ISO及CMM的比较.docVIP

ISO9001和CMM的比较 一、背景： 　　ISO 9000族国际标准是在总结了英国的国家标准基础之上产生的，因此，欧洲通过ISO 9000认证的企业数量最多，约占全世界的一半以上。受此影响，相当多的欧洲软件企业选择了ISO 9001或TickIT****（ISO 9001）认证。 　　CMM是由美国卡内基-梅隆大学的软件工程研究所（SEI）开发的软件成熟度模型，美国的软件企业更多的选择取得CMM等级证书。在形式上，CMM分为5个等级（第1级级别最低，第5级级别最高），与ISO 9000审核后只有“通过”和“不通过”两个结论相比，CMM是一个动态的过程，企业在取得低级别证书后，可根据高级别的要求确定下一步改进的方向。 　　在基本原理方面，ISO 9001和CMM都十分关注软件产品质量和过程改进。尤其是ISO 9000:2000版标准增加持续改进、质量目标的量化等方面的要求后，在基本思路上和CMM更加接近。 ①　本文参考了Mark C. Paulk先生的 HOW ISO 9001 COMPARES WITH THE CMM，但观点不尽相同。 ②　ISO 9001是软件企业开展质量体系认证依据的标准； ③　ISO 9000-3是国际标准化组织（ISO）制定的软件开发企业实施ISO 9001指南； ④ TickIT认证是一个基于ISO 9001的、专门针对软件开发企业的认证制度，与取得非TiclIT（ISO 9001）认证相比，TickIT对审核员的专业要求更高， TickIT（ISO 9001）证书在业界更有权威性 二、内容 　　下面以ISO 9001为主线，列出了ISO 9001的要点及CMM的对应部分。 1.要素4.1：管理职责： 　　ISO 9001标准要求： 　　组织应规定质量方针，形成文件并予以实施和保持; 　　对从事与质量有关的管理、执行和验证工作的人员规定其职责、权限和相互关系； 　　识别和提供验证资源 　　被指派的管理者保证实施和保持质量大纲。 　　CMM第2级提出了质量方针和验证的职责，包括识别各类人员在项目中的职责，建立一支受过培训的软件质量保证小组和指派高级管理者监控软件质量保证(SQA)活动。 　　作为CMM的通用特点，CMM在高级管理人员和项目经理两个层次上识别管理职责，以监控软件项目，支持SQA审核，建立支持软件工程的组织结构和分配资源。 　　ISO 9001要求的质量目标（一种量化的、可检查的要求），与在CMM第4级提到的“量化的”质量方针是一致的 2.要素4.2：质量体系： 　　ISO 9001要求建立一个文件化的质量体系包括质量手册、质量计划、程序文件和作业指导书。 　　CMM第2级提出验证符合性和管理过程的质量体系活动，在软件开发计划中规定软件项目使用的具体程序和标准。CMM的验证实施（Verifying Implementation）通用特点明确要求进行审核以保证符合特定标准和程序。 　　CMM第3级要求组织必须规定软件工程任务，并持续实施，在全组织都必须规定软件过程资源，包括标准、程序和过程描述。 　　与ISO 9001相比，CMM特别强调组织支持和项目实施之间的关系。 3.要素4.3：合同评审： 　　ISO 9001要求组织必须评审每一个合同以判断需求是否明确、组织是否有能力满足合同要求。 　　CMM第2级提出组织必须文件化顾客要求并予以评审，明确不恰当或模糊的要求。 　　CMM第2级也要求描述目的、工作陈述和软件开发计划以履行软件工程小组和高级管理者评审过的外部（合同）承诺。 4.要素4.4：设计控制： 　　ISO 9001要求组织建立控制和验证设计的程序，包括： 　　策划设计和开发活动； 　　规定组织上和技术上的接口； 　　识别设计输入和设计输出； 　　评审、验证和确认设计； 　　控制设计更改 　　CMM第3级描述生存周期过程，包括需求分析、设计、编码和测试；第2级提出策划和跟踪所有项目活动，包括上述生存周期活动及配置管理。 　　ISO 9001要求必须进行设计评审，至于应如何进行设计评审，并没有提出具体要求，组织可根据具体情况，在一定范围内选择。与此不同的是，CMM第3级特别要求设计评审要采用同行评审的方式。ISO 9000-3关于设计评审的指南包含了CMM这一要求。 　　CMM第4级对设计过程的要求与ISO 9001相比更加正式和量化。 5.要素4.5：文件和资料的控制 　　ISO 9001要求组织控制文件和资料的发放与更改。 　　CMM第2级提出要将对文件和资料的控制纳入配置管理，第3级特别要求对文件控制须实施并维持配置管理体系。在CMM的实施活动（Activities Performance）通用特点章节中，对不同的关键过程区域明确了哪些专门的程序文件、标准和其