400-009-6664

专注于IT服务的科技咨询公司

行业知识

您当前位置 > 主页 > 资讯中心 > 行业知识 > 详情

CMMI认证过程中就绪检查的重要性

    在CMMI认证中,无论是企业还是评估师,都希望评估能够按计划顺利进行。CMMI评估就绪检查的目的就是在评估准备和计划阶段,确定企业能否按照预定计划和时间、资源执行评估。这里所说的“就绪”,并不是给企业达到其目标成熟度级别打包票,而是确认评估可以如期举行。就绪检查是一种重要的评估风险识别与控制手段。那么如何判断企业已经准备“就绪”呢? 下面为大家具体介绍一下。
    CMMI评估方法要求评估师必须与企业发起人一起,至少从以下5个方面确定企业的就绪状态:客观证据(OE)、评估组成员、后勤保障、评估风险以及评估计划的总体可行性。下面分别介绍一下: 
   1.客观证据是否就绪
   企业是否已经识别并收集到足够并且适当的证物类(Artifacts)的客观证据(后面简称“物证”),尚未识别和收集到的物证能否在剩余的准备时间和现场评估时间内收集到?如果不行的话,就应该考虑对现场正式评估进行重新计划了。 
    2.评估组是否就绪
   该评估是否已经确保建立了符合评估方法要求的评估组,即评估组的人数和资格方面是否符合要求。另外,这些评估组成员能否按计划参加所有相关评估活动等。 
    3.后勤保障是否就绪
企业是否已经做好了评估后勤保障的工作?这主要包括评估所需的设施、设备和工具等。例如会议室、投影仪、远程音频/视频通讯工具等。另外,参与评估的企业成员是否能参与访谈和其他正式评估阶段的活动等。
    4.评估的总体风险是否可接受
    主要考虑一些评估的重大依赖条件是否具备,例如与上述的三个方面相关的参评项目的进展情况、人员的安排等。举个例子,目前新冠疫情的发展变化及其相应的国家、地方和企业的防疫政策要求等,往往会影响评估的交付方式和交付时间等,对于这点,企业和评估师是否做了充分考虑并做好预案(例如必要时转为远程交付)。 
     5.评估计划是否整体上可行
    考虑各种资源、时间、预算、方式等约束因素下,判断评估计划是否切合实际,例如,是否因为设置了过短的评估周期,造成评估成员的工作负荷过大而影响效果等。
     对于上述的五个方面,发起人与评估师应该商定明确的就绪标准。例如,xx%以上的物证必须已识别(identified)并收集整理(inventoried),其余的物证可以在xx天内收集整理完毕;所有评估组成员已经满足资质要求,并承诺可以按照计划参加评估;关键的设施准备就绪;受访者的参与时间已经沟通并得到承诺;不存在重大的风险等等。 
    这些标准怎么设,CMMI评估方法定义中并无硬性的要求。这与企业采用的证据收集方式密切相关,最终取决于企业对其计划的评估投入资源与可接受的评估风险水平之间的权衡结果。 
    如果企业对评估风险比较敏感,会选择在正式评估前准备好模型实践所需的物证。企业需要投入相当的人力进行证据的收集和准备,在这种模式下,评估组在正式评估期间专注于对收集到的物证进行验证,因此称为验证式(Verification)的证据收集方式。
    如果企业对可能的评估风险(例如:由于证据缺失导致的不确定性和后果,不能达成目标级别,或者不能按计划时间完成评估)的可接受程度比较高的话,可以采用发现式(Discovery)的证据收集方式,即在正式评估开始后才根据评估组需要去识别和收集相应的物证,这样可以明显减少证据采集和准备过程中的投入。
    企业还可以采取折衷的方案,即在评估开始前只识别和收集部分高价值的物证(例如过程体系文档、各类计划、需求/设计规格数、报告等),而留有部分的物证在现场评估阶段按需收集,这是一种受控的有限度的发现式证据收集方式(Managed Discovery)。
    因此,企业可以选择在正式评估开始前投入很少的资源准备证据,而在正式评估阶段才按需提供证据,或者选择投入较多资源预先识别整理好充足的证据,两种情况下的就绪标准就会不一样。无论企业采取何种方式,都需要评估师和企业了解评估开始前准备好了多少证据,还有多少证据需要在正式评估期间收集和整理,这样做的风险是什么,以及企业是否可以接受。 
就绪检查是否需要企业投入很多的额外工作呢?CMMI基准评估和维持性评估的就绪检查,可以由评估师单独执行,不需要企业方太多的额外投入。但考虑到就绪检查的效率和效果,企业可以指定熟悉情况的人员(例如,组织协调员OUC或其他人员)配合参加。
    就绪检查应该在何时执行呢?就绪检查在正式评估阶段开始前进行就可以了,检查的结果要录入到CMMI评估系统(CAS)中。选择在何时开始也体现企业对评估风险和评估投入的权衡结果。企业可以较早开始、分次检查(例如在评估抽样确定前后进行),也可以在准备和计划阶段比较靠后的时间开始。 
    总的来说,就绪检查对执行CMMI认证的企业是很有帮助的。评估师通过确认证据采集整理的现状和差距,判断评估是否可以按照计划执行。另外,在判断评估证据风险的同时,评估师对企业的实践建立起初并不是全面的了解,可以相应地做好准备,尤其是如何安排访谈以及细化模型实践的解读,会更有针对性,从而确保评估的价值。
    阿斯科科技主要从事CMMIITSSISO27001认证、ISO20000认证等IT体系咨询,信息安全服务资质(CCRC)咨询服务以及IT培训服务等.欢迎咨询:400-009-6664

阅读上一篇新闻:CCRC信息安全服务资质审核流程说明      阅读下一篇新闻:企业选择CMMI认证从2级到5级如何选?

服务案例查看更多