收藏本站 设为首页

ISO9000和CMM:谁更适合软件开发管理?

编辑:admin 日期:2021-07-01 12:41 分类:汽车俱乐部 点击:
简介:目前,许多软件企业在开发管理上存在的问题是没有统一的规范标准,质量把控也不够理想。因此,许多企业的软件开发项目都要求承包商有一定的CMM级别或ISO9000认证作为参加投标的资格。在上周,我参加了一个华南地区的软件行业会议,会议主题是关于如何做好软

  目前,许多软件企业在开发管理上存在的问题是没有统一的规范标准,质量把控也不够理想。因此,许多企业的软件开发项目都要求承包商有一定的CMM级别或ISO9000认证作为参加投标的资格。在上周,我参加了一个华南地区的软件行业会议,会议主题是关于如何做好软件开发的质量管理。在会议上大家掀起了一股讨论的热潮,就是在软件开发中是选择CMM体系还是ISO9000质量体系?

  在研讨会上,许多与会者一致的都认为目前我国软件企业遇到的最大困难既不是来自国家有关的产业政策,也不是来自市场的竞争,而是来自企业内部管理的不完善和不协调,有相当一部分软件企业的质量管理环节是相当的薄弱。因此,软件企业的当务之急应该是苦练内功,通过加强质量管理工作来规范企业内部行为。而要想高效率、高质量和低成本的开发软件,必须要改善软件生产过程这一核心问题。

  软件过程是指软件生存周期所涉及的一系列相关过程。软件过程是研究如何将人员、技术和工具等组织起来,通过有效的管理手段,提高软件的生产效率和保证软件的产品质量。软件过程成熟是指一个特定软件过程被明确和有效地定义、管理、测量和控制的程度。由此诞生了软件过程的两个主要流派:美国软件工程研究所(SEI)开发的CMM软件成熟度模型和国际标准化组织(ISO)开发的ISO9000标准系列。它们两者都共同着眼于质量和过程管理,两者都为了解决同样的问题。但是它们的基础是不同的:ISO9000标准是确定一个质量体系的最少需求,而CMM模型强调持续过程改进。当然,这种观点有一定的主观性,因为一些国际标准团体认为如果深入地解读ISO9000,而不只是停留在表面的线也是为了解决持续过程改进的问题。

  CMM(Capability Maturity Model)是能力成熟度模型的缩写。CMM描述了一个有效的软件过程中的关键要素,讨论了不成熟的软件机构发展成为有规律的、成熟的软件机构的改进过程。CMM涉及对软件开发规划、软件过程工程化和对软件过程管理的实践活动。通过这些实践活动,以提高软件机构满足成本、进度、功能和质量要求的能力。CMM的核心是把软件开发视为一个过程,并根据这一原则对软件开发和维护进行过程监控和研究,以使其更加科学化、标准化。

  CMM可分为五个等级:一级为初始级,二级为可重复级,三级为已定义级,四级为已管理级,五级为优化级。其中任何软件企业都可以认为是成熟度级别为一级的组织。换句话说,一级的企业在软件过程中是有很多问题,但随着成熟度级别的升高,企业软件过程的能力也会越来越强。目前,CMM模式已被公认为是当前最好的软件过程管理模式,它已成为业界事实上的软件过程的工业标准。但是需要提醒的是,并不是实施了CMM,软件项目的质量就一定有了保障。因为按照CMM思想进行管理与通过CMM认证并不能划上等号。

  自从1987年ISO国际标准化组织公布ISO9000标准以来,ISO 9000标准已经成为全球最有影响力的质量管理和质量保证标准。ISO9000标准是建立在所有工作都是通过过程来完成的这样一个认识基础之上。在ISO 9000标准中,与软件企业关系最密切的是《ISO 9001 质量体系-设计、开发、生产、安装和服务的质量保证模式》和《ISO 9000-3 质量管理和质量保证标准第三部分:ISO 9001在计算机软件开发、供应、安装和维护中的指南》。还有如ISO9004-2是指导软件维护和服务的质量系统标准,它是指导和支持软件产品的维护。而ISO9004-4则是近年公布的很有用的附加标准,是用于改善软件质量的质量管理系统文件。

  ISO 9000-3作为软件企业实施ISO 9001的指南,其主要思想是:软件的开发和维护有着一系列的任务。这些任务的顺利完成是需要各级管理层和开发人员的共同配合和一致协调的。需要指出的是,ISO 9000-3对软件企业的软件开发和维护活动起到的只是指导性和建议性的作用,不带有强制性。因此,一个软件企业在贯彻和执行ISO 9000-3的过程中,应该根据企业自身的基础和现状,有针对性地开展软件质量管理和质量保障活动。此外,ISO/IEC还制订了《信息技术-软件生存周期过程》,全面系统地描述了软件生存周期过程,是ISO 9000-3实施指南的进一步扩展。

  ISO9000 和 CMM 是国际上通用的软件质量评估和管理方法。二者有很多相似之处,它们的实施都可以改变软件开发的不规范、文档不齐、维护跟不上、质量漏洞多等弊病。因此,尽管ISO9000标准的一些要求在CMM中不存在,而CMM的一些要求在ISO9000标准中也不存在,但两者之间都受到类似的关系驱动,有着相似之处。它们的核心思想都涉及质量管理和过程管理。因此,往往会产生这样的问题:ISO9000和CMM,谁更适合软件开发?

  两者最大的相似点是都强调规范化和文档化的过程管理。在基本原理方面,ISO9000和CMM都十分关注软件产品质量和过程改进。尤其是ISO 9000:2000版标准增加持续改进、质量目标的量化等方面的要求后,在基本思路上和CMM更加接近。

  它们的共同点都是认为:过程管理的核心是使过程状态可见并使过程可控。也就是说:如果组织还没有一个规范化的开发过程,则首要任务是对当前的开发过程进行分析、整理并文档化,制定出一个符合本组织实际开发过程的规范,并从制度上确保开发过程规范的执行。如果已经具备了相对规范的开发过程,则需要对这个开发过程的规范表现进行持续的评估,找出问题,然后进行补充修订。这就是我们通常所说的持续改进。

  一般来说,ISO9001会被认为是适用于所有领域的一种质量保证模式。针对质量管理而言,ISO可以看作是一个浓缩的管理学框架。它是一个大而全的系统,几乎覆盖了公司管理的各个方面。它对于一个尚无完整质量管理体系和规范的公司来说,是一个很好的快速建立公司系统化管理框架的参照体系。通过这个体系的建立,可把公司的各个部门的业务流程、接口关系、人员岗位、部门职能界定及各种公司管理制度有机的整合起来。

  而CMM 主要是对软件开发实践所涉及的整个开发流程的规定和分析,它的体系既包括软件工程过程本身,也包括对这一过程的管理。它更多的是提示组织所处于各个成熟度等级的阶段目标,以及为了达到这些特定的阶段目标而需要的具体活动。对于一个具有一定管理基础的组织,引入 CMM会对其持续提高过程能力、持续改进过程质量将起到极大的推动作用。

  CMM与ISO9000的区别主要有以下几点:①ISO9000的通用性太强,针对性太弱。ISO9000适用范围是所有设计\制造\开发及服务的行业,对软件质量管理体系的要求是很低的,通过ISO9000认证的企业只相当于CMM的2级或3级,而且要求不是很具体。②CMM是专门针对软件开发及服务的。它提出的是对软件开发过程改善的全程指导。它的每一级对所要实现的关键过程都有详细的要求,关键实现的说明就有500页之多,这对于推动软件企业自身质量管理素质是非常有利的。③CMM强调软件开发过程的成熟度,即不断改进和提高开发过程,而ISO9000仅是描述了可接受的最低标准。就软件过程来说,CMM3级的覆盖范围是要大于ISO9000的覆盖范围。④ISO认证过程只有两种结果:要么通过认证,要么不通过认证。CMM则给出一个过程改善的框架,它将成熟度分为五个级别。

  简单的说,不同点在于CMM是把焦点严格对准软件开发,ISO9000则是包括硬件、软件、流程性材料和服务。一个是软件行业专用的,另一个则是泛用的。因此,尽管两者在涉及质量管理和软件过程中有着相似之处,但也存在很大差别。

  就软件企业来说,两者在质量管理指导原则上的要求是差不多的。只是实现和表述上是不同的,但不能笼统的说谁比谁好。因此,对于软件过程改进应该是基于CMM模型还是ISO9001呢?明智的回答是应该同时考虑两者,虽然两者有很大程度的重叠。那么,到底是先选择CMM还是ISO呢?从笔者的实践经验来看,应从以下几个方面进行考虑:

  一般来说,ISO9000是全面规范企业的质量管理,而解决软件过程问题则是CMM模型有很好的优势。也就是说:如果企业只希望提高自己在项目管理、开发活动或者过程管理等方面中的某些能力,那么就可以应用CMM方法来增强自己的过程控制能力。而如果软件企业希望全面提高质量管理,那么就可以先选择ISO9000。所以,当企业的规模不是很大,业务又主要集中在软件开发为主的话,应是CMM比较适用。但如果企业的规模比较大,并且业务不仅仅集中在软件开发,还包括硬件开发、硬件代理(采购)和其它服务,智能安防做你的坚强后盾!!则可以考虑先实施ISO9000体系。

  这一点的考虑主要是因为很多软件企业长期以来形成的管理陋习和企业文化与CMM制度化的管理理念会存在一些相冲突的地方。因此,在打破旧体制建立新体制时就必然会带来软件企业的阵痛。此外,由于CMM是强调逐步改进,而非突变,故很难在短时间内看到显著 的效果,这样直接实施CMM的话会打击大家对CMM的信心。因此,可以借助ISO9000质量体系先建立规范化的软件过程,熟悉质量管理内容和建立质量管理体系。也就是说,如果过去没有接触过类似的规范化质量管理,那么最好先从ISO9000开始,首先建立持续过程改进的思想。因为ISO9000的要求比CMM要稍低一些,可以适当的降低实施难度。如果企业已经实施过ISO9000了,并且取得了较好的效果,这时再考虑实施CMM就会顺利得多了。

  不论怎样,几乎可以肯定地说实施CMM的费用肯定要比实施ISO9000的高出一些。据有关方面的统计,通过CMM4级以上的直接和间接的投入会是超过百万元级的。因此,如果企业的预算不多的话,我们立足于少花钱、多办事的原则,可以先采用ISO9000的实施和评估方法,先建立规范化的质量控制过程。这样不但经济很多,而且效果还不错。在预算充足的时候,再上CMM就也会事半功倍了。通常来说,单纯比较软件过程的话CMM的价值会更大些。但总的来说CMM和ISO没有孰轻孰重之分,而是可以互相结合的。例如,ISO的质量目标是非常好的思想,CMM管控软件开发过程则相对比较细致。

  总之,单纯实施CMM,永远不能真正做到能力成熟度的升级,只有将实施CMM与实施ISO9000有机地结合起来,才能发挥最大的效力。因此,我倾向于一个公司先基于ISO9000建立起质量管理体系框架,培养质量意识。然后,在此基础上再选择若干开发过程进行重点监控,以逐步达到CMM成熟度等级的要求。