2.5　组织技术应用的能力建设规律与成熟度评估

能力成熟度模型是组织能力建设的有效方法。能力模型发源于最初的质量管理方法，其核心原理是基于过程、统计质量控制的全面质量管理等现代化的科学质量管理方法。因此，本节首先从回顾科学质量方法的发展历史开始，介绍质量管理方法如何从中世纪基于工匠标记的管理方法，逐步发展到现代的基于过程和成熟度的管理方法；然后介绍了能力成熟度模型的两个基础原理：过程模型和统计过程控制；之后重点介绍了软件领域和数据领域流行的成熟度模型，这些模型大都以CMM为基础模型，或者借鉴了其思想。

2.5.1　从质量方法发展来的能力成熟度模型

能力成熟度模型是由质量方法发展而来，目标是提高组织的质量管理水平。成熟度模型的历史可以追溯到20世纪70年代，从休哈特的“统计过程控制（SPC）”，戴明和朱兰的“全面质量管理（TQM）”，克劳士比的“质量成熟度方格（QMMG）”，到汉弗莱与SEI的“能力成熟度模型（CMM）”，以及后续基于CMM的大量扩展模型，这些成熟度相关质量管理方法均一脉相承。质量方法从SPC到CMM的发展历程如图2-13所示。

1. 质量方法发展史

工业革命之后，在生产制造领域的质量管理方法大致经历了三个大的发展阶段，包括质量检验阶段、统计质量管理阶段、全面质量管理阶段，也即从质量靠检查，质量靠统计，转变到质量靠整体管理。

在世纪之交，在基于过程管理的基础上，质量管理方法从统计过程控制方法发展出了能力成熟度模型，并从软件领域向其他领域逐步推广开来。

传统观念认为高质量需要通过检测、丢弃不合格产品或修复缺陷来实现，但这样做的成本很高。而新的理念是第一次就做正确，如果没有引入缺陷，则不必为发现和消除缺陷而付出成本。质量不是检查出来的，而是生产出来的，质量不是靠质检部门，而是依靠整体管理。遗憾的是，现在仍然存在很多管理者和经营者认为质量仅仅是质量部门的事。

（1）欧洲中世纪行会时的质量方法——工匠标记

质量管理的起源可以追溯到中世纪的欧洲，工匠们在13世纪末组织起联合行业协会。行会制定了严格的产品和服务质量规则，行会的检验委员会通过在无瑕疵商品上添加特殊标记或符号来执行质检规则。工匠本人也常常在所生产的产品上添加第二个标记，这个标记最初用于跟踪有缺陷的物品的来源，后来逐渐开始代表工匠的良好声誉。行会检验标记和主工匠标记为整个中世纪欧洲的客户提供了质量证明。在19世纪初期工业革命前，这种控制质量的方法一直占据主导地位。

（2）工业革命中的质量方法——基于质检和标准化的泰勒系统

工业革命时期的质量方法经历了从延续中世纪工匠的手艺标记方法，到工厂系统，再到泰勒系统的发展过程。以产品检验为重点的工厂系统始于18世纪50年代中期的英国。工厂系统的质量依靠工人技能，并通过审计、检查来保证。随着工业革命的发展，进行大规模生产的工厂开始设置专职检验人员，负责产品质量，此种方法可称为“检验员的质量管理”。在检验员的基础上，诞生了现代质量管理部门。

泰勒系统，是19世纪末弗雷德里克·W·泰勒（Frederick. W. Taylor）开发的新科学管理方法，其目标是在不增加熟练技工的情况下提高生产率。泰勒系统由专业工程师基于实验制定标准和工厂计划，由优秀的工匠和监督者出任检查员和经理，来执行标准和工厂计划。

（3）二战中的质量方法——抽样检查

在第二次世界大战时期，美国大量将民用经济用于军事生产。这期间，质量成为战争努力的关键因素和重要安全问题。不安全的军事装备显然是不可接受的，美国军队基本上检查了每个单元，以确保其操作安全。这种做法需要庞大的检查力量，在招募和保留有能力的检查人员方面存在很大困难。

为了在不损害产品安全的情况下缓解检查人力问题，军队开始使用抽样检查方式代替逐个单元检查的方式，并在工业顾问的帮助下，将采样要求加入军事标准，通过合同要求供应商清晰掌握生产要求。

（4）20世纪初的质量——基于过程和统计学的质量控制

20世纪初，“过程”被纳入质量实践，这也是质量管理进入新方法时代的一个标志。“过程”被定义为一组活动，这些活动接受输入、进行增值、提供输出。贝尔实验室的沃特·休哈特（Walter Shewhart）在19世纪20年代中期开始专注于过程控制，提出质量不仅与最终产品相关，而且与制造产品的过程相关。

休哈特认识到工业过程可以产生数据，并确信可以使用统计技术对这些数据进行分析，以查看过程是否稳定且处于受控状态，或者是否受到某种因素的影响，进而可以修正这个因素。休哈特提出了统计过程控制图（Statistical Process Control，SPC）方法，该方法后来成为现代质量控制的重要工具之一。当前的工业质量控制方法都源于该理论，因此休哈特也被称为统计质量控制之父。

（5）二战后的质量方法——强调涵盖整个组织的全面质量管理

休哈特在西部电气公司（Western Electric）指导了两位质量学家：威廉·爱德华兹·戴明（W. Edwards Deming）和约瑟夫·M·朱兰（Joseph M. Juran），他们后来成为休哈特统计质量控制方法的拥护者，以及日本和美国质量运动的领导者。戴明发展出戴明十四条，朱兰提出质量三步法（质量策划、质量控制、质量改进）。

全面质量管理在美国的诞生是为了响应日本在二战后的一场质量革命的竞争。二战后日本的主要制造商从生产军用产品转为生产民用产品，起初日本因伪劣产品出口而声誉不佳，其商品在国际市场并不受欢迎。这促使日本组织探索质量的新思考方法，并欢迎外国公司和专家提供建议，其中包括美国质量专家戴明和朱兰。日本制造商不仅重视产品检验，更重视改善所有组织流程。结合戴明推广的统计质量控制、戴明环（PDCA环，具体在第4章介绍）方法，日本制造商能够以较低的成本生产出高质量的出口产品，从而使全世界的消费者受益。为纪念戴明对日本质量运动的贡献，日本国家质量奖以戴明命名。

为了应对日本的竞争，美国主要公司的首席执行官开始领导一场质量运动，不仅强调统计数字，而且强调涵盖整个组织的方法，因此被称为全面质量管理（Total Quality Management，TQM）。

著名质量大师克劳士比在1979年出版的著作《质量免费：确定质量的艺术（Quality Is Free：The Art of Making Quality Certain）》中研究了产品开发中的质量，提出了零缺陷的理念，要求第一次就做对。他认为质量要依靠预防而不是检验，核心部分是“质量管理成熟度方格”理论，该模型也是建立在休哈特倡导的过程改进方法之上的。

TQM催生了其他几种质量方法，包括日本丰田发展的“精益制造”和美国通用电气采用的“六西格玛”等。随后一些质量措施被陆续推出，例如ISO 9000系列质量管理标准于1987年发布。

随着生产制造领域质量运动的逐渐成熟，新的质量体系已经超越了戴明、朱兰、克劳士比等[6]早期质量从业者奠定的基础。质量管理已经不再局限于制造业，而是进入软件开发、服务、医疗、教育、政府等领域。

2. 能力成熟度模型的发轫与流行

关于过程改进的长期研究和实践积累最终导致成熟度模型的出现。从休哈特开始的现代质量管理方法实质上都是在建立一种组织原则，通过过程改进来统筹全面的质量改进。重要的是，基于测量的渐进式改进核心概念成为工程设计和开发的基础，从而导致了成熟度模型中成熟度级别的能力类别的结构化。

（1）成熟度思想的萌芽——成熟度方格理论

在质量管理领域成熟度思想的萌芽是克劳士比提出的质量管理成熟度方格理论（Quality Management Maturity Grid，QMMG）。成熟度方格理论首次将一个企业的质量管理水平阶段化表达为：不确定期、觉醒期、启蒙期、智慧期、确定期，参照人的成熟发展描述了一个企业的质量管理逐步发展到成熟的过程。克劳士比的模型极具影响力，该模型在现代质量原则上建立，拥有扎实的理论基础，同时用成熟度表达方法，非常直观，符合人们的直觉认知，更容易深入人心。

（2）从成熟度方格到能力成熟度模型

早期成熟度模型开发的赞助者及其用户是美国军方的成员，他们希望开发一种方法来客观地评估软件分包商的能力。上世纪70年代美国国防部发现只有很少的软件项目能够在进度与预算内交付，因而专门研究了软件项目无法很好完成的原因，并得出一个结论：影响软件研发项目的全局因素是管理，而技术具有局部影响。

1987年，美国卡内基梅隆大学软件工程研究所（SEI）受美国国防部资助，由瓦茨·S·汉弗莱（Watts Humphrey）主导从软件过程能力的角度开发出了软件过程能力成熟度模型（CMM），用于评价软件开发商的软件开发过程能力，指导能力改进并最终提高软件质量，该模型侧重于软件开发过程的管理及工程能力的提高与评估。

汉弗莱在给军方软件供应商提供咨询时，首先是通过调研总结出了100项软件开发的质量改进措施，由于他曾参加过克劳士比质量学院的课程，因而想到将这些措施用克劳士比的五级成熟度模型来组织，发现非常合适，并在此基础上最终开发出了CMM[7]。CMM成功的很大一部分原因归功于SEI的支持和促进，以及美国军方决定采用CMM评价等级作为对软件供应商的选择标准。

（3）成熟度模型的广泛发展

当前市面上有很多种成熟度模型供我们选择，并且无论在任何业务和技术领域，我们都可以很方便地开发、定制和应用一个成熟度模型，用于理解组织现状或开发一个走向未来状态的路径。各类成熟度模型已应用在非常多的领域：IT、软件开发、系统集成、信息安全管理、测试、分析、企业架构、质量管理、项目管理、业务过程管理、知识管理、供应链管理、持续交付、战略、变革管理、人力资源、营销，等等。大多数成熟度模型都对人员、文化、过程、结构、技术等进行定性评估。

权威且应用比较广的模型都来自大量组织和企业的实践经验总结。知名的模型有：质量管理成熟度网格（QMMG）、软件开发能力成熟度模型（CMM）、能力成熟度模型集成（CMMI）、服务集成成熟度模型（SIMM）、软件过程改进和能力测定（SPICE）、组织项目管理成熟度模型（OPM3）、人力资本成熟度模型（PCMM）、数据管理能力评估模型（DCAM）、数据管理成熟度模型（DMM）等。

大量成熟度模型的流行和成功证明了成熟度模型的价值。成熟度模型拥有直观、全面、可扩展的特点，并适用于各种流程和组织挑战。尽管某些成熟度模型构建得比较复杂，甚至有些提升举措和评估手段较为官僚化，但多数成熟度模型可以从最佳实践的角度出发，指导组织确定改进计划的优先重点。这些改进效果评估的理念和方法都来源于休哈特的SPC，从最根本的层面来说，这就是成熟度模型的设计目标，用来指导组织持续减少不符项，沿着成熟度的阶梯提升组织在某个领域的管理能力水平。

2.5.2　能力成熟度模型的基础原理

工业生产制造领域很早就开始使用统计方法检查质量，而执行统计质量控制的制造商不仅依靠产品检验，而且着重于改善所有组织流程。能力成熟度模型能够提高组织输出的质量的基础原理有两个：组织的输出结果由一系列“过程”控制；通过统计“过程”绩效指标的统计分布，根据分布特点，可以分析“过程”是否稳定且处于受控状态，进而发现影响过程结果不稳定的原因，然后修正这个因素，以持续提高过程质量。

1. 过程模型

过程模型是现代质量管理的基础原理，即现代质量管理都是面向过程的管理，需要关注创造产品或服务的过程以获得最终的高质量结果，而不是仅仅关注产品结果。一些主要的国际与国家质量相关标准都是基于过程方法构建，ISO9001的基本原则之一就是过程方法，其他采用过程模型的知名标准或方法还有ISO15504（SPICE）、CMM、CMMI、六西格玛等。

通常一个过程模型需要划分过程域、设计过程架构、定义每个过程，描述过程属性，进而对过程性能进行度量，然后通过过程改进计划持续提高过程性能。

（1）过程定义

过程[8]，是利用输入提供预期结果的相互关联或相互作用的一组活动。这里的“预期结果”就是指输出，只不过更体现过程的目标性。通过使用资源将输入转化为输出的一项或一组活动，可以视为一个过程。通常，一个过程的输出就是下一个过程的输入，一个过程可以向下细分为一系列子过程，也可以向上组成更综合的一个过程。过程的定义说明如图2-14所示。

（2）过程描述

要了解过程方法，首先要理解过程，对一个过程进行描述和定义，建立过程的模型。对过程可以采用要素方式进行描述，一般可使用乌龟图描述一个过程，把过程的输入、输出、资源、负责人、方法、测量等要素表达出来，如图2-15所示。

（3）过程方法

过程方法是为了产生期望的结果，系统地识别并管理在组织中所应用的过程以及过程间关系与相互作用的管理方法。换句话说，就是将组织中的活动和相关资源作为过程进行系统化管理，通过不断优化每个过程，得到期望的结果。过程方法的特点是可明确过程负责人、过程可被定义、过程可程序化、可建立过程间关系、过程可监控、过程性能可不断通过优化而提高。

过程可以看作一种黏合剂，能够对组织内的各种因素串联管理，如图2-16所示，并能够衡量整体表现，不断优化，以实现更好、更稳定的交付质量或持续的利润提升。

过程方法是一种结构化系统性思维，不同于面向任务或面向结果的思维。过程方法能帮助组织策划其过程及过程间的相互作用，结合PDCA循环确保组织对其过程进行适当管理，提供充足资源，确定改进机会并采取行动。基于风险的思维使得组织能确定可能导致其过程和质量管理体系偏离预期结果的各种因素，及时采取预防控制措施，最大限度地降低不利影响，并最大限度地利用出现的机遇。

应用过程方法有助于组织增强责任感、提高对过程的更稳健结果绩效的意识、增强关注和关联关键过程的能力、提升过程内部整合效果、更好地利用资源、提升保障质量的能力、质量水平可预测、提高顾客对组织的信心。

现代大量质量管理实验证明产品或服务的质量是由一系列过程来实现的，质量、成本、效率、周期等都是许多过程的综合结果。过程的输出结果取决于过程策划、过程控制、过程优化等。只要执行好每个过程，并逐步提高，最终结果就是可预期的。一个组织如果能持续地改进过程就会持续而有效地提高质量、降低成本、提高绩效，进而让客户持续满意，这也是过程方法的核心逻辑。

要想让过程方法得到有效实施，我们需要做好以下准备工作：

·组织建立过程管理体系；

·定义过程中的具体活动执行方法；

·明确各过程中组织成员的责任；

·组织成员了解系统的各过程及过程间关系；

·为过程提供有效必要的资源支持；

·对过程进行测量和绩效评估，以优化持续改进方向。

（4）过程分类

过程之间的关系在体系中可以分为支持关系和管理关系。过程一般分为管理过程类、核心过程类（也称顾客导向过程）、支持过程类。例如，CMMI包含四类过程域，将管理类划分为组织级过程管理类、项目管理类，将核心过程称为工程类，以及支持类。顾客导向过程即组织通过顾客输入来实现顾客所期望的结果（输出）的过程。顾客导向过程相对容易确定和定义，支持过程和管理过程则不易区分。一般将决策、评估、考核、资源分配、检查或测量等相关的过程归为管理过程。管理过程有一定的权力和义务对其他过程下达管理要求，协调它们和管理过程的关系，这是管理过程的一个特征。支持过程一般有内部顾客，且内部顾客有权力评价支持过程的效果。过程分类与分类间关系如图2-17所示。

2. 统计过程控制

统计过程控制是推动过程持续改进的有效方法。当今竞争日益激烈，企业必须不断提高质量、提升效率和降低成本。而影响经营目标的大多数因素都是企业无法控制的，如原材料成本、设备成本、市场变化等。因此，组织必须专注于自己可以控制的因素：组织的过程。SPC可使组织从基于检测的质量控制转移到基于预防的质量控制。

SPC由休哈特最早提出，用于大规模生产制造的过程监测与质量控制，最终使过程达到受控状态，也即表示过程结果的质量是稳定的，可持续提高。

SPC实施的第一步是使生产过程从不稳定状态转为稳定状态，称为统计受控状态，第二步是过程的优化，使之在稳定基础上满足更高的要求，获得更好的质量，称为技术受控状态。SPC的特点包括面向预防、数据驱动、基于统计学原理、以图形工具为核心、操作运行系统、实施及时的纠正行动等。

支持SPC的基础数据原理是统计学的中心极限定理。SPC的存在是因为生产中变异的存在。SPC可以监测过程结果指标的统计分布特点及稳定性，通过对比分析分布特征与标准正态分布特征，及时发现过程中的问题。

影响过程结果差异的因素可以分为两类：系统因素（特殊原因）和随机因素（普通原因）。

系统因素仅会影响某些过程输出，造成过程指标统计分布特征的改变，让过程输出不稳定而不可预测。如果能将系统因素从影响因素中分离出来，就可以想办法对其进行改变。SPC分析时主要是发现系统因素造成的现象，并寻找和解决支配现象的系统性原因，以使过程输出趋于稳定。

随机因素是一个稳定过程中的偶然原因，由许多不可分解因素组成，它们共同持续作用于过程，但不改变过程指标的统计分布特征。随机因素的影响是稳定、可重复的，因此过程输出是可预测的。

SPC的一个主要工具是SPC控制图。

系统因素会造成指标点在SPC控制图上的分布异常，主要体现为两种，一种是分布非随机，另一种是指标数据点出界及出界点比例超限。

控制图上可以有两种界限：控制界限和规格界限，控制界限由过程的能力决定，而规格界限则由客户的需求决定。规格界限一般可采用3个标准差（3σ）到6个标准差（6σ），这也是美国通用集团推行的“六西格玛”质量管理方法的命名来源。

控制图中可以识别以下几类问题（如图2-18）：离群异常点、连升/连降、锯齿交替、周期变化、分布倾斜（统计分布偏态）、双中心（统计分布双峰）、阶段性离散度变化、阶段性中心偏移等。控制图只起到报警作用，具体引起异常的原因需要在生产过程中的人、机（器）、（材）料、（方）法、环（境）、（测）量等方面去寻找，其中人是重要因素。人的因素又包括管理、经验、技术能力等方面。

图2-18描绘了流程改进的本质：从一个不合格的级别转移到一个稳定的改进级别。从本质上说，这就是成熟度模型的目标，通过帮助组织提高成熟度，减少不符合项以提高质量。成熟度模型基于SPC测量进行逐步质量改进，从而到达成熟度模型的下一阶段。

SPC的作用是对过程能力进行稳定性、可靠性评估，指导采取改进过程的行动类型，进而提高质量、提高生产效率、降低成本，具体涉及以下方面。

·分析造成结果差异的影响因素类型：是随机原因还是特殊原因。

·验证问题是否被永久修正。

·预测过程输出的结果分布，判断过程是否具有输出满足需求的结果的能力。

2.5.3　软件领域广泛应用的能力成熟度模型

进入信息化时代，人们发现软件质量的控制与评估比传统产品的生产更难以实施。软件研发中有几个公认的问题：超出预算、进度预测不准、进度落后、人员膨胀、质量不可靠，以及软件危机。现实项目失败存在多种原因，包括项目规模太大、目标不明确、需求变化、计划不足、新技术的采用、性能不满足、管理方法缺少规范或不恰当、研发力量高级人员不足、供应商提供的软件或硬件性能不足等。一个研究小组在研究“软件危机”时总结到：很少有这样的领域在最佳实践与一般实践之间有如此巨大的鸿沟[10]。

整个软件行业都在不断寻找“银弹”以解决软件危机，尝试了工具化、行为规范、形式方法、过程方法、专业化等多种方法。但是，单一的银弹不能解决软件危机，如单纯的技术手段。上世纪80年的思路是工具+方法，目前业内普遍使用的是技术+管理的基于过程的方法。以质量为中心的软件工程包含三个要素：

·技术方法，指导软件开发如何做；

·工具体系，为软件开发提供自动或半自动软件支撑环境；

·过程能力，综合技术方法和工具体系以合理地进行软件开发。

CMM类模型就是基于过程管理综合运用技术和工具的管理方法，用于指导组织加强其过程能力，一般用于描述一个组织按照预定目标和条件成功地、可靠地生产产品或提供服务的能力。

1. CMM/CMMI/SPICE

CMM是对于软件组织在定义、实施、度量、控制和改善其软件过程的实践的各个发展阶段的描述，指软件工程过程被显式地定义、执行、测量、管理的程度。CMM的核心是把软件开发视为一个过程，并根据这一原则对软件开发和维护进行过程监控和优化，以使其更加科学化、标准化，使企业能够更好地实现商业目标。CMM框架中使用了支持流程改进的方法，包括以PDCA循环为指导的SPC。

CMM为软件的过程能力提供了一个基于过程的阶梯式改进框架，指出一个软件组织在软件开发方面需要包含哪些主要工作，这些工作之间的关系，以及开展工作的先后顺序。软件过程管理水平的提高不是一蹴而就的，CMM以增量方式逐步改进和迭代，定义了5个成熟度等级，一个组织可通过一系列改良性步骤达到更高的成熟度等级。整个组织需要把重点放在对过程的不断优化上，采取主动措施去分析过程的不足，以达到预防缺陷的目的。分析各有关过程的有效性，进行新技术的成本与效益分析，进一步提出对过程进行修改的建议，防止同类缺陷二次出现。

根据CMM实施的经验，考虑到CMM不能覆盖软件开发以外的领域，导致企业需要通过多个成熟度模型的认证而增加了负担，所以SEI开发了CMMI替代CMM。2001年底SEI发布了CMMI 1.1版本，取代CMM，并宣布到2003年年底不再对软件CMM提供支持。CMMI框架将多个工程领域集成到具有共同核心过程的单一模型中，包括软件工程、系统工程、软件和系统获取、服务交付。这种集成可以减少管理多个模型的成本，以帮助组织优化对过程改进的投资。目前已有多种类型的CMMI模型可供选择，包括CMMI DEV（开发）、CMMI SVC（服务）、CMMI ACQ（采购）、CMMI DMM（数据）。此外CMMI 2.0已涵盖了敏捷（Agile）和DevOps方法。目前CMMI已发展到2.1版本。

除了比CMM覆盖的专业领域更广外，CMMI还存在连续模型和阶段模型两种表示方法。最新的CMMI模型过程域框架包含10个能力域（Capability Area），对应25个实践域，分别归入行动（Doing）、管理（Managing）、支持（Enabling）、提高（Improving）四大类。例如，行动类中的确保质量（Ensuring Quality）能力域对应4个实践域：同行评审（Peer Review）、过程质量保障（Process Quality Assurance）、需求开发和管理（Requirement Development & Management）、验证和确认（Verification & Validation）。

SPICE是由国际标准化组织（ISO）推出的，项目名称为“软件过程改进和能力测定（Software Process Improvement and Capability Determination）”，常简称为SPICE。SPICE的目的是支持软件过程评估国际标准的开发、验证和过渡。从2004年到2008年SPICE共公布了6个部分：概念和词汇、实施评估、实施评估指南、过程改进和能力确定应用指南、软件过程评估、系统过程评估。SPICE与CMMI一样划分了5个等级。

CMM/CMMI/SPICE得到了众多国家以及国际软件产业界的认可，成为当今企业从事规模软件生产不可缺少的一项内容。尽管CMM来自软件开发领域，但是它包含的过程成熟度概念也可以应用于非软件过程。

2. CMM类模型的阶段划分的共同特征

一般从CMM/CMMI/SPICE发展出的各领域成熟度模型都是将成熟度分成5个级别，遵循从低级到高级的规律，以质量为核心目标，基于组织活动的过程理论，控制过程执行的质量，从而提高最终输出产品的质量和稳定性。不同的成熟度模型在其阶段名称命名上稍有不同，但含义没有本质差别。成熟度阶段的划分说明如下：

·1级，已执行，通常是一种自发的、被动的项目级执行，缺少计划性，结果质量不稳定，波动很大，完全不可控；

·2级，已管理，组织开始主动地管理活动，有计划地行动，开始一定制度化的可重复执行，但质量仍不稳定；

·3级，已定义，组织对活动的过程进行详细定义，包括过程的内容范围、输入、输出、负责角色（谁做）、资源（用什么）、方法（如何做）、指标（测量），与过程间的关系，此阶段跨组、跨项目的执行效果趋向一致和稳定，结果可预测；

·4级，量化管理，组织能够对过程绩效进行量化测量，从而能够量化统计过程执行的优劣与稳定性，执行的结果可以预测，可以发现执行中的系统性问题，通过解决这些问题，能让过程得到优化，从而在稳定的基础上不断提高质量；

·5级，优化级，此阶段组织已能够熟练、持续、自动地对过程进行优化，并且整体绩效已经达到同业领先水平。

2.5.4　数据领域广泛应用的能力成熟度模型

数据领域的能力成熟度模型一般也是参考CMM的能力成熟度等级进行构建，对数据领域的过程域进行定义，对最佳实践进行总结。比较流行的数据领域能力成熟度模型有IBM数据治理统一流程成熟度模型、SEI与EDM Council共同推出的DMM、中国国家标准DCMM、中国国家标准DSMM。

1. DMM

数据管理成熟度模型（Data Management Maturity，DMM）是SEI和EDM Council共同推出的，以CMMI的各项基础原则为基础，针对数据管理开发的成熟度模型，在2014年正式发布。

DMM是一个用最佳实践进行过程改进的综合性参考模型，不仅可用来评估组织当前的能力状态，还可用来定制改进企业数据管理能力的路线图。

DMM同时提供最佳实践，帮助组织构建、改进和度量其企业数据管理能力，实现在整个组织中提供及时、准确、易访问的数据。

DMM具有5个能力成熟度等级。不同过程域等级意味着最佳实践的过程改进所取得的成果也随之提高。5个等级定义如下。

·1级，执行，数据管理仅处于项目实施需求层面。过程的执行具有临时性，主要体现在项目级层面。

·2级，管理，组织意识到将数据作为关键基础设施资产进行管理的重要性。组织根据管理策略规划并执行过程；保证可控的输出结果。

·3级，定义，从组织层面将将数据视为实现目标绩效的关键要素。采用并始终遵循一组标准过程。

·4级，量化，将数据视为组织竞争优势的来源之一。定义了过程指标，并将其用于数据管理。其中包括使用统计与其他量化技术对差异、预测和分析进行管理。

·5级，优化，将数据视为组织在动态竞争性市场中生存的关键要素。通过量化分析优化过程绩效。

DMM定义了数据管理的基本业务过程以及构成成熟度渐进路径的关键能力。它是一个数据管理实践综合框架，可帮助组织对其能力进行基准评估，确定优势和差距，并利用其数据资产提高业务绩效。

DMM包括20个数据管理过程域以及5个支持过程域。这些过程域可以划分为6个过程类别，如表2-4所示。组织通过完成过程域的实践可构建数据管理能力，结合基础设施支持实践可提升数据管理的成熟度。

2. IBM数据治理统一流程的成熟度模型

IBM在其发布的“数据治理统一流程”的第3个步骤“执行成熟度评估”中提出了数据治理能力成熟度模型。

该模型采用了与CMM一致的成熟度等级和描述，将能力成熟度模型分为5级：初始、管理、定义、定量、优化，并定义了一系列指标，用于评估企业的数据管理状况，制定企业提升数据治理能力的目标和路线图。

该模型针对数据管理的各个领域做了详细定义，分为4组共11个数据治理域，各个域之间的关系是：结果域对核心域提需求，促成域对核心域提供赋能，支持域提供支持。每个域具体包含的内容说明如下。

·核心域：数据质量管理（Data Quality Management）、数据生命周期管理（Data Life-cycle Management）、数据安全与隐私（Data Security & Privacy）。

·支持域：数据架构（Data Architecture）、分类与元数据管理（Classification & Metadata Management）、审计信息日志及报告（Audit Information Logging & Reporting）。

·促成域：组织机构及感知（Organizational Structures & Awareness）、数据照管（Data Stewardship）、策略（Policy）。

·结果域：数据风险管理与合规（Data Risk Management & Compliance）、数据价值创建（Data Value Creation），这个域是数据治理计划的预期结果。

IBM数据治理成熟度的过程域架构示意图如图2-19所示。

3. DCMM

数据能力成熟度评价模型（Data Capability Maturity Model，DCMM）是适用于组织和机构对数据管理能力成熟度进行评估的一项中国国家标准，在制定的过程中充分吸取了国际的一些模型和标准，如DAMA的《数据管理知识体系指南DMBOK》，和国内先进行业的数据实践经验。

数据管理能力成熟度评价模型划分为5个等级[11]，包括初始级、受管理级、稳健级、量化管理级和优化级，如图2-20所示。

DCMM定义了8个数据能力域，包括数据战略、数据治理、数据架构、数据应用、数据安全、数据质量、数据标准、数据生命周期管理，如表2-5所示。DCMM的战略、治理、质量、架构大分类与DMM一样，但具体的子项有很大不同。除了DMM中的生命周期过程域，DCMM结合国内数据发展情况增加了数据标准、数据安全、数据应用三个能力项。国内的银行、政府等行业在进行数据治理时，首先需要制定数据标准。随着大数据的兴起，大规模隐私泄露事件经常发生，这几年国际与国内针对数据的法律相继出台，特别是欧盟的GDPR和国内的网络安全法，对数据安全和隐私保护要求越来越严。数据应用是数据资产管理的目标。

4. DSMM

随着大数据的兴起，数据泄露事件时有发生，对个人、企业、社会都造成了十分严重的影响，国家一直在加强立法和健全标准规范。数据安全能力成熟度模型（Data Security Capability Maturity Model，DSMM），是在原有信息安全相关标准的基础上，专门针对整个数据生命周期过程制定的安全标准，由阿里、华为、清华大学等单位参与起草。DSMM给出了组织数据安全能力的成熟度模型架构，规定了各个过程域的成熟度等级要求，适用于对组织数据安全能力进行评估，也可作为组织开始数据安全能力建设时的依据。即DSMM可指导企业数据资产管理在数据安全能力成熟度方面的评估和提升，可指导组织持续提升数据安全能力，获得组织整体数据安全能力。

DSMM借鉴CMM的思想，按照能力维度和基于数据生命周期的过程维度进行交叉等级评估，整个框架可以总结为4个能力维度、5个成熟度级别、6个生命阶段、30个子过程域。具体分析如下。

·4个安全能力维度包括组织建设、制度流程、技术工具、人员能力。在职责分配、流程执行、安全要求自动化实现、人员安全意识及专业能力等方面提出了要求。

·6个生命周期安全过程，按生命周期顺序分为数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全；另外数据安全过程维度除了包含数据生命周期的6个阶段，还包含1个通用安全过程。同时，这7个数据安全过程又可细分为30个子过程域。

·5个数据安全能力成熟度等级划分，依次为非正式执行级、计划跟踪级、充分定义级、量化控制级、持续优化级。等级越高表示被评估的组织数据安全能力越强，第3级是基础目标。标准提出了每个等级组织应具备的能力要求。

数据安全过程维度、安全能力维度、成熟度等级形成一个三维立体架构，全方位、整体地对数据安全进行能力评估和建设。DSMM架构图如图2-21所示。