ISO9001标准条款到CMM模型的映射
标出强相关性的列表示相关性较直接的关键过程区域和共同特征。标着判断相关性的列,包括在确定合理相关性时,需要一定程度主观性理解的关键过程区域和共同特征。
ISO9001条款 强相关性 判断相关性
1、管理职责 履行的承诺 软件项目规划 软件项目追踪和监督软件质量标准 履行的能力 实现矫正 软件质量管理
2、质量体系 实现矫正 软件项目规划 软件质量标准 软件产品工程 组织工程定义
3、合同评估 需求管理 软件项目规划 软件子合同管理
4、设计控制 软件项目规划 软件项目追踪和监督软件配置管理 软件产品工程 软件质量管理
5、文档和数据控制 软件配置管理 软件产品工程
6、采购 软件子合同管理
7、客户-供货产品的控制 软件子合同管理
8、产品确认和追踪 软件配置管理 软件产品工程
9、工程控制 软件项目规划 软件质量帮助 软件产品工程 定量工程管理 技术改变管理
10、检查和测试 软件产品工程 伙伴审查
11、检查控制、度量和测 试设备 软件产品工程
12、检查和测试状态 软件配置管理 软件产品工程
13、不合格产品的控制 软件配置管理 软件产品工程
14、矫正和预防措施 软件质量保证 软件配置管理 缺陷预防
15、处理、储藏、包装、保存和分发 软件配置管理 软件产品工程
16、质量数据控制 软件配置管理 软件产品工程、伙伴审查
17、内部质量审计 实现检验、软件质量保证
18、培训 履行的能力、培训计划
19、服务
20、统计技术 度量和分析 机构过程定义 定量过程管理 软件质量管理
虽然ISO9001中的一些问题没有被CMM模型履盖,反过来也一样;详细程度也有很大的不同:ISO9001的第4部分有五页;ISO9000-3的第5、第6和第7部分有11页,而CMM模型超过500页,但是,ISO9001和 CMM模型之间的相关性还是很明显的。
如表1所示,ISO 9001条款在CMM模型的关键过程区域中没有强相关性,没有在CMM模型中解决的是客户-供货产品的控制(7)和处理、储藏、包装、保存和分发15)。ISO 9001条款,CMM模型所完全没有解决的是服务(19)。ISO9001条款与CMM模型的判断相关性具有相当主观性的是矫正和预防活动。
两个文档的最大不同是CMM模型明确强调持续的过程改进。ISO9001只解决质量体系的最小的保证。另一个不同是CMM模型只关注软件,而ISO9001有更大的范围包括硬件、软件和服务。
两个文档的最大相似是它们的底线:“说你想做的;做你想说的。” ISO9001的基本假设是机构应该通过质量控制活动,归档每个重要过程和检查每个重要过程。CMM模型也强调文档化的过程和文档化的设计。“按文档化的程序”和遵循“书面形式的机构政策”是CMM模型关键过程区域的特征。在一个更详细的层次上,ISO9001的一些条款可以很容易地映射到与它们相当的CMM实践。因为两个文挡的结构是不同,所以其他的相关性映射是多对多的方式.例如,ISO9001培训条款(18)同时映射到培训计划关键过程区域和所有关键过程区域中的培训熟悉实践。
四、遵循ISO9001与CMM模型的关系
乍看,获得ISO9001认证的机构将处于CMM模型的第3或第4等级。事实上,一些第1等级的机构也以获得了ISO9001认证。这种差异的一个原因是ISO9001的高度抽象性,导致审计员以不同的方式解释。如果审计一个经过TickIt培训的机构处于第3等级,ISO9001的设计评估将直接映射到CMM模型的对等评估。不过并不是所有的审计员都对软件开发很熟悉。TickIt的优点在于它培训审计员理解怎样在软件行业应用ISO9001。
我们可以注意到:
(1)第2等级的大多数关键过程区域都与ISO9001强烈相关。
(2)每个关键过程区域在某些解释下至少与ISO9001弱相关。
在这个基础上,一个被评估为第1等级的机构可以被认证为遵循了ISO9001。然而,那个机构必须具有第2等级的重要过程实力和一定的第3等级过程实力。如果一个机构遵循ISO9001的精神,它将接近或超过第2等级。然而,机构在基于CMM模型的评估时可能发现存在严重的问题,而在ISO9001审计是却没有发现。
虽然SW-CMM模型并不足够地解决某些特殊问题,一般说来,它包含了ISO9001的关注点。反过来,却不正确。ISO9001仅仅描述了质量管理体系的最小准则,而不是解决整个过程改进,虽然ISO9001的未来修订版可能会关注这个问题。这些区别已经足够使一个严格的映射变得不切实际,但是它们的相似性反映了二者是高度重叠的。
五、结论
下面是本文开始所列的三个问题的回答:
(1)严格遵循ISO9001的机构并不满足CMM模型第2等级的所有关键过程区域,但它满足第2等级的大部分目标和许多第3等级的目标。更进一步,因为ISO9001并不关注所有的CMM模型实践,一个第1等级的机构可能获得 ISO9001认证。
(2)一个第2等级(或第3)等级的机构将能被认为遵循ISO9001,但是即使是第3等级的机构也需要保证它恰当地解决了ISO9001关于分发和安装的4.15条款,它还将考虑到ISO90003中关于所使用软件产品的6.8条款。如果考虑到这些,处于第2或更高等级的机构,将相对很容易地获得认证。
(3)对于软件过程改进应该基于CMM模型还是ISO9001。简短的回答是一个机构应该同时考虑两者,虽然两者有很大程度的重叠。市场运作需要获得ISO9001认证;解决CMM模型所关注的问题,将帮助机构准备ISO9001审计。相反,处于第1等级的机构如果解决ISO9001所关注的问题,也可能获得ISO9001认证,个人认为,虽然两者都可以单独使用来设计一个过程改进计划CMM模型给出更详细的指导,这将是一个更好的选择。
在任何情况下,软件机构应该关注于过程改进,建立竞争优势,而不是获得分数——不管是成熟度等级还是ISO9001认证。