CNS 14785-8-2004 Information technology－Software process assessment－Part 8 Guide for use in determining supplier process capability《信息技术－软件过程评鉴－第8部：判定供应者过程能力指导》.pdf

1、 1 印行年月 94 年 10 月 本標準非經本局同意不得翻印 中華民國國家標準 CNS 總號 類號 ICS 35.040.00 X6045-814785-8經濟部標準檢驗局印行 公布日期 修訂公布日期 93 年 8 月 16 日 年月日 (共 20 頁 )資訊技術軟體過程評鑑 第 8 部：判定供應者過程能力指導 Information technology Software process assessment Part 8 : Guide for use in determining supplier process capability 目錄 頁數 1. 適用範圍 . 3 2. 參考文件

2、 . 3 3. 用語釋義 . 3 4. 過程能力判定介紹 . 3 4.1 概觀 . 3 4.1.1 目的 3 4.1.2 核心和延伸的過程能力判定 . 3 4.1.3 相容的評鑑方法和模型 4 4.1.4 過程能力判定基礎 . 4 4.1.5 評鑑方式 . 4 4.1.6 過程導向的風險 . 4 4.1.7 關鍵過程 . 5 4.1.8 過程導向風險分析 . 5 4.1.9 輸出 6 4.2 標的能力 . 6 4.2.1 初始關鍵過程 7 4.2.2 預設過程屬性達成標的 7 4.2.3 審查和調整過程屬性達成標的 7 4.2.4 增加額外過程 7 4.3 過程導向風險分析 . 8 4.3.1

3、 評鑑能力剖繪 8 4.3.2 標的能力聲明 8 4.3.3 機率 9 4.3.4 影響 10 4.3.5 整體風險 . 10 4.4 過程能力報告 11 5. 引導過程能力判定 . 12 5.1 核心過程能力判定 . 12 5.1.1 標的定義階段 13 2 CNS 14785-8, X 6045-8 5.1.2 回應階段 . 13 5.1.3 查證和風險分析階段 14 5.2 延伸的過程能力判定 15 5.2.1 回應階段 . 15 5.2.2 查證和風險分析階段 18 引用標準 19 英中名詞對照表 20 3 CNS 14785-8, X 6045-8 1. 適用範圍：本標準係針對使用過

4、程評鑑於過程能力判定目的方面提供指引。本標準僅供參考且僅意欲對如何應用需求方面提供適當之指引。 過程能力判定係對組織裡所選用軟體過程的系統性評鑑和分析，其執行標的係識別推展該等過程的相關優點、弱點和風險，以符合特定的規定需求。 該等規定需求可能包括專案、產品或服務、新的或現有的任務、合約或內部承諾或任何其他藉由推展組織軟體過程所欲符合的需求。 此指引意欲適用於在任何軟體客戶 -供應商關係以及至任何希望 判定其本身軟體過程之過程能力的組織裡，全面軟體組織架構內的所有軟體應用領域。 本標準主要針對： 發起過程能力判定的出資者。 欲被判定過程能力的組織。 評鑑團隊。 方法發展者。 本系列標準並非意欲

5、被使用於認證 /登錄組織過程能力的任何方案。 2. 參考文件：下列參考文件包含了構成本標準的各種條款。對於任何標明日期的參考文件，並不引用其後續修正或修訂版本。但鼓勵根據本標準達成協議之團體研究使用下列參考文件最新版本的可能性。而對於未標日期的參考文件，則應引用其最新版本。 CNS 14785-9 資訊技術軟體過程評鑑第 9 部：詞彙 3. 用語釋義：本標準採用 CNS 14785-9 所提供的術語與定義。 4. 過程能力判定介紹 4.1 概觀 4.1.1 目的 過程能力判定係組織裡所選用 軟體過程的系統性評鑑和分析，其執行標的係識別推展該等過程的相關優點、弱點和風險，以符合特定的規定需求。

6、執行過程能力判定的其中一個 主要理由是獲得資訊，並藉此以作為採購相關決策的基礎。採購者可能發 起過程能力判定，以評估與特定供應者簽訂合約的風險。採購者可能在簽 約前之供應者選擇活動期間，對許多競爭供應者執行過程能力判定；軟體 過程能力當然是在供應者選擇期間所考慮的因素之一。相反地，供應者可 能希望在合約決標之前，對其本身過程執行過程能力判定，作為其本身對 相關營運風險所評估的一部分。過程能力判定也可能為了許多其它理由而發起；例如，在專案過程期間由供應者發起，以評估完成工作所包含的風險。 過程能力判定可適用於多種情 況：規定需求可包括新的或現有的任務、合約或內部承諾、產品或服務或 任何其他藉由運

7、用組織軟體過程所欲符合的需求。 4.1.2 核心和延伸的過程能力判定 本標準描述兩種其它可達成過程能力判定的方式，並說明如下。 4 CNS 14785-8, X 6045-8 核心過程能力判定係最低 限度、連串式的活動組，適用於每當單一組織提議藉由推展其目前過程能 力以符合規定需求，而無任何合夥人或分包商參與。 延伸的過程能力判定係適 用於提議增強的能力時，或當公協會或分包商參與時。 在任一情況下，是以三個個別階段說明引導過程能力判定，如第 5 節所述。 4.1.3 相容的評鑑方法和模型 CNS 14785-3資訊技術軟體過程評鑑第 3 部：履行評鑑 訂定執行評鑑的最小需求，以確保過程評鑑 分

8、級的一致性和可重複性。該需求有助於確保評鑑輸出係內部前後一致， 且提供證據以具體化分級和查證符合需求。CNS 14785-2資訊技術軟體過程評鑑第 2 部：過程和過程能力的參考模型 訂定相容性需求，以使不同的相容評鑑模型所執行評鑑之產生的輸出能夠比較。這兩部標準包含適 當需求以對映相容模型的基本要項至參考模型的過程和過程屬性。本標準 所包含的指引意欲適用於以在其已對映至參考模型之後相容模型執行的評鑑輸出。 4.1.4 過程能力判定基礎 已對映至參考模型的過程評鑑 輸出係一組過程剖繪。這些剖繪代表組織在特定評鑑全景實施過程的能力 ，且在此特定全景或類似全景之過程能力判定和過程改善兩者是可重複使用

9、的。 4.1.5 評鑑方式 在過程能力判定期間，不論自 我評鑑或獨立評鑑方式均可使用。在兩當事人簽約情況下，採購者可能希 望當提送合約的建議方案時，邀請潛在供應者提供自我評鑑剖繪，此剖繪 產生自使用相容模型和對映至參考模型的評鑑。該等方式也提供分享過程 評鑑成本和利益的優點，因為供應者也可使用此評鑑機結果在其本身過程改善。 採購者可選擇： 發起並完全信賴整個獨立評鑑，且使其成為合約生效的條件。 以表面價值接受自我評鑑。（相信自我評鑑所呈現出的結果） 發起獨立的樣本評鑑，以查證自我評鑑係實際呈現供應者的過程能力。 由於相同評鑑結果可提供給許 多採購者，因此本系列標準可減少由多重過程評鑑所引起之供

10、應者業務作 業的干擾。它亦提供採購者嚴格和可防禦的方法以達成供應者過程能力判 定，以及提供潛在能力以藉由重複使用結果和利用自我評鑑來減少評鑑成本。 4.1.6 過程導向的風險 在過程能力判定期間，將選用一部分組織軟體過程做評鑑，並分析該結果，以識別優點、弱點和風險。過 程能力判定不述明風險的所有面，風險的所有面可能包括策略、組織、財 務、人員和許多其它因素。來自過程能力判定的輸出可提供比較寬廣的風 險分析之用，但是其本身的範圍是侷限在過 5 CNS 14785-8, X 6045-8 程導向的風險。 本系列標準的過程架構係基於 參考模型。這個模型訂定四十個過程並定義每一個過程的目的和結果，亦

11、訂定一組適用於所有過程的九個過程屬性。這些過程屬性與過程管理相關 且分類為有序的能力等級，逐步說明對過程能力的主要增強。在已履行的能力等級中，單一過程屬性係使用一組實務，以量測過程轉換可識別的輸入 工作產品至可識別的輸出工作產品的程度，以及滿足既定過程目的的程度 。另外，若需要的話，亦可增加使用者定義的過程。 在相容過程評鑑期間，個別過 程屬性由勝任評鑑員依下列兩種方式分級：一為代表屬性達成程度的百分 比尺度，另一為將過程屬性分級為完全、大部分、部分或未達成的 4 點有序尺度。 CNS 14785-2 說明該兩尺度之間的關係。本標準內所述指引僅使用 4 點表示法。該分級係利用適當的過程效能指標

12、群和適當的過程能力指標群來分級。 評鑑過程的九項過程屬性分級 形成過程剖繪。然後可收集數個過程的過程屬性分級至過程能力剖繪內， 指出每一個受評鑑過程所達成的過程屬性。過程分級說明於 CNS 14785-2。 過程導向的風險關鍵在於參考 模型、透過過程屬性所反映出的良好過程管理實作、以及推展它們所獲得 的利益。過程導向的風險會由不適當的過程管理產生例如未推展適當的 管理實務，或以在未達到必要過程屬性之特定全景中的評鑑方法推展它們。 4.1.7 關鍵過程 在本標準裡，過程的能力是根據其過程屬性之達成與否來表達。 過程能力判定的出資者可為發 起過程能力判定的採購者，以判定潛在供應者過程是否適用於特定

13、需求， 或發起過程能力判定的組織，以判定其本身的過程是否適當。 出資者判定參考模型裡的四十 項過程，何者對符合規定需求將會是最重要的。這些過程稱為過程能力判 定的關鍵過程。出資者將這些關鍵過程列示在標的能力聲明和狀態裡，並 述明對每一個主要過程需要哪些過程屬性，以及對每一個屬性需要達成何種等級。 所選擇的標的能力係由出資者 判斷將表現在成功實作規定需求下之最小過程風險的能力。 4.1.8 過程導向風險分析 在本標準裡，過程導向風險首 先評鑑特定問題發生的機率，然後再從潛在的影響評鑑其萬一發生的情況。 假如出資者在標的能力聲明裡 指出宜完全達成某一特定過程的特定屬性，而經評鑑之過程屬性的達成度

14、小於完全達成，則在標的和評鑑屬性之間會有差距，而此差距增加該過程 無法滿意地符合規定需求的機率。如果出資者相信，對某一特定過程之所 有的過程屬性（包括管理能力等級）應該完 6 CNS 14785-8, X 6045-8 全達成，且如果受評鑑過程剖 繪顯示在已履行的能力等級的過程屬性未完全達成，則存在有大差距，且有極高機率會發生問題。 該問題之潛在影響視其所發生 的能力等級而定。例如，如果關鍵過程經評鑑小於完全履行，一如反映在 已履行的能力等級的過程效能屬性分級所反映，則該過程係不完備且這可 能導致喪失工作產品，或無法接受的產品品質，或兩者。 4.1.9 輸出 過程能力判定的輸出係過程能 力報告

15、。它對於包含在標的能力聲明裡的每一個關鍵過程，將根據過程屬 性差距與每一個相關風險，概述其優點和弱點。 4.2 標的能力 出資者可能希望發展或購買適當的方法以定義標的能力。許多方式是可能的，但大部分將基於下列原則。 所選擇的標的能力係出資者判斷將表現 在成功實作規定需求下之最小過程風險的能力。 標的能力係表達於標的能力聲明裡，列出過程關鍵以符合特定需求，並述明每一個關鍵過程所需要達成的過程屬性。 僅宜設定過程屬性達成標的：完全、大部分或不需要。 對於每一個關鍵過程，出資者宜識別需要哪一個過程屬性，並設定其達成的程度。過程屬性達成可使用數個方法設定之。例如，相同程度的達成可分配至： (a) 所有

16、過程屬性直至某些能力等級。 (b) 個別地選擇過程屬性。 表 1 舉例說明標的能力聲明。 表 1 標的能力聲明範例 關鍵過程 過程屬性 需要的過程屬性分級CUS.3 需求引出 PA1.1,PA2.1,PA2.2 (例如全部達到和包括已管理能力等級 ) 完全達成 CUS.4.2 客戶支援 PA1.1,PA2.1,PA2.2,PA3.1,PA3.2 (例如全部達到和包括已建立能力等級 ) 完全達成 ENG.1.3 軟體設計 PA1.1,PA2.1,PA2.2,PA3.1,PA3.2 完全達成 PA1.1,PA2.1,PA2.2,PA3.1,PA3.2 完全達成 ENG.1.4 軟體建構 PA4.1

17、,PA4.2 大部分達成 PA1.1,PA2.1,PA2.2,PA3.1,PA3.2 完全達成 ENG.1.6 軟體測試 PA4.1,PA4.2 大部分達成 PA1.1,PA2.1,PA2.2 完全達成 MAN.2 專案管理 PA3.1,PA3.2 大部分達成 PA1.1,PA2.1,PA2.2 完全達成 MAN.3 品質管理 PA3.1,PA3.2 大部分達成 PA1.1,PA2.1,PA2.2 完全達成 SUP.2 組態管理 PA3.1,PA3.2 大部分達成 7 CNS 14785-8, X 6045-8 有許多方式可設定標的能力。其一方式為： (a) 識別初始關鍵過程組。 (b) 設定

18、初始關鍵過程組的預設過程屬性達成標的。 (c) 審查和調整預設過程屬性達成標的。 (d) 增加額外過程，且設定額外過程的達成標的。 這些步驟說明於下列節。 4.2.1 初始關鍵過程 參考模型裡最直接有助於產品及服務 交付的過程係在客戶 -供應者和工程技術過程種類裡的過程。來自 管理、支援和組織過程種類之過程提供較多間接的貢獻。 關鍵過程係被識別為客戶 -供應者和工程技術過程種類裡的過程。在這些種類裡的任一個過程如果與規定 需求無關，則應該去除，並指定剩餘的作為一組初始關鍵過程。 4.2.2 預設過程屬性達成標的 良好開始位置係針對每一個關鍵過程述明所有在前三 個能力等級（已履行、已管理和已建立

19、）裡的過 程屬性應該分級為完全達成，而其它過程屬性則未規定。 這方式第一為確保該等過程係 完整和完全執行；第二為準備妥當之管理實務以減少不可預知性、錯過的 截止期限、過度使用預算及減少輸出品質等情況；第三為過程係推展下列 全組織適用寬廣的標準過程定義，如此可提供未來效能將與過去成就一致的信心基礎。 4.2.3 審查和調整過程屬性達成標的 要求給定過程中可預期之能力等級裡的過程屬性也應 該完全或大部分達成，可能減少效能風險。例如 ，某特定的規定需求可能要求某些過程定量地被控制。有時候也需要在最 佳化能力等級裡的過程屬性，但是對於許多組織而言，這個程度的過程管 理可能尚不實際。另外，出資者可能感覺

20、對某一特定關鍵過程，僅在最初兩能力等級裡之過程屬性是適當的。 4.2.4 增加額外過程 許多過程屬性與管理、支援和組織過程種類裡的過程相關。 例如，如果效能管理屬性 (PA2.1)已經包含在過程裡的工程技術過程類裡，那麼在管理過程類裡的專案管理過程也應該包含作為關鍵過程。 管理、支援和組織過程種類裡 的過程的標的能力係由其支援過程屬性適用於初始主要過程組的程度而判 定。來自支援、管理和組織過程種類的其它過程，如果它們與規定需求相關，亦可包含在標的能力聲明。 請注意，規定需求可能用於組 織能力，而非產品或服務。規定需求本身可能是為了建立很強韌的組態來 管理過程，而關鍵過程可能僅包括此單一過程。此

21、規定需求的類別可能從組織營運標的和優先次序獲得。 8 CNS 14785-8, X 6045-8 4.3 過程導向風險分析 許多方式可分析過程導向的風險。其一方式係藉由在標的能力和評鑑能力之間的存在差距推論出過程導向的風險。如果標的能力聲明指示應該完全達成某一特定過程屬性，同時該評鑑過程屬性分級小於完全達成，則稱為存在有差距。 在這方式中，過程導向的風險首先評鑑特定問題發生的機率，然後再從其影響性質來評鑑。該機率由任何評鑑能力剖繪和標的能力聲明之間的差距程度而導出。影響之本質視產生差距的能力等級而定。 4.3.1 評鑑能力剖繪 評鑑能力剖繪係對映至參考模型的過程評鑑的輸出格 式。這個剖繪包含C

22、NS 14785-2 第 6.7.4 節所定義的過程屬性分級。對於每一個受評鑑的過程和每一個過程屬性，過程屬性分級剖繪指示何項過程 屬性經評鑑後為完全、大部分、部分或未達成。圖 1 舉例說明過程屬性分級。 圖 1 評鑑能力剖繪 過程 過程屬性 已履行 已管理 已建立 可預測 最佳化 PA1 PA2.1 PA2.2 PA3.1 PA3.2 PA4.1 PA4.2 PA5.1 PA5.2需求引出 客戶支援 軟體設計 軟體建構 軟體測試 完全達成 大部分達成 部分達成 未達成 過程屬性代表過程的可量測特 性。過程屬性分級係判斷在過程全景裡，過程屬性被達成的程度。 因為過程屬性係以此一方式定 義，過程

23、評鑑對全景極為敏感。例如，發展大型、複雜和安全緊要性的軟 體系統的組織將會需要推展極精確的過程，才能被評鑑成完全達成已履行 等級。相對的，一個簡單工作、非緊要應用的組織將需要相當少的複雜性 ，以達到類似評鑑結果。因此過程能力分級僅在其述明的過程全景裡具有意義。 4.3.2 標的能力聲明 圖 2 顯示標的能力聲明可能說明的方法，以及配合圖 1 的評鑑能力剖繪範 9 CNS 14785-8, X 6045-8 例。 在這個範例中，出資者被認定 第一過程需求引出，所有達到和包括已管理等級的過程屬性宜被完全達 成。對於後續兩個過程，所有達到和包括已建立等級的過程屬性宜被完全 達成。對於最後兩個過程，不

24、但達到和包括已建立等級的過程屬性應該完 全達成，而且可預期等級的過程屬性也宜被大部分達成。 4.3.3 機率 在以評估過程導向風險的方式 ，問題發生的機率係從任何標的能力和評鑑能力之間的差距程度推論而得。 每當個別過程屬性分級無法達 到標的能力聲明所規定的對應分級，就會發生過程屬性差距。過程屬性差距的指定如表 2 所示。 每當在特殊等級具有過程屬性 差距，將發生能力等級差距，其指定如表 3所示。在表 3 中可看出，重要的能力等級差距發生在等級 1 之大過程屬性差距，而小過程屬性差距僅在任一等級造成些微的能力等級差距。 圖 2 標的能力及評鑑能力 過程 過程屬性 已履行 已管理 已建立 可預測

25、最佳化 PA1 PA2.1 PA2.2 PA3.1 PA3.2 PA4.1 PA4.2 PA5.1 PA5.2標的 需求引出 評鑑後 標的 客戶支援 評鑑後 標的 軟體設計 評鑑後 標的 軟體建構 評鑑後 標的 軟體測試 評鑑後 完全達成 大部分達成 部分達到 未達成 10 CNS 14785-8, X 6045-8 表 2 過程屬性差距 標的分級 評鑑分級 過程屬性差距 完全達成 無 大部分達成 小 部分達成 大 完全達成 未達成 大 完全達成 無 大部分達成 無 部分達成 大 大部分達成 未達成 大 表 3 能力等級差距 能力等級內 過程屬性差距數 能力等級差距 無大或小差距 無 僅小差距

26、 些微 在等級 2-5 有單一大差距 顯著 在等級 1 有單一大差距，或在等級 2-5 有一個以上大差距 重大 4.3.4 影響 前一節說明問題發生機率係如何從能力等級差距程度推論而得。 特定問題的潛在影響視差距發生的能力等級而定： 在最佳化等級的差距可能導致減少成本 /時間最佳化以及減少面對技術變更的能力。 在可預期等級的差距也可能導致無法預知效能或及時發現問題。 除上述問題外，在已建立等級的差距可能導致，減少成本效益，以及減少效能的空間和臨時一致性。 在已管理等級的差距可能更進一步導致超出成本或時間。 在已履行等級的差距可能導致所有上述問題外，更嚴重的也會導致喪失工作產品和無法接受的產品品

27、質。 4.3.5 整體風險 在此方法中，與單一過程相關的整體過程導向風險可彙整如表 4 所示。 若使用表 2 至 4，依次考慮每一個關鍵過程，然後，對於每一個過程，依次考慮每一個能力等級。使用表 2 分類任一個過程屬性差距，然後使用表3 判定能力等級差距。例如， 在已管理等級的重要差距隱含高機率的問題發生，將影響預算和時程。依照表 4，這構成高風險。 11 CNS 14785-8, X 6045-8 在一特定過程裡，如果風險超 過一個能力等級被識別，則該過程整體風險係被識別為高風險。 強調的是表 4 僅係整體風險的指導；標稱風險等級應依經驗和現實的關鍵性檢討加以確認。 宜注意的是表 4 的特定

28、列僅在當特定能力等級的過程屬性已包含在標的能力聲明中才具有相關性。 表 4 整體過程導向的風險 能力等級差距的程度 (如機率 ) 等級差距能力的位置 (如影響 ) 無 些微 顯著 重大 最佳化 不可識別的風險 低風險 低風險 低風險 可預測 不可識別的風險 低風險 低風險 中風險 已建立 不可識別的風險 低風險 中風險 中風險 已管理 不可識別的風險 中風險 中風險 高風險 已履行 不可識別的風險 中風險 高風險 高風險 4.4 過程能力報告 圖 3 過程能力彙總報表範例 過程能力彙總報告 對建議能力的可靠程度 信賴所建議能力係現實的 大幅信賴 過程導向的風險 主要過程 優點 /缺點 過程導向

29、風險 ENG.1.5 評鑑的能力在已建立的能力等級上是些微地達不到標的能力。 低風險 CUS.4.2 評鑑的能力在已履行的能力等級上是些微地達不到標的能力，在已建立的能力等級上是大體上達不到，且在已管理的能力等級上是大體上達不到。 高風險 SUP.2 評鑑能力在已管理的能力等級上是些微地達不到標的能力，且在已建立的能力等級上是顯著地達不到標的能力。 中風險 ENG.1.4 評鑑的能力在所有的方面是符合或超過標的能力。 沒有可識別的風險 12 CNS 14785-8, X 6045-8 過程能力報告係過程能力判定 的最後輸出，包含彙總和詳細報告。彙總包含三個部分： (a) 導論，說明過程能力判定

30、的全景，由誰執行、在何處、何時及為何發生。 (b) 聲明，聲明出資者信賴建議能力是現實的且極可能足以符合規定需求。此信賴可從獨立的過程評鑑結果或出資者與組織之其它方面 關係加以獲得。 (c) 報告，報告每一個關鍵過程在標的能力和建議能力之間的任何差距，以及從這些差距所發生的過程導向風險。 圖 3 舉例說明如何提出一個彙總過程能力報告，該報告列出與每一個過程相關的評鑑整體風險。 彙總報告宜利用詳細報告加以輔助，顯示在標的能力 聲明裡的每一個過程，每一過程屬性的標的和建議的達成，列示個別過程屬性差距 (依照表 2指定 )，並概述能力等級差距 (依照表 3 指定 )。 5. 引導過程能力判定 出資者

31、可能希望發展或購買適當的方法，以支援引導過程能力判定。許多方式均可行，但大部分係基於如下節所說明的核心或延伸的過程能力判定。 5.1 核心過程能力判定 核心過程能力判定係最低限度、連串式的活動群組，適用於每當單一組織提議藉由推展其目前過程能力以符合規定需求，而無任何合夥人或分包商參與。 13 CNS 14785-8, X 6045-8 圖 2 核心過程能力判定 定義標的能力評鑑目前能力查證建議能力分析風險標的能力過程能力報告書建議能力標的能力標的範圍規定需求標的定義階段 回應階段 查證及風險分析階段組織過程能力判定贊助者獨立評鑑自我評鑑核心過程能力判定由三個階段所組成，如圖 4 所舉例說明。圖

32、 4 裡的橢圓形代表活動；箭頭代表在活動之間通過的資訊；而雲線代表注釋。 在第 4 節，術語評定能力係指過程評鑑的輸出。此節介紹術語建議能力以表示該組織建議採用，以符合規定需求方面的過程能力。對於核心過程能力判定，建議能力是組織目前的評定能力，表示作為最近相關過程評鑑的輸出，而該評鑑對映至參考模型。 5.1.1 標的定義階段 出資者負責標的定義階段。過 程能力判定應依據規定需求執行，其可能以高階或詳細格式表達，且可能 包括新的或現有任務、合約或一系列合約、內部承諾、產品或服務或組織所建議之過程應符合的其它需求。 在標的定義階段期間，出資者： 規劃和發起過程能力判定。 發展標的能力聲明。 定義標

33、的範圍亦即規定需求所意味的過程評鑑全景。這可能包括宜包含於表示整體組織能力的一組關鍵過程，也可能包括出資者希望包含的任何延伸過程的定義。 傳送標的範圍與選項標的能力聲明至潛在供應者。 當發起過程能力判定時，出資 者可能希望請求提供由該組織所實施目前類似專案的細節，或確立在任何彙集的屬性分級中宜包含多少過程。 出資者也可決定揭露標的能力 聲明給潛在供應者，或當認為適當的話，則保持僅供其本身使用。 5.1.2 回應階段 14 CNS 14785-8, X 6045-8 在回應階段期間，組織依標的 範圍評估其目前能力。建議能力剖繪係彙集自許多目前或最近的專案評鑑，如 CNS 14785-3 所述。此

34、能力剖繪： 宜基於許多依照本系列標準條款所引導的過程評鑑。 宜符合標的範圍。 宜真實呈現組織目前過程能力。 宜由組織擁有。 最有可能是自我評鑑的產品，但也可能是由先前的獨立評鑑所產生。 本系列標準的關鍵特性是過程 評鑑結果係可重覆使用的。許多組織會有產生作為過程改善方案一部分的 過程評鑑輸出儲存庫。若具有許多適當的過程評鑑可用，則組織可使用該 等輸出作為建議能力的基礎。若否，則該組織遵照 CNS 14785-3 執行自我評鑑。 5.1.3 查證和風險分析階段 5.1.3.1 查證 出資者審查建議能力以建立其所值的可信度，並決定所需的進一步措施以建立對它的信賴。一般這將涉及： 查證評鑑能力係依照

35、與本系列標準需求相容之方法執行評鑑的結果。 查證建議能力全景符合標的範圍。 執行一個或更多過程的獨立評鑑。 當評估建議能力的可信度時，考慮因素為： 相容方法可靠性的先前經驗。 參與評鑑員可靠性的先前經驗。 受評組織之建議能力可靠性的先前經驗。 供應者評鑑團隊規模和評鑑員專業可信度 (出資者可能感覺單獨評鑑員執行評鑑會比包含一個多位獨立評鑑員的團隊提供較少的可靠度 )。 出資者可能接受建議能力或決定發起一個適當程度的獨立評鑑，但應考量規定需求的本質、成本和重要性。例如，這個獨立評鑑可能包括關鍵過程的樣本或規定在標的能力聲明內所有關鍵過程的廣泛獨立評鑑。執行獨立評鑑後，出資者能將此獨立輸出與組織建

36、議加以能力比較，並記錄組織建議能力裡的信賴程度，如表 5 所示。 15 CNS 14785-8, X 6045-8 表 5 表達建議能力的可靠度術語 獨立評鑑之建議能力的符合性 信賴程度 出資者沒有理由懷疑建議能力，或 獨立評鑑的結果可確認組織自我評鑑的能力。 完全信賴 獨立評鑑的結果與組織自我評鑑的能力些微地不同 大部分信賴 獨立評鑑的結果與組織自我評鑑的能力著顯地不同 部分信賴 獨立評鑑的結果與組織自我評鑑的能力有重大地不同 無法信賴 此處所使用術語如些微、顯著和重大係定義於表 3。 如果過程能力判定牽涉到許多競爭供應者，則出資者可能希望（如果如此做是實務可行）雇用相同評鑑團隊、使用相同評

37、鑑方法，以查證每一個供應者的建議能力。這不但提供出資者對受評鑑之每一個供應者的一致性有較大信心，且使得供應者對出資者選擇過程的公平性有較高信賴。 在適當的查證之後，建議能力成為風險分析的輸入。 5.1.3.2 風險分析 風險分析係由出資者依第 4 節所述執行。 對於在標的能力聲明裡的每一個關鍵過程，遵循下列步驟： 檢查在標的能力聲明裡每一個過程屬性的過程屬性分級，並依照表2 指定任何個別的過程屬性差距。 考慮每一個能力等級並依照表 3 指定任何能力等級差距。 藉由參考表 4 識別符合到每一個能力等級差距的風險。 記錄此風險於過程能力報告中。 5.2 延伸的過程能力判定 本節對於延伸的過程能力判

38、定所涵蓋的額外活動提供指引。 延伸的過程能力判定適用於下列狀況： 建議能力大於目前的評鑑能力；或 建議能力包括與合夥人或分包商的建構能力 (說明如下 )。 延伸的過程能力判定包含三階段，如圖 7 所舉例說明。標的定義階段對核心和延伸的過程能力判定兩者相同。因此，下列說明僅與回應階段、查證和風險分析階段有關。 5.2.1 回應階段 5.2.1.1 建議增強的能力 組織的評鑑能力可能符合或超過標的能力，但如果不是如此，該組織可能希望發展在受評能力和標的能力之間某處的建議能力，如圖 5 所舉例說明。 16 CNS 14785-8, X 6045-8 圖 5 標的、建議和受評能力 目標能力評鑑能力建議

39、能力差距(建議-目標)差距(評鑑-建議)由於規定需求與未來欲實施的工作有關，組織可能希望藉由目前的受評能力和過程改善計畫的判斷來建議增強的能力。若組織已經具有過程改善方案，則過程改善計畫可能依次由過程改善追蹤記錄來支援。 若組織的建議能力達不到標的能力，則該組織可能希望提送一個不足計畫，述明每一個過程能力達不到標的能力的區域，訂定對不足處的組織評鑑，並建議適當測量以減輕它。 建議能力可藉由檢查目前和標的能力之間差距，並交互使用過程改善過程而獲得。過程改善過程將平衡先前規劃的改善與關閉目前和標的能力之間差距所必要者，但可能受限於可用資源。 過程改善過程可能回饋一個過程改善計畫，訂定必須執行的細節

40、和必要資源 (參閱 CNS 14785-7資訊技術軟體過程評鑑第 7 部：過程改善指導 )。如果其存在，任何加入可信度至計畫的過程改善紀錄可能也要包括在內，以顯示過去已達成的事項。 因此，組織可希望傳送一個建議能力至出資者，取決於下列資料的判斷： (a) 受評能力。 (b) 過程改善計畫。 (c) 過程改善追蹤記錄。 (d) 能力不足計畫。 此詳細資料舉例說明於圖 6。 17 CNS 14785-8, X 6045-8 圖 6 延伸的過程能力判定 定義標的能力評鑑目前能力查證建議能力分析風險標的能力過程能力報告書評鑑能力標的能力標的範圍特定需求標的定義階段 回應階段 查證及風險分析階段組織過程

41、能力判定出資者建議能力加上:受評能力過程改善計畫過程改善紀錄過程計畫判定建議能力獨立評鑑自我評鑑5.2.1.2 建議一個建構能力 過程能力判定將依未來實行時所參照的規定需求加以執行。儘管過程能力判定將穩固地基於一個以上最新或最近的過程評鑑，該組織可能希望（或必須）建議一個尚未建構的能力。將要從事該工作的組織可能尚未存在，且可能必須從現存組織要項加上分包商、顧問、合夥人等加以建構。一個典型範例如圖 7 舉例說明。 圖 7 建構的能力 主要承包商系統設計分包商應用發展分包商獨立系統測試分包商系統整合分包商網路設計分包商網路實作分包商網路實作分包商 18 CNS 14785-8, X 6045-8

42、當從許多來源來產生建構能力時，需要考慮二種不同模式。 (a) 解體 (disjoint)模式：每一個關鍵過程係唯一地由個別組織推展，且建構能力僅包含從二個或更多組織所選擇的一組過程。 (b) 相連 (cojoint)模式：許多組織同時推展相同的過程；例如數個組織發展一個整體需求的不同子系統。 在大型或複雜合約中，可能同時有兩種模式的混合。 解體模式係藉由二個或更多關鍵過程 (CUS 過程和 ENG 過程種類的過程 )建構一個能力，以符合、或儘可能接近或被認為適切符合標的能力。每一個過程唯一地由一個組織履行，且支援過程亦由該組織提供。 在這些環境之下，每一個關鍵過程在其本身環境操作，且雖然例如專

43、案計畫可能在每一個組織不同地被履行，但這不應影響每一個關鍵過程繼續履行其受評能力的能力。 然而，不可能為支援過程而建構一個能力。一個組織不能夠提供管理專案過程以支援來自不同組織的許多關鍵過程，除非過程在那些不同組織是採同等實作 (不僅能力同等 )，但此情況較不可能發生。 相連模式涵蓋較複雜的情形，其中二個或更多組織正在並行地推展相同的關鍵過程。將跨不同組織的過程屬性分級加以平均是無效的。因此可能建議以最壞的能力 (代表鏈接裡最弱的鍊結 )或所有的分級或可能規定最小值、最大值和中值的某些組合，以提供能力較具意義的表示法。 再一次，除了那些需要支援個別之關鍵過程的過程屬性之外，若包含管理、支援和組

44、織過程種類的額外過程，將可能引起困惑，除非每一個額外過程清楚地被識別為與特定的關鍵過程有關。 建構能力宜是代表每一個孤立過程的能力。然而，因為牽涉到二個或更多的組織，在組織之間可能含有在單一組織裡不會出現不可預期的介面問題。建議建構能力的組織和出資者應該確保適當的機制已被識別來述明這些議題。建構能力愈複雜，和組織裡的過程實作愈不同，介面問題將愈可能發生。 因為可能有許多方式用來組合各種不同組織的各種不同過程至一個建構能力內，出資者將必須運用專業判斷，以判定在該等情況下如何以最好的方式來執行能力判定。 5.2.2 查證和風險分析階段 在核心過程能力判定裡的查證 僅與檢查受評能力是否為組織過程的真

45、實呈現有關。在延伸的過程能力判定裡，延伸的查證另亦涉及檢查： 建議能力所基於之過程改善計畫的可信度。 建構能力的完整性。 19 CNS 14785-8, X 6045-8 引用標準： CNS 14785-2 資訊技術軟體過程評鑑第 2 部：過程和過程能力的參考模型 CNS 14785-3 資訊技術軟體過程評鑑第 3 部：履行評鑑 CNS 14785-7 資訊技術軟體過程評鑑第 7 部：過程改善指導 CNS 14785-9 資訊技術軟體過程評鑑第 9 部：詞彙 相對應國際標準： ISO/IEC TR 15504-8(1998)： Information technology Software p

46、rocess assessment Guide for use in determining supplier process capability 相關標準： CNS 14837 資訊技術軟體生命週期過程 20 CNS 14785-8, X 6045-8 英中名詞對照表 - A - achievement 達成 action 行動 activity 活動 assessment 評鑑 - B - baseline 基準；基準線 basis 基礎 benchmark 評效 - C - context 全景 controllability 可控制性 - D - determination 判定 driver 驅動源 - E - effectiveness 有效性 estimate 估計 - F - framework 框架 - I - identity 識別 institutionalized 制度化的 iteration 迭代 - M - metrics 量度 - P - predictability 可預測性 process 過程 profile 剖繪 programme 方案 - S - sponsor 出資者