5.1.1 Цель
5.1.1.1 Гарантировать, что весь персонал, у кого есть обязанности в области программного обеспечения, был организован, имел полномочия и был способен к выполнению своих обязанностей.
Примечание - Независимость между ролями может потребоваться для снижения возможности людей в различных ролях, страдающих от тех же самых неправильных представлений или делающих те же самые ошибки. Эта форма независимости может быть достигнута, используя различных людей в различных ролях, но обычно не требует, чтобы роли были расположены в различных частях организации или в различных компаниях (если специально не требуется). Также важно, что люди в ролях, которые включают формирование суждения о приемлемости изделия или процесса с точки зрения безопасности, не должны быть под влиянием их коллег или непосредственных руководителей, или коммерческой выгоды. Эта форма независимости, более вероятно, потребует, чтобы различные роли были расположены в различных частях организации или были расположены в другой компании. В целом большая степень безопасности требует большей степени независимости для различных ролей и организации.
5.1.2 Требования
5.1.2.1 Как минимум, поставщик должен реализовать разделы ИСО 9001:2008, посвященные организации и управлению персоналом и обязанностям.
5.1.2.2 Обязанности должны быть совместимы с требованиями, определенными в приложении В.
5.1.2.3 Персонал, назначенный на роли, включенные в разработку или поддержку программного обеспечения, должен быть определен и зарегистрирован.
5.1.2.4 Оценщик должен быть назначен поставщиком, клиентом или полномочным органом по безопасности.
5.1.2.5 Оценщик должен быть независим от поставщика. Однако на усмотрение полномочного органа по безопасности оценщик может быть из организации поставщика или организации заказчика, но не должен участвовать в разработке проекта.
5.1.2.6 Оценщик должен быть независим от проекта.
5.1.2.7 Оценщику необходимо обладать полномочиями для выполнения оценки программного обеспечения.
5.1.2.8 Менеджер по проверке должен дать/не дать разрешение на выпуск программного обеспечения.
5.1.2.9 На всем жизненном цикле программного обеспечения назначение ролей персоналу должно быть выполнено в соответствии с 5.1.2.10-5.1.2.14 в объеме требований УПБ программного обеспечения.
5.1.2.10 Предпочтительная организационная структура для УПБ 3 и УПБ 4:
a) Менеджер требований, проектировщик и разработчик компонента программного обеспечения могут быть одним и тем же человеком.
b) Менеджер требований, проектировщик и разработчик компонента программного обеспечения должны предоставлять отчет менеджеру проектов.
c) Интегратор и тестировщик компонента программного обеспечения могут быть одним и тем же человеком.
d) Интегратор и тестировщик компонента программного обеспечения могут предоставлять отчет менеджеру проектов или менеджеру по подтверждению соответствия.
e) Менеджер по проверке или менеджер контроля качества могут предоставлять отчет менеджеру проектов или менеджеру по подтверждению соответствия.
f) Менеджер по подтверждению соответствия не должен предоставлять отчет менеджеру проектов, т.е. менеджер проектов не должен иметь никакого влияния на решения менеджера по подтверждению соответствия, но менеджер по проверке сообщает менеджеру проектов о своих решениях.
g) Лицо, являющееся менеджером требований, проектировщиком или разработчиком компонента программного обеспечения, не должно быть ни тестировщиком, ни интегратором для того же самого компонента программного обеспечения.
h) Лицо, являющееся интегратором или тестировщиком компонента программного обеспечения, не должно быть ни менеджером требований, ни проектировщиком, ни разработчиком для того же самого компонента программного обеспечения.
i) Лицо, являющееся менеджером по проверке или менеджером контроля качества, не должно быть ни менеджером требований, ни проектировщиком, ни разработчиком, ни интегратором, ни тестировщиком, ни менеджером по подтверждению соответствия.
j) Лицо, являющееся менеджером по подтверждению соответствия, не должно быть ни менеджером требований, ни менеджером контроля качества, ни проектировщиком, ни разработчиком, ни интегратором, ни тестировщиком, ни менеджером по проверке.
Рисунок 2 - Иллюстрация предпочтительной организационной структуры
Примечание - Рисунок 2 только иллюстрирует предпочтительную организационную структуру.