江苏CMMI4级认证,CMMI获证企业流程

ISO22301：2012《公共安全—业务连续性管理体系-要求》将帮助所有的组织，无论其规模大小、地域或开展的活动如何，在处理任何类型的风险时能更好地应对并更具信心。 在任何时候事故都能使组织的业务中断，采用ISO 22301标准将组织能够应对事故并其业务的持续运行。事故发生有多种类型，从严重的自然灾害和恐怖主义活动到与技术相关的事故和环境事故。然而，许多事故虽然小，但能产生严重的影响，这在任何时候都与业务连续性管理紧密相关。 目前，业务连续性管理已经引起的关注，无论是公共或私有部门的组织都了解如何准备和应对意外的破坏性的事故发生。ISO 22301标准为业务连续性管理体系(BCMS)的策划、建立、实施、运行、监视、评审、保持和持续改进提供了框架。当破坏性的事故发生时，该标准将有助于组织的防护、准备、响应和恢复。 实施ISO 22301标准的组织将能够向立法部门、执法部门、消费者和潜在消费者以及其他的利益相关方证明，他们满足了BCM良好规范的要求。同时，该新标准也可用于组织内部按照良好规范进行内部检查，并通过内审员出具管理报告。 ISO 22301将帮助组织在设计BCMS时适宜地满足自身的要求和满足其利益相关方的要求，这些要求涉及：法律法规、组织和行业因素、组织的产品和服务、组织的规模和结构、组织的过程和其利益相关

CMMI认证起源于CMM (Capability Maturity Model for software，软件能力成熟度模型) 是美国部在1984年因当时该机构软件项目委外开发时，无法评估软件公司对软件项目的承接及执行能力，故委托美国卡内基美隆大学 (Carnegie Mellon University) 的软件工程学院 (Software Engineering Institute, SEI) 所进行的一项研究成果，试图于软件产业建立一套工程制度，使个人及组织在软件开发上能有持续改善的依据，其目的是用来评估及改善软件开发公司的软件开发过 程及软件开发能力，并且协助软件持续改善软件流程成熟架构及软件质量，进而提升软件开发项目及软件开发公司的软件开发管理能力，达成软件开发的功能 正确、缩短开发周期、降低开发成本及确保质量等目标。

CMMI4，CMMI5级的办理条件。办理这两个认证，您公司得需要有CMMI3级认证，得做完有一年时间，才好评估4级或5级。理论上，没评估过CMMI3级，也没谁说不让你申请CMMI5级，只是没做过CMMI3级评估，直接做CMMI5级风险太大，实际上是不大可能直接达到5级要求，一般评估师不会接这样的评估任务。

这里再说一点，前面说，可以直接申请2级或3级，为啥大家直接申请3级，不申请2级呢，其实这主要是市场行为，CMMI2与CMMI3的成本差不多，大家索性直接直接CMMI3级，在投标方面还更有竞争力。

CMM评估认证起于上个世纪九十年代初，近三十年来估计有数万计的组织通过了评估，拿到了一纸2到5级的证书。稍微仔细看看任何一张证书内容，你会发现上面没有SEI（今天是CMMI研究院）的logo，印章，或者其负责人的签名，也就是说这张证书不是来自SEI，它是主任评估师以个人名义颁发的。CMMI2.0评估结果登在研究院网站的同时，sponsor收到的CMMI研究院通知邮件中，都会有下面这段话： Note that this approval is not a CMMI Institute endorsement of your appraisal results, but a confirmation that your Lead Appraiser has at least met the minimum data submission requirements, as established by the CMMI V2.0 Appraisal Method Definition Document, to support the appraisal final findings.

它的大意是，评估结果的批准不意味着CMMI研究院认可评估结果，它仅确认主任评估师提交的评估材料满足了评估方法对支持终结论所需数据的低要求。

近波音737MAX空难也让美国联邦航空局（FAA）遇到了的麻烦，因为用于航空飞行控制的软件都要通过FAA的标准认证流程， 如DO-178C （点击下图，阅读原文）。许多开始质疑FAA的认证过程存在问题，他们对FAA审核没有发现737 MAX升级软件的潜在问题感到不解。严格的软件认证过程真能发现所有质量隐患吗？如果了解软件特点，我们知道答案是否定的。否则不会有飞机失事、核电站泄漏、火箭实效等问题了。这些安全关键软件评估认证的过程比CMMI要严格10倍，也起到了重要的作用，但通过认证绝不是0缺陷的。

虽然FAA面临很大的麻烦，我估计不会有人因此而坐牢、丢掉饭碗。FAA宣称所有认证环节的书面文件都在，这些东西可以证明他们严格执行了飞行软件的认证流程。也许FAA能做的是通过这次波音空难，完善弥补认证流程的漏洞，杜绝类似问题的发生。当然如果真的有舞弊行为，则另当别论。

当我们CMMI3已经落地执行效果不错的时候，我们是不是可以考虑CMMI4级或CMMI5级呢，我们需要投入哪些资源或会增加多少工作量？

CMMI-4&5级的实施是数据的收集和对数据的统计分析，因此相比CMMI-3级来说，主要增加的工作量就是过程数据的收集、统计分析和应用等相关工作。一般来说，企业需要投入人员从事这项工作，主要投入的人员为专职的EPG和度量分析人员（1~3名）,他们的主要职责为：

1）学习统计分析技术和工具、其它定量分析技术和工具

2）收集度量数据

3）建立、维护、使用过程性能基线和模型

4）在组织和项目中应用过程性能基线和模型

5）进行量化的过程改进

另外，项目组也要积极、主动配合数据的收集和应用，主要职责包括：

1）记录、提供数据

2）学习必要的统计分析技术

3）在项目中应用过程性能基线和模型

4）提出过程改进建议和方法
实施CMMI-4&5就是在CMMI-3级的基础上再实施4个PA，从PA数量上来说增加的很少，但这并不意味的实施起来比较简单，相反，实施CMMI-4&5级比实施CMMI-3级要难的多。主要原因是实施CMMI-4&5需要收集大量的过程数据，并进行统计分析，建立过程性能基线和模型，然后在项目和过程改进中应用这些基线和模型，综合来说主要有如下难点：

技术方面：

1） 统计分析技术不好理解，需要花费大量的时间学习和应用

2） 组织级度量库中收集的数据太少，不足以建立基线和模型：数据点一般在20个以上才具有统计意义

3） 组织级度量库中数据不全，需要的数据没有收集，导致不能建立有意义的基线和模型：基线和模型需要覆盖整个项目的生命周期，从需求、设计、编码、测试、交付都要覆盖

4） 过程不稳定，影响因素太多，数据之间相关性很差，根本不能建立模型：一般主要因为人员不稳定、项目类型差异很大，不可控因素太多导致过程不稳定
对企业资料的阅读和人员的访谈这两个方面进行综合评定。人员访谈这方面其实都还好，只要是做过CMMI的实践，几乎都没有问题。资料方面，小编参与过CMMI的评估，企业中各样的问题都见过，大部分是做的不，有缺失的部分。这里可以请CMMI先给企业做预评估。让协助企业把资料完善。

评估阶段根据CMMI认证申请的等级高低，时间也不一样。评估完成后评估师召集企业开会宣布评估结果

出证官网公示阶段

CMMI评估已经完成。评估师出具评估报告与CMMI证书。企业可以获得CMMI纸质版，评估师签名的证书。当然到了这一步还没有结束。评估师的评估报告送达CMMI研究院备案。CMMI官网60日内公示评估结果。