Tiêu chuẩn Quốc gia TCVN 10607-4:2014 quy định một danh sách đặc tính độc lập của các quy trình, hoạt động, tác vụ nhằm đạt được đòi hỏi và thể hiện việc đạt được đòi hỏi đó. Tiêu chuẩn này thiết lập các quy trình, hoạt động, tác vụ và khuyến nghị theo ngữ cảnh của một mô hình vòng đời và tập các quy trình vòng đời được định nghĩa đối với hệ thống và/hoặc việc quản lý vòng đời phần mềm.
TCVN 10607-4:2014 ISO/IEC 15026-4:2012 KỸ THUẬT PHẦN MỀM VÀ HỆ THỐNG - ĐẢM BẢO PHẦN MỀM VÀ HỆ THỐNG - PHẦN 4: ĐẢM BẢO TRONG VÒNG ĐỜI Systems and software engineering - Systems and software assurance - Part 4: Assurance in the life cycle Lời nói đầu TCVN 10607-4:2014 hồn toàn tương đương với ISO/IEC 15026-4:2012 TCVN 10607-4:2014 Ban kỹ thuật tiêu chuẩn quốc gia TCVN/JTC Công nghệ thông tin biên soạn, Tổng cục Tiêu chuẩn Đo lường Chất lượng đề nghị, Bộ Khoa học Công nghệ công bố Bộ TCVN 10607 (ISO/IEC 15026) Kỹ thuật phần mềm hệ thống gồm tiêu chuẩn sau: - TCVN 10607-1:2014 (ISO/IEC 15026-1:2013) Kỹ thuật phần mềm hệ thống - Đảm bảo phần mềm hệ thống - Phần 1: Khái niệm từ vựng; - TCVN 10607-2:2014 (ISO/IEC 15026-2:2011) Kỹ thuật phần mềm hệ thống - Đảm bảo phần mềm hệ thống - Phần 2: Trường hợp đảm bảo; - TCVN 10607-3:2014 (ISO/IEC 15026-3:2011) Kỹ thuật phần mềm hệ thống - Đảm bảo phần mềm hệ thống - Phần 3: Mức toàn vẹn hệ thống; - TCVN 10607-4:2014 (ISO/IEC 15026-4:2012) Kỹ thuật phần mềm hệ thống - Đảm bảo phần mềm hệ thống - Phần 4: Đảm bảo vòng đời KỸ THUẬT PHẦN MỀM VÀ HỆ THỐNG - ĐẢM BẢO PHẦN MỀM VÀ HỆ THỐNG - PHẦN 4: ĐẢM BẢO TRONG VÒNG ĐỜI Systems and software engineering - Systems and software assurance - Part 4: Assurance in the life cycle Phạm vi áp dụng Tiêu chuẩn đưa hướng dẫn khuyến nghị việc quản lý quy trình, hoạt động tác vụ chọn lựa hệ thống sản phẩm phần mềm yêu cầu đòi hỏi đảm bảo quan tâm đặc biệt, gọi đặc tính quan trọng Tiêu chuẩn quy định danh sách đặc tính độc lập quy trình, hoạt động, tác vụ nhằm đạt đòi hỏi thể việc đạt đòi hỏi Tiêu chuẩn thiết lập quy trình, hoạt động, tác vụ khuyến nghị theo ngữ cảnh mơ hình vòng đời tập quy trình vòng đời định nghĩa hệ thống và/hoặc việc quản lý vòng đời phần mềm CHÚ THÍCH Bên liên quan xác định điều mà đặc tính hệ thống hay phần mềm chọn lựa quan tâm đặc biệt yêu cầu đòi hỏi đảm bảo Tiêu chuẩn sử dụng thuật ngữ “quan trọng” nhằm phân biệt đặc tính với u cầu khác Sự phù hợp Có thể đòi hỏi phù hợp tiêu chuẩn với mối quan hệ dạng quy trình đảm bảo hệ thống và/hoặc dạng quy trình đảm bảo phần mềm Do đó, phù hợp với tiêu chuẩn đạt theo hay hai cách thức sau: a) Mô tả kết yêu cầu dạng quy trình đảm bảo hệ thống (Điều 6.1.2) đạt được, nhằm phù hợp với Thỏa thuận, Dự án Quy trình kỹ thuật ISO/IEC 15288 b) Mô tả kết yêu cầu dạng quy trình đảm bảo phần mềm (Điều 6.2.2) đạt được, nhằm phù hợp với Thỏa thuận, Dự án, quy trình Đặc tả Phần mềm Kỹ thuật ISO/IEC 12207:2008 Một đòi hỏi phù hợp tương ứng với đòi hỏi cụ thể liên quan tới hệ thống phần mềm chọn Sự phù hợp TCVN 10607-2 hỗ trợ nhằm đạt kết cần thiết hai dạng quy trình tiêu chuẩn CHÚ THÍCH Các bên có thỏa thuận chọn lựa nhằm kết hợp phần chọn lựa tiêu chuẩn theo thời hạn thỏa thuận Tuy nhiên, việc tuân thủ thỏa thuận không biện minh đòi hỏi phù hợp tiêu chuẩn Một đòi hỏi phù hợp biện minh giải thích bên Tài liệu viện dẫn Các tài liệu viện dẫn sau cần thiết cho việc áp dụng tiêu chuẩn Đối với tài liệu viện dẫn ghi năm cơng bố áp dụng phiên nêu Đối với tài liệu viện dẫn khơng ghi năm cơng bố áp dụng phiên nhất, bao gồm sửa đổi, bổ sung (nếu có) TCVN 10607-1 (ISO/IEC 15026-1) Kỹ thuật phần mềm hệ thống - Đảm bảo phần mềm hệ thống - Phần 1: Khái niệm từ vựng ISO/IEC 15288:2008, Systems and software engineering - System life cycle processes ISO/IEC 12207:2008, Systems and software engineering - Software life cycle processes Thuật ngữ định nghĩa Tiêu chuẩn áp dụng thuật ngữ định nghĩa đưa TCVN 10607-1, ISO/IEC 15288:2008 ISO/IEC 12207:2008 Khái niệm quan trọng sử dụng tiêu chuẩn 5.1 Phương pháp tiếp cận vòng đời Giả định người dùng tiêu chuẩn sử dụng mơ hình vòng đời tập quy trình vòng đời định nghĩa hệ thống và/hoặc quản lý vòng đời phần mềm Thơng qua vòng đời, hệ thống dạng quy trình phần mềm Điều sử dụng hướng dẫn khuyến nghị Điều cơng quy trình, hoạt động tác vụ cụ thể nhằm đạt thể việc đạt đòi hỏi đảm bảo Khi tất quy trình ISO/IEC 15288 ISO/IEC 12207 áp dụng lặp đệ quy vòng đời, hướng dẫn khuyến nghị đảm bảo áp dụng lặp đệ quy Theo cách đó, việc đạt đảm bảo kiểm tra lần lặp hay đệ quy CHÚ THÍCH Xem ISO/IEC TR 24748-1 để có thơng tin mơ hình vòng đời, việc lặp đệ quy quy trình 5.2 Đòi hỏi đảm bảo Khi đòi hỏi hệ thống sản phẩm phần mềm kêu gọi đảm bảo hay nhiều đặc tính quan trọng hệ thống hay sản phẩm phần mềm, đòi hỏi đảm bảo tổng quan liên quan tới giá trị đặc tính đề cập TCVN 10607 đòi hỏi đảm bảo Các đặc tính quan trọng thường theo lĩnh vực có rủi ro hay hệ quan trọng liên quan như: độ tin cậy, tính khả trì, an tồn, an ninh yếu tố người CHÚ THÍCH Tài liệu điều phù hợp với TCVN 10607-2 Việc đạt đòi hỏi đảm bảo thường bao gồm tất xem xét có liên quan việc đạt đòi hỏi xác Một đòi hỏi định nghĩa ISO/IEC 29148 là: “mô tả chuyển dịch thể nhu cầu, khó khăn điều kiện liên quan” định nghĩa TCVN 10607-1 là: “mô tả điều xác bao gồm điều kiện giới hạn liên quan” Tiêu chuẩn xem xét yêu cầu mô tả giá trị biến đòi hỏi mơ tả u cầu Trong đòi hỏi phát sinh từ số nguồn, chúng thường thúc đẩy hệ tiêu cực thực tế tiềm ẩn liên quan tới mục đích sử dụng hệ thống biện minh phát sinh theo yêu cầu hệ thống phần mềm Mỗi đòi hỏi đảm bảo quy định rõ ràng đầy đủ, bao gồm: a) “Đòi hỏi đảm bảo” - đòi hỏi mức cao, bao gồm: 1) Các giá trị cho biến đặc tính quan trọng yêu cầu cho việc đạt 2) Các giới hạn độ không xác định cho phép liên quan tới việc đạt 3) Các điều kiện và/hoặc thời hạn áp dụng áp dụng 4) Tập phiên trường hợp sản phẩm phần mềm hay hệ thống bao trùm đòi hỏi b) “Biện minh cho đòi hỏi đảm bảo” - biện minh việc chọn lựa quy định đòi hỏi đảm bảo đặc biệt c) “Nội dung thông tin thể việc đạt đòi hỏi đảm bảo” ngắn gọn là: “thơng tin thể [hoặc đảm bảo] việc đạt đòi hỏi đảm bảo” Điều cuối bao gồm chứng, lý hay lập luận thể cách thức chứng hỗ trợ đòi hỏi giả định làm sở cho lý Lý thường có nhiều mức đòi hỏi phát sinh từ bên nó, ví dụ: đòi hỏi phần tử hệ thống mức phân tách cần để đòi hỏi đảm bảo hệ thống hay sản phẩm phần mềm Nội dung thơng tin bao gồm thơng tin về: tính hiệu lực, toàn vẹn, tương quan ý nghĩa chứng Lý thường bao gồm vài loại lập luận khác nhau, ví dụ: lập luận dựa lý thiết kế, việc sử dụng kỹ thuật thiết kế phòng thủ, việc xác minh xác thực kết quả, công hệ thống hay sản phẩm tương tự, phù hợp với tiêu chuẩn hay liệu miền Chúng kết hợp nhằm đạt kết luận chung đánh giá độ không xác định tồn liên quan tới việc đạt đòi hỏi đảm bảo Nội dung thơng tin kết hợp tổ chức thành ba mục là: (hay nhiều) phần tử hệ thống hay sản phẩm phần mềm, trì cập nhật suốt vòng đời hệ thống nhằm bao trùm việc phát triển hay trì Như phần tử hệ thống, tất quy trình, hoạt động tác vụ liên quan tới phần tử hệ thống áp dụng cho nó, ví dụ: quản lý cấu hình, xác minh xác thực 5.3 Sử dụng tiêu chuẩn Tiêu chuẩn sử dụng thỏa thuận nhà thâu nhận nhà cung cấp, mục đích pháp lý, đánh giá quy trình phát triển nội nhằm tăng cường việc đạt thể việc đạt đòi hỏi đảm bảo hệ thống hay sản phẩm phần mềm Tuy nhiên, việc sử dụng tiêu chuẩn không bị giới hạn theo ba mục đích 5.3.1 Sử dụng thỏa thuận Tiêu chuẩn sử dụng thỏa thuận nhà thâu nhận nhà cung cấp liên quan tới việc đạt thể việc đạt đòi hỏi đảm bảo theo giá trị biến đặc tính quan trọng hệ thống hay sản phẩm phần mềm thừa nhận Mối quan hệ nhà thâu nhận nhà cung cấp xảy nhiều mức khác chuỗi cung ứng (nhà cung cấp chính, bên tổ chức,.v v.) CHÚ THÍCH Một thỏa thuận tồn nhiều dạng: từ hợp đồng viết tay thỏa thuận lời 5.3.2 Sử dụng cho quy định Một đơn vị có thẩm quyền sử dụng tiêu chuẩn để quy định nhằm đảm bảo vài đặc tính quan trọng hệ thống hay sản phẩm phần mềm Sự cần thiết quy định phát sinh nhằm đảm bảo hay chứng thực đặc tính quan trọng hệ thống hay sản phẩm phần mềm, nhằm làm rõ việc đảm bảo chúng theo điều kiện thương mại hay nhằm thực vài hoạt động khác 5.3.3 Sử dụng cho phát triển Tiêu chuẩn sử dụng đánh giá nội nhà phát triển nhằm cải thiện quy trình việc đạt thể việc đạt đòi hỏi đảm bảo đặc tính hệ thống hay sản phẩm phần mềm quan trọng mà phát triển Mục đích dạng quy trình kết yêu cầu 6.1 Dạng quy trình đảm bảo hệ thống Các điều sau định nghĩa mục đích kết yêu cầu dạng quy trình đảm bảo hệ thống 6.1.1 Mục đích Mục đích dạng quy trình đảm bảo hệ thống đạt đòi hỏi đảm bảo liên quan tới đặc tính hệ thống chọn lựa quan tâm đặc biệt cung cấp nội dung thông tin thể việc đạt đòi hỏi Dạng quy trình đảm bảo hệ thống bao trùm hệ thống đáng quan tâm bao gồm phần mềm thành phần 6.1.2 Kết yêu cầu Các kết sau phải thu từ việc xây dựng thành công Dạng quy trình đảm bảo hệ thống: a) Một tập yêu cầu cho việc đạt đặc tính quan trọng định nghĩa b) Các đòi hỏi đảm bảo, biện minh chúng nội dung thông tin thể việc đạt đòi hỏi đảm bảo đặc tính quan trọng xây dựng phần tử hệ thống c) Một chiến lược nhằm đạt đòi hỏi đảm bảo thể việc đạt được định nghĩa d) Sự mở rộng việc đạt đòi hỏi đảm bảo kết nối với bên liên quan bị ảnh hưởng 6.2 Dạng quy trình đảm bảo phần mềm Các điều sau định nghĩa mục đích kết yêu cầu dạng quy trình đảm bảo phần mềm 6.2.1 Mục đích Mục đích dạng quy trình đảm bảo phần mềm nhằm đạt đòi hỏi đảm bảo liên quan tới đặc tính phần mềm chọn lựa mối quan tâm đặc biệt cung cấp nội dung thơng tin thể việc đạt đòi hỏi 6.2.2 Kết yêu cầu Các kết sau phải thu từ việc xây dựng thành công Dạng quy trình đảm bảo phần mềm: a) Một tập yêu cầu việc đạt đặc tính quan trọng việc ứng dụng dạng quy trình định nghĩa b) Các đòi hỏi đảm bảo, biện minh chúng nội dung thông tin thể việc đạt đòi hỏi đảm bảo đặc tính quan trọng thiết lập phần tử hệ thống c) Một chiến lược nhằm đạt đòi hỏi đảm bảo thể việc đạt được định nghĩa d) Sự mở rộng việc đạt đòi hỏi kết nối với bên liên quan bị ảnh hưởng Hướng dẫn khuyến nghị đảm bảo quy trình chọn lựa 7.1 Giới thiệu Điều dẫn chứng hoạt động tác vụ Thỏa thuận, Dự án loại quy trình kỹ thuật tiêu chuẩn: ISO/IEC 15288:2008 ISO/IEC 12207:2008, yêu cầu việc mở rộng hay diễn giải đặc biệt mức đảm bảo định nghĩa mô tả Số lượng hoạt động tác vụ tương ứng với số lượng tiêu chuẩn gốc (ISO/IEC 15288 ISO/IEC 12207) Hướng dẫn khuyến nghị liên quan tới đòi hỏi đảm bảo nêu việc thực hoạt động tác vụ nhằm đạt kết dạng quy trình Hướng dẫn khuyến nghị thừa nhận dựa toàn ứng dụng tiêu chuẩn: ISO/IEC 15288 ISO/IEC 12207 đề cập Điều Các quy trình hoạt động khơng dẫn chứng điều xem xét đầy đủ định nghĩa tiêu chuẩn: ISO/IEC 15288 ISO/IEC 12207 nhằm đạt đòi hỏi đặc tính quan trọng 7.2 Quy trình thâu nhận Quy trình thâu nhận (Điều 6.1.1, ISO/IEC 15288 Điều 6.1.1, ISO/IEC 12207) thu sản phẩm hay dịch vụ tương ứng với yêu cầu nhà thâu nhận Khi thâu nhận phần tử hệ thống, quy trình phải đảm bảo tất yêu cầu việc đạt hay thể việc đạt đòi hỏi đảm bảo tương ứng với phần tử hệ thống chuyển đến cho nhà cung cấp thông qua thỏa thuận 7.2.1 Hoạt động tác vụ liên quan Hoạt động ISO/IEC 15288 Hoạt động ISO/IEC 12207 6.1.1.3 c) Bắt đầu thỏa thuận 6.1.1.3.4 Thỏa thuận hợp đồng 1) Đàm phán thỏa thuận với nhà cung cấp 6.1.1.3.4.2 Nhà thâu nhận phải chuẩn bị đàm phán thỏa thuận với nhà cung cấp nhằm nêu lên yêu cầu thu thập, bao gồm: chi phí lịch biểu sản phẩm hay dịch vụ phần mềm chuyển giao Hợp đồng phải nêu lên quyền sở hữu, sử dụng, làm chủ, bảo hành quyền sở hữu tương ứng với sản phẩm phần mềm sẵn có có khả tái sử dụng d) Giám sát thỏa thuận 1) Đánh giá việc thực thỏa thuận 2) Cung cấp liệu cần thiết nhà cung cấp giải mục theo thời gian 6.1.1.3.5 Giám sát thỏa thuận 6.1.1.3.5.1 Nhà thâu nhận phải giám sát hoạt động nhà cung cấp theo Quy trình kiểm tra phần mềm Quy trình đánh giá phần mềm Nhà thâu nhận phải hỗ trợ việc giám sát với Quy trình xác minh phần mềm Quy trình xác nhận phần mềm cần thiết 7.2.2 Hướng dẫn khuyến nghị đảm bảo Dự án phải đảm bảo thỏa thuận xem xét tới biến giá trị đặc tính quan trọng chúng phần tử hệ thống thu thập Thỏa thuận phải bao gồm yêu cầu toàn vẹn (ví dụ: việc bảo vệ chống lại phần ngụy tạo, giả mạo, phần tử hệ thống với lỗ hổng tiết lộ thông tin tuyệt mật, bao trùm thông tin lỗ hổng để đảm bảo kết thu đáng mong đợi Dự án phải bắt nguồn từ đòi hỏi phần tử hệ thống thâu nhận từ đòi hỏi đảm bảo hệ thống kết hợp chúng thành đề nghị hỗ trợ phần tử hệ thống Ngoài ra, dự án phải kết hợp với xem xét sau thành đàm phán thỏa thuận với nhà cung cấp: a) Tin tưởng kiểm soát thích hợp liên quan tới tính khả tín (ví dụ: tin cậy) nhân viên tổ chức liên quan thiết lập hiệu b) Tin tưởng nhà cung cấp phòng giữ khỏi phần ngụy tạo, giả mạo đe dọa khác hệ thống toàn vẹn sản phẩm chống lại việc tiết lộ thông tin tuyệt mật c) Tin tưởng phần tử hệ thống truyền, nhận có khả mở rộng, cài đặt vận hành nhiều mục đích d) Tin tưởng mơi trường phát triển sản phẩm có tài nguyên thích hợp chỗ nhằm bảo vệ tồn vẹn sản phẩm đặc tính quan trọng suốt q trình phát triển e) Tin tưởng mơ hình vòng đời phát triển phần mềm hay hệ thống chọn lựa nhà cung cấp thích hợp với chất đòi hỏi đạt f) Tin tưởng kiểm sốt thích hợp liên quan tới việc triển khai khả tín, u cầu an tồn, việc đạt khả tín hệ thống u cầu tồn vẹn an toàn triển khai hiệu g) Tin tưởng vòng đời phát triển quản lý sử dụng quy trình lặp lại, ghi chép cẩn thận, giám sát dựa kế hoạch quản lý chất lượng thích hợp với chất đòi hỏi đạt Dự án phải xem lại cách tiếp cận nhằm thể việc đạt đòi hỏi xem xét thâu nhận từ nhà cung cấp mối quan hệ nhà cung cấp thay đổi (ví dụ: thâu nhận, tạo mới, hòa trộn với thực thể khác) yêu cầu nhà thâu nhận thay đổi để đảm bảo nhà cung cấp khơng trì hỗn thơng tin u cầu, cho phép đe dọa phá hoại bảo vệ chỗ sẵn sàng bảo vệ hệ thống Dự án phải trình yêu cầu đề xuất (RFP) mà hiểu xác nhà cung cấp bên liên quan khác thiết lập thủ tục việc giải vấn đề, mở rộng thay đổi thỏa thuận trường hợp giải vấn đề bao quát Dựa thay đổi thỏa thuận, dự án cần đảm bảo yêu cầu bên liên quan định nghĩa quy trình Định nghĩa yêu cầu bên liên quan điểm thay đổi khởi đầu Dự án cần xem xét thỏa thuận nhiều giai đoạn thích hợp CHÚ THÍCH Tham khảo Phụ lục F.3, ISO/IEC 12207:2008 mơ tả Quy trình quản lý thay đổi hợp đồng 7.3 Quy trình cung ứng Quy trình cung ứng (Điều 6.1.2, ISO/IEC 15288:2008, Điều 6.1.2, ISO/IEC 12207:2008) nhà thâu nhận với sản phẩm hay dịch vụ nhằm đáp ứng yêu cầu thỏa thuận Khi phần tử hệ thống cung cấp, quy trình cần đảm bảo tất yêu cầu việc đạt thể việc đạt đòi hỏi tương ứng với phần tử hệ thống chuyển đến nhà thâu nhận 7.3.1 Hoạt động tác vụ liên quan Dạng quy trình đảm bảo hệ thống 6.1.2.3 c) Bắt đầu thỏa thuận Dạng quy trình đảm bảo phần mềm 6.1.2.3.4 Thực hợp đồng 1) Đàm phán thỏa thuận với nhà thâu nhận d) Thực thỏa thuận 6.1.2.3.4.8 Nhà cung cấp phải giám sát kiểm sốt tiến trình chất lượng sản phẩm hay dịch vụ dự án suốt vòng đời 1) Thực thỏa thuận dựa kế ký kết Nó phải tác vụ liên tục, lặp lại mà hoạch dự án thiết lập nhà cung cấp phải cung cấp cho: dựa thỏa thuận a) Việc giám sát tiến trình cơng kỹ 2) Đánh giá việc thực thỏa thuận thuật, chi phí lịch biểu việc báo cáo tình trạng dự án b) Xác định vấn đề, ghi chép, phân tích xử lý 7.3.2 Hướng dẫn khuyến nghị đảm bảo Dự án phải đảm bảo thỏa thuận xem xét tính khả thi biến giá trị đặc tính quan trọng phần tử hệ thống cung cấp, từ yếu tố kỹ thuật tài nguyên Thỏa thuận phải bao gồm yêu cầu toàn vẹn nhằm đảm bảo đưa đáng mong đợi Dự án phải chứng lập luận đòi hỏi phần tử hệ thống bắt nguồn từ đòi hỏi đảm bảo hệ thống Ngoài ra, dự án cần kết hợp với cân nhắc sau thành đàm phán thỏa thuận với nhà thâu nhận, nhằm đạt đảm bảo bù đắp tài nguyên sẵn có cho dự án: a) Tin tưởng có cách thức nhằm đáp ứng yêu cầu yếu cách thiết thực theo yếu tố kỹ thuật yếu tố khác b) Xem xét thỏa thuận nhiều giai đoạn, thường hợp mà việc đánh giá chi phí xác khó khăn c) Xem xét bắt đầu bước vận hành hệ thống, phải khả việc thiếu thời hạn tùy theo lý không mong muốn 7.4 Quy trình lập kế hoạch dự án Quy trình lập kế hoạch dự án (Điều 6.3.1, ISO/IEC 15288:2008 Điều 6.3.1, ISO/IEC 12207:2008) cung cấp kết nối kế hoạch dự án khả thi hiệu Nhằm đảm bảo, kế hoạch dự án bao gồm tài nguyên tương xứng nhằm đạt đòi hỏi đảm bảo thể việc đạt đòi hỏi CHÚ THÍCH Các đòi hỏi đảm bảo việc thể kết đòi hỏi thu trường hợp đảm bảo theo cấu trúc định dạng TCVN 10607-2 7.4.1 Hoạt động tác vụ liên quan Hoạt động ISO/IEC 15288 Hoạt động ISO/IEC 12207 6.3.1.3 a) Định nghĩa dự án 6.3.1.3.1 Xác định dự án 1) Xác định mục tiêu hạn chế dự án 6.3.1.3.1.1 Nhà quản lý phải triển khai đòi hỏi dự án thực 2) Định nghĩa trì mơ hình vòng đời bao gồm giai đoạn sử dụng mơ hình 6.3.1.3.2 Lập kế hoạch dự án vòng đời định nghĩa tổ chức 6.3.1.3.2.1 Nhà quản lý phải chuẩn bị kế b) Lập kế hoạch tài nguyên dự án hoạch cho việc thực dự án Các kế hoạch liên quan tới việc thực dự án phải bao 1) Định nghĩa trì lịch biểu dự án gồm mơ tả hoạt động tác vụ dựa mục tiêu dự án đánh giá công tương ứng việc xác định sản phẩm việc phần mềm cung cấp Các kế hoạch bao gồm, không bị giới hạn bởi: 2) Định nghĩa lĩnh vực đạt dự án cổng định giai đoạn vòng a) Lịch biểu cho việc hoàn thiện tác vụ đời, thời gian chuyển giao khả tín yếu theo đầu vào hay đầu bên b) Đánh giá tác động c) Các tài nguyên tương ứng cần thiết để thực 3) Định nghĩa chi phí dự án lập kế hoạch tác vụ dự toán d) Định danh tác vụ 4) Xây dựng cấu trúc thẩm quyền e) Phân bổ trách nhiệm trách nhiệm công việc dự án f) Định lượng rủi ro tương ứng với 5) Định nghĩa hạ tầng dịch vụ tác vụ quy trình đòi hỏi dự án g) Các đơn vị đảm bảo chất lượng thực 6) Lập kế hoạch thu thập tài liệu, hàng hóa suốt dự án cho phép dịch vụ hệ thống cung cấp từ bên dự án h) Các chi phí tương ứng với việc thực quy trình c) Lập kế hoạch quản lý chất lượng kỹ thuật dự án i) Điều khoản môi trường hạ tầng 1) Tạo kết nối dự án kế hoạch j) Định nghĩa trì mơ hình vòng việc quản lý kỹ thuật thực đời mà bao gồm thành nhiều giai đoạn sử dụng dự án, bao gồm đánh giá mơ hình vòng đời định nghĩa cho dự án tổ chức 7.4.2 Hướng dẫn khuyến nghị đảm bảo Dự án phải bao gồm mục tiêu đảm bảo đặc tính quan trọng mục tiêu dự án Các mục tiêu đảm bảo phải bao gồm hạn chế phản ánh luật, quy định tiêu chuẩn việc tuân thủ dự án nhằm đạt mục tiêu đó, đảm bảo hoạt động tác vụ việc thu thập giấy phép hay chứng nhận cần thiết bao quát việc lập kế hoạch Ví dụ: đặc tính quan trọng như: an tồn, bao gồm chứng nhận an toàn yêu cầu phải phản ánh kế hoạch dự án CHÚ THÍCH Các mục tiêu đảm bảo dựa đặc tính quan trọng định nghĩa việc xác định nguy hiểm hậu bao gồm: tổn hại, đe dọa mối nguy quản lý hay bị ảnh hưởng hệ thống cách xem xét giá trị chấp nhận biến đặc tính quan trọng độ khơng xác định chấp thuận tối đa Các mục tiêu cần kết nối với nhiều bên liên quan dự án nhiều có thể, bao gồm: quản lý mức cao, khách hàng nhà cung cấp Phương thức phát triển, môi trường công cụ phải xác định dựa yêu cầu hệ thống CHÚ THÍCH Mỗi phương thức phát triển, ví dụ: phương pháp hướng quy trình, hướng liệu hướng đối tượng có phù hợp riêng ứng dụng khác Phương pháp phát triển phải chọn lựa dựa phân tích luồng công việc thông tin xử lý hệ thống Dự án cần đảm bảo cá nhân có kỹ thẩm quyền phù hợp nhằm bao trùm đầy đủ tất yêu cầu liên quan tới đặc tính quan trọng việc đạt thể việc đạt đòi hỏi đặc tính quan trọng Kế hoạch dự án phải bao gồm việc lập kế hoạch nhằm đạt đòi hỏi đảm bảo thể tiến trình dự án phù hợp với đòi hỏi đáp ứng theo thời gian, bao gồm: việc lập kế hoạch nhằm giải tác động tiềm ẩn từ lỗ hổng điểm yếu mà ảnh hưởng tới đòi hỏi Dự án phải làm rõ tác vụ trách nhiệm liên quan tới đòi hỏi Dự án phải lên kế hoạch việc báo cáo độc lập liên quan tới đòi hỏi đảm bảo bao gồm trách nhiệm việc báo cáo liên quan tới đòi hỏi việc quản lý mục; ghi chép mục, báo cáo, xác định cách thức báo cáo việc phổ biến thông tin phối hợp toàn tổ chức (bao gồm khách hàng nhà cung cấp cần thiết) Dự án phải kết hợp điểm định mốc quan trọng nhằm quản lý chi phí, lịch biểu công rủi ro liên quan tới độ không xác định, không rõ ràng yêu cầu phát sinh mà góp phần nhằm đạt đòi hỏi Các điểm định phải điểm liên quan dự án mà định yêu cầu quan trọng từ bên liên quan khơng bị trì hỗn, độ phức tạp chúng Dự án phải xác định hành động phụ trợ yêu cầu việc thể việc đạt đòi hỏi đặc tính quan trọng, bên cạnh việc phát triển hệ thống phần mềm tính tốn chi phí, tỷ lệ thời gian tài ngun cần thiết cho việc hồn thiện chúng Mục đích hoạt động phụ trợ phải đưa cách định lượng Đánh giá định lượng cần thiết việc đánh giá kết Quy trình vận hành Sự đánh giá việc đạt phải tiếp diễn suốt giai đoạn áp dụng đòi hỏi đảm bảo liên quan (ví dụ: thiết bị giám sát an tồn công nghiệp nguyên tử) Dự án phải đánh giá việc sử dụng sản phẩm thương mại đặt trước phần tử hệ thống dựa cần thiết dự án Theo đánh giá này, dự án phải xem xét cách thức sử dụng phần tử hệ thống thương mại ảnh hưởng tới việc đạt đòi hỏi thể việc đạt đòi hỏi cho đặc tính quan trọng rủi ro gây việc thực điều khiển tính phần tử hệ thống Khi việc tùy biến yêu cầu, quan tâm đặc biệt phải đưa nhăm đảm bảo đòi hỏi đảm bảo khơng bị vơ hiệu 7.5 Quy trình quản lý định Quy trình quản lý định (Điều 6.3.3, ISO/IEC 15288:2008 Điều 6.3.3, ISO/IEC 12208:2008) chọn lựa cách giải có lợi hành động dự án đâu thay đổi tồn Để đảm bảo cho hoạt động quy trình quản lý định cần thiết nhằm đảm bảo hệ việc đạt thể việc đạt đòi hỏi đặc tính quan trọng xem xét định tạo 7.5.1 Hoạt động tác vụ liên quan Hoạt động ISO/IEC 15288 6.3.3.3 a) Lập kế hoạch định nghĩa định 1) Định nghĩa chiến lược quản lý định 2) Xác định trường hợp cần thiết định Hoạt động ISO/IEC 12207 6.3.3.3.1 Lập kế hoạch định 6.3.3.3.1.1 Dự án phải định nghĩa chiến lược đưa định 6.3.3.3.1.2 Dự án phải bao gồm bên liên quan việc đưa định để rút kinh nghiệm kiến thức 3) Bao gồm bên liên quan việc đưa 6.3.3.3.1.3 Dự án phải xác định trường định để rút kinh nghiệm kiến hợp cần thiết định thức 6.3.3.3.2 Phân tích định b) Phân tích thơng tin định 6.3.3.3.2.1 Dự án phải chọn lựa khai báo chiến lược đưa định tình định Dự án phải xác định kết mong đợi lĩnh vực thành cơng tính tốn trước 2) Xác định kết mong đợi lĩnh vực thành công tính tốn trước 7.5.2 Hướng dẫn khuyến nghị đảm bảo Dự án phải bao gồm định liên quan tới đòi hỏi đảm bảo hạng mục loại định chiến lược quản lý định Chiến lược quản lý định phải đảm bảo ảnh hưởng việc đạt thể việc đạt đòi hỏi bao quát việc đánh giá hệ rủi ro tương ứng hoạt động thay đổi định ảnh hưởng tới sách, thủ tục, kế hoạch, cá nhân, môi trường, sản phẩm, dịch vụ hạ tầng hỗ trợ quan trọng Một định liên quan tới đòi hỏi tạo ra, ảnh hưởng phải phản ánh cách tiếp cận nhằm thể việc đạt chúng Tiêu chí định trao đổi định khác phải bảo vệ việc đảm bảo đặc tính quan trọng phải bao gồm bên liên quan đặc tính quan trọng 7.6 Quy trình quản lý rủi ro Quy trình quản lý rủi ro (Điều 6.3.4, ISO/IEC 15288:2008 Điều 6.3.4, ISO/IEC 12207:2008) xác định, phân tích, xử lý giám sát rủi ro liên tục áp dụng rủi ro liên quan tới việc thu thập, cung cấp, phát triển, trì, vận hành hay xử lý hệ thống Các hoạt động tác vụ quy trình quản lý rủi ro phần quan trọng việc tiếp cận nhằm thể việc đạt đòi hỏi CHÚ THÍCH Mặc dù câu đầu nêu nêu ISO/IEC 15288, phần tiêu chuẩn bổ sung “hỗ trợ” dựa việc kế thừa rủi ro đảm bảo việc hỗ trợ hệ thống Hoạt động ISO/IEC 15288 6.3.4.3 a) Lập kế hoạch quản lý rủi ro Hoạt động ISO/IEC 12207 6.3.4.3.1 Lập kế hoạch quản lý rủi ro 1) Định nghĩa sách quản lý rủi ro 6.3.4.3.1.1 Các sách quản lý rủi ro mơ tả hướng dẫn mà việc quản lý rủi ro thực b) Quản lý hồ sơ rủi ro phải định nghĩa 3) Triển khai trì hồ sơ rủi ro 6.3.4.3.1.2 Một mơ tả Quy trình quản lý rủi ro thiết lập phải ghi chép c) Phân tích rủi ro 6.3.4.3.1.3 Các bên chịu trách nhiệm cho việc thực quản lý rủi ro, vai trò trách nhiệm 2) Triển khai thay đổi xử lý rủi ro mà phải xác định bên liên quan xác định hành động phải chọn để tạo chấp nhận rủi 6.3.4.3.1.4 Các bên chịu trách nhiệm phải cung cấp tài nguyên tương ứng để thực ro Quy trình quản lý rủi ro e) Giám sát rủi ro 6.3.4.3.1.5 Một mơ tả quy trình việc 2) Triển khai giám sát đơn vị đo để đánh giá tăng cường Quy trình quản lý rủi đánh giá công xử lý rủi ro ro phải cung cấp d) Xử lý rủi ro 6.3.4.3.2 Quản lý hồ sơ rủi ro 6.3.4.3.2.1 Ngữ cảnh Quy trình quản lý rủi ro phải định nghĩa ghi chép 6.3.4.3.2.2 Các ngưỡng rủi ro định nghĩa điều kiện theo mức rủi ro chấp nhận, phải ghi chép 6.3.4.3.2.3 Một hồ sơ rủi ro phải triển khai trì 6.3.4.3.2.4 Hồ sơ rủi ro liên quan phải kết nối trực tiếp với bên liên quan dựa nhu cầu 6.3.4.3.3 Phân tích rủi ro 6.3.4.3.3.1 Các rủi ro phải xác định theo hạng mục mô tả ngữ cảnh quản lý rủi ro 6.3.4.3.3.2 Khả xuất hệ rủi ro xác định phải đánh giá 6.3.4.3.3.3 Mỗi rủi ro phải đánh giá chống lại ngưỡng rủi ro 6.3.4.3.3.4 Với rủi ro ngưỡng rủi ro nêu trên, chiến lược xử lý khuyến nghị phải định nghĩa ghi chép lại Các đơn vị tính tính hiệu việc xử lý thay đổi phải định nghĩa ghi chép lại 7.6.2 Hướng dẫn khuyến nghị đảm bảo Việc quản lý rủi ro phải tương tác thơng suốt suốt quy trình quản lý rủi ro theo việc thiết lập ưu tiên, đưa định, triển khai trì hồ sơ rủi ro xử lý rủi ro Thông tin biện minh việc chọn lựa đặc tả đòi hỏi đảm bảo, Nội dung thông tin thể việc đạt đòi hỏi hạn chế đòi hỏi độ khơng xác định dùng khung việc tổ chức rủi ro đảm bảo hệ thống Thông tin phải bao gồm giả định, liệu, xử lý tính tốn liên quan cần thiết để củng cố phân tích rủi ro cho phép đánh giá rủi ro đánh giá, tái xây dựng kiểm tra Trong suốt vòng đời hệ thống, việc nhấn mạnh phải đưa cho yếu tố điều kiện nhân việc xuất hiện, dấu hiệu cảnh báo báo chúng việc phát sinh rủi ro hệ chúng Ngoài ra, việc quan tâm cẩn thận phải đưa khó khăn việc đạt chứng cần thiết, nhằm đảm bảo việc báo cáo nhanh, đánh giá báo cáo trì báo cáo tồn diện Các thực hành phân tích giảm thiểu hậu việc đảm bảo phải phát triển dùng nhà cung cấp sản phẩm thương mại hay đặt trước tạo thay đổi cho sản phẩm mà không cung cấp thơng tin chi tiết thay đổi Các rủi ro nguồn nguy liên quan lỗ hổng điểm yếu, đe dọa, mối nguy, lỗi, lỗi người thay đổi an ninh hệ thống hay mơi trường phải xác định suốt vòng đời hệ thống Dự án phải giả định việc tồn trí thông minh đối tượng nguy hại việc triển khai trì hồ sơ rủi ro chất quan trọng rủi ro liên quan Khi đánh giá khả xuất hệ rủi ro xác định, dự án phải xem xét chuỗi tác động hoàn thiện mà đối tượng thơng minh gây Một rủi ro việc phá hoại tồn quy trình vòng đời bao gồm quy trình quản lý rủi ro Các khả sai sót để đạt đòi hỏi đảm bảo sai sót nhằm chấp nhận thể việc đạt phải xem xét thực tế, bao gồm rủi ro việc phải lặp lại phần hệ thống Dự án phải đánh giá tiềm việc đạt việc đảm bảo hệ thống cần thiết theo cách thức thời gian, dẫn đến rủi ro việc chứng nhận hay suất hệ thống dẫn đến hệ thống không sử dụng định Hành động dự phòng theo kiện mà đòi hỏi đảm bảo đạt theo phương thức thời gian phải xác định, lên kế hoạch thừa nhận bên liên quan tương ứng 7.7 Quy trình quản lý cấu hình Quy trình quản lý cấu hình (Điều 6.3.5, ISO/IEC 15288:2008 Điều 6.3.5, ISO/IEC 12207:2008) thiết lập trì tính tồn vẹn tất tạo tác xác định dự án hay quy trình tạo cho chúng tính sẵn có bên liên quan Nhằm đảm bảo, hai mối quan hệ tồn tại: (1) Quản lý cấu hình hiệu phần tử hệ thống chứng thông tin thể việc đạt đòi hỏi đảm bảo; (2) thơng tin thể việc đạt đòi hỏi đảm bảo theo quản lý cấu hình 7.7.1 Hoạt động tác vụ liên quan Hoạt động ISO/IEC 15288 Hoạt động ISO/IEC 12207 6.3.5.3 a) Lập kế hoạch quản lý cấu hình 6.3.5.3.1 Lập kế hoạch quản lý cấu hình 1) Định nghĩa chiến lược quản lý cấu hình 6.3.5.3.1.1 Dự án phải định nghĩa chiến lược quản lý cấu hình b) Thực quản lý cấu hình 6.3.5.3.2 Thực quản lý cấu hình 1) Duy trì thơng tin cấu hình với 6.3.5.3.2.1 Dự án phải trì thơng tin mức thích hợp tính tồn vẹn an ninh cấu hình với mức thích hợp tình tồn vẹn an ninh 7.7.2 Hướng dẫn khuyến nghị đảm bảo Chiến lược quản lý cấu hình phải phát triển nhằm xác định cách thức lấy thông tin liên quan từ quy trình quản lý cấu hình thành thơng tin đảm bảo đòi hỏi, bao quát suốt trình trì để cung cấp bảo vệ liệu mục cấu hình siêu liệu, cho kho theo thay đổi Dự án phải xác định thơng tin liên quan tới đòi hỏi đảm bảo lên kế hoạch kết hợp liên tục thành cấu hình định danh nhằm tạo thành phiên tổ chức thông tin đảm bảo đòi hỏi Việc đánh giá kiểm tra thủ tục hoạt động quản lý cấu hình phải hồn thiện để ngăn ngừa thay đổi cố ý bất hợp pháp sản phẩm kiểm soát để khuyến nghị hiệu chuẩn hành động ngăn ngừa liên quan tới đòi hỏi đảm bảo Dự án phải đảm bảo phù hợp tính tồn vẹn an ninh cấu trúc thông tin bao quát theo thông tin đảm bảo đòi hỏi với cách tiếp cận nhằm thể việc đạt đòi hỏi Thơng tin đảm bảo yêu cầu phải xác định kết hợp liên tục cấu hình định danh để tạo thành phiên tổ chức thông tin đảm bảo đòi hỏi Việc truy cập phân phối kiểm soát, lưu trữ bảo vệ phải trì suốt vòng đời sản phẩm hay dịch vụ Dự án phải dẫn việc quản lý cấu hình nhằm tạo điều kiện cho việc đạt đảm bảo đòi hỏi Ở mức tối thiểu sau: a) Thực biện pháp chặt chẽ bảo vệ mức rủi ro hệ thống, liệu, nhiệm vụ đảm bảo đòi hỏi linh hoạt đủ phép khối đe dọa lớn b) Điều chỉnh độ chi tiết quy trình quản lý cấu hình nhằm hỗ trợ cách tiếp cận để thể việc đạt đòi hỏi Dự án phải triển khai trì độ tin cậy, tính tồn vẹn, sẵn có, xác thực, trách nhiệm giải trình (bao gồm: khơng thối thác) khả kiểm tra u cầu thơng tin đảm bảo đòi hỏi, bao gồm: kết hợp chiến lược cơng nghệ sau quy trình quản lý cấu hình cơng cụ hỗ trợ: a) Từng thẩm quyền người dùng mạnh mẽ Nếu mật dùng việc xác thực, chúng phải mã hóa nhằm truyền thơng qua mạng không lưu trữ dạng thông thường đâu b) Các kho khó chống lại cơng Ví dụ: tảng hỗ trợ kho tập trung, hạn chế số lượng dịch vụ chạy khác nhằm giảm thiểu rủi ro mà dịch vụ để lộ kho để bị công Hạn chế giám sát truy cập mạng cho hệ thống CM c) Tiêu chí chấp nhận chất lượng để tránh giới thiệu phần tử hay tài liệu chấp nhận d) Các kiểm tra kho quản lý cấu hình quản trị e) Các ghi tính tốn liên quan tới việc truy cập cập nhật liệu, nhằm xác định chúng hoạt động không mong đợi hay bất thường (ví dụ: hoạt động theo thời gian, khu vực, hệ thống hay cá nhân không bình thường, cá nhân cập nhật lượng lớn thông tin không theo thông lệ mục cấu hình,.v v.) f) Việc bảo vệ hệ thống quản lý cấu hình (ví dụ: cách khóa chúng lại) truy cập kiểm soát hệ thống g) Các quy trình nhằm hỗ trợ đếm liệu thất thoát phá hoại kho quản lý cấu hình h) Các điểm mục vào kiểm sốt với truy cập cần thiết chúng liệu quản lý cấu hình Dự án phải đánh giá rủi ro phát sinh từ việc sử dụng quy trình quản lý cấu hình, bao quát rủi ro sai sót cá nhân, bao gồm: nguy hại, việc biện minh ghi chép cung cấp để làm điều khác CHÚ THÍCH Hướng dẫn bổ sung cho thực hành quản lý cấu hình sẵn có TCVN ISO/IEC 27002 Cơng nghệ thơng tin - Kỹ thuật an ninh - Mã thực thi cho quản lý an ninh thông tin ISO 10007:2003 Quality management systems - Guidelines for configuration managemet 7.8 Quy trình quản lý thơng tin Quy trình quản lý thơng tin (Điều 6.3.6, ISO/IEC 15288 Điều 6.3.6, ISO/IEC 12207) cung cấp thơng tin liên quan theo thời gian, có hiệu lực yêu cầu, thông tin tuyệt mật cho bên định suốt sau vòng đời hệ thống tương ứng Để đảm bảo, quy trình cung cấp thơng tin đạt đảm bảo đòi hỏi bên liên quan tương ứng cung cấp việc phân phối nội dung thông tin thể việc đạt đảm bảo đòi hỏi bên liên quan tương ứng, bao gồm nhà quy định nhà phê duyệt 7.8.1 Hoạt động tác vụ liên quan Hoạt động ISO/IEC 15288 6.3.6.3 a) Lập kế hoạch quản lý thông tin Hoạt động ISO/IEC 12207 6.3.6.3.1 Lập kế hoạch quản lý thông tin 1) Định nghĩa mục thông tin quản 6.3.6.3.1.1 Dự án phải định nghĩa mục lý suốt vòng đời hệ thống dựa thông tin mà quản lý suốt vòng đời sách, thỏa thuận hay quy định hệ thống, dựa sách hay quy định tổ chức trì cho giai đoạn được tổ chức, trì cho giai đoạn định nghĩa sau định nghĩa sau 2) Chỉ định thẩm quyền trách nhiệm liên quan tới việc khởi tạo, tạo ra, thu giữ, đạt giảm thiểu mục thông tin 6.3.6.3.1.2 Dự án phải có thẩm quyền trách nhiệm định liên quan tới việc khởi tạo, tạo ra, thu thập, đạt giảm thiểu mục thông tin 3) Định nghĩa quyền, nghĩa vụ cam kết liên quan tới việc giữ, việc truyền tải truy 6.3.6.3.1.3 Dự án phải định nghĩa quyền, cập mục thông tin nghĩa vụ cam kết liên quan tới việc giữ, truyền truy cập mục thông tin 4) Định nghĩa nội dung, ngữ nghĩa, định dạng phương tiện cho việc thể hiện, giữ, 6.3.6.3.1.4 Dự án phải định nghĩa nội dung, ngữ truyền nhận thông tin cảnh, định dạng phương tiện cho việc trình bày, giữ, truyền nhận thông tin 5) Định nghĩa hành động trì thơng tin 6.3.6.3.3.5 Dự án phải định nghĩa hành động trình thơng tin b) Hướng dẫn khuyến nghị đảm bảo 6.3.6.3.2 Thực quản lý thông tin 3) Nhận phân phối thông tin cho bên định yêu cầu lịch biểu 6.3.6.3.2.3 Dự án phải nhận phân phối thông thỏa thuận hay trường hợp định tin cho bên định yêu cầu nghĩa lịch biểu thỏa thuận hay trường hợp định nghĩa 7.8.2 Hướng dẫn khuyến nghị đảm bảo Dự án cần lên kế hoạch thiết lập nội dung thông tin ghi chép nhằm cung cấp sở cho tin tưởng đòi hỏi đảm bảo, bao gồm: giả định, lập luận, chứng có cấu trúc mối quan hệ chúng nhằm thể cách thức đòi hỏi thỏa mãn CHÚ THÍCH TCVN 10607-2 cung cấp cấu trúc thơng tin dạng trường hợp đảm bảo trường hợp đảm bảo yêu cầu bên liên quan quan tâm tới việc đảm bảo đặc tính quan trọng đặc biệt Ví dụ Khi đòi hỏi tạo cho đặc tính quan trọng “an tồn” hay “an ninh” hệ thống, Nội dung thông tin phải cung cấp lập luận bao trùm toàn phạm vi yêu cầu an toàn hay an ninh Các lập luận chứng hỗ trợ phải tạo ra, thu thập trì suốt vòng đời thường bắt nguồn từ nhiều nguồn Dự án phải thu thập, tổ chức phân tích thơng tin liên quan bổ sung liên quan tới việc đảm bảo đòi hỏi sau: a) Thông tin chứng thời bao gồm thông tin liên quan từ phiên trước đó, hệ thống tương tự tập thông tin giống bao gồm lập luận biện minh việc sử dụng nhằm giảm thiểu rủi ro tạo cho thành công thất bại b) Thông tin liên quan tới tính hiệu lực tồn vẹn thơng tin đảm bảo đòi hỏi c) Thơng tin báo cáo liên quan tới lỗi, sai sót người, khiếm khuyết, điểm yếu tai nạn liên quan tới việc đảm bảo đòi hỏi Dự án nên quản lý kiểm sốt thơng tin liên quan tới việc đảm bảo đòi hỏi nhằm bảo đảm tính tồn vẹn hiệu lực Dự án bao quát việc bảo vệ thông tin liên quan tới việc đảm bảo đòi hỏi, bao gồm: việc bảo vệ khỏi hành động nguy hại; hạn chế truy cập thông tin nhạy cảm, bao gồm: đe dọa thông tin độc hại việc trì độ tin cậy yêu cầu; phản hồi tai nạn liên quan tới thơng tin đảm bảo đòi hỏi Bất kỳ thay đổi tạo thông tin liên quan tới việc đảm bảo đòi hỏi, phần thỏa thuận liên quan tới thay đổi mối quan hệ thay đổi phần liên quan việc thỏa thuận phải làm rõ Dự án phải cung cấp báo cáo tổng hợp tập thông tin này, thay đổi nó, chất lượng tình trạng hồn thiện khoảng dự kiến cần thiết nhằm giám sát quản lý hiệu Dự án bao gồm việc thiết lập báo cáo kênh cung cấp khả hiển thị thông tin liên quan cần thiết cho bên liên quan việc đưa định Thông tin bao quát nội dung để làm trường hợp sử dụng thông thường mà hệ thống mong muốn để người dùng xác định hệ thống làm điều khơng mong đợi nhánh tiềm việc tuân thủ hạn chế Người dùng phải biết cách báo cáo hay hành động không theo lịch trình hay điều kiện bất ngờ nhánh việc tuân thủ hạn chế mà người dùng không tuân thủ thỏa hiệp với hạn chế Các tài liệu viết tay ảnh hưởng tới thỏa thuận bên liên quan phải quản lý để khác biệt với việc biên dịch bên liên quan tối giản Các tài liệu bao qt khơng bị giới hạn yêu cầu đề xuất (RFP) nhà thâu nhận bên đề xuất theo dự án 7.9 Quy trình định nghĩa yêu cầu bên liên quan Quy trình định nghĩa yêu cầu bên liên quan (Điều 6.4.1, ISO/IEC 15288:2008 Điều 6.4.1, ISO/IEC 12207:2008) định nghĩa yêu cầu hệ thống mà cung cấp dịch vụ cần thiết cho người dùng bên liên quan khác môi trường định nghĩa Quy trình định danh bên hay nhóm bên liên quan, tham gia hệ thống suốt vòng đời nhu cầu, mong đợi hay mong muốn chúng Quy trình phân tích biến đổi u cầu thành tập chung yêu cầu bên liên quan Như tập yêu cầu này, đặc tính quan trọng cho mức tin cậy cao yêu cầu việc đạt được xác định ghi chép lại 7.9.1 Hoạt động tác vụ liên quan Hoạt động ISO/IEC 15288 Hoạt động ISO/IEC 12207 6.4.1.3 c) Phân tích trì yêu cầu bên liên quan 6.4.1.3.3 Đánh giá yêu cầu Hoạt động bao gồm tác vụ sau: 1) Phân tích tập hồn thiện u cầu 6.4.1.3.3.1 Dự án phải phân tích tập hồn thiện nêu yêu cầu nêu 6) Duy trì khả truy xuất yêu cầu 6.4.1.3.4 Thỏa thuận yêu cầu Hoạt động bên liên quan nguồn bên liên bao gồm tác vụ sau: quan cần thiết 6.4.1.3.4.2 Dự án phải phản hồi yêu cầu phân tích để bên liên quan áp dụng nhằm đảm bảo nhu cầu mong đợi thu nhận đầy đủ nhấn mạnh 6.4.1.3.4.3 Dự án phải triển khai với bên liên quan mà yêu cầu chúng nhấn mạnh xác 7.9.2 Hướng dẫn khuyến nghị đảm bảo Một tập đặc tính quan trọng phải xác định việc phân tích tập hồn chỉnh u cầu thu thập từ bên liên quan Các bên liên quan định nghĩa yêu cầu họ: vài yêu cầu phát sinh việc yêu cầu độ tin cậy cao việc đạt chúng chúng liên quan tới hệ quả, rủi ro, luật pháp hay nhiệm vụ quan trọng khác (ví dụ: chống giả mạo, an ninh) liên quan tới đặc tính hệ thống Các u cầu đòi hỏi độ tin cậy cao dùng để xác định đặc tính quan trọng hệ thống hay sản phẩm phần mềm Dự án cần hỗ trợ việc chọn lựa từ quan điểm kỹ thuật, ví dụ: việc xác định rủi ro, hệ bổ sung tính bất định liên quan tuân thủ yêu cầu Là phần việc chọn lựa đặc tính quan trọng, dự án cần định nghĩa yêu cầu sơ việc thể việc đạt đặc tính này, đặc biệt quan tâm tới giao dịch liên quan tới sức chống chịu rủi ro bên liên quan Bên liên quan cần xác định sức chống chịu lỗi, suy thoái thỏa hiệp hay tổn thất họ, ví dụ: chế độ vận hành suy thoái Dự án phải xác định ngữ cảnh văn hóa, xã hội tổ chức hệ thống ảnh hưởng tới việc đạt hay thể việc đạt đặc tính đặc biệt Hoạt động hỗ trợ việc sử dụng kinh nghiệm ghi liên quan tới phiên trước hệ thống mơi trường vận hành tương tự ý định biết đến hay dự đoán liên quan tới việc sử dụng hệ thống mơi trường Dự án phải ưu tiên đặc tính để chọn lựa điều quan trọng cho việc cung cấp đòi hỏi đảm bảo Các đặc tính quan trọng chọn lựa với việc biện minh lý cho việc lựa chọn chúng phải ghi chép trở thành phần khả truy xuất cho nhu cầu bên liên quan cụ thể trì cho việc điều tra sau cần thiết Tài liệu việc trì lý hoàn thiện phần việc trì khả truy xuất yêu cầu bên liên quan nguồn bên liên quan cần thiết Các đặc tính quan trọng chọn lựa dùng cho đòi hỏi đảm bảo mức cao Trong q trình phân tích u cầu bên liên quan, thực tế bên liên quan có trường hợp riêng họ tập giá trị phải phân chia CHÚ THÍCH Dự án phải làm việc xuyên suốt tập bên liên quan có kiến thức cơng nghệ nhằm xác định tính khả thi yêu cầu suốt vòng đời Vòng đời hoàn thiện phải xem xét tới việc xác định yêu cầu tính khả thi tránh thay đổi mà dẫn đến thay đổi chi phí, lịch trình và/hoặc hiệu khơng mong đợi sau vòng đời nhiều chi tiết kỹ thuật hệ thống biết tới Dự án phải cố gắng loại bỏ mục không xác định tập yêu cầu bên liên quan Các yêu cầu chức phi chức phải kiểm tra định nghĩa, phản ánh thông tin lượng tối đa công việc, thời hạn kế toán hàng tháng kinh nghiệm phát triển vận hành thực tiễn Việc thực phải tối giản hóa rủi ro hướng kỹ thuật nhằm cho phép nhiều đánh giá xác tài nguyên người, thời hạn chi phí vòng đời hệ thống Các mục khơng xác định hay rủi ro hướng kỹ thuật tránh khỏi, dự án phải làm cho chúng rõ ràng quản lý chúng quy trình quản lý rủi ro giai đoạn vòng đời CHÚ THÍCH Tham khảo ISO/IEC 29148:2011 Requirements Engineering để hiểu thêm bao quát tất loại yêu cầu khái niệm vận hành CHÚ THÍCH Nhà thâu nhận phải định nghĩa quản lý yêu cầu dựa loại vòng đời dự án, cho phép dự án ước tính kinh phí bắt đầu phát triển; dự án phải đánh giá chi phí dựa yêu cầu cuối phép nhà thâu nhận đánh giá việc đầu tư Các hành động khơng phải khuynh hướng dự đoán rủi ro tiềm ẩn Các yêu cầu bên liên quan phải giữ đơn giản tốt yêu cầu phức tạp thường dẫn tới hệ thống phức tạp với kinh phí cao việc phát triển vận hành tạo đặc tính quan trọng khó khăn để đảm bảo Dự án phải đảm bảo định thiết yếu giai đoạn sau vòng đời dựa yêu cầu bên liên quan định nghĩa quy trình Dự án phải đảm bảo tham gia tất bên liên quan tương ứng (ví dụ: nhu cầu bên liên quan tương tự với nhu cầu kinh doanh đặc tính quan trọng kiến thức đặc tính quan trọng) theo định nghĩa yêu cầu để giữ yêu cầu bên liên quan bổ sung giai đoạn sau vòng đời CHÚ THÍCH Sự hợp tác thiết yếu việc định nghĩa mục đích hệ thống hay sản phẩm phần mềm (ví dụ: doanh nghiệp cho phép hệ thống hay phần mềm mới) Cá nhân dự án có kiến thức kỹ thuật phát triển phần mềm hay hệ thống khơng có hình ảnh chi tiết việc sử dụng hệ thống hay phần mềm, nhà thâu nhận, khách hàng hay người sử dụng biết sử dụng hệ thống phần mềm không cần kỹ năng, kỹ thuật để xây dựng Dự án phải cố gắng để tối giản hóa số lượng mục cơng việc cần thiết không liệt kê yêu cầu bên liên quan việc chép mục công việc yêu cầu bên liên quan Các hành động giúp tối giản hóa rủi ro việc hiểu lầm bên liên quan Dự án phải cung cấp hỗ trợ cho bên liên quan yêu cầu Một vài bên liên quan khơng có tảng kỹ thuật cần hỗ trợ kỹ thuật việc định nghĩa yêu cầu bên liên quan đàm phán để giải xung đột yêu cầu bên liên quan Việc biên dịch rõ ràng yêu cầu bên liên quan ứng dụng kỹ thuật yêu cầu cần thiết để đảm bảo hiểu biết chung bên liên quan công nghệ phi công nghệ Bên liên quan phải đồng ý tất chia sẻ nhiệm vụ việc định nghĩa yêu cầu theo cách thức cần thiết nhằm cung cấp yêu cầu họ tuân theo cách thức thông thường Nhà phân tích hệ thống có trách nhiệm việc nêu yêu cầu, bên liên quan khác có nhiệm vụ hoạt động phối hợp với nhà phân tích Dự án phải đảm bảo việc tiếp cận nhằm đạt thể việc đạt đòi hỏi đảm bảo việc chọn lựa đặc tính quan trọng hệ thống hay sản phẩm phần mềm dàn xếp theo ngữ cảnh kinh doanh khái niệm vận hành thực với hệ thống hay sản phẩm phần mềm Trong trường hợp cập nhật hệ thống thời, nhà phân tích thực quy trình định nghĩa yêu cầu bên liên quan phải thận trọng cụm từ: “tương tự hệ thống thời” theo yêu cầu bên liên quan Khi yêu cầu tăng cường, nhà phân tích phải kiểm tra thơng suốt việc sử dụng thời hệ thống giá trị thời biến hệ thống thực tế giữ không đổi hệ thống cập nhật Mối quan tâm đặc biệt phải đưa đặc tính quan trọng đòi hỏi đặc tính hệ thống thời hệ thống cập nhật Mặc dù yêu cầu thiết yếu định nghĩa xác định theo quy trình này, Định nghĩa Yêu cầu Bên liên quan thay đổi hệ việc giải xung đột yêu cầu bên liên quan khác giới hạn từ việc xem xét hệ thống thực hoạt động quy trình sau Phân tích u cầu Các hoạt động tác vụ hai quy trình thực lặp lại Tùy thuộc kinh phí, lịch biểu hạn chế khác hay thay đổi theo nhu cầu bên liên quan, yêu cầu phát triển Các thỏa thuận thay đổi yêu cầu tạo ra, tác động khả đạt thỏa thuận liên quan tới đặc tính quan trọng phải ra, thỏa thuận phải liên quan không thay đổi q dễ dàng, khơng có hành động tài hay hợp pháp đem lại kết CHÚ THÍCH Tham khảo Điều 5, ISO/IEC 29148:2011 Requirements engineering để thảo luận nhiều chất lặp hoạt động tác vụ CHÚ THÍCH Một quy trình việc thực thay đổi thỏa thuận bao quát Phụ lục F.3, ISO/IEC 12207:2008 Contract Change Management Process 7.10 Quy trình phân tích u cầu Quy trình phân tích yêu cầu (Điều 6.4.2, ISO/IEC 15288:2008) quy trình phân tích yêu cầu hệ thống (Điều 6.4.2, ISO/IEC 12207:2008) biến đổi bên liên quan, dạng định hướng yêu cầu dịch vụ mong đợi thành dạng kỹ thuật sản phẩm yêu cầu mà chuyển giao dịch vụ Quy trình phân tích yêu cầu hệ thống (Điều 7.1.2, ISO/IEC 12207) thiết lập yêu cầu thành phần phần mềm hệ thống Mục đích liên quan tới đòi hỏi đảm bảo việc phân tích yêu cầu bắt nguồn từ tập đòi hỏi đảm bảo từ đặc tính quan trọng Phân tích yêu cầu lấy đặc tính quan trọng chọn lựa từ quy trình định nghĩa yêu cầu bên liên quan gắn biến việc đánh giá đặc tính giá trị biến việc tính tốn đặc tính Đòi hỏi đảm bảo bày tỏ giá trị biến đặc tính CHÚ THÍCH Trong TCVN 10607-1, đòi hỏi định nghĩa “bày tỏ điều bao gồm điều kiện giới hạn liên quan” Ở đây, “điều gì” “giá trị biến đặc tính” 7.10.1 Hoạt động tác vụ liên quan Hoạt động ISO/IEC 15288 Phân tích yêu cầu 6.4.2.3 a) Định nghĩa yêu cầu hệ thống Hoạt động ISO/IEC 12207 Phân tích yêu cầu hệ thống 6.4.2.3.1 Quy định yêu cầu Phân tích yêu cầu phần mềm 7.1.2.3.1 Phân tích yêu cầu phần mềm 1) Định nghĩa ranh giới chức 6.4.2.3.1.1 Việc sử dụng cụ thể 7.1.2.3.1.1 Nhà triển khai phải hệ thống theo hướng tới hệ thống thiết lập ghi chép yêu cầu thuật ngữ hành vi đặc phát triển phải phần mềm (bao gồm quy tính cung cấp phân tích để quy định yêu định đặc tính chất lượng) cầu hệ thống Việc quy định mô tả bên dưới: 2) Định nghĩa chức yêu cầu hệ thống phải mô mà hệ thống yêu a) Các quy định khả tả: chức khả cầu để thực chức năng, bao gồm: công năng, hệ thống; yêu cầu đặc tính vật lý điều kiện 3) Định nghĩa hạn chế người dùng, tổ chức doanh môi trường theo mục phần mềm thiết lập cần thiết cung nghiệp; an toàn, an ninh, kiến thực cấp yêu cầu bên liên trúc có yếu tố người (cơng quan hạn chế thái học), giao diện, vận b) Các giao diện bên đối hành yêu cầu trì; giải pháp khơng thể tránh với mục phần mềm yêu cầu hạn chế thiết kế trình độ Quy định yêu c) Các yêu cầu trình độ 4) Định nghĩa chất lượng cầu hệ thống phải ghi d) Các quy định an tồn, liên kỹ thuật việc tính tốn chép lại quan tới phương pháp vận cho phép đánh giá hành trì, ảnh hưởng thành tựu kỹ thuật môi trường tổn hại cá nhân 5) Các yêu cầu hệ thống e) Các quy định an ninh liên chức đặc trưng, quan tới việc thỏa hiệp biện minh việc xác thông tin nhạy cảm định rủi ro nghiêm trọng hệ thống, f) Các quy định tác động liên quan tới chất lượng người (công thái học), liên quan quan trọng, ví dụ: sức khỏe, tới vận hành thủ cơng, an tồn, an ninh, tin cậy, tính sẵn có khả hỗ trợ tương tác người-thiết bị, hạn chế cá nhân lĩnh vực cần tập trung người, mà nhạy cảm với sai sót cá nhân việc đào tạo g) Định nghĩa liệu yêu cầu sở liệu h) Việc cài đặt chấp nhận yêu cầu sản phẩm phần mềm chuyển giao (các) khu vực vận hành trì i) Các yêu cầu tài liệu người dùng j) Các yêu cầu vận hành thực người dùng k) Các yêu cầu bảo trì người dùng 7.10.2 Hướng dẫn khuyến nghị đảm bảo Việc định nghĩa yêu cầu hệ thống thực nhằm định nghĩa giá trị cho biến đặc tính quan trọng chọn lựa bên yêu cầu bên liên quan thu thập quy trình định nghĩa yêu cầu bên liên quan Ranh giới chức hệ thống liên quan tới đặc tính quan trọng, chức liên quan tới đặc tính quan trọng việc triển khai hạn chế liên quan tới đặc tính quan trọng phải quy định rõ ràng Giữa tính tốn định nghĩa, tính toán liên quan tới giá trị biến đặc tả quan trọng phải quy định rõ ràng yêu cầu hệ thống liên quan tới đặc tả quan trọng phải quy định rõ ràng theo giá trị biến liên quan tới đặc tính quan trọng Hơn nữa, việc ưu tiên yêu cầu hệ thống liên quan tới đặc tính quan trọng phải định nghĩa khả truy xuất trì yêu cầu bên liên quan Ví dụ Nếu an tồn chức chọn đặc tính quan trọng, phần yêu cầu hệ thống yêu cầu quy định cụ thể theo dạng quy trình nên “các u cầu vòng đời an tồn” mơ tả IEC 61508-1 Các giới hạn môi trường hệ thống yêu cầu nhằm đạt thể việc đạt đòi hỏi xác định việc thực phân tích rủi ro hay hệ Phân tích tạo điều kiện cách thu thập thông tin đòi hỏi sau: a) Các rủi ro phép tương ứng với hệ thống mà khơng đạt đòi hỏi b) Các giá trị phép biến liên quan tới đòi hỏi quan trọng c) Mức độ phép tính bất định liên quan tới đòi hỏi thành d) Các điều kiện áp dụng liên quan tới đòi hỏi Trước hồn tất việc phân tích u cầu, dự án phải đánh giá yêu cầu hệ thống liên quan tới đặc tính quan trọng nhằm xác địch liệu chúng phù hợp với yêu cầu bên liên quan liệu chúng thu thập đầy đủ đặc tính quan trọng mà vi phạm có nhiều hệ việc đạt bên liên quan yêu cầu mức tin tưởng cao Tập tối thượng yêu cầu đạt thể đạt được chọn lựa xác thực sau Dự án phải ghi chép tập chọn lựa đòi hỏi đảm bảo mối quan hệ chúng với bên liên quan yêu cầu hệ thống mà biện minh cho chúng Dự án phải cung cấp khung để xác thực yêu cầu định nghĩa hệ thống nhằm thực điều hướng tới để thực mà không điều khác việc chuyển đổi, vận hành giảm thiểu mơi trường Các yêu cầu hệ thống phải rõ ràng minh họa cụ thể; tập không rõ ràng chưa kiểm tra yêu cầu dẫn đến việc tăng chi phí, sai lịch biểu giảm chất lượng hệ thống 7.11 Quy trình xác minh Đối với dạng quy trình đảm bảo hệ thống, quy trình xác minh (Điều 6.4.6, ISO/IEC 15288:2008) xác nhận yêu cầu thiết kế quy định đáp ứng đầy đủ hệ thống Quy trình cung cấp thơng tin yêu cầu nhằm tác động tới hành động khắc phục hậu mà không phù hợp hệ thống hay quy trình nhận dạng mà hoạt động Quy trình xác minh phần mềm (Điều 7.2.4, ISO/IEC 12207:2008) xác thực sản phẩm công việc phần mềm và/hoặc dịch vụ quy trình hay dự án phản ánh xác yêu cầu quy định Để đảm bảo, dự án cần tạo kế hoạch xác minh phù hợp với chiến lược đạt thể việc đạt đòi hỏi đảm bảo 7.11.1 Hoạt động tác vụ liên quan Hoạt động ISO/IEC 15288 6.4.6.3 a) Lập kế hoạch xác minh Hoạt động ISO/IEC 12207 7.2.4.3.1 Triển khai quy trình 1) Định nghĩa chiến lược việc xác 7.2.4.3.1.1 Một định danh phải tạo minh thực thể hệ thống suốt vòng dự án đảm bảo nỗ lực xác minh đời mức độ độc lập tổ chức nỗ lực cần thiết Các yêu cầu dự án phải phân tích kỹ 2) Định nghĩa kế hoạch xác minh dựa mức rủi ro Mức rủi ro yêu cầu hệ thống tính tốn theo cách thức sau: 3) Các hạn chế tiềm ẩn theo định a) Một lỗi chưa dò tìm tiềm ẩn hệ thiết kế xác định kết nối thống hay yêu cầu phần mềm việc dẫn CHÚ THÍCH Điều bao gồm giới hạn đến chết hay tổn thương cá nhân, lỗi nhiệm thực tế tính xác, tính bất định, khả vụ tổn thất thiết bị thảm họa hay tài lặp áp đặt việc xác minh phá hủy; hệ thống phép, phương thức tính b) Sự hết hạn rủi ro liên quan tới cơng tốn tương ứng, nhu cầu việc tương tác nghệ phần mềm sử dụng; hệ thống tính sẵn có, khả truy cập liên kết nối với hệ thống phép 7.2.4.3.1.5 Dựa việc xác minh tác vụ xác định, kế hoạch xác minh phải phát triển ghi chép Kế hoạch phải hoạt động vòng đời đối tượng sản phẩm phần mềm xác minh, tác vụ xác minh yêu cầu hoạt động vòng đời sản phẩm phần mềm tài nguyên, trách nhiệm lịch biểu liên quan Kế hoạch phải thủ tục cho việc xác minh chuyển tiếp báo cáo nhà thâu nhận tổ chức liên quan khác 7.11.2 Hướng dẫn khuyến nghị đảm bảo Dự án phải thực việc lập kế hoạch xác minh phù hợp với kế hoạch liên quan tới đòi hỏi đảm bảo bao gồm: cách tiếp cận lập kế hoạch nhằm thể việc đạt đòi hỏi cho đặc tính quan trọng Cách tiếp cận bao gồm: tiêu chí định danh xác minh tính tốn dùng việc tiếp cận nhằm thể việc đạt đòi hỏi tiêu chí triển khai cách thức vấn đề liên quan tới đòi hỏi đảm bảo giải phản ánh Nội dung thông tin đảm bảo đòi hỏi Một giá trị độ không xác định liên quan tới việc đảm bảo thiết lập, kế hoạch xác minh, hoạt động định phải đảm bảo đáp ứng yêu cầu độ khơng xác định Ví dụ: dự án phải xem xét tới việc tham gia độ tin cậy công cụ độ không xác định việc đạt kết 7.12 Quy trình vận hành Quy trình vận hành (Điều 6.4.9, ISO/IEC 15288) sử dụng hệ thống để phân chia dịch vụ Quy trình vận hành phần mềm (Điều 6.4.9, ISO/IEC 12207) vận hành sản phẩm phần mềm môi trường dự kiến cung cấp hỗ trợ khách hàng sản phẩm phần mềm Để đảm bảo, kế hoạch cho quy trình phải xem xét việc đạt đặc tính quan trọng suốt vòng đời hệ thống 7.12.1 Hoạt động tác vụ liên quan Hoạt động ISO/IEC 15288 Hoạt động ISO/IEC 12207 Vận hành Vận hành phần mềm 6.4.9.3 a) Chuẩn bị vận hành 1) Chuẩn bị chiến lược vận hành 6.4.9.3.1 Chuẩn bị vận hành Hoạt động bao gồm tác vụ sau: 6.4.9.3.1.1 Người vận hành phải phát triển kế hoạch tập tiêu chuẩn vận hành việc thực hoạt động tác vụ quy trình Kế hoạch phải ghi chép thực thi 7.12.2 Hướng dẫn khuyến nghị đảm bảo Dự án phải lập kế hoạch cho việc vận hành hệ thống phù hợp với hạn chế vận hành, giả định theo cách tiếp cận nhằm thể việc đạt đòi hỏi đảm bảo Kế hoạch phải đảm bảo vi phạm hạn chế báo cáo, ghi chép, giải bao quát việc đào tạo thông tin theo cách thức triển khai trì tuân thủ với hạn chế liên quan tới đòi hỏi đảm bảo Kế hoạch phải bao gồm cách thức thay đổi cách tiếp cận nhằm thể việc đạt đòi hỏi Nội dung thơng tin liên quan nhằm phản ánh thay đổi điều kiện vận hành mà không bao trùm đòi hỏi Kế hoạch phải cung cấp cho việc đánh giá tác động thay đổi hệ thống hay môi trường vận hành khả sử dụng liên quan tới đòi hỏi đảm bảo hệ thống theo tính hiệu lực giả định cần thiết cho việc thể việc đạt đòi hỏi Kế hoạch phải cung cấp cho kiểm tra thông thường ghi vận hành nhằm xác thực khơng có chứng mà hệ thống việc đạt thể việc đạt đòi hỏi bị phá vỡ cách Kế hoạch phải đảm bảo biện pháp thích hợp tồn để ngăn chặn tổn thất thông tin nhạy cảm làm nguy hại việc kiểm soát hệ thống bị chuyển đổi Dự án phải triển khai hệ thống thủ tục báo cáo cho việc điều tra chỉnh đốn tai nạn liên quan tới đòi hỏi đảm bảo, ví dụ: nỗ lực vi phạm vi phạm đòi hỏi, lỗ hổng sản phẩm điểm yếu mà góp phần dẫn tới vi phạm; nguồn hay nguy hiểm tiềm ẩn dẫn tới vi phạm đòi hỏi/thơng qua đời hệ thống Các bảo vệ tương ứng phải đặt vị trí tin tưởng yêu cầu kết nối kế hoạch báo cáo tai nạn 7.13 Quy trình bảo trì Quy trình bảo trì (Điều 6.4.10, ISO/IEC 15288) trì khả hệ thống nhằm cung cấp dịch vụ Quy trình bảo trì hệ thống (Điều 6.4.10, ISO/IEC 12207) hỗ trợ hiệu kinh phí với sản phẩm phần mềm phân phối Để đảm bảo, kế hoạch quy trình đề cập tới việc đạt đặc tả quan trọng thông qua đời hệ thống 7.13.1 Hoạt động tác vụ liên quan Hoạt động ISO/IEC 15288 Hoạt động ISO/IEC 12207 Bảo trì Bảo trì phần mềm 6.4.10 a) Lập kế hoạch bảo trì 6.4.10.3.1 Thiết lập quy trình 1) Chuẩn bị chiến lược bảo trì 6.4.10.3.1.1 Nhà bảo trì phải phát triển, ghi chép thực kế hoạch thủ tục cho việc thực hoạt động tác vụ quy trình bảo trì phần mềm 7.13.2 Hướng dẫn khuyến nghị đảm bảo Dự án phải đảm bảo kế hoạch bảo trì cung cấp việc đánh giá tác động thơng tin liên quan tới đòi hỏi đảm bảo thay đổi tạo cho hệ thống hay phần tử hệ thống việc bảo trì hệ thống Kế hoạch phải bao gồm tài nguyên việc cập nhật cách tiếp cận nhằm thể việc đạt Nội dung thông tin liên quan yêu cầu, bao gồm: chứng Kế hoạch phải bao gồm điều khoản việc cập nhật kiểm soát ban hành tạo tác liên quan tới đòi hỏi đảm bảo Kế hoạch phải bao gồm việc đánh giá tác động thay đổi hệ thống hay môi trường vận hành khả sử dụng liên quan tới đòi hỏi đảm bảo hệ thống Việc đánh giá phải bao gồm việc tính tốn liên tục đặc tính quan trọng thay đổi bảo trì tạo CHÚ THÍCH Tất thay đổi đề xuất phải trải qua phân tích tác động liên quan tới đòi hỏi Các thay đổi thừa nhận có tác động việc đạt thể việc đạt đòi hỏi phải hoàn trả giai đoạn phù hợp vòng đời tất giai đoạn tiếp sau lặp lại thay đổi Thông tin với ý nghĩa liên quan tới đòi hỏi phải phổ biến rộng rãi, rõ ràng, ngắn gọn dễ đọc Thơng tin phổ biến theo báo cáo hình thức việc quản lý tin an tồn, thơng báo việc đào tạo cho tất nhân viên CHÚ THÍCH Kế hoạch bảo trì phải bao gồm điều khoản nhằm đảm bảo đặc tính quan trọng hệ thống không bị ảnh hưởng suốt vòng đời kết việc thay thế, loại bỏ giảm thiếu phần hay thành phần hệ thống Kế hoạch phải có điều khoản việc thông báo chiến lược quản lý rủi ro thơng tin rủi ro liên quan tới đòi hỏi hướng dẫn liên quan tới thay đổi, việc giải rủi ro liên quan tới bảo trì khác Một đánh giá rủi ro hay phân tích tác động liên quan tới đòi hỏi thay đổi phải thực nhằm đảm bảo việc đạt đòi hỏi, việc tiếp cận để việc đạt đòi hỏi Nội dung thơng tin liên quan trì CHÚ THÍCH Tất thay đổi sản phẩm đề xuất, bao gồm thay đổi theo yêu cầu, thiết kế thành phần liên quan tới đòi hỏi phi đảm bảo phải trải qua phân tích tác động liên quan tới đòi hỏi đảm bảo Thư mục tài liệu tham khảo [1] ISO/IEC 90003:2004, Software engineering - Guidelines for the application of ISO 9001:2000 to computer software [2] ISO/IEC 15026-2:2011, System and software engineering - System and software assurance - Part 2: Assurance case [3] Software and Systems Engineering Vocabulary (sevocab) Có sẵn tại: www.computer.org/sevocab/ [4] ISO/IEC 15289:2011, System and software engineering - Content of life cycle information products (Tài liệu) [5] ISO/IEC 15504-1:2004, Information Technology - Process Assessment- Par 1: Concepts and vocabulary [6] ISO/IEC 15504-2:2003, Information Technology - Process Assessment - Part 2: Performing an Assessment [7] ISO/IEC 15504-3:2004, Information Technology - Process Assessment - Part 3: Guidance on performing a process improvement and process capability determination [8] ISO/IEC 15504-5:2012, Information Technology - Process Assessment - Part 5: An exemplar software process assessment model [9] ISO/IEC TR 15504-6:2008, Information Technology - Process Assessment - Part 6: An exemplar system life cycle process assessment model [10] ISO/IEC 15504-7:2008, Information Technology - Process Assessment - Part 7: Assessment of organizational maturity [11] ISO/IEC 15939:2007, Systems and software engineering - Measurement process [12] ISO/IEC 16085:2006, Systems and software engineering - Life cycle processes - Risk management [13] ISO/IEC 16326:2009, System and Software engineering - Life cycle Processes - Project management [14] ISO/IEC 21827:2008, Information technology Systems Security Engineering - Capability Maturity Model (SSE-CMM) [15] ISO/IEC TR 24748-1:2010, Systems and software engineering - Life cycle management Part 1: Guide for life cycle management [16] ISO/IEC TR 24748-2:2011, Systems and software engineering - Life cycle management Part 2: Guide for the application of ISO/IEC 15288 (System life cycle processes) [17] ISO/IEC TR 24748-3:2011, Systems and software engineering - Life cycle management Part 3: Guide for the application of ISO/IEC 12207 (Software life cycle processes) [18] ISO/IEC 25000:2005, Software engineering - Software product Quality Requirements and Evaluation (SQuaRE) - Guide to SquaRE [19] ISO/IEC 25010:2011, Systems and software engineering - Systems and software Quality Requirements and Evaluation (SQuaRE) - System and software quality models [20] ISO/IEC 25012:2008, Software Engineering - Software product Quality Requirements and Evaluation (SQuaRE) - Data Quality Model [21] ISO/IEC 25020:2007, Software engineering - Software product Quality Requirements and Evaluation (SQuaRE) - Measurement reference model and guide [22] ISO/IEC 25030:2007, Software engineering - Software product Quality Requirements and Evaluation (SQuaRE) - Quality requirements [23] ISO/IEC 25040:2011, Systems and software engineering - Systems and software Quality Requirements and Evaluation (SQuaRE) - Evaluation process [24] ISO/IEC 25051:200, Software engineering - Software product Quality Requirements and Evaluation (SQuaRE) - Requirements for quality of Commercial Off-The-Shelf (COTS) software product and instructions for testing [25] ISO/IEC 27001:2005, Information technology - Security techniques - Information security management systems - Requirement [26] ISO/IEC 27002:2005, Information technology - Security techniques - Code of practice for information security management [27] ISO/IEC 29148:2011, Systems and software engineering - Requirements engineering MỤC LỤC Lời nói đầu Phạm vi áp dụng Sự phù hợp Tài liệu viện dẫn Thuật ngữ định nghĩa Khái niệm quan trọng sử dụng tiêu chuẩn Mục đích dạng quy trình kết yêu cầu Hướng dẫn khuyến nghị đảm bảo quy trình chọn lựa Thư mục tài liệu tham khảo ... Tiêu chuẩn áp dụng thuật ngữ định nghĩa đưa TCVN 10607-1, ISO/IEC 15288:2008 ISO/IEC 12207:2008 Khái niệm quan trọng sử dụng tiêu chuẩn 5.1 Phương pháp tiếp cận vòng đời Giả định người dùng tiêu. .. phần mềm chọn Sự phù hợp TCVN 10607-2 hỗ trợ nhằm đạt kết cần thiết hai dạng quy trình tiêu chuẩn CHÚ THÍCH Các bên có thỏa thuận chọn lựa nhằm kết hợp phần chọn lựa tiêu chuẩn theo thời hạn thỏa... 6.4.9.3 a) Chuẩn bị vận hành 1) Chuẩn bị chiến lược vận hành 6.4.9.3.1 Chuẩn bị vận hành Hoạt động bao gồm tác vụ sau: 6.4.9.3.1.1 Người vận hành phải phát triển kế hoạch tập tiêu chuẩn vận hành