키지에 대한 정보 등을 등록할 수 있으며, 번잡한 스위트(suite) 제품 및 번들 제품 관리를 고려하고 있다. 소프트웨어 식별 태그를 제3자가 인증하는 기관으로서 IEEE(The Institute of Electrical and Electronics Engineers, Inc.) 산하의 “Tag Vault”가 존재한다. 제3자가 인증함으로써, 소프트웨어 제조자에 의해 생성된 소프트웨어 식별 태그의 변조를 감지할 수 있을 뿐만 아니라, 악성 코드 등의 유입을 막을 수 있는 등 보안상의 장점도 존재한다. ISO/IEC 19770-2은 ISO/IEC 19770-3(소프트웨어 사용권한 태그: 도입되는 소프트웨어 라이선스 정보를 설명하는 태그의 표준화)과 함께 활용하면 보다 더 효율성을 기할 수 있도록 설계되었다.

소프트웨어자산관리의 원칙과 개념을 설명하고 ISO/IEC 19770 시리즈에서 사용되는 용어의 정의 및 각 규격의 관련 부분을 설명하는 문서로 책정이 되었다. 2010년 1월 26일 JTC1에 신규 제안(NWIP: New Work Item Proposal)으로 WD(Working Draft)이 제출되었다. 이전에 ISO/IEC 19770-0로 되어 있었지만 번호를 재부여 받아 2013년 11월 15일 발행되었다.

이 표준은 ISO/IEC 19770-2에서 표준화된 소프트웨어 식별태그와 상호 의존을 이루도록 설계된 규격이다. 도입된 라이선스 정보를 컴퓨터에 보유할 수 있도록 사용권한 태그를 표준화하기 위해 워킹그룹(OWG: Other Working Group)에서 논의가 진행된 것이다. ISO/IEC 19770-3을 개발하기 위한 워킹그룹(OWG)는 2008년 베를린에서 열린 ISO/IEC JTC1/SC7/WG21 회의에서 발족되었다. ISO/IEC 19770-3은 소프트웨어 라이선스 기준을 정의한다. 소프트웨어 라이선스의 이용에 관한 계량방법 등을 정하고, CAL이나 CPU 기반 등도 고려하고 있다. 태그의 표현에는 ISO/IEC 19770-2에서 뿐만 아니라 XML 포맷이 사용되고 있으며, ISO/IEC 19770-2 및 이 표준을 구현함으로써 소프트웨어 라이선스의 보유 상태와 사용 상태의 정렬을 디지털화 할 수 있다.

ISO/IEC JTC1/SC7/WG21은 태그를 통한 소프트웨어자산관리 방법을 설명하는 기술 보고서를 작성 중에 있다. 현재 PDTR(Proposed Draft Technical Report)를 위한 초안을 개발하고 있는 단계이다.

2011년 Paris 회의에서 19770 표준 군 규격으로 SAM을 구현하는 대표적인 지침과 매핑(Maping)을 설명하는 기술 보고서를 작성할 공식적인 NWIP(신규제안)로 승인되었다. 앞으로 초안이 작성되겠지만, 일본 SAMAC의 SAM 기준 등이 하나의 사례로 받아들여 진다.

이 표준은 ISO/IEC 19770-1(2012)에서 정의된 단계에 대한 특정 표준으로서, 소규모 조직에 SAM을 위한 프로세스 적용에 대한 구체적인 지침을 제공한다. 이 표준은 소규모 조직에 소프트웨어자산관리를 구현함에 있어 자세한 지침을 제공한다. 이외에도 간소화된 기업지배 및 관리 구조, 수정된 프로세서의 정의, 소수의 개인이 수행하는 수작업 절차에 대한 적절한 역할의 재정의를 포함한다.