Приложение В (справочное). Руководство по избранным темам. Национальный стандарт РФ ГОСТ Р ИСО/МЭК 19770-1-2014 "Информационные технологии. Менеджмент программных активов. Часть 1. Процессы и оценка соответствия по уровням" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 29.05.2014 N 483-ст) (документ утратил силу)

Приложение В
(справочное)

Руководство
по избранным темам

В.1 Введение

Настоящее приложение представляет собой руководство по избранным темам, относящимся к настоящему стандарту. Также имеются отраслевые руководства, например, описанные в приложении С.

В.2 Релизы

Термин "релиз" будет часто применяться к окончательному внутреннему выпуску продукции, например выпуску экземпляра для распространения, получившего техническое утверждение, или корпоративной сборке, выпускаемой для использования в составе определенных устройств, например на некотором количестве настольных компьютеров.

Второй вариант использования терминов "релиз" и "сборка" применяется к программным активам в рамках процесса разработки программного обеспечения. Эти термины также широко применяются при использовании программного обеспечения с открытым исходным кодом (Open Source Software, OSS), например релиз кода OSS для пользователей, которые могут после этого собирать такое программное обеспечение самостоятельно. Настоящий стандарт не определяет процессы, характерные для разработки, однако предусматривает идентификацию и контроль активов, оставляя свободу для применения процессов SAM, которые могли бы в равной степени применяться к программным активам в любом из двух указанных выше контекстов использования (см. обсуждение применимости настоящего стандарта к разработке в подразделе 1.2 "Область применения").

Хотя управление любыми релизами может осуществляться посредством использования настоящего стандарта, принимается, что, если термин "релиз" появляется в последовательности событий дважды, то этому, возможно, будет необходимо дать дополнительное пояснение, особенно учитывая тот факт, что для обоих релизов может потребоваться официальное утверждение. В качестве объединенного примера можно привести процесс корпоративной сборки, который может состоять из нескольких последовательных шагов, объединяющих произведенное программное обеспечение со сборками кода, выпущенного внутренними разработчиками, и может включать релиз исходного кода, полученного в результате разработок OSS. Этот процесс обычно будет включать патчи. Все или некоторые такие виды деятельности иногда называют "созданием пакетов". Создание пакетов обычно подразумевает добавление программной "оболочки", требуемой определенной утилитой для развертывания программного обеспечения.

Несколько таких корпоративных сборок обычно тестируются и проходят техническое утверждение до того, как будет создан и утвержден для окончательного выпуска в производственную среду экземпляр для распространения (иногда в виде образа).

В заключение следует отметить, что настоящий стандарт может использоваться для управления обоими видами выпускаемых программных активов - релизом кода, выпущенным разработчиками, и внутренним релизом продукции в результате выполнения ряда последовательных операций по созданию пакетов. Оба варианта могут находиться в области применения, к ним могут применяться процессы инвентаризации и проверки правильности записей; любой управляемый релиз должен сначала пройти техническое утверждение, а затем получить окончательное разрешение на развертывание с утвержденной инвентарной описью установок.

В.3 Управление документами и записями

Настоящий стандарт явно не оговаривает требования по управлению документами и записями, тем не менее, такие требования могут выдвигаться в тех случаях, когда:

a) в организации применяется структурированный подход к созданию, анализу, утверждению, выпуску и контролю политик, процессов, процедур и связанной документации, относящихся к SAM, позволяющий в любое время определять полный доступный набор, текущую рабочую версию любого документа и документы, которые должны применяться к различным типам программного обеспечения и связанных активов (см. 4.2.4.2а));

b) документация по политикам, процессам и процедурам, оговариваемая данным стандартом, классифицируется в организации по процессам, определенным в данном стандарте, или по ссылкам на такие классификации (4.2.4.2b));

c) в организации имеются письменные подтверждения выполнения указанных выше процедур проверки, и выполнения последующих корректирующих мер вплоть до успешного устранения причин всех выявленных исключительных ситуаций (см. 4.5.5.2b)).

Настоятельно рекомендуется, чтобы организации, реализующие этот стандарт, также реализовали процессы управления документами и записями в соответствии с требованиями таких стандартов систем управления, как ИСО 9001:2000 и ИСО/МЭК 20000-1:2005, что позволит реализовать требуемую общую функциональность.