А.5 Посещение объектов

В настоящем разделе представлено общее руководство по посещению объектов. Конкретная и подробная информация дана в шагах оценивания тех подвидов деятельности, где предусмотрены такие посещения:

a) «Автоматизация УК» (ACM_AUT);

b) «Возможности УК» (АСМ_САР).n (при n>2);

c) «Поставка» (ADO_DEL);

d) «Безопасность разработки» (ALC_DVS).

Посещение объектов разработки — полезный способ определения оценщиком, выполняются ли процедуры способом, не противоречащим описанию в документации.

Объекты посещают для того, чтобы ознакомиться:

a) с использованием системы УК, как описано в плане УК;

b) с практическим применением процедур поставки;

c) с применением мер безопасности во время разработки.

Во время оценки часто необходимы несколько встреч оценщика с разработчиком, и один из обычных вопросов рационального планирования — совмещение посещений объектов для уменьшения затрат. Например, можно совмещать посещение объектов для проверки управления конфигурацией, безопасности, обеспечиваемой разработчиком, и выполнения поставок. Могут также оказаться необходимыми несколько посещении одного и того же объекта для проверки всех стадий разработки. Следует учесть, что разработка может происходить в нескольких помещениях одного и того же здания, в нескольких зданиях, расположенных на одной территории, или же в нескольких местах.

Первое посещение объекта следует запланировать на ранних стадиях оценки. Для оценки, которая начинается на стадии разработки ОО, это позволит внести, при необходимости, коррективы. Для оценки, проводимой после завершения разработки ОО, раннее посещение позволит предпринять меры по исправлению, если в применяемых процедурах будут выявлены серьезные неточности, и избежать лишних усилий при оценке.

Интервью также является полезным способом определения, отражают ли задокументированные процедуры то, что делается в действительности. При проведении подобных интервью оценщику следует стремиться к получению более глубокого понимания анализируемых процедур на месте разработки, их практического использования и применения в соответствии с представленными свидетельствами оценки. Такие интервью дополняют, но не заменяют исследование свидетельств оценки.

При подготовке к посещению объекта оценщику следует составить перечень проверок, основанный на представленных свидетельствах оценки. Результаты посещения объекта следует задокументировать.

Посещения объекта необязательны, если, например, место разработки недавно посещалось для другой оценки ОО или ранее было подтверждено следование определенным процедурам согласно ИСО 9000. Тогда следует рассмотреть иные подходы для получения уверенности, предоставляющие эквивалентный уровень доверия (например, проанализировать свидетельства оценки). Любое решение отменить посещение следует принимать после консультации с органом оценки.

Далее >>>