ISO 9001与CMM异同分析

quhp1978

差距分析
　　进行差距分析研究的主要难度是如何确定和描述“典型的”ISO机构或“典型”的第i级CMM机构的过程。为了有利于进行实践性的分析，我们提出一些假设。第一，尽管ISO9001也着眼于一个机构的一般性的操作和其服务支持，但我们在这里仅仅关注软件过程。第二，尽管ISO/TickIT标准中叙述和隐含了许多内容，但我们将在“典型”的ISO机构中不理会所谓的“一般的规则”、“一般地复核”和“一般地期望”等说法。例如，TickIT指南包括一些意指机构逐步改进的条文，但这些改进的定义并不精确，而且，实际上，在ISO9000认证中这些条文并不是强制性的（虽然它们也可能在复核一个“成熟的”ISO机构时被检查到）。第三，CMM在每一个关键过程域（KPA）下都包括许多关键实践（Key Practice），其中许多都被归入“承诺执行”、“能执行”、“测量”和“验证”等类别，这些关键实践着眼于策略、授权、复核、和过程的其他方面。这里，我们将主要关注“执行活动”这一类关键实践，在需要的时候，还包括其他关键实践。
　　在CMM中，对于每个关键过程域，都有一些该机构过程必须达到的目标。且每个关键过程域都有关键实践（关键实践被分成5组），这些关键实践如果被实施后将满足相应的目标。我们使用以下的方法，首先从CMM评估中使用的由SEI提供的关键过程域覆盖参考表开始，对每个关键过程域，这些表格给出了不同的目标、要达到每个目标需要完成的活动、和该目标下所需的人为因素和文件，这些形成了差距分析的基础。针对每个目标，我们可以检查ISO/ TickIT是否可能满足该目标，如果不能，我们列出可能缺少那些，作为ISO机构相对于CMM的可能的差距。

quhp1978

差距小结
基于上述分析，我们可以总结ISO机构相对于CMM第二级、第三级、和第四级存在的差距。
关于CMM Level 2,3,4的差距一览表
        CMM 2级的关键过程域        可能的差距
1        需求管理        无
2        项目计划        用于估计的文档化的程序
3        项目跟踪和遗漏         对项目工作进行跟踪和与估计的开销进行比较
                根据实际的开销及进度采取的纠正措施
4        软件分包合同管理        与分包商的定期的沟通
5        软件质量保证        无
6        软件配置管理        无
CMM 3级的关键过程域
7        机构的过程重点        对在本公司其他部门使用的新的工具和过程予以确认和分发的方法
                关于软件过程的制订和改进活动的计划
8        机构的过程定义        用于制订和维护一个过程的文档化的程序
                裁剪指南
                足够详细的过程定义
                全公司层次的软件过程数据库
                过程评价库
9        培训项目        进行培训的程序
                课程准备的标准
                告别程序
10        集成的软件管理        裁剪指南
                学习技术和管理
                风险管理指南程序
                跟踪研究开销、关键资源等
                确定是否需要采取适当措施的实际结果与预期结果差异的限度
11        软件产品工程        工具选择的合理性
                缺陷数据分析
12        部门间协调        无
13        同位体复核        本关键过程域下的所有活动和目标
CMM 4级的关键过程域
14        过程量化管理        管理一个项目的定量化方法，包括制订计划、收集数据、分析数据、必要时采取 纠正措施
                定量化的过程能力（该能力将用于项目计划和执行）
15        软件质量管理        为一个项目制订量化目标的方法，量化地监视项目进展和必要时采取纠正措施的 方法
                定量化的过程质量能力

quhp1978

下一步如何做
　　下面列的差距是一个ISO机构相对于CMM的不同级别的最有可能存在的差距，对于具体的ISO机构，其实际情况将依赖于其ISO实施的成熟情况和其所具有的过程的类型，因此，对于准备提高到较高级别的CMM水平的ISO机构来讲，它必须首先通过这里概述的途径确定其实际存在的差距。一个机构的差距可能是所列差距的一个子集。
　　一旦差距已经确知，就要为弥补差距而制订行动计划。差距弥补工作包括两个主要的部分，一是确定为弥补差距需要做什么（亦即程序），二是部署为项目所定义的程序。与任何过程相同，确定程序是一项概念性的活动，因此，需要对当前过程和机构目标有很好的理解，这样，才可以设计出有意义的程序。部署程序则的难度则要大一些。
　　为了计划和执行的目的，可以将差距分成三类，过程问题与一个过程定义（和实施）相关，结构或管理问题解决弥补差距所需的管理结构，度量数据相关问题处理过程数据的使用问题。上述三类中的不同差距如下。

quhp1978

过程问题
评估程序
建立和维护过程的过程
足够详细的生命周期过程
过程裁剪指南
进行培训的程序
准备课程材料的标准
风险管理指南/过程
同行复核过程
定量管理某项目的指南
设定定量目标的指南
结构/管理/策略问题
收集和分发从项目中学习到的内容
确定和发布在公司内其他部门已经使用的工具和程序
过程评价的收集并确保其他项目可以得到它们
从项目收集数据（关于开销、进度、缺陷和软件大小等）
与分包商的沟通渠道和结构
培训的告别策略
基于项目实际结果和一旦出现偏离超过筏值而采取纠正措施的项目跟踪
软件过程建立和改善的计划
同行复核策略（亦即数据收集和复核）
度量数据
过程数据库——它可能含有从已经完成的项目中得到的综合数据
过程能力——在量化前提下理解过程能力
量化分析项目的过程执行
在项目计划中恰当地使用这些数据

quhp1978

如何解决过程问题
　　为解决过程问题，首先要定义过程。过程定义的方法之一是成立工作组或机构任务力量经过了时间考验的方法。对于结构/管理问题，建立过程本身不是最难的部分，为支持这些活动，机构内部需要一定的结构，例如，对于学习，为了确定“好的准则”可能需要某些方法，然后，再建立一些方法来发布这些准则。类似地，项目中的数据收集是一个管理问题——如何确保从项目中收集到好的数据。一些结构问题也可以被看成是过程问题，如用项目结果来跟踪项目；我们相信，这类问题仍然是管理问题——因为问题是要找到完成这一活动的好的方法。数据分析问题一般都在常规项目周期之外，所以是单独分组的。因为上述原因，需要定义管理结构和程序。
　　一旦定义了过程，确定了机制，且定义了数据分析程序，试行或部署就可以开始了。部署一个过程的机制应该在过程管理过程中予以定义，例如，一个过程可能包括：首先为试行项目产生一个新的过程，然后，仔细调整这个过程，最后予以部署。过程管理过程定义部署所用的过程（这样也就弥补了一个差距）。但是，应当理解，任何部署都需要部署结构和部署资源，除非经过恰当培训的资源主动地承担了部署任务，否则，部署是很难达到的。

quhp1978

　　从CMM评估的角度看，有两条可能的全局性的部署途径。第一种选择是在整个公司范围内全面部署新的过程，然后进行评估，第二种选择是在公司的某些部分进行一定范围内的部署，然后再进行评估。后者较为快捷，而且在全公司范围内的部署开始之前进行了过程的验证。从CMM的角度来看，两种途径都是可以的。评估是意在通过检测一定数量的项目和人来证实公司具有在某一水平上执行项目的能力。这个能力可以通过有限的部署来证实，而且，处于CMM的某个级别并不意味着该公司的所有项目都遵循该级别的过程——某些项目可能由于顾客或商业原因而遵循较低级别的过程。
　　如果一个ISO机构采用CMM框架，它应该将目标确定在哪一个级别上呢？虽然许多人认为第三级是自然而然的选择，但我们认为，正确的目标应该是第四级。因为从ISO到第三级并未带来多少明显的好处，而且基本的基于过程的方法大都没有什么改变。而第四级别只多了两个关键过程域，对ISO机构来将，只要多付出一点努力，该级别就可以达到。瞄准第四级的主要好处是它改变了项目和过程的管理方式——所有的事物都变成面向数据的了。这一基本的操作变化使得机构对其过程有了量化的认识。
　　ISO机构要解决的第二个主要的问题是它弥补差距的工作应该进行多少遍。传统智慧告诉我们修改应该慢慢地、不断增加地进行，但我们认为，如果差距不是很大，全面迅速的方法可能更合适。在这种途径下，所有已经确定的差距都相互进行弥补，从而使得一组过程符合第四级。以后，这些过程就必须予以实施。这种方法下成功的关键因素是将达到某个级别的所有动议当作一个项目来对待和管理，该项目由公司的高级管理者来支持和监督。

quhp1978

　　达到第四级所需的时间，根据差距的大小、公司为达到较高成熟度水平而达建立的责任、和过程改进动议的管理等的不同而有所不同，如果公司有一个健全的度量系统，在其ISO认证的质量体系中对过程的定义足够详细，且有足够的处理差距的动力，那么，公司可以在一到两年内达到第四级。





OVER