29 Haziran 2022 de yayınlanan 31881 sayılı “Kamu Bilişim Hizmet Alimi Kapsaminda Katılımcıların Yetkilendirilmesi Hakkinda Yönetmelik” mevzuatı ile kamu kurumlarına hizmet veren tüm tedarikçi firmaları için ISO 15504 SPICE sertifikasyonu zorunlu hale gelmiştir. Bu yazı dizisinde hem ISO 15504 SPICE süreci hakkında bilinmesi gereken noktalar anlatılacak hem de ilerleyen bölümlerde standardın kurum bünyesinde uygulanması hakkında bilgi verilecektir.
Yazı dizisinin daha önceki bölümlerine aşağıdaki bağlantılardan erişebilirsiniz.
BÖLÜM-1:
https://btuyum.com/iso-15504-spice-ve-uygulamalari-1-uygulama-oncesi-temel-bilgiler/
BÖLÜM-2:
https://btuyum.com/15504-spice-ve-uygulamalari-2-spice-hazirligi-icin-temel-kararlar/
BÖLÜM-3:
https://btuyum.com/15504-spice-ve-uygulamalari-3-proje-yonetim-sureci-man-3/
Risk Yönetim Süreci için MAN.5 ne ifade etmektedir?
ISO 15504 SPICE standardı en temelde yazılım ve sistem projelerinin geliştirmeleri için gerekli süreçlerin işletilmesinden ibarettir. Risk yönetim süreci bu kapsamdaki temel süreçlerden biridir. Her süreç için standartta tanımlanmış bir etiket mevcuttur. “MAN.5”, risk yönetim sürecine ait etikettir.
MAN.5 sürecinin işletilmesi şart mıdır?
MAN.5 süreci ISO 15504 SPICE sertifikasyonunda başlangıç seviyesi olan Seviye-2 ve üzeri tüm süreçler için şarttır.
MAN.5 süreci kapsamında hangi dokümanların hazırlanması beklenmektedir?
Standart dokümanı süreçler için bazı doküman isimleri önerse de doğrudan dayatılmış bir doküman ismi söz konusu olamaz. Ancak bu süreç kapsamında en azından aşağıdaki dokümanların oluşturulması makul olur.
- Kurumda MAN.5 süreci adımlarının işleyişini anlatan bir süreç dokümanı
- MAN.5 sürecini işletirken doldurulacak şablonlar, formlar
- MAN.5 sürecinin uygulandığı projede risk yönetim stratejisi detaylarını ve planlamasını içeren bir Risk Yönetim Planı
- Proje risklerinin listelendiği, analiz edildiği, risk karşılama yönteminin belirlendiği, aksiyonların planlanıp sonuçlarının kaydedildiği bir rapor
Risk yönetim stratejisi hangi başlıkları kapsamaktadır?
Projeler özelinde risk yönetim stratejisinin aşağıdaki başlıkları kapsaması beklenir. Bu başlıklar aynı zamanda Risk Yönetim Planı içeriği gibi düşünülebilir.
- Risk yönetiminde sorumlular
- Risk tanımlama kapsamı
- Risk hesaplama formülasyonu
- Risk karşılama yöntemleri
- Riskler için aksiyon planlama
- Risklerin takip edilmesi
Risk yönetiminde sorumlular kimlerdir?
ISO 15504 SPICE kapsamında işletilen bir projede, risk yönetiminin genel olarak Proje Yöneticisi sorumluluğunda olması beklenir. Bununla beraber, tüm proje ekibin tespit ettikleri riskleri bildirmemeleri, kendileri için tanımlanmış aksiyonları almaları beklenir. Kalite Uzmanı gibi bir rolden ise sürecin tanımlı esaslara uygun işletilme durumunu denetlemesi beklenir.
Riskler hangi parametreler ile beraber tanımlanır?
Bir risk tanımlanırken belli parametrelerin de beraberinde ortaya konması beklenir. Yoksa riskin anlaşılmasında ve analiz edilmesinde problem yaşanabilir. Bu parametreler aşağıda verilmiştir.
- Riskin Tanımı
- Riskin Kategorisi
- Olayın meydana gelme olasılığı
- Meydana gelme durumunda riskin projeye etkisi
Risk hesaplama formülasyonu nasıldır?
ISO 15504 SPICE standardı risk hesaplama için bir formülü dayanmamaktadır. Bu nedenle en basit risk hesaplama formülasyonu üzerinden ilerlemek başlangıç açısından idealdir. Örneğin; 5’er kademeli etki ve olasılık seviyeleri tespit edip bunları çarparak risk puanları elde edilebilir.
Verilen örnek üzerinden gidilirse 1-25 arası risk puanlarının çıkması beklenir. Bu aralığı; “Yüksek”, “Orta” ve “Düşük” gibi 3 aralığa bölerek risk hesabı ve seviyelendirmesi yapılabilir.
Risk karşılama yöntemleri nelerdir?
Risk karşılama yöntemleri, hesaplanmış bir risk değerine karşılık alınması muhtemel aksiyon gruplarını gösterir.
En temel karşılama yöntemleri aşağıda verilmiştir.
- Azaltma : Bir riskin olasılığını ve / veya etkisini azaltmak için gerekli önlemleri alınmasıdır. Erken harekete geçme, yakın izleme, daha fazla test vb.
- Kabul : Sadece bunun bir risk olduğunu kabul edilmesidir. Bir risk kabul edilmiş bile olsa, riskler arasından çıkarılmaz ve riskin takibine devam edilir.
- Kaçınma : Riskin kaynağının yok edilmesidir.
- Transfer : Riskin üçüncü bir tarafa kaydırmaktır.
Risklerin karşılanma yönteminin net olarak ortaya konulmasından sonra her bir risk seviyesi için hangi karşılama yönteminin ortaya konması beklenir.
Örneğin; yüksek seviyeler için mutlaka azaltma yöntemi benimsenirken, orta ve düşük seviyeli riskler için kabul seçeneği benimsenir.
Riskler için aksiyon planlama nasıl yapılır?
Riskler için analizlerin tamamlanmasından ve karşılama yöntemi belirlenmesinden sonra alınacak aksiyonların planlanması aşamasına geçilir. Kabul edilmiş riskler için bir aksiyon planlanması beklenmez.
Risk aksiyon planında en temelde aşağıdaki 3 bileşenin yer alması beklenir.
- Alınacak aksiyon
- Aksiyon sorumlusu
- Aksiyon tarihi (veya son tarihi)
Risklerin takip edilmesi nasıl yapılır?
Riskler için alınan aksiyonların takibi, yeni risklerin ortaya çıkma durumu ve mevcut risklerdeki değişikliklerin tespiti için belli aralıklarla risk gözden geçirmesi yapılması gerekir? Bu gözden geçirmeler “MAN.5 Proje Yönetim Süreci” kapsamında yapılan “Proje Durum Toplantıları” içinde bir gündem maddesi şeklinde yapılabilir.
ISO 27001 kapsamında risk analizi yapılmışsa MAN.5 süreci için tekrardan risk analizi yapmak gerekir mi?
ISO 27001 kapsamında yapılan risk analizi kurumun gene bilgi güvenliği altyapısı içindir. MAN.5 süreci kapsamında yapılan risk analizi ise SPICE sürecinin işletildiği proje ile ilgili özel durumları kapsamaktadır. Bu nedenle proje geliştirme ortamı gibi altyapı ile ilgili kimi riskler ortak olsa da genel olarak ayrı bir risk tespiti ve analizi yapılması gerekmektedir.
Bununla beraber ISO 27001 için oluşturulan risk yönetim stratejisi, ISO 15504 SPICE kapsamında uygulanan MAN.5 süreci için de kullanılabilir.
İşin kapsamının belirlenmesi demek en temelde; projenin yapılma amacı, karşılayacağı ihtiyaç, hedefler ve sağlayacağı temel fonksiyonları içerebilir. Kapsam bu temel başlıklar altında daha geniş bir şekilde tanımlanabilir.
“MAN.5: Risk Yönetim Süreci” için gerekleri bu şekilde özetlemiş olduk. Yazı dizisinin bir sonraki bölümünde görüşmek üzere.