質(zhì)量工程師：ISO9001和CMM的比較（二）

6.要素：4.6 采購ISO 9001要求組織要確保采購的產(chǎn)品符合規(guī)定的要求，包括評價潛在的分承包方和驗證采購產(chǎn)品。
    CMM第2級在顧客軟件開發(fā)（Customer software develpoment）的要求中包括了對分承包方的評價和分承包方提供的軟件進行接收測試等內(nèi)容。
    7.要素：4.7 顧客提供產(chǎn)品的控制ISO 9001要求組織要驗證、貯存和維護顧客提供的產(chǎn)品。ISO 9000-3在論述這個條款的要求時特別提到對顧客提供的市售軟件的控制。
    CMM僅在第3級的子活動（sub-practice）中提到采購軟件，提出識別市售軟件或可復(fù)用軟件是策劃的一部分。
    市售軟件和可復(fù)用軟件整體來說是CMM的一大弱點。事實上，CMM在這點上不能充分覆蓋ISO9001要求，特別是ISO9000－3的要求。盡管如此，CMM第2級中還是要求對分承包的軟件進行接收測試。
    8.要素4.8 產(chǎn)品的標(biāo)識和可追溯性ISO9001要求組織能夠在生產(chǎn)、安裝和交付的所有階段標(biāo)識和追溯產(chǎn)品。
    CMM主要在第2級的配置管理章節(jié)中覆蓋了這個要求，在第3級闡述了軟件工作產(chǎn)品（software work products）之間的一致性和可追溯性需要。
    ISO 9000-3指出在軟件行業(yè)一種產(chǎn)品標(biāo)識和可追溯的方法是配置管理，而且強調(diào)配置管理的兩個目標(biāo)：對產(chǎn)品的當(dāng)前配置及產(chǎn)品達到需求的狀態(tài)提供足夠的可視性；保證參與產(chǎn)品工作的每一位成員在軟件生存周期的任何階段都能使用正確的和準(zhǔn)確的信息。在這一點上，兩者基本是一致的。
    9.要素4.9 過程控制：ISO 9001要求組織策劃和控制其生產(chǎn)過程，包括在受控條件下按形成文件的指導(dǎo)書進行生產(chǎn)。當(dāng)組織不能完全驗證過程的結(jié)果時，須對過程進行連續(xù)的監(jiān)控。
    CMM第2級要求在軟件開發(fā)計劃中規(guī)定軟件生產(chǎn)過程使用的特定程序和標(biāo)準(zhǔn)；第3級闡述了軟件生產(chǎn)過程的定義、集成以及支持這些過程的工具要求；第4級闡述了過程控制的量化要求，并舉統(tǒng)計過程控制（SPC）的例子說明。但對一個組織來說，證實滿足這個條款要求的程度一般并不需要這樣高。CMM的第5級更提出了在組織中轉(zhuǎn)換新技術(shù)的要求，這與ISO 900-3中提到的“供方應(yīng)改進這些工具和技術(shù)”是一致的。
    ISO 9000－3提出這一要素適用于復(fù)制、發(fā)行（release）和安裝過程。
    10.要素4.10 檢驗和試驗：ISO 9001要求組織在使用前對材料進行進貨檢驗或驗證并進行過程檢驗，組織還必須在終產(chǎn)品發(fā)運前實施終檢驗和試驗并保存檢驗和試驗記錄。
    CMM第3級闡述了測試和過程檢驗的要求。
    ISO 9000-3對軟件（系統(tǒng)）測試給出了指南。
    11.要素4.11 檢驗、測量和試驗設(shè)備的控制ISO 9001要求組織控制、校準(zhǔn)和保持所有用于符合性證實的設(shè)備。當(dāng)使用測試硬件或軟件時必須在使用前進行檢查并在規(guī)定的時間間隔內(nèi)復(fù)檢。
    CMM在軟件產(chǎn)品工程（Software Product Engingeering）的測試活動章節(jié)對此進行了一般性的闡述。關(guān)于測試軟件，在CMM實施能力（Ability to Perform）通用特點章節(jié)中專門闡述了用于支持軟件測試的工具。
    12.要素4.12 檢驗和試驗狀態(tài)ISO 9001要求組織保證產(chǎn)品在不同過程步驟中移動時須保持檢驗和試驗狀態(tài)的標(biāo)識。
    CMM第2級在問題報告和配置狀態(tài)、第3級在測試活動中闡述了這個條款的要求。
    13.要素4.13 不合格品的控制ISO 9001要求組織控制不合格（不滿足規(guī)定要求的）產(chǎn)品以預(yù)防非預(yù)期的使用或安裝。ISO900－3在設(shè)計控制、檢驗和試驗（測試和確認）、過程控制（復(fù)制、交付和安裝）和產(chǎn)品的標(biāo)識和可追溯性（配置管理）等條款中對這個要求作了進一步的闡述。
    CMM并沒有專門對不合格產(chǎn)品進行闡述。CMM第2級要求保持那些包含已知缺陷但目前尚未修正的配置項的狀態(tài)，第3級的設(shè)計、實施、測試和確認中均對此作了闡述。
    14.要素4.14 糾正和預(yù)防措施ISO 9001要求組織確定不合格產(chǎn)生的原因。糾正措施要求消除不合格產(chǎn)生的實際原因，預(yù)防措施要求消除產(chǎn)生潛在不合格的原因。
    CMM第2級的問題報告，及其后對基線工作產(chǎn)品（baselined work product）的受控維護進行跟蹤、關(guān)鍵過程區(qū)域（KPA）的軟件質(zhì)量保證部分與此內(nèi)容相對應(yīng)。
    CMM第5級關(guān)鍵過程區(qū)域（KPA）的很多部分也包含了這一內(nèi)容，例如，防錯（Defect Prevention）。
    15.要素4.15 搬運、貯存、包裝、防護和交付ISO 9001要求建立并保持搬運、貯存、包裝、防護和交付的形成文件的程序。ISO9000－3展開為對軟件產(chǎn)品的復(fù)制、備份、交付和安裝的控制。 CMM并沒有覆蓋復(fù)制、交付和安裝的要求。它在第2級中闡述了軟件產(chǎn)品的生成和發(fā)行，在第3級中規(guī)定了接收測試的要求。但是CMM沒有闡述關(guān)于產(chǎn)品交付和安裝的要求。
    16.要素4.16 質(zhì)量記錄的控制ISO 9001要求組織收集和保存質(zhì)量記錄。
    CMM在實施活動（Activities Performed）通用特點章節(jié)中所規(guī)定的所有關(guān)鍵過程區(qū)域（KPA）都涉及質(zhì)量記錄的保存要求。第2級的問題報告、第3級的測試和同行評審活動都對應(yīng)這一條款的要求。
    17.要素4.17 內(nèi)部質(zhì)量審核ISO 9001要求組織策劃和實施內(nèi)部質(zhì)量審核。審核的結(jié)果提交管理評審，并應(yīng)針對不符合采取糾正措施。
    CMM第2級闡述了審核過程。在驗證實施（Verifying Implementation）通用特點中明確提出：審核活動是為了確保符合特定標(biāo)準(zhǔn)和程序的要求。
    18.要素4.18 培訓(xùn)ISO 9001要求組織確定培訓(xùn)需求，并提供相應(yīng)的培訓(xùn)且保留培訓(xùn)記錄。
    CMM的實施能力（Ability to Perform）通用特點中明確了特殊培訓(xùn)需求。它闡述了通用培訓(xùn)基礎(chǔ)結(jié)構(gòu)，包括保存培訓(xùn)記錄的要求。
    19.要素4.19 服務(wù)ISO 9001要求：當(dāng)服務(wù)是規(guī)定要求時，組織應(yīng)實施、驗證和報告服務(wù)活動。ISO9000-3則把對維護的控制要求歸于本要素。
    CMM并沒有單獨論述軟件維護，而是把維護貫穿于整個CMM過程中。
    20.要素：4.20：統(tǒng)計技術(shù)ISO 9001要求組織明確合適的統(tǒng)計技術(shù)，并用它們來驗證過程能力和產(chǎn)品特性的可接受性。CMM把產(chǎn)品特性納入“活動執(zhí)行”（Activities Performed）通用特點章節(jié)，作為“測量和分析”通用特點的組成部分。
    CMM第2級要求建立項目級的數(shù)據(jù)庫，第3級要求建立全組織范圍內(nèi)的過程和產(chǎn)品數(shù)據(jù)庫，第4級要求組織進行統(tǒng)計過程控制，如使用排列圖分析