Plan, Assess, Certify
La pianificazione, attuazione e la valutazione si svolgono con le seguenti fasi attuative. Esse precedono l'eventuale certificazione di prodotto e possono essere sintetizzate in: progettazione (con la qualità dei modelli già considerati come requisiti), test (per la verifica dei requisiti), misurazione (attingendo da oltre 200 misure proposte per determinare i livelli di qualità raggiunti), auto-valutazione o valutazione da parte di proprie attività o da parte di enti terzi.
Per procedere verso la certificazione si inizia in genere con esperienze preliminari di sperimentazione alle quali seguono varie attività sempre più sofisticate.
I termini certificazione, conformità, conformance, attestato, statement, dichiarazione, marcature sono utilizzati con forti affinità, a volte con diversità di significato, indicando specifiche attività inerenti gli standard di riferimento o i risultati raggiunti sul prodotto. Il più delle volte i termini si usano in combinazione tra loro.
La certificazione ISO/IEC 25000 implica in ogni caso, come altre certificazioni, l'intervento di un Ente terzo accreditato, che può basarsi su rapporti di valutazione di esperti o idealmente di un laboratorio di misura anch'esso accreditato.
Le attività possono alternarsi e in parte sovrapporsi: l'autovalutazione di prima parte è effettuata autonomamente dal produttore stesso, la valutazione di seconda parte dal produttore e/o dal committente, quella di III parte da un Ente esterno accreditato.
Si forniscono elementi di maggior dettaglio del concetto di certificazione di prodotto e conformità.
1) La certificazione di prodotto emessa da un Ente terzo accreditato (come AENOR), basata su un laboratorio di valutazione accreditato (come AQCLab), è relativa a valutazioni basate sui seguenti standard:
- ISO/IEC 25010 relativo al software per le caratteristiche di qualità idoneità funzionale e manutenibilità;
- ISO/IEC 25012 relativo ai dati per le caratteristiche di qualità inerenti come accuratezza, attualità, coerenza, completezza, credibilità.
Entrambe queste certificazioni di qualità presuppongono il raggiungimento di elevati livelli sia dei processi che di qualità del prodotto software o dati, verificando i requisiti del software e/o le regole di business dei dati con test appositi. L'intervento di un laboratorio di misura accreditato, attrezzato di strumentazioni, si sta rilevando particolarmente adatto per casi critici e di grandi dimensioni (ad esempio per oltre centinaia-migliaia di requisiti/regole di business ed oltre migliaia-milioni di record).
In Italia la prima certificazione ISO/IEC 25010 per la caratteristica di manutenibilità del prodotto software MSH-Mobile è stata rilasciata nel 2014 da AENOR allo spin-off Ser&Practice dell'Università di Bari, sulla base della valutazione effettuata da AQCLab.
La prima certificazione ISO/IEC 25010 per la caratteristica di idoneità funzionale del prodotto eGLU-box rilasciata nel 2019 da AENOR per la piattaforma web dedicata alla valutazione dell'usabilità, sviluppata dal laboratorio QoS delI'ISCOM operante in ambito MISE.
La prima certificazione ISO/IEC 25012 per la qualità dei dati del Registro delle Imprese è stata rilasciata nel 2019 da AENOR ad Infocamere per le caratteristiche inerenti di qualità riguardanti la banca dati di grandi dimensioni di interesse nazionale.
In Europa dal 2013 ad oggi sono stati rilasciati da AENOR/AQCLab oltre 20 prodotti certificati. Dal 2020 la sede spagnola AENOR condivide con AENOR Italia alcune competenze acquisite sull'ISO/IEC 25000.
2) La certificazione di conformità agli standard della serie ISO/IEC 25000 implica anch'essa l'intervento di un Ente terzo accreditato, come DNV. Il Conformity Statement di DNV si basa su rapporti di valutazione di evidenza documentale, di prove effettuate sul sistema in esame da parte di esperti qualificati e misurazioni. Nei casi di elevata complessità si opera in modo supplementare con il laboratorio di misura.
La certificazione di conformità è emessa da DNV considerando tutte o in parte le caratteristiche di qualità, secondo schemi appositi dipendenti dalle caratteristiche specifiche prese in considerazione e previste dagli standard di qualità della serie ISO/IEC 25000 relativamente a:
- ISO/IEC 25010 sul prodotto software e la qualità in uso (8 caratteristiche di qualità del prodotto e 5 caratteristiche di qualità in uso);
- ISO/IEC TS 25011sui servizi IT (8 caratteristiche);
- ISO/IEC 25012 sui dati (15 caratteristiche).
3) Le certificazioni di prodotto o di conformità ISO/IEC 25000 non entrano in conflitto con l'ambito dei prodotti dispositivi medici (Medical Device), per i quali è obbligatoria la marcatura CE seguendo le linee guida MED DEV in un contesto di processo regolamentato dall'ISO 13485:2016. Parimenti le certificazioni non sono in conflitto con l'ambito dei prodotti di automazione industriale, anch'essi regolamentati ad esempio dall'ISO/IEC 15408, per la certificazione della sicurezza di IT products, nell'ambito del framework Common Criteria. In questi casi comunque la certificazione o la conformità ISO/IEC 25000 può risultare di supporto introduttivo per l'attestazione di qualità e il miglioramento qualitativo a favore della cybersecurity e per ottemperare a obblighi di legge per alcune caratteristiche (ad esempio l'accessibilità e il GDPR).
In ogni caso la messa in atto dei modelli ISO/IEC 25000, in tutti i diversi settori produttivi pubblici o privati, esige di aver ben presenti i seguenti fattori del contesto, processo, fasi, attività e prodotti. In genere l'iter che accompagna le imprese nella ricerca e certificazione della qualità presente le seguenti fasi.
Ogni prodotto digitale, che costituisce l'outcome per eccellenza delle attività informatiche, deve essere al centro dell'attenzione e ben definito nelle varie fasi produttive, fin dall'inizio del ciclo di vita del sistema.
Al di là del raggiungimento dei certificati riconosciuti, l'impatto dei modelli di qualità ISO/IEC 25000 rappresenta sempre un elemento positivo nel perseguimento graduale della qualità dei prodotti, a vantaggio sia del produttore che dell'utente finale. La qualità è alla base dello sviluppo industriale e amministrativo di un Paese, o di tutti i Paesi simultaneamente, per il raggiungimento di un maggiore benessere delle popolazioni ed in particolare di obiettivi comuni mondiali. Le norme dell'ISO, e in Italia dell'UNI, sostengono la qualità che si prefiggono di traguardare "un mondo fatto bene".
In questi ultimi anni sono state effettuate, con frequenza crescente, numerose possibilità di applicazione che direttamente o indirettamente si sono basate sui modelli di qualità ISO/IEC 25000. Sono anche in corso applicazioni pervasive dell'ISO/IEC 25000 nelle nuove tecnologie per le quali le certificazioni di prodotto e conformità sono in divenire, ma non immediate: Cloud (memorizzazione a distanza), Big data (statistica), Blockchain (workflow sicuri e blindati), IoT - Internet of Things (sensori), Intelligenza Artificiale (apprendimento di dati e esperienze, algoritmi, probabilità, etica, decisioni).
Per i termini di Privacy e Cookies si rinvia alla informativa generale di Shinystat