CMM

背景介紹︰ CMM是“軟件能力成熟度模型”的英文簡寫，該模型由美國卡內基-梅隆大學的軟件工程研究所（簡稱SEI）受美國國防部委托，于1991年研究制定，初始的主要目的是為了評價美國國防部的軟件合同承包組織的能力，後因為在軟件企業應用CMM模型實施過程改進取得較大的成功，所以在全世界範圍內被廣泛使用，SEI同時建立了主任評估師評估制度，CMM的評估方法為CBA－IPI。

CMMI是SEI于2000年發布的CMM的新版本。CMMI不但包括了軟件開發過程改進，還包含系統集成、軟硬件采購等方面的過程改進內容。CMMI糾正了CMM存在的一些缺點，使其更加適用企業的過程改進實施。CMMI適用SCAMPI評估方法。需要注意的是，SEI沒有廢除CMM模型，只是停止了CMM評估方法︰CBA－IPI。現在如要進行CMM評估，需使用SCAMPI方法。但CMMI模型最終代替CMM模型的趨勢不可避免。

標準特點︰ CMM/CMMI/SPCA的思想來源于已有多年歷史的產品質量管理和全面質量管理。Watts Humphrey和Ron Radice在IBM公司將全面質量管理的思想應用于軟件工程過程，收到了很大的成效。SEI的軟件能力成熟度框架就是在以Humphrey為主的軟件專家實踐經驗的基礎上發展而來的。軟件能力成熟度模型中融合了全面質量管理的思想，以不斷進化的層次反映了軟件過程定量控制中項目管理和項目工程的基本原則。

CMM/CMMI/SPCA所依據的想法是只要不斷地對企業的工程過程的基礎結構和實踐進行管理和改進，就可以克服軟硬件生產中的困難，增強開發制造能力，從而能按時地、不超預算地制造出高質量的軟件產品。

CMM簡介

CMM(Capability Maturity Model)是能力成熟度模型的縮寫,CMM是國際公認的對軟件公司進行成熟度等級認證的重要標準。CMM的工作最早開始于86年11月,當時為滿足美國政府評估軟件供應商能力並幫助其改善軟件質量的要求,由美國國防部資助的卡內基—梅隆大學的軟件工作研究所(SEI)牽頭,在Mitre公司協助下,于87年9月發布了一份能力成熟度框架(Capability Maturity Framework)以及一套成熟度問卷(Maturity Questionnaire)。四年後，SEI在總結自87年以來對成熟度框架和初版成熟度問卷的經驗基礎上，推出了CMM1.0版。CMM1　0版在成熟度框架的基礎上建立了一個可用的模型，該模型可以更加有效地幫助軟件公司建立和實施過程改進計劃。兩年後，SEI于93年推出了CMM1.1版。近幾年，SEI又推出了CMM2.0版，同時進入了ISO體系，稱為ISO/IEC15504(軟件過程評估)。

CMM共分五級。在每一級中，定義了達到該級過程管理水平所應解決的關鍵問題和關鍵過程。每一較低級別是達到較高級別的基礎。其中五級是最高級，即優化級，達到該級的軟件公司過程可自發地不斷改進，防止同類問題二次出現；四級稱為已管理級，達到該級的軟件公司已實現過程的定量化；三級為已定義級，即過程實現標準化；二級為可重復級，達到該級的軟件公司過程已制度化，有紀律，可重復；一級為初始級，過程無序，進度、預算、功能和質量等方面不可預測。

CMM致力于軟件開發過程的管理和工程能力的提高與評估。該模型在美國和北美地區已得到廣泛應用，同時越來越多的歐洲和亞洲等國家的軟件公司正積極采納CMM，CMM實際上已成為軟件開發過程改進與評估事實上的工業標準。如今，全球通過CMM五級評估的軟件公司大約有十幾家，三級以上的大約有100余家，通過二級評估的有300家左右。軟件大國印度在這方面工作開展的比較廣泛，受益匪淺。目前，我國只有清華同方和IBM的合資公司——鼎新信息開發有限公司于99年7月通過CMM二級評估，該公司表示將爭取早日通過CMM三級評估。

CMM與ISO9000的主要區別︰

1.CMM是專門針對軟件產品開發和服務的，而ISO9000涉及的範圍則相當寬。

2.CMM強調軟件開發過程的成熟度，即過程的不斷改進和提高。而ISO9000則強調可接收的質量體系的最低標準。

ISO 20000-1:2005 IT服務管理（ITSM）規範是關于IT服務的標準，提出了用戶實施IT管理的基本基線，對用戶如何解決客戶化和專業化問題提出了明確的要求，它主要表現為前端客戶需求管理和後端流程管理。在前端，ITSM要解決如何明確客戶需求，明確了解客戶的業務需求和對IT服務的需求，核心就是對IT服務的級別的明確和管理。在簽訂了服務級別協議後，ITSM要解決一個增值化角度。既然簽訂了服務級別協議，那麼該怎樣提供服務呢？ITSM的後端思路，就是通過流程化、規範化和最佳實踐，來處理IT的事件處理、變更管理、配置管理、發布管理、確保性能和客戶服務，用流程方法來跟蹤完成，保證效率和服務水平。把前端和後端兩點貫穿起來，這個流程就是如何客戶化和專業化的過程。

就目前而言，IT已成為許多業務流程必不可少的部分，它和業務流程形成了一個有機的整體，這對IT本身是件好事。但這種地位的提升同時意味著IT要承擔更大的責任。一方面為了提高業務流程的質量和效率，IT必須滿足業務流程不斷變化的需求；另一方面，為了降低業務流程的運營成本，IT有關的成本也必須不斷降低。可是，實際情況是IT在這兩個方面都沒有做出令人滿意的回答。部分原因是IT提供者自認為是的“特殊組織”，不能以常規對待它，往往從技術角度考慮問題，出現問題時往往是一句 “這就是IT”就推掉了所有責任。業務部門或組織因為不懂IT，即使感覺不對勁，也不知原因何在。

為了解決這種情況，ITSM貫徹質量思想，應用質量方法和標準來管理IT服務。服務提供流程制定服務級別協議、監督協議的執行並評價最終結果，服務提供流程根據服務協議提供服務。這整個過程關注的不僅僅是IT服務提供者是否提供了某種服務，更重要的是IT服務提供者是否提供了用戶滿意的服務，並且這個過程是符合成本效益原則的。通過 ITSM，業務部門可以避免前面提到的尷尬局面，根據一套量化的質量指標，“理直氣壯”地處理與IT部門之間的關系；IT部門也可以提高服務質量、降低服務成本、學習以前的經驗並處理好和業務部門之間的關系。

ISO 20000-1:2005相對于傳統的IT管理，更加強調客戶的需求及其實現，並將IT服務的預算和核算引入IT服務管理，將財務管理和服務管理有機的結合起來，促進IT服務的改進和提高。

　考慮到用管理體系的方法來保護信息安全時，BS7799信息安全管理體系標準無疑是一個很好的幫助︰

BS7799是一套基于最佳實踐的成功的信息安全管理體系方法，她最早由英國商務部推動，由BSI將其發展成為標準。BS7799共分兩部分，第一部分已經在2000年被采納為ISO17799，是信息安全管理實踐指南，第二部分BS7799-2是信息安全管理體系規範，換言之，第二部分告訴我們應該做什麼，第一部分則提供了一些如何做或者好做法的指導。

從中我們可以看到，作為一個信息安全管理體系，輸入是相關方的信息安全的期望和要求，經過一個PDCA體系的循環，得到的輸出將是各相關方信息安全要求的滿足，也就是說，信息安全已經受到管理和掌控。
BS7799匯集了優秀企業最佳實踐，規範了10個安全控制區域，36個安全控制目標和127個安全控制措施。她以風險評估為基礎，自頂向下的管理方法，從組織、人員、流程、技術、法律法規、永續經營等全方位實施的管理體系。

我們構建一個信息安全管理體系，需要考慮以下幾個步驟︰

1. 定義範圍

2. 定義方針

3. 確定風險評估的方法

4. 識別風險

5. 評估風險

6. 識別並評估風險處理的措施

7. 為處理風險選擇控制目標和控制措施

8. 準備適用性聲明

而構建一個成功的信息安全管理體系的關鍵成功因素在于︰

1. 最高領導層對管理體系的承諾；

2. 體系與整個組織文化的一致性，與業務營運目標的一致性；

3. 理清職責權限；

4. 有效的宣傳、培訓，提升意識，不僅要針對內部員工，也要針對合作伙伴、供應商、外包服務商等。

5. 盤清信息資產、明確信息安全的要求，明晰風險評估和處理的方法和流程；

6. 均衡的測量監控體系，持續監控各種變化，從監控結果中尋求持續改進的機會。

信息安全管理體系當前的發展︰

BS7799-2可以提供認證服務，該標準是當前唯一可以提供對組織的信息安全管理體系的認證標準。在實施了一套信息安全管理體系之後，可以籍由第三方獨立認證，向社會、向公眾、向客戶證實所實施體系的有效性和效果，提供信心保障。

當前全球已經頒發了超過1000張證書，並且這個數字正在不斷增長中，證書主要集中在日本、英國、印度、台灣。證書的分布主要在政府、金融、通信、電子、物流等行業。我國已經頒發證書10張，當前正處于一個蓄勢待發的階段。