CMM

背景介绍： CMM是“软件能力成熟度模型”的英文简写，该模型由美国卡内基-梅隆大学的软件工程研究所（简称SEI）受美国国防部委托，于1991年研究制定，初始的主要目的是为了评价美国国防部的软件合同承包组织的能力，后因为在软件企业应用CMM模型实施过程改进取得较大的成功，所以在全世界范围内被广泛使用，SEI同时建立了主任评估师评估制度，CMM的评估方法为CBA－IPI。

CMMI是SEI于2000年发布的CMM的新版本。CMMI不但包括了软件开发过程改进，还包含系统集成、软硬件采购等方面的过程改进内容。CMMI纠正了CMM存在的一些缺点，使其更加适用企业的过程改进实施。CMMI适用SCAMPI评估方法。需要注意的是，SEI没有废除CMM模型，只是停止了CMM评估方法：CBA－IPI。现在如要进行CMM评估，需使用SCAMPI方法。但CMMI模型最终代替CMM模型的趋势不可避免。

标准特点： CMM/CMMI/SPCA的思想来源于已有多年历史的产品质量管理和全面质量管理。Watts Humphrey和Ron Radice在IBM公司将全面质量管理的思想应用于软件工程过程，收到了很大的成效。SEI的软件能力成熟度框架就是在以Humphrey为主的软件专家实践经验的基础上发展而来的。软件能力成熟度模型中融合了全面质量管理的思想，以不断进化的层次反映了软件过程定量控制中项目管理和项目工程的基本原则。

CMM/CMMI/SPCA所依据的想法是只要不断地对企业的工程过程的基础结构和实践进行管理和改进，就可以克服软硬件生产中的困难，增强开发制造能力，从而能按时地、不超预算地制造出高质量的软件产品。

CMM简介

CMM(Capability Maturity Model)是能力成熟度模型的缩写,CMM是国际公认的对软件公司进行成熟度等级认证的重要标准。CMM的工作最早开始于86年11月,当时为满足美国政府评估软件供应商能力并帮助其改善软件质量的要求,由美国国防部资助的卡内基—梅隆大学的软件工作研究所(SEI)牵头,在Mitre公司协助下,于87年9月发布了一份能力成熟度框架(Capability Maturity Framework)以及一套成熟度问卷(Maturity Questionnaire)。四年后，SEI在总结自87年以来对成熟度框架和初版成熟度问卷的经验基础上，推出了CMM1.0版。CMM10版在成熟度框架的基础上建立了一个可用的模型，该模型可以更加有效地帮助软件公司建立和实施过程改进计划。两年后，SEI于93年推出了CMM1.1版。近几年，SEI又推出了CMM2.0版，同时进入了ISO体系，称为ISO/IEC15504(软件过程评估)。

CMM共分五级。在每一级中，定义了达到该级过程管理水平所应解决的关键问题和关键过程。每一较低级别是达到较高级别的基础。其中五级是最高级，即优化级，达到该级的软件公司过程可自发地不断改进，防止同类问题二次出现；四级称为已管理级，达到该级的软件公司已实现过程的定量化；三级为已定义级，即过程实现标准化；二级为可重复级，达到该级的软件公司过程已制度化，有纪律，可重复；一级为初始级，过程无序，进度、预算、功能和质量等方面不可预测。

CMM致力于软件开发过程的管理和工程能力的提高与评估。该模型在美国和北美地区已得到广泛应用，同时越来越多的欧洲和亚洲等国家的软件公司正积极采纳CMM，CMM实际上已成为软件开发过程改进与评估事实上的工业标准。如今，全球通过CMM五级评估的软件公司大约有十几家，三级以上的大约有100余家，通过二级评估的有300家左右。软件大国印度在这方面工作开展的比较广泛，受益匪浅。目前，我国只有清华同方和IBM的合资公司——鼎新信息开发有限公司于99年7月通过CMM二级评估，该公司表示将争取早日通过CMM三级评估。

CMM与ISO9000的主要区别：

1.CMM是专门针对软件产品开发和服务的，而ISO9000涉及的范围则相当宽。

2.CMM强调软件开发过程的成熟度，即过程的不断改进和提高。而ISO9000则强调可接收的质量体系的最低标准。

ISO 20000-1:2005 IT服务管理（ITSM）规范是关于IT服务的标准，提出了用户实施IT管理的基本基线，对用户如何解决客户化和专业化问题提出了明确的要求，它主要表现为前端客户需求管理和后端流程管理。在前端，ITSM要解决如何明确客户需求，明确了解客户的业务需求和对IT服务的需求，核心就是对IT服务的级别的明确和管理。在签订了服务级别协议后，ITSM要解决一个增值化角度。既然签订了服务级别协议，那么该怎样提供服务呢？ITSM的后端思路，就是通过流程化、规范化和最佳实践，来处理IT的事件处理、变更管理、配置管理、发布管理、确保性能和客户服务，用流程方法来跟踪完成，保证效率和服务水平。把前端和后端两点贯穿起来，这个流程就是如何客户化和专业化的过程。

就目前而言，IT已成为许多业务流程必不可少的部分，它和业务流程形成了一个有机的整体，这对IT本身是件好事。但这种地位的提升同时意味着IT要承担更大的责任。一方面为了提高业务流程的质量和效率，IT必须满足业务流程不断变化的需求；另一方面，为了降低业务流程的运营成本，IT有关的成本也必须不断降低。可是，实际情况是IT在这两个方面都没有做出令人满意的回答。部分原因是IT提供者自认为是的“特殊组织”，不能以常规对待它，往往从技术角度考虑问题，出现问题时往往是一句 “这就是IT”就推掉了所有责任。业务部门或组织因为不懂IT，即使感觉不对劲，也不知原因何在。

为了解决这种情况，ITSM贯彻质量思想，应用质量方法和标准来管理IT服务。服务提供流程制定服务级别协议、监督协议的执行并评价最终结果，服务提供流程根据服务协议提供服务。这整个过程关注的不仅仅是IT服务提供者是否提供了某种服务，更重要的是IT服务提供者是否提供了用户满意的服务，并且这个过程是符合成本效益原则的。通过 ITSM，业务部门可以避免前面提到的尴尬局面，根据一套量化的质量指标，“理直气壮”地处理与IT部门之间的关系；IT部门也可以提高服务质量、降低服务成本、学习以前的经验并处理好和业务部门之间的关系。

ISO 20000-1:2005相对于传统的IT管理，更加强调客户的需求及其实现，并将IT服务的预算和核算引入IT服务管理，将财务管理和服务管理有机的结合起来，促进IT服务的改进和提高。

　考虑到用管理体系的方法来保护信息安全时，BS7799信息安全管理体系标准无疑是一个很好的帮助：

BS7799是一套基于最佳实践的成功的信息安全管理体系方法，她最早由英国商务部推动，由BSI将其发展成为标准。BS7799共分两部分，第一部分已经在2000年被采纳为ISO17799，是信息安全管理实践指南，第二部分BS7799-2是信息安全管理体系规范，换言之，第二部分告诉我们应该做什么，第一部分则提供了一些如何做或者好做法的指导。

从中我们可以看到，作为一个信息安全管理体系，输入是相关方的信息安全的期望和要求，经过一个PDCA体系的循环，得到的输出将是各相关方信息安全要求的满足，也就是说，信息安全已经受到管理和掌控。
BS7799汇集了优秀企业最佳实践，规范了10个安全控制区域，36个安全控制目标和127个安全控制措施。她以风险评估为基础，自顶向下的管理方法，从组织、人员、流程、技术、法律法规、永续经营等全方位实施的管理体系。

我们构建一个信息安全管理体系，需要考虑以下几个步骤：

1. 定义范围

2. 定义方针

3. 确定风险评估的方法

4. 识别风险

5. 评估风险

6. 识别并评估风险处理的措施

7. 为处理风险选择控制目标和控制措施

8. 准备适用性声明

而构建一个成功的信息安全管理体系的关键成功因素在于：

1. 最高领导层对管理体系的承诺；

2. 体系与整个组织文化的一致性，与业务营运目标的一致性；

3. 理清职责权限；

4. 有效的宣传、培训，提升意识，不仅要针对内部员工，也要针对合作伙伴、供应商、外包服务商等。

5. 盘清信息资产、明确信息安全的要求，明晰风险评估和处理的方法和流程；

6. 均衡的测量监控体系，持续监控各种变化，从监控结果中寻求持续改进的机会。

信息安全管理体系当前的发展：

BS7799-2可以提供认证服务，该标准是当前唯一可以提供对组织的信息安全管理体系的认证标准。在实施了一套信息安全管理体系之后，可以籍由第三方独立认证，向社会、向公众、向客户证实所实施体系的有效性和效果，提供信心保障。

当前全球已经颁发了超过1000张证书，并且这个数字正在不断增长中，证书主要集中在日本、英国、印度、台湾。证书的分布主要在政府、金融、通信、电子、物流等行业。我国已经颁发证书10张，当前正处于一个蓄势待发的阶段。