CMMI 3.0发布的八个领域中,开发依然是无可争议的老大。SEC(security-安保)应是最具应用潜力的领域。其中重要原因是CMMI-SEC对标覆盖了CMMC(Cybersecurity Maturity Model
Certification,网络安全成熟度模型认证),希望能够成为CMMC的替代或辅助模型。CMMC是美国国防部推出的一项计划,旨在确保承接国防部合同的公司在网络安全方面达到一定标准。CMMC结合了现有的网络安全标准和框架,如NIST 800-171、NIST SP 800-53等,将其整合为一个统一的认证模型。CMMI介入了CMMC的制定,CMMC的不断延期也给CMMI-SEC带来机会。CMMI和AI的融合将是今年ISACA-CMMI的一项重要工作,ISACA正在成立一个AI工作委员会,招募志愿者,感兴趣的中国评估师和讲师应该报名参加,下周应该是报名截止期。目前看,较为可能的融合形式是建立一个CMMI AI的特定场景(context specific for AI)。ISACA收购CMMI之后,相当长一段时间是互不干扰。近期这个情况有很大变化,ISACA已经比较深入地参与CMMI的管理工作。会议期间有机会和ISACA管理者做了较为深入的沟通,对其使命和业务有了些了解。ISACA更多关注的是个人资质认证而CMMI关注的是企业的能力成熟度改进认证,二者有互补之处,希望ISACA能够考虑CMMI的差异性,利用好已有资源,为CMMI注入新的活力。CMMI评估师、高成熟度评估师、讲师资质获取过程、考试题目形式更加标准化。我参与了其中一些工作,考试资质认证的方法参考了ISACA使用的套路。希望扩展自己职业生涯发展的同学,可以利用下这个机会,CMMI评估师和讲师也是一个职业选项。毋容置疑,中国是CMMI的主要市场。近年来,ISACA-CMMI也做了些全球化的努力。南美和北美的评估有所增长,但其他地区收效不大。ISACA希望在欧洲等地加大投入,多几个放鸡蛋的大篮子。虽然CMMI模型会不断完善改进,但今年不会有大的版本变化。目前没有重要模型版本的发布计划。许多在中国评估的国外评估师,表达了对中国市场的担忧。ISACA也和中国合作伙伴以及许多中国评估师做了不少沟通,但目前看,他们并没有紧迫感。重要原因是,去年中国评估数量和前年比增加了10%。今年同期的中国评估数有所下降,但并不很明显。所以,对ISACA的bottom line并无影响。3.0发布后,ISACA-CMMI鼓励更加灵活和多样化的CMMI评估。我简单总结为下列四种:1. 一个OU一个领域成熟度(中国大部分Dev)
2. 一个OU多个领域成熟度(如同时做开发,安保,数据成熟度评估)
3. 一个OU领域成熟度+其他领域能力度评估(如开发ML5,SEC两个PA CL3)
4. 多个OU的前面三种组合评估
ISACA增强了其工具团队,承诺将对CAS,CMS,评估工具做进一步的完善,改进用户体验。许多评估师对评估的绩效报告(performance report)有诸多的吐槽,希望将其改成可选评估输出物。ISACA CMMI模型团队承诺继续将模型作为一个动态模型来管理,不断吸收新的、经过验证有效的优秀实践,删除过时的内容,保持模型的先进性!![]()
三尺讲桌就在这小小二维码,长按二维码“识别”关注
