某商业银行通过软件资产管理保障安全运行

1.基本情况

我国华中地区某省商业银行总部，常年从事该银行全省范围金融服务网点的管理工作，并具备金融产品的研发和信贷业务的审批职能，聚集了大量高素质专业人才。随着银行系统信息化水平的提升，该商业银行不但完成了全省网点的信息化、网络化工程，还致力于网银业务的开发工作，独立或委托开发了多个网银软件，并承接了相关单位委托的多个金融业信息化项目。

由于涉足信息化工作较早，该银行总部的信息化水平较高，而且银行系统对信息安全的要求严格，多年来已通过直接或间接采购获得大量正版通用软件和数据库软件。与此同时，由于预算支持和承接的金融业信息化产品较多，每年通过信息化项目购得的正版软件数量也在大幅增长。据统计，近两年来，该商业银行总部用于信息化和软件购买方面的投入已经大大超过硬件投入，成为一项重要支出。

鉴于银行业自身的经营特点，当必要的信息化投入和软件采购成本随着业务发展而逐年增加时，精明的银行领导决定成立专门部门对此项工作进行管理。通过职能部门对采购投入进行核算，从而评估各类信息化成果的综合效能，并提升各类软件的使用率。在了解了ISO/IEC 19770-1标准后，该商业银行领导希望在总部率先开展软件资产管理工作，待条件成熟时，在全省各分支机构铺开。

2.软件资产管理工作流程

在实践中，该银行聘请了相对熟悉软件资产管理的专家协助开展此项工作。在前期摸底阶段，工作人员了解到该银行总部现有在职员工442人，计算机终端310台，服务器30台，已采购正版软件1161套，对软件使用有基本的内部管理制度，并已有专人管理。此外，银行内人员基本素质较高，对版权制度和正版软件的使用具备初步的认知基础，这都将成为软件资产管理工作开展的有利条件。

但随着工作的不断深入，有一类现象引起了人们的注意，即由于该银行对软件许可使用方式理解存在误区，导致在多个信息化项目同步开发时存在同类软件采购的重叠，（软件冗余）。究其原因，是在信息化项目的需求分析阶段，缺少对软件采购的比对审核机制，忽视了一台计算机安装一套合需软件即可并行多个信息化成果的合法模式，盲目地认为软件跟着项目走，第一个项目需要杀毒软件，第二、第三个也同样需要，就造成了单一项目的软件采购合理，而全银行范围内部分同类软件库存过量的情况。

鉴于此种情况，工作人员决定在建立软件资产全生命周期管理体系时，将软件采购的审核程序列为重点，杜绝因计划不善、控制不周造成的采购过量，即软件冗余情况发生。

（1）前期准备

1）考虑到实施软件资产管理工作的重要性，在召开软件清查工作筹备会议时，该银行总裁亲自任命总部办公室主任李某担任软件资产经理，负责此次软件资产管理的全部工作，并首先执行软件清查，掌握该银行总部每台机器所安装软件的实际情况。

2）经统计，银行总部内每台计算机的硬件明细均已由办公室登记备案，待查硬件设备为340台计算机，包括台式机和笔记本计算机在内的310台终端和30台服务器。鉴于银行数据安全的特殊性，李某与IT部门协商，决定采用收发问卷、抽样手工统计，结合财务对账的方式执行清查。

3）据了解，在银行总部340台计算机中，涉密等级较低的120台可以通过手工统计，剩余的涉密等级较高的220台只能采用收发问卷的方式执行清查。因此，李某从软件资产管理组中选派5名职工、分两组进行操作。其中，甲组3名操作员负责对120台非涉密机做手工统计，乙组2名操作员专门收发问卷。

（2）执行清查 软件资产经理李某根据原掌握情况，以言简意赅、清楚明了、信息采集点明确的原则，设计出一套调查问卷，包括所使用计算机中安装的软件类型、名称、版本号、是否自主安装、载体是否归还等信息，并让员工基本采用勾选的方式完成了填写。

此外，在问卷发放之前，李某已与各部门负责人沟通过，员工填写时遇到的疑问，对应的操作员要及时提供咨询服务和技术支持，确保员工填写问卷的真实性和客观性。

（3）整合数据 问卷和抽样手工统计的信息采集工作完成之后，甲组和乙组操作员分别把各自数据用统一的模板整理出了清查统计表，主要包含硬件设备编号、各软件名称、版本号、序列号、发行商等信息。(www.xing528.com)

软件资产经理李某在整合两组数据时发现，虽然清查方式不同，但两组数据出入不大，基本如实反映了总部的软件使用情况。

（4）账实比对 李某在财务部和IT部的配合下进行了比对，发现该银行总部的某杀毒软件的登记采购为场地许可协议，清查时发现全部计算机均装有此软件，然而该银行还因某信息化项目购入同类杀毒软件彩包100套，均未启用，造成大量冗余。某财会软件的登记采购量为300套，清查后在全部220台涉密机中发现安装记录，库存找到对应的220套部署和80套闲置的记录状态，说明该软件也存在严重的过量采购问题。

从另一个角度来看，该银行总部的保管工作做得较好，未出现明显的软件资产流失现象，但同时存在着冗余软件随时被员工挪为私用的危险。

（5）制度化运行 通过以上清查工作，专家组在开展软件资产管理摸底工作时提出的资金核查和审核漏洞问题彻底显现出来。因为该银行每年的财务预算和信息化项目需求分析都没有对软件的需求情况进行排重，造成了许可证仍有效的同类软件大量闲置、冗余。

据此，软件资产经理李某在起草与发布《商业银行软件资产管理规范》时，着重强调了软件排重和资金审核机制的重要性，并在财务部、办公室等部门的配合下，起草并发布了《商业银行软件资产采购和资金审批管理细则》，进一步规范了日常采购软件与信息化项目采购软件及多个信息化项目间采购软件的排重程序，理顺了软件采购资金审批机制。

经过一个预算年度的平稳运行，该银行不仅在软件安装、使用、归还、升级等实物管理方面呈现出了井然有序的面貌。通过严格的资金审批和软件排重程序，还节约了近40万元的采购支出，整体工作取得了积极成效。此后，该银行领导决定将此前专门组建的信息化部门改组为信息化和软件资产管理部，李某兼任该部门负责人，保障在未来的发展中有计划地把软件资产管理政策落到实处。

3.案例分析

该商业银行总部实施软件资产管理工作反映出几个特点：

1）为何有些项目需要的软件在实践中却不需要购买？

依据著作权制度和软件授权许可的一般性规定，正版软件只要在授权有效期内和厂商规定的使用次数内安装在某台计算机上，即可视为该机器运行软件合法，无盗版之嫌。因此，如果某台计算机早已安装了某款正版商用软件，而这台计算机又同为未来某一信息化项目的终端，则在该信息化项目进行需求分析时，就应明确不再为这台计算机配置同样的正版软件，否则就会造成重复购置和资金浪费。举例来说，该银行为了保证办公自动化平台运行，为全部计算机配置了专业安全软件，紧接着网银结算工作平台要上线，而该平台也需要同样的安全软件。那么只要所涉及的计算机已安装了为办公自动化平台服务的安全软件，就没有必要再为其额外购置和安装同类软件了。所以，应树立“软件跟着机器走”的理念，摆脱“软件跟着项目走”的认识误区。

2）软件采购资金审核制度是否只是对财务程序进行规范？

该商业银行的实际可以告诉我们，对于软件采购的资金审批制度不仅仅是对财务程序进行简单规范，其实质还应包括对软件库存和使用情况的审核比对。软件不同于实物产品，其价值以授权许可形态体现，不论光盘等载体是否存在，只要许可证在有效期内，其生命周期就未完结。因此，在日常零散采购和年度集中采购时，应充分考虑已有软件的授权期限和库存情况，这样才能制定最为合理的采购需求。同样，在多个信息化项目同步开发时，也应考虑各自的软件采购计划是否存在重复和交叉，只要存在交集，就不应盲目采购。因此，软件采购资金审核制度的核心应当是实现程序严谨和按需采购的有机结合。

3）为何采取发放问卷结合抽样人工统计的方法执行软件清查工作？

金融保险类企业，在终端机和服务器中存储有大量客户信息等商业机密文件，对信息安全要求极为严格，即使在同一局域网内或信息化平台内，也对各终端设有不同权限。在这种情况下，软件清查工作就应优先考虑信息安全。如此，使用工具软件进行全面普查的可行性明显不强，而面对众多的机器数量和不同的信息安全要求，进行全面的手工统计也不现实。所以，对于军工等相关涉密机构和金融保险类安全等级较高的企业而言，建议在开展软件资产管理工作初期采取发放问卷为主，辅以抽样选取安全等级低的终端进行手工统计的方法进行软件清查工作，进而在不危及信息安全的前提下，相对全面地了解企业安装、使用软件的基本情况，以及员工使用软件的习惯。