软件审计已经不再是“如果”与“何时”的问题了。根据Gartner机构的客户调查,其中三分之二客户在2011年中经历了至少一次软件审计,其中Oracle是审计厂商的Top 5之一。因此,做好Oracle审计的准备已经成为企业迈向成功的关键一步。 用户认为厂商审计力度不断提高是因为想要增加合法收入,这样的说法并不十分准确。
收入只是结果,并不是软件审计的根本原因。软件厂商需要一个途径来保护他们的知识产权,虽然企业用户大多对厂商的这种做法比较反感,但也正是保证软件行业良性发展的一个必要手段。 Oracle审计的主要原因可以归结为以下三点: 1、Oracle怀疑你的企业出于这几个原因而可能违……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
软件审计已经不再是“如果”与“何时”的问题了。根据Gartner机构的客户调查,其中三分之二客户在2011年中经历了至少一次软件审计,其中Oracle是审计厂商的Top 5之一。因此,做好Oracle审计的准备已经成为企业迈向成功的关键一步。
用户认为厂商审计力度不断提高是因为想要增加合法收入,这样的说法并不十分准确。收入只是结果,并不是软件审计的根本原因。软件厂商需要一个途径来保护他们的知识产权,虽然企业用户大多对厂商的这种做法比较反感,但也正是保证软件行业良性发展的一个必要手段。
Oracle审计的主要原因可以归结为以下三点:
1、Oracle怀疑你的企业出于这几个原因而可能违反合规:刚刚经历合并或者收购、企业重组或者地区扩张、缺少近期或者大型的购买行为。
2、内部人员被动曝光:包括复杂的软件许可问题或者中止某一软件许可协议。
3、内部人员主动向Oracle请求许可证评估(相信我,的确有这样的情况)。
所以,最实际的问题在于,在Oracle审计过程中你该如何做?你该如何管理你的软件资产?
不同类别的Oracle审计
首先要理解的,是Oracle是否在要求一个正式的审计。有些时候,企业认为他们正在被审计,但实际并不是正式的。究其原因还是由于沟通不足或者双方的误解。举例来说,有时Oracle客户经理会提醒你的公司在许可证方面存在问题,而Oracle希望能够提供帮助。他们是会用到“审计”这个词,但是它并不是一个正式的审计行为。
真正的也是唯一的法律告示,是来自“Oracle许可证管理与服务部门”的官方审计邮件。即使你收到来自其他Oracle部门的邮件,都不能作为正式的告示,它可能只是一个对于你企业资产的调查。原因吗?只有天知道。对于大多数的客户来说,Oracle都会发现这样或那样的合规问题,而结果就是受到动辄上万,甚至上百万美元的账单给你寄过来,这主要取决于你所使用的Oracle产品规模。
审计条款的谈判与回应
当你收到Oracle的正式审计邮件之后,首先要做的是确定他们是否有权对特定的项目拥有审计权。这在你的软件许可协议(SLA)的服务条款中都有明确说明。对于整个审计过程,都应该有规定与限制,当然也要有一个日程表和审计范围。这些都是需要由你企业的法律部门与IT部门在服务条款中进行谈判的。在发出回应之前,试着找出还有哪些回旋余地,是否有一个预定的审计和成本范围。这也是Oracle所需要的。
在给Oracle回应之后,说明你已经准备好并愿意合作,接下来有几个关键步骤需要你在Oracle审计正式开始前做好:
1、成立你的响应团队,要包含法律部门、IT部门的人员以及C级别管理者。
2、收集并检查所有Oracle SLA、单据发票、手册、产品认证标签等一系列能够证明你所有权的文档。Oracle也会向你所要这些材料。
3、在Oracle许可证合规评估的同时,你也要进行一个自我审计:确定每个Oracle产品的使用频率,根据访问总数确定是否购买了合适的许可证。
4、对自我审计的结果进行分析,包括任何企业变动对Oracle许可证管理所造成的影响。你的SLA是否仍然满足当前的业务实践?尽管潜在的违规情况有多种多样,但是以下这几点需要格外关注:
- 非故意的情况下,将软件从开发环境投入生产环境而未购入额外许可;
- 电子商务应用用户账户:同一用户的双重或者多重计算在审计过程中是一个典型的疏忽;
- 软件升级;
- 合并与收购变更;
- 虚拟化;
- 移动用户数量。
做好掏钱的准备
要做到100%没有违反任何条款是不常见的,在这一点上你要做好与Oracle谈判协商的准备。记住,软件许可证不是一个非黑即白的问题,每个公司的具体情况都会有所不同,而且在很大程度上还取决于Oracle如何解释他们的条款。根据我们的经验来看,Oracle会帮助客户补救一些疏忽并确保未来做到更好的合规,前提是客户足够诚实。很多情况下,有很多费用是可以通过协商避免的。
对于大多数用户,违反合规主要是因为缺乏一个在Oracle软件许可规定基础之上的良好软件资产管理(SAM)项目。此外,你还需要知道Oracle软件时如何在企业中进行部署的。Oracle针对软件许可策略的变化是需要客户跟进的,他们并不会发邮件或打电话提醒你。因此,第三方服务机构就显得格外重要。
而要避免支付由于Oracle审计所产生的违规费用,你需要一个主动的软件许可管理策略,这包括一个好的SAM项目,定期的自我审计或者聘请咨询顾问来帮忙。不仅仅是Oracle,这对于其他软件厂商的产品都是如此。对于软件资产的主动管理能够帮助你减少不必要的开支,根据我们所做的一项调查,在第一年中往往能够节省18%的软件许可与开支,而这一比例还会逐年增加,平均将达到30%。
翻译
相关推荐
-
DBA必读:Oracle数据库审计七宗罪
Oracle难懂的许可策略最让人头痛。著名技术顾问、作家Robert Sheldon介绍了七个可能导致Oracle审查及昂贵审查费用的行为。
-
Oracle软件许可证审计指南
做好Oracle审计的准备已经成为企业迈向成功的关键一步。本次技术手册,就将为您解读Oracle软件许可审计的来龙去脉。
-
Oracle审计语句简单使用(二)
本文介绍了Oracle审计语句的简单使用方法之禁止审计、使用精细审计、审计dept表以及取消精细审计。
-
简单使用Oracle的审计语句(二)
审计(Audit)用于监视用户所执行的数据库操作,并且Oracle会将审计跟踪结果存放到OS文件或数据库中。本文介绍了Oracle审计语句的简单使用方法。