软件过程及能力成熟度评估CMMI

CMMI：CMMI认证流程（图）

一、 申请CMMI认证

选择CMMI级别

软件企业申请认证CMMI不同的级别标准要求，要审时度势自身情况。一方面了解公司现有质量体系、实施过程、实施效果的运行情况;另一方面要根据企业规模、公司实力、管理需求等综合要素，不可好大喜功，一味选择CMMI更别的认证。在申请的CMMI认证时，有的企业从CMMI2开始、有的企业从CMMI3开始、有的CMMI3通过后跳过CMMI4而直接申请CMMI5、有的就从CMMI2、CMMI3、CMMI4、CMMI5逐步申请认证。

计划参与评估的部门

CMMI评估，有的是整个公司参与评估，有的是个别部门参与评估，不管以哪种方式参与评估，公司都要权衡决定，参与评估的部门。

CMMI培训

当确定申请CMMI认证的级别后，与申请CMMI认证级别的要求进行比较，从而找出区别。结合企业自身实际情况，从而可以为通过认证作好充分的准备，尤其是对此级别相关知识进行加强培训，了解标准的要求。 

二、 选择主任评估师

一般情况下，企业自身确认好CMMI等级后，可以找专业的CMMI咨询公司，协助完成后面的认证流程。

主任评估师是认证评估的发起者，也是评估小组的，这个角色应该拥有足够的经验、知识、技术来负责和领导评估活动。CMMI评估是基于个人资格、信誉的认证，对个人专业技术及综合能力素质要求都很高。要慎重选择，主要从以下几个方面考虑：

全球从事CMMI认证企业很多，拥有SEI评估师资格的也很多，通常有美国的、印度的、中国的。美国评估师直属于SEI，属本地认证，说美国评估师进行评估具有说服力，信服力，对于中国软件企业而言，聘请美国的主任评估师，由于语言的不同，在沟通上存在一定的困难，在进行评估面谈沟通交流时，要配置专门的翻译。

三、 工作准备

选择评估小组成员

本活动包括识别有用的职员、评定其资格和从中挑选人员作为评估小组成员。它可以发生在评估发起者做出管理评估活动的许诺之后，并能为评估计划保证提供输入。具体的行为包括：(1)、保证评估小组成员满足个人的Zui低标准;(2)、保证评估小组作为一个整体满足的Zui低标准;(3)、文档化在评估输入中小组成员的职责和资格。

SCAMPI评估可接受的评估小组Zui小规模是4个成员(包括小组)。推荐的Zui大规模是9个成员。所有小组成员之前必须完成获得SEI推荐的并由SEI认可的授课者所教授的CMMI课程。小组成员必须接受有关评估方法的培训。关于工程领域的经验，评估小组(作为一个整体)平均至少要有6年以上的经验，且小组总的经验要不少于25年，这些规定都隐藏在评估活动中。关于管理经验，评估小组(作为一个整体)总的经验不能少于10年，且至少有1名成员拥有6年以上的管理经验。

评估小组应该在评估组织内部所使用的生命周期里具有代表性的经验。在任何特定的生命周期阶段，评估小组至少应有两名成员具有从事这方面工作的经验。必须保证，小组成员不应该成为任何特定项目的管理者或者成为任何预定被访问者的直接管理链中的一个。

组建准备评估小组

评估小组有责任确保评估小组成员为执行计划的评估活动完成充分的准备。这包括熟悉在评估过程中将使用的参考模型、SCAMPI、评估计划、组织数据和特征、工具和技术以及为评估任务分配任务和职责。小组建立练习通常被用来实践简单的技能和在理解小组目标及如何取得满意上达成一致。所有的小组成员被要求遵守严格规则以保证机密性、保护所有者或敏感数据以及项目参与者未知的信息。私下陈述通常被用来达成这些谅解。具体的行为包括：

保证评估小组成员已接受参考模型培训;

为评估小组成员提供评估方法培训或确保他们已掌握此方法;

为评估小组和小组规范的建立提供服务;

为评估小组成员提供关于评估目标、计划和他们自身分配的职责和任务的定位。

模型培训必须利用CMMI课程的标准来提供，并由CMMI办事机构认证的授课者讲授。方法培训可能通过下面两种方法之一进行：

针对即将到来的评估作明确性的方法培训;

对大量的目前并没有从事任何评估工作的潜在的小组成员进行方法培训。

对一个完全重新组建的小组进行方法培训至少持续两天，且必须强调那些小组成员在评估过程很可能遇到的情况。本培训在SCAMPI的应用中没有必要包含所有的变量。针对潜在的将来的小组成员所进行的团体式方法培训必须包含方法上剪裁部分的所有内容和允许的变更以应付一系列在将来的评估中他们很可能会遇到的情况。SEI评估程序为那些目前不是评估小组成员的人们所得到的培训指定了额外的要求。那些在以前的评估小组中作为成员已接受过培训的小组成员，如果并没有进行目前的方法培训，那么他们并不自动地具有参加当前评估的资格。在这样的案例中，评估小组要求了解以前的培训的本质和为即将到来的评估开展的培训足够多的内容。这需要对以前的评估和计划的评估进行比较。例如，假如小组成员使用连续表示法参与了一个仅集中在软件工程领域的评估，而计划的评估是使用阶段表示法集中在SE/SW/IPPD领域，那么该小组成员需要许多重要的新概念来覆盖。作为一个整体，评估小组至少产生一个结果来说明如何为即将到来的评估展开工作，建立小组规范和操作决议的目的。

参评单位准备

组织级QA

组织组CM

SEPG小组

经理

委员会(项目与质量管理委会员、变更委员会)

人力资源的培训

维护服务的准备

商务法律部

四、 预评估

通过预评估判定企业是否准备充分可以进行正式的SCAMPI/CBA-IPI。通过一位主任评估师指导进行，初步了解项目的成熟度，按照CMMI相关级别的KPA识别明显缺陷并推荐纠正措施，以便更好进行正式评估。主要工作包括组织级和项目组长的文档审阅及与项目组人员的面谈。评估结束，提交预评估结果并与组织进行有关讨论。

选择参与正式评估的项目，在预评估的过程中，从公司全体项目中，挑选出项目参与评估，并不是所有项目评估。

在预评估过程中，评估师考核公司背景，项目角色涉及到是否覆盖所在的范围，核实参与项目覆盖与所申请的级别一致，如：既要有软件项目，又要有集成项目，是一个事业部，还是所有事业部的。查看实际情况与所申请的级别相符，如果相距太大，会劝说降低认证级别。主动参与评估师沟通，向他咨询本次评估的主要思想，增加通过评估的概率。

五、 正式评估

第四阶段的目标是进行正式的 SCAMPI/CBA-IPI，时间通常是实施第一阶段培训后12个月(根据企业实施情况有所不同)。正式评估，获取证据，根据评估师的要求，与从项目中获取证据。评估的重点是组织内部实施的软件过程，涉及相关级别的所有KPA。

正式评估按照 SCAMPI/CBA-IPI 的要求进行，原来一般为 6 天，CMMIV1.2规定，正式评估时间不能超过10天，主任评估师提供自动评估工具帮助管理分析评估数据、编写评估结果。评估工作主要包括：

启动会议;公司高层，评估小组，参评方三方相关人员参与会议，介绍评估日程，达成一致意见。

评估方式：

文档审阅，也称文审，查阅过程、项目书面文档。所有参评的文档都是要书面打打印，装订成册，供评估师审查。

面谈及讨论，评估师都要和项目中每个角色进行面谈，这些角色主要包括有：项目经理、需求人员、设计人员、测试人员、配置人员、质量人员。

评估小组

评估小组对文审、面谈中的数据进行综合与分析，生成评估结果。

及末次会议

评估完成后，评估小组给出Zui后的评估是否通过，如果通过则发证书，否则指出改进的建议。除了评估结果,企业还将保留评估数据(删除数据来源)作为评估结果的资料。评估结束后，我们会向SEI提交评估信息，记入评估数据库记录。

服务区域：广东省、广州(天河、萝岗开发区、黄埔开发区、南沙新区、番禺、花都、从化、增城、越秀、白云）、珠海市、中山市、江门市、佛山市、惠州市、东莞市、深圳市、肇庆市、云浮市、茂名市、湛江市、清远市、韶关市、梅州市、汕头市、潮州市、河源市、揭阳市、阳江市

全国各省、市、自治区：广东省、海南省、福建省、湖南省、四川省、重庆市、贵州省、云南省、广西壮族自治区、湖北省、河南省、山东省、河北省、陕西省、山西省、浙江省、江苏省、辽宁省、黑龙江省、吉林省、上海市、天津市、北京市、甘肃省、西藏自治区、安徽省、青海省、宁夏回族自治区、内蒙古自治区、新疆维吾尔族自治区

WX:一三三+++++四二捌伍++++++二伍一捌

主要业务为软件产品测试、电子产品检测、安防产品检测、软件第三方验收测试、科技项目验收测试、信息系统第三方检测、集成电路检测、芯片检测、IC检测、雷电防护装置检测（建筑防雷装置检测、防雷定期检测、防雷首次检测）、通信网防御雷电安全保护检测、移动通信基站防雷检测、地理信息系统软件测试、数字社区应用软件测评、建设领域软硬件测评、软件安全性测试、软件验收项目（安全、性能、验收测试、渗透测试、漏洞扫描、安全检查、代码审计、代码检测）、广东省安全技术防范系统设计、施工、维修资格备案证业绩检测（安防工程检测）、安全技术防范系统第三方检测、信息化项目技术绩效评估(网站或系统绩效评估）、政务信息化项目效能评估、信息系统安全等级保护备案咨询、信息系统安全等保报告咨询、网络安全等保测评咨询、信息系统安全等级保护测评咨询、信息安全风险评估咨询、密码测评咨询、商用密码测评咨询、商用密码应用安全性评估咨询、商用密码应用安全测评咨询、密码应用安全性评估报告咨询、数字新基建项目第三方测试(5G建设、特高压、城际高速铁路和城市轨道交通、新能源汽车充电桩、大数据中心、人工能、工业互联网)、广东省守合同重企业、通用航空经营许可（即原来的：民用无人驾驶航空器经营许可、道路运输经营许可、AOPA无人机多旋翼驾驶员培训、无人机研发生产销售、无人机合作办学、无人机实训室建设、信息系统建设和服务能力评估CS、信息系统服务交付能力评估CCID、计算机信息系统安全服务证、信息系统集成及服务资质、信息系统运维资质、音视频系统集成资质、安防系统集成资质、音视频集成工程企业能力等级证书、信息化能力评价、EDI/ICP安全防护检测、广东省安全技术防范系统设计、施工与维修证、广东省有线广播电视工程设计（安装）证、广东省防雷工程企业能力评价、软件过程及能力成熟度评估CMMI、软件测试成熟度模型集成TMMI、涉密信息系统集成资质、数据管理能力成熟度评估模型DCMM、信息技术服务运行维护标准ITSS、信息安全服务资质CCRC、无委认证(SRRC)、科技成果评价、科技成果登记、科技成果登记合作（即挂名）、科学技术奖申请、专利合作申请（即挂名）、国家高新技术企业认证、双软认定、动漫企业认定、技术合同登记、知识产权服务、发明专利加急、集成电路布图专有权登记、计算机软件著作权登记、软件检测报告（软件项目验收鉴定报告）、工商注册、代理记账、创业补助申请等服务领域。VX;133-------4二捌五----2518