13
Управление процессом само по себе является процессом. Следовательно, оно осуществляется не на уровне проекта, а на уровне организации.
Однако управление процессом имеет смысл только при повторном выполнении процесса (например, администраторами эксплуатации ИТ или разработчиками продуктов проектов ИКТ).
Модель процесса жизненного цикла по ИСО/МЭК ТО 15443-1 совершенствуется в настоящем стандарте за счет добавления управления процессом в качестве еще одного измерения.
В области безопасности ИКТ это измерение имеет особое значение для методов управления безопасностью, применяемых к системам ИКТ на производственном этапе, как в случае с ИСО/МЭК 27002 и связанным с ним ИСО/МЭК 27001.
Управление процессом касается разработки, использования и улучшения процессов жизненного цикла. По существу, управление включает в себя следующие этапы:
- определение процесса, включая разработку и документацию;
- повторное использование процесса;
- оценку и измерение процесса;
- улучшение процесса.
Процессы могут сертифицироваться третьими сторонами. Числа, связанные с этими этапами, соответствуют зависимости:
- нет повторного использования без разработанных и документированных процессов;
- нет оценки и измерения процесса без повторного использования процесса;
- нет улучшения процесса без оценки и/или измерения процесса;
- нет сертификации без оценки и/или измерения процесса.
Поскольку улучшение модели жизненного цикла приводит к появлению изменений в процессах и их документации, управление процессом может считаться круговой моделью непрерывного улучшения, как показано на рисунке 2.
Управление процессом является вторым измерением, которое является независимым процессом от измерения этапа C-D-I-T-O. Если метод обеспечения доверия обеспечивает доверие к процессу, это означает наличие управления процессами (применимыми к продукту).
Если этап доверия к методу показан серым цветом (см. таблицу 6, уровни 2,4, 6 и 7), метод обеспечивает управление процессами.
Примечание — Термины «разработка продукта» и «разработка процесса» кажутся похожими и, следовательно, создают путаницу. Термины должны быть различимыми и применяться раздельно.
- Объединение характеристик жизненного цикла
Методы могут быть более и менее полными в отношении характеристик их жизненного цикла. Эти характеристики можно объединить, что характеризует не только совершенство, но и сложность метода.
В ИСО/МЭКТО 15443-1 специфицируются соответствующие подходы к обеспечению доверия, которые могут характеризовать метод обеспечения доверия. Символически подходы представлены следующим образом (см. рисунок 2):
- доверие к продукту: показано буквой этапа жизненного цикла между стрелками на светлом фоне, например,
- доверие к процессу: показано белой буквой этапа жизненного цикла на затененном фоне, например, D;
- доверие к среде: показано ячейкой этапа жизненного цикла с полосками слева и справа, например, | D |
Очевидно, что исходя из числа компонентов уровень 7 является наиболее полным и имеет, по меньшей мере, преимущества полноты и последовательности с точки зрения лексики, процессов и результатов. Все это оказывает положительное воздействие на обучение методу и его стоимость.