Nella tecnologia dell'informazione e della comunicazione, la valutazione è usata per valutare prodotti, sistemi, procedure o processi. Gli standard comuni sono utilizzati a questo scopo. Gli obiettivi principali sono la comparabilità e la vincolatività.
Quando le aziende pianificano un investimento ICT, di solito guardano le tecnologie disponibili sul mercato e le valutano. Se questa valutazione risponde a certi criteri formali, si chiama valutazione. Deve soddisfare i due requisiti essenziali di essere riproducibile e trasparente. Gli altri valutatori devono essere in grado di seguire il processo e devono arrivare a risultati identici quando rivalutano. Se, invece, non arrivano agli stessi risultati, le ragioni della deviazione devono essere evidenti.
Per soddisfare il più facilmente possibile i requisiti di riproducibilità e trasparenza, una valutazione avviene spesso secondo standard vincolanti come gli Information Technology Security Evaluation Criteria (ITSEC) o i Common Criterias (CC). L'obiettivo della valutazione è o la comparabilità, per esempio quella di un prodotto con un altro, o la comunicazione della vincolatività.
Obiettivo comparabilità
Se una valutazione mira principalmente alla comparabilità, è principalmente per uso interno. Un prodotto, sistema o processo soddisfa i requisiti dell'azienda e risponde alle aspettative dei responsabili dell'ICT o degli utenti? Un tale processo di valutazione ha luogo, per esempio, ogni volta che si deve acquistare un nuovo hardware o software.
Tra le domande a cui si deve rispondere in una tale valutazione ci sono la misura in cui la nuova tecnologia è superiore a quella precedentemente utilizzata e quale rapporto prezzo-prestazioni offre rispetto ad altre offerte disponibili sul mercato. La valutazione viene effettuata da un esperto all'interno dell'azienda o da un fornitore di servizi esterno.
Obiettivo dell'impegno
Se la valutazione ha come scopo principale quello di creare impegno, l'obiettivo è quello di costruire fiducia internamente o esternamente. Questo criterio è particolarmente importante nel campo della sicurezza ICT. Di regola, quindi, alla valutazione sono legati organismi esterni affidabili che lavorano secondo regole di controllo generalmente riconosciute. Per esempio, i test di penetrazione delle pagine web sono eseguiti secondo gli standard stabiliti dall'Ufficio Federale per la Sicurezza Informatica (BSI).