Menu

We provide Audit, Certification and Training services to clients worldwide

website-contact@cfecert.co.uk

ISO/IEC 15504, gayri resmi olarak “Software Process Improvement and Capability Determination” (SPICE) adıyla da bilinir. Yazılım Süreçleri Değerlendirilmesi ve Organizasyonel Olgunluk sertifikası olarakta bilinmektedir. Bir süredir yenileme çalışmaları sürdürmektedir ve yakın zamanda yerini ISO/IEC 330xx serisi olarak değişmesi beklenmektedir.

ISO/IEC 15504, ilgili değerlendirmeler yoluyla iş süreçlerinin değerlendirilmesine yönelik uluslararası bir standarttır. 1993 yılında başlayan ve birkaç aşamada geliştirilen bu standart, 2006 yılında ISO/IEC 15504 adı altında standart statüsü almıştır.

SPICE, bir yandan kendi organizasyon içindeki süreçlerin iyileştirilmesini, diğer yandan ise süreç yetkinliğinin belirlenmesini ele alır. Bu nedenle standart, süreç tanımı için süreç referans modelleri (PRM) ile süreç değerlendirme modelleri (PAM) ve bunların değerlendirilmesi için kriterler ve yöntemler içerir.

ISO/IEC 15504 standardı şirketiniz için neden yararlıdır?

ISO/IEC 15504 standardına göre yapılan bir değerlendirme ile, geliştirme süreçlerinizdeki güçlü ve zayıf yönleri görünür hale getirebilirsiniz. Süreçlerinizin sürekli optimizasyonuna ek olarak, sertifika size dış dünyaya da görünür bir işaret sağlar. Örneğin, tedarikçi değerlendirmelerinde, süreç olgunluk seviyesi müşteriler tarafından tanınabilir.

Süreç değerlendirme ve iyileştirme metodolojisini daha modüler, genişletilebilir ve sektörel uyarlamalara açık hale getirmeyi amaçlamaktadır. ISO/IEC 330xx ailesi, “genel çerçeve”yi verip sektörlere özel Process Assessment Model (PAM)’lerin geliştirilmesine imkan sağlamaktadır.

ISO/IEC 330xx Serisinin Temel Yapısı

ISO/IEC 330xx serisi farklı standart gruplarından oluşur:

  1. Çerçeve ve Tanımlar (Framework Standards)
    • ISO/IEC 33001: Süreç değerlendirme kavramsal modeli
    • ISO/IEC 33002: Süreç değerlendirme yürütme gereksinimleri
    • ISO/IEC 33003: Süreç referans modelleri (PRM) için gereksinimler
    • ISO/IEC 33004: Değerlendirme modelleri geliştirme kuralları
  2. Değerlendirme Yöntemleri ve Modeller (Assessment Standards)
    • ISO/IEC 33020: Yetenek seviyesi ölçütleri (0–5)
    • ISO/IEC 33030: Değerlendirme yöntemi
    • ISO/IEC 33063: Yazılım yaşam döngüsü için PAM
  3. Sektörel Uyarlamalar (Domain-Specific Standards)
    • ISO/IEC 33072: Hizmet yönetimi süreç değerlendirmesi
    • ISO/IEC 33073: Siber güvenlik süreçleri için değerlendirme modeli

ISO/IEC 330xx serisi, SPICE’in yeni nesil versiyonu olup esnek, modüler ve sektöre uyarlanabilir bir yapı sağlar. Ayrıca, sektörler kendi SPICE uyarlamalarını geliştirir: Automotive SPICE, Medical SPICE, Telecom SPICE, Aviation SPICE, Cybersecurity SPICE vb.

Türkiye’de ISO 15504’in yaygın kullanımı

ISO 15504’ün (şimdi ISO/IEC 330xx serisi olarak güncellenmiş) Türkiye’de yaygın kullanımı özellikle yazılım, savunma, havacılık, otomotiv ve tıp sektörleri başta olmak üzere 2015 yılından sonra yazılım süreçlerini değerlendiren çeşitli sektörlerde görülmektedir. Bu standart, şirketlerin yazılım geliştirme, işletim, bakım ve destek gibi süreçlerinin olgunluğunu ölçerek, yazılım kalitesini artırmayı hedefler ve bu yolla uluslararası pazarda rekabet avantajı sağlamalarına yardımcı olur. 

  • Yazılım Sektörü: ISO 15504’ün en yaygın olarak kullanıldığı alandır. Yazılım geliştirme ve bakım süreçlerinin iyileştirilmesi için kullanılır.
  • Savunma ve Havacılık: Bu sektörlerdeki süreçlerin yüksek düzeyde güvenilirlik ve kalite gerektirmesi nedeniyle ISO 15504 standartlarına büyük önem verilir.
  • Otomotiv Sektörü: Otomotiv endüstrisinde de yazılım süreçlerinin değerlendirilmesi ve geliştirilmesi için kullanılır.
  • Tıp Sektörü: Medikal cihazlar ve yazılımlar için süreç kalitesinin kritik öneme sahip olması nedeniyle bu standart yaygın olarak benimsenmiştir.
  • Servis Sektörü: Çeşitli hizmet sağlayıcıları da süreçlerini iyileştirmek ve daha kaliteli hizmet sunmak amacıyla ISO 15504’ten faydalanır.

SPICE ve CMMI Arasındaki İlişki

29 Haziran 2022 de yayınlanan 31881 sayılı “Kamu Bilişim Hizmet Alimi Kapsamında Katılımcıların Yetkilendirilmesi Hakkında Yönetmelik” mevzuatı ile kamu kurumlarına hizmet veren tüm tedarikçi firmaları için ISO 15504 SPICE sertifikasyonu zorunlu hale gelmiştir.

Yönetmelik kamu yazılım projelerinin başarılı yürümesi ve güvenlik açıklarının önceden tespit ve kontrolü için hazırlanmıştır. ISO 15504 Spice Yazılım Süreç Geliştirme ve Olgunluk Seviyesi Belirleme Belgesi (CMMI Belgesi) yazılım kalite modellerinin uygulanması veya CMMI 2 veya 3’ ncü seviye olmaları şartının aranması öngörülmektedir.

CMMI, geliştirilen ürün veya hizmetin türüne göre farklı alanlarda uzmanlaşmak için üç ana modeli sunar:

  • CMMI for Development (CMMI-DEV):CMMI DEV Sertifikası, yazılım geliştirme süreçlerini ve genel organizasyon süreçlerini iyileştiren önemli bir sertifikadır. Bu sertifikayı almak, organizasyonlara yüksek kalite, etkin süreç yönetimi ve rekabet avantajı sağlar.
  • CMMI for Services (CMMI-SVC): Diğer şirketlere hizmet sağlayan kuruluşlar için.
  • CMMI for Acquisition (CMMI-ACQ): Geliştirme hizmetleri için taşeronluk yapan kuruluşlar için.

SPICE (ISO/IEC 15504, şu anda ISO/IEC 330xx) ve CMMI (Yetenek Olgunluk Modeli Entegrasyonu), her ikisi de organizasyonel süreç olgunluğunu değerlendirmek ve iyileştirmek için kullanılan çerçeveler oldukları için sıklıkla karşılaştırılır.

  • SPICE (ISO/IEC 15504 / ISO 330xx)
    • ISO/IEC tarafından geliştirilmiş ve uluslararası olarak kullanılmaktadır.
    • Standartlaştırılmış süreç değerlendirme çerçevesi olarak tasarlanmıştır.
    • Süreç yeteneği (her sürecin amacına ne kadar iyi ulaştığı) ve kurumsal olgunluk üzerine odaklanır.
    • Farklı endüstrilere uyarlanabilen genel bir değerlendirme modeli sunar (ör. Otomotiv SPICE, Tıbbi SPICE).
  • CMMI
    • SEI (Yazılım Mühendisliği Enstitüsü, Carnegie Mellon Üniversitesi) tarafından geliştirilmiş, başlangıçta ABD Savunma Bakanlığı tarafından desteklenmiştir.
    • Özellikle Kuzey Amerika ve savunma ile ilgili endüstrilerde yaygın olarak benimsenmiştir.
    • Yazılım, sistem ve hizmet geliştirme için en iyi uygulamaların kuralcı bir modelini sunar.
    • Sürekli süreç iyileştirme ve organizasyonel yetkinliği vurgular.

Sektörel ve Bölgesel Kullanımı

  • SPICE: Avrupa, Asya ve sektöre özgü alanlarda (otomotiv, tıp, telekom, havacılık) yaygın olarak benimsenmiştir.
  • CMMI: ABD savunma, hükümet ve büyük BT danışmanlık şirketlerinde yaygın olarak benimsenmiştir.

Her ikisi de kavramsal olarak uyumludur. Aslında, CMMI ve SPICE seviyeleri arasında eşlemeler mevcuttur. Kuruluşlar, CMMI’yi neyi uygulamak gerektiğine dair bir kılavuz ve SPICE’yi değerlendirme standardı olarak kullanabilir. Otomotiv OEM’leri (VW, BMW, Daimler gibi) tedarikçilerden Otomotiv SPICE sertifikasını zorunlu kılarken, ABD Savunma Bakanlığı yüklenicileri genellikle CMMI seviye 3+ sertifikasını talep eder.

‘’SPICE sertifikası’’ genellikle kafa karışıklığı yaratır, çünkü SPICE (ISO/IEC 15504, şu anda ISO/IEC 330xx) bir değerlendirme çerçevesi olup, bir sertifika programı değildir. Ayrıntılı olarak açıklayayım:

SPICE Sertifikalarını Kim Verir?

  • ISO/IEC standartları (SPICE gibi) referans çerçeveleridir.
  • SPICE değerlendirmeleri (ör. Otomotiv SPICE, Tıbbi SPICE, Telekom SPICE) tanınmış programlar aracılığıyla yetkilendirilmiş nitelikli değerlendirme kuruluşları veya sertifikalı değerlendiriciler tarafından gerçekleştirilir.
  • Otomotiv SPICE (en yaygın kullanılan SPICE çeşidi) için:
    • Değerlendirmeler, intacs™ (Uluslararası Değerlendirici Sertifikasyon Programı) çerçevesi altında tanınan sertifikalı baş değerlendiriciler tarafından gerçekleştirilir.
    • Değerlendirme kuruluşları (danışmanlık şirketleri, kalite yönetim şirketleri veya bağımsız akredite kuruluşlar) denetimi gerçekleştirir ve bir rapor düzenler.
    • Bazı şirketler ASPICE seviyelerine “uygunluk sertifikası” verebilir, ancak geçerlilik doğrudan ISO’dan değil, değerlendiricinin niteliklerinden kaynaklanır.

SPICE sertifikasının tanınması şunlara bağlıdır:

  • Sektör Zorunlulukları: Otomotiv sektöründe ASPICE, büyük OEM’ler (ör. VW, BMW, Mercedes-Benz, Stellantis, Renault, Toyota) tedarikçilerden ASPICE yetkinlik seviyesini (genellikle Seviye 2 veya Seviye 3) göstermelerini talep ettikleri için küresel olarak tanınmaktadır. Bu tanınma, ISO tarafından verilen bir akreditasyon değil, sözleşmeye dayalı ve sektör odaklı bir tanınmadır.
  • Değerlendirici Yeterlilik Programları: intacs™, SPICE değerlendiricilerini (Geçici Değerlendirici, Yetkili Değerlendirici, Baş Değerlendirici) eğiten ve sertifikalandıran, dünya çapında tanınan bir kurumdur. Yalnızca bu tür sertifikalı değerlendiriciler tarafından yapılan değerlendirmeler, OEM’ler ve birinci kademe tedarikçiler tarafından yaygın olarak kabul edilmektedir.
  • Değerlendirme Raporları ve Sertifikalar: SPICE değerlendirmesinin resmi çıktısı, Değerlendirme Raporu‘dur (kanıta dayalı). Ancak, birçok danışmanlık/değerlendirme şirketi, iş ortaklarının tanınmasını kolaylaştırmak için, elde edilen ASPICE olgunluk seviyesinin bir “sertifikasını” da vermektedir. Bu sertifikanın tanınması, endüstrinin kabulünden kaynaklanmaktadır — OEM’ler ve tedarikçiler, sertifikalı değerlendiricilere ve intacs™ yönetişimine güvenmektedir.

SPICE sertifikaları ISO tarafından verilmez; sertifikalı değerlendiriciler (intacs™ programı) aracılığıyla nitelikli değerlendirme kuruluşları tarafından verilir.

Eğitim ve denetim hizmetleri hakkında bilgi için bize info@cfecert.co.uk adresinden ulaşabilirsiniz.

Posted in Bilgi GüvenliğiTagged , ,
Dünya çapındaki müşterilerimize Denetim, Belgelendirme ve Eğitim hizmetleri sunuyoruz
Keşfedin
İLETİŞİM
© copyright CFECERT (2025)