SPCA软件过程及能力成熟度评估

SPCA

1 SPCA

“ ”( SPCA) - SEI CMMI

SPCA SJ/T 11234 SJ/T 11235 CMM CMMI ISO/IEC TR15504 ISO9000 TL 9000 CMM CMMI 2001 5 1

SPCA 2002 8 SJ/T11234 SJ/T11235

(CNCA) CNCA (CNAB) (CNAT) “ ” SPCA

2 SPCA

2000 6 “18 ” ISO 9000 CMM SPCA SPCA SJ/T 11234 SJ/T 11235

SPCA SJ/T11234 SJ/T11235

3SPCA

SJ/T11234 SJ/T11235 7

SJ/T11234 SJ/T11235

SJ/T11234 SJ/T11235 ;

SJ/T11234 SJ/T11235

4SPCA CMM/CMMI

SPCA SJ/T11234 SJ/T11235 CMMI-SE/SW1.02 (SJ/T11235)

(SJ/T11234)

SJ/T 11234 CMMI 22 4 0 5 6 “ ” “ ”

SJ/T 111235 CMMI 1 5 5 SJ/T 11234 SJ/T 111235 22 1 ——

SPCA CMM/CMMI SPCA

(1) CMM/CMMI SPCA ?

SPCA

(2) CMM/CMMI SPCA ?

CMM CMMI; SPCA CMM/CMMI SPCA

(3) SPCA CMM/CMMI ?

SPCA SPCA

a ;

b ;

c ;

d

(4) CMM/CMMI SPCA ?

CMM/CMMI SPCA CMMI-SW/SE SPCA SJ/T11234 SJ/T11235

(5) SPCA ?

SPCA SPCA (CNCA) (CNAB) SPCA (CNCA) SPCA

(6) SPCA ( CMM ) ?

SPCA

“ ”

CMM/CMMI SEI SPCA SPCA

12 / / / CMM SPCA ISO 9000 TL 9000 ISO/IEC 17799 “ ”

SPCA SPCA / / /

软件安全风险评估

1概述 1.1安全评估目的 随着信息化的发展，政府部门、金融机构、企事业单位等对信息系统依赖程度的日益增强，信息安全问题受到普遍关注。对信息系统软件进行安全测评，综合分析系统测试过程中有关现场核查、技术测试以及安全管理体系评估的结果，对其软件系统安全要求符合性和安全保障能力作出综合评价，提出相关改进建议，并在系统整改后进行复测确认。以确保信息系统的安全保护措施符合相应安全等级的基本安全要求。 根据最新的统计结果，超过70%的安全漏洞出现在应用层而不是网络层。而且不只发生在操作系统或者web浏览器，而发生在各种应用程序中-特别是关键的业务系统中。因此，有必要针对xxx系统应用软件进行安全风险评估，根据评估结果，预先采取防范措施，预防或缓解各种可能出现的信息数据安全风险。 安全评估要求 XXXXXXXX 软件安全评估具体需求 安全评估指导原则 软件安全风险评估作为一项目标明确的项目，应分为以下五个阶段，每个阶段有不同的任务需要完成。 1、启动和范围确定：在安全相关软件的合同或任务书中应提出软件安全性分析的范围和要求。实施方明确责任，管理者检查必备的资源（包括人员、技术、基础设施和时间安排），确保软件安全性分析的开展； 2、策划：软件安全性分析管理者应制定安全性分析计划，该计划可作为所属软件过程或活动的计划的一部分。 3、执行和控制：管理者应监控由软件安全性分析计划规定的任务的执行。管理者应控制安全性分析进展并对发现的问题进行调查、分析和解决（解决方案有可能导致计划变更）。 4、评审和评价：管理者应对安全性分析及其输出的软件产品进行评价，以便使软件安全性分析达到目标，完成计划。 5、结束：管理者应根据合同或任务书中的准则，确定各项软件安全性分析任务是否完成，并核查软件安全性分析中产生的产品和记录是否完整。 安全评估主要任务 根据安全评估指导原则，为尽量发现系统的安全漏洞，提高系统的安全标准，在具体的软件安全评估过程中，应该包含但不限于以下七项任务： 软件需求安全性分析 需要对分配给软件的系统级安全性需求进行分析，规定软件的安全性需求，保证规定必要的软件安全功能和软件安全完整性。

软件能力成熟度模型(CMM)

CMM是Capability Maturity Model for Software的简称，中文叫“软件能力成熟度模型”，是对组织软件过程能力的描述。CMM的核心是把软件开发视为一个过程，并根据这一原则对软件开发和维护进行过程监控和研究，以使其更加科学化、标准化，使企业能够更好的实现商业目标。它侧重于软件过程开发的管理及软件工程能力的改进与评估，因此 CMM被用作评价软件承包商能力并帮助组织改善软件过程质量，是目前国际上最流行、最实用的一种软件生产过程标准，成为当今企业从事规模软件生产不可缺少的一项内容。 CMM是由美国卡内基-梅隆大学软件工程研究所(CMU SEI)研究制定，并在全世界推广实施的一种软件评估标准，主要用于软件开发过程和软件开发能力的评估和改进。CMM把软件开发过程的成熟度由低到高分为五级，等级越高，表明该企业软件开发失败风险越低，整体开发时间越短，并能减少开发成本，降低错误发生率，提高产品质量。 按照《使用软件工程》的标准，CMM将软件分为5个等级：(如图一所示) 图一 1.初始级(initial) 工作无序，项目进行过程中常放弃当初的规划 管理无章，缺乏健全的管理制度 开发项目的成效不稳定，产品的性能和质量依赖于个人能力和行为。 2.可重复级(Repeatable) 管理制度化，建立了基本的管理制度和规程，管理工作有章可循 初步实现标准化，开发工作较好的实施标准

稳定课跟踪，新项目的计划和管理基于过去的实践经验，具有重复以前成功项目的环境和条件 3.已定义级(Defined) 开发的过程，包括技术工作和管理工作，均已实现标准化，文档化。 建立了完善的培训制度和专家评审制度 全部技术活动和管理活动均可稳定实施 项目的质量，进度和费用均可控制。 对项目进行中的过程，岗位和指责均有共同的理解。 4.已管理级(Managed) 产品和过程已建立了定量的质量目标。 过程中活动的生产率和质量是可度量的。 已建立过程数据库。 已实现项目产品和过程的控制 可预测过程和产品质量趋势。 5.优化级(Optimizing) 可集中精力改进过程，采用新技术，新方法。 拥有防止出现缺陷，识别薄弱环节以及加以改进的手段 可取得过程有效性的统计数据，并可据此进行分析，从而得到更佳方法。 目前业界的通行标准：每千行源代码所包含的BUG数，CMM1级为11.95个，CMM2为5.52个，CMM3为2.39个，CMM4为 0.92个,而CMM5则只有0.32个。在可靠性提高的同时，CMM5软件开发周期是CMM1的36%,而生产成本是CMM1的19%,平均每个软件开发人员的生产率会提高四倍。

SPCA软件过程及能力成熟度评估

SPCA 1 SPCA “ ”( SPCA) - SEI CMMI SPCA SJ/T 11234 SJ/T 11235 CMM CMMI ISO/IEC TR15504 ISO9000 TL 9000 CMM CMMI 2001 5 1 SPCA 2002 8 SJ/T11234 SJ/T11235 (CNCA) CNCA (CNAB) (CNAT) “ ” SPCA 2 SPCA 2000 6 “18 ” ISO 9000 CMM SPCA SPCA SJ/T 11234 SJ/T 11235 SPCA SJ/T11234 SJ/T11235 3SPCA

SJ/T11234 SJ/T11235 7 SJ/T11234 SJ/T11235 SJ/T11234 SJ/T11235 ; SJ/T11234 SJ/T11235 4SPCA CMM/CMMI SPCA SJ/T11234 SJ/T11235 CMMI-SE/SW1.02 (SJ/T11235) (SJ/T11234) SJ/T 11234 CMMI 22 4 0 5 6 “ ” “ ” SJ/T 111235 CMMI 1 5 5 SJ/T 11234 SJ/T 111235 22 1 —— SPCA CMM/CMMI SPCA

(1) CMM/CMMI SPCA ? SPCA (2) CMM/CMMI SPCA ? CMM CMMI; SPCA CMM/CMMI SPCA (3) SPCA CMM/CMMI ? SPCA SPCA a ; b ; c ; d (4) CMM/CMMI SPCA ? CMM/CMMI SPCA CMMI-SW/SE SPCA SJ/T11234 SJ/T11235 (5) SPCA ? SPCA SPCA (CNCA) (CNAB) SPCA (CNCA) SPCA (6) SPCA ( CMM ) ? SPCA

软件能力成熟度模型

第一讲：软件能力成熟度模型 沈阳东软软件股份有限公司软件工程过程组 编者按：CMM（Capability Maturity Model，能力成熟度模型）是由美国卡内基-梅隆大学软件工程研究所推出的评估软件能力与成熟度的一套标准。该标准基于众多软件专家的实践经验，侧重于软件开发过程的管理及工程能力的提高与评估，是国际上流行的软件生产过程标准和软件企业成熟度等级认证标准。 目前，CMM认证已经成为世界公认的软件产品进入国际市场的通行证。国务院发布的鼓励软件产业发展的18号文件中也特别指出了对企业进行CMM认证的支持。今年3月，联想通过了CMM 2认证，6月，东软股份通过了CMM 3级评估，这些标志着CMM认证在我国已经取得初步进展。 为推动我国软件产业的发展，促进软件企业向正规化和国际化迈进，进一步引入和推广CMM认证，本报与沈阳东软软件股份有限公司合作，共同开办“CMM认证”系列讲座。从本期开始，本报将大约分7期在“技术讲座”栏目中针对我国软件企业的特点，结合CMM认证在东软股份的应用实战，阐述CMM认证的实施方法和策略。 早在20世纪60年代中期，人们就发现软件的生产出现了“问题”，主要表现在生产过程不规范，缺乏管理。后来，人们在软件工程方法学中引入了工程的概念、原理、技术和方法，这种思想在一定程度上

解决了软件生产过程中遇到的问题。但是直至80年代还是没有提出一套管理软件开发的通用原则，软件管理不善的问题依旧在大范围内存在。 为了保证软件产品的质量，80年代中期，美国联邦政府提出对软件承包商的软件开发能力进行评估的要求。在Mitre公司的帮助下，1987年9月，美国卡内基-梅隆大学软件工程研究所(CMU/SEI)发布了软件过程成熟度框架，并提供了软件过程评估和软件能力评价两种评估方法和软件成熟度提问单。4年之后，SEI将软件过程成熟度框架进化为软件能力成熟度模型（Capability Maturity Model For Software，简称SW-CMM）。1991年8月，SEI发布了最早的SW-CMM v1.0。经过两年的试用，1993年SEI正式发布了SW-CMM v1.1，这是目前使用最为广泛的版本。软件能力成熟度模型基于众多软件专家的实践经验，是组织进行软件过程改善和软件过程评估的一个有效的指导框架。 CMM的管理思想背景 SW-CMM不仅是一个模型，一个工具，它更代表了一种管理哲学在软件工业中的应用。SW-CMM的管理思想来源于已有60多年历史的产品质量管理。1930年，Walter Sheward 率先提出了一整套基于统计学原理的质量控制方法，这些方法后来经过W. Ewards Deming 和Joseph Juran的发展和实践得到了广泛的应用。Philip Crosby在《质量是免费的》一书中率先提出将质量管理形成成熟度框架的概念，“质量管理成熟度坐标图表” 描述了进行质管实践的5个阶段，表达了质

软件过程能力及成熟度评估管理办法.doc

软件过程能力及成熟度评估管理办法1软件过程能力及成熟度评估管理办法 第一条为加强对软件过程能力及成熟度评估活动的管理，促进我国软件产业健康发展，根据《中华人民共和国认证认可条例》（以下简称条例）和国家有关产业政策，制定本办法。 第二条本办法所称的软件过程能力及成熟度评估，是指由评估机构证明软件过程能力及成熟度符合相关技术规范和标准的认证活动。 本办法所称的评估机构是指经依法设立的从事软件过程能力及成熟度评估活动的认证机构。 第三条在中华人民共和国境内从事软件过程能力及成熟度评估活动，应当遵守本办法。 第四条国家对软件过程能力及成熟度实行统一评估制度。 第五条国家认证认可监督管理委员会（以下简称国家认监委）负责软件过程能力及成熟度评估活动的统一管理、监督和综合协调工作。 国务院信息产业行政管理部门（以下简称信息产业部）负责软件过程能力及成熟度评估的有关产业政策及行业管理。 国家认监委会同信息产业部制定和发布软件过程能力及成熟度评估基本规

范和相关技术规则，并共同对软件过程能力及成熟度评估制度的实施情况进行监督、指导。 第六条从事软件过程能力及成熟度评估活动的评估机构应当经国家认监委批准，并依法取得法人资格后，方可从事批准范围内的评估活动。 第七条设立评估机构应当符合下列条件： （一）有固定的场所和必要的设施； （二）有符合软件过程能力及成熟度评估和认可要求的管理制度； （三）注册资本不得少于300万元人民币； （四）有10名以上具有软件过程能力及成熟度评估师资格的专职认证人员（其中至少一名为主任评估师资格）。 第八条评估机构的申请和批准程序： （一）设立评估机构的申请人（以下简称申请人）应当向国家认监委提出书面申请，并按照本办法第七条的规定提交相关证明文件； （二）国家认监委受理申请后，应当将申请人的相关材料通报信息产业部，并征求信息产业部意见； （三）国家认监委应当自受理申请之日起90日内，根据本办法第七条的规定和信息产业部意见，作出是否批准的决定。决定批准的，向申请人出具批准文件，决定不予批准的，应当书面告知申请人，并说明理由； （四）申请人凭国家认监委的批准文件，依法办理登记手续； 国家认监委应当公布依法设立的评估机构的名录，并书面通报信息产业部。

2017年4月 软件能力成熟度模型(CMM) 试卷

2017年4月高等教育自学考试福建省统一命题考试 软件能力成熟度模型(CMM) 试卷 (课程代码07021) 本试卷满分100分，考试时间l50分钟。 考生答题注意事项： 1．本卷所有试题必须在答题卡上作答。答在试卷上无效，试卷空白处和背面均可作草稿纸。 2．第一部分为选择题。必须对应试卷上的题号使用2B铅笔将“答题卡”的相应代码涂黑。 3．第二部分为非选择题。必须注明大、小题号，使用0．5毫米黑色字迹签字笔作答。 4．合理安排答题空间，超出答题区域无效。 第一部分选择题 一、单项选择题(本大题共l0小题，每小题2分，共20分) 在每小题列出的四个备选项中只有一个是符合题目要求的，请将其选出并将“答题卡”的相应代码涂黑。未涂、错涂或多涂均无分。 1．处于CMM第3级的软件机构的过程能力可以概括为 A．有纪律的过程 B．标准化的过程 C．可预测的过程 D．持续改进的过程 2．根据计划的类型，属于正规计划的是 A．风险管理计划 B．技术管理计划 C．同行评审计划 D．质量保证计划3．定量过程管理的中心是 A．产品 B．市场 C．技术 D．过程 4．属于可重复级的关键过程域是 A．定量过程管理 B．软件综合管理 C．软件配置管理 D．技术更新管理5．下列选项中，属于项目管理监督实践的关键过程域是 A．关键设计评审 B．培训大纲 C．机构过程定义 D．同行评审 6．SEI所制定的软件改进方法称为IDEAL方法，这里的D是指 A．推进 B．建立 C．行动 D．诊断 7．SSOS项目的软件缺陷预防过程，第3阶段为 A．改正遗漏缺陷的缺陷检测活动 B．检查产品中别处的类似缺陷 C．确定缺陷的技术原因并改正 D．确定并改正缺陷的过程原因 8．CMM关注过程问题，而不是人员问题，CMM直接涉及人的因素仅仅体现在 A．技术 B．市场 C．培训 D．产品 9．CMM的共同特性中，与项目执行唯一相关的属性是 A．测量分析 B．执行活动 C．执行能力 D．验证实现 10．CMM估价方法的最后一步是 A．制作KPA剖面图 B．填写成熟度问卷 C．现场访问会谈 D．进行响应分析

07021_2012_7 _软件能力成熟度模型(CMM)

2012年7月高等教育自学考试福建省统一命题考试 软件能力成熟度模型(CMM) 试题 课程代码：07021 本试卷满分100分，考试时间150分钟。 考生答题注意事项： 1.本卷所有试卷必须在答题卡上作答。答在试卷上无效，试卷空白处和背面均可作草稿纸。 2.第一部分为选择题。必须对应试卷上的题号使用2B铅笔将“答题卡”的相应代码涂黑。 3.第二部分为非选择题。必须注明大、小题号，使用0.5毫米黑色字迹签字笔作答。 4.合理安排答题空间，超出答题区域无效。 第一部分选择题 一、单项选择题(本大题共l0小题，每小题2分，共20分) 在每小题列出的四个备选项中只有一个是符合题目要求的，请将其选出并将“答题卡” 的相应代码涂黑。未涂、错涂或多涂均无分。 1．软件内部过程改进大纲中关键性的一步是 A．软件能力评价B．软件过程评估 C．软件质量管理D．技术更新管理 2．软件过程生成计划中产品的内在能力是 A．软件过程效能B．软件过程能力 C．软件过程管理D．软件过程成熟度 3．下列属于已管理级的关键过程域是 A．定量过程管理B．机构过程定义 C．预防缺陷D．同行评审 4．软件质量管理的中心是 A．技术 B．市场 C．产品 D．过程 5．包含正规计划的关键过程域是 A．缺陷预防B．技术更新管理 C．组间协调D．过程更改管理 6．CMM关注过程问题，而不是人员问题，CMM直接涉及人的因素仅仅体现在 A．技术 B．市场 C．培训 D．产品 7．CMM的共同特性中，与项目执行唯一相关的属性是 A．执行约定 B．执行活动 C．执行能力 D．验证实现 8．SSOS项目的软件缺陷预防过程，第1阶段为 A．确定缺陷的技术原因并改正B．确定并改正缺陷的过程原因 C．改正遗漏缺陷的缺陷检测活动D．检查产品中别处的类似缺陷、 9．CMM估价方法的第l步是 A．填写成熟度问卷B．进行响应分析 C．现场访问会谈D．选择估值小组 10．软件过程的量化反馈出现在 A．第2级B．第3级C．第4级D．第5级

软件过程能力及成熟度评估结果

软件过程能力及成熟度评估结果 企业名称主要业务地址评估次数备注创智信息系统股份有限公司电信、社保、OA系统湖南省长沙市高新技术产业开发区 火炬城M-4栋创智信箱1重庆博恩科技有限公司电子政务、税务、高速 公路收费系统重庆市九龙坡区科园一路5号创新大厦4011福建富士通通信软件有限公 司通信系统福建省福州市斗门水头路22号2广州南天电脑系统有限公司金融、银行系统广州市中山大道天河软件园建工路 1号南天大厦5层2上海中和软件有限公司证卷系统上海市国权路525号2天津远洋运输公司通导信息 中心远洋数据处理系统等天津市河北区海河东路远洋广场1号2中讯计算机系统（北京）有限 公司 北京东方通科技发展有限责 任公司 北京许继电气有限公司金融证卷业务系统、电 子商务交易系统、软件 外包、技术服务支持等 中间件平台软件开发、 销售、服务 电力系统软件开发、销 售、服务

管理咨询、企业管理软 件、系统集成、网络工 程等北京市海淀区西直门外大街168号腾达大厦9层100044 北京市海淀区知春路61号9层北京市海淀区上地信息中路3号北京市东城区安外胜古中路1号蓝宝商务楼 北京市海淀区颐和园路1号北京资源宾馆1307室 北京市海淀区中关村南大街12号信息楼3层111北京市时林电脑公司 佳能信息技术（北京）有限公 司 北京太极华能信息系统有限 公司1软件开发、系统集成 电信计算机应用系统开 发、电力计算机应用系 统开发11苏州新区欧索软件有限公司 杭州东信北邮信息技术有限 公司 中软网络技术股份有限公司 西安交大博通资讯股份有限 公司 神州数码软件有限公司 山东中创软件工程股份有限

软件能力成熟度模型：CMM五个级别介绍(精)

软件能力成熟度模型:CMM 五个级别介绍 CMM 为企业的软件过程能力提供了一个阶梯式的进化框架, 阶梯共有五级。第一级只是一个起点,任何准备按 CMM 体系进化的企业都自然处于这个起点上,并通过它向第二级迈进。除第一级外,每一级都设定了一组目标, 如果达到了这组目标,则表明达到了这个成熟级别,可以向下一级别迈进。 从纯粹的个人行为发展到有计划有步骤的组织行为… 第一级:初始级 (Initial; 第二级:可重复级 (Repeatable; 第三级:已定义级 (Defined; 第四级:受管理级 (Managed; 第五级:优化级 (Optimizing。 初始级 初始级的软件过程是未加定义的随意过程, 项目的执行是随意甚至是混乱的。也许有些企业制定了一些软件工程规范, 但若这些规范未能覆盖基本的关键过程要求, 且执行没有政策、资源等方面的保证时,那么它仍然被视为初始级。 关注点: 工作方式处于救火状态,不断的应对突如其来的危机; 工作组:软件开发组、工程组; 提高: 需要建立项目过程管理,建立各种计划,开展 QA 活动。

可重复级 根据多年的经验和教训,人们总结出软件开发的首要问题不是技术问题而是管理问题。因此, 第二级的焦点集中在软件管理过程上。一个可管理的过程则是一个可重复的过程, 可重复的过程才能逐渐改进和成熟。可重复级的管理过程包括了需求管理、项目管理、质量管理、配置管理和子合同管理五个方面; 其中项目管理过程又分为计划过程和跟踪与监控过程。 通过实施这些过程,从管理角度可以看到一个按计划执行的且阶段可控的软件开发过程。 关注点: 规则化 引入需求管理、项目管理、质量管理、配置管理、子合同管理等; 引入工作组:测试组、评估组、质量保证组、配置管理组、合同组、文档支持组、培训组; 提高: SEPG 、建立软件过程库和文档库 已定义级 在可重复级定义了管理的基本过程, 而没有定义执行的步骤标准。在第三级则要求制定企业范围的工程化标准, 并将这些标准集成到企业软件开发标准过程中去。所有开发的项目需根据这个标准过程, 裁剪出与项目适宜的过程, 并且按照过程执行。过程的裁剪不是随意的,在使用前必须经过企业有关人员的批准。 关注点: 文档化,标准的一致的;

软件过程及能力成熟度评估

软件过程及能力成熟度评估 1软件过程及能力成熟度评估 “软件过程及能力成熟度评估”（简称SPCA）是软件过程能力评估和软件能力成熟度评估的统称，是信息产业部会同国家认证认可监督委员会在研究了国际软件评估体制，尤其是美国卡内基-梅隆大学SEI所建立的能力成熟度模型能力成熟度模型CMMI，并考虑国内软件产业实际情况所建立的软件评估体系。 SPCA依据的评估标准是SJ/T11234和SJ/T11235，这两个标准是在深入研究了CMM、CMMI、ISO/IECTR15504、ISO9000、TL 9000以及其他有关的资料和文件以及国外企业实施CMM的实际情况后，结合国内企业的实际情况，以CMMI 作为主要参考文件最终形成的，这两个行业标准由信息产业部于2001年5月1日发布实施。 SPCA评估遵循《软件过程及能力成熟度评估指南》，该指南是国家认监委和信息产业部2002年8月共同发布的利用SJ/T11234或SJ/T11235实施评估的操作指南。评估过程由经过培训的专业队伍以评估参考模型作为确定过程的强项和弱项的基础而对一个或多个过程进行检查。从不同用途考虑，评估分为内部过程改进评估和顾客选择评价两种。 目前，国家认证认可监督管理委员会（CNCA）和信息产业部已经联合发布《软件过程及能力成熟度评估监督管理办法》，CNCA授权的中国认证机构国家认可委员会(CNAB)和中国国家认证人员培训认可委员会（CNAT），已制定和试点实施“软件过程及能力成熟度评估”认可规则，并成立SPCA工作组，以推动中国软件过程及能力成熟度评估的实施。 2实施SPCA的作用和意义 软件过程及能力成熟度评估可以规范软件开发过程及其管理、规范市场竞争、帮助企业进行内部软件过程改进、降低软件开发风险、增加软件企业的市场竞争力。 我国政府一直重视软件产业的规范和发展，强调提高我国软件开发和软件产品质量的重要性。国务院于2000年6月颁发的“18号文件”《鼓励软件产业和

软件过程及能力成熟度评估

软件过程及能力成熟度评估 1 软件过程及能力成熟度评估 软件过程及能力成熟度评估”（简称SPCA是软件过程能力评估和软件能力成熟度评估的统称，是信息产业部会同国家认证认可监督委员会在研究了国际软件评估体制，尤其是美国卡内基-梅隆大学SEI所建立的能力成熟度模型能力成熟度模型CMMI,并考虑国内软件产业实际情况所建立的软件评估体系。 SPCA依据的评估标准是SJ/T11234和SJ/T11235这两个标准是在深入研究了CMM、CMMI、ISO/IECTR15504 ISO9OO0 TL 9000以及其他有关的资料和文件以及国外企业实施CMM的实际情况后，结合国内企业的实际情况，以CMMI 作为主要参考文件最终形成的，这两个行业标准由信息产业部于2001 年5月1 日发布实施。 SPCA评估遵循《软件过程及能力成熟度评估指南》，该指南是国家认监委和信息产业部2002年8月共同发布的利用SJ/T11234或SJ/T11235实施评估的操作指南。评估过程由经过培训的专业队伍以评估参考模型作为确定过程的强项和弱项的基础而对一个或多个过程进行检查。从不同用途考虑，评估分为内部过程改进评估和顾客选择评价两种。 目前，国家认证认可监督管理委员会（CNCA和信息产业部已经联合发布《软件过程及能力成熟度评估监督管理办法》，CNCA授权的中国认证机构国家认可委员会（CNAB和中国国家认证人员培训认可委员会（CNAT，已制定和试点实施软件过程及能力成熟度评估”认可规则，并成立SPCA工作组，以推动中国软件过程及能力成熟度评估的实施。 2实施SPCA勺作用和意义软件过程及能力成熟度评估可以规范软件开发过程及其管理、规范市场竞争、帮助企业进行内部软件过程改进、降低软件开发风险、增加软件企业的市场竞争力。 我国政府一直重视软件产业的规范和发展，强调提高我国软件开发和软件产品质量的重要性。国务院于2000年6月颁发的“18号文件”《鼓励软件产业和 集成电路产业发展的若干政策》第五章第十七条明确提出鼓励软件出口型企业通过

CMMI软件能力成熟度模型集成认证指南

南京福瑞泽信息科技有限公司CMMI软件能力成熟度模型集成认证指南 一、 简介 CMMI全称是Capability Maturity Model Integration, 即软件能力成熟度模型集成（也有称为：软件能力成熟度集成模型），于2002年正式发布，是由美国国防部与卡内基-梅隆大学和美国国防工业协会共同开发和研制的，其目的是帮助软件企业对软件工程过程进行管理和改进，增强开发与改进能力，从而能按时地、不超预算地开发出高质量的软件。 CMMI模型已经成为业界主要的过程管理模型，CMMI模型有两种表示方式，连续表示模型和分级表示模型。其中分级表示模型依次划分为五个等级(初始级、可重复级、已定义级、已管理级、优化级)，标志着软件企业能力成熟度的五个层次。级别越高，表示软件组织的成熟能力也越高，CMMI5是目前世界软件界对能力成熟度要求最高、申请难度最大、级别最高的评估，通过CMMI5级评估标志着本公司的质量管理和过程改进已跻身于全球软件业的顶尖水平。 软件企业申请认证CMMI不同的级别标准要求，要审时度势自身情况。一方面了解公司现有质量体系、实施过程、实施效果的运行情况;另一方面要根据企业规模、公司实力、管理需求等综合要素，不可好大喜功，一味选择CMMI更高级别的认证。在申请的CMMI认证时，有的企业从CMMI2开始、有的企业从CMMI3开始、有的CMMI3通过后跳过CMMI4而直接申请CMMI5、有的就从CMMI2、CMMI3、CMMI4、CMMI5逐步申请认证。 二、 申报条件 符合下列条件的服务外包企业可提出申请： 1、有进出口经营权或对外经济合作经营资格； 2、近两年在进出口业务管理、财务管理、税收管理、外汇管理、海关管理等方面无违法行为； 3、已与一家或多家服务外包发包商签订中长期提供服务外包业务合同，企业提供服务外包业务年收入不低于150万美元（离岸服务外包业务收入占70％以上）； 4、具有服务外包承接能力及服务外包市场开拓和项目管理人员，大学（含大专）毕业及以上学历员工占公司员工总数70%以上。 （一）人力资源 实施中会涉及到EPG过程改进小组、QA、试点项目团队等人力资源： ●专职人员：1-2名 即在CMMI实施推广期内，基本上100%的时间投入。

软件过程

第一章软件过程规范 1.IEC12207软件生命周期过程示意图 2.ISO/IEC15504软件过程评估标准的组成 3.软件过程规范的概念：过程规范就是对输入输出和活动所构成的过程进行明文规定或约定俗成的标准。软件过程规范是软件开发组织行动的准则和指南,可以依据各类过程的特点而建立相应的规范,如软件基本过程规范、软件支持过程规范和软件组织过程规范。在软件过程的管理中，人们会更多地关注软件管理过程规范、开发过程规范、维护过程规范、配置管理过程规范和质量保证过程规范等。而软件开发过程规范，进一步可分为需求分析和开发的过程规范、设计过程规范、测试过程规范和发布过程规范等。 4.软件过程规范的建立 组织过程规范的建立，除了国家制定的软件过程规范外，可以借鉴的过程模型、框架或模式主要有如下几种： （1）软件能力成熟度模型（CMM）。适用于评估和改进软件组织的过程能力，提供了关键过程域、过程活动等指导。 （2）个体软件过程（PSP）。帮助软件开发团队中的个体——软件工程师改善其个人能力和素质的组织过程，内容丰富，具有良好的实践性。 （3）团队软件过程（TSP）。建立在个体软件过程之上，致力于开发高质量的产品，建立、管理和授权项目小组，改善开发团队过程、提高开发团队能力的指导性框架。 （4）能力成熟度模型集成（CMMI）。是在CMM的基础上，试图把现有的各种能力成熟度模型集成到一个框架中去，包含了健全的软件开发原则。 （5）IBM—Rational的统一过程（RUP）。定义了一系列的过程元素，如角色、活动和产物，通过适当的组合能够帮助软件开发组织有效管理软件过程。 （6）极限编程方法。为适应快速的需求变化而积累的最佳实践，但需要适度借鉴。 （7）软件解决方案框架（MSF）。基于一套制定好的原理、模型、准则、概念和指南而形成的一种成熟的、系统的技术项目规划、构建和部署的指导体系。 5.项目实施过程规范可定义如下： （1）参与人员。项目经理、开发组长、测试组长和项目组其他成员。 （2）入口准则。项目计划已批准，项目资源和进度已确定，任务安排完毕，项目计划基线已建立，并通过配置管理组的确认。

软件安全风险评估

1概述 1.1安全评估目得 随着信息化得发展,政府部门、金融机构、企事业单位等对信息系统依赖程度得日益增强,信息安全问题受到普遍关注。对信息系统软件进行安全测评,综合分析系统测试过程中有关现场核查、技术测试以及安全管理体系评估得结果,对其软件系统安全要求符合性与安全保障能力作出综合评价,提出相关改进建议,并在系统整改后进行复测确认。以确保信息系统得安全保护措施符合相应安全等级得基本安全要求。 根据最新得统计结果,超过70%得安全漏洞出现在应用层而不就是网络层。而且不只发生在操作系统或者web浏览器,而发生在各种应用程序中-特别就是关键得业务系统中。因此,有必要针对xxx系统应用软件进行安全风险评估,根据评估结果,预先采取防范措施,预防或缓解各种可能出现得信息数据安全风险。 1.2安全评估要求 XXXXXXXX 2软件安全评估具体需求 2.1安全评估指导原则 软件安全风险评估作为一项目标明确得项目,应分为以下五个阶段,每个阶 段有不同得任务需要完成。 1、启动与范围确定:在安全相关软件得合同或任务书中应提出软件安全性分析得范围与要求。实施方明确责任,管理者检查必备得资源(包括人员、技术、基础设施与时间安排),确保软件安全性分析得开展; 2、策划:软件安全性分析管理者应制定安全性分析计划,该计划可作为所属软件过程或活动得计划得一部分。

3、执行与控制:管理者应监控由软件安全性分析计划规定得任务得执行。管理者应控制安全性分析进展并对发现得问题进行调查、分析与解决(解决方案有可能导致计划变更)。 4、评审与评价:管理者应对安全性分析及其输出得软件产品进行评价,以便使软件安全性分析达到目标,完成计划。 5、结束:管理者应根据合同或任务书中得准则,确定各项软件安全性分析任务就是否完成,并核查软件安全性分析中产生得产品与记录就是否完整。 2.2安全评估主要任务 根据安全评估指导原则,为尽量发现系统得安全漏洞,提高系统得安全标准,在具体得软件安全评估过程中,应该包含但不限于以下七项任务: 2.2.1软件需求安全性分析 需要对分配给软件得系统级安全性需求进行分析,规定软件得安全性需求,保证规定必要得软件安全功能与软件安全完整性。 评测人员需要根据软件安全性分析准备得结果与系统得初步结构设计文档,包括系统分配得软件需求、接口需求,完成对系统安全性需求得映射,以安全相关性分析与对软件需求得安全性评价。通过需求安全性分析,才能够对软件在系统中得安全性需求作出一个综合性得评价,更好地提交对后续得软件设计与测试得建议。 2.2.2软件结构设计安全性分析 需要评价软件结构设计得安全性,以保证软件安全功能得完整性。从安全角度讲,软件结构设计就是制定软件基本安全性策略得阶段,因为这一阶段负责定义主要软件部件,以及它们如何交互,如何获得所要求得属性,特别就是安全完整性,就是软件安全性需求在结构定义中实现得阶段。 对结构设计进行安全性分析需要将全部软件安全性需求综合到软件得体系结构设计中,确定结构中与安全性相关得部分,并评价结构设计得安全性。

2016年10月软件能力成熟度模型(CMM) 试卷

2016年10月高等教育自学考试福建省统一命题考试 软件能力成熟度模型(CMM) 试卷 (课程代码 07021) 本试卷满分100分，考试时间l50分钟。 考生答题注意事项： 1．本卷所有试题必须在答题卡上作答。答在试卷上无效。试卷空白处和背面均可作草稿纸。2．第一部分为选择题。必须对应试卷上的题号使用2B铅笔将“答题卡”的相应代码涂黑。3．第二部分为非选择题。必须注明大、小题号。使用0．5毫米黑色字迹签字笔作答。4．合理安排答题空间，超出答题区域无效。 第一部分选择题 一、单项选择题(本大题共l0小题，每小题2分，共20分) 在每小题列出的四个备选项中只有一个是符合题目要求的，请将其选出并将“答题卡” 的相应代码涂黑。未涂、错涂或多涂均无分。 1．“描述了遵循某软件过程可能达到的预期结果的范围，它为该机构承担下一个软件项目时可能达到的最大预期结果提供了预测手段”，这个涉及软件过程成熟度概念指的是软件过程 A．能力 B．管理 C．效能 D．成熟度 2．处于CMM级别4的软件开发机构的软件过程能力的特点是 A．有纪律的过程 B．标准一致的过程 C．持续改进的过程 D．可预测的过程3．在确定的情况下，管理控制允许项目具有可视性，即允许在传输节点(项目里程碑)上具有管理可视性。它处于 A．初始级 B．可重复级 C．优化级 D．已管理级 4．关键过程域确定了实现一个成熟度级别所必须解决的问题，每一个关键过程域都确定 了一组要实现的 A．目标 B．制度化 C．基础设施 D．过程能力 5．有这样的一个小组：代表一个软件工程科目的一组人员，这里小组支持但不直接负责软件开发和维护工作。这个小组是 A．软件工程组 B．系统工程组 C．软件相关组 D．系统测试组 6．在SSOS项目软件缺陷的预防过程中，第三阶段是 A．确定缺陷的原因并改正它 B．确定并改正缺陷的过程原因 C．检查产品中别处的类似缺陷 D．改正遗漏缺陷的缺陷检测活动 7．指定给软件的系统需求的简称是 A．给定需求 B．系统需求 C．软件需求 D．产品需求 8．依据项目定义的软件过程，实施软件测试，可作为测试策略的实例有 A．集成测试 B．单元测试 C．验收测试 D．结构测试 9．合适时，建立机构、客户和最终用户对软件质量需求的共同理解，可作为测量客户和最终用户软件质量需求的方式实例的是 A．通报 B．调查 C．电子公告栏 D．信息交流会议10．为建立负责机构技术更新管理活动的小组和配备人员提供了充足的资源和资金，下列选项不能作为技术更新管理的支持工具的是

软件工程基础考核题

一、单项选择题（10分） 1.为改正软件系统中潜藏的错误而进行的维护活动称为（A）。 A. 纠错性维护 B. 适应性维护 C. 改善性维护 D. 预防性维护 2. 技术可行性是可行性研究的关键，其主要内容一般不包括（C）。 A.风险分析 B.资源分析 C.人员分析 D.技术分析 3. 判定表由四部分组成：左上部列出（B）。 A.条件组合与动作之间的对应关系 B.所有条件 C.所有可能的动作 D.可能的条件组合 4. 根据用户在软件使用过程中提出的建设性意见而进行的维护活动称为 （C）。 A.纠错性维护 B.适应性维护 C.改善性维护 D.预防性维护 5. 一个模块的（B）是指能直接控制该模块的模块数。 A.扇出数 B.扇入数 C 宽度D.深度 二、判断题（共20分，错误打X、正确打√） 1.一个好的开发人员应具备的素质和能力包括善于分析和综合问题，具有严 密的逻辑思维能力。（√） 2.计算机系统工程是一种从系统层面上的问题求解活动。（√） 3.软件需求是指用户对目标软件系统在功能、性能、行为、设计约束等方面 的期望。（√） 4.数据流图就是用来刻画数据流和转换的信息系统建模技术。（√） 5.软件过程设计不用遵循“自上而下，逐步求精”的原则和单入口单出口的结构 化设计思想。（√） 6.PDL经常表现为一种“混杂”的形式，他不允许自然语言和英语的词汇与某 种结构化程序设计语言（如Pascal、C、Ada等）的语法结构交织在一起。 （X）

7.通过软件测试，可以发现软件中所有潜伏的错误。（X） 8.非结构化维护用于软件的配置中，只有源代码维护。（√） 9.系统规格说明是系统分析和定义阶段生成的一种文档。（√） 10.内聚度标志一个模块内部各成分彼此结合的紧密程度，按其高低程度可分为七级，内聚度越低越好。（√） 三、论述题（30分） 1、人机界面设计过程可分为创建系统功能的外部模型；确定为完成此系统功能，人和计算机应分别完成的任务及另外哪几个步骤？ 答：1创建系统功能的外部模型。2确定为完成此系统功能的人和计算机应分别完成的任务。3考虑界面设计的典型问题。4借助CASE工具构造界面原型。5真正实现设计模型。6评估界面质量 2、软件测试过程一般可划分为哪几个主要阶段？ 答：单元测试，集成测试，验收测试，系统测试 四、综合题（共40分） 1.习题管理系统 该系统的功能需求是：在一个公共习题库的支持下，使各科教师可以在系统中编写习题及其标准答案，并将编写的习题及答案加入题库；或者从题库中选取一组习题，组成一份向学生布置的作业，并在适当时刻公布答案。学生可以在系统中完成教师布置的作业，也可以从题库中选择更多的题目练习。教师可以通过系统检查学生的作业，学生也可以在教师公布答案后对自己的练习进行核对。系统维持对题库的管理，并对教师及学生的权限进行检查：只有本课程的教师可以提交或修改习题，并指定哪些习题的答案可以向学生公开。画出该系统OOA(面向对象分析)模型.

SPCA软件过程及能力成熟度评估(word)

SPCA软件过程及能力成熟度评估 1、什么是SPCA？软件过程及能力成熟度评估 “软件过程及能力成熟度评估”(简称SPCA)是软件过程能力评估和软件能力成熟度评估的统称，是信息产业部会同国家认证认可监督委员会在研究了国际软件评估体制，尤其是美国卡内基-梅隆大学SEI所建立的能力成熟度模型能力成熟度模型CMMI，并考虑国内软件产业实际情况所建立的软件评估体系。 SPCA依据的评估标准是SJ/T 11234和SJ/T 11235，这两个标准是在深入研究了CMM、CMMI、ISO/IEC TR15504、ISO9000、TL 9000以及其他有关的资料和文件以及国外企业实施CMM的实际情况后，结合国内企业的实际情况，以CMMI作为主要参考文件最终形成的，这两个行业标准由信息产业部于2001年5月1日发布实施。 SPCA评估遵循《软件过程及能力成熟度评估指南》，该指南是国家认监委和信息产业部2002年8月共同发布的利用SJ/T11234或SJ/T11235实施评估的操作指南。评估过程由经过培训的专业队伍以评估参考模型作为确定过程的强项和弱项的基础而对一个或多个过程进行检查。从不同用途考虑，评估分为内部过程改进评估和顾客选择评价两种。 目前，国家认证认可监督管理委员会(CNCA)和信息产业部已经联合发布《软件过程及能力成熟度评估监督管理办法》，CNCA授权的中国认证机构国家认可委员会(CNAB)和中国国家认证人员培训认可委员会(CNAT)，已制定和试点实施“软件过程及能力成熟度评估”认可规则，并成立SPCA工作组，以推动中国软件过程及能力成熟度评估的实施。 2 实施SPCA的作用和意义 软件过程及能力成熟度评估可以规范软件开发过程及其管理、规范市场竞争、帮助企业进行内部软件过程改进、降低软件开发风险、增加软件企业的市场竞争力。 我国政府一直重视软件产业的规范和发展，强调提高我国软件开发和软件产品质量的重要性。国务院于2000年6月颁发的“18号文件” 《鼓励软件产业和集成电路产业发展的若干政策》第五章第十七条明确提出鼓励软件出口型企业通过ISO 9000系列质量保证体系认证和CMM认证，其认证费用通过中央外贸发展基金适当予以支持。目前各省市高新区、软件园或信息产业主管部门大都有对通过软件能力成熟度评估的企业给予资金奖励的制度。SPCA评估体系的建立得到了中国政府的直接支持，反映了政府大力支持和推动我国软件业发展的政策导向，随着SPCA 中国国家认可制度的建立和实施，相信对于通过SJ/T 11234和SJ/T 11235评估的企业将得到更多得政策支持。 随着我国经济市场的日益成熟，与信息产业部建立的计算机信息系统集成资质认证体制一样，SPCA评估及其评估结果在市场化运作中将会起到越来越重要的作用。广大用户和企业也越来越接受和认可SJ/T11234和SJ/T11235标准，并将作为企业招投标，选择合作伙伴的一项指标，也是进行第二方评估或评价的依据。这对我国软件企业和产业的提高、发展和壮大也将产生积极的影响。 3 SPCA的实施与评估

软件过程及能力成熟度评估

什么是软件过程及能力成熟度评估 “软件过程及能力成熟度评估”（简称SPCA）是软件过程能力评估和软件能力成熟度评估的统称，是信息产业部会同国家认证认可监督委员会在研究了国际软件评估体制，尤其是美国卡内基-梅隆大学SEI所建立的能力成熟度模型能力成熟度模型CMMI，并考虑国内软件产业实际情况所建立的软件评估体系。 SPCA依据的评估标准是SJ/T 11234和SJ/T 11235，这两个标准是在深入研究了CMM、CMMI、ISO/IEC TR15504、ISO9000、TL 9000以及其他有关的资料和文件以及国外企业实施CMM的实际情况后，结合国内企业的实际情况，以CMMI作为主要参考文件最终形成的，这两个行业标准由信息产业部于2001年5月1日发布实施。 SPCA评估遵循《软件过程及能力成熟度评估指南》，该指南是国家认监委和信息产业部2002年8月共同发布的利用SJ/T11234或SJ/T11235实施评估的操作指南。评估过程由经过培训的专业队伍以评估参考模型作为确定过程的强项和弱项的基础而对一个或多个过程进行检查。从不同用途考虑，评估分为内部过程改进评估和顾客选择评价两种。 目前，国家认证认可监督管理委员会（CNCA）和信息产业部已经联合发布《软件过程及能力成熟度评估监督管理办法》，CNCA授权的中国认证机构国家认可委员会(CNAB)和中国国家认证人员培训认可委员会（CNAT），已制定和试点实施“软件过程及能力成熟度评估”认可规则，并成立SPCA工作组，以推动中国软件过程及能力成熟度评估的实施。 实施软件过程及能力成熟度评估的作用和意义 软件过程及能力成熟度评估可以规范软件开发过程及其管理、规范市场竞争、帮助企业进行内部软件过程改进、降低软件开发风险、增加软件企业的市场竞争力。 我国政府一直重视软件产业的规范和发展，强调提高我国软件开发和软件产品质量的重要性。国务院于2000年6月颁发的“18号文件”《鼓励软件产业和集成电路产业发展的若干政策》第五章第十七条明确提出鼓励软件出口型企业通过ISO 9000系列质量保证体系认证和CMM认证，其认证费用通过中央外贸发展基金适当予以支持。目前各省市高新区、软件园或信息产业主管部门大都有对通过软件能力成熟度评估的企业给予资金奖励的制度。SPCA评估体系的建立得到了中国政府的直接支持，反映了政府大力支持和推动我国软件业发展的政策导向，随着SPCA中国国家认可制度的建立和实施，相信对于通过SJ/T 11234和SJ/T 11235评估的企业将得到更多得政策支持。 随着我国经济市场的日益成熟，与信息产业部建立的计算机信息系统集成资质认证体制一样，SPCA评估及其评估结果在市场化运作中将会起到越来越重要的作用。广大用户和企业也越来越接受和认可SJ/T11234和SJ/T11235标准，并将作为企业招投标，选择合作伙伴的一项指标，也是进行第二方评估或评价的依据。这对我国软件企业和产业的提高、发展和壮大也将产生积极的影响。