SSE-CMM
SSE-CMM的内涵
SSE-CMM为Systems security engineering Capability maturity model的缩写。中文名称为系统安全工程能力成熟模型。SSE-CMM是一个过程参考模型。SSE-CMM的目的不是规定组织使用的具体过程,更不必说具体的方法。而是希望准备使用SSE-CMM的组织利用其现有的过程——那些以其他任何信息技术安全指导文件为基础的过程。本标准的范围包括:涉及整个生存周期的安全产品或可信系统的系统安全工程活动:概念定义、需求分析、设计、开发、集成、安装、运行、维护以及最终退役;对产品开发商、安全系统开发和集成商,以及提供计算机安全服务和计算机安全工程组织的要求;适用于从商业界到政府部门和学术界的各种类型和规模的安全工程组织。
SSE-CMM(系统安全工程能力成熟模型)简介
过去人们在开发安全系统过程中往往只重视产品或系统本身
的标准化问题,但却忽视了开发过程本身的标准化问题。如何提高开发过程的能力,如何使过程本身标准化、规范化,越来越引起人们的重视。为了改变这种状况,一个不同于以往的概念逐渐被接受,即一个系统或产品的性能取决于其过程能力[1]。系统安全工程能力成熟模型(SSE-CMM)的构想是在1993 年4月由美国国家安全局(NSA)提出来的。在美国国家安全局、美国国防部、加拿大通信安全局的号召和推动下,汇聚了超过60 个厂家,集中了大量的人力、物力和财
力对该构想进行了开发实施,并于1996 年10 月出版了SSE-CMM模型的第一个版本,1997 年4 月出版了评定方法SSAM 的第一个版本;1999 年4 月发布了SSECMM和SSAM 的2.0 版本[2]。SSE-CMM模型通过“过程能力”这一指标来对工程队伍的能力进行评估。“过程能力”是通过执行这一过程,所得到的结果之质量的变化范围。其变化的范围越小,执行该过程的队伍越“成熟”。于是产品质量的一致性较高,而以高“成熟能力”执行“完善的”过程的工程队伍将有极大可能持续生产高质量的产品,从而大大降低工程的风险。
SSE-CMM(系统安全工程能力成熟模型)理论基础
SSE-CMM的基本思想是:通过对安全工程过程进行管理的途径,将系统安全工程转变为一个完好定义的、成熟的、可测量的过程[3]。安全工程过程研究将系统安全工程过程分为三类:风险过程、工程过程和信任度过程。风险过程研究,即对要实施安全工程的系统进行风险分析,分析各种可能对系统构成威胁的影响因素、系统本身的脆弱性以及如果威胁因素起作用可能对系统造成的影响。成为风险(Risk)的事件有三个组成部分:威胁(Threat)、系统脆弱(VuInerabiIities)和事件造成的影响(InfIuence)。一般而言,这三种因素必须全都存在才足以构成风险(使风险值大于零)。工程过程研究,即工程队伍根据风险分析的结果、有关系统需求、可应用的法律法规和方针政策等信息,同客户一起识别和定义系统的安全需要,在综合考虑包括成本、性能、技术风险和使用难易程度等各种因素和各种替代方案之后创建出解决方案,然后用该方案指导安全系统的开发和建设,并对
系统进行不间断的监测,以保证风险不至于增大到不能接受的程度。信任度过程研究,即对安全工程过程和质量结果进行测试和验证,从而得出系统安全是否可信,具有检测结果的可重复性。
统计过程控制理论
从对系统的直接评测,转向通过对构造系统的工程队伍能力的间接评测,以衡量目标系统安全程度。对工程队伍能力的评测基于能力成熟模型(CMM),而CMM 的基本思想来源于得到工业界广泛接受的统计过程控制原理[4]。所有成功企业的共同特点是:都具有一组定义严格、管理完善、可测、可控、高度有效的工作过程。如果一个工程队伍管理完善,有较强的能力和出色的业绩,那么这同一支队伍高质量地完成被评测系统构造任务的可能性会是很大的。因此,有了对这支工程队伍的系统安全工程能力成熟度的评测,在目标系统的安全信任度的评测中就可以大大简化了。虽然过程能力的评测不能完全取代产品的测试和认证,也不能直接担保最终系统或产品的安全性能,经验证明,一个具有高过程能力的安全工程队伍开发出安全系统和产品具有较高的可信度。于是,工程队伍过程能力的评定将为其产品信任度的评估提供有力的证据,而且是缩短评测周期的可能方法之一。
系统工程思想
信息系统安全工作覆盖面广,涉及诸多领域和学科,必须以系统工程的思想来处理。系统安全工程旨在了解企业存在的安全风险,建立一组平衡的安全需求,融合各种工程学科的努力,将安全需求转
换为贯穿系统整个生存期的工程实施指南。系统安全工程还需对安全机制的正确性和有效性做出诠释,证明系统安全的信任度能够达到用户的要求,或系统遗留的安全薄弱性及连带的风险在用户可允许的范围之内。通过SSE-CMM模型可以将复杂的信息系统安全工程的实施与管理成为严格的系统工程方法及可依赖的工程化体系。首先对安全需求进行分析,并对安全目标加以确定,然后设计并实现满足安全目标的具体方案。在方案中需要的安全产品(包括应用系统),应当有一定的措施保证其可信度。可靠的工程过程和可信的产品是解决安全问题的必要条件,但不是充分条件。任何系统都需要在实际中使用,使用过程中的有效安全管理才能充分保证安全体系的正常运行。
连续改进(Continuous Improvement)
连续改进的含义是:以超前的视野预见过程执行实施中可能引起的要素(包括特定的设计、作业方式及其与之相联系的成本要素),利用先期规范制约的各种手段作出最大可能效果创出(最优成本/ 效益比)的预期调整,并以相应的效果计量和评估方法相配合,以确保实际过程以预期的低成本运作的先导式控制。笔者认为,系统安全工程能力成熟度模型是连续改进的表现,而侧重于安全过程评估和过程能力评价与改进相呼应。SSE-CMM模型中蕴涵的思想就是防止项目失败的思想,正是在欧美以及日本日趋流行和重视的“连续改进”管理思想。
SSE-CMM模型
SSE-CMM模型将各种各样的系统安全工程任务抽象为11个有明显
特征的子任务,而完成一个子任务所需要实施的一组工程实践称为一个过程域(Process Area), SSE-CMM模型为每个过程域定义了一组确定的基本实践(Basic Practice),并规定每一个基本实践对完成该子任务都是不可缺少的,
一个组织每次执行同一个过程时,其执行结果的质量可能是不同的,SSE-CMM模型将这个变化范围定义为一个组织的过程能力,对于“成熟”的组织,每次执行同一任务结果的质量变化范围比“不成熟”的组织要小,为了衡量一个组织的能力成熟度,其过程完成的质量必须是可度量的,为此,SSE-CMM模型定义了5个过程能力级别,每个级别用一组共同特性(Common Feature)来标识,每个共同特性则通过一组确定的通用实践(Generic Practice)来描述。
这里的组织(Organization)是指执行过程或接受过程能力评估的一个组织机构,一个组织可以是整个企业、企业的一个部门,或者是一个项目组。
SSE-CMM模型定义了一个两维的框架结构,横轴上有11个安全工程过程域,纵轴上有5个能力级别,如果对每个过程域都进行能力级别评分,则可以得到一个两维图形,参见图1
图1 SSE-CMM模型的两维框架结构
SSE-CMM模型的五个过程能力
·级别1“非正式执行过程”。这一级别将焦点集中于一个组织是否将一个过程所含的所有基础实施都执行了。它仅仅要求一个过程域的所有基本实践都被执行,而对执行的结果并无明确的要求.
·级别2“计划并跟踪过程”。主要集中于项目级别的定义、计划与实施问题。它强调过程执行前的计划和执行中的检查,这使得一个组织可以根据最终结果的质量来管理其实践活动。
·级别3“良好定义过程”。集中于在组织的层次上有原则地将对已定义过程进行筛选。它要求过程域所包括的所有基本实践都必须依照一组良好定义的操作规范来进行,这组规范是一个组织依据长期工作经验制订出来的,其合理性是经过验证的
·级别4“定量控制过程”。它能够对一个组织的表现进行定量的度量和预测,使过程管理成为客观的和准确的实践活动。焦点在于与组织的商业目标相结合的度量方法。尽管在起始阶段就十分必要对项目进行度量,但这并不是在整个组织范围内进行的度量。直到组织已达到一个较高的能力水平时才可以进行整个组织范围内的度量。
·级别5,“持续改善过程”。在前几个级别进行之后,我们从所有的管理实施的改进中已经收到成效。这时需要强调必须对组织文化进行适当调整以支撑所获得的成果。它为过程行为的高效化和实用化建立定量的目标,可以准确地度量过程的持续改善所收到的效果。
每个级别用一组共同特性(CF)来标识,每个共同特性则通过一组确定的通用实践(GP)来描述。过程能力是用来度量每个过程域的,
而不是用来度量整个组织的&当一个组织不能执行一个过程中的基本实践时,该过程域的过程能力是0级,,0级不是一种真正意义上的能力级别,不包含任何通用实践,也不需要测量。
过程能力评估方法
运用SSE-CMM模型评估一个组织的过程能力可采用两种方法;自我评估和第三方评估。
一个组织可以运用SSE-CMM模型自我评估每个过程域的能力级别,评测结果可作为改善其过程能力的理论依据和目标。
在运用SSE-CMM模型评估一个组织的过程能力成熟度之前,应首先使用这一模型评估该组织在以往工程项目中的表现。
由于每个能力级别都定义了一个或多个共同特性,只有当所有共同特性都得到满足时,才达到了对应的能力级别。如果一个过程域只满足了n+1级或n+2级上所定义的部分共同特性,但满足了n级上所定
义的全部共同特性,其过程能力应当评为n级.
在执行具体项目时,一个组织可以根据系统安全工程项目的实际需求有选择地执行某些过程域,而不是全部。此外,一个组织也可能需要执行安全工程过程域之外的关键过程。SSE-CMM模型推荐了
SE-CMM模型的11个过程域,它们可用于组织和项目本身的管理,可以与SSE-CMM过程域配合使用。
为了支持理论模型,保障过程能力评估结果的一致性SSE-CMM项目组编写了SSE-CMM模型评估方法指南(评估方法指南详细地规定了评估机构的组成)人员责任的划分)日程的安排)评估过程中所使用的一
些表格格式及内容等,评估过程包括持续一周的与被评组织直接接触的调研活动,指南建议的评估时间是:自我评估为500人小时左右,第三方评估为大约1000人小时左右,评估活动本身并不复杂,主要是确认SSE-CMM模型中定义的基本实践和通用实践是否存在,被评组织必须提交证据以支持自己的论点。
SSE-CMM(系统安全工程能力成熟模型)国内外现状及应用前景
通过以上介绍可以看出,SSE-CMM 模型是目前针对信息系统安全问题而提供的具有较高可靠性的解决方法。它既可用于对一个安全系统或安全产品的信任度测量和改善,也可用于对一个工程队伍的能力进行评定或自我改善,提高系统安全工程队伍自身的能力,从而最大限度地保证系统的相对安全性。改进安全工程实施的现状,以达到提高安全系统、安全产品和安全工程服务的质量和可用性并降低成本的目的。在国外,SSE-CMM 在系统安全工程的实践方面已有很大的影响,已经成为西方发达国家政府、军队和要害部门组织和实施系统安全工程的通用方法,是系统安全工程领域里的成熟方法体系。它不仅已用于军事控制系统,而且在工业界也已得到广泛接受,全球经济领域的有数千个组织在利用SSE-CMM 的系统安全工程改进与评价。SSE-CMM 在理论研究和具体实践中具有举足轻重的作用。2000 年9 月,该标准提交给国际标准组织,国际标准化组织将其看作是目前最有希望成为“信息技术安全评价公共准则—CC( ISO/ IEC15408)[5]的替代认证技术。我国国家及其军队信息安全测评认证中心已
准备将SSE-CMM 作为我国安全产品和信息系统安全性检测和认证的
标准之一。总体来看,SSE-CMM 在我国理论研究和实践应用阶段都处于刚刚起步阶段,随着我国国防、政府、企业、社会信息化程度的急剧提高,信息安全问题对我们的挑战将越来越严峻。相信随着网络应用在中国的不断发展,电子商务、政府上网工程等逐渐展开,系统工程会变得越来越重要。据业内人士称,目前我国一些系统的安全性很令人担忧,系统安全已经成为中国信息产业界关注的焦点。要想提高系统整体安全,还必须跨越式发展,有一定的前瞻性,不能仅仅局限于目前国内已有的方法与技术。SSE-CMM 模型作为一套全新的系统安全工程实施与评价标准,包含了许多先进的管理思想,而且它弥补了CC 认证的缺陷。另外在质量管理界,有一个类似于SSE-CMM 的认证标准:ISO 9000,已经普遍被人们所接受,取得了成功的应用,也是良好的例证。因此我们有信心认为,SSE-CMM在我国有着很好地、广泛地应用前景。另外,SSE-CMM 本身也处在不断地发展和完善中。
中国一些信息系统有着明显的个性特征,而且安全风险防范意识较低,需要的是适合自己个性化系统安全解决方案和管理模式,而绝非简单的生搬硬套。因此,中国只能从自身的技术条件、资金状况、业务特点、经济环境等方面出发,全盘考虑,利用信息技术和现代化的管理技术,在借鉴国外先进经验和技术的基础上,研究我国系统安全工程评价标准。
参考文献:
[1] SSE-CMM Information[EB/ OL]. http:// www. sse-cmm. org,
2000-10-07.
[2]SSE-CMM Author Group. SSE-CMM(V2.0b)[M].1999. [3] Systems Security Engineering CapabiIity Maturity ModeI (SSE-CMM)[EB/ OL]. http:// www. secat. com/ downIoad / downIoad.shtmI,2000-09-06.
[4]What is a CapabiIity Maturity ModeI?[EB/ OL].
http:// www.secat. com/ index. htm,2000-08-07.
[5]Common Criteria for Information TechnoIogy Security EvaIuation[S].V15408 FDIS ISO/ IEC JTC 1,1998-11-05.
风险管理能力成熟度模型 1、目的:通过模型的使用,使咨询顾问对企业的风险管理现状进行评估和经过风险管理咨询改进后的风险管理能力成熟度进行预测,作为形成风险管理能力成熟评估报告及风险管理解决方案的有效工具。 2、应用阶段:风险管理评估、风险管理解决方案设计和实施阶段。 3、方法:风险管理六要素模型、成熟度模型与对标管理模型相结合。 4、工作步骤: 5、工具:风险管理能力成熟度模型 5.1风险管理咨询实施前——风险管理能力成熟度现状评估模型
5.1.1指标说明 5.1.1.1纵向指标 纵向分为五个阶段,表示成熟度总体实现的方式,说明每个阶段的特性。 5.1.1.1.1初始阶段特点:遇到事情是特立特办的,没有归纳总结过程,没有沉淀,必须向领导请示的状态,造成内耗较大。国企这种情况较少,私企较多。 5.1.1.1.2可重复状态:已经有相应的办事流程,对可重复的事项有运作流程。特殊事项才需要领导层判断。 5.1.1.1.3确定阶段:有标准和思考方向,以便不断摸索(有以前经验的沉淀)。通过政策流程标准使其固化。 风险管理成 熟度能力 风险管理六要素 优化阶段 管理阶段 确定阶段 可 重复阶段 初始阶段
5.1.1.1.4管理阶段:处于这个阶段公司的较少,需要把管理量化。(比如在IBM有一些要把管理的要素量化,但前提是要固化,有标准、有流程、有数据、有系统、有素材),提出量化管理思想(从数字角度有说明,使领导容易把控),但不是绝对的量化。 5.1.1.1.5优化阶段:在合理收益前提下,在可接受风险情况下,帮助企业管风险,提高企业效率。通过风险管理的持续改进,不断自我推进,自我改善,形成良性循环。更以风险为导向,去做许多事情。 5.1.1.2横向指标 分为六要素,是分解过程,有相互关系说明,按事务来分,把业务分解为六部分。 5.1.1.2.1业务及政策:有总体目标,必然要有相关政策制度,明确制度与流程的关系。 5.1.1.2.2业务流程:制度要有流程这个载体,制度表单化,表单流程化才能把制度落实下来 5.1.1.2.3人员及组织结构:业务流程要有人来实现,因此要有相关人员及组织结构(落实到组织、部门、岗位、人)组织架构本身对人员有影响(结构能体现人员设置是否重叠) 5.1.1.2.4管理层报告:要通过一定的报送方式(管理报告)才能让管理层了解(表单)运营情况(规划报告、总结报告等) 5.1.1.2.5模型及假设:报告蕴含某些方法和模型,才能保证结论。 5.1.1.2.6系统及数据:报告要有数据和系统支撑(管理上定义的素材)。
CMM是Capability Maturity Model for Software的简称,中文叫“软件能力成熟度模型”,是对组织软件过程能力的描述。CMM的核心是把软件开发视为一个过程,并根据这一原则对软件开发和维护进行过程监控和研究,以使其更加科学化、标准化,使企业能够更好的实现商业目标。它侧重于软件过程开发的管理及软件工程能力的改进与评估,因此 CMM被用作评价软件承包商能力并帮助组织改善软件过程质量,是目前国际上最流行、最实用的一种软件生产过程标准,成为当今企业从事规模软件生产不可缺少的一项内容。 CMM是由美国卡内基-梅隆大学软件工程研究所(CMU SEI)研究制定,并在全世界推广实施的一种软件评估标准,主要用于软件开发过程和软件开发能力的评估和改进。CMM把软件开发过程的成熟度由低到高分为五级,等级越高,表明该企业软件开发失败风险越低,整体开发时间越短,并能减少开发成本,降低错误发生率,提高产品质量。 按照《使用软件工程》的标准,CMM将软件分为5个等级:(如图一所示) 图一 1.初始级(initial) 工作无序,项目进行过程中常放弃当初的规划 管理无章,缺乏健全的管理制度 开发项目的成效不稳定,产品的性能和质量依赖于个人能力和行为。 2.可重复级(Repeatable) 管理制度化,建立了基本的管理制度和规程,管理工作有章可循 初步实现标准化,开发工作较好的实施标准
稳定课跟踪,新项目的计划和管理基于过去的实践经验,具有重复以前成功项目的环境和条件 3.已定义级(Defined) 开发的过程,包括技术工作和管理工作,均已实现标准化,文档化。 建立了完善的培训制度和专家评审制度 全部技术活动和管理活动均可稳定实施 项目的质量,进度和费用均可控制。 对项目进行中的过程,岗位和指责均有共同的理解。 4.已管理级(Managed) 产品和过程已建立了定量的质量目标。 过程中活动的生产率和质量是可度量的。 已建立过程数据库。 已实现项目产品和过程的控制 可预测过程和产品质量趋势。 5.优化级(Optimizing) 可集中精力改进过程,采用新技术,新方法。 拥有防止出现缺陷,识别薄弱环节以及加以改进的手段 可取得过程有效性的统计数据,并可据此进行分析,从而得到更佳方法。 目前业界的通行标准:每千行源代码所包含的BUG数,CMM1级为11.95个,CMM2为5.52个,CMM3为2.39个,CMM4为 0.92个,而CMM5则只有0.32个。在可靠性提高的同时,CMM5软件开发周期是CMM1的36%,而生产成本是CMM1的19%,平均每个软件开发人员的生产率会提高四倍。
第一讲:软件能力成熟度模型 沈阳东软软件股份有限公司软件工程过程组 编者按:CMM(Capability Maturity Model,能力成熟度模型)是由美国卡内基-梅隆大学软件工程研究所推出的评估软件能力与成熟度的一套标准。该标准基于众多软件专家的实践经验,侧重于软件开发过程的管理及工程能力的提高与评估,是国际上流行的软件生产过程标准和软件企业成熟度等级认证标准。 目前,CMM认证已经成为世界公认的软件产品进入国际市场的通行证。国务院发布的鼓励软件产业发展的18号文件中也特别指出了对企业进行CMM认证的支持。今年3月,联想通过了CMM 2认证,6月,东软股份通过了CMM 3级评估,这些标志着CMM认证在我国已经取得初步进展。 为推动我国软件产业的发展,促进软件企业向正规化和国际化迈进,进一步引入和推广CMM认证,本报与沈阳东软软件股份有限公司合作,共同开办“CMM认证”系列讲座。从本期开始,本报将大约分7期在“技术讲座”栏目中针对我国软件企业的特点,结合CMM认证在东软股份的应用实战,阐述CMM认证的实施方法和策略。 早在20世纪60年代中期,人们就发现软件的生产出现了“问题”,主要表现在生产过程不规范,缺乏管理。后来,人们在软件工程方法学中引入了工程的概念、原理、技术和方法,这种思想在一定程度上
解决了软件生产过程中遇到的问题。但是直至80年代还是没有提出一套管理软件开发的通用原则,软件管理不善的问题依旧在大范围内存在。 为了保证软件产品的质量,80年代中期,美国联邦政府提出对软件承包商的软件开发能力进行评估的要求。在Mitre公司的帮助下,1987年9月,美国卡内基-梅隆大学软件工程研究所(CMU/SEI)发布了软件过程成熟度框架,并提供了软件过程评估和软件能力评价两种评估方法和软件成熟度提问单。4年之后,SEI将软件过程成熟度框架进化为软件能力成熟度模型(Capability Maturity Model For Software,简称SW-CMM)。1991年8月,SEI发布了最早的SW-CMM v1.0。经过两年的试用,1993年SEI正式发布了SW-CMM v1.1,这是目前使用最为广泛的版本。软件能力成熟度模型基于众多软件专家的实践经验,是组织进行软件过程改善和软件过程评估的一个有效的指导框架。 CMM的管理思想背景 SW-CMM不仅是一个模型,一个工具,它更代表了一种管理哲学在软件工业中的应用。SW-CMM的管理思想来源于已有60多年历史的产品质量管理。1930年,Walter Sheward 率先提出了一整套基于统计学原理的质量控制方法,这些方法后来经过W. Ewards Deming 和Joseph Juran的发展和实践得到了广泛的应用。Philip Crosby在《质量是免费的》一书中率先提出将质量管理形成成熟度框架的概念,“质量管理成熟度坐标图表” 描述了进行质管实践的5个阶段,表达了质
表格编号:PG-06 版本:V2.0《信息技术服务运维服务能力成熟度模型》符合性评估检查表(运维服务能力成熟度三级)申报企业:评估组成员:评估地点:评估日期:年月日 1、管理要求标准条款号成熟度要求关键指标审核要点评估情况说明除达到四级要求外,还应满足以下要求: a) 制定服务目录的管理流程,包括服务目录管理的相关角色和职责,明确服务目录管理流a)服务目录应包括服务列表,需符合分类代码程与其他流程的关系,如SLA等;的要求;b) 服务目录应包括服务列表,列表层次结构需服务目录规范性、符b)对服务基本要素需包括“目录要求”的内容,符合GB/T 29264-2012的要求;合性、完整性和适宜c) 服务目录应包括服务产品的详细描述内容,如服务产品的名称、特性描述和基本目标等;性。如服务名称、服务简介、服务目标,以及服c)运维服务合同中的服务项应来自于服务目录务对象、服务内容、服务频度、服务时间、当中,检查组织级服务目录,抽查服务合同。交付方式、交付成果等; d) 建立起服务目录与运维服务业务的关联关系。 a)检查服务目录中服务项的交付是否有相关的除达到四级要求外,还应满足以下要求:管理制度; a) 运维服务团队相对独立,并建立运维管理制服务团队的独立性。 b)抽查组织架构和服务管理制度,通过访谈了度;解:服务目录中的服务项是否能够落地实施,包 b) 服务目录有实施保障措施。 GB/T 括组织单位、
资源以及制度等。28827.1-2012 除达到四级要求外,还应满足以下要求:a)审核运维服务能力管理计划(包含人员、资 5.2 策划 a) 组织应对组织级运维服务能力管理进行策源、技术和过程的相关指标);划,围绕人员、资源、技术和过程四要素进 a) 能力管理计划的指标体系:组织为评估服务能力管理而定义的关行考虑,形成组织级运维服务能力管理计适宜性和完整性;划;键指标和度量方法; b) 能力指标体系的 b) 组织应建立与能力策划相适应的能力指标包括与服务业务和服务目录相配套的保障体系:适宜性和完整性。体系;资源,以及客户投诉处理、满意度调查、客户回 c) 建立能力管理计划和能力指标体系的考核访、备品备件管理等制度。方法及考核准则。 a)服务质量管理制度(包括定期服务质量评审、除达到四级要求外,还应满足以下要求:内部审核和服务改进制度等);a)建立内部审核评估机制;a) 内部审核机制的b)服务质量管理计划(包括年度的服务质量管理 b) 策划内部审核评估,明确审核评估团队及审规范性;目标、主要活动和内审安排等);核周期;b) 内部审核评估计c)需要对企业的服务质量管理机构(如质量管c) 内部审核评估计划应覆盖运维业务相关部划的覆盖范围。门及项目层。理部)或岗位进行审核,服务质量管理可覆盖到运维业务部门及项目层。除达到四级要求外,还应满足以下要求: GB/T a) 重点检查运维服务能力管理计划的实施情a) 实施计划/方案应覆盖四要素,包括具体的实施计划的合理性;28827.1-2012 况,实施方案应覆盖4要素,包括:具体的任务、任务、责任人、日程安排以及预期的目标或 5.3 实责任人、日程安排以及预期要达到的目标或结结果;
2016年1月高等教育自学考试福建省统一命题考试 软件能力成熟度模型(CMM) 试卷 (课程代码 07021) 本试卷满分100分,考试时间l50分钟。 考生答题注意事项: 1.本卷所有试题必须在答题卡上作答。答在试卷上无效,试卷空白处和背面均可作草稿纸。2.第一部分为选择题。必须对应试卷上的题号使用2B铅笔将“答题卡”的相应代码涂黑。3.第二部分为非选择题。必须注明大、小题号。使用0.5毫米黑色字迹签字笔作答。4.合理安排答题空间,超出答题区域无效。 第一部分选择题 一、单项选择题(本大题共l0小题,每小题2分,共20分) 在每小题列出的四个备选项中只有一个是符合题目要求的,请将其选出并将“答题卡” 的相应代码涂黑。未涂、错涂或多涂均无分。 1.处于CMM第2级的软件机构的过程能力可以概括为 A.有纪律的过程 B.标准化的过程 C.可预测的过程 D.持续改进的过程 2.下列选项中,属于项目管理监督实践的关键过程域是 A.同行评审 B.培训大纲 C.机构过程定义 D.关键过程评审 3.属于已定义级的关键过程域是 A.软件配置管理 B.综合软件管理 C.定量过程管理 D.技术更新管理4.CMM估价方法的最后一步是 A.制作KPA剖面图 B.进行响应分析 C.现场访问会谈 D.填写成熟度问卷 5.下列选项中,不属于阻碍SSOS项目生产高质量软件的障碍是 A.项目管理落后 B.质量需求驱动项目 C.难以跟踪错误 D.进度驱动项目 6.包含非正规计划的关键过程域是 A.定量过程管理 B.软件质量保证 C.技术更新管理 D.软件项目计划 7.SEI所制定的软件改进方法称为IDEAL方法,这里的A是指 A.推进 B.建立 C.行动 D.诊断 8.软件质量管理的中心是 A.市场 B.技术 C.过程 D.产品 9.能为管理者提供有关软件项目的过程和产品适度可见性的是 A.软件质量保证 B.定量过程管理 C.机构过程焦点 D.软件项目计划 10.项目剪裁的软件过程发生在 A.第2级 B.第3级 C.第4级 D.第5级 第二部分非选择题 二、填空题(本大题共l0小题,每小题2分,共20分) 请在答题卡上作答。 11.过程就是人们使用相应的规程、________、________和设备将原始材料转化成面向客户
PCMM(人员能力成熟度模型)介绍 PCMM(People Capability Maturity Model,人员能力成熟度模型)是美国宾州大学SEI(软件工程学院)沿用CMM(Capability Maturity Model,软件开发能力成熟度模型)的框架所开发出的一套指导企业持续提升人力资源管理能力的方法论和知识体系。 一、5个成熟度层级 PCMM将企业的人力资源管理能力分为5个层级。 1)初始级 在初始级,组织人力资源管理工作仅仅是事务性的,诸如基本的人事管理和工资奖金发放等。人力资源管理部门可能象征性地提供了一些表格,如绩效评估或职位描述,却没有为这些文件的合理使用提供指导或培训。 各级管理者缺乏基本的人力资源管理培训,在管理下属的能力是建立在以往的经验及其个人的“管人技巧”上。甚至一些管理者们并不接受开发组织人力资源是他们个人的主要职责。他们从事人员管理活动,比如,面试应征者,在没有准备的情况下作绩效评估,其结果是使应征者败兴而归或不合理的人事决策。 在初始级,组织的员工能力是未知的,因为组织没有为测试或提高这些能力作任何努力。员工们只是积极努力地完成自己的工作任务,因为没有任何激励措施来使他们的动机与组织的业务指标相一致。当员工们觉得其他企业有着更好的工作环境以及更好的职业发展前景时,就会离职,因此组织的员工流动率相当高。由于有经验的员工不断流失,组织始终是一些新手,因此,组织的知识和技术水平并不随时间的推移而提高,因为组织必须为那些有见识的已经离开组织的职员替补新职员。 2)可重复级 主要目标是消除妨碍员工正常工作的主要障碍,为持续改进开发人力资源的
2017年4月高等教育自学考试福建省统一命题考试 软件能力成熟度模型(CMM) 试卷 (课程代码07021) 本试卷满分100分,考试时间l50分钟。 考生答题注意事项: 1.本卷所有试题必须在答题卡上作答。答在试卷上无效,试卷空白处和背面均可作草稿纸。 2.第一部分为选择题。必须对应试卷上的题号使用2B铅笔将“答题卡”的相应代码涂黑。 3.第二部分为非选择题。必须注明大、小题号,使用0.5毫米黑色字迹签字笔作答。 4.合理安排答题空间,超出答题区域无效。 第一部分选择题 一、单项选择题(本大题共l0小题,每小题2分,共20分) 在每小题列出的四个备选项中只有一个是符合题目要求的,请将其选出并将“答题卡”的相应代码涂黑。未涂、错涂或多涂均无分。 1.处于CMM第3级的软件机构的过程能力可以概括为 A.有纪律的过程 B.标准化的过程 C.可预测的过程 D.持续改进的过程 2.根据计划的类型,属于正规计划的是 A.风险管理计划 B.技术管理计划 C.同行评审计划 D.质量保证计划3.定量过程管理的中心是 A.产品 B.市场 C.技术 D.过程 4.属于可重复级的关键过程域是 A.定量过程管理 B.软件综合管理 C.软件配置管理 D.技术更新管理5.下列选项中,属于项目管理监督实践的关键过程域是 A.关键设计评审 B.培训大纲 C.机构过程定义 D.同行评审 6.SEI所制定的软件改进方法称为IDEAL方法,这里的D是指 A.推进 B.建立 C.行动 D.诊断 7.SSOS项目的软件缺陷预防过程,第3阶段为 A.改正遗漏缺陷的缺陷检测活动 B.检查产品中别处的类似缺陷 C.确定缺陷的技术原因并改正 D.确定并改正缺陷的过程原因 8.CMM关注过程问题,而不是人员问题,CMM直接涉及人的因素仅仅体现在 A.技术 B.市场 C.培训 D.产品 9.CMM的共同特性中,与项目执行唯一相关的属性是 A.测量分析 B.执行活动 C.执行能力 D.验证实现 10.CMM估价方法的最后一步是 A.制作KPA剖面图 B.填写成熟度问卷 C.现场访问会谈 D.进行响应分析
2012年7月高等教育自学考试福建省统一命题考试 软件能力成熟度模型(CMM) 试题 课程代码:07021 本试卷满分100分,考试时间150分钟。 考生答题注意事项: 1.本卷所有试卷必须在答题卡上作答。答在试卷上无效,试卷空白处和背面均可作草稿纸。 2.第一部分为选择题。必须对应试卷上的题号使用2B铅笔将“答题卡”的相应代码涂黑。 3.第二部分为非选择题。必须注明大、小题号,使用0.5毫米黑色字迹签字笔作答。 4.合理安排答题空间,超出答题区域无效。 第一部分选择题 一、单项选择题(本大题共l0小题,每小题2分,共20分) 在每小题列出的四个备选项中只有一个是符合题目要求的,请将其选出并将“答题卡” 的相应代码涂黑。未涂、错涂或多涂均无分。 1.软件内部过程改进大纲中关键性的一步是 A.软件能力评价B.软件过程评估 C.软件质量管理D.技术更新管理 2.软件过程生成计划中产品的内在能力是 A.软件过程效能B.软件过程能力 C.软件过程管理D.软件过程成熟度 3.下列属于已管理级的关键过程域是 A.定量过程管理B.机构过程定义 C.预防缺陷D.同行评审 4.软件质量管理的中心是 A.技术 B.市场 C.产品 D.过程 5.包含正规计划的关键过程域是 A.缺陷预防B.技术更新管理 C.组间协调D.过程更改管理 6.CMM关注过程问题,而不是人员问题,CMM直接涉及人的因素仅仅体现在 A.技术 B.市场 C.培训 D.产品 7.CMM的共同特性中,与项目执行唯一相关的属性是 A.执行约定 B.执行活动 C.执行能力 D.验证实现 8.SSOS项目的软件缺陷预防过程,第1阶段为 A.确定缺陷的技术原因并改正B.确定并改正缺陷的过程原因 C.改正遗漏缺陷的缺陷检测活动D.检查产品中别处的类似缺陷、 9.CMM估价方法的第l步是 A.填写成熟度问卷B.进行响应分析 C.现场访问会谈D.选择估值小组 10.软件过程的量化反馈出现在 A.第2级B.第3级C.第4级D.第5级
流程再造新工具:PEMM框架 作者:迈克尔·哈默 翻译:陈桂华为什么流程再造屡屡失败,主要原因就在于企业能力与流程不匹配。本文介绍的新工具能帮助企业解决这个问题。 “流程管理”早已成为企业日常运作的一部分。17年前,我在《哈佛商业评论》 (参见Reengineering Work:Don't Automate,Obliterate,1990年7/8月号) 上首次提出这一全新概念,引发了颇多争议。而如今,世界各地的企业都在通过业务流程再造来推行企业变革。所谓业务流程是指从原材料进入企业到产品流出企业这一运营链条上的所有工作。企业进行业务流程再造,不仅能够大幅提高绩效,还能为客户提供更大的价值,为股东创造更多的利润。很少有企业高管会质疑这一点。事实上,各行各业的企业,无论其规模大小,几乎都因为关注、衡量和重新设计了面向内部和外
部客户的流程,而在成本、质量、速度和赢利能力等关键指标上取得了显著改善。 不过遗憾的是,失败的例子也比比皆是。2000年以来,我亲历了数百家企业为了重获生机而建立或再造业务流程的过程。尽管有良好的意愿和必要的投资,但许多企业不是进展缓慢,就是成效甚微。即使是那些成功变革的企业,也是历经千辛万苦才“守得云开见月明”。不可否认,所有的变革项目推行起来都困难重重,然而流程变革则更为艰难。一般人都以为,设计新的业务流程就是重新安排工作流程,只需要确定谁来做什么事,在哪里做,按照什么顺序来做就行了。然而情况并没有这么简单。要让新流程发挥作用,企业必须从更广层面上重新界定工作,提供更多培训以支持这些工作,并培养一线员工的决策能力:还要调整奖励制度,不仅关注结果,也要考虑过程。除此之外,企业必须重塑组织文化,强调团队合作、个人责任感以及客户重要性,重新界定管理者的职责,鼓励他们监管流程,而不是监督具体活动,培养员工而不是监督员工,最后,企业需要协调信息系统,以确保跨部门流程的运行顺畅,而不只是支持单个部门。 在我研究的多数企业中,高管们常常为了流程重组而绞尽脑汁。他们知道,要发挥流程的作用,就得改变很多东西.但究竟需要改变什么,改变多少、何时改变,他们又不清楚。他们的迷茫引发了种种混乱:决策犹豫不决、计划杂乱不清,争辩无休无止、讨论无果而终,无端的自满和绝望,再三失误和重复劳动,一再延期和半途而废。他们不停地相互询问:我们是否一开头就做错了?我们怎么才能知道事情有没有进展?完成变革后,企业会呈现什么样的面貌?另外,对于哪些因素有助于推动基于流程的变革,高管们往往意
解读《美国国家BIM标准》 – BIM能力成熟度模型(二)陆一昕 上次和大家一起了解了下《美国国家BIM标准V3》中提到的能力成熟度模型CMM 及11个评价维度。从本周开始,我将与您一同揭开这11个维度的神秘面纱,共同探究BIM CMM精彩的内涵和外延。今天和大家一同分享的是“数据内容(Data Richness)”。 在BIM实施和应用的过程中,我们经常会遇到这样的困惑“高质量的BIM模型中到底需要包含多少信息?”、“BIM数据是否可信?”、“数据有效性如何保证?”、“信息间的逻辑关系如何存放和展示?”,CMM通过“数据内容”这一项关键指标,很好地回答了这些问题。CMM是这样定义的: 从上述定义中不难发现,BIM CMM对“数据内容”提出了很高的要求,从数据的种类、规范性、可信度、关联度等多方面进行了综合评价。目前,国内BIM大多还处于较初级的阶段(1-2级),我们主要还是停留在设计阶段应用BIM,搭建一个三维模型并输入了有限的信息,解决了建筑物可视化展示和简单的碰撞检查等设计阶段的问题。 那么我们该如何来提升BIM能力成熟度呢?个人认为以下几个关键点是现阶段我们
进行能力提升的升级途径: 1.数据的完整性 BIM数据其实包含的内容可以很多,不仅仅有用来描述建筑物和构件的静态数据,还应包含大量的业务数据,甚至动态数据。业务数据是指,在设计-制造-施工-调试-交付-运维等各阶段产生的业务数据,如:业务编码、厂家信息、备品备件、WBS、安装位置、变更信息、质量监测信息、调试参数、维保维修信息等。动态数据是指在运维阶段设备产生的实时动态数据。这些数据加在一起,才形成了一个完整的BIM 数据链,能为一个项目的建设和运行管理创造价值。 目前国内设计、施工、运营等各家企业都在分别做自己的BIM和平台,都希望做全做准确,但由于行业的壁垒,谁都无法靠一己之力把整个产业链上的数据做全,以致最后BIM数据被分割成一个个信息孤岛。 要让BIM真正实现全生命周期数据贯通,最佳的方法是建立一个统一的数据平台,各阶段BIM数据在这个平台上进行提交和验收,直至最后的数字化竣工移交。 这个平台可由业主方或其委托方牵头搭建,各方负责各自的数据维护,在平台上按角色进行授权管理。这样既可保证数据的完整性,又可确保各方的信息安全。 2.数据权威性与责任制 数据可信度也是评价BIM应用成熟度高低的一个重要指标。往往我们在推行BIM 时经常会有人质疑“BIM模型里面的数据是真实的吗?和图纸完全一样吗?”,有这样的问题,本身也说明我们对BIM的理解和应用还处于非常初级的阶段。 BIM数据是否可信,关键在于我们是否有明确的数据责任制度,即这些BIM数据该由谁或组织来生成并对其准确性负责。通常有一种错误的做法,BIM数据是由单独的数据录入人员来完成的,而不是真正的业务人员。这就必然会导致数据责任人不清晰,甚至最终数据失真的情况。因此,我认为数据责任人应与业务责任人保持一致,或者有明确的对应关系,做到谁生产的数据谁负责。有了能对数据准确性负责的人后,自然会提高数据的权威性。 3.数据有效性校验 为了保证BIM数据的准确、可靠,CMM对数据有效性也提出了相应的要求,其中包括了需要有元数据,以及对应的数据校验机制。 元数据是用来定义数据的数据,简单的说就是规定了数据类型、格式、范围值等规则,他是规范BIM数据的卡尺,是数据准入需要遵守的基础规则。当然,具体规
软件能力成熟度模型:CMM 五个级别介绍 CMM 为企业的软件过程能力提供了一个阶梯式的进化框架, 阶梯共有五级。第一级只是一个起点,任何准备按 CMM 体系进化的企业都自然处于这个起点上,并通过它向第二级迈进。除第一级外,每一级都设定了一组目标, 如果达到了这组目标,则表明达到了这个成熟级别,可以向下一级别迈进。 从纯粹的个人行为发展到有计划有步骤的组织行为… 第一级:初始级 (Initial; 第二级:可重复级 (Repeatable; 第三级:已定义级 (Defined; 第四级:受管理级 (Managed; 第五级:优化级 (Optimizing。 初始级 初始级的软件过程是未加定义的随意过程, 项目的执行是随意甚至是混乱的。也许有些企业制定了一些软件工程规范, 但若这些规范未能覆盖基本的关键过程要求, 且执行没有政策、资源等方面的保证时,那么它仍然被视为初始级。 关注点: 工作方式处于救火状态,不断的应对突如其来的危机; 工作组:软件开发组、工程组; 提高: 需要建立项目过程管理,建立各种计划,开展 QA 活动。
可重复级 根据多年的经验和教训,人们总结出软件开发的首要问题不是技术问题而是管理问题。因此, 第二级的焦点集中在软件管理过程上。一个可管理的过程则是一个可重复的过程, 可重复的过程才能逐渐改进和成熟。可重复级的管理过程包括了需求管理、项目管理、质量管理、配置管理和子合同管理五个方面; 其中项目管理过程又分为计划过程和跟踪与监控过程。 通过实施这些过程,从管理角度可以看到一个按计划执行的且阶段可控的软件开发过程。 关注点: 规则化 引入需求管理、项目管理、质量管理、配置管理、子合同管理等; 引入工作组:测试组、评估组、质量保证组、配置管理组、合同组、文档支持组、培训组; 提高: SEPG 、建立软件过程库和文档库 已定义级 在可重复级定义了管理的基本过程, 而没有定义执行的步骤标准。在第三级则要求制定企业范围的工程化标准, 并将这些标准集成到企业软件开发标准过程中去。所有开发的项目需根据这个标准过程, 裁剪出与项目适宜的过程, 并且按照过程执行。过程的裁剪不是随意的,在使用前必须经过企业有关人员的批准。 关注点: 文档化,标准的一致的;
软件过程及能力成熟度评估 1软件过程及能力成熟度评估 “软件过程及能力成熟度评估”(简称SPCA)是软件过程能力评估和软件能力成熟度评估的统称,是信息产业部会同国家认证认可监督委员会在研究了国际软件评估体制,尤其是美国卡内基-梅隆大学SEI所建立的能力成熟度模型能力成熟度模型CMMI,并考虑国内软件产业实际情况所建立的软件评估体系。 SPCA依据的评估标准是SJ/T11234和SJ/T11235,这两个标准是在深入研究了CMM、CMMI、ISO/IECTR15504、ISO9000、TL 9000以及其他有关的资料和文件以及国外企业实施CMM的实际情况后,结合国内企业的实际情况,以CMMI 作为主要参考文件最终形成的,这两个行业标准由信息产业部于2001年5月1日发布实施。 SPCA评估遵循《软件过程及能力成熟度评估指南》,该指南是国家认监委和信息产业部2002年8月共同发布的利用SJ/T11234或SJ/T11235实施评估的操作指南。评估过程由经过培训的专业队伍以评估参考模型作为确定过程的强项和弱项的基础而对一个或多个过程进行检查。从不同用途考虑,评估分为内部过程改进评估和顾客选择评价两种。 目前,国家认证认可监督管理委员会(CNCA)和信息产业部已经联合发布《软件过程及能力成熟度评估监督管理办法》,CNCA授权的中国认证机构国家认可委员会(CNAB)和中国国家认证人员培训认可委员会(CNAT),已制定和试点实施“软件过程及能力成熟度评估”认可规则,并成立SPCA工作组,以推动中国软件过程及能力成熟度评估的实施。 2实施SPCA的作用和意义 软件过程及能力成熟度评估可以规范软件开发过程及其管理、规范市场竞争、帮助企业进行内部软件过程改进、降低软件开发风险、增加软件企业的市场竞争力。 我国政府一直重视软件产业的规范和发展,强调提高我国软件开发和软件产品质量的重要性。国务院于2000年6月颁发的“18号文件”《鼓励软件产业和
数据库,作为企业重要IT基础设施之一,在数字化中扮演着重要的角色。其是否运行平稳、是否处于最佳状态、是否可方便的扩展等,进而是否能满足业务现状及未来发展,这些对于企业至关重要。要达到上述目标,取决于两个方面:数据库产品自身能力、数据库服务能力。可以说“产品+服务”,决定了最终的结果如何。但在很长一段时间里,对于前者(产品)有很多手段去了解、评估;但对于后者(服务)却少有有效的衡量方法。在过去的三、四十年里,传统数据库市场主要是以国外大型商业数据库为主,其服务能力经过多年积累已相对成熟、完善,并构建起一整套标准及相应的配套服务团队。但随着近些年来数据库市场有了明显的变化,一是以开源为主导数据库方案在很多公司得以使用;二是国产数据库也层出不穷,并愈发呈现蓬勃发展之势;三是分布式、云化技术特点为代表的新数据库形态逐步被人认知并投入使用。针对这种新的变化,过去按单一产品作为衡量标准就不太合适,急需一种通用的行业标准来度量数据库服务能力。 近期,信通院发表的《数据库服务能力成熟度模型》,由此应运而生。它的推出,有助于企业决策者,找到数据库服务重点,获取当前数据库整体现状,识别其中的不足并找准关键问题及差异,进而提供数据库服务能力的改进方向和意见,规划企业未来的数据库发展蓝图。本文根据之前信通院发表的《数据库服务能力成熟度》为基础,加以个人的一些理解分析。当前这一标准,正处于规范发布阶段,其具体细节和评价方式、标准还有待落实,也希望更多数据库从业者参与其中。为提高国内数据库整体服务质量,贡献
自己的一份力量。本文部分内容引用信通院发布《数据库服务能力成熟度》报告及网名“失速的脑细胞”的一篇文章。 原文参考:https://www.doczj.com/doc/1d14214703.html,/p/d672951c5c1a 1. 成熟度模型概述 人生基本上就是两件事,选题和解题。最好的人生是在每个关键点上,既选对题,又解好题。人生最大的痛苦在于解对了题,但选错了题,而且还不知道自己选错了题。正如人生最大的遗憾就是,不是你不行,而是你本可以。 1).评估标准:能力框架与能力域 此次发布的数据库服务成熟度模型,将能力框架划分为三个能力域,分别是:规划设计能力、实施部署能力和运维运营能力。其可对应到数据库从选型评估、规划设计、部署实施、运维保障、开发优化等多个方面。在三个能力域内,又进一步划分为27个能力项,其中规划设计能力域包含8个能力项,实施部署能力包含7个能力项,运维运营能力包含12个能力项。具体 可参考下图:
软件过程及能力成熟度评估 1 软件过程及能力成熟度评估 软件过程及能力成熟度评估”(简称SPCA是软件过程能力评估和软件能力成熟度评估的统称,是信息产业部会同国家认证认可监督委员会在研究了国际软件评估体制,尤其是美国卡内基-梅隆大学SEI所建立的能力成熟度模型能力成熟度模型CMMI,并考虑国内软件产业实际情况所建立的软件评估体系。 SPCA依据的评估标准是SJ/T11234和SJ/T11235这两个标准是在深入研究了CMM、CMMI、ISO/IECTR15504 ISO9OO0 TL 9000以及其他有关的资料和文件以及国外企业实施CMM的实际情况后,结合国内企业的实际情况,以CMMI 作为主要参考文件最终形成的,这两个行业标准由信息产业部于2001 年5月1 日发布实施。 SPCA评估遵循《软件过程及能力成熟度评估指南》,该指南是国家认监委和信息产业部2002年8月共同发布的利用SJ/T11234或SJ/T11235实施评估的操作指南。评估过程由经过培训的专业队伍以评估参考模型作为确定过程的强项和弱项的基础而对一个或多个过程进行检查。从不同用途考虑,评估分为内部过程改进评估和顾客选择评价两种。 目前,国家认证认可监督管理委员会(CNCA和信息产业部已经联合发布《软件过程及能力成熟度评估监督管理办法》,CNCA授权的中国认证机构国家认可委员会(CNAB和中国国家认证人员培训认可委员会(CNAT,已制定和试点实施软件过程及能力成熟度评估”认可规则,并成立SPCA工作组,以推动中国软件过程及能力成熟度评估的实施。 2实施SPCA勺作用和意义软件过程及能力成熟度评估可以规范软件开发过程及其管理、规范市场竞争、帮助企业进行内部软件过程改进、降低软件开发风险、增加软件企业的市场竞争力。 我国政府一直重视软件产业的规范和发展,强调提高我国软件开发和软件产品质量的重要性。国务院于2000年6月颁发的“18号文件”《鼓励软件产业和 集成电路产业发展的若干政策》第五章第十七条明确提出鼓励软件出口型企业通过
南京福瑞泽信息科技有限公司CMMI软件能力成熟度模型集成认证指南 一、 简介 CMMI全称是Capability Maturity Model Integration, 即软件能力成熟度模型集成(也有称为:软件能力成熟度集成模型),于2002年正式发布,是由美国国防部与卡内基-梅隆大学和美国国防工业协会共同开发和研制的,其目的是帮助软件企业对软件工程过程进行管理和改进,增强开发与改进能力,从而能按时地、不超预算地开发出高质量的软件。 CMMI模型已经成为业界主要的过程管理模型,CMMI模型有两种表示方式,连续表示模型和分级表示模型。其中分级表示模型依次划分为五个等级(初始级、可重复级、已定义级、已管理级、优化级),标志着软件企业能力成熟度的五个层次。级别越高,表示软件组织的成熟能力也越高,CMMI5是目前世界软件界对能力成熟度要求最高、申请难度最大、级别最高的评估,通过CMMI5级评估标志着本公司的质量管理和过程改进已跻身于全球软件业的顶尖水平。 软件企业申请认证CMMI不同的级别标准要求,要审时度势自身情况。一方面了解公司现有质量体系、实施过程、实施效果的运行情况;另一方面要根据企业规模、公司实力、管理需求等综合要素,不可好大喜功,一味选择CMMI更高级别的认证。在申请的CMMI认证时,有的企业从CMMI2开始、有的企业从CMMI3开始、有的CMMI3通过后跳过CMMI4而直接申请CMMI5、有的就从CMMI2、CMMI3、CMMI4、CMMI5逐步申请认证。 二、 申报条件 符合下列条件的服务外包企业可提出申请: 1、有进出口经营权或对外经济合作经营资格; 2、近两年在进出口业务管理、财务管理、税收管理、外汇管理、海关管理等方面无违法行为; 3、已与一家或多家服务外包发包商签订中长期提供服务外包业务合同,企业提供服务外包业务年收入不低于150万美元(离岸服务外包业务收入占70%以上); 4、具有服务外包承接能力及服务外包市场开拓和项目管理人员,大学(含大专)毕业及以上学历员工占公司员工总数70%以上。 (一)人力资源 实施中会涉及到EPG过程改进小组、QA、试点项目团队等人力资源: ●专职人员:1-2名 即在CMMI实施推广期内,基本上100%的时间投入。
初探数据管理能力成熟 度模型D M M Revised by Petrel at 2021
初探数据管理能力成熟度模型DMM 专家简介:梁铭图,新炬网络首席架构师,拥有十年以上数据库运维、数据分析、数据库设计以及系统规划建设经验,长期为国内电信运营商的大型IT系统进行系统软件运维、数据架构规划、设计和实施以及大型IT系统数据建模工作,在数据架构管理以及数据资产管理方面有着深入的研究。 1、什么是DMM 企业数据管理能力成熟度模型DataManagementMaturity(DMM)是由CMMi协会于2014年发布的。它可以用来评估和提升组织的数据管理水平,帮助组织跨越业务与IT之间的鸿沟。DMM模型沿用了软件能力成熟度集成模型(CMMI)的一些基本原则、结构和证明方法。 CMMI协会认为,DMM模型帮助组织建立一个关于它们数据资产应该如何管理的通用术语和共识。它五个连续的能力层面提供一个清晰路径,提升25个过程域,反映到所有数据管理的基本科目中。 通过提供一个结构化和标准的实践框架,DMM可以促进组织建立它们自已的数据管理成熟度路线图。DMM帮助组织更为熟练地管理它们关键数据资产,推动主动的战术和战略支持,提供一个一致性以及可对比的基准用来测量长时间的进展。它是一个强大的工具,用来创建一个共享的愿景和术语,阐明所有利益相关者的角色,增加业务接触以及强化数据治理。 2、DMM面向的对象 模型面向于每一个想要高效管理自身数据资产的组织。已经使用DMM模型的公司,所涉及的行业范围非常广泛,包括IT、航空、金融和政府。 DMM可以裁剪以适应任何组织的需求,它可以应用于整个组织、一个业务线条,或者一个多利益相关者的主要项目。 3、DMM能力模型 与CMMI类似,DMM也根据企业的数据管理能力提出五个层次:
一、什么是ITSS ITSS(Information Technology Service Standards 信息技术服务标准,简称ITSS)是国内第一套成体系和综合配套的信息技术服务标准库,全面规范了IT服务产品及其组成要素,用于指导实施标准化和可信赖的IT服务。 ITSS是在工业和信息化部、国家标准化管理委员会的联合指导下,由国家信息技术服务标准工作组(以下简称:ITSS工作组)组织研究制定的,是我国IT服务行业最佳实践的总结和提升,也是我国从事IT服务研发、供应、推广和应用等各类组织自主创新成果的固化。 ITSS的内容即主要包括一系列标准,是一套完整的IT服务标准体系,包含了IT服务的规划设计、部署实施、服务运营、持续改进和监督管理等全生命周期阶段应遵循的标准,涉及咨询设计、集成实施、运行维护、服务管控、服务运营和服务外包等业务领域。其主要依据原理如下: ITSS充分借鉴了质量管理原理和过程改进方法的精髓,规定了IT服务的组成要素和生命周期,并对其进行标准化。包括: IT服务的组成要素,包括:人员(People)、流程(Process)、技术(Technology)和资源(Resource),简称PPTR。 IT服务的生命周期,包括:规划设计(Planning & Design)、部署实施(Implementing)、服务运营(Operation)、持续改进(Improvement)和监督管理(Supervision),简称PIOIS 二、什么是运维服务能力成熟度模型 自2009年ITSS工作组成立后,开展了一系列标准研制工作,并于2012年发布了《信息技术服务运行维护》(GB/T 28827)系列标准,并开展了运行维护服务能力符合性评估认证。但为了解决运维服务企业的能力水平参差不齐、对运维服务供应商进行差异化评价、及协助企业依据自身业务需求建立运维服务能力管理体系等问题,ITSS工作组于2014年编制了《信息技术运行维护能力成熟度模型》,运维服务能力成熟度模型将运维服务能力划分为四个等级,依次是基本级、拓展级、改进(协同)级和提升(量化)级,分别用四、三、二、一表示,保持与计算机信息系统集成企业资质的划分方式一致。 《信息技术运行维护能力成熟度模型》以已颁布实施的《信息技术服务运行维护》(GB/T 28827)系列国家标准为基础,提出了运维服务能力成熟度模型。这是一套用来衡量和评价一个组织的PPTR的最佳实践,综合反映了一个组织的运维服务能力水平,同样应用了全面质量管理和过程改进方法,所包含的最佳实践是我国广大信息技术服务企业多年来参照ITIL?和《信息技术服务管理》(ISO/IEC 20000)系列国际标准提供运维服务的实践总结,充分反应了我国信息技术运维服务市场的实际需求,力图做到既有国际先进水平,又能适合运维服务本土化要求的现实情况。 运维服务能力成熟度模型等级评估是依据《信息技术运行维护能力成熟度模型》开展的一项行业认证,适用于所有从事运维服务业务的供方企业。 三、为什么需要申请ITSS认证 随着信息技术的快速发展和深度应用,运维服务市场正在发生变化,市场竞争激烈、成本攀升、行业利润逐渐降低是整个运维服务行业面临的共性问题。在此背景下,多数运维服务企业结合自身的业务定位,根据市场需求,不断改进和提升运维服务能力,但由于缺乏行业最佳实践,导致运维服务能力建设的难度增大、成本提高,甚至增加了选择未来前进方向的难度。而企业实施运维服务能力成熟度模型,能有效改进企业的运维服务业务,改善运维服务质量,为客户提供高满意的服务,促进运维服务企业与客户共成长。ITSS对于从事运维业务的下列企业是有益的: 传统IT系统集成企业:随着我国信息化水平在21世纪飞速发展,我国政府企业单位已基本完成了大规模的信息化建设,并逐步转向系统运维阶段,传统的IT系统集成企业的集成业务开始萎缩,如何以IT系统集成业务为主的项目型业务向以服务业务为主的服务型业务转型,从客户获取更多的持续性服务收入,是这些企业关注的问题。实施运维服务能力成熟度模型将使企业规划自身的运维服务业务,以运维服务业务为
SPCA软件过程及能力成熟度评估 1、什么是SPCA?软件过程及能力成熟度评估 “软件过程及能力成熟度评估”(简称SPCA)是软件过程能力评估和软件能力成熟度评估的统称,是信息产业部会同国家认证认可监督委员会在研究了国际软件评估体制,尤其是美国卡内基-梅隆大学SEI所建立的能力成熟度模型能力成熟度模型CMMI,并考虑国内软件产业实际情况所建立的软件评估体系。 SPCA依据的评估标准是SJ/T 11234和SJ/T 11235,这两个标准是在深入研究了CMM、CMMI、ISO/IEC TR15504、ISO9000、TL 9000以及其他有关的资料和文件以及国外企业实施CMM的实际情况后,结合国内企业的实际情况,以CMMI作为主要参考文件最终形成的,这两个行业标准由信息产业部于2001年5月1日发布实施。 SPCA评估遵循《软件过程及能力成熟度评估指南》,该指南是国家认监委和信息产业部2002年8月共同发布的利用SJ/T11234或SJ/T11235实施评估的操作指南。评估过程由经过培训的专业队伍以评估参考模型作为确定过程的强项和弱项的基础而对一个或多个过程进行检查。从不同用途考虑,评估分为内部过程改进评估和顾客选择评价两种。 目前,国家认证认可监督管理委员会(CNCA)和信息产业部已经联合发布《软件过程及能力成熟度评估监督管理办法》,CNCA授权的中国认证机构国家认可委员会(CNAB)和中国国家认证人员培训认可委员会(CNAT),已制定和试点实施“软件过程及能力成熟度评估”认可规则,并成立SPCA工作组,以推动中国软件过程及能力成熟度评估的实施。 2 实施SPCA的作用和意义 软件过程及能力成熟度评估可以规范软件开发过程及其管理、规范市场竞争、帮助企业进行内部软件过程改进、降低软件开发风险、增加软件企业的市场竞争力。 我国政府一直重视软件产业的规范和发展,强调提高我国软件开发和软件产品质量的重要性。国务院于2000年6月颁发的“18号文件” 《鼓励软件产业和集成电路产业发展的若干政策》第五章第十七条明确提出鼓励软件出口型企业通过ISO 9000系列质量保证体系认证和CMM认证,其认证费用通过中央外贸发展基金适当予以支持。目前各省市高新区、软件园或信息产业主管部门大都有对通过软件能力成熟度评估的企业给予资金奖励的制度。SPCA评估体系的建立得到了中国政府的直接支持,反映了政府大力支持和推动我国软件业发展的政策导向,随着SPCA 中国国家认可制度的建立和实施,相信对于通过SJ/T 11234和SJ/T 11235评估的企业将得到更多得政策支持。 随着我国经济市场的日益成熟,与信息产业部建立的计算机信息系统集成资质认证体制一样,SPCA评估及其评估结果在市场化运作中将会起到越来越重要的作用。广大用户和企业也越来越接受和认可SJ/T11234和SJ/T11235标准,并将作为企业招投标,选择合作伙伴的一项指标,也是进行第二方评估或评价的依据。这对我国软件企业和产业的提高、发展和壮大也将产生积极的影响。 3 SPCA的实施与评估