ГОСТ Р ИСО-МЭК 12207-2010 Процессы ЖЦ ПС. Процессы жизненного цикла программных средств
 Скачать 457.34 Kb.
|
|
Примечание - Следует документировать, классифицировать, своевременно и объективно сообщать о проблемах или возможностях и альтернативных направлениях деятельности, которые способны разрешить существующие проблемы. 6.3.3.3.2 Анализ решений Данный вид деятельности состоит из решения следующих задач: 6.3.3.3.2.1 При реализации проекта необходимо выбирать и объявлять стратегию принятия решения для каждой ситуации, в которой необходимо принять решение. Проект должен определять желаемые результаты и измеримые критерии успешного принятия решений. 6.3.3.3.2.2 При реализации проекта необходимо оценивать баланс последствий альтернативных действий, используя определенную стратегию принятия решений с целью оптимизации или улучшения ситуации принятия решений. 6.3.3.3.3 Прослеживание решений Данный вид деятельности состоит из решения следующих задач: 6.3.3.3.3.1 При реализации проекта необходимо регистрировать, отслеживать, оценивать и сообщать о результатах принятия решений для подтверждения эффективности решения проблем, устранения отрицательных тенденций и получения возможных преимуществ. 6.3.3.3.3.2 При реализации проекта необходимо поддерживать записи о проблемах и возможностях их решения, а также размещать записи в соответствии с соглашениями или организационными процедурами таким образом, который позволяет проводить аудит и изучать полученный опыт. 6.3.4 Процесс менеджмента рисков 6.3.4.1 Цель Цель процесса менеджмента рисков заключается в постоянном определении, анализе, обработке и мониторинге рисков. Процесс менеджмента рисков является непрерывным процессом для систематичной адресации риска по всему жизненному циклу системного или программного продукта или услуги. Это может быть применимо к рискам, связанным с приобретением, разработкой, сопровождением или применением по назначению системы. 6.3.4.2 Выходы В результате успешного осуществления процесса менеджмента рисков: a) определяется область применения выполняемого менеджмента рисков; b) определяются и выполняются соответствующие стратегии менеджмента рисков; c) определяются риски по мере их выявления и в течение проведения проекта; d) риски анализируются и определяются приоритеты использования ресурсов для обработки этих рисков; e) определяются, применяются и оцениваются степени риска для установления изменений состояния риска и прогресса в действиях по его обработке; f) предпринимается обработка для исправления или уклонения от воздействия риска, основанная на его приоритете, вероятности и последствиях или другом определенном пороговом значении риска. 6.3.4.3 Виды деятельности и задачи В проекте должны реализоваться следующие виды деятельности и задачи в соответствии с принятыми в организации политиками и процедурами в отношении процесса менеджмента рисков. Примечание - В [22] процесс менеджмента рисков предусматривает более детальную совокупность действий и задач, которые согласуются с действиями и задачами, представленными ниже. 6.3.4.3.1 Планирование менеджмента рисков Данный вид деятельности состоит из решения следующих задач: 6.3.4.3.1.1 Должны быть определены политики менеджмента рисков, описывающие руководящие указания, регламентирующие выполнение менеджмента рисков. 6.3.4.3.1.2 Должно быть документировано описание осуществляемого процесса менеджмента рисков. 6.3.4.3.1.3 Должны быть определены стороны, ответственные за выполнение менеджмента рисков, их роли и обязанности. 6.3.4.3.1.4 Ответственные стороны должны быть обеспечены ресурсами, достаточными для выполнения процесса менеджмента рисков. 6.3.4.3.1.5 Должно быть предоставлено описание процесса оценки и совершенствования процесса менеджмента рисков. Примечание - Эта задача включает в себя накопление полученных знаний и опыта. 6.3.4.3.2 Менеджмент профиля рисков Данный вид деятельности состоит из решения следующих задач: 6.3.4.3.2.1 Содержание процесса менеджмента рисков должно быть определено и документировано. Примечание - Эта задача включает в себя описание перспектив правообладателей, категорий риска и описание (возможно посредством ссылки) технических и управленческих целей, допущений и ограничений. 6.3.4.3.2.2 Должны быть документированы пороговые значения риска, определяющие условия, при которых уровень риска может быть принят. 6.3.4.3.2.3 Должен устанавливаться и поддерживаться профиль рисков. Примечание - Записи профиля рисков включают в себя содержание менеджмента рисков; запись каждого состояния риска, включая его вероятность, последствия и пороговые значения риска; приоритет каждого риска, основанный на критериях риска, представленных правообладателями; требования по осуществлению действий, связанных с состоянием и обработкой риска. Профиль рисков обновляется, если имеются изменения в отдельном состоянии риска. Приоритеты в профиле рисков используются для определения применения ресурсов для обработки рисков. 6.3.4.3.2.4 Содержание соответствующего профиля рисков должно периодически доводиться до сведения правообладателей в зависимости от их потребностей. 6.3.4.3.3 Анализ рисков Данный вид деятельности состоит из решения следующих задач: 6.3.4.3.3.1 Риски должны быть идентифицированы в категориях, описанных в контексте менеджмента рисков. 6.3.4.3.3.2 Должна быть оценена вероятность возникновения и последствия каждого идентифицированного риска. 6.3.4.3.3.3 Каждый риск должен быть оценен по отношению к его пороговым значениям. 6.3.4.3.3.4 Для каждого риска, который находится выше его порогового значения, должны быть определены и документированы рекомендуемые стратегии обработки. Измеримые значения показателей, характеризующих результативность альтернативных вариантов обработки, также должны быть определены и документированы. Примечание - Стратегии обработки риска включают в себя, по крайней мере: устранение риска, уменьшение вероятности его появления или серьезности последствий или принятие риска. 6.3.4.3.4 Обработка рисков Данный вид деятельности состоит из решения следующих задач: 6.3.4.3.4.1 Правообладатели должны предоставлять рекомендованные альтернативы обработки риска в требованиях на действия по отношению к риску. 6.3.4.3.4.2 Если правообладатели посчитают, что следует предпринять действия для того, чтобы сделать риск приемлемым, то должна быть реализована альтернатива обработки риска. 6.3.4.3.4.3 Если правообладатели принимают риск, который превышает пороговое значение, то этот риск должен рассматриваться как высоко приоритетный и непрерывно контролироваться для определения необходимых будущих действий по его обработке. 6.3.4.3.4.4 Как только обработка риска выбрана, она должна следовать тем же действиям, что и при менеджменте проблем, в соответствии с действиями по аттестации и управлению, изложенными в 6.3.2 настоящего стандарта или в [18]. 6.3.4.3.5 Мониторинг рисков Данный вид деятельности состоит из решения следующих задач: 6.3.4.3.5.1 Все риски и содержание менеджмента рисков должны подвергаться мониторингу для выявления изменений. В случае изменения состояния риска должна быть выполнена его оценка. 6.3.4.3.5.2 Для оценки результативности обработки риска должны разрабатываться и контролироваться соответствующие измеримые показатели. 6.3.4.3.5.3 В течение всего жизненного цикла проекта должен проводиться постоянный мониторинг возникновения новых рисков и их источников. 6.3.4.3.6 Оценка процесса менеджмента рисков Данный вид деятельности состоит из решения следующих задач: 6.3.4.3.6.1 Должна собираться информация в течение всего жизненного цикла проекта для целей улучшения процесса менеджмента рисков и извлечения практических уроков. Примечание - Информация о рисках включает в себя идентифицированные риски, их источники, причины, обработку и примеры успешного применения выбранных вариантов обработки. 6.3.4.3.6.2 Процесс менеджмента рисков должен периодически пересматриваться в плане его результативности и эффективности. 6.3.4.3.6.3 Информация об идентифицированных рисках, их обработке и примерах успешной обработки должна периодически пересматриваться с целью выявления системных проектных и организационных рисков. 6.3.5 Процесс менеджмента конфигурации 6.3.5.1 Цель Цель процесса менеджмента конфигурации состоит в установлении и поддержании целостности всех идентифицированных выходных результатов проекта или процесса обеспечения доступа к ним любой заинтересованной стороны. 6.3.5.2 Выходы В результате успешного осуществления процесса менеджмента конфигурации: a) определяется стратегия менеджмента конфигурации; b) определяются составные части, нуждающиеся в менеджменте конфигурации; c) устанавливается базовая линия конфигурации; d) осуществляется управление изменениями в составных частях, находящихся под менеджментом конфигурации; e) осуществляется управление конфигурацией составных частей, входящих в выпуск; f) статус составных частей, на которые распространяется менеджмент конфигурации, становится доступным на протяжении всего жизненного цикла. Примечание - Процесс менеджмента конфигурации программных средств является специальным случаем процесса менеджмента конфигурации и входит в группу процессов поддержки программных средств. 6.3.5.3 Виды деятельности и задачи В проекте должны осуществляться следующие виды деятельности и задачи в соответствии с принятыми в организации политиками и процедурами в отношении процесса менеджмента конфигурации. 6.3.5.3.1 Планирование менеджмента конфигурации Данный вид деятельности состоит из решения следующих задач: 6.3.5.3.1.1 В проекте должна быть определена стратегия менеджмента конфигурации. Примечание - К этой задаче относят: определение полномочий на запрет или разрешение доступа, выпуск и управление изменениями элементов конфигурации; определение места и условий хранения, включая требования к окружающей среде, а в случае информации - определение носителей для хранения в соответствии с назначенными уровнями целостности, защищенности и безопасности; определение критериев или событий, соответствующих началу управления конфигурацией и сопровождению базовых линий развития конфигураций; определение стратегии аудита и ответственности за гарантии непрерывной целостности и защищенности информации, описывающей конфигурацию. Деятельность менеджмента конфигурации следует согласовать с руководством, представленным в [6]. 6.3.5.3.1.2 В проекте должны быть идентифицированы составные части, которые являются предметом управления конфигурацией. Примечание - Составные части, где это необходимо, различаются уникальными долговременными идентификаторами или маркировками. Идентификаторы должны соответствовать стандартам и соглашениям производственного сектора так, чтобы составные части, находящиеся под управлением конфигурации, однозначно соответствовали своим спецификациям или их эквивалентам, документированным описаниям. 6.3.5.3.2 Осуществление менеджмента конфигурации Данный вид деятельности состоит из решения следующих задач: 6.3.5.3.2.1 Проект должен поддерживать информацию о конфигурации на приемлемом уровне целостности и защищенности. Примечание - При решении этой задачи необходимо учитывать особенности составных частей, находящихся под управлением конфигурацией. Конфигурация описывает, где это возможно, соответствие технологическим стандартам или стандартам на продукцию. Необходимо гарантировать, что информация о конфигурации позволяет иметь прямую и обратную прослеживаемость к другим состояниям конфигурации, описываемым базовой линией. Необходимо объединять развивающиеся состояния составных частей конфигурации для формирования документированной базовой линии на определенные моменты времени или при определенных обстоятельствах. Необходимо регистрировать обоснования для базовой линии и связанных с этим полномочий по отношению к данным о базовой линии конфигурации. Необходимо поддерживать записи о конфигурации в течение всего жизненного цикла системы и архивировать их в соответствии с соглашениями, законодательством или передовым производственным опытом. 6.3.5.3.2.2 При реализации проекта необходимо гарантировать надлежащее проведение идентификации, регистрации, оценивания, утверждения, внедрения и верификации при изменениях базовой линии конфигурации. Примечание - Эта задача также может включать в себя объединение в процессе развития конфигурации состояний ее составных частей для формирования документированной базовой линии на определенный момент времени или при определенных обстоятельствах; регистрацию состояний конфигурации, обоснования для базовой линии и связанных с этим полномочий по отношению к данным о базовой линии конфигурации; поддержку записей о конфигурации в течение всего жизненного цикла системы и архивирование в соответствии с соглашениями, законодательством или наилучшей производственной практикой; управление выполнением записей, изменениями и утверждениями текущего статуса конфигурации и статуса всех предыдущих конфигураций для подтверждения корректности, своевременности, целостности и защищенности информации; проведение аудита для проверки соответствия базовой линии чертежам, документам по управлению интерфейсами и другим согласованным требованиям. 6.3.6 Процесс менеджмента информации 6.3.6.1 Цель Цель процесса менеджмента информации состоит в своевременном предоставлении заинтересованным сторонам релевантной, своевременной, полной, достоверной и, если требуется, конфиденциальной информации в течение и соответственно после завершения жизненного цикла системы. В рамках данного процесса реализуется создание, сбор, преобразование, хранение, поиск, распространение и использование информации. Процесс управляет информацией, включая техническую, проектную, организационную, пользовательскую информацию, а также информацию, содержащуюся в соглашениях. 6.3.6.2 Выходы В результате успешного осуществления процесса менеджмента информации: a) определяется информация, подлежащая управлению; b) определяются формы представления информации; c) информация преобразуется и распределяется в соответствии с требованиями; d) документируется статус информации; e) информация является актуальной, полной и достоверной; f) информация становится доступной для уполномоченных сторон. Примечание - Процесс менеджмента документации программных средств является частным случаем процесса менеджмента информации и входит в группу процессов поддержки программных средств. 6.3.6.3 Виды деятельности и задачи В проекте должны осуществляться следующие виды деятельности и задачи в соответствии с принятыми в организации политиками и процедурами в отношении процесса менеджмента информации. Примечание - В [19] суммируются требования к информационным блокам (документации) и приводится руководство по их разработке. 6.3.6.3.1 Планирование менеджмента информации Данный вид деятельности состоит из решения следующих задач: 6.3.6.3.1.1 В проекте должны определяться информационные блоки, которые будут подвергаться менеджменту в течение жизненного цикла системы и согласно политике организации или законодательству поддерживаться в течение определенного периода после его окончания. 6.3.6.3.1.2 При реализации проекта необходимо распределять полномочия и обязанности, относящиеся к зарождению, созданию, накоплению, архивированию и использованию информационных блоков. 6.3.6.3.1.3 При реализации проекта должны быть определены права, обязанности и обязательства, касающиеся хранения, передачи и доступа к информационным блокам. Примечание - Необходимо уделять должное внимание законодательству, защите и сохранению тайны информации и данных, например, по правам владения, договорным ограничениям, правам доступа, интеллектуальной собственности и патентному законодательству. В случае применения ограничений или допущений информация идентифицируется соответствующим образом. Штатному персоналу, который ознакомлен с подобными блоками информации, сообщается о его обязанностях и ответственности. |