ISO 21500 – Proje Yönetimi Kılavuzu

ISO (International Organization for Standardization), dünyanın en büyük gönüllü uluslararası standart geliştiricisidir.
Uluslararası Standartlar, sanayiyi daha etkin ve verimli hale getirmeye yönelik olarak ürün, hizmet ve iyi uygulamalar için en iyi özellikleri sağlar. Uluslararası ticaretin önündeki engelleri yıkmaya yardımcı olmak için küresel uzlaşma yoluyla geliştirilir.ISO 21500 standardının tarihine kısaca bakalım.
Böylece bu standardın nasıl oluştuğu hakkında bilgi sahibi olabiliriz.İngiltere’nin teklifiyle ISO tarafından, ISO 21500 uluslararası standardının geliştirilmesine Ekim 2007 tarihinde başlandı.

BSI British Standards, ISO 21500’ü geliştirmek için kurulan yeni bir proje komitesine (ISO/PC 236) Londra’daki açılış toplantısında ev sahipliği yaptı. Bu toplantıya, dünyanın dört bir yanından 50’den fazla delege katıldı. Toplantının amacı, temel ilkeleri belirlemek, proje yönetiminde iyi uygulamaları neyin teşkil ettiğini açıklamak ve genel rehberlik sağlamaktı.ISO 21500 mevcut standartlar ile uyumlu olarak ulusal düzeyde çalışması planlanmıştı.

Her sektördeki tüm organizasyonlara uygulanabilir olması, proje yönetimine yeni katılanlar veya daha fazla deneyimli uygulayıcılar için ise bir hatırlatıcı olarak tasarlanması amaçlanmıştı.Aşağıda belirtilen 20 ülkenin ulusal standartlar enstitüleri tarafından seçilen uzmanlardan oluşan heyetler ve gözlemci statüsüne sahip üç ülke ile çalışmalara başlandı.

Katılımcı Ülkeler: Avusturalya (SA), Avusturya (ON), Belçika (NBN), Brezilya (ABNT), Kanada (SCC), Finlandiya (SFS), Fransa (AFNOR), Almanya (DIN), Gana (GSB), Hindistan (BIS), İsrail (SII), Japonya (JISC), Hollanda (NEN), Norveç (SN), Portekiz (IPQ), Güney Afrika (SABS), İspanya (AENOR), İsveç (SIS), Birleşmiş Krallık (BSI), ABD (ANSI)Gözlemci Ülkeler: İrlanda (NSAI), Pakistan (PSQCA) ve Romanya (ASRO)Artı parantez içinde söylemeden geçemeyeceğim.

Görüldüğü üzere maalesef ülkemiz, ISO 21500 Proje Yönetimi Kılavuzu’nun geliştirilmesinde temsil edilmemiştir. Proje yönetimine olan ilginin artmasıyla beraber, gelecekte ülkemizi proje yönetimini en iyi uygulayanlar ve geliştiriciler arasında görmeyi ümit ediyoruz.ISO 21500 standardını geliştirmekle görevli proje komitesi üç gruptan oluşmuştu.
Bunlar sırasıyla;Terminoloji Grubu ANSI (ABD) tarafından organize edildiSüreçler Grubu DIN (Almanya) ve sekretaryası ANSI (ABD) tarafından,Bilgilendirici Rehberlik Grubu ise BSI (İngiltere) ve sekretaryası ANSI (ABD) tarafından organize edilmiştir.Bu komitenin sekreterliği Amerikan Ulusal Standartlar Enstitüsü (ANSI) tarafından, başkanlığı ise Birleşik Krallık ’tan (İngiltere) Dr. Jim Gordon tarafından yürütülerek, ISO 21500:2012 Proje Yönetim Kılavuzu 3 Eylül 2012 tarihinde 36 sayfa olarak yayımlanmıştır.

Sonuç olarak, son yıllarda dünya çapında sektöre özel standartların gelişmesiyle beraber, küresel proje yönetimi prensip ve prosedürlerini kapsayan bir standart mevcut değildi.

Ayrıca, bu özel standartlar ortak kelime diline de sahip değildi. Yani bir terimin karşılığı sektöre göre farklı algılanabiliyordu.Bu problemleri ortadan kaldırmak için Uluslararası Standartlar Organizasyonu (ISO), yeni bir standart olan ISO 21500 Proje Yönetim Kılavuzu’nu geliştirme çalışmalarına 2007 yılında başladı ve 2012 yılında yayımladı.

Geliştirilen bu standart proje yönetimi uzmanları için bir referans noktası olacak ve proje yönetimi alanında ortak bir platform sağlayacaktır. Bunlara ek olarak, mevcut ve gelecekteki standartlara yönelik süreçler, kelime dili ve prensiplerin uyumluluğu ve bilgi transferini de kolaylaştıracaktır.

YAŞAR KELEŞ, MBA, PMP

PMI TURKEY CHAPTER -Aralık 2013 Aylık Bülteni

Reklam

ISO 27001 Bilgi Güvenliği Yönetim Sistemi

Kuruluşlar, bilgi varlıklarını müşterileri ve kendi namlarına tutmak, saklamak ve güvenliğini sağlamakla mükelleftir. Bu, birçok kuruluşun varlık sebebini oluşturmaktadır.ISO 27001 Bilgi Güvenliği Yönetim Sistemi, bilgi güvenliğinin sistemli olarak yapılmasını ve oluşan risklerin yok edilmesi/kabul edilebilir seviyeye çekilmesini istemektedir.

Bilgi Güvenliği Nedir?

Bilginin gizliliği, bütünlüğü̈ ve kullanılabilirliğinin korunmasıdır. Geniş kapsamda; doğruluk, açıklanabilirlik, inkâr edememe ve güvenilirlik gibi diğer özellikleri de kapsamaktadır.

Bilgi güvenliği, kurumdaki işlerin sürekliliğinin sağlanması, meydana gelebilecek aksaklıkların azaltılması ve yatırımlardan gelecek faydanın artırılması için bilginin çok yönlü tehditlerden korunmasını sağlar. Kuruluşlarda bilgi birçok biçimde bulunmaktadır. Kağıt üzerinde, elektronik ortamda, posta yada elektronik posta yolu ile bir yerden bir yere iletilebilir ya da kişiler arası sözlü olarak ifade edilebilir. Bilgi hangi formda olursa olsun, mutlaka uygun bir şekilde korunmalıdır.

ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Nedir?

ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS), bilgi güvenliğini yönetim sistemi olarak tanımlayan uluslararası denetlenebilir bir standarttır. Bilgi varlıklarını koruyan ve ilgili taraflara güven veren yeterli ve orantılı güvenlik kontrollerini sağlamak için tasarlanmıştır.

Bu Yönetim Sistemi, kurumsal yapıyı, politikaları, planlama faaliyetlerini, sorumlulukları, uygulamaları, prosedürleri, prosesleri ve kaynakları içerir.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi, her sektör ve büyüklükteki kuruluşa uygulanabilen bir standarttır.Bu standart, dokümante edilmiş bir BGYS’ yi, kuruluşun tüm ticari riskleri bağlamında kurmak, gerçekleştirmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek gereksinimlerini kapsar.

Günümüzde kuruluşlar için değerli olan bilginin; gizlilik, bütünlük ve erişilebilirlik nitelikleri bakımından korunması, süreklilik ve sistematikliği gerekmektedir.

Koruma, bir takım fiziksel ve sistemsel önlemlerin yanında bireylerin bilgi güvenliğine ilişkin tehdit ve risklerden, kurum bilgi güvenlik politika ya da kurallarından haberdar olması, bu tehditlere nasıl karşı koyabileceği, olası riskleri mümkün olabilecek en düşük risk düzeyinde nasıl tutabileceği konusunda bilgilendirilmesiyle mümkün olmaktadır.

Bir kuruluş için Bilgi Güvenliği Yönetim Sistemi’nin benimsenmesi stratejik bir karar olmalıdır. Kuruluş, yönetim sisteminin tasarımı ve gerçekleştirmesi, ihtiyaçları ve amaçları, güvenlik gereksinimleri, kullanılan prosesler, kuruluşun büyüklüğü ve yapısından etkilenir.
ISO 27001 ile kuruluşlar uygulayacağı güvenlik kontrollerini belirler.

ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Neden Gereklidir?

Bir kuruluşun sadece teknik önlemlerle bilgi güvenliğini ve iş sürekliliğini korumasının mümkün olmadığı, bunun yanı sıra BGYS gibi bir takım önlem ve denetimlerin sağlanması gerektiği konusu tüm dünyada kabul edilmiş bir yaklaşımdır. BGYS çerçevesinde oluşturulacak güvenlik politikalarına üst yönetim ve tüm çalışanların destek vermesi ve tavizsiz bir şekilde uygulaması gerekmektedir. Ayrıca işbirliğinde bulunulan tüm kişi ve kuruluşların da bu politikalara uygun davranması güvenliği artırıcı bir faktördür.

Bilgi Güvenliği Yönetim Sistemi Faydaları Nelerdir?

İç denetimlerinizin bağımsız bir şekilde sağlandığını gösterir ve kurumsal yönetişim ve iş devamlılığı gereksinimlerini karşılar.

Kuruluşa yönelik faydaları;

. Bilgi varlıklarının gizliliğinin korunması,

. Tehdit ve riskleri belirlenerek etkin bir risk yönetiminin sağlanması,

. Kurumsal prestijin korunması,

. İş sürekliliğinin sağlanması,

. Bilgi kaynaklarına erişimin denetlenmesi,

. Personelin, yüklenicilerin ve alt yüklenicilerin güvenlik konusunda farkındalık düzeyinin yükseltilmesi ve önemli güvenlik konularında bilgilendirilmesi,

. Otomatik ve elle yönetilen sistemlerde, duyarlı bilgilerin uygun bir şekilde kullanıldığının garanti altına alınması amacıyla gerçekçi bir kontrol sistemi kurulması,

. Bilgi varlıklarının bütünlüğünün ve doğruluğunun sağlanması,

. Personelin, başkaları tarafından yapılabilecek olan suiistimal ve tacizlere karşı zan altında kalmasının engellenmesi,

. Duyarlı bilgilerin uygun bir şekilde üçüncü taraflara ve denetçilere açık olmasının sağlanmasıdır.

Geçerli yasa ve düzenlemelere uygun davranıldığını bağımsız bir şekilde gösterir.Sözleşmeden doğan gereklilikleri karşılayarak ve müşterilerinize bilgilerinin güvenliğine gösterdiğiniz özeni göstererek bir rekabet avantajı sağlar.

Bilgi güvenliği işlemleriniz, prosedürleriniz ve belgeleriniz biçimlendirilirken kurumsal risklerinizin gerektiği gibi tanımlandığını, değerlendirildiğini ve yönetildiğini bağımsız bir şekilde doğrular.Düzenli değerlendirme işlemi performansınızı sürekli izlemenize ve geliştirmenize yardımcı olur. Üst yönetiminizin bilgilerinin güvenliğine olan taahhüdünü kanıtlar.

Kurum ve kurum çalışanları bilgi güvenliği sistemi ile;

– Bilgi varlıklarının farkındalılığı ve motivasyonu artar,

– Sahip olduğu bilgi varlıkları korunabilir

– İş sürekliliği sağlanır,

– Müşteri ve tedarikçilerle sağlıklı bir yapı kurulur,

– Rekabette avantaj sağlanır,

– Yasal uyumluluk sağlanır.

Bilgi Güvenliği Yönetim Sistemi Prosesleri Nelerdir?

ISO 27001 kuruluşun BGYS’sini kurmak, gerçekleştirmek, işletmek, izlemek, sürdürmek ve iyileştirmek için bir proses yaklaşımını benimser.

Standart Tanımı

Planla

 BGYS’nin kurulması Sonuçları kuruluşun genel politikaları ve amaçlarına göre dağıtmak için, risklerin yönetimi ve bilgi güvenliğinin geliştirilmesiyle ilgili BGYS politikası, amaçlar, hedefler, prosesler ve prosedürlerin kurulması

Uygula

BGYS’nin gerçekleştirilmesi ve işletilmesi BGYS politikası, kontroller, prosesler ve prosedürlerin gerçekleştirilip işletilmesi

Kontrol Et

BGYS’nin izlenmesi ve gözden geçirilmesi  BGYS politikası , amaçlar ve kullanım deneyimlerine göre proses performansının değerlendirilmesi ve uygulanabilen yerlerde ölçülmesi ve sonuçların gözden geçirilmek üzere yönetime rapor edilmesi

Önlem al

BGYS’nin sürekliliğinin sağlanması ve iyileştirilmesiBGYS’nin sürekli iyileştirilmesini sağlamak için, yönetimin gözden geçirme sonuçlarına dayalı olarak, düzeltici ve önleyici faaliyetlerin gerçekleştirilmesi

Bilgi Güvenliği Yönetim Sistemi Belgelendirmesi Niçin Önemlidir?

. Kurumsal seviyenin tarafsız bir kuruluş tarafından değerlendirilmesi,

. Bilgi güvenliği Yönetim Sistemi’ne sahip olma prestijini kazanmak,. Saygın müşteriler tarafından tercih edilmek,

. Bilgi güvenliği olmaması sebebi ile maruz kalınabilecek maddi ve manevi maliyetler,

. Çalışanların farkındalılığının artması

Kaynak: http://www.denetik.com/Hizmetlerimiz/Belgelendirme/Sistem/ISO-27001

SPICE (ISO 15504)

Software Process Improvement and Capability dEtermination : Yazılım Süreci  İyileştirme ve Yetenek Belirleme’dir. 1995 yılında ISO ve IEC tarafından çıkarılmıştır. Yazılım geliştirme projelerinin yönetim tarafı çoğunlukla yetersiz planlama, geliştirme süreçlerin tam anlaşılmaması, iyi bir yönetim çerçevesinin olmayışı gibi problemlerle karşı karşıyadır. Bu çerçevede daha disiplinli geliştirme süreçleri için standartlar geliştirilmeye başlanmıştır. Spice da bu standartlardan biri olup,  yazılım süreçlerini iyileştirmek ve süreç yeteneklerini belirler. Uluslararası Standartlar Örgütü  ve Uluslararası Elektroteknik Komisyonu’nun ortak çalışması ile 1995 yılında çıkarılmıştır.

SPICE, iki boyutlu bir model olup içe dönük süreç iyileştirme ile içe ve dışa dönük yetenek belirleme amacını taşır. Birinci boyutta süreçler, ikinci boyutta yetenek düzeyleri vardır. 

SPİCE İLKELERİ

İlkeleri şu şekilde sıralayabiliriz;StandartlaşmaDeğerlendirme, yetenek belirleme ve iyileştirmeDiğer modellere uyum sağlamaGelişmeyi ölçmeNesnel, tutarlı ve tekrarlanabilir olmaSertifikasyon amacı taşımaz 

SPİCE BOYUTLARI 

Spice 2 boyuttan oluşmaktadır. Bunlar süreç boyutu ve yetenek seviyeleridir. 

a) Birinci Boyut : Süreç Boyutu Süreç boyutunun kıstasları aşağıdaki gibidir.Süreç bir işi yapma yöntemidir.Genellikle alt süreç ve işlemlerden oluşur.Belgelenmiş ve tekrarlıdır.Girdi ve çıktıları vardır.Süreç boyutları 5’e ayrılmaktadır. Bunlar:Müşteri-tedarikçiye direkt etkisi olan süreçler (Customer)Mühendislik süreçleri (Engineering)Projeyi oluşturan ve yöneten süreçler (yönetim) (Management)Destek süreçleri (Support) Organizasyon süreçleri (Oganization)

 b) İkinci Boyut Yetenek Seviyeleri Süreçlerin alt süreçlerinin olduğunu daha önce söylemiştik. Örnek vermek gerekirse, mühendislik süreçlerinin “yazılım gereksinim analizi”, “yazılım tasarımı” , “yazılım gerçekleştirme”,  “yazılım testi“ gibi alt süreçleri bulunmaktadır.   

Süreç nitelikleri, süreç yeteneğinin ölçümünü veren ve bir başarı skalasında değerlendirilebilen özelliklerdir. Her süreç niteliği, sürecin amacına ulaşması için, o sürecin etkinliğini iyileştirme ve yönetme yeteneğinin bir yönünü tanımlar

1. Seviyede incelenen süreç alanları için temel pratiklerin yerine getirilmesi ve ürünlerin özellikleri ile birlikte beklenen maddelerin sağlanması beklenir. 

2. ve daha yüksek seviyelerde ise çizelgede yer alan süreç özelliklerini sağlaması gerekmektedir. Her yeni özellik, yükselen yetenek düzeyini gösterir. Süreç Yeteneği Düzeyi başarılan niteliklerle(özellikler) belirlenir. 

4. Seviyede, ilgili iş hedeflerine ulaşılmasını destekleyen ürün, süreç hedefleri ve ölçümler tanımlanır. Belirli ürün ve süreç ölçümleri toplanır. Sürecin performans eğilimleri analiz edilir.Analiz için gerekli uygun ölçüm teknikleri tanımlanır. 

5. Seviye, sürecin ölçülebilir temeli üzerine dayanarak standart süreç tanımı için değişiklikleri tanımlar.Gerçek ve potansiyel problemlerin kaynağı analiz edilerek sürekli iyileşen süreç tanımlanır. 

DEĞERLENDİRME SÜRECİ 

Denetçi verileri değişik şekillerde toplayabilir mesela; kişisel performans röportajları, kalite kayıtları ve belgeleri, istatistiksel süreç verileri toplama. Değerlendirme raporunun tamamını yapacak şekilde doğruluyor. Doğrulamış olduğu veriyi temel işlemlerle değerlendiriyor. Bu değerlendirme sonucunda süreç yeteneğini belirliyor. Süreç yeteneği değerlendirmesi değerlendiriciden uzman muhakeme yeteneğine sahip olmasını bekler. Bu da değerlendirmenin kalitesini değerlendiricinin kalitesi belirlediğini gösteriyor.  Değerlendirici kalitesi 4 maddeden etkilenir.

Bunlar şunlardır:İletişim kabiliyetiGenel tecrübe ve ilgili eğitim seviyesiYönetimdeki alanındaki özel yetenekleri

ISO standartlarındaki süreç yeteneği değerlendirmesi tecrübesi ve pratikleri 

a) Değerlendirme Modeli: PAM bizim değerlendirme için kullandığımız modeldir. Sürecin hayat döngüsü standartlarını sağlayan bir referans model genelde örnek alınır. Model spice kriterlerini sağlayan başka bir model de kullanılabilir. 

b) Değerlendirmede kullanılan araçlar: Çeşitli değerlendirme araçları kullanılabilir örneğin; Elle kullanılan yazılı belgeler, değerlendirme modeli göstergelerini birleştiren bir araç, temel pratik göstergeleri, genel pratik göstergeleri bunların sonucunda değerlendirme sonucu yazıyor. Bu değerlendirme göstergelerini gösterecek bilgisayar tabanlı araçlar az sayıdadır. Bu araçlara değerlendirme raporları not ediliyor ya da otomatik olarak bu araçlar değerlendirme sonuçlarını topluyor. 

ÖRNEK DEĞERLENDİRME SONUCU  

Yukarıdaki sonucu incelersek, firmanın tedarikçi seçimi, yazılım entegrasyonu, konfigürasyon yönetimi gibi konularda kendisinin geliştirmesi gerekmektedir.

Kaynak:
http://yakupbugra.com/2012/01/spice-software-process-improvement-and-capability-determination.html

ISO 27031 Bilişim Sektöründe İş Sürekliliği için IT Sürekliliği Standartı

ISO 27031,  özellikle Bilişim şirketlerinin iş sürekliliği süreçlerindeki IT sürekliliği işlerinin standartını belirleyen bir rehber. Temel Mantığı yandaki deming döngüsüne kurulu olan standart planlamayı, uygulamayı, kontrol etmeyi ve sonuçlara göre aksiyon almayı hedefler.

 

 

 

Standart’ın en önemli ve en kritik özelliği ITIL süreçlerindeki IT içerisindeki operasyonel işlerin IT sürekliliği ile nasıl ilişkili olduğunu vurgulaması ve aşağıda gördüğünüz tüm ITIL süreçlerinde IT sürekliliği için yapılması gereken işleri sıralamasıdır. IT’nin günlük işlerini ve her durumu düşünerek planladığı IT sürekliliğinin, bir değişiklik ve olay yönetimi sürecinden bağımsız olduğu düşünülemez.

IT süreçleriyle tüm ilişkileri ortaya koyacak rehber maddeler sıralayan bu standart aşağıdaki zamana bağlı akışta sırasıyla olayı öngörüp planlamayı, sonra olası durumda olayı tespit etmeyi ve tespit edilen olayın sonuçlarını yorumlayarak planlanların  ne zaman devreye alınacağını göstermektedir.

 

2 günlük bir eğitimle stadartın detaylarındaki önemi ve eğitmenimizin tecrübelerindeki kritik olayları anlamaya çalıştık. Standart ücretli satıldığı için paylaşamıyorum. Eğitim sonrasında üzerinde çalışacağım İş Sürekliliği ve BS (IT) sürekliliği süreçlerindeki tecrübemi paylaşmaya çalışacağım.