国际注册内部审计师

软件许可

★相关知识

Software Copyright
软件版权
软件版权许可协议是组织和软件提供商之间达成的软件使用条款，软件使用许可可以基于：
· 服务器
· 每台计算机（每个处理器，每个个人）
· 站点
· 用户数（并发用户数或总用户数）
· 使用量（总使用次数）
· 浮动（灵活的）
绝大多数许可都会禁止利用反编译或逆向软件工程来还原源代码，除非该组织特别购买了源代码许可。许多软件许可允许出于灾备的目的而制作拷贝。如果组织需要将软件许可转给外包服务商，则应该和软件提供商协商并修改原始合同。
如果在软件许可协议允许的范围之外制作或安装了非法的软件拷贝，就会构成盗版。有些软件需要进行注册或激活后才能运行，这可以检测并抑制盗版的发生，但许多软件并未设置反盗版技术，因此盗版行为是很容易发生的。

Risks of Pirated Software
盗版软件的危害和治理
使用盗版软件的危害：使用盗版软件一方面违反版权法，需要承担法律责任，另一方面容易感染病毒。
防止使用非法软件的方法：建立组织内部的软件许可使用规章制度和政策，并通过版权法教育来增强雇员的版权意识；保存组织购买软件的原始记录，定期对每台计算机上使用的软件进行审查鉴别；正版软件的安装盘应由专人保管，可以为了备份目的制作拷贝，但不得用于其他计算机的安装使用。
非法软件的发现：发现个人电脑上正在使用非法软件的方法是定期将软件采购记录与个人电脑上的可执行文件进行比较，或者将显示器上的系列号与销售商的系列号进行比较。如果两者不一致，就证明正在使用非法软件。

Software Purchasing
软件采购
和自行开发相比，采购商品化软件通常拥有更多的优势。一般来说，商品化软件文档更齐全，测试更全面，多数情况下成本也较低，而且可以得到持续的版本升级支持。此外，在某些紧急情况下，如企业内部员工突然离职时，软件提供商通常会根据协议提供必要的支持。
商品化软件通常可以灵活配置，以满足不同企业的需求。这种灵活性是一把双刃剑，一方面它可以满足企业不断变化的需要，但另一方面它也容易因不适当的配置而导致错误，而且灵活性越好的软件对硬件平台的配置要求也越高。一些企业倾向于进行更多的定制开发，但这样做的代价高昂而且会给产品升级带来问题。
大型软件系统的采购通常应经过以下步骤：
· 可行性研究阶段。确定需求和潜在的软件提供商；
· 邀请报价（RFQs）或请求建议（RFPs）阶段。向所有合格的软件提供商发出RFQ或RFP请求；
· 确定少量候选软件提供商。遴选软件商的关键指标包括软件系统的稳定性和长期发展性、现有客户的数量和满意度、质量控制和维护标准等；
· 招标。价格不应当是确定软件商的首要因素；在不进行任何定制的情况下，软件至少应能满足80%以上的需求，其中包括前十项最重要的需求。
· 签订协议。

典型试题
【例题】以下选项中，哪一项不能减少未经许可的微机软件的安装?
A.员工的版权意识。
B.对未经许可软件的定期审查。
C.对网络访问和启动脚本的定期监测。
D.包含软件许可要求在内的一套规范化制度。
【答案】C
【解析】
A.不正确。员工版权意识的增强可以减少未经许可软件的安装量。
B.不正确。对未经许可软件的定期审查可以减少未经许可软件的安装量。
C.正确。对网络访问和启动脚本的定期监测与未经许可软件的安装无关。
D.不正确。规范化制度是杜绝未经许可软件的基础。
【例题】通过因特网获得盗版软件可能引起法律纠纷。以下哪项能降低组织在这方面的风险?
I.保存所有软件购置的记录。
II.对每台计算机上使用的软件进行鉴别。
III.建立公司的软件使用政策。
IV.为每个用户都提供软件安装盘。
A.I和IV
B.I，II和III
C.II和IV
D.II和III
【答案】B
【解析】
I.正确。保存所有软件购置的记录可在必要时作为法律证据。
II.正确。对每台计算机上使用的软件进行鉴别可减少盗版软件的使用率。
III.正确。建立全公司的软件使用政策可减少盗版软件的使用。
IV.不正确。由于一套正版软件只能运行在一台机器上，为每个用户都提供软件安装盘明显会增加安装非法软件的可能性。
【例题】某部门采购了文字处理软件程序的一个拷贝供内部应用。部门经理在其办公室的电脑上安装了该程序，然后对原来的磁盘进行了两次完整的拷贝。第1份拷贝完全用于备份目的，第2份拷贝供给部门的另一名成员使用。从软件许可和版权法方面考虑，以下哪种说法正确?
A.两份拷贝都是合法的。
B.只有第1份拷贝是合法的。
C.只有第2份拷贝是合法的。
D.两份拷贝都不合法。
【答案】B
【解析】
A.不正确。见题解B。
B.正确。根据版权法，只有用于备份目的而制作的拷贝是合法的。
C.不正确。见题解B。
D.不正确。见题解B。
【例题】对于评估拥有超过15000台计算机工作站的组织遵守软件许可证规定的情况，以下哪一项是最适合的起点?
A.确定软件安装是否被集中控制或者软件的安装是在整个组织内分散进行。
B.确定什么样的软件被安装在公司计算机中以及安装的每一个软件的数量。
C.确定公司购买了多少套软件。
D.确定为监督软件的使用，安装了什么样的设备。
【答案】A
【解析】
A.正确。逻辑起点是为了确定各控制点，然后才能对许可证合规性的证据进行评估。
B.不正确。在采取这一步骤前，审计师将首先确定是否集中控制了软件的安装，因为这将影响审计师对安装软件运行的信息的判断。
C.不正确。这将帮助审计师确定软件是否合法取得，但是审计师还需要通过确定在IIIUL安装的软件来开始这一步骤，并且答案a是更加有用的起点。
D.不正确。在评估许可证合规性时，监督使用者不如确定安装程序重要。

（责任编辑：中大编辑）

共2页,当前第1页  第一页  前一页  下一页