《软件过程及能力成熟度评估机构通用要求CNASCC51》由会员分享,可在线阅读,更多相关《软件过程及能力成熟度评估机构通用要求CNASCC51(12页珍藏版)》请在金锄头文库上搜索。
1、CNASCC51:XXXX 软件过程及能力成熟度评估机构 通用要求 General Requirements for Software Process and Capability Maturity Assessment Bodies 中国合格评定国家认可委员会 二一二年XX月 软件过程及能力成熟度评估机构通用要求 1 范围本文件规定了从事软件过程及能力成熟度评估(简称为“SPCA”)的评估机构应满足的通用要求,以获得对其能力和可信性的承认。本文件可用于评估机构对依据SJ/T11234和/或SJ/T11235或与其等同的其它标准进行正式评估活动的管理。注:在本文件中,“评估机构”是指按照相关制
2、度的要求有能力提供软件过程及能力成熟度评估服务的组织。2 引用的规范性文件以下引用的文件,注明日期的,仅引用的版本适用;未注明日期的,引用文件的最新版本(包括任何修订)适用。GB/T 20000.1-2002 标准化工作指南第 1 部分:标准化和相关活动的通用词汇(mod ISO/IEC 导则2:1996)SJ/T 11234 软件过程能力评估模型SJ/T 11235 软件能力成熟度模型国认可联200249号文软件过程及能力成熟度评估指南GB/T 19000-2000 质量管理体系基础和术语(idt ISO9000:2000)GB/T190112003质量和(或)环境管理体系审核指南(idt
3、ISO19011:2002) ISO/IEC 导则62:1996 质量管理体系认证机构通用要求3 术语和定义本文件除了采用GB/T 20000.1-2002和GB/T 19000-2000中的术语定义外,还采用下列术语定义。3.1 软件过程及能力成熟度评估即软件过程能力评估(依据SJ/T11234)和软件能力成熟度评估(依据SJT/11235)的统称(简称为“SPCA”)。SPCA是由经过培训的专业队伍以评估参考模型作为确定过程的强项和弱项的基础而对一个或多个过程进行的检查活动。根据评估目的的不同,评估可分为内部过程改进评估(见本文3.2)和顾客选择评价(见本文3.3)两种模式。3.2 内部过
4、程改进评估以内部过程改进为目的,对组织内部软件过程能力进行的评估。执行这种评估前,评估机构往往可根据评估委托方的要求向被评估组织提供咨询,并且应该有被评估组织的人员参加到评估组中,使评估活动更有效地发挥促进内部过程改进的作用。3.3 顾客选择评估顾客选择评估是一种由软件产品或服务的需方委托评估机构对意向中可提供产品或服务的软件组织所进行的软件过程评估。当某组织机构需要获取某种软件(包括业务应用和工具软件等)来支持自身或关联组织的业务、管理或某项任务而这种软件又没有商业产品软件或是基于其它考虑而不采用产品软件时就需要通过定制软件来满足需求。如果该组织机构自身不具有软件开发能力,那么就会从软件组织
5、中寻求软件开发服务外包。这样从软件组织的角度来看寻求定制软件产品的该需方机构就是“顾客”。一般情况下顾客方都会按其预定的准则通过对候选软件组织的评价来选择并确定承包方。当在对重大或特殊领域的软件服务承包方进行选择决策的过程中,顾客为了能客观地了解候选承包方的软件开发和管理能力,就可以委托第三方评估机构按照行业认可的标准或准则并结合顾客的特殊需求对候选承包方的软件过程能力或成熟度进行评估,向顾客提供更为客观的评估结果,以便使顾客确定是否能建立对候选承包方的信任,并为软件开发合同的授予确立准则。这种委托第三方机构对某软件组织所进行的评估就称为顾客选择评估,其目的是通过评估来选择提供软件产品或服务的
6、组织。这种评估不同于过程改进评估的要点在于评估的发起人是顾客方,评估的经费由顾客承担,评估组的成员完全来自于被评估软件组织的外部,评估结果为顾客所有。通过评估的软件组织有可能承接顾客委托的开发软件产品或服务的合同,或是具有顾客所认可的某种资质。 4 评估机构4.1基本规定4.1. 1评估机构采用的政策和程序必须是非歧视性的,并应以非歧视的方式实施。凡符合本文件规定的申请人的申请,评估机构都不得妨碍或阻止。4. 1.2评估机构的评估服务必须向所有委托方开放,不得向委托方提出不正当的财政或其他限制条件。4. 1.3评估机构实施评估的依据为SJ/T 11234软件过程能力评估模型或SJ/T 1123
7、5软件能力成熟度模型。4. 1.4评估机构应仅在拟开展评估的范围和经授权的评估级别内开展评估活动和做出评估决定。4.2组织评估机构的组织结构应有利于保证评估活动及其结果的可信度。评估机构应做到: a) 客观、公正; b) 对所做出的评估结论(包括与评估结果的批准、升级、降级、暂停、撤销和恢复有关的决定)负责; c) 明确对以下工作全面负责的管理者(委员会、小组或个人) 1) 按照本文件规定提供评估服务, 2) 制定本机构的运作方针, 3) 审查并确定评估结论, 4) 监督本机构运作方针的实施, 5) 监督本机构财务情况, 6) 需要时,授权委员会、小组或个人代表其从事所规定的活动; d) 具有
8、证实其为法律实体的文件;e) 具有保证公正性的组织结构并形成文件,文件中应有确保评估机构运作公正性的条款,该组织结构应有利于密切相关的各方均能参与组织制定有关评估制度内容及其运作方面的方针和原则;f) 确保各项评估决定由非实施该项评估的人员做出;g)具有与其评估活动相应的权利和责任;h) 有充分的安排承担因其评估运作和(或)活动引发的责任; i)财务状况稳定,具有评估运作所需的资源;j)根据评估工作的类型、范围和工作量配备足够的人员。这些人员具备与所承担的工作相适应的必要的教育、培训、技术知识和经历,并在一位负有职责的高级主管及评估组长领导下开展工作;k) 具有对其实施评估活动的能力提供信任的
9、质量管理体系; l ) 具有区分评估机构从事的评估和其他活动的方针和程序m) 保证有关人员(包括高级主管和评估工作人员)均免受任何有可能影响评估过程结果的,来自商业、财务和其他方面的压力;n)应有正式的规则和程序,规定与评估过程有关的任何委员会和评估组的组成、指派和运作,该委员会和小组应免受任何可能影响决定的来自商业、财务和其他方面的压力;o) 保证评估机构的运作不影响评估活动的保密性、客观性和公正性; 并应:1)不从事软件产品开发、维护、营销和相应服务活动(为支持评估活动本身所需的软件开发、维护和服务除外);2)在“顾客选择评价”评估模式下,不对申请人(/被评估组织)提供咨询或方法建议,以避
10、免对评估活动的妨碍; 3)不提供可能损害其评估过程和评估决定保密性、客观性或公正性的任何其他产品或服务。p) 具有相关的方针和程序,处理和解决评估活动和相关事务方面的,来自被评估组织或其他各方提出的申诉、投诉和争议。4.3 运作评估机构应根据特定评估类型和模式的要求,采取一切必要措施和步骤,评价与相关评估标准的符合性。评估机构应明确相关评估模型标准或相关标准的一部分,以及评估方法规定的诸如抽样、检测和检查等其他要求,所有这些构成了相应评估过程活动的基础。在评估实施过程中,评估机构应遵守软件过程及能力成熟度评估指南和相关规定的有关执行评估的机构或人员适应性及能力的要求。4.4 分包当评估机构决定
11、将评估工作分包给某一外部机构或人员时,应就有关事宜,包括保密和利益冲突方面的安排签订一份适当的书面协议。评估机构应: a) 对分包的工作全面负责,并且保留其对批准、保持或撤销评估的职责; b) 确保分包的机构或个人具备能力并且满足本文件的有关要求;同时,在“顾客选择评价”评估模式下,分包方的机构和人员不应参与被评估组织的软件产品的开发、维护、营销和相应的服务活动;c) 获得申请人或委托方的同意。注:当评估机构利用与其签署协议的另一个评估机构所提供的工作结果来作出评估决定时, 应满足本条款a)和b)的要求。4.5 质量管理体系 4.5.1 对质量负有执行职责的评估机构管理者应制定质量方针、质量目
12、标和对质量的承诺并形成文件。管理者应确保该方针在组织的各层次得到理解、贯彻和保持。4.5.2 评估机构应按照本文件的有关要求,针对工作的类型、范围和工作量运作一套有效的质量管理体系。质量管理体系应形成文件,在评估机构人员使用时应能得到该文件。评估机构应确保形成文件的质量管理体系、程序和指导文件的有效实施。评估机构应指定一名能够直接与最高执行层接触的人员,不论他在其他方面的职责如何,应明确其权力,以便:a) 确保依据本文件建立、实施并保持质量管理体系;b) 向评估机构的管理者报告质量管理体系的运行情况以供评审,并作为改进质量管理体系的基础。4.5.3 质量管理体系应以质量手册和相关的质量程序的方
13、式形成文件,质量手册至少应包括或涉及如下内容:a) 质量方针的阐述;b) 评估机构法律地位的简要说明,包括所有者的名称,如果所有者和控制者不同,还要包括控制者的名称;c) 高级主管和其他内、外部评估人员的姓名、资格、经历和权限;d) 表明从高级主管到各层次的权限、职责和职能分配的组织结构图;e) 评估机构组织的描述,包括 4.2.c)中所指的管理者(委员会、小组或个人)的详细情况及其组成、权限和程序规则;f) 进行管理评审的方针和程序;g) 包括文件控制在内的管理程序;h) 与质量相关的职能部门和岗位的职责和工作内容,以便每个人的职责内容与权限能让所有相关人员了解;i)有关评估人员录用、选择、
14、培训以及考核评价的程序;j)批准的分包方名录和评定、记录与监视其能力的程序;k) 处理与相关要求的不符合项与保证所采取的纠正措施和预防措施有效性的程序;l)评估及其实施过程的程序,包括:1) 评估文件(/证书)颁发、保持和撤销的条件;2) 评估所用文件的使用和应用的控制。m) 处理申诉、投诉和争议的方针和程序;n) 以 GB/T 19011-2003 的规定为基础进行内部审核的程序。4.6 批准、保持、扩大、暂停和撤销评估结果的条件和程序4.6.1 评估机构应规定批准、保持、扩大评估结果的条件,以及部分或全部暂停或撤销评估结果的条件。4.6.2 评估机构应具有程序,以:a) 批准、保持、撤销和
15、(适用时)暂停评估结果/证书;b) 扩大或缩小评估的范围,适用时,提高或降低评估的级别;c) 当评估模型标准发生显著影响原评估结果的变更时,或已评定的评估级别需要升级时,或被评估组织的所有权、组织结构、管理者发生(相关)变更时,或有其他信息表明已评估内容可能不再符合评估要求时,应重新进行评估。4.7 内部审核和管理评审4.7.1 评估机构应有计划和系统地进行定期的内部审核,内部审核应覆盖所有程序并验证质量管理体系得到有效实施。评估机构应确保:a) 将审核结果通知被审核区域的负责人;b) 及时、有效地采取纠正措施和预防措施;c) 将审核结果形成文件。4.7.2 评估机构负有执行职责的管理者应按确定的、适当的时间间隔,对质量管理体系进行评审,以确保其持续适宜和有效地满足本文件和所声明的质量方针与质量目标的要求。评审记录应予保存。4.8 文件4.8.1 评估机构应定期更新,并在有要求时提供(通过出版物、电子媒体或其他方式)以下信息:a) 评估机构运作得到授权的信息;b)评估制度的书面说明,包括批准、保持、扩大、暂停和撤销评估的规则和程序;c) 有关评估的评价程序和评估过程的信息;d) 机构获取财务支持方式的描述以及向申请人及被评估组织收取费用的基本信息;e) 有关委托人、
