29 Haziran 2022 de yayınlanan 31881 sayılı “Kamu Bilişim Hizmet Alimi Kapsamında Katılımcıların Yetkilendirilmesi Hakkinda Yönetmelik” mevzuatı ile kamu kurumlarına hizmet veren tüm tedarikçi firmaları için ISO 15504 SPICE sertifikasyonu zorunlu hale gelmiştir. Bu yazı dizisinde hem   ISO 15504 SPICE süreci hakkında bilinmesi gereken noktalar anlatılacak hem de ilerleyen bölümlerde standardın kurum bünyesinde uygulanması hakkında bilgi verilecektir.

15504 SPICE nedir?

SPICE kelimesinin açılımı; Software Process Improvement and Capability dEtermination (Yazılım Süreci  İyileştirme ve Yetenek Belirleme) şeklindedir. 

ISO 15504 SPICE; yazılım geliştirme süreçlerinin kalitesinin iyileştirilmesi amacıyla oluşturulmuş uluslararası bir kalite yönetim sistemidir. 

SPICE uygulaması kimler içindir?

SPICE standardı ve sertifikasyonu yazılım ve sistem geliştiren firmalar/kurumlar için uygulanabilir sertifikadır.

SPICE sertifikası yazılımıma mı firmaya alınır?

SPICE ile ilgili yanlış algılanan konulardan biri sertifikanın belli bir yazılım ürününe alınması düşüncesidir. Örneğin Sağlık Bakanlığı’nın yayınladığı bir genelgeye bağlı olarak sertifika alan bir firma sertifikasının sadece sağlık kuruluşuna verdiği yazılım için geçerli olduğunu düşünmektedir.

Bu düşünce doğru değildir. SPICE sertifikası firma için geçerli bir sertifika olup firmanın ürettiği tüm ürünler için kullanılabilir.

Firmanın SPICE sertifikası almak için minimum bir kişi sayısı yada ofis zorunluluğu var mıdır?

SPICE süreçlerinde dikkat çeken en önemli konu; geliştirilen yazılımın, hazırlanan dokümanların veya süreçlerin diğer bir kişi tarafından gözden geçirilmesi zorunluluğudur. Bu bağlamda SPICE sertifikasyonu için firmada en 2 personelin var olması gereklidir.

Bununla beraber yalnızca 2 yada 3 personel üzerinden gidildiğinde, bir personele birden fazla şapka (rol) verilmesi gerektiğinden süreçler daha karmaşık olacaktır. Bu nedenle 4-5 personel veya daha üzeri personel olduğunda süreçler çok daha basit ve sağlıklı tanımlanıp işletilebilecektir.

SPICE vs CMMI ilişkisi nasıldır?

SPICE ve CMMI benzer araçlara hizmet etmek için oluşturulmuş standartlardır. 

Bu farklılıklar aşağıda basitçe özetlenmeye çalışılmıştır:

  • CMMI ABD kökenli bir standarttır. Daha çok ABD veya NATO ile ilintili çalışan tarafından tercih edilir. SPICE daha evrensel olup ticari sektörle çalışan kurumlarca tercih edilir.
  • İki farklı standart olmaları nedeniyle temel mantık aynı olsa da, süreçler ve içeriklerinden farklılıklar bulunmaktadır.
  • SPICE olgunluk seviyeleri “Seviye 0” dan başlar. CMMI seviyeleri “Seviye 1” noktasından başlar. Örnek vermek gerekirse kabaca SPICE Seviye 2, CMMI Seviye 3’e tekabül eder.
  • SPICE denetimi ve sertifikasyonu ile ilgili Türkiye’de yetkili kurumlar mevcuttur. CMMI için yurtdışından hizmet almak gereklidir. Dolayısıyla CMMI için toplam maliyet SPICE’ dan çok daha yüksek çıkmaktadır.
  • SPICE sertifikasyonu Türkiye’de çok daha fazla bilindiği için kamu kurumlarının düzenlemelerinde veya farklı kapsamlardaki şartnamelerde daha fazla istenmektedir.

SPICE’in Türkiye’de zorunluluk durumu nedir?

ISO 15504 sertifikasyonu özellikle 2015 yılından sonra Türkiye’de farklı kapsamlar gereksinim olarak istenmeye başlanmıştır. Örneğin Sağlık Bakanlığı, sağlık sektörüne hizmet veren yazılım firmalarına uzun süredir bu sertifikasyonu şart koşmak da, bu şartı sağlayamayan firmaları KTS (Kayıt Tescil Sistemi) sistemine almamak gibi bir dizi yaptırım uygulanmaktadır

Buna ek olarak çok sayıda kurum çıktıkları teknik şartnamelerde bu sertifikasyonu yazılım geliştiren tedarikçileri için bir gereksinim olarak eklemeye başlamıştır.

SPICE zorunluluğu ile ilgili en kritik gelişmelerden biri ise 2022 Haziran ayında yayınlanan yönetmeliktir. Bu yönetmeliğe göre kamu tarafına hizmet veren tüm firmalar için ISO 15504 SPICE sertifikasyonu zorunluluğu getirilmiştir. Yönetmeliğe aşağıdaki bağlantıdan erişilebilir.

https://www.resmigazete.gov.tr/eskiler/2022/06/20220629-2.html

SPICE sertifikası kimler tarafından verilir? Tanınırlığı nasıl olur?

SPICE denetimi ve belgelendirmesi aslında INTACS tarafından yetki almış bağımsız denetmenlerce yapılabilir. Bu şekilde yapılmış bir belgelendirme dünyanın her yerinde teorik olarak tanınabilir.

Ancak Türkiye’de geçerli olacak sertifikasyonları verecek kurumların TURKAK tarafından akredite olması gerekmektedir. Bu kapsamda Türkiye’de tanınacak sertifikasyonları TURKAK tarafından akredite olmuş 2 özel denetim firması ve bir adet Kamu kuruluşu vermektedir

SPICE denetimine nasıl hazırlanılır? Sertifikasyon süreci nasıl işler?

Sertifikasyona girecek firmaların öncelikle ISO 15504 standardına göre yazılım/sistem geliştirme süreçlerini hazırlayıp dokümante etmeleri ve devamında bu süreçleri en azından 1  yada 2 pilot projede uygulamaları beklenir. 

Akabinde denetçi kuruluş denetime çağrılır. Denetimlerin; denetçi tarafının takdirine göre 2-4 gün civarı sürmesi beklenir.

SPICE süreci için danışman şart mıdır?

Bir önceki maddede belirtildiği üzere; 15504 SPICE sertifikasyonu için kurumun öncelikle süreçlerini hazırlaması gerekir. Bu süreçler temelde standartta tanımlanmış “Base Practice” maddelerinin karşılığıdır. Süreçlerde kurum personeli olan kalite ve yazılım uzmanlarınca hazırlanabilir. 

Ancak bu maddelerin yorumlanması, pratik olarak projelere uyarlanması kısmı da ayrı bir uzmanlık gerektirir. Bu bağlamda firmaların kendi personellerine sıfırdan SPICE pratiklerini uygulayabilir hale getirmesi danışman kullanımından daha maliyetli bir yol olabilir.

Ara bir çözüm olarak firma personelinin SPICE konusunda kapsamlı bir eğitim alarak sertifikasyon sürecini götürmeleri de ara bir çözüm olabilir.

SPICE sertifikasyonu ne kadar süre geçerlidir?

Sertifika 3 yıl geçerlidir. Ancak 18 ay sonunda süreçlerden örneklemelerin yapıldığı bir ara denetim uygulanır.