ISO/IEC 15504-9 veröffentlicht

von Maud Schlich

ISO/IEC TS 15504-9:2011 Information technology — Process assessment — Part 9: Target process profiles

Teil 9 der ISO/IEC 15504 Norm enthält Richtlinien für Sponsoren von Assessments und Prozessverbesserungsinitiativen und andere Nutzer der Norm, um Zielprozessprofile zu erstellen und zu verwenden.

Mit diesem Teil der Norm erfüllt die Arbeitsgruppe der JTC 1/SC 7 einen schon lange gehegten Wunsch vieler Anwender, die eine Vergleichbarkeit von Organisationseinheiten untereinander ähnlich zu CMMI benötigen.

Inhalt

Ein Zielprozessprofil enthält die Bewertungen für Prozessattribute und Fähigkeitsgrade (Capability Levels) zusammen mit den Begründungen für diese Bewertungen. Diese werden von oder im Auftrag einer Organisation genutzt, um

  •  mit dem Zielprozessprofil einen definierten Zweck zu erreichen,
  • in einem Assessment festzustellen, in wie weit eine Organisation ihr Zielprozessprofil aktuell schon erreicht,
  • in einem Assessment festzustellen, in wie weit eine andere Organisation dieses Zielprozessprofil aktuell erreicht und
  • in einer Schwachstellenanalyse die notwendigen Verbesserungsmaßnahmen festzustellen.

Die ISO/IEC 15504-9 definiert das Vorgehen zur Erstellung des Zielprozessprofiles und führt aus, wie

  • der beabsichtigte Nutzen definiert wird,
  • die Beziehungen zu den Referenz- und Assessmentmodellen aussieht,
  • welche Informationen notwendig sind,
  • wie die entsprechenden Faktoren defniert und genutzt werden,
  • welche Analysen notwendig sind,
  • auf welche Art und Weise die Ergebnisse ausgedrückt werden sollen, damit die Begründungen für Bewertungen klar beschrieben sind und
  • wie diese Ergebnisse genutzt werden.

Definition des Zielprozessprofils

Zur Definition sieht die Norm folgende 10 Schritte vor:

  • Zweck definieren
  • Anwenderkreis festlegen
  • Geschäftsziele definieren
  • Anwendungsdomäne definieren
  • Charakterisierung definieren (abhängig von der Anwendungsdomäne z.B. Kriterien zur Funktionalen Sicherheit oder bezüglich GAMP und/oder bestimmter Qualitätsanforderungen, zeitlicher Einschränkungen etc.)
  • Faktoren für Zielprozessprofil definieren (auf Basis einer Risikoanalyse bezogen auf die Charakterisierung)
  • Kriterien zur Sammlung der Daten und Informationen definieren
  • Prozesse auswählen (und u.a. die Auswahl begründen und dokumentieren)
  • Ergebnisse des Zielprozessprofils definieren (d.h. was genau als Ergebnis dokumentiert werden muss, wovon die Norm bereits sehr viel vorgibt)
  • Fähigkeitslevel für Zielprozesse definieren

Vor allem bei der Definition des Zielprozessprofils verlangt die Norm ein sorgfältiges Arbeiten, um eine hohe Qualität der Ergebnisse zu erreichen. Dazu gehören dann u.a. eine genaue Berücksichtigung der definierten Charakterisitika und Faktoren, eine sorgfältige Analyse und eine dokumentierte nachvollziehbare Begründung für die Bewertung von Prozessattributen und Fähigkeitsleveln wie auch mehrere Reviewschritte mit jeweils unterschiedlichem Fokus.

Anwendung des Zielprozessprofils

Zur Anwendung der Zielprozessprofile sagt die Norm deutlich weniger aus. Sie verlangt letztlich nur, dass das entstandene Zielprozessprofil tatsächlich anwendbar ist, indem es z.B. verständlich niedergeschrieben wurde und alle notwendigen Informationen enthält und verweist ansonsten bei der Anwendung für Schwachstellenanalysen auf ISO/IEC 15504-4:2004, Annex A.

Konsequenzen von Schwachstellen

Die Tabelle 1 im Anhang A listet für die jeweiligen Fähigkeitsgrade die Risiken auf, welche die gefundenen Schwachstellen in sich bergen und gibt sehr knapp Hinweise zur Interpretation der Prozessergebnisse.

Fazit

Obwohl sich die Norm vorwiegend an die Sponsoren von Assessments richtet, die die Definition der Zielprozessprofile durchführen sollen, wird diese Aufgabe in der Praxis oft delegiert an die Leitung von Prozessverbesserungsinitiativen oder häufiger noch an externe Consultants. Zu hoffen ist dann, dass diese die Sponsoren intensiv an den zu erledigenden Aufgaben beteiligen, ob mit Hilfe von Workshops und/oder “Hausaufgaben”. Insofern kann die Norm dazu beitragen, dass diese Arbeiten ein Mindestmaß an Qualität erfüllen.

Eine leichtere Vergleichbarkeit der Ergebnisse über unterschiedliche Organisationseinheiten und über eine Organisationseinheit, über unterschiedliche Projekte oder unterschiedliche Zeitpunkte der Assessments ist, ist durch die Anwendung der Norm nicht gesichert, aber hoffentlich besser möglich.

Der Anhang A mit den Konsequenzen von Schwachstellen ist für das notwendige Marketing von Prozessverbesserungsinitiativen bei den Sponsoren sicher ganz hilfreich.  Mir fehlt aber wenigstens ein Beispiel zur Anwendung, an dem sich die Anwender der ISO/IEC 15504-9 orientieren könnten – mit der bloßen Umschreibung bleibt der Normentext leider etwas zu theoretisch.


Whitepaper-Banner flach

Zurück

Einen Kommentar schreiben