質(zhì)量工程師：ISO9001和CMM的比較（一）

本文試圖從大家所熟悉的ISO 9001標(biāo)準(zhǔn)入手，對(duì)ISO 9001、ISO 900-3***和CMM之間的區(qū)別和聯(lián)系做個(gè)簡(jiǎn)單的分析，探討一些大家感到困惑的問題，包括：
    1）取得ISO 9000認(rèn)證的組織大約相當(dāng)于CMM的哪個(gè)等級(jí)？
    2）取得CMM第2級(jí)（或第3級(jí)）的組織是否可以認(rèn)為滿足ISO 9001要求？
    3）取得ISO 9001證書與取得CMM相應(yīng)等級(jí)證書的企業(yè)，誰的質(zhì)量管理/質(zhì)量保證水平/能力更高？
    一、背景：
    ISO 9000族國(guó)際標(biāo)準(zhǔn)是在總結(jié)了英國(guó)的國(guó)家標(biāo)準(zhǔn)基礎(chǔ)之上產(chǎn)生的，因此，歐洲通過ISO 9000認(rèn)證的企業(yè)數(shù)量多，約占全世界的一半以上。受此影響，相當(dāng)多的歐洲軟件企業(yè)選擇了ISO 9001或TickIT****（ISO 9001）認(rèn)證。
    CMM是由美國(guó)卡內(nèi)基-梅隆大學(xué)的軟件工程研究所（SEI）開發(fā)的軟件成熟度模型，美國(guó)的軟件企業(yè)更多的選擇取得CMM等級(jí)證書。在形式上，CMM分為5個(gè)等級(jí)（第1級(jí)級(jí)別低，第5級(jí)級(jí)別高），與ISO 9000審核后只有“通過”和“不通過”兩個(gè)結(jié)論相比，CMM是一個(gè)動(dòng)態(tài)的過程，企業(yè)在取得低級(jí) 別證書后，可根據(jù)高級(jí)別的要求確定下一步改進(jìn)的方向。
    在基本原理方面，ISO 9001和CMM都十分關(guān)注軟件產(chǎn)品質(zhì)量和過程改進(jìn)。尤其是ISO 9000：2000版標(biāo)準(zhǔn)增加持續(xù)改進(jìn)、質(zhì)量目標(biāo)的量化等方面的要求后，在基本思路上和CMM更加接近。
    *本文參考了Mark C. Paulk先生的 HOW ISO 9001 COMPARES WITH THE CMM，但觀點(diǎn)不盡相同。
    ** ISO 9001是軟件企業(yè)開展質(zhì)量體系認(rèn)證依據(jù)的標(biāo)準(zhǔn)；*** ISO 9000-3是國(guó)際標(biāo)準(zhǔn)化組織（ISO）制定的軟件開發(fā)企業(yè)實(shí)施ISO 9001指南；**** TickIT認(rèn)證是一個(gè)基于ISO 9001的、專門針對(duì)軟件開發(fā)企業(yè)的認(rèn)證制度，與取得非TiclIT（ISO 9001）認(rèn)證相比，TickIT對(duì)審核員的專業(yè)要求更高， TickIT（ISO 9001）證書在業(yè)界更有權(quán)威性。
    二、內(nèi)容
    下面以ISO 9001為主線，列出了ISO 9001的要點(diǎn)及CMM的對(duì)應(yīng)部分。
    1.要素4.1：管理職責(zé)：ISO 9001標(biāo)準(zhǔn)要求：組織應(yīng)規(guī)定質(zhì)量方針，形成文件并予以實(shí)施和保持；對(duì)從事與質(zhì)量有關(guān)的管理、執(zhí)行和驗(yàn)證工作的人員規(guī)定其職責(zé)、權(quán)限和相互關(guān)系；識(shí)別和提供驗(yàn)證資源 ；被指派的管理者保證實(shí)施和保持質(zhì)量大綱。
    CMM第2級(jí)提出了質(zhì)量方針和驗(yàn)證的職責(zé)，包括識(shí)別各類人員在項(xiàng)目中的職責(zé)，建立一支受過培訓(xùn)的軟件質(zhì)量保證小組和指派高級(jí)管理者監(jiān)控軟件質(zhì)量保證（SQA）活動(dòng)。
    作為CMM的通用特點(diǎn)，CMM在高級(jí)管理人員和項(xiàng)目經(jīng)理兩個(gè)層次上識(shí)別管理職責(zé)，以監(jiān)控軟件項(xiàng)目，支持SQA審核，建立支持軟件工程的組織結(jié)構(gòu)和分配資源。
    ISO 9001要求的質(zhì)量目標(biāo)（一種量化的、可檢查的要求），與在CMM第4級(jí)提到的“量化的”質(zhì)量方針是一致的
    2.要素4.2：質(zhì)量體系：ISO 9001要求建立一個(gè)文件化的質(zhì)量體系包括質(zhì)量手冊(cè)、質(zhì)量計(jì)劃、程序文件和作業(yè)指導(dǎo)書。
    CMM第2級(jí)提出驗(yàn)證符合性和管理過程的質(zhì)量體系活動(dòng)，在軟件開發(fā)計(jì)劃中規(guī)定軟件項(xiàng)目使用的具體程序和標(biāo)準(zhǔn)。CMM的驗(yàn)證實(shí)施（Verifying Implementation）通用特點(diǎn)明確要求進(jìn)行審核以保證符合特定標(biāo)準(zhǔn)和程序。
    CMM第3級(jí)要求組織必須規(guī)定軟件工程任務(wù)，并持續(xù)實(shí)施，在全組織都必須規(guī)定軟件過程資源，包括標(biāo)準(zhǔn)、程序和過程描述。
    與ISO 9001相比，CMM特別強(qiáng)調(diào)組織支持和項(xiàng)目實(shí)施之間的關(guān)系。
    3.要素4.3：合同評(píng)審：ISO 9001要求組織必須評(píng)審每一個(gè)合同以判斷需求是否明確、組織是否有能力滿足合同要求。
    CMM第2級(jí)提出組織必須文件化顧客要求并予以評(píng)審，明確不恰當(dāng)或模糊的要求。
    CMM第2級(jí)也要求描述目的、工作陳述和軟件開發(fā)計(jì)劃以履行軟件工程小組和高級(jí)管理者評(píng)審過的外部（合同）。
    4.要素4.4：設(shè)計(jì)控制：ISO 9001要求組織建立控制和驗(yàn)證設(shè)計(jì)的程序，包括：策劃設(shè)計(jì)和開發(fā)活動(dòng)；規(guī)定組織上和技術(shù)上的接口；識(shí)別設(shè)計(jì)輸入和設(shè)計(jì)輸出；評(píng)審、驗(yàn)證和確認(rèn)設(shè)計(jì)；控制設(shè)計(jì)更改CMM第3級(jí)描述生存周期過程，包括需求分析、設(shè)計(jì)、編碼和測(cè)試；第2級(jí)提出策劃和跟蹤所有項(xiàng)目活動(dòng)，包括上述生存周期活動(dòng)及配置管理。
    ISO 9001要求必須進(jìn)行設(shè)計(jì)評(píng)審，至于應(yīng)如何進(jìn)行設(shè)計(jì)評(píng)審，并沒有提出具體要求，組織可根據(jù)具體情況，在一定范圍內(nèi)選擇。與此不同的是，CMM第3級(jí)特別要求設(shè)計(jì)評(píng)審要采用同行評(píng)審的方式。ISO 9000-3關(guān)于設(shè)計(jì)評(píng)審的指南包含了CMM這一要求。
    CMM第4級(jí)對(duì)設(shè)計(jì)過程的要求與ISO 9001相比更加正式和量化。
    5.要素4.5：文件和資料的控制ISO 9001要求組織控制文件和資料的發(fā)放與更改。
    CMM第2級(jí)提出要將對(duì)文件和資料的控制納入配置管理，第3級(jí)特別要求對(duì)文件控制須實(shí)施并維持配置管理體系。在CMM的實(shí)施活動(dòng)（Activities Performance）通用特點(diǎn)章節(jié)中，對(duì)不同的關(guān)鍵過程區(qū)域明確了哪些專門的程序文件、標(biāo)準(zhǔn)和其它文件可納入配置管理。
    ISO 9000-3提出應(yīng)將文件和資料納入配置管理