CMMI ML3+ISO27001案例介绍

关键字:CMMI ITSM 软件研发 ISO27001 信息安全 技术咨询

作者：亚远景科技有限公司 转载请注明出处

 一，     项目背景

上海某对日软件外包公司，人员规模在300左右，有5个开发部，专业从事日本金融产品的软件项目开发，生命周期覆盖客户需求到产品测试与交付，技术平台以J***A为主，业务包括项目开发，人员外借。

该公司严谨认真的做事风格和高质量的产品交付，赢得了日本客户源源不断的订单。同时日本客户也非常重视该公司的信息安全管理，每个季度日本都要来人做一次外部信息安全检查。

基于自身研发竞争能力的考虑和客户信息安全管理的要求，公司管理层决定正式引入CMMI和ISO27001二个管理体系，系统全面提升并满足发展与客户的需要。

该公司的质量管理部担当了管理体系建制及咨询公司筛选的任务，通过对北京，上海，广州三地的咨询公司接触与评选，在CMMI咨询师能力，CMMI与27001体系融合的解决方案，以及咨询管理成熟度方面，最后选择了亚远景科技作为该咨询项目的合作伙伴。

二，     问题与目标

该公司部分引用了日本客户IT部门项目管理的CMMI体系，包括部分流程和模板表单，但质量管理体系的覆盖度及改进机制上显得不够系统和切合实际。另一方面，虽然公司建立了信息安全管理委员会，来对应日本客户定期信息安全外审，也同样存在安全体系不完整和制度化的问题。  

该咨询项目启动前后，管理层与亚远景咨询小组交流多次，充分认识到管理运维系统二个方面的问题，系统专业性和融合完整性。

亚远景咨询团队在这一管理层的商业目标下，给出了具体的改进建议和方案：以外包软件项目开发管理为主线，识别信息资产的安全管理范围，构建软件研发与信息安全一体化的质量管理体系。

三，     解决方案

要构造一体化的包括产品满意度和信息可信度的质量管理体系，咨询团队是及其重要的，亚远景不仅选派了CMMI高级顾问+信息安全管理师，还包括QA和配置管理员来协助监督咨询工作，其中信息安全管理师是有国际ITSM证照的亚远景公司的梁副总担任。

亚远景咨询团队在设计CMMI/ISO27001一体化的质量管理系统时借鉴引入了PAS99：2006整合管理体系实施策略，将CMMI研发改进模型与ISO/IEC27001信息安全管理系统，有效的融合为LZPMS:2007过程质量体系。

四，     项目效果

1. 安全重于一切，业务订单稳固

　　如果你到了这家公司，会奇观的看到办公室没有门牌标识，各种无线，USB等无法接入。就连我们顾问人员服务的方案草稿纸也需要copy一份，审核后才能带出公司。有一次我们一个顾问有意没有带VIP牌在开发场地内通过，马上会有公司的员工上来询问是“哪里来的，认识谁”。

通过ISO/IEC27001的系统建设，日本客户对这家客户予以了充分的肯定，并将1季度的外部审核调整为每半年一次，同时将公司的安全可信度调高了一级。

2. 产品质量进一步提升，订单量持续增加

日本客户金融软件产品发包到中国，不仅仅是看重分包降低了价格成本，其产品质量和性能稳定也是非常重要的分包条件。

通过导入CMMI和信息安全的咨询，研发体系的技术评审和财富库知识支援能力明显增强，这使得产品交付的质量得到进一步的保障和提高，同时因知识库借鉴的便利提高了生产线效率，从而保障了交付进度，提高了客户满意度。

这家管理层事后公司我们，因为产品质量的提高，日本客户将其他供应商的项目转移到他们那里开发，明年的订单已高于今年的预期。

3. 以人为本，兼以管理，流程为我所用

质量管理不是仅仅是流程管理。亚远景通过的咨询服务，重点放在人和团队身上，表现在提高团队的工作技能，而流程是为团队服务的，所以亚远景在体系建制时，首先工作的重点是培训相关知识和工作技能，再根据工作团队设计流程体系，并加以成本管理，绩效考评，风险管理和知识库等手段，使定制的流程在这些管理下制度化。

管理层在咨询完成后新囍地看到，人员的工作方法变得有效实用了，效率和质量提高了。难怪公司管理层这么欣慰和认同。

4. 二个标准一套体系降低了维运成本

通常二套体系在一个公司运维，需要执行和维运二套文件和记录，LZPMS：2007过程质量体系包含了软件项目管理和信息安全管理所有要素，这些管理规定都通过该公司日常的项目开发，形成了生命周期各个阶段的实施记录。比如开发过程的资料管理，在亚远景体系设计时就将CMMI的PP和ISO/IEC27001的信息资产有机的结合起来，不但保证了资料纳入配置管理，还保障了信息资产的有效性，这为CMMI和ISO27001评估认证提供了丰富详实的执行证据。

五，     服务单位

Worthy Technologies Inc.亚（州）远景科技早在2000年由欧洲软件研究院投资组建，后续演化为广州，上海，哈尔滨三家本地法人的专业咨询公司，主要业务为CMM/CMMI(-DEV/-ACQ)，中国信息工程监理（资格），ISO27001/20000咨询认证以及过程管理软件CPMS/IPMS的研发。

亚远景在中国IT咨询业有良好的成绩和口碑，多次被政府和民间专业机构评选为行业贡献人物和咨询能力第一。公司秉承“用心服务专业技术合作发展”的企业文化。