1.管理職責:ISO 9001標準要求:組織應規定質量方針,形成文件並予以實施和保持; 對從事與質量有關的管理、執行和驗證工作的人員規定其職責、權限和相互關系; 識別和提供驗證資源 ;被指派的管理者保證實施和保持質量大綱。CMM第2級提出了質量方針和驗證的職責,包括識別各類人員在項目中的職責,建立壹支受過培訓的軟件質量保證小組和指派高級管理者監控軟件質量保證(SQA)活動。作為CMM的通用特點,CMM在高級管理人員和項目經理兩個層次上識別管理職責,以監控軟件項目,支持SQA審核,建立支持軟件工程的組織結構和分配資源。
ISO 9001要求的質量目標(壹種量化的、可檢查的要求),與在CMM第4級提到的“量化的”質量方針是壹致的
2.質量體系:ISO 9001要求建立壹個文件化的質量體系包括質量手冊、質量計劃、程序文件和作業指導書,CMM第2級提出驗證符合性和管理過程的質量體系活動,在軟件開發計劃中規定軟件項目使用的具體程序和標準。CMM的驗證實施(Verifying Implementation)通用特點明確要求進行審核以保證符合特定標準和程序,CMM第3級要求組織必須規定軟件工程任務,並持續實施,在全組織都必須規定軟件過程資源,包括標準、程序和過程描述,與ISO 9001相比,CMM特別強調組織支持和項目實施之間的關系。
3.合同評審:ISO 9001要求組織必須評審每壹個合同以判斷需求是否明確、組織是否有能力滿足合同要求.CMM第2級提出組織必須文件化顧客要求並予以評審,明確不恰當或模糊的要求。CMM第2級也要求描述目的、工作陳述和軟件開發計劃以履行軟件工程小組和高級管理者評審過的外部(合同)承諾。
4.設計控制:ISO 9001要求組織建立控制和驗證設計的程序,包括:策劃設計和開發活動;規定組織上和技術上的接口,識別設計輸入和設計輸出;評審、驗證和確認設計;控制設計更改 CMM第3級描述生存周期過程,包括需求分析、設計、編碼和測試;第2級提出策劃和跟蹤所有項目活動,包括上述生存周期活動及配置管理。ISO 9001要求必須進行設計評審,至於應如何進行設計評審,並沒有提出具體要求,組織可根據具體情況,在壹定範圍內選擇。與此不同的是,CMM第3級特別要求設計評審要采用同行評審的方式。ISO 9000-3關於設計評審的指南包含了CMM這壹要求。CMM第4級對設計過程的要求與ISO 9001相比更加正式和量化。
5.文件和資料的控制:ISO 9001要求組織控制文件和資料的發放與更改。CMM第2級提出要將對文件和資料的控制納入配置管理,第3級特別要求對文件控制須實施並維持配置管理體系。在CMM的實施活動(Activities Performance)通用特點章節中,對不同的關鍵過程區域明確了哪些專門的程序文件、標準和其它文件可納入配置管理。ISO 9000-3提出應將文件和資料納入配置管理。
6.采購 :ISO 9001要求組織要確保采購的產品符合規定的要求,包括評價潛在的分承包方和驗證采購產品,CMM第2級在顧客軟件開發(Customer software develpoment)的要求中包括了對分承包方的評價和分承包方提供的軟件進行接收測試等內容。
7.顧客提供產品的控制 :ISO 9001要求組織要驗證、貯存和維護顧客提供的產品。ISO 9000-3在論述這個條款的要求時特別提到對顧客提供的市售軟件的控制。CMM僅在第3級的子活動(sub-practice)中提到采購軟件,提出識別市售軟件或可復用軟件是策劃的壹部分。市售軟件和可復用軟件整體來說是CMM的壹大弱點。事實上,CMM在這點上不能充分覆蓋ISO9001要求,特別是ISO9000-3的要求。盡管如此,CMM第2級中還是要求對分承包的軟件進行接收測試。
8.產品的標識和可追溯性 :ISO9001要求組織能夠在生產、安裝和交付的所有階段標識和追溯產品。
CMM主要在第2級的配置管理章節中覆蓋了這個要求,在第3級闡述了軟件工作產品(software work products)之間的壹致性和可追溯性需要。
ISO 9000-3指出在軟件行業壹種產品標識和可追溯的方法是配置管理,而且強調配置管理的兩個目標:對產品的當前配置及產品達到需求的狀態提供足夠的可視性;保證參與產品工作的每壹位成員在軟件生存周期的任何階段都能使用正確的和準確的信息。在這壹點上,兩者基本是壹致的。
9.過程控制: ISO 9001要求組織策劃和控制其生產過程,包括在受控條件下按形成文件的指導書進行生產。當組織不能完全驗證過程的結果時,須對過程進行連續的監控。CMM第2級要求在軟件開發計劃中規定軟件生產過程使用的特定程序和標準;第3級闡述了軟件生產過程的定義、集成以及支持這些過程的工具要求;第4級闡述了過程控制的量化要求,並舉統計過程控制(SPC)的例子說明。但對壹個組織來說,證實滿足這個條款要求的程度壹般並不需要這樣高。CMM的第5級更提出了在組織中轉換新技術的要求,這與ISO 900-3中提到的“供方應改進這些工具和技術”是壹致的,ISO 9000-3提出這壹要素適用於復制、發行(release)和安裝過程。
10. 檢驗和試驗: ISO 9001要求組織在使用前對材料進行進貨檢驗或驗證並進行過程檢驗,組織還必須在最終產品發運前實施最終檢驗和試驗並保存檢驗和試驗記錄。CMM第3級闡述了測試和過程檢驗的要求。ISO 9000-3對軟件(系統)測試給出了指南。
11. 檢驗、測量和試驗設備的控制 :ISO 9001要求組織控制、校準和保持所有用於符合性證實的設備。當使用測試硬件或軟件時必須在使用前進行檢查並在規定的時間間隔內復檢。CMM在軟件產品工程(Software Product Engingeering)的測試活動章節對此進行了壹般性的闡述。關於測試軟件,在CMM實施能力(Ability to Perform)通用特點章節中專門闡述了用於支持軟件測試的工具。
12. 檢驗和試驗狀態 :ISO 9001要求組織保證產品在不同過程步驟中移動時須保持檢驗和試驗狀態的標識。CMM第2級在問題報告和配置狀態、第3級在測試活動中闡述了這個條款的要求。
13. 不合格品的控制 :ISO 9001要求組織控制不合格(不滿足規定要求的)產品以預防非預期的使用或安裝。ISO900-3在設計控制、檢驗和試驗(測試和確認)、過程控制(復制、交付和安裝)和產品的標識和可追溯性(配置管理)等條款中對這個要求作了進壹步的闡述。
CMM並沒有專門對不合格產品進行闡述。CMM第2級要求保持那些包含已知缺陷但目前尚未修正的配置項的狀態,第3級的設計、實施、測試和確認中均對此作了闡述。
14.糾正和預防措施 :ISO 9001要求組織確定不合格產生的原因。糾正措施要求消除不合格產生的實際原因,預防措施要求消除產生潛在不合格的原因。CMM第2級的問題報告,及其後對基線工作產品(baselined work product)的受控維護進行跟蹤、關鍵過程區域(KPA)的軟件質量保證部分與此內容相對應。CMM第5級關鍵過程區域(KPA)的很多部分也包含了這壹內容,例如,防錯(Defect Prevention)。
15.搬運、貯存、包裝、防護和交付 :ISO 9001要求建立並保持搬運、貯存、包裝、防護和交付的形成文件的程序。ISO9000-3展開為對軟件產品的復制、備份、交付和安裝的控制。 CMM並沒有覆蓋復制、交付和安裝的要求。它在第2級中闡述了軟件產品的生成和發行,在第3級中規定了接收測試的要求。但是CMM沒有闡述關於產品交付和安裝的要求。
16.質量記錄的控制 :ISO 9001要求組織收集和保存質量記錄。 CMM在實施活動(Activities Performed)通用特點章節中所規定的所有關鍵過程區域(KPA)都涉及質量記錄的保存要求。第2級的問題報告、第3級的測試和同行評審活動都對應這壹條款的要求。
17.內部質量審核 :ISO 9001要求組織策劃和實施內部質量審核。審核的結果提交管理評審,並應針對不符合采取糾正措施。CMM第2級闡述了審核過程。在驗證實施(Verifying Implementation)通用特點中明確提出:審核活動是為了確保符合特定標準和程序的要求。
18. 培訓 :ISO 9001要求組織確定培訓需求,並提供相應的培訓且保留培訓記錄。
CMM的實施能力(Ability to Perform)通用特點中明確了特殊培訓需求。它闡述了通用培訓基礎結構,包括保存培訓記錄的要求。
19.服務 :ISO 9001要求:當服務是規定要求時,組織應實施、驗證和報告服務活動。ISO9000-3則把對維護的控制要求歸於本要素。
CMM並沒有單獨論述軟件維護,而是把維護貫穿於整個CMM過程中。
20.統計技術 :ISO 9001要求組織明確合適的統計技術,並用它們來驗證過程能力和產品特性的可接受性。CMM把產品特性納入“活動執行”(Activities Performed)通用特點章節,作為“測量和分析”通用特點的組成部分。
CMM第2級要求建立項目級的數據庫,第3級要求建立全組織範圍內的過程和產品數據庫,第4級要求組織進行統計過程控制,如使用排列圖分析
總結:
1.ISO 9001和CMM既有區別又相互聯系,兩者不可簡單的互相替代。
盡管ISO 9001標準的壹些要求在CMM中不存在,而CMM的壹些要求在ISO 9001標準中也不存在,但不可否認的是,兩者之間的關系非常密切。當然,兩者之間的差別也很明顯,例如, ISO 9001標準的要素4.7和4.15在CMM中沒有細述,而4.19則是分散在CMM的各部分中。ISO 9001的壹些要素可以在CMM中找到完全對應的部分,另外壹些要素則是比較分散的對應。
兩者的最大相似之處在於兩者都強調“該說的要說到,說到的要做到”。對每壹個重要的過程應形成文件,包括指導書和說明,並檢查交貨質量水平。CMM強調持續改進,ISO 9001的1994版標準主要說明的是“合格質量體系的最低可接受水平”(ISO 9001 的2000版標準也增加了持續改進的內容)。
另外,1999年底,由美國質量協會(ASQ)和MOTOROLA、NOKIA、BELL SOUTH等100多家企業、機構***同制定的電信行業(包括電信軟件開發企業)質量體系標準TL 9000正式發布,在處理已經取得CMM和ISO 9001認證的軟件開發企業如何升級到TL 9000時,補充審核的要求有很大差異,這從壹個側面也可以說明它們之間的差別。
但很明顯,取得ISO 9001認證對於取得CMM的等級證書是有益的,反之,取得CMM等級證書,對於尋求ISO 9001認證也是有幫助的。
2.取得ISO 9001認證並不意味著完全滿足CMM某個等級的要求
表面上看,獲得ISO 9001標準的企業應有CMM第3至第4級的水平,但事實上,有些獲得CMM第1級的企業也獲得了ISO 9001證書,原因是ISO 9001強調以顧客的要求為出發點,不同的顧客要求的質量水平也不同,而且各個審核員的水平/解釋也有些差異;如果審核員接受過TickIT審核員課程的培訓,那麽經他審核獲得ISO 9001證書的企業大約相當於CMM第 3級的水平
由此可以看出,取得ISO 9001認證所代表的質量管理和質量保證能力的高低與審核員對標準的理解及自身水平的高低有很大的關系,而這不是ISO 9001標準本身所決定的
ISO 9001標準只是質量管理體系的最低可接受準則,不能說已滿足CMM的大部分要求。有壹點可以肯定,ISO 9001認證合格的企業至少能滿足CMM第2級的大部分要求以及第3級的壹部分要求。
3.取得CMM第2級(或第3級)不能籠統的談可以滿足ISO 9001的要求
CMM 第2級的所有關鍵過程都涉及ISO 9001的要求,但都低於ISO 9001的要求。另外,壹些CMM第1級的組織在滿足了第2級和第3級的壹些關鍵過程的要求後,也可以獲得ISO 9001認證證書。
壹些CMM第2級或第3級的企業可能被認為符合ISO 9001的要求,但是,甚至壹些第3級企業也需另外滿足ISO 9001的要求以及補充對市售軟件和可復用軟件的控制。
當然,盡管CMM沒有完全滿足ISO 9001標準的壹些特定要求,但包含了大部分的要求。
不可否認,CMM是專門針對軟件開發企業設計的,因此在針對性上比ISO 9001要好。ISO已經意識到這個問題,針對軟件開發企業應用ISO 9001提供了指南標準(ISO 9000-3), 需要特別說明的是,CMM強調的是軟件開發過程的管理,對於國內軟件企業涉及較多的“系統集成”並沒有考慮,如果單純按照CMM的要求建立質量體系應該註意補充“系統集成”方面的內容.