月度归档： 2013 年 11 月

阶段1：CMMI项目启动会
　　明确企业实施CMMI的商业目标，建立CMMI项目实施的沟通机制。
　　阶段2：CMMI基础培训和过程改进小组（EPG）组建
　　进行CMMI基础概念讲解，指导企业建立核心的过程改进小组。
　　阶段3：诊断
　　充分了解企业研发过程现状，识别企业现有软件过程与企业现阶段理应达到的CMMI成熟度级别的差距，提交诊断报告，进行过程改进的策划。
　　阶段4：过程域培训和文件定义
　　结合企业过程现状进行CMMI过程域培训，通过举例、案例分析等方式，让企业的EPG掌握过程文件定义技巧，结合企业实际情况有针对性的定义组织的研发过程，并确定过程产出物（如：需求报告）
　　阶段5：项目试点
　　选择代表公司核心业务的项目或者典型项目进行试点，通过试点来完善过程文件，从而为企业全面推广过程文件打下基础。
　　阶段6：组织推广
　　全员参与全面导入与执行CMMI。
　　阶段7：预评估
　　验证组织推广的结果，识别企业尚存缺陷并制定再次改善方案，准备充分，以便企业能够更好进行正式SCAMPI评估。
　　阶段8：SCAMPI正式评估
　　由SEI授权的主任评估师领导，采用SCAMPI ( Standard CMMI Appraisal Method for Process Improvement)评估方法，对企业的能力成熟度进行正式的评估，颁发证书，通过SEI网站向全球发布企业信息。

CMMI的五个等级

每个等级都被分解为过程域，特殊目标和特殊实践，通用目标、通用实践和共同特性，共同特性又分执行承诺、执行能力、指导实施和验证实施，如下图所示：

每个等级都有几个过程域组成，这几个过程域共同形成一种软件过程能力。每个过程域，都有一些特殊目标和通用目标，通过相应的特殊实践和通用实践来实现这些目标。当一个过程域的所有特殊实践和通用实践都按要求得到实施，就能实现该过程域的目标。

国际项目管理中心PMP认证是由美国项目管理学会(PMI)在全球范围内推出的针对项目经理的资格认证体系，通过该认证的项目经理叫”PMP”，即ProjectManagementProfessional（项目管理专业人士）。
　　
　　自从1984年以来，美国项目管理协会（PMI）就一直致力于全面发展，并保持一种严格的、以考试为依据的专家资质认证项目，以便推进项目管理行业和确认个人在项目管理方面所取得的成就。国内自1999年开始推行PMP认证，由PMI授权国家外国专家局培训中心负责在国内进行PMP认证的报名和考试组织。该认证的通过两种方式对报名申请者进行考核，以决定是否颁发给PMP申请者PMP证书。
　　
　　1.资历审查
　　申请者的基本资历要求为：

　　申请者需具有学士学位或同等的大学学历，并且须至少具有4500小时的项目管理经历。PMI要求申请者需至少3年以上，具有4500小时的项目管理经历。仅在申请日之前6年之内的经历有效。需要提交的文件一份详细描述工作经历和教育背景的最新简历（请提供所有雇主和学校的名称及详细地址）；一份学士学位或同等大学学历证书或副本的拷贝件；能说明至少3年以上，4500小时的经历审查表。

　　申请者虽不具备学士学位或同等大学学历，但持有中学文凭或同等中学学历证书，并且至少具有7500小时的项目管理经历。PMI要求申请者需至少5年以上，具有7500小时的项目管理经历。仅在申请日之前8年之内的经历有效。
　　
　　2.PMP考试

　　PMP申请需参加PMI组织和出题的PMP考试，并且合格，合格的标准是你必须答对全部题目中的131个题目，PMP考试目前在国内一年开展四次。相对而言，PMP考试的审查更为严格，而且是硬性的，没有变通的余地。全球统一出题统一标准，各方面体现全球化。

ISO20000实施步骤

ISO20000咨询流程

ISO20000简介

ISO20000是第一部针对信息技术服务管理（IT Service Management）领域的国际标准，它于2005年12月15日发布。作为认证组织的IT运营和服务管理水平的国际标准，ISO20000具体规定了IT服务管理行业向企业及其客户有效地提供服务的、一体化的管理过程以及过程建立的相关要求，帮助识别和管理IT服务的关键过程，保证提供有效的IT服务以满足客户和业务的需求。它着重于通过IT服务标准化来管理IT问题，即将IT问题归类，识别问题的内在联系，然后依据服务级别协议进行计划、管理和监控，并强调与客户的沟通。

ISO27001建立和运行步骤
ISO27001标准要求组织建立并保持一个文件化的信息安全管理体系，其中应阐述需要保护的资产、组织风险管理的渠道、控制目标及控制方式和需要的保证程度。不同的组织在建立与完善信息安全管理体系时，可根据自己的特点和具体情况，采取不同的步骤和方法。但总体来说，建立信息安全管理体系一般要经过下列四个基本步骤：信息安全管理体系的策划与准备；信息安全管理体系文件的编制；信息安全管理体系运行；信息安全管理体系审核与评审。
如果考虑认证过程其详细的步骤如下：
1、现场诊断；
2、确定信息安全管理体系的方针、目标；
3、明确信息安全管理体系的范围，根据组织的特性、地理位置、资产和技术来确定界限；
4、对管理层进行信息安全管理体系基本知识培训；
5、信息安全体系内部审核员培训；
6、建立信息安全管理组织机构；
7、实施信息资产评估和分类，识别资产所受到的威胁、薄弱环节和对组织的影响，并确定风险程度；
8、根据组织的信息安全方针和需要的保证程度通过风险评估来确定应实施管理的风险，确定风险控制手段； 9、制定信息安全管理手册和各类必要的控制程序；
10、制定适用性声明；
11、制定商业可持续性发展计划；
12、审核文件、发布实施；
13、体系运行，有效的实施选定的控制目标和控制方式；
14、内部审核；
15、外部第一阶段认证审核；
16、外部第二阶段认证审核；
17、颁发证书；
18、体系持续运行/年度监督审核；
19、复评审核。
至于应采取哪些控制方式则需要周密计划，并注意控制细节。信息安全管理需要组织中的所有雇员的参与，比如为了防止组织外的第三方人员非法进入组织的办公区域获取组织的技术机密，除物理控制外，还需要组织全体人员参与，加强控制。此外还需要供应商，顾客或股东的参与，需要组织以外的专家建议。信息、信息处理过程及对信息起支持作用的信息系统和信息网络都是重要的商务资产。信息的保密性、完整性和可用性对保持竞争优势、资金流动、效益、法律符合性和商业形象都是至关重要的。
当前，越来越多的组织及其信息系统和网络面临着包括计算机诈骗、间谍、蓄意破坏、火灾、水灾等大范围的安全威胁，诸如计算机病毒、计算机入侵、DoS攻击等手段造成的信息灾难已变得更加普遍,有计划而不易被察觉。组织对信息系统和信息服务的依赖意味着更易受到安全威胁的破坏，公共和私人网络的互连及信息资源的共享增大了实现访问控制的难度。
许多信息系统本身就不是按照安全系统的要求来设计的，所以仅依靠技术手段来实现信息安全有其局限性，所以信息安全的实现必须得到管理和程序控制的适当支持。确定应采取哪些控制方式则需要周密计划，并注意细节。信息安全管理至少需要组织中的所有雇员的参与，此外还需要供应商、顾客或股东的参与和信息安全的专家建议。

ISO27001咨询流程的几个阶段：
第一阶段：现状调研
从日常运维、管理机制、系统配置等方面对贵公司信息安全管理安全现状进行调研，通过培训使贵公司相关人员全面了解信息安全管理的基本知识。包括：
项目启动：前期沟通，实施计划，项目小组，资源支持，启动会议。
前期培训：信息安全管理基础，风险评估方法。
现状评估：初步了解信息安全现状，分析与标准要求的差距。
业务分析：访谈调查，核心与支持业务，业务对资源的需求，业务影响分析。
第二阶段：风险评估
对贵公司信息资产进行资产价值、威胁因素、脆弱性分析，从而评估贵公司信息安全风险，选择适当的措施、方法实现管理风险的目的。
资产识别：识别贵公司的各种信息资产。
风险评估：重要资产、威胁、弱点、风险识别与评估。
第三阶段：管理策划
根据贵公司对信息安全风险的策略，制定相应的信息安全整体规划、管理规划、技术规划等，形成完整的信息安全管理系统。
文件编写：编写各级管理文件，进行Review及修订，管理层讨论确认。
发布实施：ISMS实施计划，体系文件发布，控制措施实施。
中期培训：全员安全意识培训，ISMS实施推广培训，必要的考核
第四阶段：体系实施
ISMS建立起来（体系文件正式发布实施）之后，要通过一定时间的试运行来检验其有效性和稳定性。
认证申请：与认证机构磋商，准备材料申请认证，制定认证计划，预审核。
后期培训：审核员等角色的专业技能培训。
内部审核：审核计划，Checklist，内部审核，不符合项整改。
管理评审：信息安全管理委员会组织ISMS整体评审，纠正预防。
第五阶段：认证审核
经过一定时间运行，ISMS达到一个稳定的状态，各项文档和记录已经建立完备，此时，可以提请进行认证。
认证准备：准备送审文件，安排部署审核事项。
协助认证：内部审核小组陪同协助，应对审核问题。

ISO27001简介

信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准，该标准由英国标准协会（BSI）于1995年2月提出，并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分：BS7799-1，信息安全管理实施规则 BS7799-2，信息安全管理体系规范。第一部分对信息安全管理给出建议，供负责在其组织启动、实施或维护安全的人员使用；第二部分说明了建立、实施和文件化信息安全管理体系（ISMS）的要求，规定了根据独立组织的需要应实施安全控制的要求。

ISO/IEC27001:2005标准在2005年10月公布，同时取缔了多国采纳的英国标准BS7799-2:2002，ISO/IEC27001:2005 标准以Edward Deming博士提出的;计划-实施-核查-采取行动;循环周期作为制定蓝图，以实现持续改善的目标。ISO/IEC 27001:2005 标准为所有行业的机构都提供了一套业务工具，协助其避免信息保安的失误，从而降低了相应的风险。正式推行ISO/IEC27001:2005 并取得有关认证的机构将受益匪浅。