信息安全工程理论基础之能力成熟度模型
4.能力成熟度模型
能力成熟度模型( Capahility Maturity Model,CMM)是一种衡量工程实施能力的方法,是一种面向工程过程的方法。CMM是建立在统计过程控制理论基础上的,它基于这样一个假设,即“生产过程的高质量和在过程中组织实施的成熟性可以低成本地生产出高质量产品”。这种理论有点基督教的思想,就是“人在生时多做好事,死后就能上天堂”,强调了人生的整个过程,过程中如果高质量,结果通常是好的。事实也是这样的,据统计,所有成功企业的共同特点是都具有一组严格定义、管理完善、可测可控从而高度有效的业务过程。
能力成熟度(Capability Maturity,CM)是指一个具体的工程过程被明确地定义、管理、 评价、控制和产生实效的程度。所谓成熟度包含着能力的一种增长潜力,同时也表明了组织实施工程过程的实际水平。随着组织工程过程成熟度能力的不断提高,组织内部通过对过程的规范化和对成员的技术培训,工程过程也将会被它的使用者关注和不断修改完善,从而使工程质量、生产率和生产周期得到改善。CMM模型就是抽取了这样一组好的工程实践并定义了过程的“能力”。CMM有助于组织建立一个有规律的、成熟的过程。改进的过程将会生产出质量更好的产品,避免产品项目的时间和费用超支。
注意:过程的改善不可能在一夜之间完成,CMM是以增量方式逐步引入变化的。
CMM明确地定义了5个不同的“成熟度”等级。一个组织可按一系列小的改进向更高的成熟度等级前进。CMM为工程的过程能力提供了一个阶梯式的改进框架,它基于以往工程的经验教训,提供了一个基于过程改进的框架图,它指出一个组织在开发方面需要哪些主要工作,这些工作之间的关系,以及开展工作的先后顺序,一步一步的做好这些工作而使组织走向成熟。
CMM的思想来源于已有多年历史的项目管理和质量管理,自产生以来几经修订,成为具有广泛影响的模型。尽管已有个人或团体提出了各种各样的成熟度模型,但还没有一个像CMM那样在业界确立了权威标准的地位。CMM已经被广泛应用于各领域的工程过程改进,如软件工程领域有软件能力成熟度模型( SW-CMM),传统制造业领域有系统工程台邑力成熟度模型( SE-CMM),安全工程领域有系统安全工程能力成熟模型(SSE-CMM)和系统安全工程能力成熟性模型评估方法( SSAM)等。
- 上一篇:信息安全工程理论基础之质量管理体系
- 下一篇:信息系统安全工程