Công ty luật Minh Khuê www.luatminhkhue.vn TCVN 10607-4:2014 ISO/IEC 15026-4:2012 KỸ THUẬT PHẦN MỀM VÀ HỆ THỐNG - ĐẢM BẢO PHẦN MỀM VÀ HỆ THỐNG - PHẦN 4: ĐẢM BẢO TRONG VÒNG ĐỜI Systems and software engineering - Systems and software assurance - Part 4: Assurance in the life cycle Lời nói đầu TCVN 10607-4:2014 hồn tồn tương đương với ISO/IEC 15026-4:2012 TCVN 10607-4:2014 Ban kỹ thuật tiêu chuẩn quốc gia TCVN/JTC Công nghệ thông tin biên soạn, Tổng cục Tiêu chuẩn Đo lường Chất lượng đề nghị, Bộ Khoa học Công nghệ công bố Bộ TCVN 10607 (ISO/IEC 15026) Kỹ thuật phần mềm hệ thống gồm tiêu chuẩn sau: - TCVN 10607-1:2014 (ISO/IEC 15026-1:2013) Kỹ thuật phần mềm hệ thống - Đảm bảo phần mềm hệ thống - Phần 1: Khái niệm từ vựng; - TCVN 10607-2:2014 (ISO/IEC 15026-2:2011) Kỹ thuật phần mềm hệ thống - Đảm bảo phần mềm hệ thống - Phần 2: Trường hợp đảm bảo; - TCVN 10607-3:2014 (ISO/IEC 15026-3:2011) Kỹ thuật phần mềm hệ thống - Đảm bảo phần mềm hệ thống - Phần 3: Mức toàn vẹn hệ thống; - TCVN 10607-4:2014 (ISO/IEC 15026-4:2012) Kỹ thuật phần mềm hệ thống - Đảm bảo phần mềm hệ thống - Phần 4: Đảm bảo vòng đời KỸ THUẬT PHẦN MỀM VÀ HỆ THỐNG - ĐẢM BẢO PHẦN MỀM VÀ HỆ THỐNG - PHẦN 4: ĐẢM BẢO TRONG VÒNG ĐỜI Systems and software engineering - Systems and software assurance - Part 4: Assurance in the life cycle Phạm vi áp dụng Tiêu chuẩn đưa hướng dẫn khuyến nghị việc quản lý quy trình, hoạt động tác vụ chọn lựa hệ thống sản phẩm phần mềm yêu cầu đòi hỏi đảm bảo quan tâm đặc biệt, gọi đặc tính quan trọng Tiêu chuẩn quy định danh sách đặc tính độc lập quy trình, hoạt động, tác vụ nhằm đạt đòi hỏi thể việc đạt địi hỏi Tiêu chuẩn thiết lập quy trình, hoạt động, tác vụ khuyến nghị theo ngữ cảnh mơ hình vịng đời tập quy trình vịng đời định nghĩa hệ thống và/hoặc việc quản lý vòng đời phần mềm CHÚ THÍCH Bên liên quan xác định điều mà đặc tính hệ thống hay phần mềm chọn lựa quan tâm đặc biệt yêu cầu đòi hỏi đảm bảo Tiêu chuẩn sử dụng thuật ngữ “quan trọng” nhằm phân biệt đặc tính với yêu cầu khác Sự phù hợp Có thể địi hỏi phù hợp tiêu chuẩn với mối quan hệ dạng quy trình đảm bảo hệ thống và/hoặc dạng quy trình đảm bảo phần mềm Do đó, phù hợp với tiêu chuẩn đạt theo hay hai cách thức sau: a) Mô tả kết yêu cầu dạng quy trình đảm bảo hệ thống (Điều 6.1.2) đạt được, nhằm phù hợp với Thỏa thuận, Dự án Quy trình kỹ thuật ISO/IEC 15288 b) Mô tả kết yêu cầu dạng quy trình đảm bảo phần mềm (Điều 6.2.2) đạt được, nhằm phù hợp với Thỏa thuận, Dự án, quy trình Đặc tả Phần mềm Kỹ thuật ISO/IEC 12207:2008 Một đòi hỏi phù hợp tương ứng với đòi hỏi cụ thể liên quan tới hệ thống phần mềm chọn Sự phù hợp TCVN 10607-2 hỗ trợ nhằm đạt kết cần thiết hai dạng quy trình tiêu chuẩn LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn CHÚ THÍCH Các bên có thỏa thuận chọn lựa nhằm kết hợp phần chọn lựa tiêu chuẩn theo thời hạn thỏa thuận Tuy nhiên, việc tuân thủ thỏa thuận không biện minh đòi hỏi phù hợp tiêu chuẩn Một địi hỏi phù hợp biện minh giải thích bên Tài liệu viện dẫn Các tài liệu viện dẫn sau cần thiết cho việc áp dụng tiêu chuẩn Đối với tài liệu viện dẫn ghi năm công bố áp dụng phiên nêu Đối với tài liệu viện dẫn khơng ghi năm cơng bố áp dụng phiên nhất, bao gồm sửa đổi, bổ sung (nếu có) TCVN 10607-1 (ISO/IEC 15026-1) Kỹ thuật phần mềm hệ thống - Đảm bảo phần mềm hệ thống - Phần 1: Khái niệm từ vựng ISO/IEC 15288:2008, Systems and software engineering - System life cycle processes ISO/IEC 12207:2008, Systems and software engineering - Software life cycle processes Thuật ngữ định nghĩa Tiêu chuẩn áp dụng thuật ngữ định nghĩa đưa TCVN 10607-1, ISO/IEC 15288:2008 ISO/IEC 12207:2008 Khái niệm quan trọng sử dụng tiêu chuẩn 5.1 Phương pháp tiếp cận vòng đời Giả định người dùng tiêu chuẩn sử dụng mơ hình vịng đời tập quy trình vịng đời định nghĩa hệ thống và/hoặc quản lý vịng đời phần mềm Thơng qua vịng đời, hệ thống dạng quy trình phần mềm Điều sử dụng hướng dẫn khuyến nghị Điều công quy trình, hoạt động tác vụ cụ thể nhằm đạt thể việc đạt đòi hỏi đảm bảo Khi tất quy trình ISO/IEC 15288 ISO/IEC 12207 áp dụng lặp đệ quy vòng đời, hướng dẫn khuyến nghị đảm bảo áp dụng lặp đệ quy Theo cách đó, việc đạt đảm bảo kiểm tra lần lặp hay đệ quy CHÚ THÍCH Xem ISO/IEC TR 24748-1 để có thơng tin mơ hình vịng đời, việc lặp đệ quy quy trình 5.2 Địi hỏi đảm bảo Khi địi hỏi hệ thống sản phẩm phần mềm kêu gọi đảm bảo hay nhiều đặc tính quan trọng hệ thống hay sản phẩm phần mềm, đòi hỏi đảm bảo tổng quan liên quan tới giá trị đặc tính đề cập TCVN 10607 đòi hỏi đảm bảo Các đặc tính quan trọng thường theo lĩnh vực có rủi ro hay hệ quan trọng liên quan như: độ tin cậy, tính khả trì, an tồn, an ninh yếu tố người CHÚ THÍCH Tài liệu điều phù hợp với TCVN 10607-2 Việc đạt đòi hỏi đảm bảo thường bao gồm tất xem xét có liên quan việc đạt địi hỏi xác Một địi hỏi định nghĩa ISO/IEC 29148 là: “mô tả chuyển dịch thể nhu cầu, khó khăn điều kiện liên quan” định nghĩa TCVN 10607-1 là: “mơ tả điều xác bao gồm điều kiện giới hạn liên quan” Tiêu chuẩn xem xét yêu cầu mô tả giá trị biến địi hỏi mơ tả yêu cầu Trong đòi hỏi phát sinh từ số nguồn, chúng thường thúc đẩy hệ tiêu cực thực tế tiềm ẩn liên quan tới mục đích sử dụng hệ thống biện minh phát sinh theo yêu cầu hệ thống phần mềm Mỗi đòi hỏi đảm bảo quy định rõ ràng đầy đủ, bao gồm: a) “Đòi hỏi đảm bảo” - đòi hỏi mức cao, bao gồm: 1) Các giá trị cho biến đặc tính quan trọng yêu cầu cho việc đạt 2) Các giới hạn độ không xác định cho phép liên quan tới việc đạt 3) Các điều kiện và/hoặc thời hạn áp dụng áp dụng 4) Tập phiên trường hợp sản phẩm phần mềm hay hệ thống bao trùm đòi hỏi b) “Biện minh cho đòi hỏi đảm bảo” - biện minh việc chọn lựa quy định đòi hỏi đảm bảo đặc biệt LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn c) “Nội dung thơng tin thể việc đạt địi hỏi đảm bảo” ngắn gọn là: “thông tin thể [hoặc đảm bảo] việc đạt đòi hỏi đảm bảo” Điều cuối bao gồm chứng, lý hay lập luận thể cách thức chứng hỗ trợ đòi hỏi giả định làm sở cho lý Lý thường có nhiều mức địi hỏi phát sinh từ bên nó, ví dụ: địi hỏi phần tử hệ thống mức phân tách cần để đòi hỏi đảm bảo hệ thống hay sản phẩm phần mềm Nội dung thông tin bao gồm thơng tin về: tính hiệu lực, tồn vẹn, tương quan ý nghĩa chứng Lý thường bao gồm vài loại lập luận khác nhau, ví dụ: lập luận dựa lý thiết kế, việc sử dụng kỹ thuật thiết kế phòng thủ, việc xác minh xác thực kết quả, công hệ thống hay sản phẩm tương tự, phù hợp với tiêu chuẩn hay liệu miền Chúng kết hợp nhằm đạt kết luận chung đánh giá độ không xác định tồn liên quan tới việc đạt đòi hỏi đảm bảo Nội dung thông tin kết hợp tổ chức thành ba mục là: (hay nhiều) phần tử hệ thống hay sản phẩm phần mềm, trì cập nhật suốt vịng đời hệ thống nhằm bao trùm việc phát triển hay trì Như phần tử hệ thống, tất quy trình, hoạt động tác vụ liên quan tới phần tử hệ thống áp dụng cho nó, ví dụ: quản lý cấu hình, xác minh xác thực 5.3 Sử dụng tiêu chuẩn Tiêu chuẩn sử dụng thỏa thuận nhà thâu nhận nhà cung cấp, mục đích pháp lý, đánh giá quy trình phát triển nội nhằm tăng cường việc đạt thể việc đạt đòi hỏi đảm bảo hệ thống hay sản phẩm phần mềm Tuy nhiên, việc sử dụng tiêu chuẩn không bị giới hạn theo ba mục đích 5.3.1 Sử dụng thỏa thuận Tiêu chuẩn sử dụng thỏa thuận nhà thâu nhận nhà cung cấp liên quan tới việc đạt thể việc đạt đòi hỏi đảm bảo theo giá trị biến đặc tính quan trọng hệ thống hay sản phẩm phần mềm thừa nhận Mối quan hệ nhà thâu nhận nhà cung cấp xảy nhiều mức khác chuỗi cung ứng (nhà cung cấp chính, bên tổ chức,.v v.) CHÚ THÍCH Một thỏa thuận tồn nhiều dạng: từ hợp đồng viết tay thỏa thuận lời 5.3.2 Sử dụng cho quy định Một đơn vị có thẩm quyền sử dụng tiêu chuẩn để quy định nhằm đảm bảo vài đặc tính quan trọng hệ thống hay sản phẩm phần mềm Sự cần thiết quy định phát sinh nhằm đảm bảo hay chứng thực đặc tính quan trọng hệ thống hay sản phẩm phần mềm, nhằm làm rõ việc đảm bảo chúng theo điều kiện thương mại hay nhằm thực vài hoạt động khác 5.3.3 Sử dụng cho phát triển Tiêu chuẩn sử dụng đánh giá nội nhà phát triển nhằm cải thiện quy trình việc đạt thể việc đạt đòi hỏi đảm bảo đặc tính hệ thống hay sản phẩm phần mềm quan trọng mà phát triển Mục đích dạng quy trình kết u cầu 6.1 Dạng quy trình đảm bảo hệ thống Các điều sau định nghĩa mục đích kết yêu cầu dạng quy trình đảm bảo hệ thống 6.1.1 Mục đích Mục đích dạng quy trình đảm bảo hệ thống đạt đòi hỏi đảm bảo liên quan tới đặc tính hệ thống chọn lựa quan tâm đặc biệt cung cấp nội dung thông tin thể việc đạt địi hỏi Dạng quy trình đảm bảo hệ thống bao trùm hệ thống đáng quan tâm bao gồm phần mềm thành phần 6.1.2 Kết yêu cầu Các kết sau phải thu từ việc xây dựng thành cơng Dạng quy trình đảm bảo hệ thống: a) Một tập yêu cầu cho việc đạt đặc tính quan trọng định nghĩa b) Các đòi hỏi đảm bảo, biện minh chúng nội dung thông tin thể việc đạt đòi hỏi đảm bảo đặc tính quan trọng xây dựng phần tử hệ thống LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn c) Một chiến lược nhằm đạt đòi hỏi đảm bảo thể việc đạt được định nghĩa d) Sự mở rộng việc đạt đòi hỏi đảm bảo kết nối với bên liên quan bị ảnh hưởng 6.2 Dạng quy trình đảm bảo phần mềm Các điều sau định nghĩa mục đích kết yêu cầu dạng quy trình đảm bảo phần mềm 6.2.1 Mục đích Mục đích dạng quy trình đảm bảo phần mềm nhằm đạt đòi hỏi đảm bảo liên quan tới đặc tính phần mềm chọn lựa mối quan tâm đặc biệt cung cấp nội dung thông tin thể việc đạt địi hỏi 6.2.2 Kết u cầu Các kết sau phải thu từ việc xây dựng thành cơng Dạng quy trình đảm bảo phần mềm: a) Một tập yêu cầu việc đạt đặc tính quan trọng việc ứng dụng dạng quy trình định nghĩa b) Các đòi hỏi đảm bảo, biện minh chúng nội dung thông tin thể việc đạt địi hỏi đảm bảo đặc tính quan trọng thiết lập phần tử hệ thống c) Một chiến lược nhằm đạt đòi hỏi đảm bảo thể việc đạt được định nghĩa d) Sự mở rộng việc đạt đòi hỏi kết nối với bên liên quan bị ảnh hưởng Hướng dẫn khuyến nghị đảm bảo quy trình chọn lựa 7.1 Giới thiệu Điều dẫn chứng hoạt động tác vụ Thỏa thuận, Dự án loại quy trình kỹ thuật tiêu chuẩn: ISO/IEC 15288:2008 ISO/IEC 12207:2008, yêu cầu việc mở rộng hay diễn giải đặc biệt mức đảm bảo định nghĩa mô tả Số lượng hoạt động tác vụ tương ứng với số lượng tiêu chuẩn gốc (ISO/IEC 15288 ISO/IEC 12207) Hướng dẫn khuyến nghị liên quan tới đòi hỏi đảm bảo nêu việc thực hoạt động tác vụ nhằm đạt kết dạng quy trình Hướng dẫn khuyến nghị thừa nhận dựa toàn ứng dụng tiêu chuẩn: ISO/IEC 15288 ISO/IEC 12207 đề cập Điều Các quy trình hoạt động khơng dẫn chứng điều xem xét đầy đủ định nghĩa tiêu chuẩn: ISO/IEC 15288 ISO/IEC 12207 nhằm đạt đòi hỏi đặc tính quan trọng 7.2 Quy trình thâu nhận Quy trình thâu nhận (Điều 6.1.1, ISO/IEC 15288 Điều 6.1.1, ISO/IEC 12207) thu sản phẩm hay dịch vụ tương ứng với yêu cầu nhà thâu nhận Khi thâu nhận phần tử hệ thống, quy trình phải đảm bảo tất yêu cầu việc đạt hay thể việc đạt đòi hỏi đảm bảo tương ứng với phần tử hệ thống chuyển đến cho nhà cung cấp thông qua thỏa thuận 7.2.1 Hoạt động tác vụ liên quan Hoạt động ISO/IEC 15288 Hoạt động ISO/IEC 12207 6.1.1.3 c) Bắt đầu thỏa thuận 6.1.1.3.4 Thỏa thuận hợp đồng 1) Đàm phán thỏa thuận với nhà cung cấp 6.1.1.3.4.2 Nhà thâu nhận phải chuẩn bị đàm phán thỏa thuận với nhà cung cấp nhằm nêu lên yêu cầu thu thập, bao gồm: chi phí lịch biểu sản phẩm hay dịch vụ phần mềm chuyển giao Hợp đồng phải nêu lên quyền sở hữu, sử dụng, làm chủ, bảo hành quyền sở hữu tương ứng với sản phẩm phần mềm sẵn có có khả tái sử dụng d) Giám sát thỏa thuận 1) Đánh giá việc thực thỏa thuận 2) Cung cấp liệu cần thiết nhà cung cấp giải mục theo thời gian 6.1.1.3.5 Giám sát thỏa thuận 6.1.1.3.5.1 Nhà thâu nhận phải giám sát hoạt động nhà cung cấp theo Quy trình kiểm tra phần mềm Quy trình đánh giá phần mềm Nhà thâu nhận phải hỗ trợ việc giám sát với Quy trình xác minh phần mềm Quy trình LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn Hoạt động ISO/IEC 15288 Hoạt động ISO/IEC 12207 xác nhận phần mềm cần thiết 7.2.2 Hướng dẫn khuyến nghị đảm bảo Dự án phải đảm bảo thỏa thuận xem xét tới biến giá trị đặc tính quan trọng chúng phần tử hệ thống thu thập Thỏa thuận phải bao gồm yêu cầu toàn vẹn (ví dụ: việc bảo vệ chống lại phần ngụy tạo, giả mạo, phần tử hệ thống với lỗ hổng tiết lộ thông tin tuyệt mật, bao trùm thông tin lỗ hổng để đảm bảo kết thu đáng mong đợi Dự án phải bắt nguồn từ đòi hỏi phần tử hệ thống thâu nhận từ đòi hỏi đảm bảo hệ thống kết hợp chúng thành đề nghị hỗ trợ phần tử hệ thống Ngoài ra, dự án phải kết hợp với xem xét sau thành đàm phán thỏa thuận với nhà cung cấp: a) Tin tưởng kiểm soát thích hợp liên quan tới tính khả tín (ví dụ: tin cậy) nhân viên tổ chức liên quan thiết lập hiệu b) Tin tưởng nhà cung cấp phòng giữ khỏi phần ngụy tạo, giả mạo đe dọa khác hệ thống toàn vẹn sản phẩm chống lại việc tiết lộ thông tin tuyệt mật c) Tin tưởng phần tử hệ thống truyền, nhận có khả mở rộng, cài đặt vận hành nhiều mục đích d) Tin tưởng mơi trường phát triển sản phẩm có tài nguyên thích hợp chỗ nhằm bảo vệ tồn vẹn sản phẩm đặc tính quan trọng suốt q trình phát triển e) Tin tưởng mơ hình vịng đời phát triển phần mềm hay hệ thống chọn lựa nhà cung cấp thích hợp với chất đòi hỏi đạt f) Tin tưởng kiểm sốt thích hợp liên quan tới việc triển khai khả tín, u cầu an tồn, việc đạt khả tín hệ thống u cầu tồn vẹn an toàn triển khai hiệu g) Tin tưởng vòng đời phát triển quản lý sử dụng quy trình lặp lại, ghi chép cẩn thận, giám sát dựa kế hoạch quản lý chất lượng thích hợp với chất đòi hỏi đạt Dự án phải xem lại cách tiếp cận nhằm thể việc đạt đòi hỏi xem xét thâu nhận từ nhà cung cấp mối quan hệ nhà cung cấp thay đổi (ví dụ: thâu nhận, tạo mới, hịa trộn với thực thể khác) yêu cầu nhà thâu nhận thay đổi để đảm bảo nhà cung cấp khơng trì hỗn thơng tin u cầu, cho phép đe dọa phá hoại bảo vệ chỗ sẵn sàng bảo vệ hệ thống Dự án phải trình yêu cầu đề xuất (RFP) mà hiểu xác nhà cung cấp bên liên quan khác thiết lập thủ tục việc giải vấn đề, mở rộng thay đổi thỏa thuận trường hợp giải vấn đề bao quát Dựa thay đổi thỏa thuận, dự án cần đảm bảo yêu cầu bên liên quan định nghĩa quy trình Định nghĩa yêu cầu bên liên quan điểm thay đổi khởi đầu Dự án cần xem xét thỏa thuận nhiều giai đoạn thích hợp CHÚ THÍCH Tham khảo Phụ lục F.3, ISO/IEC 12207:2008 mơ tả Quy trình quản lý thay đổi hợp đồng 7.3 Quy trình cung ứng Quy trình cung ứng (Điều 6.1.2, ISO/IEC 15288:2008, Điều 6.1.2, ISO/IEC 12207:2008) nhà thâu nhận với sản phẩm hay dịch vụ nhằm đáp ứng yêu cầu thỏa thuận Khi phần tử hệ thống cung cấp, quy trình cần đảm bảo tất yêu cầu việc đạt thể việc đạt đòi hỏi tương ứng với phần tử hệ thống chuyển đến nhà thâu nhận 7.3.1 Hoạt động tác vụ liên quan Dạng quy trình đảm bảo hệ thống 6.1.2.3 c) Bắt đầu thỏa thuận Dạng quy trình đảm bảo phần mềm 6.1.2.3.4 Thực hợp đồng 1) Đàm phán thỏa thuận với nhà thâu nhận d) Thực thỏa thuận 6.1.2.3.4.8 Nhà cung cấp phải giám sát kiểm sốt tiến trình chất lượng sản phẩm hay dịch vụ dự án suốt vòng đời ký 1) Thực thỏa thuận dựa kế hoạch dự kết Nó phải tác vụ liên tục, lặp lại mà phải án thiết lập nhà cung cấp dựa cung cấp cho: thỏa thuận LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê Dạng quy trình đảm bảo hệ thống 2) Đánh giá việc thực thỏa thuận www.luatminhkhue.vn Dạng quy trình đảm bảo phần mềm a) Việc giám sát tiến trình cơng kỹ thuật, chi phí lịch biểu việc báo cáo tình trạng dự án b) Xác định vấn đề, ghi chép, phân tích xử lý 7.3.2 Hướng dẫn khuyến nghị đảm bảo Dự án phải đảm bảo thỏa thuận xem xét tính khả thi biến giá trị đặc tính quan trọng phần tử hệ thống cung cấp, từ yếu tố kỹ thuật tài nguyên Thỏa thuận phải bao gồm yêu cầu toàn vẹn nhằm đảm bảo đưa đáng mong đợi Dự án phải chứng lập luận đòi hỏi phần tử hệ thống bắt nguồn từ đòi hỏi đảm bảo hệ thống Ngoài ra, dự án cần kết hợp với cân nhắc sau thành đàm phán thỏa thuận với nhà thâu nhận, nhằm đạt đảm bảo bù đắp tài nguyên sẵn có cho dự án: a) Tin tưởng có cách thức nhằm đáp ứng yêu cầu yếu cách thiết thực theo yếu tố kỹ thuật yếu tố khác b) Xem xét thỏa thuận nhiều giai đoạn, thường hợp mà việc đánh giá chi phí xác khó khăn c) Xem xét bắt đầu bước vận hành hệ thống, phải khả việc thiếu thời hạn tùy theo lý không mong muốn 7.4 Quy trình lập kế hoạch dự án Quy trình lập kế hoạch dự án (Điều 6.3.1, ISO/IEC 15288:2008 Điều 6.3.1, ISO/IEC 12207:2008) cung cấp kết nối kế hoạch dự án khả thi hiệu Nhằm đảm bảo, kế hoạch dự án bao gồm tài nguyên tương xứng nhằm đạt đòi hỏi đảm bảo thể việc đạt địi hỏi CHÚ THÍCH Các địi hỏi đảm bảo việc thể kết địi hỏi thu trường hợp đảm bảo theo cấu trúc định dạng TCVN 10607-2 7.4.1 Hoạt động tác vụ liên quan Hoạt động ISO/IEC 15288 Hoạt động ISO/IEC 12207 6.3.1.3 a) Định nghĩa dự án 6.3.1.3.1 Xác định dự án 1) Xác định mục tiêu hạn chế dự án 6.3.1.3.1.1 Nhà quản lý phải triển khai đòi hỏi dự án thực 2) Định nghĩa trì mơ hình vịng đời bao gồm giai đoạn sử dụng mơ hình vịng đời 6.3.1.3.2 Lập kế hoạch dự án định nghĩa tổ chức 6.3.1.3.2.1 Nhà quản lý phải chuẩn bị kế hoạch b) Lập kế hoạch tài nguyên dự án cho việc thực dự án Các kế hoạch liên quan tới việc thực dự án phải bao gồm mô tả 1) Định nghĩa trì lịch biểu dự án dựa hoạt động tác vụ tương ứng việc xác mục tiêu dự án đánh giá công việc định sản phẩm phần mềm cung cấp 2) Định nghĩa lĩnh vực đạt dự án Các kế hoạch bao gồm, không bị giới cổng định giai đoạn vòng đời, thời gian hạn bởi: chuyển giao khả tín yếu theo a) Lịch biểu cho việc hoàn thiện tác vụ đầu vào hay đầu bên b) Đánh giá tác động 3) Định nghĩa chi phí dự án lập kế hoạch dự toán c) Các tài nguyên tương ứng cần thiết để thực tác vụ 4) Xây dựng cấu trúc thẩm quyền trách nhiệm công việc dự án d) Định danh tác vụ 5) Định nghĩa hạ tầng dịch vụ đòi hỏi e) Phân bổ trách nhiệm dự án f) Định lượng rủi ro tương ứng với tác 6) Lập kế hoạch thu thập tài liệu, hàng hóa cho vụ quy trình phép dịch vụ hệ thống cung cấp từ bên g) Các đơn vị đảm bảo chất lượng thực dự án suốt dự án c) Lập kế hoạch quản lý chất lượng kỹ thuật dự h) Các chi phí tương ứng với việc thực quy án trình 1) Tạo kết nối dự án kế hoạch đối i) Điều khoản môi trường hạ tầng LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê Hoạt động ISO/IEC 15288 www.luatminhkhue.vn Hoạt động ISO/IEC 12207 với việc quản lý kỹ thuật thực dự án, j) Định nghĩa trì mơ hình vịng đời bao gồm đánh bao gồm thành nhiều giai đoạn sử dụng mơ hình vịng đời định nghĩa cho dự án tổ chức 7.4.2 Hướng dẫn khuyến nghị đảm bảo Dự án phải bao gồm mục tiêu đảm bảo đặc tính quan trọng mục tiêu dự án Các mục tiêu đảm bảo phải bao gồm hạn chế phản ánh luật, quy định tiêu chuẩn việc tuân thủ dự án nhằm đạt mục tiêu đó, đảm bảo hoạt động tác vụ việc thu thập giấy phép hay chứng nhận cần thiết bao quát việc lập kế hoạch Ví dụ: đặc tính quan trọng như: an toàn, bao gồm chứng nhận an toàn yêu cầu phải phản ánh kế hoạch dự án CHÚ THÍCH Các mục tiêu đảm bảo dựa đặc tính quan trọng định nghĩa việc xác định nguy hiểm hậu bao gồm: tổn hại, đe dọa mối nguy quản lý hay bị ảnh hưởng hệ thống cách xem xét giá trị chấp nhận biến đặc tính quan trọng độ khơng xác định chấp thuận tối đa Các mục tiêu cần kết nối với nhiều bên liên quan dự án nhiều có thể, bao gồm: quản lý mức cao, khách hàng nhà cung cấp Phương thức phát triển, môi trường công cụ phải xác định dựa yêu cầu hệ thống CHÚ THÍCH Mỗi phương thức phát triển, ví dụ: phương pháp hướng quy trình, hướng liệu hướng đối tượng có phù hợp riêng ứng dụng khác Phương pháp phát triển phải chọn lựa dựa phân tích luồng cơng việc thông tin xử lý hệ thống Dự án cần đảm bảo cá nhân có kỹ thẩm quyền phù hợp nhằm bao trùm đầy đủ tất yêu cầu liên quan tới đặc tính quan trọng việc đạt thể việc đạt đòi hỏi đặc tính quan trọng Kế hoạch dự án phải bao gồm việc lập kế hoạch nhằm đạt đòi hỏi đảm bảo thể tiến trình dự án phù hợp với địi hỏi đáp ứng theo thời gian, bao gồm: việc lập kế hoạch nhằm giải tác động tiềm ẩn từ lỗ hổng điểm yếu mà ảnh hưởng tới đòi hỏi Dự án phải làm rõ tác vụ trách nhiệm liên quan tới đòi hỏi Dự án phải lên kế hoạch việc báo cáo độc lập liên quan tới đòi hỏi đảm bảo bao gồm trách nhiệm việc báo cáo liên quan tới đòi hỏi việc quản lý mục; ghi chép mục, báo cáo, xác định cách thức báo cáo việc phổ biến thơng tin phối hợp tồn tổ chức (bao gồm khách hàng nhà cung cấp cần thiết) Dự án phải kết hợp điểm định mốc quan trọng nhằm quản lý chi phí, lịch biểu cơng rủi ro liên quan tới độ không xác định, không rõ ràng yêu cầu phát sinh mà góp phần nhằm đạt đòi hỏi Các điểm định phải điểm liên quan dự án mà định yêu cầu quan trọng từ bên liên quan khơng bị trì hỗn, độ phức tạp chúng Dự án phải xác định hành động phụ trợ yêu cầu việc thể việc đạt đòi hỏi đặc tính quan trọng, bên cạnh việc phát triển hệ thống phần mềm tính tốn chi phí, tỷ lệ thời gian tài nguyên cần thiết cho việc hồn thiện chúng Mục đích hoạt động phụ trợ phải đưa cách định lượng Đánh giá định lượng cần thiết việc đánh giá kết Quy trình vận hành Sự đánh giá việc đạt phải tiếp diễn suốt giai đoạn áp dụng địi hỏi đảm bảo liên quan (ví dụ: thiết bị giám sát an tồn cơng nghiệp ngun tử) Dự án phải đánh giá việc sử dụng sản phẩm thương mại đặt trước phần tử hệ thống dựa cần thiết dự án Theo đánh giá này, dự án phải xem xét cách thức sử dụng phần tử hệ thống thương mại ảnh hưởng tới việc đạt đòi hỏi thể việc đạt địi hỏi cho đặc tính quan trọng rủi ro gây việc thực điều khiển tính phần tử hệ thống Khi việc tùy biến yêu cầu, quan tâm đặc biệt phải đưa nhăm đảm bảo địi hỏi đảm bảo khơng bị vơ hiệu 7.5 Quy trình quản lý định Quy trình quản lý định (Điều 6.3.3, ISO/IEC 15288:2008 Điều 6.3.3, ISO/IEC 12208:2008) chọn lựa cách giải có lợi hành động dự án đâu thay đổi tồn Để đảm bảo cho hoạt động quy trình quản lý định cần thiết nhằm đảm bảo hệ LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn việc đạt thể việc đạt đòi hỏi đặc tính quan trọng xem xét định tạo 7.5.1 Hoạt động tác vụ liên quan Hoạt động ISO/IEC 15288 6.3.3.3 a) Lập kế hoạch định nghĩa định Hoạt động ISO/IEC 12207 6.3.3.3.1 Lập kế hoạch định 6.3.3.3.1.1 Dự án phải định nghĩa chiến lược 1) Định nghĩa chiến lược quản lý định đưa định 2) Xác định trường hợp cần thiết 6.3.3.3.1.2 Dự án phải bao gồm bên liên quan định việc đưa định để rút kinh nghiệm kiến thức 3) Bao gồm bên liên quan việc đưa định để rút kinh nghiệm kiến thức 6.3.3.3.1.3 Dự án phải xác định trường hợp cần thiết định b) Phân tích thơng tin định 6.3.3.3.2 Phân tích định 2) Xác định kết mong đợi lĩnh vực thành cơng tính tốn trước 6.3.3.3.2.1 Dự án phải chọn lựa khai báo chiến lược đưa định tình định Dự án phải xác định kết mong đợi lĩnh vực thành cơng tính tốn trước 7.5.2 Hướng dẫn khuyến nghị đảm bảo Dự án phải bao gồm định liên quan tới đòi hỏi đảm bảo hạng mục loại định chiến lược quản lý định Chiến lược quản lý định phải đảm bảo ảnh hưởng việc đạt thể việc đạt đòi hỏi bao quát việc đánh giá hệ rủi ro tương ứng hoạt động thay đổi định ảnh hưởng tới sách, thủ tục, kế hoạch, cá nhân, môi trường, sản phẩm, dịch vụ hạ tầng hỗ trợ quan trọng Một định liên quan tới đòi hỏi tạo ra, ảnh hưởng phải phản ánh cách tiếp cận nhằm thể việc đạt chúng Tiêu chí định trao đổi định khác phải bảo vệ việc đảm bảo đặc tính quan trọng phải bao gồm bên liên quan đặc tính quan trọng 7.6 Quy trình quản lý rủi ro Quy trình quản lý rủi ro (Điều 6.3.4, ISO/IEC 15288:2008 Điều 6.3.4, ISO/IEC 12207:2008) xác định, phân tích, xử lý giám sát rủi ro liên tục áp dụng rủi ro liên quan tới việc thu thập, cung cấp, phát triển, trì, vận hành hay xử lý hệ thống Các hoạt động tác vụ quy trình quản lý rủi ro phần quan trọng việc tiếp cận nhằm thể việc đạt đòi hỏi CHÚ THÍCH Mặc dù câu đầu nêu nêu ISO/IEC 15288, phần tiêu chuẩn bổ sung “hỗ trợ” dựa việc kế thừa rủi ro đảm bảo việc hỗ trợ hệ thống Hoạt động ISO/IEC 15288 Hoạt động ISO/IEC 12207 6.3.4.3 a) Lập kế hoạch quản lý rủi ro 6.3.4.3.1 Lập kế hoạch quản lý rủi ro 1) Định nghĩa sách quản lý rủi ro 6.3.4.3.1.1 Các sách quản lý rủi ro mơ tả hướng dẫn mà việc quản lý rủi ro thực phải định nghĩa b) Quản lý hồ sơ rủi ro 3) Triển khai trì hồ sơ rủi ro c) Phân tích rủi ro 6.3.4.3.1.2 Một mơ tả Quy trình quản lý rủi ro thiết lập phải ghi chép 6.3.4.3.1.3 Các bên chịu trách nhiệm cho việc thực quản lý rủi ro, vai trò trách nhiệm phải 2) Triển khai thay đổi xử lý rủi ro mà bên xác định liên quan xác định hành động phải 6.3.4.3.1.4 Các bên chịu trách nhiệm phải cung chọn để tạo chấp nhận rủi ro cấp tài nguyên tương ứng để thực Quy e) Giám sát rủi ro trình quản lý rủi ro 2) Triển khai giám sát đơn vị đo để đánh 6.3.4.3.1.5 Một mô tả quy trình việc đánh giá giá cơng xử lý rủi ro tăng cường Quy trình quản lý rủi ro phải d) Xử lý rủi ro cung cấp LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê Hoạt động ISO/IEC 15288 www.luatminhkhue.vn Hoạt động ISO/IEC 12207 6.3.4.3.2 Quản lý hồ sơ rủi ro 6.3.4.3.2.1 Ngữ cảnh Quy trình quản lý rủi ro phải định nghĩa ghi chép 6.3.4.3.2.2 Các ngưỡng rủi ro định nghĩa điều kiện theo mức rủi ro chấp nhận, phải ghi chép 6.3.4.3.2.3 Một hồ sơ rủi ro phải triển khai trì 6.3.4.3.2.4 Hồ sơ rủi ro liên quan phải kết nối trực tiếp với bên liên quan dựa nhu cầu 6.3.4.3.3 Phân tích rủi ro 6.3.4.3.3.1 Các rủi ro phải xác định theo hạng mục mô tả ngữ cảnh quản lý rủi ro 6.3.4.3.3.2 Khả xuất hệ rủi ro xác định phải đánh giá 6.3.4.3.3.3 Mỗi rủi ro phải đánh giá chống lại ngưỡng rủi ro 6.3.4.3.3.4 Với rủi ro ngưỡng rủi ro nêu trên, chiến lược xử lý khuyến nghị phải định nghĩa ghi chép lại Các đơn vị tính tính hiệu việc xử lý thay đổi phải định nghĩa ghi chép lại 7.6.2 Hướng dẫn khuyến nghị đảm bảo Việc quản lý rủi ro phải tương tác thông suốt suốt quy trình quản lý rủi ro theo việc thiết lập ưu tiên, đưa định, triển khai trì hồ sơ rủi ro xử lý rủi ro Thông tin biện minh việc chọn lựa đặc tả đòi hỏi đảm bảo, Nội dung thông tin thể việc đạt đòi hỏi hạn chế đòi hỏi độ khơng xác định dùng khung việc tổ chức rủi ro đảm bảo hệ thống Thông tin phải bao gồm giả định, liệu, xử lý tính tốn liên quan cần thiết để củng cố phân tích rủi ro cho phép đánh giá rủi ro đánh giá, tái xây dựng kiểm tra Trong suốt vòng đời hệ thống, việc nhấn mạnh phải đưa cho yếu tố điều kiện nhân việc xuất hiện, dấu hiệu cảnh báo báo chúng việc phát sinh rủi ro hệ chúng Ngoài ra, việc quan tâm cẩn thận phải đưa khó khăn việc đạt chứng cần thiết, nhằm đảm bảo việc báo cáo nhanh, đánh giá báo cáo trì báo cáo tồn diện Các thực hành phân tích giảm thiểu hậu việc đảm bảo phải phát triển dùng nhà cung cấp sản phẩm thương mại hay đặt trước tạo thay đổi cho sản phẩm mà không cung cấp thông tin chi tiết thay đổi Các rủi ro nguồn nguy liên quan lỗ hổng điểm yếu, đe dọa, mối nguy, lỗi, lỗi người thay đổi an ninh hệ thống hay mơi trường phải xác định suốt vòng đời hệ thống Dự án phải giả định việc tồn trí thơng minh đối tượng nguy hại việc triển khai trì hồ sơ rủi ro chất quan trọng rủi ro liên quan Khi đánh giá khả xuất hệ rủi ro xác định, dự án phải xem xét chuỗi tác động hoàn thiện mà đối tượng thơng minh gây Một rủi ro việc phá hoại tồn quy trình vịng đời bao gồm quy trình quản lý rủi ro Các khả sai sót để đạt đòi hỏi đảm bảo sai sót nhằm chấp nhận thể việc đạt phải xem xét thực tế, bao gồm rủi ro việc phải lặp lại phần hệ thống Dự án phải đánh giá tiềm việc đạt việc đảm bảo hệ thống cần thiết theo cách thức thời gian, dẫn đến rủi ro việc chứng nhận hay suất hệ thống dẫn đến hệ thống không sử dụng định Hành động dự phòng theo kiện mà địi hỏi đảm bảo khơng thể đạt theo phương thức thời gian phải xác định, lên kế hoạch thừa nhận bên liên quan tương ứng 7.7 Quy trình quản lý cấu hình LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Cơng ty luật Minh Kh www.luatminhkhue.vn Quy trình quản lý cấu hình (Điều 6.3.5, ISO/IEC 15288:2008 Điều 6.3.5, ISO/IEC 12207:2008) thiết lập trì tính tồn vẹn tất tạo tác xác định dự án hay quy trình tạo cho chúng tính sẵn có bên liên quan Nhằm đảm bảo, hai mối quan hệ tồn tại: (1) Quản lý cấu hình hiệu phần tử hệ thống chứng thông tin thể việc đạt địi hỏi đảm bảo; (2) thơng tin thể việc đạt địi hỏi đảm bảo theo quản lý cấu hình 7.7.1 Hoạt động tác vụ liên quan Hoạt động ISO/IEC 15288 Hoạt động ISO/IEC 12207 6.3.5.3 a) Lập kế hoạch quản lý cấu hình 6.3.5.3.1 Lập kế hoạch quản lý cấu hình 1) Định nghĩa chiến lược quản lý cấu hình 6.3.5.3.1.1 Dự án phải định nghĩa chiến lược quản lý cấu hình b) Thực quản lý cấu hình 1) Duy trì thơng tin cấu hình với mức thích hợp tính tồn vẹn an ninh 6.3.5.3.2 Thực quản lý cấu hình 6.3.5.3.2.1 Dự án phải trì thơng tin cấu hình với mức thích hợp tình tồn vẹn an ninh 7.7.2 Hướng dẫn khuyến nghị đảm bảo Chiến lược quản lý cấu hình phải phát triển nhằm xác định cách thức lấy thơng tin liên quan từ quy trình quản lý cấu hình thành thơng tin đảm bảo địi hỏi, bao quát suốt trình trì để cung cấp bảo vệ liệu mục cấu hình siêu liệu, cho kho theo thay đổi Dự án phải xác định thông tin liên quan tới đòi hỏi đảm bảo lên kế hoạch kết hợp liên tục thành cấu hình định danh nhằm tạo thành phiên tổ chức thơng tin đảm bảo địi hỏi Việc đánh giá kiểm tra thủ tục hoạt động quản lý cấu hình phải hồn thiện để ngăn ngừa thay đổi cố ý bất hợp pháp sản phẩm kiểm soát để khuyến nghị hiệu chuẩn hành động ngăn ngừa liên quan tới đòi hỏi đảm bảo Dự án phải đảm bảo phù hợp tính tồn vẹn an ninh cấu trúc thông tin bao qt theo thơng tin đảm bảo địi hỏi với cách tiếp cận nhằm thể việc đạt đòi hỏi Thông tin đảm bảo yêu cầu phải xác định kết hợp liên tục cấu hình định danh để tạo thành phiên tổ chức thơng tin đảm bảo địi hỏi Việc truy cập phân phối kiểm soát, lưu trữ bảo vệ phải trì suốt vịng đời sản phẩm hay dịch vụ Dự án phải dẫn việc quản lý cấu hình nhằm tạo điều kiện cho việc đạt đảm bảo đòi hỏi Ở mức tối thiểu sau: a) Thực biện pháp chặt chẽ bảo vệ mức rủi ro hệ thống, liệu, nhiệm vụ đảm bảo đòi hỏi linh hoạt đủ phép khối đe dọa lớn b) Điều chỉnh độ chi tiết quy trình quản lý cấu hình nhằm hỗ trợ cách tiếp cận để thể việc đạt đòi hỏi Dự án phải triển khai trì độ tin cậy, tính tồn vẹn, sẵn có, xác thực, trách nhiệm giải trình (bao gồm: khơng thối thác) khả kiểm tra yêu cầu thông tin đảm bảo đòi hỏi, bao gồm: kết hợp chiến lược công nghệ sau quy trình quản lý cấu hình cơng cụ hỗ trợ: a) Từng thẩm quyền người dùng mạnh mẽ Nếu mật dùng việc xác thực, chúng phải ln mã hóa nhằm truyền thơng qua mạng không lưu trữ dạng thông thường đâu b) Các kho khó chống lại cơng Ví dụ: tảng hỗ trợ kho tập trung, hạn chế số lượng dịch vụ chạy khác nhằm giảm thiểu rủi ro mà dịch vụ để lộ kho để bị công Hạn chế giám sát truy cập mạng cho hệ thống CM c) Tiêu chí chấp nhận chất lượng để tránh giới thiệu phần tử hay tài liệu chấp nhận d) Các kiểm tra kho quản lý cấu hình quản trị e) Các ghi tính tốn liên quan tới việc truy cập cập nhật liệu, nhằm xác định chúng hoạt động khơng mong đợi hay bất thường (ví dụ: hoạt động theo thời gian, khu vực, hệ thống hay cá nhân khơng bình thường, cá nhân cập nhật lượng lớn thông tin không theo thông lệ mục cấu hình,.v v.) f) Việc bảo vệ hệ thống quản lý cấu hình (ví dụ: cách khóa chúng lại) truy cập kiểm sốt hệ thống LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn g) Các quy trình nhằm hỗ trợ đếm liệu thất thoát phá hoại kho quản lý cấu hình h) Các điểm mục vào kiểm sốt với truy cập cần thiết chúng liệu quản lý cấu hình Dự án phải đánh giá rủi ro phát sinh từ việc sử dụng quy trình quản lý cấu hình, bao quát rủi ro sai sót cá nhân, bao gồm: nguy hại, việc biện minh ghi chép cung cấp để làm điều khác CHÚ THÍCH Hướng dẫn bổ sung cho thực hành quản lý cấu hình sẵn có TCVN ISO/IEC 27002 Cơng nghệ thơng tin - Kỹ thuật an ninh - Mã thực thi cho quản lý an ninh thông tin ISO 10007:2003 Quality management systems - Guidelines for configuration managemet 7.8 Quy trình quản lý thơng tin Quy trình quản lý thơng tin (Điều 6.3.6, ISO/IEC 15288 Điều 6.3.6, ISO/IEC 12207) cung cấp thơng tin liên quan theo thời gian, có hiệu lực yêu cầu, thông tin tuyệt mật cho bên định suốt sau vòng đời hệ thống tương ứng Để đảm bảo, quy trình cung cấp thơng tin đạt đảm bảo đòi hỏi bên liên quan tương ứng cung cấp việc phân phối nội dung thông tin thể việc đạt đảm bảo đòi hỏi bên liên quan tương ứng, bao gồm nhà quy định nhà phê duyệt 7.8.1 Hoạt động tác vụ liên quan Hoạt động ISO/IEC 15288 6.3.6.3 a) Lập kế hoạch quản lý thông tin Hoạt động ISO/IEC 12207 6.3.6.3.1 Lập kế hoạch quản lý thông tin 1) Định nghĩa mục thông tin quản 6.3.6.3.1.1 Dự án phải định nghĩa mục lý suốt vòng đời hệ thống dựa thông tin mà quản lý suốt vịng đời sách, thỏa thuận hay quy định hệ thống, dựa sách hay quy định tổ chức trì cho giai đoạn được tổ chức, trì cho giai đoạn định nghĩa sau định nghĩa sau 2) Chỉ định thẩm quyền trách nhiệm liên quan tới việc khởi tạo, tạo ra, thu giữ, đạt giảm thiểu mục thông tin 6.3.6.3.1.2 Dự án phải có thẩm quyền trách nhiệm định liên quan tới việc khởi tạo, tạo ra, thu thập, đạt giảm thiểu mục thông tin 3) Định nghĩa quyền, nghĩa vụ cam kết liên quan tới việc giữ, việc truyền tải truy 6.3.6.3.1.3 Dự án phải định nghĩa quyền, cập mục thông tin nghĩa vụ cam kết liên quan tới việc giữ, truyền truy cập mục thông tin 4) Định nghĩa nội dung, ngữ nghĩa, định dạng phương tiện cho việc thể hiện, giữ, 6.3.6.3.1.4 Dự án phải định nghĩa nội dung, ngữ truyền nhận thông tin cảnh, định dạng phương tiện cho việc trình bày, giữ, truyền nhận thông tin 5) Định nghĩa hành động trì thơng tin 6.3.6.3.3.5 Dự án phải định nghĩa hành động trình thơng tin b) Hướng dẫn khuyến nghị đảm bảo 6.3.6.3.2 Thực quản lý thông tin 3) Nhận phân phối thông tin cho bên định yêu cầu lịch biểu 6.3.6.3.2.3 Dự án phải nhận phân phối thông thỏa thuận hay trường hợp định tin cho bên định yêu cầu nghĩa lịch biểu thỏa thuận hay trường hợp định nghĩa 7.8.2 Hướng dẫn khuyến nghị đảm bảo Dự án cần lên kế hoạch thiết lập nội dung thông tin ghi chép nhằm cung cấp sở cho tin tưởng đòi hỏi đảm bảo, bao gồm: giả định, lập luận, chứng có cấu trúc mối quan hệ chúng nhằm thể cách thức đòi hỏi thỏa mãn CHÚ THÍCH TCVN 10607-2 cung cấp cấu trúc thơng tin dạng trường hợp đảm bảo trường hợp đảm bảo yêu cầu bên liên quan quan tâm tới việc đảm bảo đặc tính quan trọng đặc biệt Ví dụ Khi đòi hỏi tạo cho đặc tính quan trọng “an tồn” hay “an ninh” hệ thống, Nội dung thông tin phải cung cấp lập luận bao trùm toàn phạm vi yêu cầu an toàn hay an ninh Các lập luận chứng hỗ trợ phải tạo ra, thu thập trì suốt vịng đời thường bắt nguồn từ nhiều nguồn LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn Dự án phải thu thập, tổ chức phân tích thơng tin liên quan bổ sung liên quan tới việc đảm bảo địi hỏi sau: a) Thơng tin chứng thời bao gồm thông tin liên quan từ phiên trước đó, hệ thống tương tự tập thông tin giống bao gồm lập luận biện minh việc sử dụng nhằm giảm thiểu rủi ro tạo cho thành công thất bại b) Thơng tin liên quan tới tính hiệu lực tồn vẹn thơng tin đảm bảo địi hỏi c) Thơng tin báo cáo liên quan tới lỗi, sai sót người, khiếm khuyết, điểm yếu tai nạn liên quan tới việc đảm bảo đòi hỏi Dự án nên quản lý kiểm sốt thơng tin liên quan tới việc đảm bảo địi hỏi nhằm bảo đảm tính tồn vẹn hiệu lực Dự án bao quát việc bảo vệ thơng tin liên quan tới việc đảm bảo địi hỏi, bao gồm: việc bảo vệ khỏi hành động nguy hại; hạn chế truy cập thông tin nhạy cảm, bao gồm: đe dọa thông tin độc hại việc trì độ tin cậy yêu cầu; phản hồi tai nạn liên quan tới thông tin đảm bảo đòi hỏi Bất kỳ thay đổi tạo thông tin liên quan tới việc đảm bảo đòi hỏi, phần thỏa thuận liên quan tới thay đổi mối quan hệ thay đổi phần liên quan việc thỏa thuận phải làm rõ Dự án phải cung cấp báo cáo tổng hợp tập thông tin này, thay đổi nó, chất lượng tình trạng hồn thiện khoảng dự kiến cần thiết nhằm giám sát quản lý hiệu Dự án bao gồm việc thiết lập báo cáo kênh cung cấp khả hiển thị thông tin liên quan cần thiết cho bên liên quan việc đưa định Thông tin bao quát nội dung để làm trường hợp sử dụng thông thường mà hệ thống mong muốn để người dùng xác định hệ thống làm điều khơng mong đợi nhánh tiềm việc tuân thủ hạn chế Người dùng phải biết cách báo cáo hay hành động khơng theo lịch trình hay điều kiện bất ngờ nhánh việc tuân thủ hạn chế mà người dùng không tuân thủ thỏa hiệp với hạn chế Các tài liệu viết tay ảnh hưởng tới thỏa thuận bên liên quan phải quản lý để khác biệt với việc biên dịch bên liên quan tối giản Các tài liệu bao qt khơng bị giới hạn u cầu đề xuất (RFP) nhà thâu nhận bên đề xuất theo dự án 7.9 Quy trình định nghĩa yêu cầu bên liên quan Quy trình định nghĩa yêu cầu bên liên quan (Điều 6.4.1, ISO/IEC 15288:2008 Điều 6.4.1, ISO/IEC 12207:2008) định nghĩa yêu cầu hệ thống mà cung cấp dịch vụ cần thiết cho người dùng bên liên quan khác môi trường định nghĩa Quy trình định danh bên hay nhóm bên liên quan, tham gia hệ thống suốt vòng đời nhu cầu, mong đợi hay mong muốn chúng Quy trình phân tích biến đổi yêu cầu thành tập chung yêu cầu bên liên quan Như tập yêu cầu này, đặc tính quan trọng cho mức tin cậy cao yêu cầu việc đạt được xác định ghi chép lại 7.9.1 Hoạt động tác vụ liên quan Hoạt động ISO/IEC 15288 Hoạt động ISO/IEC 12207 6.4.1.3 c) Phân tích trì u cầu bên liên quan 6.4.1.3.3 Đánh giá yêu cầu Hoạt động bao gồm tác vụ sau: 1) Phân tích tập hoàn thiện yêu cầu nêu 6.4.1.3.3.1 Dự án phải phân tích tập hồn thiện yêu cầu nêu 6) Duy trì khả truy xuất yêu cầu bên 6.4.1.3.4 Thỏa thuận yêu cầu Hoạt động liên quan nguồn bên liên quan bao gồm tác vụ sau: cần thiết 6.4.1.3.4.2 Dự án phải phản hồi yêu cầu phân tích để bên liên quan áp dụng nhằm đảm bảo nhu cầu mong đợi thu nhận đầy đủ nhấn mạnh 6.4.1.3.4.3 Dự án phải triển khai với bên liên quan mà yêu cầu chúng nhấn mạnh xác 7.9.2 Hướng dẫn khuyến nghị đảm bảo LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn Một tập đặc tính quan trọng phải xác định việc phân tích tập hồn chỉnh yêu cầu thu thập từ bên liên quan Các bên liên quan định nghĩa yêu cầu họ: vài yêu cầu phát sinh việc yêu cầu độ tin cậy cao việc đạt chúng chúng liên quan tới hệ quả, rủi ro, luật pháp hay nhiệm vụ quan trọng khác (ví dụ: chống giả mạo, an ninh) liên quan tới đặc tính hệ thống Các u cầu địi hỏi độ tin cậy cao dùng để xác định đặc tính quan trọng hệ thống hay sản phẩm phần mềm Dự án cần hỗ trợ việc chọn lựa từ quan điểm kỹ thuật, ví dụ: việc xác định rủi ro, hệ bổ sung tính bất định liên quan tuân thủ yêu cầu Là phần việc chọn lựa đặc tính quan trọng, dự án cần định nghĩa yêu cầu sơ việc thể việc đạt đặc tính này, đặc biệt quan tâm tới giao dịch liên quan tới sức chống chịu rủi ro bên liên quan Bên liên quan cần xác định sức chống chịu lỗi, suy thoái thỏa hiệp hay tổn thất họ, ví dụ: chế độ vận hành suy thối Dự án phải xác định ngữ cảnh văn hóa, xã hội tổ chức hệ thống ảnh hưởng tới việc đạt hay thể việc đạt đặc tính đặc biệt Hoạt động hỗ trợ việc sử dụng kinh nghiệm ghi liên quan tới phiên trước hệ thống môi trường vận hành tương tự ý định biết đến hay dự đoán liên quan tới việc sử dụng hệ thống mơi trường Dự án phải ưu tiên đặc tính để chọn lựa điều quan trọng cho việc cung cấp đòi hỏi đảm bảo Các đặc tính quan trọng chọn lựa với việc biện minh lý cho việc lựa chọn chúng phải ghi chép trở thành phần khả truy xuất cho nhu cầu bên liên quan cụ thể trì cho việc điều tra sau cần thiết Tài liệu việc trì lý hoàn thiện phần việc trì khả truy xuất yêu cầu bên liên quan nguồn bên liên quan cần thiết Các đặc tính quan trọng chọn lựa dùng cho đòi hỏi đảm bảo mức cao Trong q trình phân tích u cầu bên liên quan, thực tế bên liên quan có trường hợp riêng họ tập giá trị phải phân chia CHÚ THÍCH Dự án phải làm việc xuyên suốt tập bên liên quan có kiến thức cơng nghệ nhằm xác định tính khả thi u cầu suốt vịng đời Vịng đời hồn thiện phải xem xét tới việc xác định yêu cầu tính khả thi tránh thay đổi mà dẫn đến thay đổi chi phí, lịch trình và/hoặc hiệu khơng mong đợi sau vòng đời nhiều chi tiết kỹ thuật hệ thống biết tới Dự án phải cố gắng loại bỏ mục không xác định tập yêu cầu bên liên quan Các yêu cầu chức phi chức phải kiểm tra định nghĩa, phản ánh thông tin lượng tối đa cơng việc, thời hạn kế tốn hàng tháng kinh nghiệm phát triển vận hành thực tiễn Việc thực phải tối giản hóa rủi ro hướng kỹ thuật nhằm cho phép nhiều đánh giá xác tài nguyên người, thời hạn chi phí vịng đời hệ thống Các mục khơng xác định hay rủi ro hướng kỹ thuật tránh khỏi, dự án phải làm cho chúng rõ ràng quản lý chúng quy trình quản lý rủi ro giai đoạn vòng đời CHÚ THÍCH Tham khảo ISO/IEC 29148:2011 Requirements Engineering để hiểu thêm bao quát tất loại yêu cầu khái niệm vận hành CHÚ THÍCH Nhà thâu nhận phải định nghĩa quản lý yêu cầu dựa loại vòng đời dự án, cho phép dự án ước tính kinh phí bắt đầu phát triển; dự án phải đánh giá chi phí dựa yêu cầu cuối phép nhà thâu nhận đánh giá việc đầu tư Các hành động khơng phải khuynh hướng dự đoán rủi ro tiềm ẩn Các yêu cầu bên liên quan phải giữ đơn giản tốt yêu cầu phức tạp thường dẫn tới hệ thống phức tạp với kinh phí cao việc phát triển vận hành tạo đặc tính quan trọng khó khăn để đảm bảo Dự án phải đảm bảo định thiết yếu giai đoạn sau vòng đời dựa yêu cầu bên liên quan định nghĩa quy trình Dự án phải đảm bảo tham gia tất bên liên quan tương ứng (ví dụ: nhu cầu bên liên quan tương tự với nhu cầu kinh doanh đặc tính quan trọng kiến thức đặc tính quan trọng) theo định nghĩa yêu cầu để giữ yêu cầu bên liên quan bổ sung giai đoạn sau vòng đời CHÚ THÍCH Sự hợp tác thiết yếu việc định nghĩa mục đích hệ thống hay sản phẩm phần mềm (ví dụ: doanh nghiệp cho phép hệ thống hay phần mềm mới) Cá nhân dự án có kiến thức kỹ thuật phát triển phần mềm hay hệ thống khơng có hình ảnh chi tiết việc sử LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn dụng hệ thống hay phần mềm, nhà thâu nhận, khách hàng hay người sử dụng biết sử dụng hệ thống phần mềm không cần kỹ năng, kỹ thuật để xây dựng Dự án phải cố gắng để tối giản hóa số lượng mục cơng việc cần thiết không liệt kê yêu cầu bên liên quan việc chép mục công việc yêu cầu bên liên quan Các hành động giúp tối giản hóa rủi ro việc hiểu lầm bên liên quan Dự án phải cung cấp hỗ trợ cho bên liên quan yêu cầu Một vài bên liên quan khơng có tảng kỹ thuật cần hỗ trợ kỹ thuật việc định nghĩa yêu cầu bên liên quan đàm phán để giải xung đột yêu cầu bên liên quan Việc biên dịch rõ ràng yêu cầu bên liên quan ứng dụng kỹ thuật yêu cầu cần thiết để đảm bảo hiểu biết chung bên liên quan công nghệ phi công nghệ Bên liên quan phải đồng ý tất chia sẻ nhiệm vụ việc định nghĩa yêu cầu theo cách thức cần thiết nhằm cung cấp yêu cầu họ tuân theo cách thức thông thường Nhà phân tích hệ thống có trách nhiệm việc nêu yêu cầu, bên liên quan khác có nhiệm vụ hoạt động phối hợp với nhà phân tích Dự án phải đảm bảo việc tiếp cận nhằm đạt thể việc đạt đòi hỏi đảm bảo việc chọn lựa đặc tính quan trọng hệ thống hay sản phẩm phần mềm dàn xếp theo ngữ cảnh kinh doanh khái niệm vận hành thực với hệ thống hay sản phẩm phần mềm Trong trường hợp cập nhật hệ thống thời, nhà phân tích thực quy trình định nghĩa u cầu bên liên quan phải thận trọng cụm từ: “tương tự hệ thống thời” theo yêu cầu bên liên quan Khi yêu cầu tăng cường, nhà phân tích phải kiểm tra thơng suốt việc sử dụng thời hệ thống giá trị thời biến hệ thống thực tế giữ không đổi hệ thống cập nhật Mối quan tâm đặc biệt phải đưa đặc tính quan trọng địi hỏi đặc tính hệ thống thời hệ thống cập nhật Mặc dù yêu cầu thiết yếu định nghĩa xác định theo quy trình này, Định nghĩa Yêu cầu Bên liên quan thay đổi hệ việc giải xung đột yêu cầu bên liên quan khác giới hạn từ việc xem xét hệ thống thực hoạt động quy trình sau Phân tích u cầu Các hoạt động tác vụ hai quy trình thực lặp lại Tùy thuộc kinh phí, lịch biểu hạn chế khác hay thay đổi theo nhu cầu bên liên quan, yêu cầu phát triển Các thỏa thuận thay đổi yêu cầu tạo ra, tác động khả đạt thỏa thuận liên quan tới đặc tính quan trọng phải ra, thỏa thuận phải liên quan không thay đổi q dễ dàng, khơng có hành động tài hay hợp pháp đem lại kết CHÚ THÍCH Tham khảo Điều 5, ISO/IEC 29148:2011 Requirements engineering để thảo luận nhiều chất lặp hoạt động tác vụ CHÚ THÍCH Một quy trình việc thực thay đổi thỏa thuận bao quát Phụ lục F.3, ISO/IEC 12207:2008 Contract Change Management Process 7.10 Quy trình phân tích u cầu Quy trình phân tích u cầu (Điều 6.4.2, ISO/IEC 15288:2008) quy trình phân tích u cầu hệ thống (Điều 6.4.2, ISO/IEC 12207:2008) biến đổi bên liên quan, dạng định hướng yêu cầu dịch vụ mong đợi thành dạng kỹ thuật sản phẩm yêu cầu mà chuyển giao dịch vụ Quy trình phân tích u cầu hệ thống (Điều 7.1.2, ISO/IEC 12207) thiết lập yêu cầu thành phần phần mềm hệ thống Mục đích liên quan tới địi hỏi đảm bảo việc phân tích yêu cầu bắt nguồn từ tập đòi hỏi đảm bảo từ đặc tính quan trọng Phân tích yêu cầu lấy đặc tính quan trọng chọn lựa từ quy trình định nghĩa yêu cầu bên liên quan gắn biến việc đánh giá đặc tính giá trị biến việc tính tốn đặc tính Địi hỏi đảm bảo bày tỏ giá trị biến đặc tính CHÚ THÍCH Trong TCVN 10607-1, địi hỏi định nghĩa “bày tỏ điều bao gồm điều kiện giới hạn liên quan” Ở đây, “điều gì” “giá trị biến đặc tính” 7.10.1 Hoạt động tác vụ liên quan Hoạt động ISO/IEC 15288 Phân tích yêu cầu Hoạt động ISO/IEC 12207 Phân tích yêu cầu hệ thống Phân tích yêu cầu phần mềm 6.4.2.3 a) Định nghĩa yêu cầu 6.4.2.3.1 Quy định yêu cầu hệ thống 6.4.2.3.1.1 Việc sử dụng cụ thể 7.1.2.3.1 Phân tích yêu cầu phần mềm LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê Hoạt động ISO/IEC 15288 1) Định nghĩa ranh giới chức hệ thống theo thuật ngữ hành vi đặc tính cung cấp www.luatminhkhue.vn Hoạt động ISO/IEC 12207 hướng tới hệ thống phát triển phải phân tích để quy định yêu cầu hệ thống Việc quy định yêu cầu hệ thống phải mô tả: chức 2) Định nghĩa chức năng khả hệ thống; mà hệ thống yêu cầu để yêu cầu người dùng, tổ chức thực doanh nghiệp; an toàn, an 3) Định nghĩa hạn chế thiết ninh, kiến trúc có yếu tố người (cơng thái học), giao diện, lập cần thiết cung cấp yêu cầu bên liên quan vận hành yêu cầu hạn chế giải pháp trì; yêu cầu hạn chế thiết kế trình độ Quy định u khơng thể tránh cầu hệ thống phải ghi chép 4) Định nghĩa chất lượng kỹ lại thuật việc tính toán cho phép đánh giá thành tựu kỹ thuật 5) Các yêu cầu hệ thống chức đặc trưng, biện minh việc xác định rủi ro nghiêm trọng hệ thống, liên quan tới chất lượng quan trọng, ví dụ: sức khỏe, an tồn, an ninh, tin cậy, tính sẵn có khả hỗ trợ 7.1.2.3.1.1 Nhà triển khai phải thiết lập ghi chép yêu cầu phần mềm (bao gồm quy định đặc tính chất lượng) mô tả bên dưới: a) Các quy định khả chức năng, bao gồm: cơng năng, đặc tính vật lý điều kiện môi trường theo mục phần mềm thực b) Các giao diện bên mục phần mềm c) Các yêu cầu trình độ d) Các quy định an tồn, liên quan tới phương pháp vận hành trì, ảnh hưởng môi trường tổn hại cá nhân e) Các quy định an ninh liên quan tới việc thỏa hiệp thông tin nhạy cảm f) Các quy định tác động người (công thái học), liên quan tới vận hành thủ công, tương tác người-thiết bị, hạn chế cá nhân lĩnh vực cần tập trung người, mà nhạy cảm với sai sót cá nhân việc đào tạo g) Định nghĩa liệu yêu cầu sở liệu h) Việc cài đặt chấp nhận yêu cầu sản phẩm phần mềm chuyển giao (các) khu vực vận hành trì i) Các yêu cầu tài liệu người dùng j) Các yêu cầu vận hành thực người dùng k) Các yêu cầu bảo trì người dùng 7.10.2 Hướng dẫn khuyến nghị đảm bảo Việc định nghĩa yêu cầu hệ thống thực nhằm định nghĩa giá trị cho biến đặc tính quan trọng chọn lựa bên ngồi yêu cầu bên liên quan thu thập quy trình định nghĩa yêu cầu bên liên quan Ranh giới chức hệ thống liên quan tới đặc tính quan trọng, chức liên quan tới đặc tính quan trọng việc triển khai hạn chế liên quan tới đặc tính quan trọng phải quy định rõ ràng Giữa tính tốn định nghĩa, tính tốn liên quan tới giá trị biến đặc tả quan trọng phải quy định rõ ràng yêu cầu hệ thống liên quan tới đặc tả quan trọng phải quy định rõ ràng theo giá trị biến liên quan tới đặc tính quan trọng Hơn nữa, việc ưu tiên yêu cầu hệ thống liên quan tới đặc tính quan trọng phải định nghĩa khả truy xuất trì yêu cầu bên liên quan Ví dụ Nếu an tồn chức chọn đặc tính quan trọng, phần yêu cầu hệ thống yêu cầu quy định cụ thể theo dạng quy trình nên “các yêu cầu vịng đời an tồn” mơ tả IEC 61508-1 LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn Các giới hạn môi trường hệ thống yêu cầu nhằm đạt thể việc đạt đòi hỏi xác định việc thực phân tích rủi ro hay hệ Phân tích tạo điều kiện cách thu thập thông tin đòi hỏi sau: a) Các rủi ro phép tương ứng với hệ thống mà khơng đạt địi hỏi b) Các giá trị phép biến liên quan tới đòi hỏi quan trọng c) Mức độ phép tính bất định liên quan tới địi hỏi thành d) Các điều kiện áp dụng liên quan tới địi hỏi Trước hồn tất việc phân tích u cầu, dự án phải đánh giá yêu cầu hệ thống liên quan tới đặc tính quan trọng nhằm xác địch liệu chúng phù hợp với yêu cầu bên liên quan liệu chúng thu thập đầy đủ đặc tính quan trọng mà vi phạm có nhiều hệ việc đạt bên liên quan yêu cầu mức tin tưởng cao Tập tối thượng yêu cầu đạt thể đạt được chọn lựa xác thực sau Dự án phải ghi chép tập chọn lựa đòi hỏi đảm bảo mối quan hệ chúng với bên liên quan yêu cầu hệ thống mà biện minh cho chúng Dự án phải cung cấp khung để xác thực yêu cầu định nghĩa hệ thống nhằm thực điều hướng tới để thực mà không điều khác việc chuyển đổi, vận hành giảm thiểu mơi trường Các yêu cầu hệ thống phải rõ ràng minh họa cụ thể; tập không rõ ràng chưa kiểm tra yêu cầu dẫn đến việc tăng chi phí, sai lịch biểu giảm chất lượng hệ thống 7.11 Quy trình xác minh Đối với dạng quy trình đảm bảo hệ thống, quy trình xác minh (Điều 6.4.6, ISO/IEC 15288:2008) xác nhận yêu cầu thiết kế quy định đáp ứng đầy đủ hệ thống Quy trình cung cấp thơng tin yêu cầu nhằm tác động tới hành động khắc phục hậu mà không phù hợp hệ thống hay quy trình nhận dạng mà hoạt động Quy trình xác minh phần mềm (Điều 7.2.4, ISO/IEC 12207:2008) xác thực sản phẩm công việc phần mềm và/hoặc dịch vụ quy trình hay dự án phản ánh xác yêu cầu quy định Để đảm bảo, dự án cần tạo kế hoạch xác minh phù hợp với chiến lược đạt thể việc đạt đòi hỏi đảm bảo 7.11.1 Hoạt động tác vụ liên quan Hoạt động ISO/IEC 15288 6.4.6.3 a) Lập kế hoạch xác minh Hoạt động ISO/IEC 12207 7.2.4.3.1 Triển khai quy trình 1) Định nghĩa chiến lược việc xác minh thực thể hệ thống suốt vòng đời 7.2.4.3.1.1 Một định danh phải tạo dự án đảm bảo nỗ lực xác minh mức độ độc lập tổ chức nỗ lực cần thiết Các yêu 2) Định nghĩa kế hoạch xác minh dựa cầu dự án phải phân tích kỹ mức yêu cầu hệ thống rủi ro Mức rủi ro tính tốn theo cách 3) Các hạn chế tiềm ẩn theo định thiết thức sau: kế xác định kết nối a) Một lỗi chưa dị tìm tiềm ẩn hệ thống hay yêu cầu phần mềm việc dẫn đến chết CHÚ THÍCH Điều bao gồm giới hạn hay tổn thương cá nhân, lỗi nhiệm vụ tổn thất thực tế tính xác, tính bất định, khả lặp áp đặt việc xác minh hệ thiết bị thảm họa hay tài phá hủy; thống phép, phương thức tính toán b) Sự hết hạn rủi ro liên quan tới công nghệ tương ứng, nhu cầu việc tương tác hệ thống phần mềm sử dụng; tính sẵn có, khả truy cập liên kết nối với hệ thống phép 7.2.4.3.1.5 Dựa việc xác minh tác vụ xác định, kế hoạch xác minh phải phát triển ghi chép Kế hoạch phải hoạt động vòng đời đối tượng sản phẩm phần mềm xác minh, tác vụ xác minh yêu cầu hoạt động vòng đời sản phẩm phần mềm tài nguyên, trách nhiệm lịch biểu liên quan Kế hoạch phải thủ tục cho việc xác minh chuyển tiếp báo cáo nhà thâu nhận tổ chức liên quan khác 7.11.2 Hướng dẫn khuyến nghị đảm bảo LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn Dự án phải thực việc lập kế hoạch xác minh phù hợp với kế hoạch liên quan tới đòi hỏi đảm bảo bao gồm: cách tiếp cận lập kế hoạch nhằm thể việc đạt đòi hỏi cho đặc tính quan trọng Cách tiếp cận bao gồm: tiêu chí định danh xác minh tính tốn dùng việc tiếp cận nhằm thể việc đạt địi hỏi tiêu chí triển khai cách thức vấn đề liên quan tới đòi hỏi đảm bảo giải phản ánh Nội dung thơng tin đảm bảo địi hỏi Một giá trị độ không xác định liên quan tới việc đảm bảo thiết lập, kế hoạch xác minh, hoạt động định phải đảm bảo đáp ứng yêu cầu độ không xác định Ví dụ: dự án phải xem xét tới việc tham gia độ tin cậy công cụ độ không xác định việc đạt kết 7.12 Quy trình vận hành Quy trình vận hành (Điều 6.4.9, ISO/IEC 15288) sử dụng hệ thống để phân chia dịch vụ Quy trình vận hành phần mềm (Điều 6.4.9, ISO/IEC 12207) vận hành sản phẩm phần mềm mơi trường dự kiến cung cấp hỗ trợ khách hàng sản phẩm phần mềm Để đảm bảo, kế hoạch cho quy trình phải xem xét việc đạt đặc tính quan trọng suốt vịng đời hệ thống 7.12.1 Hoạt động tác vụ liên quan Hoạt động ISO/IEC 15288 Hoạt động ISO/IEC 12207 Vận hành Vận hành phần mềm 6.4.9.3 a) Chuẩn bị vận hành 1) Chuẩn bị chiến lược vận hành 6.4.9.3.1 Chuẩn bị vận hành Hoạt động bao gồm tác vụ sau: 6.4.9.3.1.1 Người vận hành phải phát triển kế hoạch tập tiêu chuẩn vận hành việc thực hoạt động tác vụ quy trình Kế hoạch phải ghi chép thực thi 7.12.2 Hướng dẫn khuyến nghị đảm bảo Dự án phải lập kế hoạch cho việc vận hành hệ thống phù hợp với hạn chế vận hành, giả định theo cách tiếp cận nhằm thể việc đạt đòi hỏi đảm bảo Kế hoạch phải đảm bảo vi phạm hạn chế báo cáo, ghi chép, giải bao quát việc đào tạo thông tin theo cách thức triển khai trì tuân thủ với hạn chế liên quan tới đòi hỏi đảm bảo Kế hoạch phải bao gồm cách thức thay đổi cách tiếp cận nhằm thể việc đạt đòi hỏi Nội dung thông tin liên quan nhằm phản ánh thay đổi điều kiện vận hành mà khơng bao trùm địi hỏi Kế hoạch phải cung cấp cho việc đánh giá tác động thay đổi hệ thống hay môi trường vận hành khả sử dụng liên quan tới đòi hỏi đảm bảo hệ thống theo tính hiệu lực giả định cần thiết cho việc thể việc đạt đòi hỏi Kế hoạch phải cung cấp cho kiểm tra thông thường ghi vận hành nhằm xác thực khơng có chứng mà hệ thống việc đạt thể việc đạt địi hỏi bị phá vỡ cách khơng biết Kế hoạch phải đảm bảo biện pháp thích hợp tồn để ngăn chặn tổn thất thông tin nhạy cảm làm nguy hại việc kiểm soát hệ thống bị chuyển đổi Dự án phải triển khai hệ thống thủ tục báo cáo cho việc điều tra chỉnh đốn tai nạn liên quan tới địi hỏi đảm bảo, ví dụ: nỗ lực vi phạm vi phạm đòi hỏi, lỗ hổng sản phẩm điểm yếu mà góp phần dẫn tới vi phạm; nguồn hay nguy hiểm tiềm ẩn dẫn tới vi phạm địi hỏi/thơng qua đời hệ thống Các bảo vệ tương ứng phải đặt vị trí tin tưởng yêu cầu kết nối kế hoạch báo cáo tai nạn 7.13 Quy trình bảo trì Quy trình bảo trì (Điều 6.4.10, ISO/IEC 15288) trì khả hệ thống nhằm cung cấp dịch vụ Quy trình bảo trì hệ thống (Điều 6.4.10, ISO/IEC 12207) hỗ trợ hiệu kinh phí với sản phẩm phần mềm phân phối Để đảm bảo, kế hoạch quy trình đề cập tới việc đạt đặc tả quan trọng thông qua đời hệ thống 7.13.1 Hoạt động tác vụ liên quan Hoạt động ISO/IEC 15288 Hoạt động ISO/IEC 12207 Bảo trì Bảo trì phần mềm 6.4.10 a) Lập kế hoạch bảo trì 6.4.10.3.1 Thiết lập quy trình 1) Chuẩn bị chiến lược bảo trì 6.4.10.3.1.1 Nhà bảo trì phải phát triển, ghi chép LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn Hoạt động ISO/IEC 15288 Hoạt động ISO/IEC 12207 thực kế hoạch thủ tục cho việc thực hoạt động tác vụ quy trình bảo trì phần mềm 7.13.2 Hướng dẫn khuyến nghị đảm bảo Dự án phải đảm bảo kế hoạch bảo trì cung cấp việc đánh giá tác động thơng tin liên quan tới địi hỏi đảm bảo thay đổi tạo cho hệ thống hay phần tử hệ thống việc bảo trì hệ thống Kế hoạch phải bao gồm tài nguyên việc cập nhật cách tiếp cận nhằm thể việc đạt Nội dung thông tin liên quan yêu cầu, bao gồm: chứng Kế hoạch phải bao gồm điều khoản việc cập nhật kiểm soát ban hành tạo tác liên quan tới đòi hỏi đảm bảo Kế hoạch phải bao gồm việc đánh giá tác động thay đổi hệ thống hay môi trường vận hành khả sử dụng liên quan tới đòi hỏi đảm bảo hệ thống Việc đánh giá phải bao gồm việc tính tốn liên tục đặc tính quan trọng thay đổi bảo trì tạo CHÚ THÍCH Tất thay đổi đề xuất phải trải qua phân tích tác động liên quan tới địi hỏi Các thay đổi thừa nhận có tác động việc đạt thể việc đạt địi hỏi phải hồn trả giai đoạn phù hợp vòng đời tất giai đoạn tiếp sau lặp lại thay đổi Thông tin với ý nghĩa liên quan tới đòi hỏi phải phổ biến rộng rãi, rõ ràng, ngắn gọn dễ đọc Thơng tin phổ biến theo báo cáo hình thức việc quản lý tin an toàn, thông báo việc đào tạo cho tất nhân viên CHÚ THÍCH Kế hoạch bảo trì phải bao gồm điều khoản nhằm đảm bảo đặc tính quan trọng hệ thống không bị ảnh hưởng suốt vòng đời kết việc thay thế, loại bỏ giảm thiếu phần hay thành phần hệ thống Kế hoạch phải có điều khoản việc thông báo chiến lược quản lý rủi ro thông tin rủi ro liên quan tới đòi hỏi hướng dẫn liên quan tới thay đổi, việc giải rủi ro liên quan tới bảo trì khác Một đánh giá rủi ro hay phân tích tác động liên quan tới địi hỏi thay đổi phải thực nhằm đảm bảo việc đạt đòi hỏi, việc tiếp cận để việc đạt đòi hỏi Nội dung thơng tin liên quan trì CHÚ THÍCH Tất thay đổi sản phẩm đề xuất, bao gồm thay đổi theo yêu cầu, thiết kế thành phần liên quan tới đòi hỏi phi đảm bảo phải trải qua phân tích tác động liên quan tới địi hỏi đảm bảo Thư mục tài liệu tham khảo [1] ISO/IEC 90003:2004, Software engineering - Guidelines for the application of ISO 9001:2000 to computer software [2] ISO/IEC 15026-2:2011, System and software engineering - System and software assurance - Part 2: Assurance case [3] Software and Systems Engineering Vocabulary (sevocab) Có sẵn tại: www.computer.org/sevocab/ [4] ISO/IEC 15289:2011, System and software engineering - Content of life cycle information products (Tài liệu) [5] ISO/IEC 15504-1:2004, Information Technology - Process Assessment- Par 1: Concepts and vocabulary [6] ISO/IEC 15504-2:2003, Information Technology - Process Assessment - Part 2: Performing an Assessment [7] ISO/IEC 15504-3:2004, Information Technology - Process Assessment - Part 3: Guidance on performing a process improvement and process capability determination [8] ISO/IEC 15504-5:2012, Information Technology - Process Assessment - Part 5: An exemplar software process assessment model [9] ISO/IEC TR 15504-6:2008, Information Technology - Process Assessment - Part 6: An exemplar system life cycle process assessment model [10] ISO/IEC 15504-7:2008, Information Technology - Process Assessment - Part 7: Assessment of organizational maturity LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn [11] ISO/IEC 15939:2007, Systems and software engineering - Measurement process [12] ISO/IEC 16085:2006, Systems and software engineering - Life cycle processes - Risk management [13] ISO/IEC 16326:2009, System and Software engineering - Life cycle Processes Project management [14] ISO/IEC 21827:2008, Information technology - Systems Security Engineering - Capability Maturity Model (SSE-CMM) [15] ISO/IEC TR 24748-1:2010, Systems and software engineering - Life cycle management - Part 1: Guide for life cycle management [16] ISO/IEC TR 24748-2:2011, Systems and software engineering - Life cycle management - Part 2: Guide for the application of ISO/IEC 15288 (System life cycle processes) [17] ISO/IEC TR 24748-3:2011, Systems and software engineering - Life cycle management - Part 3: Guide for the application of ISO/IEC 12207 (Software life cycle processes) [18] ISO/IEC 25000:2005, Software engineering - Software product Quality Requirements and Evaluation (SQuaRE) - Guide to SquaRE [19] ISO/IEC 25010:2011, Systems and software engineering - Systems and software Quality Requirements and Evaluation (SQuaRE) - System and software quality models [20] ISO/IEC 25012:2008, Software Engineering - Software product Quality Requirements and Evaluation (SQuaRE) - Data Quality Model [21] ISO/IEC 25020:2007, Software engineering - Software product Quality Requirements and Evaluation (SQuaRE) - Measurement reference model and guide [22] ISO/IEC 25030:2007, Software engineering - Software product Quality Requirements and Evaluation (SQuaRE) - Quality requirements [23] ISO/IEC 25040:2011, Systems and software engineering - Systems and software Quality Requirements and Evaluation (SQuaRE) - Evaluation process [24] ISO/IEC 25051:200, Software engineering - Software product Quality Requirements and Evaluation (SQuaRE) - Requirements for quality of Commercial Off-The-Shelf (COTS) software product and instructions for testing [25] ISO/IEC 27001:2005, Information technology - Security techniques - Information security management systems - Requirement [26] ISO/IEC 27002:2005, Information technology - Security techniques - Code of practice for information security management [27] ISO/IEC 29148:2011, Systems and software engineering - Requirements engineering MỤC LỤC Lời nói đầu Phạm vi áp dụng Sự phù hợp Tài liệu viện dẫn Thuật ngữ định nghĩa Khái niệm quan trọng sử dụng tiêu chuẩn Mục đích dạng quy trình kết u cầu Hướng dẫn khuyến nghị đảm bảo quy trình chọn lựa Thư mục tài liệu tham khảo LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162