1、 CNASCC51 软件过程及能力成熟度评估机构 通用要求 General Requirements for Software Process and Capability Maturity Assessment Bodies 中国合格评定国家认可委员会 二六年六月 CNAS-CC51:2006 第 1 页 共 15 页 目 录 1 范围 . 3 2 引用文件 . . 3 3 定义 . . 3 3.1 软件过程及能力成熟度评估 . 3 3.2 内部过程改进评估 . 3 3.3 顾客选择评价 . 4 3.4 委托方 . 4 3.5 评估机构 . 4 4 评估机构的基本要求 4 4.1 评估机构
2、. 4 4.1.1 基本规定. 4 4.1.2 组织结构 4 4.1.3 分包 5 4.1.4 质量管理体系. 5 4.1.5 内部审核和管理评审. 6 4.1.6 文件. 7 4.1.7 记录 . 7 4.1.8 保密 7 4.1.9 申诉、 投诉和争议 8 4.2 评估机构人员 8 4.2.1 基本规定 8 4.2.2 评估师的资格准则. 8 4.2.3 选择程序 114.2.4 评估人员的聘用 114.2.5 评估人员记录 114.2.6 评估组程序 125 评估程序 125.1 申请 125.1.1 程序信息 125.1.2 申请 125.2 评估准备 135.3 评估 132006
3、年 06 月 01 日发布 2006 年 07 月 01 日实施 CNAS-CC51:2006 第 2 页 共 15 页 5.4 评估报告 145.5 评估决定 145.6 监督和复评程序 155.7 证书和标徽的使用 152006 年 06 月 01 日发布 2006 年 07 月 01 日实施 CNAS-CC51:2006 第 3 页 共 15 页 软件过程及能力成熟度评估机构通用要求 1 范围 本文件规定了从事软件过程及能力成熟度评估的机构应满足的基本要求。 本文件可用于评估机构对依据 SJ/T11234 和/ 或 SJ/T11235 或与其等同的其它标准进行正式评估活动的管理。 2 引
4、用文件 以下引用的文件,注明日期的,仅引用的版本适用;未注明日期的,引用文件的最新版本(包括任何修订)适用。 ISO/IEC 导则 2关于标准化和相关活动的一般术语及其定义 SJ/T 11234 软件过程能力评估模型 SJ/T 11235 软件能力成熟度模型 国认可联200249 号文软件过程及能力成熟度评估指南 GB/T19011 2003质量和(或)环境管理体系审核指南 (idt ISO19011 :2002) 3 定义 除了 ISO/IEC 导则 2 中的术语定义外,本文件还采用下列术语定义。 3.1 软件过程及能力成熟度评估 即软件过程能力评估(依据SJ/T11234)和软件能力成熟度
5、评估(依据SJT/11235)的统称(简称为 “SPCA”)。SPCA 是由经过培训的专业队伍以评估参考模型作为确定过程的强项和弱项的基础而对一个或多个过程进行的检查活动。根据评估目的的不同,评估可分为内部过程改进评估和顾客选择评价两种。 3.2 内部过程改进评估 以内部过程改进为目的,对组织内部软件过程能力进行的评估。执行这种评2006 年 06 月 01 日发布 2006 年 07 月 01 日实施 CNAS-CC51:2006 第 4 页 共 15 页 估前,评估机构往往可根据评估委托方的要求向被评估组织提供咨询,并且应该有被评估组织的人员参加到评估组中,使评估活动更有效地发挥促进内部过
6、程改进的作用。 3.3 顾客选择评价 受委托方委托,以客观评价软件组织的现实综合软件过程能力为目的,由被评估组织以外的评估人员对其实施的评估。这种评估不允许评估人员向被评估组织提供任何咨询意见。同时,选择评估组成员时也要遵从“ 回避” 原则,即不选择与被评估组织有利害关系的人员作为成员。 3.4 委托方 委托评估机构提供评估服务并且支付评估费用的单位。 3.5 评估机构 有能力提供软件过程及能力成熟度评估服务的组织。 4 评估机构的基本要求 4.1 评估机构 4.1.1 基本规定 4.1.1.1 评估机构采用的政策和程序必须是非歧视性的并且以非歧视方式实施。 4.1.1.2 评估机构必须向所有
7、委托方提供评估 服务,不得向委托方提出不正当的财政或其他限制条件。 4.1.1.3 评估的依据为 SJ/T 11234软件过程能力评估模型 或 SJ/T 11235软件能力成熟度模型或与其等同的其它标准。 4.1.1.4 评估机构应仅在拟开展评估的范围内 规定其评估要求、进行评估和作出评估决定。 4.1.2 组织结构 评估机构的组织结构必须保证所做出的评估结论可信。评估机构必须做到: a) 客观、公正; b) 对所做出的评估结论负责; c) 设立负责下列事项的管理层(个人或管理委员会): 2006 年 06 月 01 日发布 2006 年 07 月 01 日实施 CNAS-CC51:2006
8、第 5 页 共 15 页 1) 按照本文件规定提供评估服务, 2) 制定本机构的运行方针, 3) 审查并确定评估结论, 4) 监督本机构运行方针的实施, 5) 监督本机构财务情况, 6) 必要时,授权本机构以外的人员以本机构的名义执行评估任务(不包括被评估方的人员); d) 必须具备证明其法律地位的文件。 e) 具有文件化的、保证本机构客观、公正提供评估服务的规定; f) 确保评估决定由非实施评估的人员作出; g) 具有充分的安排,以解决其运作和/ 或活动所引发的责任; h) 具备支持评估活动所需的稳定财力及其他资源; i) 聘有足够的执行评估服务的人员,他们应该满足本文件 5.4 节要求;
9、j) 建立符合 4.1.4 条要求的质量管理体系; k) 建立政策和程序,以保证本机构不从事软件产品开发、 维护、营销和相应服务活动(为支持评估活动本身所需的软件开发、维护和服务除外); l) 保证评估机构及其全体员工和授权执行评估任务的人员没有可能影响评估结论的商业、财政及其他压力; m) 保证评估机构的运行不影响评估活动的保密性、客观性和公正性; n) 具有处理被评估组织提出的申诉、投诉和争议的政策和程序。 4.1.3 分包 当评估机构决定将评估工作分包给某一外部机构或人员时,应就有关事宜,包括保密和利益冲突方面的安排签订一份适当的书面协议。评估机构应: a) 对分包的工作全面负责,并且保
10、留其对批准、保持或撤销评估的职责; b) 确保分包的机构或个人具备能力并且满足本导则的有关要求; c) 获得申请人或委托方的同意。 注:当一个评估机构利用与其签署协议的另一个评估机构所提供的工作结果来作出评估决定时, 应满足 a)和 b)的要求。 4.1.4 质量管理体系 2006 年 06 月 01 日发布 2006 年 07 月 01 日实施 CNAS-CC51:2006 第 6 页 共 15 页 评估机构的最高管理者必须制定质量方针,包 括质量目标及质量承诺,并且形成文件。最高管理者必须确保本机构全体员工都理解、执行和维护质量方针。 评估机构必须建立与本机构业务范围和规模相 适应的质量管
11、理体系。质量管理体系必须形成文件, 本机构所有从事有关业务的员工在需要时都能得到该文件。评估机构必须保证质量管理体系中的文件化的程序和作业指导书得到有效实施。评估机构应该指定一名负责评估工作质量的管理代表,并予以明确授权,以便他能够: a) 保证按照本文件要求建立、实施和维护质量管理体系: b) 向最高管理者报告质量管理体系运行情况。 质量管理体系以质量手册和相关的程序以及其 他文件的形式文件化。质量手册至少必须包括: a) 质量方针陈述; b) 本机构法律地位简要描述; c) 最高管理者和其他主要业务主管姓名、资历和职权范围; d) 反映各级职责权限的组织结构图, 特别要指出负责审查和批准评
12、估结论的机构的组成和权限; e) 组织结构的文字描述,特别是有关质量的职责和权限的描述; f) 管理评审的政策和程序; g) 包括文件和资料控制在内的管理程序; h) 本机构评估人员和外聘人员的聘用、培训及其工作监督的政策和程序; i) 外聘协议书格式、外聘人员资格核实程序和外聘程序; j) 处理本机构质量管理体系运行中的不 符合项的程序和保证纠正措施有效性的程序; k) 审查和批准评估结论的程序; l) 处理申诉、投诉和争议的政策和程序; m) 根据 GB/T19011 的规定实施内部审核的程序。 4.1.5 内部审核和管理评审 评估机构必须定期对质量管理体系进行内部审 核,以核实质量管理体
13、系正得到有效实施。评估机构必须保证: 2006 年 06 月 01 日发布 2006 年 07 月 01 日实施 CNAS-CC51:2006 第 7 页 共 15 页 a) 把内部审核结果通知被审核领域的人员; b) 及时采取适当的纠正措施; c) 把审核结果记录在案。 最高管理者必须定期和在必要时对质量管理体 系进行管理评审,以保证质量管理体系能够持续有效地满足质量方针和质量目标要求。评审记录必须保留。 4.1.6 文件 评估机构必须建立、定期更新和在有要求时提供下列文件: a) 授权评估机构运行的文件; b) 评估活动情况资料; c) 评估机构获得财政支持的渠道的描述以及服务收费情况;
14、d) 委托方和已接受评估服务的组织的权利和义务的描述; e) 投诉和争议处理程序; f) 已接受评估的组织的名录, 包括业务范围、规模和确定的成熟度等级; g) 评估机构承担有关责任的承诺。 评估机构必须建立和维护对有关评估活动的文 件和数据进行有效控制的程序, 包括文件及时发放、恰当使用和文件变更控制的程序,评估数据保密和使用的政策和程序。 4.1.7 记录 评估机构必须建立、运行并维护信息记载系统 ,及时记载完成的评估任务的情况, 尤其是评估服务申请表、评估报告。对记录的标识、维护和处置必须保证评估服务过程的完整性和资料的保密性。记录必须保持足够时间,以便至少在整个评估周期内证明评估过程可
15、信。 评估机构必须建立关于在合同规定的时间内和 其他要求的时间内保存记录的政策和程序,必须建立符合 4.1.8 条要求的调阅记录的政策和程序。 4.1.8 保密 评估机构必须根据适用法律,规定对评估活动 中获得的被评估组织的数据保守机密的要求。 评估机构必须规定关于在现场评估活动结束时 ,在现场立即销毁现场访问中收集的被评估组织的数据的要求。 2006 年 06 月 01 日发布 2006 年 07 月 01 日实施 CNAS-CC51:2006 第 8 页 共 15 页 评估机构应建立公布被评估组织的成熟度等级 的政策和程序,必须确保尊重被评估组织是否同意公布其成熟度等级的意愿。 4.1.9
16、 申诉、投诉和争议 对于向评估机构提出的有关评估服务的申诉、投诉和/ 或争议应按照评估机构规定的申诉、投诉和争议程序进行处理。 评估机构必须: a) 保存所有申诉、投诉和争议记录,保存有关补救措施的记录; b) 采取合适的纠正和预防措施; c) 把将采取的纠正措施形成文件并且审查其有效性。 4.2 评估机构人员 4.2.1 基本规定 4.2.1.1 评估机构中参与评估工作的人员应能胜任本职工作。 4.2.1.2 评估机构应保存参与评估过程的每一 工作人员的相关资格、培训及经历的信息记录。培训及经历的记录应是最新的。 4.2.1.3 应将明确规定评估人员的职责和任务 的指令文件发给相应人员,该指
17、令文件应为最新有效版本。 4.2.1.4 评估机构应有能胜任下列工作的管理人员: a) 选择评估师并验证其能力; b) 给评估师提供简要指导和安排必要的培训; c) 对评估结果的批准、保持、暂停、撤消作出决定; d) 制定并运行申诉、投诉和争议处理程序。 4.2.2 评估师的资格准则 4.2.2.1 为确保评估实施的有效性、一致性, 评估机构应对人员的能力规定最低的相关准则。 4.2.2.2 主任评估师、评估师和技术专家的资格 4.2.2.2.1 评估师级别 z 实习评估师经培训合格,但未满足评估经历要求的评估人员。实习评估师不能作为独立的评估人员。 z 评估师指已满足本文件规定的要求,同时能
18、够对组织的软件过程及2006 年 06 月 01 日发布 2006 年 07 月 01 日实施 CNAS-CC51:2006 第 9 页 共 15 页 能力成熟度进行评估的人员。 z 主任评估师指已满足本文件规定的要求,经证实有能力有效地管理一个评估组并协调涉及到整个软件过程及能力成熟度评估各方面工作的人员。 4.2.2.2.2 个人素质要求 SPCA 评估师应具备下列经证实的个人素质: z 有职业道德,行为严谨、规范; z 思路开阔,分析能力强; z 善于交往,有团队合作能力; z 观察敏锐,善于发现问题; z 知识面广; z 性格坚韧,不因困难、外界压力和干扰偏离目标和方向; z 有独立工
19、作能力,胜任工作; z 有必要的组织、领导和协调能力; z 有较强的口头交流和书写能力。 4.2.2.2.3 知识、技能和培训 SPCA 评估师应具有以下方面的知识和技能: a) 软件生存周期过程方面 z 熟悉软件工程及软件生存周期模型的理论和实践; z 熟悉软件过程,掌握软件开发、维护的方法和技术; z 了解并参加过软件过程活动,特别是软件开发和项目管理活动。 b) 评估方面 z 全面掌握SJ/T11234 和 SJ/T11235,能正确表达和解释标准的条款及其含义; z 全面掌握软件过程及能力成熟度评估指南;z 理解评估原理,掌握评估过程方法、程序、工 具和技巧,包括计算机辅助评估工具;
20、z 策划、组织和实施SPCA 评估; z 与被评估组织各层人员的沟通; 2006 年 06 月 01 日发布 2006 年 07 月 01 日实施 CNAS-CC51:2006 第 10 页 共 15 页 z 收集证据,归纳观察项; z 在分析观察项的基础上,准确报告、确认评估发现; z 根据确认的评估发现做出评估结论(评级);z 撰写和提交评估报告; 评估机构应对培训进行策划,对培训教材、培 训教师、培训计划、培训效果的评价作出安排,以确保评估师满足上述的知识和技能要求。 4.2.2.2.4 教育和工作经历 评估师应具有国家承认的大学本科或以上学历。 评估师应至少具有 五 年计算机软件开发和
21、管理岗位全职工作经历。 可以接受的计算机软件开发和管理经历,包括: a. 从事计算机软件的设计、开发、运行和维护相关的技术和管理工作; b. 推广、实施和保持软件工程化 /标准化; c. 作为政府主管部门或行业管理机构的代表, 实施计算机软件产业/ 行业的监督与管理; d. 全程参与过 SPCA评估和其他基于软件和软件工程标准的审核、评估、认证、认定工作; e. 全职参与软件企业基于软件过程改进的质 量管理体系的建立、实施和保持,以及质量管理体系的评估。 注 1: 工作经历的关键要点是评估师应具备软件工程的相关知识。 注 2: 培训期的经历不能作为符合本准则要求的工作经历。 注 3: 5年的计
22、算机软件开发和管理工作经历应是评估师首次评定时前 8 年内获得的。 4.2.2.2.5 评估经历 a)实习评估师:无评估经历要求; b)评估师:作为实习评估师在评估师的指导下全程参加了至少 3 次完整的SPCA 评估,且现场评估时间不少于 20 天; c)主任评估师:已评定为评估师的人员至少有 2次作为评估组长领导评估组工作。 注:评估经历应是评定时前 3 年内获得的。 2006 年 06 月 01 日发布 2006 年 07 月 01 日实施 CNAS-CC51:2006 第 11 页 共 15 页 4.2.3 选择程序 4.2.3.1 通常情况下对评估师及技术专家的选 择,评估机构应有用于
23、如下工作的程序: a) 根据能力、培训、资格及经历选择评估师和需要时选择技术专家 ; b) 最初评价评估师和技术专家在评估中的行为,随后对其表现进行监视。 4.2.3.2 评估任务的分配 当针对某一具体评估任务指派评估组时,评估机构应确保对每一评估任务具有适宜的技能: a) 根据其资格、能力和经验进行选择; b) 保证对评估人员在评估活动中的表现和其他有关行为实施有效监控。 评估机构应该制定委派评估组的程序,规定评 估组的综合能力条件,以确保评估活动的有效和高效进行。至少必须要求评估组: a) 熟悉适用的法律、法规和评估程序; b) 透彻了解 SJ/T 11234 和 11235 以及评估方法
24、; c) 熟悉软件生存周期过程; d) 熟悉软件工程标准; e) 具备有效的书面和口头交流和表达能力; f) 有一名主任评估师。 4.2.4 评估人员的聘用 评估机构应要求评估人员签署一份合同或其它文件,保证他们承诺遵守评估机构的规章制度, 包括有关保密性的规则、有关没有任何商业及其它利益关系以及不受任何以往和/ 或现在与评估申请人的联系的影响的规则。评估机构应确保承担评估机构分包任务的评估人员满足本文件 对评估人员的要求并以文件的方式确定如何达到要求。 4.2.5 评估人员记录 4.2.5.1 评估机构必须在信息记载系统中记载 并维护评估人员(包括外聘人员)的最新信息,包括: a) 姓名和地
25、址; b) 所在的组织和在该组织里的职务; 2006 年 06 月 01 日发布 2006 年 07 月 01 日实施 CNAS-CC51:2006 第 12 页 共 15 页 c) 受教育状况和专业领域; d) 评估培训经历; e) 最近一次更新此记录的日期; f) 被评估组织反馈的评价意见。 4.2.5.2 评估机构应确保并验证分包机构都保 存承担评估机构分包任务的评估人员记录, 并且这些记录应满足本文件的要求。 4.2.6 评估组程序 评估机构应确保向评估组提供统一的评估方法(或评价方法)和包括成熟度调查问卷在内的有关评估文件,评估组各成员应以书面的形式承诺在评估活动中遵守评估机构制定的
26、包括保密要求在内的各项规则。 5 评估程序 5.1 申请 5.1.1 程序信息 5.1.1.1 评估机构必须向委托方提供 4.1.6 条描述的最新有效文件。 5.1.1.2 评估机构应该要求委托方及被评估组织: a) 遵守评估机构的有关规定; b) 书面同意为评估提供必要的资源和准备有待审 查的文件,开放有关评估的项目和功能领域,以及准备参加评估的人员。 评估机构还应确保委托方提供: a) 关于评估范围的要求。 b) 关于是否确定成熟度等级的意向。 c) 关于评估活动的限制条件。在 委托方要求提供顾客选择评价服务的情况下,除了要求委托方明确指出有关的限制条件 外,还必须要求被评估组织明确指出有
27、关的限制条件,并且在委托方、 被评估组织和评估机构之间达成共识。 5.1.1.3 必要时,向委托方提供其他有关申请信息。 5.1.2 申请 5.1.2.1 评估机构应要求申请人提交一份正式 填好的并由其正式授权的代表签署2006 年 06 月 01 日发布 2006 年 07 月 01 日实施 CNAS-CC51:2006 第 13 页 共 15 页 的申请书,申请书或其附件包括: 1) 申请评估的范围; 2) 申请人同意遵守评估要求,提供评审所需要的信息。 5.1.2.2 在现场评估之前,申请人至少应提供下列信息: a) 申请人简况; b) 有关软件开发活动项目的一般信息; c) 对拟评估所
28、适用的标准或其它规范性文件的说明; d) 质量手册和必要的相关文件的副本; e) 按照商定的评估范围所要求的其他文件。 对于这些文件,评估组长必须严格遵守评估机构建立的关于保守被评估组织机密的要求。 5.2 评估准备 5.2.1 评估之前, 评估机构应对评估申请进行评审并保存记录, 以确保: a) 对申请人的各项评估要求, 要清楚 地予以确定、形成文 件和得到理解; b) 解决评估机构与申请人之间在理解上的差异; c) 对于申请人申请的评估范围、运作 场所及一些特殊要求(如申请人使用的语言等) ,评估机构有能力实施评估。 5.2.2 评估机构应制定评估活动的计划以便进行必要的安排。 5.2.3
29、 评估机构应任命一个合格的评估组,代表评估机构对从申请人收集到的资料进行评价和实施评估。相关的技术专家可以 以顾问身份参加评估机构的评估组。 5.2.4 评估机构应提前将评估组成员的姓名通知申请人,并使其有足够的时间提出对所指派评估师和专家是否有异议。 5.2.5 应正式任命评估组,并发给适当的工作文件。评估计划和日期应得到申请人的同意。 给评估组的指令应清楚明确并通知申请人,该指令同时应要求评估组核实申请人的结构、方针和程序并确认能满足有关评估范围的所有要求,且程序得到实施并对申请人的产品、过程和服务提供信任。 5.3 评估 由评估组组长负责按照评估机构的任务要求和 提供的评估方法(或评价方
30、2006 年 06 月 01 日发布 2006 年 07 月 01 日实施 CNAS-CC51:2006 第 14 页 共 15 页 法)实施评估。 评估组组长负责领导评估组具体实施评估。评估活动应符合“ 国认可联200249 号文 软件过程及能力成熟度评估指南” 的规定。 5.4 评估报告 5.4.1 评估机构应该建立并实施适当的评估结果报告程序。该程序必须保证: a) 评估组组长向被评估组织报告评估 期间发现的强项和弱项,如果委托方在申请时要求评定等级,还应报告所评定的过程能力等级和相应的软件能力成熟度等级; b) 评估组组长向评估机构提交书面评估报告; c) 评估机构向委托方提交经过审查
31、和批准的最终评估报告; 5.4.2 评估报告的内容 a) 评估组组长和其他成员的姓名及其 所在工作单位和他们在评估组里的角色; b) 被评估组织的概况,包括名称、地 址、主要业务领域、规模(全员数量和软件开发人员数量); c) 评估目的,即该次评估是内部过程改进评估还是顾客选择评价; d) 所依据的标准; e) 评估中采用的方法,即内部过程改进评估方法或顾客选择评价方法; f) 评估持续时间; g) 评估期间发现的被评估组织的强项和弱项; h) 适用时, 关于被评估组织的评估范围内各个软件过程的能力和/ 或软件能力成熟度的评估结论。 5.5 评估决定 5.5.1 评估机构应根据评估过程中和其它
32、方面得到的信息对申请人作出是否批准评估的决定。做决定的人员不应为参加该项评估的人员。 5.5.2 评估机构不应把批准、保持、扩大、缩小、暂停和撤销评估的权力授予外部人员或机构。 5.5.3 评估机构应为每个获得评估的申请人提供评估文件。 如果委托方在提出申请时要求对被评估组织做出软件能力成熟度的定级结2006 年 06 月 01 日发布 2006 年 07 月 01 日实施 CNAS-CC51:2006 第 15 页 共 15 页 论,评估机构应该在向委托方提交最终评估报告的同时填写并向其提交被评估组织软件能力成熟度等级证书。如授权人员签署的信件或评估证书。 这些文件应表明申请人的: a) 名
33、称和地址 b) 批准的评估范围 ,包括: 1) 软件过程能力等级轮廓和 /或软件过程能力成熟度状态 2) 评估所依据的标准和 /或其它规范性文件; 3) 适当时,产品、过程或服务的类别; c) 评估完成时的日期和有效期。 5.5.4 评估机构应处理对获准评估级别的更改申请。 评估机构应采用适当的程序,以决定是否批准更改并依此执行。 5.6 监督和复评程序 5.6.1评估机构应以足够近的间隔实施定期的监督和复评, 以验证被评估方是否持续满足评估的要求。 5.6.2 监督和复评程序应与本文件描述的评估的有关程序相一致。 注 1:根据评估机构与被评估机构约定,可以实施监督和复评措施。 注 2:多数情
34、况下,按本章所要求的定期监督时间间隔超过 1 年是不合适的。 5.7 证书和标徽的使用 5.7.1 评估机构应对评估标志的所有权、使用和展示实施适当的控制。 5.7.2 如果评估机构授权被评估方使用符号或标徽来表明其软件开发体系已获评估 ,被评估方只能按评估机构的书面授权使用指定的符号或标徽,该符号或标徽不可用在产品上,或用于其它会被理解为表示产品符合的情况。 5.7.3 对在广告和有关宣传材料中发现对评估的不正确的宣传或证书与标徽的误导使用,评估机构应采取适当的措施进行处理。 注:这种措施可包括纠正措施、撤销证书、公布违规行为以及必要时采取其他的法律措施 。 2006 年 06 月 01 日发布 2006 年 07 月 01 日实施