北京軟件評(píng)測(cè)中心公司介紹

北京軟件評(píng)測(cè)中心附屬單位公司介紹北京軟件評(píng)測(cè)中心附屬單位2012年3月31日TOC\o"1-5"\h\z一、公司簡(jiǎn)介3二、CMMI業(yè)務(wù)介紹41、CMM的含義與作用4\o"CurrentDocument"CMMI模型介紹4\o"CurrentDocument"CMM/CMMI的發(fā)展過(guò)程5\o"CurrentDocument"3、CMM/CMMI的結(jié)構(gòu)與內(nèi)容7\o"CurrentDocument"4、主任評(píng)估師85、CMM/CMMI培訓(xùn)、咨詢、評(píng)估服務(wù)業(yè)績(jī)86、CMM/CMMI解決方案9\o"CurrentDocument"6.1、范圍12\o"CurrentDocument"6.2、總體需求與目標(biāo)12\o"CurrentDocument"6.3、項(xiàng)目啟動(dòng)建議12\o"CurrentDocument"6.4、工作內(nèi)容、實(shí)施方式與進(jìn)度計(jì)劃14\o"CurrentDocument"三ISO27001基本介紹18\o"CurrentDocument"四ISO/IEC20000:2005介紹25\o"CurrentDocument"三其他說(shuō)明30\o"CurrentDocument"1、咨詢團(tuán)隊(duì)30\o"CurrentDocument"1.1推薦團(tuán)隊(duì)31\o"CurrentDocument"2、語(yǔ)言32\o"CurrentDocument"附件一:連國(guó)華簡(jiǎn)歷33一、公司簡(jiǎn)介北京軟件測(cè)評(píng)中心是一家專門從事企業(yè)管理標(biāo)準(zhǔn)化的專業(yè)咨詢服務(wù)機(jī)構(gòu)，同時(shí)針對(duì)IT高端人才開展軟件工程碩士和MBA的學(xué)歷教育，以及在此基礎(chǔ)之上的培訓(xùn)和高科技開發(fā)和科技成果轉(zhuǎn)化工作。企業(yè)員工80%以上都是海外歸國(guó)人員、博士、碩士。其中咨詢業(yè)務(wù)立足企業(yè)管理提升需求，結(jié)合資深咨詢專家的多方面管理經(jīng)驗(yàn)和理念為客戶提供包括：CMMI、ITIL（IT服務(wù)）、ISO27001（信息安全）ISO9001等評(píng)估咨詢培訓(xùn)的服務(wù)。ITBPI獲得國(guó)家認(rèn)可的質(zhì)量管理體系的服務(wù)范圍有30大類，獲得全國(guó)職業(yè)安全健康管理體系認(rèn)證機(jī)構(gòu)認(rèn)可委員會(huì)（CNASC）認(rèn)可的職業(yè)安全健康管理體系的業(yè)務(wù)范圍有10大類，ITBPI還具備ISO14001環(huán)境管理體系認(rèn)證的條件，在實(shí)施多體系整合型一體化認(rèn)證方面，ITBPI已取得了相當(dāng)多的實(shí)踐經(jīng)驗(yàn)，ITBPI在為客戶長(zhǎng)期的質(zhì)量服務(wù)過(guò)程中，深刻體會(huì)到我國(guó)軟件企業(yè)與美國(guó)、印度等國(guó)家的差距更主要的不是技術(shù)和人才，而是在于過(guò)程改進(jìn)模式。由于長(zhǎng)期以來(lái)沒有這樣的模式指導(dǎo)，軟件產(chǎn)業(yè)缺乏嚴(yán)格的規(guī)范化管理，不能與國(guó)際市場(chǎng)接軌，一直處于小、散、軟的局面。所以，對(duì)我國(guó)軟件產(chǎn)業(yè)來(lái)說(shuō)，能否通過(guò)CMMI評(píng)估，ITIL/ISO20000（IT服務(wù)）、ISO27001（信息安全）已不僅僅是一種程序，而是關(guān)系到軟件企業(yè)能否改善管理、降低開發(fā)成本、提高過(guò)程改進(jìn)能力、從根本上使企業(yè)走上規(guī)模化道路、獲得國(guó)際競(jìng)爭(zhēng)力的關(guān)鍵。為了在ISO9000的基礎(chǔ)上幫助我國(guó)軟件企業(yè)引進(jìn)標(biāo)準(zhǔn)的CMMI相關(guān)技術(shù)，作好我們的服務(wù)，自2003年10月以來(lái)，ITBPI與美國(guó)CMU-SEI（卡耐基梅隆大學(xué)軟件工程研究所）進(jìn)行全方位的合作，通過(guò)提供一系列CMMI培訓(xùn)、咨詢、評(píng)估服務(wù)，幫助國(guó)內(nèi)軟件企業(yè)獲得增強(qiáng)國(guó)際競(jìng)爭(zhēng)力的最新理念和國(guó)際標(biāo)準(zhǔn)。北京軟件測(cè)評(píng)中心具有SEI正式考核的SCAMPI（CMMI）評(píng)估師和資深的咨詢團(tuán)隊(duì)，為企業(yè)帶來(lái)實(shí)際的過(guò)程改進(jìn)效益，客戶認(rèn)可度高，我們的團(tuán)隊(duì)具有相關(guān)領(lǐng)域的工程技術(shù)經(jīng)驗(yàn)、多年工程管理經(jīng)驗(yàn)。積累了大量產(chǎn)品質(zhì)量過(guò)程研究及在國(guó)際著名公司的實(shí)踐，提供的服務(wù)得到了業(yè)內(nèi)廣泛的好評(píng)。我們?cè)u(píng)估的所有評(píng)估結(jié)果均通過(guò)SEI質(zhì)量審核，我們的客戶的評(píng)估信息全部發(fā)布在SEI網(wǎng)站上，標(biāo)志著我們的信譽(yù)、技術(shù)、服務(wù)質(zhì)量達(dá)到國(guó)際水平，也表明我們有充分的實(shí)力來(lái)為客戶提供一致的、百分百的優(yōu)質(zhì)服務(wù)。在企業(yè)過(guò)程改進(jìn)過(guò)程中，基于IT開發(fā),IT信息安全和IT服務(wù)環(huán)境統(tǒng)一過(guò)程改進(jìn)是時(shí)代的需要和大事，能對(duì)企業(yè)的生死存亡起到?jīng)Q定性作用、ITBPI結(jié)合多年的咨詢經(jīng)驗(yàn)，把國(guó)內(nèi)領(lǐng)先的知識(shí)和經(jīng)驗(yàn)教訓(xùn)給予客戶，減少客戶的投入和實(shí)施風(fēng)險(xiǎn)，確保改進(jìn)效果和改進(jìn)的效益。此外，北京軟件測(cè)評(píng)中心和國(guó)內(nèi)多家著名高校展開合作，展開國(guó)民碩士學(xué)歷教育業(yè)務(wù)，在全國(guó)4個(gè)省開設(shè)軟件工程碩士和MBA的辦學(xué)點(diǎn)，在讀學(xué)生超過(guò)200人，教學(xué)能力和管理水平得到學(xué)生和合作學(xué)校的一致好評(píng)。在以上的業(yè)務(wù)領(lǐng)域的基礎(chǔ)之上，整合優(yōu)質(zhì)的IT人力資源和相關(guān)企業(yè)的科技成果，開展高科技開發(fā)，例如：智能化終端，維、哈柯多語(yǔ)言開發(fā)、移動(dòng)通信應(yīng)用和軟件外包開發(fā)和服務(wù)等。為打造具備高科技水平和科技成果轉(zhuǎn)化能力的產(chǎn)業(yè)公司而努力奮斗。二、CMMI業(yè)務(wù)介紹1、CMM的含義與作用1.1.CMMI模型介紹CMMI是CapabilityMaturityModelforIntegration的簡(jiǎn)稱，中文叫“集成能力成熟度模型”，是對(duì)組織軟件過(guò)程能力的描述。CMM的核心是把軟件開發(fā)視為一個(gè)過(guò)程，并根據(jù)這一原則對(duì)軟件開發(fā)和維護(hù)進(jìn)行過(guò)程監(jiān)控和研究，以使其更加科學(xué)化、標(biāo)準(zhǔn)化，使企業(yè)能夠更好的實(shí)現(xiàn)商業(yè)目標(biāo)。它側(cè)重于軟件過(guò)程開發(fā)的管理及軟件工程能力的改進(jìn)與評(píng)估，因此CMM被用作評(píng)價(jià)軟件承包商能力并幫助組織改善軟件過(guò)程質(zhì)量，是目前國(guó)際上最流行、最實(shí)用的一種軟件過(guò)程改進(jìn)模型，成為當(dāng)今企業(yè)從事規(guī)模軟件生產(chǎn)不可缺少的一項(xiàng)內(nèi)容。CMMI的目的是幫助軟件企業(yè)對(duì)軟件工程過(guò)程進(jìn)行管理和改進(jìn)，增強(qiáng)開發(fā)與改進(jìn)能力，從而能按時(shí)地、不超預(yù)算地開發(fā)出高質(zhì)量的軟件。企業(yè)實(shí)施CMM模型并評(píng)估可為企業(yè)帶來(lái)如下好處：指導(dǎo)軟件組織提高軟件開發(fā)管理能力；降低軟件承包商和采購(gòu)者的風(fēng)險(xiǎn)；評(píng)估軟件承包商的軟件開發(fā)管理能力；幫助軟件企業(yè)識(shí)別開發(fā)和維護(hù)軟件的有效過(guò)程和關(guān)鍵實(shí)踐；幫助軟件企業(yè)識(shí)別為達(dá)到CMM更高成熟等級(jí)所必須的關(guān)鍵實(shí)踐；增加軟件企業(yè)的國(guó)際競(jìng)爭(zhēng)能力。1.2.CMM/CMMI的發(fā)展過(guò)程1984年美國(guó)國(guó)防部為降低采購(gòu)風(fēng)險(xiǎn)，委托卡耐基一梅隆大學(xué)軟件工程研究院(SEI)制定了軟件過(guò)程改進(jìn)、評(píng)估模型，也稱為SEISW-CMM。該模型于1991年正式推出，迅速得到廣大軟件企業(yè)及其顧客的認(rèn)可。從1987年SEI推出SW-CMM框架開始，1991年推出CMM1.0版，1993年推出CMM1.1版，2000年推出CMMI-SE/SW1.0版，2005年推出CMMI-Dev1.2版。我國(guó)政府一直重視軟件產(chǎn)業(yè)的規(guī)范和發(fā)展，國(guó)務(wù)院于2000年6月頒發(fā)的“18號(hào)文件”第五章第十七條明確提出鼓勵(lì)軟件出口型企業(yè)通過(guò)ISO9000系列質(zhì)量保證體系認(rèn)證和CMM認(rèn)證，其認(rèn)證費(fèi)用通過(guò)中央外貿(mào)發(fā)展基金適當(dāng)予以支持。目前各省市、高新區(qū)、軟件園都有對(duì)通過(guò)CMM的企業(yè)給予資金獎(jiǎng)勵(lì)的制度。隨著人們對(duì)CMM研究的不斷深入，其他學(xué)科也結(jié)合本系統(tǒng)的特點(diǎn)，陸續(xù)推出了自己的CMM模型。例如，人力資源能力成熟度模型、系統(tǒng)工程能力成熟度模型等等：SW-CMM(SoftwareCMM):軟件CMMSE-CMM(SystemEngineeringCMM):系統(tǒng)工程CMMSA-CMM(SoftwareAcquisitionCMM):軟件采購(gòu)CMMIPT-CMM(IntegratedProductTeamCMM):集成產(chǎn)品群組CMMP-CMM(PeopleCMM):人力資源能力成熟度模型為了以示區(qū)別，國(guó)內(nèi)外很多資料把CMM叫做SW-CMM。按照SEI原來(lái)的計(jì)劃，CMM的改進(jìn)版本2.0應(yīng)該在1997年11月完成，然后在取得版本2.0得實(shí)踐反饋意見之后，在1999年完成準(zhǔn)CMM2.0版本。但是，美國(guó)國(guó)防部辦公室要求SEI推遲發(fā)布CMM2.0版本，而要先完成一個(gè)更為緊迫的項(xiàng)目CMMI。CMMI(CapabilityMaturityModelIntegration)即能力成熟度集成模型，這也是美國(guó)國(guó)防部的一個(gè)設(shè)想，他們想把現(xiàn)在所有的以及將被發(fā)展出來(lái)的各種能力成熟度模型，集成到一個(gè)框架中去。這個(gè)框架有兩個(gè)功能，第一，軟件采購(gòu)方法的改革；第二，建立一種從集成產(chǎn)品與過(guò)程發(fā)展的角度出發(fā)、包含健全的系統(tǒng)開發(fā)原則的過(guò)程改進(jìn)。就軟件而言，CMMI是SW-CMM的修訂本。它兼收了SW-CMM2.0版C稿草案和SPA中更合理、更科學(xué)和更周密的優(yōu)點(diǎn)。SEI在發(fā)表CMMI-SE/SW1.0版時(shí)，宣布大約用兩年的時(shí)間完成從CMM到CMMI的過(guò)渡。CMMI項(xiàng)目更為工業(yè)界和政府部門提供了一個(gè)集成的產(chǎn)品集，其主要目的是消除不同模型之間的不一致和重復(fù)，降低基于模型改善的成本。CMMI將以更加系統(tǒng)和一致的框架來(lái)指導(dǎo)組織改善軟件過(guò)程，提高產(chǎn)品和服務(wù)的開發(fā)、獲取和維護(hù)能力。CMU/SEI于2006年推出CMMIV1.2版本，對(duì)V1.1版本作了不少變動(dòng)。CMMI框架的結(jié)構(gòu)現(xiàn)在分成四個(gè)層次：產(chǎn)品集、模型集、模型、學(xué)科。CMMI產(chǎn)品集包含模型、評(píng)估方法和培訓(xùn)材料三部分。CMMI模型部分是由基礎(chǔ)部分、共享材料以及模型集特定材料三部分組成。目前CMMI模型集有獲取、開發(fā)和服務(wù)三個(gè)組件°SEI已于2006年8月公布了適用于開發(fā)的模型集（CMMI-DEV），適用于獲取模型（CMMI-ACQ）和適用于服務(wù)的模型集（CMMI-SVC）已于2008年6月公布。CMMI-DEV模型包含兩個(gè)模型：一個(gè)包含IPPD，另一個(gè)不包含IPPD。兩個(gè)模型都適用于軟件工程、系統(tǒng)工程和硬件工程（計(jì)算機(jī)和非計(jì)算機(jī)）三個(gè)學(xué)科，因此CMMI適用于各行各業(yè)。2010年10月，SEI發(fā)布了CMMIV1.3，變更了CMMIL4/5級(jí)標(biāo)準(zhǔn)和SCAMPI評(píng)估方法。2011年10月后不再支持CMMIV1.2,轉(zhuǎn)而支持CMMIV1.3和SCAMPIV1.3。投資回報(bào)有效的過(guò)程改善提供可觀的商業(yè)回報(bào)，回報(bào)比例在5:1與8:1之間.體現(xiàn)在生產(chǎn)率、進(jìn)度和質(zhì)量上、過(guò)程改□上并法品上市時(shí)間縮短或項(xiàng)目按期完成比例增加應(yīng)旦產(chǎn)口口發(fā)布后映陷報(bào)告減少3、CMM/CMMI的結(jié)構(gòu)與內(nèi)容過(guò)程改□上并法品上市時(shí)間縮短或項(xiàng)目按期完成比例增加應(yīng)旦產(chǎn)口口發(fā)布后映陷報(bào)告減少CMM/CMMI吸取了質(zhì)量工程的主要原理，形成了5級(jí)模型。提出了由第一級(jí)（初始級(jí)）向第五級(jí)（優(yōu)化級(jí)）逐級(jí)發(fā)展的模式。模型的等級(jí)從低到高，可以預(yù)計(jì)企業(yè)的開發(fā)風(fēng)險(xiǎn)越來(lái)越低，開發(fā)能力越來(lái)越高。模型的每個(gè)等級(jí)由不同的過(guò)程領(lǐng)域（ProcessArea）構(gòu)成，而每個(gè)過(guò)程領(lǐng)域又由各種目標(biāo)構(gòu)成，每個(gè)目標(biāo)由各種特定慣例和通用慣例支持。

4、主任評(píng)估師為完成客戶CMMI3過(guò)程改進(jìn)項(xiàng)目，我們?yōu)樵擁?xiàng)目組建專業(yè)的咨詢顧問團(tuán)隊(duì):項(xiàng)目資源專家列表描述主任評(píng)估師胡佑長(zhǎng)SEI授權(quán)SCAMPI主任評(píng)估師主任評(píng)估師余軍安SEI授權(quán)SCAMPI主任評(píng)估師主任評(píng)估師于波SEI授權(quán)SCAMPI主任評(píng)估師5、CMM/CMMI培訓(xùn)、咨詢、評(píng)估服務(wù)業(yè)績(jī)2006年2月北京北廣訊通軟件有限公司CMMI2級(jí)2006年11月蘇州奇夢(mèng)達(dá)軟件技術(shù)有限公司CMMI2+3級(jí)2007年7月江蘇集群信息產(chǎn)業(yè)有限公司CMMI2+3級(jí)2007年8月上海華平有限公司CMMI2+3級(jí)2007年7月北京同方鼎新有限公司CMMI4+5級(jí)2007年7月北京方止春元軟件有限公司CMMI2+3級(jí)2007年11月沈陽(yáng)榮科科技有限公司CMMI2+3級(jí)2007年11月沈陽(yáng)啟明軟件有限公司CMMI2+3級(jí)2007年3月鐵道部信息中心CMMI3+4級(jí)2008年4月北京英福美軟件技術(shù)有限公司CMMI2+3級(jí)2008年4月北京神州泰岳軟件股份有限公司CMMI2+3級(jí)2009年1月新疆聯(lián)合信息軟件有限公司CMMI2+3級(jí)2009年8月新疆西北星軟件技術(shù)有限公司CMMI2+3級(jí)2009年10月中國(guó)聯(lián)通黑龍江分公司CMMI2+32008年4月北京英福美軟件技術(shù)有限公司CMMI2+3級(jí)2008年4月北京神州泰岳軟件股份有限公司CMMI2+3級(jí)2009年1月新疆聯(lián)合信息軟件有限公司CMMI2+3級(jí)2009年8月新疆西北星軟件技術(shù)有限公司CMMI2+3級(jí)2009年10月中國(guó)聯(lián)通黑龍江分公司CMMI2+3級(jí)2009年12月新疆軟件應(yīng)用技術(shù)研究所CMMI2+3級(jí)2009年12月新疆新能軟件技術(shù)有限公司CMMI2+3級(jí)2009年12月新疆航天信息科技有限公司CMMI2+3級(jí)2010年6月江蘇集群軟件有限公司CMMI2+3級(jí)2011年5月上海復(fù)深藍(lán)軟件有限公司CMMI2+3級(jí)2011年7月南京麥瑞克信息技術(shù)有限公司CMMI2+3級(jí)北京軟件測(cè)評(píng)中心匯信科技有限公司將為貴公司（以下稱客戶方）提供有關(guān)CMM/CMMI的培訓(xùn)、咨詢和評(píng)估一系列服務(wù)，幫助貴公司真正改善軟件開發(fā)過(guò)程，達(dá)到預(yù)期的CMMI的等級(jí)目標(biāo)。此方案特別要求ITBPI在幫助客戶方建立穩(wěn)定的CMMI實(shí)施小組（“SoftwareEngineeringProfessionGroup”軟件工程專家組＜下稱SEPG＞、“SoftwareQualityAssurance”軟件質(zhì)量保證組＜下稱SQA＞和“SoftwareConfigurationManagement”軟件配置管理＜下稱SCM＞人員等）的基礎(chǔ)上，才可有效地進(jìn)行。圖示一CMM診斷分析輸入項(xiàng)目初步需求項(xiàng)目初步方案—［雙方已取得初步共識(shí)2.相關(guān)人員到位與高層交流確定目新協(xié)助建立SEP國(guó)了解客戶業(yè)務(wù)及環(huán)境特點(diǎn)診廝適程，差距分析識(shí)別過(guò)程改善風(fēng)險(xiǎn)6.5^3程13^舞式7.制tmfe計(jì)劃8.cm基礎(chǔ)培訓(xùn)［診郵告得到認(rèn)可2項(xiàng)目計(jì)劃得到認(rèn)可公司目前滿足CMMML2瀕PA的狀態(tài)；公司目前公司實(shí)IfeCMMIML2砸目的人員和項(xiàng)目狀態(tài)輸出朝報(bào)告*項(xiàng)目計(jì)劃培訓(xùn)材料:目毓I:1.與公司管理層就項(xiàng)目偎目標(biāo)達(dá)成共識(shí):,井服得管理層的支持I建立SEH圈，開始主持哽目的立吸事；宜I；3.建立迫程基盆I;職責(zé)：iII；；1.BCC?責(zé)^^成；；2:V：3.客尸負(fù)責(zé)完成::噂i!；L綠分析：既;-『a.cm基SU培訓(xùn)、跌:？輸入圖示二CMM過(guò)程改進(jìn)項(xiàng)目訐劃目頌?zāi)刻魉返脚l(shuí)2.SEPG組建立確定鋼項(xiàng)目分配記程改善暇麥3-過(guò)程域強(qiáng)化培訓(xùn)：4.定宓通■5.評(píng)審記程廠、\”.過(guò)程瘁f?官;;7.過(guò)程培訓(xùn)與瀚!is.過(guò)程提升并充實(shí)過(guò)程瓷產(chǎn)庫(kù)；h過(guò)程蝠淑范■：■10.重復(fù)4.5.6.T.8齡驟［適程定義典2適程置產(chǎn)建立過(guò)程域轂的狀態(tài)或定義通在免斥項(xiàng)目中試用的狀態(tài)或輸出這程定義迥程姿產(chǎn)咨誼報(bào)苞:目標(biāo)：；r!職責(zé)=；L建通程？>1-bcc^M^^E；1試用這程';2.:3.建通程童產(chǎn)庫(kù)!'!3-客戶負(fù)責(zé)完成:曜i3.強(qiáng)成訓(xùn)：『is天（取決:1于培訓(xùn)的內(nèi)容多少）；/雁砌程：46個(gè)月■6?1、范圍本方案的范圍涉及：CMM/CMMI級(jí)基礎(chǔ)知識(shí)及專項(xiàng)培訓(xùn)；CMM/CMMI級(jí)模型的建立；CMM/CMMI級(jí)(含CMM/CMMI級(jí)內(nèi)容)各個(gè)過(guò)程域具體實(shí)施時(shí)的咨詢、輔導(dǎo)和培訓(xùn)；CMM/CMMI不同級(jí)別能力成熟度的評(píng)估。6?2、總體需求與目標(biāo)ITBPI和客戶方達(dá)成共識(shí)的需求及總體目標(biāo)針對(duì)客戶提出的總體需求，ITBPI和客戶方將在本項(xiàng)目中達(dá)成以下共識(shí)，并將其作為雙方下步工作的基礎(chǔ)和依據(jù)：xxxx年客戶方軟件生產(chǎn)能力達(dá)到CMM或CMMI級(jí)成熟度；ITBPI對(duì)客戶方的軟件組織提供專業(yè)培訓(xùn)和指導(dǎo)，并協(xié)助客戶方建立和CMM/CMMI模型一致的過(guò)程，進(jìn)行實(shí)施指導(dǎo)，最終達(dá)到預(yù)期的CMM/CMMI級(jí)別；客戶方保持適當(dāng)?shù)倪^(guò)程改進(jìn)資源、能力，通過(guò)不斷接受ITBPI的培訓(xùn)和指導(dǎo)，積極采納實(shí)施方提出的過(guò)程改進(jìn)建議，并保持適當(dāng)?shù)膶?shí)施力度，不斷提高項(xiàng)目管理水平、產(chǎn)品質(zhì)量和生產(chǎn)效率，努力達(dá)到期望的軟件能力的成熟度。建立起基本的項(xiàng)目管理過(guò)程來(lái)跟蹤費(fèi)用、進(jìn)度和功能特性；ITBPI將指導(dǎo)客戶方對(duì)軟件管理和軟件工程過(guò)程文檔化、標(biāo)準(zhǔn)化，所有項(xiàng)目均使用經(jīng)批準(zhǔn)、剪裁的標(biāo)準(zhǔn)軟件過(guò)程來(lái)開發(fā)和維護(hù)軟件；ITBPI幫助客戶方通過(guò)軟件的質(zhì)量管理達(dá)到軟件的質(zhì)量目標(biāo)。6.3、項(xiàng)目啟動(dòng)建議1)客戶方應(yīng)確定CMM/CMMI實(shí)施項(xiàng)目組的結(jié)構(gòu)。ITBPI依照CMU/SEI的建議及客戶方實(shí)施的范圍，提出如下建議：?公司授權(quán)一名高級(jí)管理者負(fù)責(zé)組織實(shí)施CMM/CMMI；公司建立一個(gè)公司級(jí)的軟件工程過(guò)程組（SEPG）,負(fù)責(zé)研究、實(shí)施、推動(dòng)CMM/CMMI，并將確定基于CMM/CMMI的改進(jìn)的質(zhì)量體系；?每個(gè)實(shí)施部門指派1個(gè)領(lǐng)導(dǎo)直接領(lǐng)導(dǎo)和指揮CMM/CMMI實(shí)施工作；?在各部門分別建立軟件過(guò)程行動(dòng)組（PAT），負(fù)責(zé)幫助SEPG制定軟件過(guò)程及其推廣。組員包括公司級(jí)的SEPG的代表、部門級(jí)軟件質(zhì)量保證（SQA）負(fù)責(zé)人和軟件配置管理（SCM）負(fù)責(zé)人；原則上，各部門的所有正在進(jìn)行的項(xiàng)目組都要參加CMM/CMMI實(shí)施，除非特殊小的、實(shí)驗(yàn)性的項(xiàng)目；?指派1名聯(lián)系人員，作為ITBPI和客戶方的協(xié)調(diào)人（建議由質(zhì)量管理部經(jīng)理負(fù)責(zé)）。2）資源配備建議CMM/CMMI項(xiàng)目投入的資源為公司的軟件開發(fā)人員的5%?10%。SEPG組：建議選派一名有豐富軟件工程經(jīng)驗(yàn)的人員擔(dān)任SEPG組長(zhǎng)；他/她應(yīng)該是全職的。選派若干全職的和兼職的人員作為組員（應(yīng)具有豐富的軟件開發(fā)或軟件質(zhì)量保證方面的經(jīng)歷和經(jīng)驗(yàn)，最好擔(dān)任過(guò)軟件項(xiàng)目組組長(zhǎng)）；SQA組：建議選派一名有豐富軟件質(zhì)量保證經(jīng)驗(yàn)或軟件開發(fā)經(jīng)驗(yàn)的人員擔(dān)任SQA組長(zhǎng)；他/她應(yīng)該是全職的。選派若干全職的和兼職的人員作為組員。兼職的SQA負(fù)責(zé)開發(fā)項(xiàng)目組的SQA活動(dòng)（其余時(shí)間作其它活動(dòng)，如項(xiàng)目工作），也可作多個(gè)項(xiàng)目組的SQA，但SQA人員要求在組織上與開發(fā)項(xiàng)目組是獨(dú)立的。因此要求一個(gè)SQA人員不能對(duì)他/她自己所在的項(xiàng)目行使SQA職能；SCCB：建議選派一名有豐富軟件配置管理經(jīng)驗(yàn)或軟件開發(fā)經(jīng)驗(yàn)的人員擔(dān)任公司級(jí)軟件配置控制委員會(huì)（SCCB）負(fù)責(zé)人；他/她應(yīng)該是全職的。在組織的每個(gè)開發(fā)項(xiàng)目組中，指派一名兼職人員作為SCM組員，其工作量一般不應(yīng)少于一個(gè)全職工作人員的30%。6?4、工作內(nèi)容、實(shí)施方式與進(jìn)度計(jì)劃6.4.1工作內(nèi)容6.4.1.1培訓(xùn)1）CMM/CMMI基礎(chǔ)知識(shí)培訓(xùn)；2）CMM/CMMI管理體制建立和實(shí)施的專項(xiàng)培訓(xùn)，包括文件、規(guī)范的編寫培訓(xùn)、組織實(shí)施指導(dǎo)培訓(xùn)等；3）根據(jù)公司實(shí)際情況，還需要進(jìn)行CMM/CMMI與ISO9001之間關(guān)系的培訓(xùn)。6.4.1.2模型和模型建立1）根據(jù)CMM/CMMI標(biāo)準(zhǔn)要求定義組織過(guò)程并標(biāo)準(zhǔn)化；2）根據(jù)要求組織編寫相關(guān)實(shí)施規(guī)程；3）按實(shí)施規(guī)程組織項(xiàng)目過(guò)程實(shí)施；4）根據(jù)實(shí)施結(jié)果組織過(guò)程改進(jìn)。6.4.1.3能力成熟度級(jí)別評(píng)估1）預(yù)評(píng)估；2）正式評(píng)估，括組建評(píng)估組、評(píng)估組培訓(xùn)、制定評(píng)估計(jì)劃、成熟度問卷調(diào)查、公司文檔查閱、各類人員面試交談、數(shù)據(jù)確認(rèn)、報(bào)告評(píng)估結(jié)果等內(nèi)容。6.4.2實(shí)施方式1）成立由公司領(lǐng)導(dǎo)組成的決策組MSG（ManagementSupportGroup），代表公司最高管理權(quán)威，確立SPI（SoftwareProcessImprovement）的方針和目標(biāo)等；2）成立有相關(guān)軟件過(guò)程改進(jìn)和軟件工程管理權(quán)威人員組成的SEPG（SoftwareEngineeringProcessGroup）軟件工程過(guò)程組，作為SPI的核心小組，負(fù)責(zé)并推動(dòng)所有與SPI有關(guān)的活動(dòng)，包括制定行動(dòng)計(jì)劃、培訓(xùn)計(jì)劃、過(guò)程定義、過(guò)程咨詢、向MSG匯報(bào)SPI進(jìn)展情況、開發(fā)和維護(hù)過(guò)程數(shù)據(jù)庫(kù)、促進(jìn)軟件過(guò)程評(píng)估等工作；3）成立由項(xiàng)目開發(fā)人員或工程管理人員組成的TWG（TechnicalWorkingGroup）改進(jìn)實(shí)施組，為改進(jìn)提供solution，解決整體改進(jìn)過(guò)程中的特定領(lǐng)域，并完成過(guò)程改進(jìn)活動(dòng)。該小組可根據(jù)過(guò)程改進(jìn)任務(wù)隨時(shí)成立，隨時(shí)撤消；4）實(shí)施培訓(xùn)，由咨詢師對(duì)各級(jí)各類人員實(shí)施CMM/CMMI基礎(chǔ)知識(shí)培訓(xùn)、實(shí)施規(guī)程編寫培訓(xùn)、規(guī)程實(shí)施前培訓(xùn)指導(dǎo)，SEPG負(fù)責(zé)各規(guī)程的實(shí)施培訓(xùn)和指導(dǎo)；5）在咨詢師指導(dǎo)下制定詳細(xì)實(shí)施計(jì)劃，按計(jì)劃組織各階段任務(wù)的實(shí)施和檢查落實(shí)；6）在咨詢師指導(dǎo)下收集現(xiàn)有信息資料，進(jìn)行現(xiàn)狀調(diào)查分析，選擇2-3個(gè)軟件開發(fā)項(xiàng)目，并將軟件過(guò)程標(biāo)準(zhǔn)化；7）咨詢師指導(dǎo)下編寫實(shí)施規(guī)程，并按CMM/CMMI要求進(jìn)行規(guī)程評(píng)審；8）咨詢師指導(dǎo)下組織項(xiàng)目實(shí)施；9）咨詢師指導(dǎo)下組織實(shí)施過(guò)程改進(jìn)；10）咨詢師主持對(duì)實(shí)施結(jié)果進(jìn)行預(yù)評(píng)審并實(shí)施改進(jìn)；11）在咨詢師指導(dǎo)下組織對(duì)預(yù)評(píng)估結(jié)果進(jìn)行過(guò)程改進(jìn)；12）由ITBPI主持，請(qǐng)SEI授權(quán)的主任評(píng)估師對(duì)公司進(jìn)行正式評(píng)估；13）整個(gè)實(shí)施過(guò)程中，應(yīng)注意CMM/CMMI與ISO9001體系的兼容性，質(zhì)量管理部應(yīng)是CMM/CMMI的SEPG常設(shè)機(jī)構(gòu)，同時(shí)也是ISO9001體系的質(zhì)量保證部門，以利于CMM/CMMI與ISO9001體系的協(xié)調(diào)推進(jìn)。ITBPI的咨詢師將在這方面提供技術(shù)支持。6.4.3培訓(xùn)、咨詢、評(píng)估服務(wù)流程

培訓(xùn)、咨詢、評(píng)估流程乂現(xiàn)場(chǎng)調(diào)查J制定攻目實(shí)施方案瑚町評(píng)估項(xiàng)目合同（提供項(xiàng)目啟動(dòng)建設(shè)J制定攻目進(jìn)度計(jì)劃項(xiàng)目啟動(dòng)培訓(xùn)循環(huán)苴目皆詢壁施監(jiān)控（1）課程y頊目盼段檢查培訓(xùn)循環(huán)苴目皆詢壁施監(jiān)控（1）課程y頊目盼段檢查6.4.4培訓(xùn)課程和咨詢iftfrCBA-iPi評(píng)色y?軟件工程基礎(chǔ)知識(shí)課程CMM/CMMI系列課程質(zhì)量保專門領(lǐng)域課程（如項(xiàng)目管理、風(fēng)險(xiǎn)管理、需求管理、配置管理、證、軟件測(cè)試、軟件度量、過(guò)程自動(dòng)化等）質(zhì)量?！鮁PG組建和工作技能□CMMI-SE/SWV1.1□CMMI-L3標(biāo)準(zhǔn)解讀□如何定義CMMI文件□IntroductiontoCMMI□ATM培訓(xùn)□軟件生命周期?□?□□軟件需求工程□配置管理□質(zhì)量管理□風(fēng)險(xiǎn)管理□軟件測(cè)試□度量與分析□功能點(diǎn)分析□軟件可維護(hù)性設(shè)計(jì)與實(shí)現(xiàn)□組織級(jí)的過(guò)程財(cái)富庫(kù)管理□建立有效的培訓(xùn)機(jī)制□過(guò)程及產(chǎn)品的質(zhì)量保證□PSP-TSP?（2）咨詢整體軟件過(guò)程咨詢（建立組織整體的軟件生產(chǎn)管理過(guò)程體系，比如基于CMM/CMMI的質(zhì)量過(guò)程管理體系等）?專項(xiàng)領(lǐng)域軟件過(guò)程咨詢（針對(duì)項(xiàng)目過(guò)程中的特定問題提出解決方案并跟蹤實(shí)施）（3）項(xiàng)目監(jiān)理項(xiàng)目全過(guò)程監(jiān)理，對(duì)項(xiàng)目全過(guò)程進(jìn)行評(píng)審和審查，對(duì)產(chǎn)品進(jìn)行審查；項(xiàng)目階段過(guò)程監(jiān)理，對(duì)特定階段的項(xiàng)目和產(chǎn)品進(jìn)行評(píng)審和審查。（4）CMM/CMMI評(píng)估輔導(dǎo)CMM/CMMI課程，基礎(chǔ)知識(shí)，PA講解，應(yīng)用實(shí)例；CMM/CMMI預(yù)評(píng)估，制訂計(jì)劃，預(yù)評(píng)估KPA，提交預(yù)評(píng)估結(jié)果。?6.4.5實(shí)施中可能遇到的風(fēng)險(xiǎn)風(fēng)險(xiǎn)化解策略spiift乏動(dòng)土明確“高層“SPI”--“項(xiàng)目甄#的關(guān)系，管理者始箜加—的作為SPI的堅(jiān)定支持者，了釁SFI的沖突機(jī)制和?珂益樵新.能夠恰當(dāng)?shù)呐硗渡?各類矛盾口坦想文化不利于過(guò)拜改瓏塑造新的企業(yè)文區(qū)，組織大力倡導(dǎo)過(guò)程改避和管理提升群眾不支挎通過(guò)加強(qiáng)培醐利教育兩個(gè)途役使人們了解變革的內(nèi)涵和對(duì)每個(gè)人的舄益影喝,從而在幼轉(zhuǎn)變觀念；另一力面.遍過(guò)工強(qiáng)、獎(jiǎng)金和晉升制度的有效配合加以推動(dòng)。沒有合適的試點(diǎn)項(xiàng)目組試點(diǎn)項(xiàng)目組的造擇考慮：1、PM具有高的技,R實(shí)力、管理意識(shí)和管理潛質(zhì)二項(xiàng)目無(wú)大的技術(shù)難關(guān)'成員整件技術(shù)能力強(qiáng)合適的進(jìn)度壓力，良好的客戶關(guān)系項(xiàng)目組有強(qiáng)的團(tuán)隊(duì)凝雍力FM承受的技術(shù)和業(yè)務(wù)反力適中三ISO27001基本介紹信息和信息安全的定義?■信息?可以以多種形式存在。它可以是打印或?qū)懺诩埳希ㄈ纾簳娴呢?cái)務(wù)報(bào)表等）；電子形式存貯（如:一個(gè)組織ERP系統(tǒng)的備份磁帶）；通過(guò)郵件或用電子手段傳輸；顯示在膠片上；表達(dá)在會(huì)話中。?信息象其他重要的商務(wù)資產(chǎn)一樣，也是一種資產(chǎn)，對(duì)一個(gè)組織而言具有價(jià)值，因而需要被妥善保護(hù)。>,信息安全?使信息避免一系列威脅，保障了組織商務(wù)的連續(xù)性，最大限度地減小組織的商務(wù)損失，順利獲取投資和商務(wù)回報(bào)。?信息安全的維持可表征為：A、機(jī)密性：確保信息僅可讓授權(quán)獲取的人士訪問；B、完整性：保護(hù)信息和處理方法的準(zhǔn)確和完善；C、可用性：確保授權(quán)人需要時(shí)可以獲取信息和相應(yīng)的資產(chǎn)。>■還應(yīng)該再考慮可控性、真實(shí)性和不可否認(rèn)性等，稱之為“六性”。>■信息的機(jī)密性、完整性和可用性對(duì)保持一個(gè)組織的競(jìng)爭(zhēng)優(yōu)勢(shì)、資金流動(dòng)、效益、法律符合性和商務(wù)形象都是至關(guān)重要的。>■信息安全是通過(guò)執(zhí)行一套適當(dāng)?shù)目刂苼?lái)達(dá)到的?？梢允欠结槨T例、程序、組織結(jié)構(gòu)和軟件功能來(lái)實(shí)現(xiàn)，這些控制方式需要確定，才能保障組織特定的安全目標(biāo)的實(shí)現(xiàn)。企業(yè)的信息安全現(xiàn)狀>■缺少信息安全管理論壇，安全導(dǎo)向不明確，管理支持不明顯；組織信息系統(tǒng)管理制度不夠健全；>■缺少跨部門的信息安全協(xié)調(diào)機(jī)制；>■保護(hù)特定資產(chǎn)以及完成特定安全過(guò)程的職責(zé)還不明確；>■員工信息安全意識(shí)薄弱，缺少防范意識(shí)，外來(lái)人員很容易直接進(jìn)入生產(chǎn)和工作場(chǎng)所；>■組織信息系統(tǒng)主機(jī)房安全存在隱患，如：防火設(shè)施存在問題，與危險(xiǎn)品倉(cāng)庫(kù)同處一幢辦公樓等；>■組織信息系統(tǒng)備份設(shè)備仍有欠缺；>■組織信息系統(tǒng)安全防范技術(shù)投入欠缺；>■軟件知識(shí)產(chǎn)權(quán)保護(hù)欠缺；檔案、記錄等缺少可靠貯存場(chǎng)所；>■缺少一旦發(fā)生意外時(shí)的保證生產(chǎn)經(jīng)營(yíng)連續(xù)性的措施和計(jì)劃；>■許多計(jì)數(shù)機(jī)處于不設(shè)防狀態(tài)。>■防范意識(shí)、管理措施、核心技術(shù)、安全產(chǎn)品，距離信息安全的要求相差很遠(yuǎn)。>■各種重要數(shù)據(jù)和文件被濫用、泄露、丟失被盜。>■據(jù)國(guó)外統(tǒng)計(jì)，企業(yè)信息受到的損失中，70%是由于內(nèi)部員工的疏忽或者有意泄密造成的。>■安全問題所帶來(lái)的損失遠(yuǎn)大于交易的帳面損失，它可分為三類，包括直接損失、間接損失和法律損失：?直接損失：丟失訂單，減少直接收入，損失生產(chǎn)率；?間接損失：恢復(fù)成本，競(jìng)爭(zhēng)力受損，品牌、聲譽(yù)受損，負(fù)面的公眾影響，失去未來(lái)的業(yè)務(wù)機(jī)會(huì)，影響股票市值或政治聲譽(yù)；?法律損失：法律、法規(guī)的制裁，帶來(lái)相關(guān)聯(lián)的訴訟或追索等。信息安全管理系統(tǒng)ISMS(InformationSecurityManagementSystem)信息安全管理體系，是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所使用的方法體系，它是整個(gè)管理體系的一部分，是基于業(yè)務(wù)風(fēng)險(xiǎn)方法，來(lái)建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)組織的信息安全系統(tǒng)，其目的是保障組織的信息安全。它由許多要素組成，如組織結(jié)構(gòu)、方針策略、規(guī)劃活動(dòng)、職責(zé)、實(shí)踐、程序、過(guò)程和資源等；從預(yù)防控制的角度出發(fā)，保障組織的信息系統(tǒng)與業(yè)務(wù)之安全與正常運(yùn)作。信息安全管理需要組織中的所有雇員的參與，比如為了防止組織外的第三方人員非法進(jìn)入組織的辦公區(qū)域獲取組織的技術(shù)機(jī)密，除物理控制外，還需要組織全體人員參與，加強(qiáng)控制。此外還需要供應(yīng)商，顧客或股東的參與，需要組織以外的專家建議。為什么要建立信息安全管理體系?

>■保護(hù)企業(yè)的知識(shí)產(chǎn)權(quán)、商標(biāo)、競(jìng)爭(zhēng)優(yōu)勢(shì)A?維護(hù)企業(yè)的聲譽(yù)、品牌和客戶信任>■減少可能潛在的風(fēng)險(xiǎn)隱患，減少信息系統(tǒng)故障、人員流失帶來(lái)的經(jīng)濟(jì)損失>■強(qiáng)化員工的信息安全意識(shí)，規(guī)范組織信息安全行為>■在信息系統(tǒng)受到侵襲時(shí)，確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度BS7799的發(fā)展歷史1995年BS7799-1：1995《信息安全管理實(shí)施規(guī)則》英國(guó)制定了世界上第一個(gè)信息安全管理體系標(biāo)準(zhǔn)作為工商業(yè)和大、中、小型組織實(shí)施信息安全管理的指南。1998年BS7799-2：1998《信息安全管理體系規(guī)范》英國(guó)制定了第一個(gè)信息安全管理體系認(rèn)證標(biāo)準(zhǔn)，作為對(duì)一個(gè)組織的全面或部分信息安全管理體系進(jìn)行評(píng)申認(rèn)證的依據(jù)標(biāo)準(zhǔn)。1999年BS7799-1：1999BS7799-2：1999鑒于計(jì)算機(jī)和信息處理技術(shù)，尤其是網(wǎng)絡(luò)和通信領(lǐng)域應(yīng)用的迅速發(fā)展，英國(guó)又對(duì)信息安全管理體系標(biāo)準(zhǔn)進(jìn)行了修訂2000年ISO/IEC17799：2000《信息技術(shù)一信息安全管理實(shí)施規(guī)則》被ISO/IEC正式采納成為國(guó)際標(biāo)準(zhǔn)2002年ISO/IEC的《信息安全管理體系規(guī)范》被ISO/IEC正式采納成為國(guó)際標(biāo)準(zhǔn)2005年ISO/IEC17799:2005ISO/IEC17799:ISO/IEC27001:2005(Information

2005（Informationtechnology-Security2005（Informationtechnology-Securitytechniques-Codeofpracticeforinformationsecuritymanagement信息技術(shù)-安全技術(shù)-信息安全管理實(shí)用規(guī)則）于2005年6月15日發(fā)布，是ISMS系列標(biāo)準(zhǔn)中的“指南”類標(biāo)準(zhǔn)，這個(gè)標(biāo)準(zhǔn)的控制目標(biāo)和控制措施部分的內(nèi)容作為ISO/IEC27001:2005的附錄A，被ISMS認(rèn)證的組織選擇使用。technology-Securitytechniques-Informationsecuritymanagementsystems-Requirements信息技術(shù)-安全技術(shù)-信息安全管理體系-要求）于2005年10月15日正式發(fā)布，是ISMS系列標(biāo)準(zhǔn)中的“要求”類標(biāo)準(zhǔn)，我們平常所說(shuō)的ISMS認(rèn)證，就是指通過(guò)這個(gè)標(biāo)準(zhǔn)的認(rèn)證。同ISO9001:2000（質(zhì)量管理體系）和ISO14001:1996（環(huán)境管理體系）等國(guó)際知名管理體系標(biāo)準(zhǔn)采用相同的風(fēng)格，使信息安全管理體系更容易和其它的管理體系相協(xié)調(diào)。ISO/IEC27001:2005標(biāo)準(zhǔn)的主要內(nèi)容>■標(biāo)準(zhǔn)特點(diǎn)：注重體系的完整性，是一套科學(xué)的信息安全管理體系0以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)0強(qiáng)調(diào)對(duì)法律法規(guī)的符合性0廣泛適用于各類組織0與ISO9000標(biāo)準(zhǔn)有很強(qiáng)的兼容性計(jì)切PLAN相關(guān)單位管理狀態(tài)下的信息安全安全需求和期里計(jì)切PLAN相關(guān)單位管理狀態(tài)下的信息安全安全需求和期里監(jiān)技和評(píng)審TS昭CHECK維護(hù)和W醫(yī)作巧捋和改進(jìn)循環(huán)魂進(jìn)巧般實(shí)施和開'發(fā)人?維護(hù)>■ISO27001提供了一個(gè)組織進(jìn)行有效安全管理的公共基礎(chǔ)，全面涵蓋了信息系統(tǒng)日常安全管理方面的內(nèi)容，提供了一個(gè)可持續(xù)提高的信息安全管理環(huán)境。包括安全管理的注意事項(xiàng)和安全制度，例如磁盤文件交換和處理的安全規(guī)定、設(shè)備的安全配置管理、工作區(qū)進(jìn)出的控制等一些很容易理解的問題。這些管理制度易于理解，一般的單位都可以制定，具有可操作性，推廣信息安全管理標(biāo)準(zhǔn)的關(guān)鍵在于重視程度和制度落實(shí)方面。體系包括建立、運(yùn)行、評(píng)審、維護(hù)和改進(jìn)一系列過(guò)程。ISO27001:2005從11個(gè)方面定義了133項(xiàng)控制措施安全方針:為信息安全提供管理指導(dǎo)和支持；組織安全:建立信息安全架構(gòu)，保證組織的內(nèi)部管理;被第三方訪問或外協(xié)時(shí)，保障組織的信息安全；資產(chǎn)的歸類與控制：明確資產(chǎn)責(zé)任，保持對(duì)組織資產(chǎn)的適當(dāng)保護(hù);將信息進(jìn)行歸類，確保信息資產(chǎn)受到適當(dāng)程度的保護(hù)；人員安全:在工作說(shuō)明和資源方面，減少因人為錯(cuò)誤，盜竊，欺詐和設(shè)施誤用造成的風(fēng)險(xiǎn);加強(qiáng)用戶培訓(xùn)，確保用戶清楚知道信息安全的危險(xiǎn)性和相關(guān)事項(xiàng)，以便在他們的日常工作中支持組織的安全方針;制定安全事故或故障的反應(yīng)程序，減少由安全事故和故障造成的損失，監(jiān)控安全事件并從這種事件中吸取教訓(xùn)；實(shí)物與環(huán)境安全:確定安全區(qū)域，防止非授權(quán)訪問，破壞,干擾商務(wù)場(chǎng)所和信息;通過(guò)保障設(shè)備安全，防止資產(chǎn)的丟失，破壞，資產(chǎn)危害及商務(wù)活動(dòng)的中斷;采用通用的控制方式，防止信息或信息處理設(shè)施損壞或失竊；通信和操作方式管理:明確操作程序及其責(zé)任，確保信息處理設(shè)施的正確，安全操作；加強(qiáng)系統(tǒng)策劃與驗(yàn)收,減少系統(tǒng)失效風(fēng)險(xiǎn);防范惡意軟件以保持軟件和信息的完整性;加強(qiáng)內(nèi)務(wù)管理以保持信息處理和通訊服務(wù)的完整性和有效性通過(guò);加強(qiáng)網(wǎng)絡(luò)管理確保網(wǎng)絡(luò)中的信息安全及其輔助設(shè)施受到保護(hù);通過(guò)保護(hù)媒體處理的安全,防止資產(chǎn)損壞和商務(wù)活動(dòng)的中斷;加強(qiáng)信息和軟件的交換的管理，防止組織間在交換信息時(shí)發(fā)生丟失,更改和誤用；訪問控制:按照訪問控制的商務(wù)要求，控制信息訪問；加強(qiáng)用戶訪問管理,防止非授權(quán)訪問信息系統(tǒng)；明確用戶職責(zé)，防止非授權(quán)的用戶訪問；加強(qiáng)網(wǎng)絡(luò)訪問控制,保護(hù)網(wǎng)絡(luò)服務(wù)程序;加強(qiáng)操作系統(tǒng)訪問控制，防止非授權(quán)的計(jì)算機(jī)訪問；加強(qiáng)應(yīng)用訪問控制，防止非授權(quán)訪問系統(tǒng)中的信息;通過(guò)監(jiān)控系統(tǒng)的訪問與使用，監(jiān)測(cè)非授權(quán)行為;在移動(dòng)式計(jì)算和電傳工作方面，確保使用移動(dòng)式計(jì)算和電傳工作設(shè)施的信息安全；系統(tǒng)開發(fā)與維護(hù)：明確系統(tǒng)安全要求，確保安全性已構(gòu)成信息系統(tǒng)的一部份;加強(qiáng)應(yīng)用系統(tǒng)的安全，防止應(yīng)用系統(tǒng)用戶數(shù)據(jù)的丟失,被修改或誤用；加強(qiáng)密碼技術(shù)控制，保護(hù)信息的保密性，可靠性或完整性;加強(qiáng)系統(tǒng)文件的安全，確保IT方案及其支持活動(dòng)以安全的方式進(jìn)行;加強(qiáng)開發(fā)和支持過(guò)程的安全,確保應(yīng)用系統(tǒng)軟件和信息的安全；信息安全事故管理：確保與信息系統(tǒng)有關(guān)的安全事件和弱點(diǎn)的溝通能夠及時(shí)采取糾正措施，確保使用持續(xù)有效的方法管理信息安全事故。商務(wù)連續(xù)性管理:防止商務(wù)活動(dòng)的中斷及保護(hù)關(guān)鍵商務(wù)過(guò)程不受重大失誤或?yàn)?zāi)難事故的影響；符合性:符合法律法規(guī)要求，避免刑法，民法,有關(guān)法令法規(guī)或合同約定事宜及其他安全要求的規(guī)定相抵觸;加強(qiáng)安全方針和技術(shù)符合性評(píng)審,確保體系按照組織的安全方針及標(biāo)準(zhǔn)執(zhí)行;系統(tǒng)審核考慮因素，使效果最大化，并使系統(tǒng)審核過(guò)程的影響最小化。建立信息安全管理體系的步驟圈1建立信息安全管理體系的步驟風(fēng)險(xiǎn)評(píng)彷策略文檔ISMS范圍適用性申詰定義■信息安全菅理策略定義信息安全管理范圍進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估進(jìn)行風(fēng)險(xiǎn)管理選擇肯理控制目標(biāo)準(zhǔn)備適用性聲明貫標(biāo)過(guò)程>■系統(tǒng)規(guī)劃系統(tǒng)規(guī)劃主要是明訂信息安全管理的目標(biāo)、范圍和政策，并收集目前和公司圈1建立信息安全管理體系的步驟風(fēng)險(xiǎn)評(píng)彷策略文檔ISMS范圍適用性申詰定義■信息安全菅理策略定義信息安全管理范圍進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估進(jìn)行風(fēng)險(xiǎn)管理選擇肯理控制目標(biāo)準(zhǔn)備適用性聲明>■風(fēng)險(xiǎn)評(píng)估ISMS的目標(biāo)是透過(guò)系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估確定安全需求，并對(duì)實(shí)施控制措施的支出與安全事故可能造成的商業(yè)損失進(jìn)行權(quán)衡考慮；透過(guò)風(fēng)險(xiǎn)評(píng)估可以了解風(fēng)險(xiǎn)的權(quán)重和等級(jí)，以供建立安全控制機(jī)制的參考。>■風(fēng)險(xiǎn)管理公司必須就企業(yè)需求和法令規(guī)章決定可接受風(fēng)險(xiǎn)之臨界等級(jí)，并應(yīng)該依照所決定的風(fēng)險(xiǎn)管理策略規(guī)劃和建立控制機(jī)制。風(fēng)險(xiǎn)管理的重點(diǎn)在于建立一套循環(huán)不斷的Plan-Do-Check-Action機(jī)制，藉由不斷的審核、重新規(guī)劃，加強(qiáng)讓公司內(nèi)的安全等級(jí)不斷提升。>■系統(tǒng)頒行和推廣ISMS是一套不限于IT技術(shù)的管理系統(tǒng)，它就像是ISO9001一樣需要全公司員工身體力行方能奏效。在實(shí)施的過(guò)程中，需要經(jīng)營(yíng)管理階層的認(rèn)知與全力支持，以及全體員工的共識(shí)和配合。教育訓(xùn)練和不斷的實(shí)施活動(dòng)是必要的，尤其需要定期審核和檢查，以確保系統(tǒng)可以持續(xù)不斷的執(zhí)行。>■有效地實(shí)施選定的控制目標(biāo)和控制方式；>■進(jìn)行內(nèi)部審核和管理評(píng)審，保證體系的有效實(shí)施和持續(xù)適宜。貫標(biāo)計(jì)劃階段工作任務(wù)所需天數(shù)時(shí)間安排體系建立ISO27001貫標(biāo)啟動(dòng)會(huì)和標(biāo)準(zhǔn)基本培訓(xùn)1第1個(gè)月系統(tǒng)規(guī)劃1風(fēng)險(xiǎn)評(píng)估3程序文件/記錄的編寫和內(nèi)部評(píng)審20第1個(gè)月~第2個(gè)月咨詢師對(duì)程序文件/記錄的審查2體系文件批準(zhǔn)1體系實(shí)施體系文件內(nèi)部培訓(xùn)2第3個(gè)月~第5個(gè)月認(rèn)證機(jī)構(gòu)的第一次審核1體系運(yùn)行/風(fēng)險(xiǎn)管理90內(nèi)部評(píng)審內(nèi)部審核2第6個(gè)月整改10管理評(píng)審準(zhǔn)備2管理評(píng)審1模擬審核2整改5正式認(rèn)證認(rèn)證機(jī)構(gòu)的預(yù)評(píng)審1第7個(gè)月認(rèn)證機(jī)構(gòu)的第二次審核2

ISO27001的認(rèn)證>■ISO27001的認(rèn)證方法與ISO9001的認(rèn)證相似，所不同的是：ISO27001的認(rèn)證分兩個(gè)階段：■第一階段審核主要是文檔審核，進(jìn)行方針、范圍和采用程序的審核，查看風(fēng)險(xiǎn)評(píng)估的結(jié)果、處理方法和適用性聲明，檢查體系中遺漏和繁瑣需要修改的地方。確認(rèn)受審核方是否具備認(rèn)證條件?！龅诙A段審核主要是現(xiàn)場(chǎng)審核，評(píng)價(jià)受審核方的ISMS是否有效運(yùn)行，是否能通過(guò)認(rèn)證。認(rèn)證通過(guò)后發(fā)放證書，三年有效。ISO27001和ISO9001整合為一個(gè)體系用與標(biāo)5

適明目施

攻聲制措性控和四ISO/IEC20000:2005介紹用與標(biāo)5

適明目施

攻聲制措性控和由國(guó)際標(biāo)準(zhǔn)化組織(ISO)和國(guó)際電工委員會(huì)(IEC)共同發(fā)布的ISO/IEC20000將使企業(yè)能夠?qū)ζ涔芾矸?wù)傳遞的能力進(jìn)行評(píng)價(jià)，衡量其服務(wù)水平，評(píng)估績(jī)效。這個(gè)標(biāo)準(zhǔn)是基于英國(guó)BS15000而來(lái)的，并且整合到了ISO和IEC的軟件和系統(tǒng)工程標(biāo)準(zhǔn)中。如今，IT服務(wù)提供者面臨''以最低的成本交付高質(zhì)量的服務(wù)〃的持久壓力。無(wú)論是內(nèi)部IT部門還是外部組織提供的IT服務(wù)，都很難與其業(yè)務(wù)和客戶的需求保持一致。ISO/IEC20000將幫助企業(yè)減少運(yùn)營(yíng)風(fēng)險(xiǎn)，滿足合約和客戶對(duì)IT服務(wù)的需求，改善服務(wù)質(zhì)量并交付最佳價(jià)值。執(zhí)行ISO/IEC20000，可以以主動(dòng)的工作實(shí)踐提供高水平的客戶服務(wù)，以滿足客戶的業(yè)務(wù)需求。ISO/IEC20000:2005“信息技術(shù)一服務(wù)管理〃包括兩部分內(nèi)容，這些內(nèi)容將為服務(wù)提供者了解如何提高交付給其客戶的服務(wù)質(zhì)量提供幫助。第一部分：管理規(guī)范(Specification)—IT服務(wù)管理標(biāo)準(zhǔn)，對(duì)IT服務(wù)管理提出要求，并且與那些負(fù)責(zé)初始化、實(shí)施或維持IT服務(wù)管理的人員相關(guān)。第二部分：實(shí)施準(zhǔn)則(Codeofpractice)—實(shí)踐指導(dǎo)，為審計(jì)人員提供行業(yè)一致認(rèn)同的指南，并且為服務(wù)提供者實(shí)施服務(wù)改進(jìn)計(jì)劃或通過(guò)ISO/IEC20000-1:2005審核提供指導(dǎo)。ISO/IEC20000整合了ISO管理體系標(biāo)準(zhǔn)基于流程導(dǎo)向的方法(PDCA)，如ISO9001:2000和ISO14001:2004等，包括規(guī)劃(Plan)-執(zhí)行(Do)-檢查(Check)-行動(dòng)(Act)的循環(huán)和持續(xù)改善方法論。第一部分：管理規(guī)范(Specification)-IT服務(wù)管理標(biāo)準(zhǔn)介紹ISO/IEC20000-1:2005概要ISO/IEC20000-1:2005定義了服務(wù)提供者交付管理服務(wù)的需求。他基于已被替代的BS15000-2。它可應(yīng)用于以下情況：被向外提供服務(wù)的組織使用；被要求其所有外包服務(wù)供應(yīng)商在同一供應(yīng)鏈中一致工作的組織使用；被測(cè)度其IT服務(wù)管理的服務(wù)供應(yīng)商使用；作為正式認(rèn)證前的評(píng)估基礎(chǔ)；被需要證明其有能力提供客戶所需服務(wù)的組織使用；旨在通過(guò)管理和提升服務(wù)質(zhì)量流程的有效實(shí)施來(lái)提升服務(wù)組織使用。ISO/IEC20000-1:2005促進(jìn)了組織采用流程整合的方法，有效地交付管理服務(wù)以滿足業(yè)務(wù)和客戶的需求。對(duì)于期望高效執(zhí)行IT服務(wù)管理的組織而言，需要識(shí)別并管理大量的相關(guān)活動(dòng)。服務(wù)管理流程的整合實(shí)施，為持續(xù)控制和改善IT服務(wù)提供了可能。組織需要以較低的成本獲得不斷更新的基礎(chǔ)設(shè)施，以滿足他們的業(yè)務(wù)需求。隨著服務(wù)外包日益普及，技術(shù)選擇日益多樣的今天，服務(wù)提供者必須不斷努力來(lái)維持高水平的客戶服務(wù)。由于被動(dòng)響應(yīng)，他們沒有更多的時(shí)間進(jìn)行規(guī)劃、培訓(xùn)、檢查、研究以及與客戶共同工作。結(jié)果導(dǎo)致結(jié)構(gòu)化、主動(dòng)的服務(wù)舉措難以得到實(shí)施。而客戶要求服務(wù)提供者不斷提高其服務(wù)質(zhì)量、降低成本、增加靈活性并對(duì)客戶的需求做出更快地響應(yīng)。相反，有效的服務(wù)管理能夠交付高水平的客戶服務(wù)和客戶滿意度。服務(wù)和服務(wù)管理對(duì)于組織創(chuàng)造價(jià)值并且符合成本效益是至關(guān)重要的。ISO/IEC20000標(biāo)準(zhǔn)能夠使服務(wù)提供者了解如何提高他們交付給內(nèi)部或外部客戶的服務(wù)質(zhì)量。ISO/IEC20000標(biāo)準(zhǔn)描繪了IT服務(wù)管理標(biāo)準(zhǔn)與最佳實(shí)踐之間的區(qū)別，這些流程與組織的構(gòu)成或大小以及組織的名稱和結(jié)構(gòu)無(wú)關(guān)。ISO/IEC20000標(biāo)準(zhǔn)適用于大型或小型的服務(wù)提供者。服務(wù)管理流程將以有限的資源水平為客戶交付最能滿足其需求的服務(wù)。如：專業(yè)的、符合成本效益的、風(fēng)險(xiǎn)受控的服務(wù)。第二部分：實(shí)施準(zhǔn)則(Codeofpractice)一實(shí)踐指導(dǎo)ISO/IEC20000-2:2005概要ISO/IEC20000-2:2005為審計(jì)人員提供行業(yè)一致認(rèn)同的指南，并且為服務(wù)提供者規(guī)劃服務(wù)改善或通過(guò)ISO/IEC20000-1:2005審核提供指導(dǎo)。ISO/IEC20000-2:2005基于已被替代的BS15000-2的。實(shí)踐準(zhǔn)則描述了在BS15000-1中服務(wù)管理流程的最佳實(shí)踐。為以最小成本滿足業(yè)務(wù)需求，客戶對(duì)使用先進(jìn)設(shè)施會(huì)不斷提出要求，服務(wù)提供就越發(fā)顯得重要了。人們已經(jīng)意識(shí)到服務(wù)和服務(wù)管理對(duì)于幫助組織開源節(jié)流的重要性。ISO/IEC20000-1是服務(wù)管理規(guī)范，在閱讀時(shí)應(yīng)結(jié)合ISO/IEC20000-2。ISO/IEC20000系列能使組織了解如何從內(nèi)部和外部改進(jìn)其服務(wù)質(zhì)量。由于組織對(duì)服務(wù)支持的日益依賴，以及技術(shù)多樣性的現(xiàn)狀，服務(wù)提供方有可能通過(guò)努力保持客戶服務(wù)的高水準(zhǔn)。服務(wù)供應(yīng)方往往被動(dòng)工作，很少花時(shí)間規(guī)

劃、培訓(xùn)、檢查、調(diào)查并與客戶一同工作，其結(jié)果必然導(dǎo)致失敗。其失敗就源于沒有采用系統(tǒng)、主動(dòng)的工作方式。服務(wù)供應(yīng)商也常常被要求提高服務(wù)質(zhì)量，降低成本、采用更大靈活性和更快反應(yīng)速度。有效的服務(wù)管理能提供高水準(zhǔn)的客戶服務(wù)和較高的客戶滿意度。ISO/IEC20000系列對(duì)流程的最佳實(shí)踐進(jìn)行了總結(jié)，可適用于不同規(guī)模、類型和結(jié)構(gòu)的組織。適用于大型或小型組織，服務(wù)管理流程最佳實(shí)踐要求并不會(huì)因?yàn)榻M織形式不同而被改變。ISO/IEC20000-2描述了IT服務(wù)管理流程質(zhì)量標(biāo)準(zhǔn)。這些服務(wù)管理流程為組織在一定環(huán)境中開展業(yè)務(wù)提供了最佳實(shí)踐指南，包括提供專業(yè)服務(wù)、降低成本、調(diào)查和控制風(fēng)險(xiǎn)。在同一流程中，在流程之間和工作團(tuán)隊(duì)之間使用各種術(shù)語(yǔ)往往會(huì)讓一個(gè)剛接觸服務(wù)管理的管理者不知所措。對(duì)術(shù)語(yǔ)的一知半解會(huì)阻礙建立有效的組織流程。因此了解ISO/IEC20000術(shù)語(yǔ)非常重要。ISO/IEC20000-2推薦服務(wù)管理者采用一致的術(shù)語(yǔ)和統(tǒng)一的方法進(jìn)行服務(wù)管理，這可以為改進(jìn)服務(wù)交付基礎(chǔ)，并有助于服務(wù)提供者建立一個(gè)服務(wù)管理框架。ISO/IEC20000-2為審計(jì)人員提供指南，并可為組織規(guī)劃服務(wù)的改進(jìn)提供幫助，以便組織通過(guò)ISO/IEC20000-1認(rèn)證。CT業(yè)業(yè)務(wù)息技術(shù)座用*服務(wù)為什么需要標(biāo)準(zhǔn)化？CT業(yè)業(yè)務(wù)息技術(shù)座用*IT服務(wù)提供（運(yùn)營(yíng)）過(guò)程，實(shí)際上是人、流程和技術(shù)（包括硬件設(shè)備和相關(guān)的軟件工具）實(shí)現(xiàn)整合的過(guò)程，而IT服務(wù)管理也就是對(duì)該過(guò)程進(jìn)行的計(jì)劃、組織、協(xié)調(diào)和控制。這和產(chǎn)品生產(chǎn)過(guò)程其實(shí)沒什么兩樣，資源和技術(shù)是輸入該過(guò)程的原料，輸出的IT服務(wù)是通過(guò)該流程生產(chǎn)的產(chǎn)品°IT服務(wù)提供過(guò)程中涉及的人、流程和技術(shù)，決定了最終輸出的IT服務(wù)的質(zhì)量和成本，如下圖所示：人是IT服務(wù)提供（運(yùn)營(yíng)）過(guò)程中最能動(dòng)、也最難規(guī)范的因素。對(duì)于IT服務(wù)經(jīng)理來(lái)說(shuō)，基于以下假設(shè)來(lái)組織和協(xié)調(diào)其IT服務(wù)運(yùn)營(yíng)是有必要的。第一，人是有惰性的。主觀上，人總會(huì)在任何可能（不會(huì)被發(fā)現(xiàn)或不會(huì)導(dǎo)致嚴(yán)重的后果）的情況下偷懶；客觀上，人不可能向機(jī)器那樣及時(shí)、保質(zhì)保量工作，持續(xù)工作會(huì)使人感到疲勞，從而傾向于逃避其應(yīng)承擔(dān)的義務(wù)和責(zé)任，如負(fù)責(zé)處理事故的二線支持人員可能處于懶惰的心理而將當(dāng)天應(yīng)處理的工單拖延至第二天。第二，人是有忘性的。人不可能精確無(wú)誤地記住所有的事情，總有''內(nèi)存溢出〃的時(shí)候。如在評(píng)估變更影響時(shí)，如沒有明確的變更影響評(píng)估表，很有可能因?yàn)榭紤]不周全而產(chǎn)生不可逆轉(zhuǎn)的影響。第三，人是情緒化的。一個(gè)再嚴(yán)格的流程，也可能會(huì)由于某個(gè)員工一時(shí)的情緒失控而得不到遵循。第四，人是有自主意識(shí)的。人不同于機(jī)器的地方在于，機(jī)器可以純粹地執(zhí)行命令，而人在執(zhí)行命令時(shí)必然摻進(jìn)了其自己的意識(shí)和觀念。這使得IT人員（包括用戶）在執(zhí)行任務(wù)時(shí)往往會(huì)偏離標(biāo)準(zhǔn)的服務(wù)流程而''擅作主張〃。第五，人是有私心的。在推行IT服務(wù)管理的實(shí)踐中，經(jīng)常碰到的一個(gè)問題是，二線和三線的支持人員在解決故障后，并沒有將故障解決方案完整地輸入到知識(shí)庫(kù)中，這是因?yàn)樵谌狈α己玫募?lì)機(jī)制的情況下，資深的技術(shù)人員并不愿意將其自身的專業(yè)技能與大家分享，形成知識(shí)和技能壟斷更有利于鞏固其在團(tuán)隊(duì)中的地位。第六，人容易受習(xí)慣支配且對(duì)變更（變革）有較強(qiáng)的抵抗心理。習(xí)慣是一個(gè)人意識(shí)和觀念的長(zhǎng)時(shí)間積累和浸潤(rùn)的結(jié)果，習(xí)慣一旦形成，就會(huì)對(duì)人的行為產(chǎn)生強(qiáng)大的控制力。當(dāng)感覺到外界環(huán)境的變更時(shí)，IT人員和用戶都會(huì)本能地產(chǎn)生抵觸情緒。這也是在組織中推行IT服務(wù)管理往往會(huì)碰到很多阻力的原因之一。關(guān)于人的特性，管理學(xué)家提出過(guò)許多的假設(shè)。以上六點(diǎn)假設(shè)至少可以表明，在一個(gè)IT服務(wù)運(yùn)營(yíng)團(tuán)隊(duì)中，人與人之間存在很大的個(gè)體差異性。要實(shí)現(xiàn)穩(wěn)定一貫的服務(wù)質(zhì)量和較低的服務(wù)成本，就需要保證整個(gè)團(tuán)隊(duì)保持良好的溝通和協(xié)調(diào)工作，而相關(guān)標(biāo)準(zhǔn)（如ISO20000）的采用可以為團(tuán)隊(duì)成員提供一套共同的語(yǔ)言，并可以最大程度地''熨平〃團(tuán)隊(duì)成員之間的個(gè)體差異性，即提高了人的因素的標(biāo)準(zhǔn)化程度。獲得ISO20000認(rèn)證將獲得以下好處：客戶關(guān)注您的客戶對(duì)您提供的IT服務(wù)滿足其需求的承諾，會(huì)更有信心。使用服務(wù)級(jí)別協(xié)議來(lái)保證資源被集中用于這些目標(biāo)領(lǐng)域。節(jié)省成本響應(yīng)、調(diào)查和解決IT突發(fā)事件的成本是顯著的。認(rèn)證可以幫助您節(jié)省成本，因?yàn)閷?shí)施ITSMS能夠更加主動(dòng)的進(jìn)行問題管理，調(diào)查現(xiàn)實(shí)和潛在事故的根本原因，采取措施保證迅速解決并預(yù)防事故再發(fā)生。高效的供應(yīng)商管理認(rèn)證明確了服務(wù)提供商與提供服務(wù)的第三方供應(yīng)商之間的接口。有效的供應(yīng)商管理有助于提供無(wú)縫、高質(zhì)量的服務(wù)，同時(shí)通過(guò)明確定義各方的角色以避免不確定性和風(fēng)險(xiǎn)。三其他說(shuō)明1、咨詢團(tuán)隊(duì)咨詢專家組項(xiàng)目經(jīng)理時(shí)莉負(fù)責(zé)對(duì)項(xiàng)目整體進(jìn)行進(jìn)度控制、技術(shù)接口，承擔(dān)主要咨詢工作項(xiàng)目咨詢顧問連國(guó)華高級(jí)軟件架構(gòu)師和培訓(xùn)師，UML和面向?qū)ο蠓椒?，熟悉CC/CQ工具使用張興遠(yuǎn)高級(jí)過(guò)程改進(jìn)咨詢顧問，熟悉CC/CQ在企業(yè)中的部署及應(yīng)用孫倩高級(jí)過(guò)程改進(jìn)咨詢顧問，具有專業(yè)的項(xiàng)目管理經(jīng)驗(yàn)及過(guò)程改進(jìn)經(jīng)驗(yàn)可選咨詢顧問何衛(wèi)東軟件工程專家，具有16年軟件工程的研究和實(shí)踐曹濟(jì)項(xiàng)目管理專家，F(xiàn)PA估算專家李揚(yáng)對(duì)CMM/CMMI及軟件過(guò)程改進(jìn)有豐富的實(shí)踐經(jīng)驗(yàn)及軟件開發(fā)經(jīng)驗(yàn)韓田音高級(jí)咨詢師，在美國(guó)休斯、飛利浦、朗訊在中國(guó)的公司中擔(dān)任生產(chǎn)韓心曰部經(jīng)理、信息中心主