logoPK

Planirajte, radite, proveravajte i delujte kvalitetno

Standardi u informacionim sistemima i tehnologijama

Standardizacija u informacionim tehnologijama doprinosi efikasnijem uspostavljanju informacionih funkcija, njihovoj većoj stabilnosti i lakšoj tranziciji.

 

Primena međunarodnih, nacionalnih i internih standarda stvara uslove za razvoj efikasnog, ekonomičnog, pouzdanog i sigurnog softverskog proizvoda. Upoznajmo zato važnu oblast standardizacije u IT‑ju.

Međunarodni standard je standard koji su donele Međunarodna organizacija za standardizaciju ISO i Međunarodna elektrotehnička komisija IEC. Nacionalne institucije, koje su članice ISO i IEC, učestvuju u razvoju međunarodnih standarda kroz rad u tehničkim komitetima koje je ustanovila odgovarajuća organizacija radi obrade posebnih oblasti tehničkih aktivnosti. Tehnički komiteti ISO i IEC sarađuju na poljima od obostranog interesa. Međunarodne organizacije, vladine i nevladine, koje su u vezi sa ISO i IEC, takođe učestvuju u tom radu.

Evropski standard donosi Evropska organizacija za standardizaciju (CEN/CENELEC/ETSI). On se primenjuje kao identičan nacionalni standard, uz obavezu da se povuku svi nacionalni standardi koji su u suprotnosti s njim.

Srpski standard je standard koji je doneo Institut za standardizaciju Srbije (ISS), kao nacionalno telo za standarde, i koji je dostupan javnosti. Označava se oznakom koja počinje skraćenicom SRPS. Srpski standard (i srodni dokumenti) može biti izvorni ili nastaje na osnovu međunarodnih, evropskih i drugih regionalnih standarda, što je danas češći slučaj.

Vrednovanje i standardizacija

Standardizacijom procesa razvoja softvera, njegovim planiranjem, kvantifikovanjem i praćenjem, dokumentovanjem i neprekidnim poboljšanjem i unapređenjem stvaraju se preduslovi za realizaciju softverskih proizvoda definisanog kvaliteta. Dobro dokumentovan sistem, u skladu sa standardima, lako je zamenjiv, prenosiv s jedne softverske i hardverske platforme na drugu i štiti investiciju.

Da bi se razvio kvalitetan informacioni sistem, neophodno je da se njegov razvoj zasniva na usvojenim standardima (međunarodnim, nacionalnim, internim) i da se vrše mnogobrojna vrednovanja tokom njegovog životnog ciklusa. Vrednovanja uključuju: vrednovanje korišćenih softverskih proizvoda, međuproizvoda u svakoj fazi životnog ciklusa i krajnjih proizvoda, tj. instaliranog softvera i dokumentacije.

Vrednovanje i standardizacija alata koji se koriste u procesu razvoja informacionih sistema stvaraju mogućnost da kvalitet samog procesa, kao i krajnjih proizvoda, budu na očekivanom nivou. Posmatrano sa stanovišta složenih informacionih sistema, u čijem razvoju i implementaciji učestvuje više organizacija, primena standarda, ne samo da obezbeđuje odgovarajući kvalitet krajnjeg proizvoda i procesa razvoja nego stvara mogućnosti za razmenu projekata između pojedinih organizacija, olakšava obuku korisnika i stvara uslove za zajednički rad na projektima predstavnika različitih organizacija.

Ekspanziju razvoja softvera, u različitim oblastima, pratio je i razvoj standarda, procedura, metoda i alata za razvoj i upravljanje softverom. Raznovrsnost je stvorila moguće poteškoće u upravljanju softverom, posebno kada se radi o softveru koji je vezan za proizvode ili usluge. Ova pojava uslovila je potrebu da se za softversku disciplinu definiše zajednički okvir koji bi poslužio svima koji se bave softverom da „govore istim jezikom“ u razvoju, projektovanju i upravljanju softverom u njihovim okruženjima. Standard je tako projektovan da se može prilagoditi potrebi organizacije, projekta ili specifičnoj primeni. Može se primeniti u slučajevima kada je softver samostalan entitet ili sastavni deo složenog sistema.

Sertifikacija za IT standarde u Srbiji je slabo zastupljena. Više sertifikacionih tela prihvata sertifikaciju za SRPS ISO/IEC 27001, ali zbog nedostatka kvalifikovanih ocenjivača, angažuju se stranci koji nisu uvek dostupni, pa postupak sertifikacije može dugo da traje

U području informacione tehnologije ISO i IEC su ustanovili združeni tehnički komitet, ISO/IEC JTC1. Ovaj komitet čini više potkomiteta i radnih grupa i do sada je objavio više od 500 standarda. Nacrti međunarodnih standarda koje je usvojio združeni tehnički komitet šalju se svim nacionalnim telima na saglasnost pre njihovog usvajanja kao međunarodnih standarda. Usvajaju se prema postupku po kome standard mora da usvoji najmanje 75 odsto članica.


Najpoznatiji IT standardi

Među više od 500 standarda iz delokruga tehničkog komiteta ISO/IEC JTC1, u nastavku će biti predstavljeno nekoliko bazičnih.

SRPS ISO/IEC TR 19759:2016 SWEBOK – Vodič kroz osnove znanja softverskog inženjeringa

Svrha ovog uputstva (SWEBOK) je da obezbedi konsenzusom potvrđenu karakterizaciju granica discipline softverskog inženjeringa. Osnove znanja su podeljene na oblasti: zahtevi softvera, dizajn softvera, konstrukcija softvera, testiranje softvera, održavanje softvera, menadžment konfiguracijom softvera, menadžment inženjeringom softvera, softver inženjering proces, alati i metode softver inženjeringa i kvalitet softvera.

SRPS ISO/IEC IEEE 12207:2018 Sistemski i softverski inženjering – Procesi životnog ciklusa softvera

Ovaj međunarodni standard uspostavlja zajednički okvir za procese životnog ciklusa softvera, s dobro definisanom terminologijom na koju se softverska industrija može pozivati. Bavi se životnim ciklusom softvera od konceptualizacije ideje do njegovog povlačenja iz upotrebe i obezbeđuje kontrolisanje i usavršavanje svih procesa. Procesi koji su navedeni u standardu čine sveobuhvatan skup. Svaka organizacija, zavisno od svojih ciljeva, može izabrati odgovarajući podskup kojim će ostvariti ciljeve. Standard je projektovan tako da se može prilagoditi potrebi organizacije, projekta ili specifičnoj primeni. Može se primeniti u slučajevima kada je softver samostalan entitet ili sastavni deo složenog sistema, s krajnjim ciljem postizanja zadovoljstva korisnika.

Procesi, aktivnosti i zadaci ovog dokumenta mogu se primeniti i tokom nabavke sistema koji sadrže softver, sami ili u kombinaciji sa SRPS ISO/IEC/IEEE 15288:2016, Softverski i sistemski inženjering – Procesi životnog ciklusa sistema.

 

Serija standarda 25000: Sistemski i softverski inženjering – Zahtevi za kvalitet i vrednovanje sistema i softvera (SquaRE, Sistem and Software Quality Requirements and Evaluation) – Modeli kvaliteta sistema i softvera

U ovoj seriji nalazi se više standarda koji pružaju smernice za korišćenje nove serije međunarodnih standarda, čija je svrha pružanje opšteg pregleda sadržaja SQuaRE, zajedničkih referentnih modela i definicija, kao i odnosa između dokumenata, omogućavajući korisnicima Uputstva dobro razumevanje tih serija standarda, prema njihovoj nameni.

Postavljanje i definisanje Zahteva za kvalitet softvera je sposobnost softverskog proizvoda da zadovolji navedene i podrazumevane potrebe kada se koristi pod određenim uslovima. Serija standarda ISO/IEC 25000 ima za cilj stvaranje okvira za evaluaciju kvaliteta softverskih proizvoda. ISO/IEC 25000 je rezultat evolucije nekoliko drugih standarda, konkretno iz ISO/IEC 9126, koji definiše model kvaliteta za evaluaciju softverskih proizvoda i ISO/IEC 14598, koji definiše proces za evaluaciju softverskih proizvoda. Serija standarda ISO/IEC 25000 sastoji se od pet delova i više standarda u okviru svakog od njih.

Zainteresovane strane ponekad nisu svesne svih svojih potreba. U mnogim situacijama potrebe zainteresovanih strana postaju očigledne tek kada se softverski proizvod i povezani poslovni procesi ili zadaci mogu isprobati. Primenom modela kvaliteta definisanog kroz SQuaRE, može se definisati interni i eksterni kvalitet softvera, kao i kvalitet u upotrebi.

Serija ISO/IEC 20000: Service management

ISO/IEC 20000 serija standarda je procesno orijentisana, potpuno kompatibilna sa ISO 9001 i sadrži specifikaciju zahteva za sistem upravljanja IT uslugama. To je specifikacija najbolje prakse u isporuci IT usluga, nezavisno od raspoloživih tehnoloških rešenja. Ona predstavlja skup saveta o obuhvatu IT usluge, uređenju i poboljšanjima, kao i preporukama za sertifikaciju. Uključuje komunikaciju i nove tehnologije.

SRPS ISO/IEC 20000‑1:2018 specifikuje zahteve za „uspostavljanje, implementaciju, održavanje i stalno poboljšanje sistema upravljanja uslugom (SMS). SMS podržava upravljanje životnim ciklusom usluge, uključujući planiranje, dizajn, tranziciju, isporuku i unapređenje usluga, koje ispunjavaju dogovorene zahteve i isporučuju vrednost za kupce, korisnike i organizaciju koja pruža usluge“.

Ostali standardi iz ove serije fokusirani su na detaljna uputstva za primenu sistema upravljanja uslugama u različitim okruženjima i vezu sa srodnim standardima.

Navodimo samo neke od prednosti sertifikacije ISO/IEC 20000‑1:

  • usaglašavanje usluga informacionih tehnologija i poslovne strategije organizacije,
  • stvaranje formalnog okvira za unapređenje postojećih projekata i usluga,
  • obezbeđivanje poređenja s najboljim praksama,
  • stvaranje konkurentske prednosti preko promocije konzistentnih i ekonomičnih usluga,
  • zahtevanje odgovornosti rukovodstva i odgovornosti na svim nivoima, što stvara napredniji nivo usluge,
  • podržavanje zamene pružalaca usluga i osoblja na osnovu stvaranja međuorganizacijskih operativnih procesa,
  • smanjenje rizika i troškova,
  • poboljšanje ugleda organizacije,
  • poboljšanje veze između različitih sektora preko boljeg definisanja, jasnije odgovornosti i raspodele ciljeva,
  • stvaranje stabilnog okvira za obučavanje i menadžment uslugama.

 

Jedan broj IT organizacija sertifikuje se za standard SRPS ISO/IEC 9000, sledeći marketinške razloge, što nije pogrešno – svako uvođenje reda je korisno, ali neuporedivo primerenije i korisnije je za isto vreme, trud i novac uvesti SRPS ISO/IEC 20000‑1, koji je prilagođen upravo osnovnoj delatnosti organizacije.

 

Serija ISO/IEC 27000 – Sistem upravljanja informacionom sigurnošću

Dolazimo do najbrže rastuće serije ISO standarda. Ona Sadrži definicije, specifikacije, metrike, vodiče za implementaciju, vodiče za revizije, upravljanje rizicima. Obezbeđuje preporuke najbolje prakse za menadžment sigurnošću, rizikom i bezbednošću informacionih sistema. U ovom trenutku, sadrži više od 40 standarda.

Prednosti sistema menadžmenta bezbednošću informacija su:

  • Zadovoljavanje pravnih zahteva – postoji sve više zakona, propisa i ugovornih zahteva u vezi sa informacionom sigurnošću, a većina se može rešiti primenom SRPS ISO/IEC 27001 – ovaj standard vam pruža savršenu metodologiju za usklađivanje sa svima njima.
  • Ostvarivanje marketinške prednosti – ako vaša organizacija dobije sertifikat, a vaši konkurenti ne, to vam daje prednost u očima kupaca koji su osetljivi na zaštitu svojih podataka.
  • Niži troškovi – temeljna filozofija SRPS ISO/IEC 27001 je sprečavanje sigurnosnih incidenata, a svaki incident, mali ili veliki, košta. Dakle, sprečavajući incidente vaša organizacija će uštedeti dosta novca. Najbolje od svega je da je investiranje u SRPS ISO/IEC 27001 daleko manje od uštede koju ćete ostvariti.
  • Bolja organizacija – brzo rastuće organizacije često nemaju vremena da zastanu i definišu svoje procese i procedure, a posledica toga je da zaposleni vrlo često ne znaju šta, kada i ko treba učiniti. Primena SRPS ISO/IEC 27001 pomaže u rešavanju takve situacije jer podstiče organizacije da napišu svoje osnovne procese (čak i one koji nisu u vezi sa bezbednošću), što im omogućava da redukuju izgubljeno i optimizuju radno vreme zaposlenih.

 

Zašto sertifikacija?

Kada se firma odluči za sertifikaciju, prva ideja je da će joj to doneti marketinške prednosti. No, osim toga, sertifikacijom se postižu drugi, značajniji efekti. U uslovima poslovanja na evropskom tržištu kvalitet igra značajnu ulogu ne samo u obezbeđivanju novih tržišta već i u zadržavanju postojećih. Zato ISO standardi dolaze do izražaja jer kupci ne samo da očekuju kvalitetan proizvod već zahtevaju i dokaz, ISO SERTIFIKAT da je kompanija sposobna da proizvede kvalitetne proizvode ili pruži kvalitetnu uslugu, ali i da svoje procese kontroliše kroz nezavisna akreditovana sertifikaciona tela i njihov stručni kadar. Obezbeđenje ovog dokaza trebalo bi da predstavlja prvorazredni cilj za svaku kompaniju koja drži do svog imidža i ima visoke pretenzije kad su u pitanju nova tržišta.

Sertifikacija donosi u organizaciju kulturu stalnog usavršavanja i podržava preduzimanje neophodnih koraka za održavanje ove kulture. Organizacija razume stanje svojih postojećih procesa kako bi ih poboljšala. Omogućava inženjerskim procesima da zadovolje poslovne ciljeve osnovne delatnosti organizacije. Podržava najbolje korišćenje resursa organizacije i omogućava konkretnije poređenje među organizacijama.

Istovremeno, proizvod ili usluga sa sertifikatom o usaglašenosti izdatim od akreditacionog tela, osigurava da ispunjavaju kriterijume i zahteve opisane u relevantnim standardima. Zahvaljujući sistemu akreditacije, mnoge tehničke prepreke za trgovinu su eliminisane.

Sertifikacija za IT standarde u Srbiji je slabo zastupljena. Više sertifikacionih tela prihvata sertifikaciju za SRPS ISO/IEC 27001, ali zbog nedostatka kvalifikovanih ocenjivača, angažuju se stranci koji nisu uvek dostupni, pa postupak sertifikacije može dugo da traje. Osim za ovaj standard, par sertifikacionih tela radi i sertifikaciju za SRPS ISO/IEC 20000‑1, ali tu je interes korisnika slab, prevashodno zbog neobaveštenosti o prednostima ove sertifikacije.

Kada su ostali IT standardi u pitanju, tu gotovo da nema mogućnosti da svoj proizvod sertifikujete kod domaćeg sertifikacionog tela. Naravno, uvek možete angažovati inostranu sertifikacionu kuću, ukoliko je vaš interes da svoj softverski proizvod plasirate u inostranstvu.
Rezime

Brzo ovladavanje informacijom svake vrste postalo je imperativ modernog sveta. Tokom poslednje tri decenije informaciona tehnologija je sve više postajala sastavni deo poslovanja modernih preduzeća. Danas većina savremenih organizacija ne može uopšte da funkcioniše bez računara. U nekim organizacijama se informacioni sistem gradi planski, sistemskim uvođenjem informacione tehnologije u upravljanje poslovanjem, a ponegde se pojedini delovi poslovanja, kritične funkcije ili samo neki sektori stihijski opremaju informatičkom opremom. Bez obzira na pristup informatizaciji, sve je više poslovnih informacija i poslovnih funkcija zavisno od ispravnog i pouzdanog funkcionisanja računarske tehnologije i njene programske i organizacione nadgradnje, a sve više ljudi u svom radu mora da usvoji potrebna znanja za korišćenje informatičke tehnologije.

Nova tehnološka rešenja zahtevaju adekvatne promene i u organizaciji i u našim znanjima i veštinama. Ovo sa sobom donosi niz problema koji su više organizacione nego tehnološke prirode i koji se, nažalost, u velikom broju preduzeća uopšte ne shvataju ozbiljno. Približavanjem naše zemlje standardima EU, kao što smo prihvatili ISO 9001, ISO 14001 i druge internacionalne standarde, moraćemo da prihvatimo i standarde iz oblasti informacionih sistema i tehnologija. Primena se svakako isplati, jer obezbeđuje i samoj organizaciji neuporedivo pouzdanije mehanizme upravljanja. Koliko i kakvih mehanizama upravljanja je potrebno, odlučujemo sami, pri usaglašavanju IT sa svojim poslovnim potrebama.

Prihvatanje IT standarda i sertifikacija je velika promena ne samo za IT organizaciju već za uspostavljanje sistema menadžmenta u organizacijama iz drugih oblasti poslovanja. Mnoge organizacije će morati da uspostave, dokumentuju i implementiraju procese koji pre toga nisu postojali. Ovo će, takođe, zahtevati i određene organizacione promene, prvenstveno u raspodeli odgovornosti i ovlašćenja.

Kao rezultat, podići ćete kvalitet usluge koju pružate, uz pozitivan uticaj na vaše klijente, poslovne partnere i druge zainteresovane strane kao i reputaciju organizacije uopšte, zaštitićete podatke od neovlašćenog pristupa, gubitka i regulisati odnose u najboljoj poslovnoj praksi, a u skladu sa zahtevima standarda, optimizacijom vaših poslovnih procesa i minimiziranjem rizika pomoći ćete i svojim klijentima da budu još efikasniji, a mogućnost zloupotrebe svesti na minimum. Poslovaćete bez negativne reklame, finansijskih gubitaka i neusaglašenosti sa zakonskom regulativom. Ranjivosti se otkrivaju rano, uz mogućnost da se reše brzo i efikasno bez dodatnog angažovanja drugih učesnika. Dakle, neka sigurnost, tržišna prednost i povećanje vrednosti vaše organizacije kroz sertifikaciju budu vaš cilj u narednom periodu. To je pravovremena i dobra poslovna odluka.

 

Osnovni principi na kojima je izgrađena standardizacija:

  • Dobrovoljno učešće svih zainteresovanih strana u postupku donošenja standarda;
  • Dobrovoljna primena standarda;
  • Globalni pristup;
  • Participacija u donošenju standarda svih relevantnih strana (proizvođača, korisnika, države, naučno‑istraživačkih institucija…);
  • Najbolja praksa;
  • Usaglašavanje stavova zainteresovanih strana u vezi s tehničkim sadržajem standarda postiže se konsenzusom;
  • Javnost i transparentnost postupka donošenja standarda;
  • Međusobna usklađenost standarda;
  • Ostvarivanje optimalne koristi za društvo u celini.

Prednosti primene IT standarda:

  • Doprinose stvaranju efikasnog, ekonomičnog, pouzdanijeg i sigurnijeg upravljanja informacijama;
  • Olakšavaju tranziciju IT funkcije iz jednog stanja u drugo;
  • Stvaraju preduslove za brz i efikasan reinženjering;
  • Omogućavaju ravnopravnije učešće ponuđača na tenderima.

Ciljevi standardizacije u informacionim tehnologijama:

  • Definisanje zajedničkog okvira koji će omogućiti da svi koji su uključeni u proces razvoja, projektovanja i upravljanja softverom „govore istim jezikom“;
  • Obezbeđivanje osnove za komunikaciju između IS;
  • Obezbeđivanje preduslova za zajedničko učešće na projektima različitih strana i
  • Obezbeđivanje potrebnog okvira za razvoj i implementaciju softvera definisanog kvaliteta.

 

 

Izvor: pcpress.rs