CNAS—CC51软件过程及能力成熟度评估机构通用要求中国合格评定国家认可委员会二〇〇六年六月CNAS-CC51:2006第1页共15页2006年06月01日发布2006年07月01日实施目录1范围…………………………………………………….………….………………32引用文件…………………………………………………………….…….………33定义…………………………………………………………………..…….………33.1软件过程及能力成熟度评估……………..….…………………….………33.2内部过程改进评估……………..….……………………………….………33.3顾客选择评价……………..….……………………………….……………43.4委托方……………..….……………………………….……………………43.5评估机构……………..….……………………………….…………………44评估机构的基本要求……………………………………………………………44.1评估机构……………………………………..….…………………………44.1.1基本规定…………………………………………………………...……44.1.2组织结构…………………………………………………………………44.1.3分包………………………………………………………………………54.1.4质量管理体系………………………………………………….…..…….54.1.5内部审核和管理评审………………………………….…………………64.1.6文件………………………………………………….……………..……74.1.7记录……………………………………………………………..………74.1.8保密………………………………………………………………………74.1.9申诉、投诉和争议…………………………………………………………84.2评估机构人员………………………………………………………………84.2.1基本规定…………………………………………………………………84.2.2评估师的资格准则……………………………….………………………84.2.3选择程序…………………………………………………………………114.2.4评估人员的聘用…………………………………………………………114.2.5评估人员记录……………………………………………………………114.2.6评估组程序………………………………………………………………125评估程序…………………………………………………………………………125.1申请…………………………………………………………………………125.1.1程序信息…………………………………………………………………125.1.2申请………………………………………………………………………125.2评估准备……………………………………………………………………135.3评估…………………………………………………………………………13CNAS-CC51:2006第2页共15页2006年06月01日发布2006年07月01日实施5.4评估报告……………………………………………………………………145.5评估决定……………………………………………………………………145.6监督和复评程序……………………………………………………………155.7证书和标徽的使用…………………………………………………………15CNAS-CC51:2006第3页共15页2006年06月01日发布2006年07月01日实施软件过程及能力成熟度评估机构通用要求1范围本文件规定了从事软件过程及能力成熟度评估的机构应满足的基本要求。本文件可用于评估机构对依据SJ/T11234和/或SJ/T11235或与其等同的其它标准进行正式评估活动的管理。2引用文件以下引用的文件,注明日期的,仅引用的版本适用;未注明日期的,引用文件的最新版本(包括任何修订)适用。ISO/IEC导则2《关于标准化和相关活动的一般术语及其定义》SJ/T11234《软件过程能力评估模型》SJ/T11235《软件能力成熟度模型》国认可联[2002]49号文《软件过程及能力成熟度评估指南》GB/T19011-2003《质量和(或)环境管理体系审核指南》(idtISO19011:2002)3定义除了ISO/IEC导则2中的术语定义外,本文件还采用下列术语定义。3.1软件过程及能力成熟度评估即软件过程能力评估(依据SJ/T11234)和软件能力成熟度评估(依据SJT/11235)的统称(简称为“SPCA”)。SPCA是由经过培训的专业队伍以评估参考模型作为确定过程的强项和弱项的基础而对一个或多个过程进行的检查活动。根据评估目的的不同,评估可分为内部过程改进评估和顾客选择评价两种。3.2内部过程改进评估以内部过程改进为目的,对组织内部软件过程能力进行的评估。执行这种评CNAS-CC51:2006第4页共15页2006年06月01日发布2006年07月01日实施估前,评估机构往往可根据评估委托方的要求向被评估组织提供咨询,并且应该有被评估组织的人员参加到评估组中,使评估活动更有效地发挥促进内部过程改进的作用。3.3顾客选择评价受委托方委托,以客观评价软件组织的现实综合软件过程能力为目的,由被评估组织以外的评估人员对其实施的评估。这种评估不允许评估人员向被评估组织提供任何咨询意见。同时,选择评估组成员时也要遵从“回避”原则,即不选择与被评估组织有利害关系的人员作为成员。3.4委托方委托评估机构提供评估服务并且支付评估费用的单位。3.5评估机构有能力提供软件过程及能力成熟度评估服务的组织。4评估机构的基本要求4.1评估机构4.1.1基本规定4.1.1.1评估机构采用的政策和程序必须是非歧视性的并且以非歧视方式实施。4.1.1.2评估机构必须向所有委托方提供评估服务,不得向委托方提出不正当的财政或其他限制条件。4.1.1.3评估的依据为SJ/T11234《软件过程能力评估模型》或SJ/T11235《软件能力成熟度模型》或与其等同的其它标准。4.1.1.4评估机构应仅在拟开展评估的范围内规定其评估要求、进行评估和作出评估决定。4.1.2组织结构评估机构的组织结构必须保证所做出的评估结论可信。评估机构必须做到:a)客观、公正;b)对所做出的评估结论负责;c)设立负责下列事项的管理层(个人或管理委员会):CNAS-CC51:2006第5页共15页2006年06月01日发布2006年07月01日实施1)按照本文件规定提供评估服务,2)制定本机构的运行方针,3)审查并确定评估结论,4)监督本机构运行方针的实施,5)监督本机构财务情况,6)必要时,授权本机构以外的人员以本机构的名义执行评估任务(不包括被评估方的人员);d)必须具备证明其法律地位的文件。e)具有文件化的、保证本机构客观、公正提供评估服务的规定;f)确保评估决定由非实施评估的人员作出;g)具有充分的安排,以解决其运作和/或活动所引发的责任;h)具备支持评估活动所需的稳定财力及其他资源;i)聘有足够的执行评估服务的人员,他们应该满足本文件5.4节要求;j)建立符合4.1.4条要求的质量管理体系;k)建立政策和程序,以保证本机构不从事软件产品开发、维护、营销和相应服务活动(为支持评估活动本身所需的软件开发、维护和服务除外);l)保证评估机构及其全体员工和授权执行评估任务的人员没有可能影响评估结论的商业、财政及其他压力;m)保证评估机构的运行不影响评估活动的保密性、客观性和公正性;n)具有处理被评估组织提出的申诉、投诉和争议的政策和程序。4.1.3分包当评估机构决定将评估工作分包给某一外部机构或人员时,应就有关事宜,包括保密和利益冲突方面的安排签订一份适当的书面协议。评估机构应:a)对分包的工作全面负责,并且保留其对批准、保持或撤销评估的职责;b)确保分包的机构或个人具备能力并且满足本导则的有关要求;c)获得申请人或委托方的同意。注:当一个评估机构利用与其签署协议的另一个评估机构所提供的工作结果来作出评估决定时,应满足a)和b)的要求。4.1.4质量管理体系CNAS-CC51:2006第6页共15页2006年06月01日发布2006年07月01日实施评估机构的最高管理者必须制定质量方针,包括质量目标及质量承诺,并且形成文件。最高管理者必须确保本机构全体员工都理解、执行和维护质量方针。评估机构必须建立与本机构业务范围和规模相适应的质量管理体系。质量管理体系必须形成文件,本机构所有从事有关业务的员工在需要时都能得到该文件。评估机构必须保证质量管理体系中的文件化的程序和作业指导书得到有效实施。评估机构应该指定一名负责评估工作质量的管理代表,并予以明确授权,以便他能够:a)保证按照本文件要求建立、实施和维护质量管理体系:b)向最高管理者报告质量管理体系运行情况。质量管理体系以质量手册和相关的程序以及其他文件的形式文件化。质量手册至少必须包括:a)质量方针陈述;b)本机构法律地位简要描述;c)最高管理者和其他主要业务主管姓名、资历和职权范围;d)反映各级职责权限的组织结构图,特别要指出负责审查和批准评估结论的机构的组成和权限;e)组织结构的文字描述,特别是有关质量的职责和权限的描述;f)管理评审的政策和程序;g)包括文件和资料控制在内的管理程序;h)本机构评估人员和外聘人员的聘用、培训及其工作监督的政策和程序;i)外聘协议书格式、外聘人员资格核实程序和外聘程序;j)处理本机构质量管理体系运行中的不符合项的程序和保证纠正措施有效性的程序;k)审查和批准评估结论的程序;l)处理申诉、投诉和争议的政策和程序;m)根据GB/T19011的规定实施内部审核的程序。4.1.5内部审核和管理评审评估机构必须定期对质量管理体系进行内部审核,以核实质量管理体系正得到有效实施。评估机构必须保证:CNAS-CC51:2006第7页共15页2006年06月01日发布2006年07月01日实施a)把内部审核结果通知被审核领域的人员;b)及时采取适当的纠正措施;c)把审核结果记录在案。最高管理者必须定期和在必要时对质量管理体系进行管理评审,以保证质量管理体系能够持续有效地满足质量方针和质量目标要求。评审记录必须保留。4.1.6文件评估机构必须建立、定期更新和在有要求时提供下列文件:a)授权评估机构运行的文件;b)评估活动情况资料;c)评估机构获得财政支持的渠道的描述以及服务收费情况;d)委托方和已接受评估服务的组织的权利和义务的描述;e)投诉和争议处理程序;f)已接受评估的组织的名录,包括业务范围、规模和确定的成熟度等级;g)评估机构承担有关责任的承诺。评估机构必须建立和维护对有关评估活动的文件和数据进行有效控制的程序,包括文件及时发放、恰当使用和文件变更控制的程序,评估数据保密和使用的政策和程序。4.1.7记录评估机构必须建立、运行并维护信息记载系统,及时记载完成的评估任务的情况,尤其是评估服务申请表、评估报告。对记录的标识、维护和处置必须保证评估服务过程的完整性和资料的保密性。记录必须保持足够时间,以便至少在整个评估周期内证明评估过程可信。评估机构必须建立关于在合同规定的时间内和其他要求的时间内保存记录的政策和程序,必须建立符合4.1.8条要求的调阅记录的政策和程序。4.1.8保密评估机构必须根据适用法律,规定对评估活动中获得的被评估组织的数据保守机密的要求。评估机构必须规定关于在现场评估活动结束时,在现场立即销毁现场访问中收集的被评估组织的数据的要求。CNAS-CC51:2006第8页共15页2006年06月01日发布2006年07月01日实施评估机构应建立公布被评估组织的成熟度等级的政策和程序,必须确保尊重被评估组织是否同意公布其成熟度等级的意愿。4.1.9申诉、投诉和争议对于向评估机构提出的有关评估服务的申诉、投诉和/或争议应按照评估机构规定的申诉、投诉和争议程序进行处理。评估机构必须:a)保存所有申诉、投诉和争议记录,保存有关补救措施的记录;b)采取合适的纠正和预