ISO 9001與CMM異同分析

領測軟件測試網 美國軟件工程研究所（SEI）開發的軟件過程能力成熟度模型（CMM）和國際標準化組織（ISO）開發的ISO 9000標準系列都著眼于質量和過程管理，兩者都為了解決同樣的問題，直觀上是相關的。但是它們的基礎卻各不相同：ISO 9001（ISO 9000標準系列中關于軟件開發和維護的部分）確定一個質量體系的最少需求，而CMM則強調持續的過程改進。當然，這種陳述有點主觀性，一些國際標準團體堅持認為，如果深入地理解ISO 9001而不是只停留在表面，ISO 9001也可以解決持續過程改進的問題，例如，矯正行為可以被解釋成持續的改進。本文要討論的問題是： 
◆ 取得ISO 9000認證的組織大約相當于CMM的哪個等級？ 
◆ 取得CMM第2級(或第3級)的組織是否可以認為滿足ISO 9001要求? 
◆ 取得ISO 9001證書與取得CMM相應等級證書的企業，誰的質量管理、質量保證水平或能力更高？

　

生產過程:制造業vs.軟件業 

一般來說，質量保證系統中提到的產品通常包括硬件、軟件、流程性材料和服務。類似地，ISO 9000系列標準不少部分也表現了制造業在原材料采購、生產加工工藝、使用的量具以及產品的運輸、儲存、包裝和交付等不同側面的質量要求。因此，軟件企業在建立質量體系的過程中必須認真分析自身與制造業生產活動的差別。由于軟件開發與一般產品制造有顯著的差別，因此必須注意軟件過程的特點。為了表明制造業和軟件業的差別，附圖給出了兩種產業活動的形象對比。從圖中可以看出，在制造業中，生產活動占有不可忽視的地位，它所需要的成本投入、人員、場地等都是設計工作無法比擬的，而軟件業恰恰相反。軟件工程項目主要是軟件開發，相當于制造業的產品設計;而軟件業的生產是指軟件開發完成以后將代碼往各種介質上拷貝，這部分工作無論是技術含量還是投入的人力、物力都極為有限,特別是在批量生產的條件下，這種差別更為明顯，主要表現在以下方面: 
◆ 傳統的制造業在得到產品后，必須在運輸和倉儲方面做出相應的安排，付出必要的代價。而對軟件業來說，這些需求是微乎其微的，甚至可以忽略不計。 
◆ 軟件產品的功能度和復雜性要比制造業產品高得多，它在投入使用后，所能發揮的功效也是其他任何硬件產品無法比擬的。 
由此可以看出，制造業或硬件的質量問題主要反映在生產和儲運過程中，而軟件產品的質量問題主要來自開發過程。 

映射：從ISO 9001到CMM 

表1是ISO 9001條款到CMM模型關鍵過程區域和關鍵實踐映射的概述�！皬娤嚓P性”列表示相關性較直接的關鍵過程區域和共同特征;“判斷相關性”列表示在確定合理相關性時需要一定程度主觀性理解的關鍵過程區域和共同特征。 
雖然ISO 9001中的一些問題沒有被CMM模型覆蓋，二者之間的詳細程度也有很大的差異，但二者之間的相關性還是很明顯的。CMM與ISO 9001之間最大的不同體現在兩方面：其一，CMM模型明確強調持續的過程改進，而ISO 9001只要求質量體系的最小保證;其二，CMM模型只關注軟件，而ISO 9001適用于更大的范圍。

表1 ISO 9001與CMM模型映射

ISO9001條款	強相關性	判斷相關性
管理職責	履行的承諾 軟件項目規劃 軟件項目追蹤和監督 軟件質量標準	履行的能力 實現矯正 軟件質量管理
質量體系	實現矯正 軟件項目規劃 軟件質量標準 軟件產品工程	組織工程定義
合同評估	需求管理 軟件項目規劃	軟件子合同管理
設計控制	軟件項目規劃 軟件項目追蹤和監督 軟件配置管理 軟件產品工程	軟件質量管理
文檔和數據控制	軟件配置管理 軟件產品工程
采購	軟件子合同管理
客戶－供貨產品的控制		軟件子合同管理
產品確認和追蹤	軟件配置管理 軟件產品工程
工程控制	軟件項目規劃 軟件質量幫助 軟件產品工程	定量工程管理 技術改變管理
檢查和測試	軟件產品工程 伙伴審查
檢查控制、度量和測試設備	軟件產品工程
檢查和測試狀態	軟件配置管理 軟件產品工程
不合格產品的控制	軟件配置管理 軟件產品工程
矯正和預防措施	軟件質量保證 軟件配置管理	缺陷預防
處理、儲藏、包裝、保存和分發		軟件配置管理 軟件產品工程
質量數據控制	軟件配置管理 軟件產品工程、伙伴審查
內部質量審計	實現檢查、軟件質量保證
培訓	履行的能力、培訓計劃
服務
統計技術	度量和分析	機構過程定義 定量過程管理 軟件質量管理

　

兩個文檔之間的最大相似之處是它們的底線:“說你想做的,做你想說的�！� ISO 9001的基本假設是:機構應該通過質量控制活動歸檔每個重要過程并檢查每個重要過程。CMM模型也強調文檔化的過程和文檔化的設計�！鞍次臋n化的程序”和遵循“書面形式的機構政策”是CMM模型關鍵過程區域的特征。在更詳細的層次上，ISO 9001的一些條款可以很容易地映射到與其相當的CMM實踐。不過因為兩個文檔的結構不同，所以大多數相關性映射是多對多的方式。例如，ISO 9001的培訓條款將同時映射到CMM模型中培訓計劃關鍵過程區域和所有關鍵過程區域中的培訓熟悉實踐。

結論 

通過以上分析，我們可以得到以下結論： 
1. ISO 9001和CMM既有區別又相互聯系 
盡管ISO 9001標準的一些要求在CMM中不存在，而CMM的一些要求在ISO 9001標準中也不存在，但不可否認的是，兩者之間的關系非常密切。當然，兩者之間的差別也很明顯，例如， ISO 9001標準的要素4.7和4.15在CMM中沒有細述，而4.19則是分散在CMM的各部分中。ISO 9001的一些要素可以在CMM中找到完全對應的部分，另外一些要素則是比較分散的對應。 
兩者的最大相似之處在于兩者都強調:“該說的要說到，說到的要做到”。對每一個重要的過程應形成文件，包括指導書和說明，并檢查交貨質量水平。CMM強調持續改進，ISO 9001的1994版標準主要說明的是“合格質量體系的最低可接受水平”（ISO 9001 的2000版標準也增加了持續改進的內容）。 
另外，1999年底，由美國質量協會（ASQ）和Motorola、Nokia、Bell South等100多家企業、機構共同制定的電信行業（包括電信軟件開發企業）質量體系標準TL 9000正式發布，在處理已經取得CMM和ISO 9001認證的軟件開發企業如何升級到TL 9000時，補充審核的要求有很大差異，這從一個側面說明了它們之間的差別。但很明顯，取得ISO 9001認證對于通過CMM評估是有益的，反之，通過CMM評估對于獲得ISO 9001認證也是有幫助的。 
2．取得ISO 9001認證并不意味著完全滿足CMM某個等級的要求 
表面上看，獲得ISO 9001認證的企業應該具有CMM第3至第4級的水平，但事實上，有些獲得CMM第1級的企業也獲得了ISO 9001證書，原因是ISO 9001強調以顧客的要求為出發點，不同顧客要求的質量水平也不同，而且各個審核員的水平/解釋也有差異。由此可以看出，取得ISO 9001認證所代表的質量管理和質量保證能力的高低與審核員對標準的理解及自身水平的高低有很大的關系，而這并不是ISO 9001標準本身所決定的。 
ISO 9001標準只是質量管理體系的最低可接受準則，不能說已滿足CMM的大部分要求，但有一點可以肯定：ISO 9001認證合格的企業至少能滿足CMM第2級的大部分要求以及第3級的一部分要求。 
3．通過CMM第2級(或第3級)評估并不代表滿足ISO 9001的要求 
CMM第2級的所有關鍵過程都涉及ISO 9001的要求，但都低于ISO 9001的要求。另外，一些CMM第1級的組織在滿足了第2級和第3級的一些關鍵過程的要求后，也可以獲得ISO 9001認證證書。一些CMM第2級或第3級的企業可能被認為符合ISO 9001的要求，但是，甚至一些通過了CMM第3級評估的企業也需另外滿足ISO 9001的要素，才能符合ISO 9001的要求。 
CMM是專門針對軟件開發企業設計的，因此在針對性上比ISO 9001要好,但需要注意的是，CMM強調的是軟件開發過程的管理，對于國內軟件企業涉及較多的“系統集成”并沒有考慮，如果單純按照CMM的要求建立質量體系，則應該注意補充“系統集成”方面的內容。 
本文未明確肯定CMM與ISO 9001相比哪個更好，因為一個體系的好壞是由很多方面決定的。對于一個軟件開發企業來說，獲得什么樣的認證只是表面的，重要的是如何著眼于持續改進以更好地保證軟件開發的質量、滿足顧客的要求，從而獲得競爭優勢。

文章來源于領測軟件測試網 http://www.kjueaiud.com/

TAG: cmm CMM iso ISO 異同