CSMM软件能力成熟度评估
—-认证实施指南
“软件能力成熟度模型”英文全称为Software capability maturity model【简称CSMM】,因此,软件能力成熟度模型评估又被成为CSMM评估。CSMM评估依据为《软件能力成熟度模型》T/CESA 1159-2021,此标准是由中国电子工业标准化技术协会于2021年5月27日发布<公告〔2021〕015号>,自2021年6月8日起实施。此标准旨在帮助企业对自身的软件能力进行评估和判断,对于未来的发展路径提供有效建议,推动软件产业高质量发展。主要适用于寻求软件开发提供商、确保软件开发质量的软件服务需求方,以及希望展现其软件开发和交付能力成熟度的组织。
CSMM评估/认证,又被称为“中国版CMMI认证”,为什么会被称为“中国版CMMI认证”呢?主要还是因为CSMM评估标准“模型框架”、“成熟度等级设置”以及“管理域、实践域、实践组成”的设置和定位都与CMMI 2.0版标准设置极为接近,目标用户群体也是面向软件企业及系统集成企业,因此,CSMM被称为中国CMMI认证也是情理之中了。
一、CSMM评估模型
CSMM评估模型借鉴吸收了软件工程、项目管理、产品管理、组织治理、质量管理、卓越绩效管理、精益软件开发等领域的优秀实践,为软件组织提供改进和评价软件能力的一个成熟度模型。组织通过软件开发、项目管理、组织治理和支持保障四类活动实现业务价值。
1、CSMM 的内容框架
图1 软件能力成熟度模型的内容框架
组织根据顾客与相关方要求以及对组织外部环境影响因素的分析,确定组织战略与业务目标,分解业务目标,规划产品路线图,配备人力资源,管理合作伙伴,管理组织与团队的绩效,围绕业务目标持续优化组织级的过程。
项目团队和组织通过实施软件开发活动定义、实现、确认与调整业务价值以满足组织级的业务目标,这些活动包括:定义软件的业务价值、目标与范围,实现与集成软件,发布与部署软件等,并在项目全生存周期中进行项目策划和跟踪管理,确保达成项目目标,实现业务价值。
为了更高效的达成业务目标与项目目标,还需积累技术与过程资产,管理环境、工具、安全、保密、问题、数据、风险与机会等,为软件开发项目和业务提供支持保障。
图1中的价值交付包括四类活动:
- 组织治理:包括战略和治理、组织管理和组织绩效管理实践,确定组织的战略、产品的方向、组织的业务目标,并对这些目标进行绩效考核,配备并激励员工实现业务目标;
- 软件开发:包括需求开发与管理、设计、实现与集成、测试、发布与部署实践,这些实践在软件生存周期中,确保通过软件工程过程交付满足需求的软件,为顾客与相关方增加价值;
- 项目管理:包括项目准备与启动、项目策划、监视与控制、项目结项和风险管理实践,这些实践覆盖了软件开发项目的全过程,以确保软件项目能够按照既定的成本、进度和质量交付,能够满足顾客与相关方的要求;
- 支持保障:包括配置管理、质量保证、同行评审和供方管理实践,为软件开发提供各种支持和全面管理的保障。
2、成熟度等级的总体特征
本模型按照软件能力的成熟度水平,按照由低到高演进发展的形势,定义了五个等级,高等级是在低等级充分实施的基础之上进行,见图2。
图2 成熟度等级模型
达到每个等级后的总体特征见表1。
表1 成熟度等级的总体特征
等级 |
结果特征 |
行为特征 |
| 1级:无序管理 | 有部分的软件交付活动,工作完成结果无法确定 | 软件项目交付成果可能成功 |
| 2级:初步管理 | 软件交付具有不确定性,顾客满意度低 | a)在项目级或组织级实施了软件开发、管理、和维护的基础过程;
b)没有在组织级形成标准过程 |
| 3级:改进管理 | 可以按时、保质交付顾客价值,顾客满意度得到提升 | a)在2级充分实施的基础之上进行持续改进;
b)软件开发活动能结合组织的业务战略、经营管理者需求以及外部监管需求; c)建立并持续改进组织级的标准软件过程、技术资产和过程资产; d)项目根据自身特性,选择和剪裁组织级标准软件过程,利用组织级技术资产和过程资产,实现项目目标,并回馈组织级资产。 |
| 4级:量化管理 | 基于稳定的交付质量与效率,可以快速帮顾客实现业务价值,顾客认可当前的软件能力 | a)在3级充分实施的基础上进行量化管理;
b)组织层面认识到能力改进的重要性,了解软件能力在业务目标实现、绩效提升等方面的重要作用,在制定业务战略时可获得项目数据的支持; c)组织和项目建立了量化的质量与过程绩效目标,支持组织业务目标的实现; d)建立了定量的过程绩效基线与过程绩效模型; e)采用有效的数据分析技术,分析关键软件过程的能力,预测结果,识别和解决目标实现的问题以达成目标。 |
| 5级:优化革新 | 可以帮助顾客实现业务创新,组织级的业务目标得到持续优化,顾客、股东、管理者、员工均认可组织的软件能力 | a)在4级充分实施的基础上进行优化革新;
b)组织将软件能力作为核心竞争力,利用软件开发创造更多的价值和提升改善组织的效率; c)采用有效的数据分析技术,识别组织软件过程中影响业务目标的实现问题,通过针对性的软件过程改进,实现组织业务目标; d)能将组织自身软件能力建设的经验作为行业最佳案例进行推广。 |
3、CSMM的实践构成
- 3.1 模型的层次结构
本模型由4个管理域、17个实践域、132个实践组成,模型的层次结构见图3。
图3 软件能力成熟度层次结构
- 3.2 实践域的结构
实践域的结构如下:
a)概述:归纳说明本实践域的内容;
b)目标:说明本实践域要解决的问题;
c)相关实践域:与本实践域有关的其它实践域;
d)实践列表:列出实践的等级编号、内容与解释。
- 3.3 实践的结构
实践的结构如下:
a)实践编号;
b)实践内容:实践的描述;
c)实践解释:对实践的详细说明。
3.4 实践域(实践)的等级要求
实践域(实践)的等级要求见图4。
注:对应实践域在高成熟度等级可存在量化管理和优化革新级实践。
与成熟度等级的对应关系.jpg)
图4 实践域(实践)与成熟度等级的对应关系
4、CSMM的应用
软件能力成熟度模型可以应用于多个场景:
a)软件开发组织的自我改进。组织可以根据本组织的瓶颈问题与弱项,参考本模型选择实践域、选择等级进行改进,也可以参考本模型的所有实践域进行全面改进;
b)软件能力的自我评价。组织可以参考本模型对自己的软件能力进行评价,以识别改进点;
c)软件能力的外部评价;
d)顾客对供方的评价;
e)全面评价能力或局部评价能力。可以对照适用的全部实践域进行评价,也可以仅对部分实践域评价能力等级;
f)本模型适用的组织包含但不限于:
- 作为供方的开发组织;
- 存在大量分包的顾客的软件组织;
- 离岸外包的组织;
- 软件开发的研究机构;
- 应用软件开发、嵌入式系统开发、实时系统开发、科学计算软件开发、基础设施软件开发等。
5、能力成熟度评级
本文件是针对组织从第二级开始评价,对第一级不作评价。
二、推行CSMM评估的意义
1、很多人在第一次接触CSMM的第一时间难免会有疑问,既然CSMM与CMMI有如此多的共同之处,那还有必要再另搞一套CSMM标准吗?
对于此问题,我们可以引用中国科学院何积丰院士在《软件能力成熟度模型》发布大会上的发言来回答:
中国科学院何积丰院士在大会致辞时谈到,坚持把科技自立自强作为国家发展的战略支撑,这次CSMM的发布具有非常特殊的意义。软件是新一代信息技术的灵魂,我国长期缺乏相关的自主标准,令20多年来国外相关标准在我国软件评估领域占据主导地位,甚至可以通过评估手段获得我国软件产业的大量敏感信息,对我国企业技术水平、技术路线造成安全隐患。所以,在新时期、新格局背景下,通过自主创新研制标准,指导我国软件企业构建软件能力建设,引领我国软件产业高质量发展,实现自主可控,具有深远的战略意义。
2、CSMM是国内团体标准,我们的企业取得CSMM评估证书后是否可以像CMMI一样用于承接境外IT服务项目?
在CSMM评估标准定量之初就将“离岸外包的组织”(见上文第4-f条目)定义为了目标用户,当然也会为CSMM的国际化做好充分的准备。
标准作为世界“通用语言”,是国际贸易的通行证。国家标准化管理委员会(简称标准委)自2001年成立以来,积极推动与各国、区域标准化机构和国际组织开展标准化双多边合作与交流,签署标准化双多边合作协议。截至目前,标准委已与55个国家、区域标准化机构和国际组织签署了98份标准化双多边合作协议。
图5 与我国签署标准化双边合作协议的国家/组织和签署的合作协议数量
图6 自2002年以来,我国签署的标准化合作协议数量
3、CMMI在我国推行已经20多年了,其影响力和行业认知度都深入人心,而且目前还拥有大量的存量用户企业,CSMM在国内能推得动么?
软件产业的高质量发展离不开政策的引领,工业和信息化部信息技术发展司作为行业主管部门,对《软件能力成熟度模型》标准工作高度重视,给予了很多指导和支持。
图7 工业和信息化部信息技术发展司副司长 王建伟
3.1 工业和信息化部信息技术发展司副司长王建伟在讲话中指出,软件产业高质量发展离不开标准的引领,电子标准院等标准化机构要充分利用自身优势,汇集产学研用各方力量,加大重点标准研制力度、积极推动应用试点示范、加强培育事实标准,不断提升标准对软件产业的支撑水平,打造自主创新标准新标杆,调动多方力量提升软件能力是关键。
从王司长的讲话里我们可以看出,工信部对CSMM标准是非常重视的,是要把CSMM作为撬动信息产业发展的杠杆工具之一来推行的,因此,相应的“示范项目”是必然会跟进的,在政府资助的引导下快速在国内推行CSMM标准是大概率事件,同时我们也可以推测出在CSMM推行之后部份省市针对CMMI的财政补贴必然逐步裁撤!此消彼长之下,CSMM还能推不动么!
3.2 CSMM的“出身高贵”,此标准的编制带头人及参与编纂的机构和人员囊括了国内众多的大型IT企业、行业协会、科研院所等机构,在这些企业、组织、机构的带领和示范下,CSMM会在国内快速形成潮流。《软件能力成熟度模型》标准起草单位如下:
中国电子技术标准化研究院、同济大学、北京航空航天大学、大连华信计算机技术股份有限公司、四川久远银海软件股份有限公司、麦哲思科技(北京)有限公司、浪潮软件科技有限公司、万达信息股份有限公司、北京信城通数码科技有限公司、江苏赛西科技发展有限公司、深圳赛西信息技术有限公司、江苏省软件产品检测中心、广州赛宝认证中心服务有限公司、北京赛迪认证中心有限公司、吉林省电子信息产品检验研究院、重庆市赛晟信息技术服务有限公司、新疆维吾尔自治区软件行业协会、山东省电子信息产品检验院、大连软件行业协会、陕西省电子信息产品监督检验院、武汉市高新技术产业协会、东软集团股份有限公司、江苏中科智联信息技术有限公司、神州数码信息服务股份有限公司、华为技术有限公司、腾讯云计算(北京)有限责任公司、中兴通讯股份有限公司、北京伟仕佳杰信息技术服务有限公司、联想(北京)有限公司、人民日报媒体技术股份有限公司、四川长虹佳华信息产品有限责任公司、中国航天系统科学与工程研究院、荣联科技集团股份有限公司、中国电子科技集团公司第十研究所、北京华宇信息技术有限公司、上海计算机软件技术开发中心、北京航天自动控制研究所、信安软件测评认证中心(深圳)有限公司、北京数字认证股份有限公司、中金金融认证中心有限公司、北京京航计算通讯研究所、北京直真科技股份有限公司、上海微小卫星工程中心、山东创恩信息科技股份有限公司、山东中创软件工程股份有限公司、广东益安人防工程科技有限公司、成都泰一链科技有限公司、大连文思海辉信息技术有限公司、中关村云计算产业联盟、中移(苏州)软件技术有限公司。
根据我多年从事CMMI认证的经验来判断,CMMI在我国也不会快速离场,CMMI和CSMM双轨并行会存在很长一段时间的,首先,CMMI是国外的认证标准,工信部不能发文直接取消了;其次,CMMI已经获得了国际上很多国家的认可,其市场地位不是可以轻易撼动的;第三,国内有一些专门从事IT服务外包的企业也还是比较依赖CMMI的,不可能轻易就放弃CMMI。总之,CSMM的推出是我国IT行业企业与国外“标准竞争”迈出的重要一步,是打破国外标准垄断的重要举措,同时,也给国内外众多IT企业以“标准选择权”。
4、与CMMI相比,CSMM有什么特点?
诚然,CSMM标准与CMMI相比较在框架设置上是比较类似,这是很正常的事,好的经验和成熟有效的管理办法我们就是要继承,直接拿过来用也无可厚非的。在种“拿来主义”也并不是直接全部照抄,CSMM还是有我们“中国特色”的一些内容的,主要的特点如下:
- 内容更聚焦。CSMM软件能力成熟度模型,结合了国内软件企业技术创新能力强、融合支撑作用大等特点,更加注重软件开发工程过程管理。在标准中提出了战略与治理、组织管理、组织绩效管理、设计、发布与部署、项目准备与启动、项目结项7项实践域。
- 等级实现方式更灵活。软件能力成熟度模型,在实现高成熟度等级方面,融入了量化、敏捷和精益的方法。不再局限于量化分析方法的可预测要求,而是提出了围绕组织自身特点,提升软件价值的非特定性实践,更注重于组织业务目标的达成,支持组织战略的革新。
- 更注重于组织实践。软件能力成熟度模型,根据产业的发展特点及需求,提出了软件能力的定义,给出了软件能力实践要求。引导组织将更多的资源投入到绩效改进中,通过对可持续竞争优势的技术、过程和方法等多维度分析,及时对组织中的关键要素进行调整、改进和革新。
三、CSMM评估申请、审批
略
