在軟體工程與 IT 管理領域,CMM(Capability Maturity Model,能力成熟度模型)是衡量組織流程品質的重要框架。它將組織能力分為五個清晰等級,協助團隊找出改善方向,系統性地提升交付品質與流程穩定性。
CMM 五大等級:從混亂到卓越
CMM 由美國卡內基梅隆大學軟體工程研究所(SEI)於 1980 年代提出,核心架構將組織流程分為五層:
- Level 1 初始(Initial):流程不可預測,全靠個人能力與臨場應變。
- Level 2 可重複(Repeatable):基本專案管理到位,成功經驗可被重現。
- Level 3 已定義(Defined):流程標準化並文件化,跨團隊一致執行。
- Level 4 量化管理(Quantitatively Managed):以量化指標監控流程,能預測品質結果。
- Level 5 最佳化(Optimizing):持續改善機制嵌入日常,主動應對變化與創新。
多數組織起步於 Level 1,目標是逐步升至 Level 3 以上,以確保可重複的高品質交付。
CMM 的應用範疇與常見誤解
CMM 最初針對軟體開發流程設計,後來演進為 CMMI(Capability Maturity Model Integration),擴展至系統工程、服務管理等領域。它廣泛應用於外包評估、流程稽核與組織成熟度認證。
然而,CMM 有一個常被忽略的限制:它並非專為資安風險管理設計。部分組織誤將 CMM 等級視為資安防護能力的指標,但資安成熟度應參考 NIST CSF 或 C2M2 等專用框架。CMM 的強項在於流程標準化與量化管理,而非威脅識別或漏洞控管。
💡 重點整理
- CMM 五級架構提供組織流程成熟度的通用評估標準。
- Level 3(已定義)是多數企業的基礎目標,代表流程已標準化。
- CMM 非資安專用框架,資安需求應採用 NIST CSF 或 C2M2。
- 現代版本 CMMI 已整合多個領域,適用性更廣泛。
CMM 提供組織一面清晰的流程鏡子,協助團隊從「憑感覺交付」進化為「數據驅動改善」。選擇正確的框架、聚焦適合的領域,才能讓成熟度評估真正發揮價值。
📚 參考文獻
- CMMI Institute 官方網站:https://cmmiinstitute.com——CMMI 模型的官方說明與認證資訊。
- Carnegie Mellon SEI,The Capability Maturity Model: Guidelines for Improving the Software Process,Addison-Wesley,1995。
- NIST Cybersecurity Framework(CSF):https://www.nist.gov/cyberframework——資安成熟度的專用參考框架。
⚠️ 本文內容基於撰寫時的最新資訊,實際應用時請參考官方文件的最新版本。
留言
張貼留言