ISO22301:2012《公共安全—业务连续性管理体系-要求》将帮助所有的组织,无论其规模大小、地域或开展的活动如何,在处理任何类型的风险时能更好地应对并更具信心。 在任何时候事故都能使组织的业务中断,采用ISO 22301标准将组织能够应对事故并其业务的持续运行。事故发生有多种类型,从严重的自然灾害和恐怖主义活动到与技术相关的事故和环境事故。然而,许多事故虽然小,但能产生严重的影响,这在任何时候都与业务连续性管理紧密相关。 目前,业务连续性管理已经引起全球的关注,无论是公共或私有部门的组织都了解如何准备和应对意外的破坏性的事故发生。ISO 22301标准为业务连续性管理体系(BCMS)的策划、建立、实施、运行、监视、评审、保持和持续改进提供了框架。当破坏性的事故发生时,该标准将有助于组织的防护、准备、响应和恢复。 实施ISO 22301标准的组织将能够向立法部门、执法部门、消费者和潜在消费者以及其他的利益相关方证明,他们满足了BCM良好规范的要求。同时,该新标准也可用于组织内部按照良好规范进行内部检查,并通过内审员出具管理报告。 ISO 22301将帮助组织在设计BCMS时适宜地满足自身的要求和满足其利益相关方的要求,这些要求涉及:法律法规、组织和行业因素、组织的产品和服务、组织的规模和结构、组织的过程和其利益相关
CMM目前已成为许多大型软件企业用于改善组织内部软件工程所实行的软件评估标准,CMM同样陆续应 用系统工程及软件采购方面,成为国际间认同且广泛通用的一种软件生产程序标准。由于CMM应用日渐广泛,陆续开发出不同的CMM模型,包括:软件能力成熟 度 (Software Capability Maturity Model, SW-CMM) 、系统工程能力成熟度模型 (Systems Engineering Capability Maturity Model, SE-CMM) 、集成产品开发能力成熟度模型 (Integrated Product Development Capability Maturity Model, IPD-CMM) 、人力资源管理能力成熟度模型 (People Capability Maturity Model, P-CMM) 等应用模型;且SEI于2000年12月公布能力成熟度集成模型 (Capability Maturity Model - Integrated, CMMI),更进一步将能力成熟度模型整合,逐渐取代现行的CMM标准。
CMM评估认证起于上个世纪九十年代初,近三十年来估计有数万计的组织通过了评估,拿到了一纸2到5级的证书。稍微仔细看看任何一张证书内容,你会发现上面没有SEI(今天是CMMI研究院)的logo,印章,或者其负责人的签名,也就是说这张证书不是来自SEI,它是主任评估师以个人名义颁发的。CMMI2.0评估结果登在研究院网站的同时,sponsor收到的CMMI研究院通知邮件中,都会有下面这段话: Note that this approval is not a CMMI Institute endorsement of your appraisal results, but a confirmation that your Lead Appraiser has at least met the minimum data submission requirements, as established by the CMMI V2.0 Appraisal Method Definition Document, to support the appraisal final findings.
它的大意是,评估结果的批准不意味着CMMI研究院认可评估结果,它仅确认主任评估师提交的评估材料满足了评估方法对支持终结论所需数据的低要求。
记得2003年我参加CMMI主任评估师升级培训时,有次在电梯里问当时CMM/CMMI评估负责人SEI不发评估证书的原因,他的回答是:一是怕吃官司,二是评估结果多只代表被评估组织在某一时间点的状况。2004年我接到过一个电话,是洛杉矶一家公司想诉讼中国一家软件外包公司以及SEI,找我做证人。这家外包公司被选中的主要原因是它有张CMM五级证书,因为他们觉得五级一定代表很强的软件开发管理能力。而实际结果让他们大失所望,项目做的很差,给这家洛杉矶公司造成了很大损失。他们认为SEI应该为给这样不合格的组织颁发五级证书负责,也认为外包公司有作假之嫌。我在电话里解释了为什么SEI没有任何法律责任,五级证书也不能每个项目都能做得好。后来他们再没联系我,估计终只能是不了了之了。
SEI/CMMI研究院自己不颁发证书是个聪明的做法,不仅避免了惹官司的麻烦,也明确告诉我们,证书只是代表改进路上的一个重要标志,不是质量的书。质量的需要资源、过程、检查、技术强悍的团队、责任心、认真、学习、创新、文化、老板的远见!
做完CMMI3评估,你会发现公司的软件开发过程基本实现以下特点:
1)明确规定了需求开发、设计、编码、测试、集成等软件开发各过程的要求。
2)对项目管理提出了更高的要求,要利用组织级的数据来管理项目。
3)出现了针对组织级的PA,要求有的组织来负责过程改进的工作。
4)提供了一个做出佳决策的指导,而这个方法可以用于软件工程,也可以用于组织级过程改进。
当我们CMMI3已经落地执行效果不错的时候,我们是不是可以考虑CMMI4级或CMMI5级呢,我们需要投入哪些资源或会增加多少工作量?
CMMI-4&5级的实施是数据的收集和对数据的统计分析,因此相比CMMI-3级来说,主要增加的工作量就是过程数据的收集、统计分析和应用等相关工作。一般来说,企业需要投入人员从事这项工作,主要投入的人员为专职的EPG和度量分析人员(1~3名),他们的主要职责为:
1)学习统计分析技术和工具、其它定量分析技术和工具
2)收集度量数据
3)建立、维护、使用过程性能基线和模型
4)在组织和项目中应用过程性能基线和模型
5)进行量化的过程改进
另外,项目组也要积极、主动配合数据的收集和应用,主要职责包括:
1)记录、提供数据
2)学习必要的统计分析技术
3)在项目中应用过程性能基线和模型
4)提出过程改进建议和方法
关于CMMI认证中的一些问题
问题一:CMMI认证只有软件企业才能申请办理吗?
答:CMMI研究院明确规定,任何有软件开发能力。都可以申请CMMI认证。不管是软件开发企业,企业中有软件开发的部门,或者企业能满足CMMI的规范都可以申请。
问题二:CMMI人数多少才能办理
答:CMMI是针对软件开发的框架,不管企业人数上千或者只有30人,都可以申请办理。只需企业符合CMMI过程规范。
问题三:CMMI认证证书含金量高不高。
答:CMMI认证证书,是由获得CMMI研究院资格的评估师发放证书,CMMI研究院统一管理,全球只有一家机构管理。而且CMMI是全球认可度高的软件过程改进模型。获得CMMI证书可以证明软件开发过程改进达到全球水平。
问题四:公司目前没有建立CMMI模型,怎么申请
答:企业刻自行建立或请咨询公司帮助建立。根据企业的具体要求建立及后期申请。
一家企业需要对外展示自己的软件研发能力,仅凭一张嘴巴说,那是不行的,谁也不相信,你说你企业做了CMMI认证,按照CMMI模型用于软件开发的?凡是都要讲究证据。所以企业就需要一张CMMI的证书,来展示自己企业的实力。
CMMI的认证流程是怎么样的?企业需要做什么工作,要暂用多少时间,多少工作量?小编把CMMI认证的流程分为三个阶段。评估前的准备阶段、评估阶段、出证官网公示阶段,三个阶段。接下来给大家一一道来。
