ISO 9001和CMM的比較

本文試圖從大家所熟悉的ISO 9001標準入手，對ISO 9001、ISO 900-3和CMM之間的區別和聯系做個簡單的分析，探討一些大家感到困惑的問題，包括：

1)取得ISO 9000認證的組織大約相當于CMM的哪個等級？

2)取得CMM第2級(或第3級)的組織是否可以認為滿足ISO 9001要求？

3)取得ISO 9001證書與取得CMM相應等級證書的企業，誰的質量管理/質量保證水平/能力更高？

一、背景：

ISO 9000族國際標準是在總結了英國的國家標準基礎之上產生的，因此，歐洲通過ISO 9000認證的企業數量最多，約占全世界的一半以上。受此影響，相當多的歐洲軟件企業選擇了ISO 9001或TickIT****（ISO 9001）認證。

CMM是由美國卡內基-梅隆大學的軟件工程研究所（SEI）開發的軟件成熟度模型，美國的軟件企業更多的選擇取得CMM等級證書。在形式上，CMM分為5個等級（第1級級別最低，第5級級別最高），與ISO 9000審核后只有“通過”和“不通過”兩個結論相比，CMM是一個動態的過程，企業在取得低級別證書后，可根據高級別的要求確定下一步改進的方向。

在基本原理方面，ISO 9001和CMM都十分關注軟件產品質量和過程改進。尤其是ISO 9000:2000版標準增加持續改進、質量目標的量化等方面的要求后，在基本思路上和CMM更加接近。

①　本文參考了Mark C. Paulk先生的 HOW ISO 9001 COMPARES WITH THE CMM，但觀點不盡相同。

②　ISO 9001是軟件企業開展質量體系認證依據的標準；

③　ISO 9000-3是國際標準化組織（ISO）制定的軟件開發企業實施ISO 9001指南；

④ TickIT認證是一個基于ISO 9001的、專門針對軟件開發企業的認證制度，與取得非TiclIT（ISO 9001）認證相比，TickIT對審核員的專業要求更高， TickIT（ISO 9001）證書在業界更有權威性

二、內容

下面以ISO 9001為主線，列出了ISO 9001的要點及CMM的對應部分。

1.要素4.1：管理職責：

ISO 9001標準要求：

組織應規定質量方針，形成文件并予以實施和保持;

對從事與質量有關的管理、執行和驗證工作的人員規定其職責、權限和相互關系；

識別和提供驗證資源

被指派的管理者保證實施和保持質量大綱。

CMM第2級提出了質量方針和驗證的職責，包括識別各類人員在項目中的職責，建立一支受過培訓的軟件質量保證小組和指派高級管理者監控軟件質量保證(SQA)活動。

作為CMM的通用特點，CMM在高級管理人員和項目經理兩個層次上識別管理職責，以監控軟件項目，支持SQA審核，建立支持軟件工程的組織結構和分配資源。

ISO 9001要求的質量目標（一種量化的、可檢查的要求），與在CMM第4級提到的“量化的”質量方針是一致的

2.要素4.2：質量體系：

ISO 9001要求建立一個文件化的質量體系包括質量手冊、質量計劃、程序文件和作業指導書。

CMM第2級提出驗證符合性和管理過程的質量體系活動，在軟件開發計劃中規定軟件項目使用的具體程序和標準。CMM的驗證實施（Verifying Implementation）通用特點明確要求進行審核以保證符合特定標準和程序。

CMM第3級要求組織必須規定軟件工程任務，并持續實施，在全組織都必須規定軟件過程資源，包括標準、程序和過程描述。

與ISO 9001相比，CMM特別強調組織支持和項目實施之間的關系

3.要素4.3：合同評審：

ISO 9001要求組織必須評審每一個合同以判斷需求是否明確、組織是否有能力滿足合同要求。

CMM第2級提出組織必須文件化顧客要求并予以評審，明確不恰當或模糊的要求。

CMM第2級也要求描述目的、工作陳述和軟件開發計劃以履行軟件工程小組和高級管理者評審過的外部（合同）承諾。

4.要素4.4：設計控制：

ISO 9001要求組織建立控制和驗證設計的程序，包括：

策劃設計和開發活動；

規定組織上和技術上的接口；

識別設計輸入和設計輸出；

評審、驗證和確認設計；

控制設計更改

CMM第3級描述生存周期過程，包括需求分析、設計、編碼和測試；第2級提出策劃和跟蹤所有項目活動，包括上述生存周期活動及配置管理。

ISO 9001要求必須進行設計評審，至于應如何進行設計評審，并沒有提出具體要求，組織可根據具體情況，在一定范圍內選擇。與此不同的是，CMM第3級特別要求設計評審要采用同行評審的方式。ISO 9000-3關于設計評審的指南包含了CMM這一要求。

CMM第4級對設計過程的要求與ISO 9001相比更加正式和量化。

5.要素4.5：文件和資料的控制

ISO 9001要求組織控制文件和資料的發放與更改。

CMM第2級提出要將對文件和資料的控制納入配置管理，第3級特別要求對文件控制須實施并維持配置管理體系。在CMM的實施活動（Activities Performance）通用特點章節中，對不同的關鍵過程區域明確了哪些專門的程序文件、標準和其它文件可納入配置管理。

ISO 9000-3提出應將文件和資料納入配置管理。

6.要素：4.6 采購

ISO 9001要求組織要確保采購的產品符合規定的要求，包括評價潛在的分承包方和驗證采購產品。

CMM第2級在顧客軟件開發（Customer software develpoment）的要求中包括了對分承包方的評價和分承包方提供的軟件進行接收測試等內容。

7.要素：4.7 顧客提供產品的控制

ISO 9001要求組織要驗證、貯存和維護顧客提供的產品。ISO 9000-3在論述這個條款的要求時特別提到對顧客提供的市售軟件的控制。

CMM僅在第3級的子活動（sub-practice）中提到采購軟件，提出識別市售軟件或可復用軟件是策劃的一部分。

市售軟件和可復用軟件整體來說是CMM的一大弱點。事實上，CMM在這點上不能充分覆蓋ISO9001要求，特別是ISO9000－3的要求。盡管如此，CMM第2級中還是要求對分承包的軟件進行接收測試。

8.要素4.8 產品的標識和可追溯性

ISO9001要求組織能夠在生產、安裝和交付的所有階段標識和追溯產品。

CMM主要在第2級的配置管理章節中覆蓋了這個要求，在第3級闡述了軟件工作產品（software work products）之間的一致性和可追溯性需要。

ISO 9000-3指出在軟件行業一種產品標識和可追溯的方法是配置管理，而且強調配置管理的兩個目標：對產品的當前配置及產品達到需求的狀態提供足夠的可視性；保證參與產品工作的每一位成員在軟件生存周期的任何階段都能使用正確的和準確的信息。在這一點上，兩者基本是一致的。

9.要素4.9 過程控制:

ISO 9001要求組織策劃和控制其生產過程，包括在受控條件下按形成文件的指導書進行生產。當組織不能完全驗證過程的結果時，須對過程進行連續的監控。

CMM第2級要求在軟件開發計劃中規定軟件生產過程使用的特定程序和標準；第3級闡述了軟件生產過程的定義、集成以及支持這些過程的工具要求；第4級闡述了過程控制的量化要求，并舉統計過程控制（SPC）的例子說明。但對一個組織來說，證實滿足這個條款要求的程度一般并不需要這樣高。CMM的第5級更提出了在組織中轉換新技術的要求，這與ISO 900-3中提到的“供方應改進這些工具和技術”是一致的。

ISO 9000－3提出這一要素適用于復制、發行(release)和安裝過程。

10.要素4.10 檢驗和試驗:

ISO 9001要求組織在使用前對材料進行進貨檢驗或驗證并進行過程檢驗，組織還必須在最終產品發運前實施最終檢驗和試驗并保存檢驗和試驗記錄。

CMM第3級闡述了測試和過程檢驗的要求。

ISO 9000-3對軟件（系統）測試給出了指南。

11.要素4.11 檢驗、測量和試驗設備的控制

ISO 9001要求組織控制、校準和保持所有用于符合性證實的設備。當使用測試硬件或軟件時必須在使用前進行檢查并在規定的時間間隔內復檢。

CMM在軟件產品工程（Software Product Engingeering）的測試活動章節對此進行了一般性的闡述。關于測試軟件，在CMM實施能力（Ability to Perform）通用特點章節中專門闡述了用于支持軟件測試的工具。

12.要素4.12 檢驗和試驗狀態

ISO 9001要求組織保證產品在不同過程步驟中移動時須保持檢驗和試驗狀態的標識。

CMM第2級在問題報告和配置狀態、第3級在測試活動中闡述了這個條款的要求。

13.要素4.13 不合格品的控制

ISO 9001要求組織控制不合格（不滿足規定要求的）產品以預防非預期的使用或安裝。ISO900－3在設計控制、檢驗和試驗（測試和確認）、過程控制（復制、交付和安裝）和產品的標識和可追溯性（配置管理）等條款中對這個要求作了進一步的闡述。

CMM并沒有專門對不合格產品進行闡述。CMM第2級要求保持那些包含已知缺陷但目前尚未修正的配置項的狀態，第3級的設計、實施、測試和確認中均對此作了闡述。

14.要素4.14 糾正和預防措施

ISO 9001要求組織確定不合格產生的原因。糾正措施要求消除不合格產生的實際原因，預防措施要求消除產生潛在不合格的原因。

CMM第2級的問題報告，及其后對基線工作產品（baselined work product）的受控維護進行跟蹤、關鍵過程區域（KPA）的軟件質量保證部分與此內容相對應。

CMM第5級關鍵過程區域（KPA）的很多部分也包含了這一內容，例如，防錯（Defect Prevention）。

15.要素4.15 搬運、貯存、包裝、防護和交付

ISO 9001要求建立并保持搬運、貯存、包裝、防護和交付的形成文件的程序。ISO9000－3展開為對軟件產品的復制、備份、交付和安裝的控制。

CMM并沒有覆蓋復制、交付和安裝的要求。它在第2級中闡述了軟件產品的生成和發行，在第3級中規定了接收測試的要求。但是CMM沒有闡述關于產品交付和安裝的要求。

16.要素4.16 質量記錄的控制

ISO 9001要求組織收集和保存質量記錄。

CMM在實施活動（Activities Performed）通用特點章節中所規定的所有關鍵過程區域（KPA）都涉及質量記錄的保存要求。第2級的問題報告、第3級的測試和同行評審活動都對應這一條款的要求。

17.要素4.17 內部質量審核

ISO 9001要求組織策劃和實施內部質量審核。審核的結果提交管理評審，并應針對不符合采取糾正措施。

CMM第2級闡述了審核過程。在驗證實施（Verifying Implementation）通用特點中明確提出：審核活動是為了確保符合特定標準和程序的要求。

18.要素4.18 培訓

ISO 9001要求組織確定培訓需求，并提供相應的培訓且保留培訓記錄。

CMM的實施能力（Ability to Perform）通用特點中明確了特殊培訓需求。它闡述了通用培訓基礎結構，包括保存培訓記錄的要求。

19.要素4.19 服務

ISO 9001要求：當服務是規定要求時，組織應實施、驗證和報告服務活動。ISO9000-3則把對維護的控制要求歸于本要素。

CMM并沒有單獨論述軟件維護，而是把維護貫穿于整個CMM過程中。

20.要素:4.20:統計技術

ISO 9001要求組織明確合適的統計技術，并用它們來驗證過程能力和產品特性的可接受性。CMM把產品特性納入“活動執行”（Activities Performed）通用特點章節，作為“測量和分析”通用特點的組成部分。

CMM第2級要求建立項目級的數據庫，第3級要求建立全組織范圍內的過程和產品數據庫，第4級要求組織進行統計過程控制，如使用排列圖分析。

下表是ISO 9001要素涉及到的CMM級別的對應表，在具體的內容上它們并不是一一對應，有的雖然涉及到了，但在要求的程度上也有差別，本表只是說明了它們之間的關系。