您想要了解有关 CMMI 的内容中缺失了什么吗？Judith M. Myerson 对 CMMI 进行了描述，重点是每个成熟等级上的法规遵循、风险和治理，并且向您展示了 IBM Rational 软件解决方案如何帮您达到成熟度等级 4。她简要地概括了将 CMMI 和 Control Objectives for Information and related Technology (COBIT) 结合在一起的方法。

引言

在 developerWorks Rational 专区上的 Managing Compliance系列的第一篇文章“An overview of IT frameworks”中，我讨论过 IT 框架是关于什么内容的，以及它们如何控制满足法规需求所需的业务过程。我比较了标准的框架，包括 COBIT® 和 CMMI®，并且向您介绍了如何自定义一个框架。

在该系列的第二篇文章，“Automating COBIT business processes using IBM Rational Portfolio Manager”中，我曾指出，COBIT 是帮助确保对信息和创建、存储，并操作 IT 的系统进行合适控制及治理的 IT 治理框架。COBIT 提供了一个框架，用于适当设置控制，从而确保对法规的遵循，例如 Sarbanes Oxley (SOX 法案) 和 Basel。

CMMI（1991 年由卡内基梅隆大学的软件工程协会（Software Engineering Institute ）发布的）是一系列集成的模型。它们包括软件开发、系统工程，及集成产品与过程开发、人员和关于跨项目、区域，或整个组织的过程改进的其他计划。

在该系列的第三篇文章中，我将探讨 CMMI 中缺失的部分，以及您如何能够利用 IBM RUP for Compliance Management Plug-in 和其他 Rational 工具，为缺失的部分（法规遵循、风险，及治理）达到成熟度等级 4。我还将简要介绍如何将 CMMI 与 COBIT 结合。

缺失的部分

CMMI 中缺失的部分是法规遵循、风险，及治理的过程。要加入这些过程，第一步是要树立达到该模型第四个成熟度等级的整体目标。让我们来看一下每个过程类型的目标：

• 风险管理目标是度量并控制风险，使风险减小到指定的可接受的级别。当新的风险到来时，我们需要更新该目标，以确保这些与现有风险结合了的新风险仍将处于该指定的可接受级别上。
• 法规遵循的目标是度量并控制法规的遵循、例如 SOX，为了使执行人员准时，且在预算之内交付信息。提供信息的系统必须拥有故障保险能力，以及充足的资源。如果该系统不具有那些能力，那么执行人员就要为由于缺少控制而违背法规的行为，不充足的量度技术，软件开发问题，以及由于系统过载而导致的失败支付罚金。
• 治理的目标是管理组织运作所依靠的过程和系统的治理，为了使执行人员可以准时，并在预算之内遵从法规。如果存在法规遵守方面的组织的问题，那么执行人员将为违背法规的行为支付罚金。

CMMI 概述

CMMI 有五个成熟度阶段或等级：初始过程、可管理的过程、可定义的过程、量化管理过程和优化的过程。在我们继续模型的下一个阶段之前，要满足之前阶段等级的所有需求。不能跳过任何一个成熟度阶段。

您可以利用 IBM® Rational® 软件解决方案，包括它们的 Compliance Management 解决方案来达到成熟度阶段或等级 4。它们是 Rational 统一过程（Rational Unified Process ，RUP)（提供可配置的过程框架），RUP for Compliance Management Plug-in V1.0 (Beta)，它可以为您的组织创建特定的遵循法规的开发过程，以维护 IT 系统；Rational ClearCase® 和 Rational ClearQuest® 一起提供变更和配置管理解决方案；Rational RequisitePro® 是实现项目目标的需求和用例管理工具。您应该在成熟度等级 2 上开始管理变更及配置，并且跟踪其发展，直到您实现了成熟度等级 4 的目标。

在成熟度等级 1 上，过程通常是特定的且混乱的。组织通常不提供稳定的环境。在成熟度等级 1 上，组织经常生产出可工作的产品和服务，但是它们经常超出预算及它们项目的进度。这些组织倾向于在危机时期，放弃法规遵循、风险及治理的过程，并且不能重复它们过去的成功。让我们看看接下来的四个成熟度等级，它们的定义，以及 Rational 软件工具在实现更高等级的成熟度上能达到什么程度。

等级 2：可管理级

过程是根据项目的不同而不同的，并且二者经常互相影响。组织的项目已经确保了对项目级别上的法规遵循、风险及治理的需求进行管理，并且确保了对过程进行了计划、执行、度量及控制。在多次的压力下，现有的实践仍旧保持着。当这些实践就位时，就可以根据为项目编制好的计划来执行并管理这些项目了。

每一个管理风险需求的过程实例中的标准、过程描述和程序是不同的，这些风险需求是在资产的确认和评估、缺陷的确认、控制的测试、风险影响的确定，以及额外对策的实现中产生的。同样的，它们在管理对于计划、度量和控制成本及访问控制，以及收集并归档事件日志方面的 SOX 法规遵循需求的过程实例中也各不相同。标准、过程描述和程序在管理 SOX 治理的需求的过程实例中是不同的，这些 SOX 治理是关于高级职员的道德规范、一般的豁免和审计标准的。

RUP 没有完全的覆盖 Supplier Agreement Management (SAM) 过程领域和一般的目标 Institutionalize a Managed Process (IMP)。这些工具没有实现 SAM 过程领域，并且没有考虑到满足更多的组织需求的 IMP 过程领域中的员工培训。RUP for Compliance Management Plug-in 在法规遵循和治理过程的需求管理上是有用的，但仅限于 RUP 没有覆盖的内容。如图 1 所示，组织可以使用 CMMI 需求在这两个领域中补充 RUP 插件，以达到等级 2 的成熟度。

图 1. 等级 2 的成熟度实现

　

等级 3：已定义级

组织是主动的，并且已经达到了分配到成熟度等级 2 和 3 上的过程领域的所有具体的和一般的目标。过程是特征明确且容易理解的，并且是用标准、程序、工具和方法进行描述的。组织的一系列标准过程随着时间建立并改进着。这些标准过程用于在跨组织的项目之间建立一致性。项目根据裁减指南对组织的一系列标准的过程进行裁减，从而适应特定的项目或组织单元，由此建立项目的明确过程。结果，除了裁减指南所允许的差别，跨组织执行的过程是一致的。

对于风险过程、在实现风险管理及决策分析和解决过程领域的目标时，组织是主动的。依据组织标准、过程和指导，风险管理项目分为四类：个人计算机、服务器、主机和网络。这意味着，通过为每个风险管理项目裁减组织的一系列标准过程，项目可以建立它们的评估和管理风险的明确过程。对于法规遵循过程，组织在实现验证目标、组织过程焦点、组织过程定义和集成过程域的组织环境方面是主动的。

然而，RUP 没有完全覆盖风险、法规遵循和治理过程所需的技术解决方案过程域。在法规遵循和治理过程的管理方面，RUP 插件建立了跨项目的一致性，但局限于 RUP 的覆盖面。如图 2 所示，使用工具的组织能够利用 CMMI 需求来补充 RUP 插件，从而达到等级 3 的成熟度。

图 2. 等级 3 的成熟度实现

　

等级 4：量化管理级

过程被测量并控制了。选择对整个组织过程性能和量化项目管理领域有重大贡献的子过程。这些被选出的子过程是利用统计学和其他量化技术来控制的。质量和过程性能的量化目标树立起来了，并且作为过程管理的标准。量化目标是基于客户、最终用户、组织和过程实现人员的需求的。质量和过程性能用统计学术语进行说明，并且在过程的生命周期中受到管理。

例如，组织控制所选择的法规遵循、风险及治理的子过程，建立量化目标，并将其用作管理过程的标准。量化目标是根据统计数字建立的，这些统计数字来自于在实现对策之前和之后进行控制和比较 Annual Loss Expectancy 的风险评估的子过程。量化目标是为了控制法规遵循和治理子过程而建立的，以避免不遵从 SOX 法案的惩罚。

不知道 RUP 没有覆盖的过程域的部分是什么。虽然从组织角度来看，RUP 插件在法规遵循方面是有用的，但是它可能受限于 RUP 没有覆盖的内容。在此等级上，RUP 不包含等级 2 上满足大量组织需求的员工培训。因此，如图 3 所示，使用针对等级 2 和 3 的工具的组织可以利用 CMMI 需求来补充 RUP 插件，从而达到等级 4 的成熟度。

图 3. 等级 4 的成熟度实现

　

等级 5：优化过程级

该级别重点在于过程改进。根据对过程中固有变更的一般原因的量化理解，过程在不断地改进着。成熟度等级 5 着重于通过增量的及创新的技术提高对过程性能不断地改进。对于组织建立起量化的过程改进目标，不断地改进，以反映变化的业务目标，并且该目标还用作过程改进管理的标准。根据量化的过程改进目标度量并评价已部署的过程改进的影响。已确定的过程和组织的一系列标准过程都是度量改进的目标。组织必须完全依靠 CMMI 需求来补充 RUP for Compliance Management 插件。

混合的过程

通过将 CMMI 和 COBIT 重叠，您可以开发出一个混合的过程。CMMI 着眼于四个领域中的 12/34 的 COBIT 过程。这四个领域是计划与组织（Plan and Organize，PO)、获取与实现（Acquire and Implement，AI)、交付与支持（Deliver and Support，DS) 和 监控与评估（Monitor and Evaluate，ME)。

CMMI 着重于三个 PO 过程：管理质量、访问及管理 IT 风险和管理项目。它着眼于三个 AI 过程：获取及维护应用软件、管理变更，及安装并授权解决方案和变更。对于 DS 领域，该模型着眼于四个过程：教育及培训用户、管理配置、管理问题，及管理数据。CMMI 只考虑一个 ME 过程，即监控并评估 IT 性能。

IT 过程是 COBIT“立方体”三个部分中的一个。其他两个部分是 IT 资源和信息标准（业务需求）。IT 资源由 IT 过程来管理，以实现响应业务需求的目标。在业务过程中，CMMI 指明了 IT 过程管理 IT 资源的方式以满足业务需求。

结论

将法规遵循、风险及治理过程结合到 CMMI 中需要提前计划。利用 IBM RUP for Compliance Management Plug-in 并且在您组织所需的过程领域中用 CMMI 来进行补充，通过这些，您可以实现在成熟度等级 4 上控制并度量这三个过程的目标。您还可以通过重叠 CMMI 和 COBIT 来实现混合的方法。

您应该和系统管理员、业务分析师，及开发人员探讨，在不招致系统过载及对法规违反的惩罚的情况下，消除技术问题、业务风险和执行法规遵循需求之间的鸿沟。您将发现解决这些问题使您的工作更加轻松，特别是如果您管理多个项目并且受到有限资源、风险、法规遵循和治理需求的约束时。管理人员会发现解决这些问题可以使他管理软件开发项目的工作更加轻松。

参考资料

• 您可以参阅本文在 developerWorks 全球网站上的 英文原文。
• 阅读 Markus Grundmann 在 developerWorks 上的文章：RUP 的 CMMI 成熟度 2 级评估
• 阅读 Michael F. Hanford 关于 Rational Portfolio Manager 的介绍性文章，Introduction to Portfolio Management 。
• 要了解更多关于 IBM 法规遵循管理的解决方案的信息，请访问 ibm.com 上的 Regulatory compliance 页面。
• 要了解更多关于 IBM Rational Unified Process 的信息，请访问 developerWorks 的 Rational Unified Process 和 Rational Method Composer 产品页面。
• 要了解更多关于 IBM Rational ClearCase 的信息，请访问 developerWorks 的 Rational ClearCase 产品页面。
• 要了解更多关于 IBM Rational ClearQuest 的信息，请访问 developerWorks 的 Rational ClearQuest 产品页面。
• 要了解更多关于 IBM Rational RequisitePro 的信息，请访问 developerWorks 的 RequisitePro 产品页面。
• 要了解更多关于 CMMI 的信息，请访问 Carnegie Mellon Software Engineering Institute 网站。
• 访问 IT Governance Institute 网站，了解更多关于 COBIT 的信息。
• 阅读 Rational Edge 上的书摘 书摘 —— 第 1 章：CMMI Survival and Process Improvement。
• 浏览 Safari 书店上的有关这些及其他技术主题的书籍。

• 要熟悉 IBM Rational Portfolio Manager 产品、包括特性、系统需求和购买信息，参见 IBM Rational Portfolio Manager 产品页面。
• 要下载 IBM RUP for Compliance Management Plug-in V1.0 Beta，请访问 developerWorks 上的下载页面。

讨论

• 从 Rational Global User Group Community 上找一个您所在区域的用户组。 Rational User Groups 是提供开放论坛的，促进客户与 Rational 职员之间信息交换的独立的，由用户运作的组织。