夜雨聆风前言
《软件过程能力成熟度模型》(GB/T 45989-2025,简称:CSMM),给出了组织软件过程能力成熟度框架,CSMM评估模型由4个能力域、21个能力子域,以及针对能力子域提出的197项能力要求组成。同时,根据企业软件开发水平的不同CSMM分为初步管理级、过程规范级、组织标准级、量化管理级和卓越创新级五个等级。
据软件能力成熟度公共服务平台数据显示,截止当前平台自诊断企业637家。
2026年4月27日,中国电子质量管理协会公布了第一批CSMM贯标评估企业名单。软件能力成熟度公共服务平台数据显示,共145家企业入围公布企名单,5级获证企业57家,4级获证企业33家,3级获证企业55家。《软件过程能力成熟度模型》(CSMM)工作进展
重点提示:持有有效期内CMMI证书的企业,可以通过一个限时快速转换通道,简化流程直接转换为同等效力的CSMM证书。该快速转换通道的截止日期为2026年6月30日,逾期将不再受理,企业需按完整流程重新申请。
我团队已正式开启CSMM项目评估受理,可为各意向企业提供专业的评估咨询、材料预审、快速申报通道对接等全流程服务,帮助企业梳理符合要求的过程能力建设成果,高效完成评估全流程。若有申报需求,可随时联系我们对接相关事宜。
现就各能力域建设要点和参考示例整理如下,仅供各位同仁参考交流!
一、CSMM战略与治理能力域建设要点
战略与治理能力域:包括战略、治理2个能力子域。
1、战略(Strategic)
概述:战略是组织对长远发展的方向、目标、任务、政策和所需资源,做出的软件业务相关的决策和管理。
目标:明确组织的定位和方向,指引组织的长期发展。
表1 CSMM 战略能力子域建设要求
能力子域 | 能力等级 | 能力项 | 示例 |
战略ST | 2级 | ST2.1建立并维护组织的使命和愿景 ST2.2建立并维护明确和具体的组织战略 ST2.3建立并维护必要的执行团队 ST2.4提供实施组织战略需要的资源 ST2.5建立并维护短期计划,逐步实现组织的长期战略 | 1、《**公司战略发展规划》,包括战略定位、战略目标、战略举措、资源保障等内容; 2、《**公司年度重点工作任务》,基于中长期规划分解为可落地的年度工作; 3、《**公司战略发展规划》等评审和发文记录; |
3级 | ST3.1识别影响组织长期发展的要素,为建立组织战略提供依据 ST3.2跟踪与分析组织战略及其实施情况 | 1、战略识别过程开展的PEST、SWOT分析等; 2、战略任务推进报告、年度工作汇报等; |
2、治理(Governance)
概述:治理是为了实现组织软件业务的稳定和发展,对组织的管理和运作进行规范、监督、调控、协调、沟通和改进的过程。
目标:使组织能持续运行,推动组织长期发展。
表2 CSMM 治理能力子域建设要求
能力子域 | 能力等级 | 能力项 | 示例 |
治理GOV | 2级 | GOV2.1建立并维护软件过程的组织级方针 GOV2.2提供资源、资金和培训,用于建立并维护软件过程分配软件过程 GOV2.3建立、实施和持续改进的各种角色、职责和权利 GOV2.4沟通软件过程建立、实施与持续改进的信息 | 1、建立组织级方针; 2、项目资源配置,包括人员角色、职能职责、绩效考核等; 3、建立项目过程沟通机制、改进机制等; |
3级 | GOV3.1沟通软件过程实施与改进的度量数据和分析结果 GOV3.2识别并解决软件过程能力和人员能力不足的问题 | 1、建立项目过程沟通机制、改进机制、原因分析机制等; 2、建立公司级和项目级《度量规格书》; 3、开展过程分析和过程改进; |
二、CSMM开发与交付能力域建设要点
开发与交付能力域包括需求、设计、开发、测试、部署与发布、维护服务6个能力子域,确保通过软件工程过程交付满足需求的软件,为顾客与利益相关方增加价值。
1、需求(Requirements)
概述:需求管理是获取各利益相关方的需求,并将其转换为软件需求,同时对需求进行跟踪、追溯、变更控制和验证需求的过程。
目标:使工作产品与需求保持一致,促使各利益相关方对需求理解达成一致,并控制需求变更或迭代带来的风险。
表1 CSMM 需求能力子域建设要求
能力子域 | 能力等级 | 能力项 | 示例 |
需求RM | 2级 | RM2.1获取利益相关方的需求 RM2.2对需求的实现做出承诺 RM2.3建立并维护利益相关方对需求理解的一致性 RM2.4开发并维护软件需求 RM2.5管理需求的变更或迭代 RM2.6建立并维护需求的追溯 RM2.7验证并确认需求 | 1、《产品需求管理规范》; 2、《产品需求规格书》; 3、《需求变更申请书》 4、测试和验收记录 |
3级 | RM3.1挖掘利益相关方的需求 RM3.2对需求进行优先级排序 | 1、禅道等项目管理系统——需求池管理、优先级设置; |
2、设计(Design)
概述:软件设计是对需求实现所必需的软件架构、模块、组件、接口、数据结构、算法等进行描述。
目标:为编码实现提供依据,符合软件的功能性和非功能性需求,以提升软件质量和用户体验。
表2 CSMM 设计能力子域建设要求
能力子域 | 能力等级 | 能力项 | 示例 |
设计DGN | 2级 | DGN2.1建立并维护符合需求的设计 DGN2.2评审软件设计 | 1、按照需求规格说明书开展软件设计; |
3级 | DGN3.1建立并维护组织级设计规范 DGN3.2论证备选的技术方案 DGN3.3建立并维护架构设计 DGN3.4建立并维护概要设计和详细设计 DGN3.5建立并维护功能模块设计 DGN3.6选择测试策略验证设计 | 1、《设计与实现过程定义(规范)》; 2、技术方案评审记录; 3、概要设计方案; 4、详细设计方案; 5、数据库设计方案等; |
3、开发(Development)
概述:开发是依据软件需求和设计要求的工程实现,并将软件单元集成为可交付软件的过程。
目标:实现需求和设计的要求,构建并集成为可运行的软件。
表3 CSMM 开发能力子域建设要求
能力子域 | 能力等级 | 能力项 | 示例 |
开发DEV | 2级 | DEV2.1建立并维护符合软件开发和集成所需的环境 DEV2.2依据设计编写代码,实现设计 DEV2.3进行单元测试 DEV2.4执行代码评审 DEV2.5验证并维护软件的接口 DEV2.6按集成方案将各组件集成为可运行的软件 DEV2.7验证已集成的软件 DEV2.8建立并维护产品支持文档 | 1、开发环境表; 2、代码编写规范; 3、代码评审记录; 4、集成与接口设计方案查验; 5、集成测试记录; 6、形成操作手册、用户手册、安装手册、运维手册等产品支持文档; |
3级 | DEV3.1建立并维护开发技术文件 DEV3.2依据组织级代码分支策略进行集成和构建 DEV3.3建立并维护软件集成的准入条件 DEV3.4建立并维护代码复用的标准 | 1、维护编码文件、接口协议、集成文件等开发文件等; 2、查验建立的代码分支策略和执行过程; 3、系统集成过程; 4、代码复用规范/指南; |
4、测试(Testing)
概述:测试是围绕需求对软件进行验证和确认的过程,以评估软件的质量、功能和性能等,验证其符合预期的要求和标准。
目标:验证软件或软件单元是否符合指定的需求,并实现其预期用途。
表4 CSMM 测试能力子域建设要求
能力子域 | 能力等级 | 能力项 | 示例 |
测试TST | 2级 | TST2.1建立并维护测试计划 TST2.2建立并维护测试资源和环境 TST2.3建立并维护测试用例 TST2.4跟踪并解决测试发现的缺陷 TST2.5记录并沟通测试结果 | 1、测试计划与测试资源等; 2、查验测试用例、测试记录、测试报告等; |
3级 | TST3.1建立并维护组织级测试准则 TST3.2分析测试过程数据以提升测试性能 | 1、《测试过程管理规范》、《测试用例管理规范》; 2、测试过程缺陷、问题分析,识别改进机会 |
5、部署与发布(Deployment and Release)
概述:部署与发布是指将开发完成的软件转移到目标环境,并使其正常运行的管理过程。
目标:使软件在目标环境中正常运行,为用户创造价值。
表5 CSMM 部署与发布能力子域建设要求
能力子域 | 能力等级 | 能力项 | 示例 |
部署与发布DRE | 2级 | DRE2.1建立并维护部署与发布计划 DRE2.2建立并维护部署和发布环境 DRE2.3评审部署与发布的内容 DRE2.4准备部署与发布内容和移交清单 DRE2.5跟踪并解决部署与发布过程中的问题 | 1、软件部署方案(涵盖部署与发布计划); 2、明确环境配置基线(如操作系统版本、中间件参数、数据库配置),并维护环境清单; 3、整理完整的发布物清单(含软件包、用户手册、安装手册、培训材料、版本说明等); 4、部署过程监控,建立问题台账; |
3级 | DRE3.1选择适合的部署工具 DRE3.2分析部署和发布的过程数据 | 1、引入自动化部署工具(如 Jenkins、Ansible、容器编排平台),实现部署流程的标准化; 2、收集部署时长、成功率、问题类型、环境差异等过程数据,进行趋势分析与根因分析; |
6、维护服务(Maintenance Service)
概述:维护服务是在软件交付后,为维持软件稳定运行而开展的工作。
目标:在软件生存周期内符合业务连续性,持续发挥软件的业务价值。
表6 CSMM 维护服务能力子域建设要求
能力子域 | 能力等级 | 能力项 | 示例 |
维护服务MS | 2级 | MS2.1制定并评审维护服务方案 MS2.2实施维护服务 MS2.3持续收集维护服务数据,提交维护服务报告 | 1、《系统运维服务方案》; 2、《服务问题解决清单》; 3、《运维服务报告》; |
3级 | MS3.1制定并维护服务级别协议 MS3.2分析维护服务过程数据,持续改进软件过程性能 | 1、维护服务级别协议和服务目录; 2、《运维服务分析报告》; |
三、CSMM管理与支持能力域建设要点
管理与支持能力域包括项目策划、项目监控、配置管理、过程质量保证、技术评审、原因分析与解决、软件物料清单管理7个能力子域,这些能力子域覆盖了软件开发项目的全过程,以确保软件项目能够按照既定的成本、进度和质量交付,能够满足顾客与利益相关方的要求。
1、项目策划(Project Planning)
概述:开展项目准备与启动工作,明确项目目标,确定项目范围和利益相关方。对项目进行策划,建立和维护指导项目实施的各项计划,设置里程碑,分配必需的项目资源,并获得各利益相关方对计划的承诺。
目标:建立项目执行基准,提高项目目标达成的可行性。
表1 CSMM 项目策划能力子域建设要求
能力子域 | 能力等级 | 能力项 | 示例 |
项目策划PP | 2级 | PP2.1建立并维护项目目标 PP2.2策划并获取项目资源 PP2.3估算软件规模 PP2.4估算项目工作量、成本和工期 PP2.5建立并维护利益相关方沟通与管理计划 PP2.6建立并维护项目计划 PP2.7获得利益相关方对项目计划的承诺 | 1、项目目标,涵盖利益相关方、范围、交付物、里程碑等; 2、项目资源,人力、软件、硬件、环境等; 3、项目估算表; 4、项目计划; 5、利益相关方管理; |
3级 | PP3.1依据组织标准过程和裁剪指南,建立并维护项目过程 PP3.2使用组织过程资产策划项目 PP3.3识别并管理项目的关键依赖 | 1、项目级过程、EPG过程、培训过程等过程管理; 2、使用并引用组织的过程资产(如经验教训、度量数据、风险库等); |
2、项目监控(Project Monitoring and Control)
概述:项目监控是通过监视与控制项目各过程,使利益相关方了解项目状况。跟踪项目实际状态与计划之间的偏差,必要时采取纠正措施。
目标:发现项目计划执行的偏差,采取纠正措施并解决问题。
表2 CSMM 项目监控能力子域建设要求
能力子域 | 能力等级 | 能力项 | 示例 |
项目监控PMC | 2级 | PMC2.1识别项目计划执行的偏差 PMC2.2纠正项目的显著偏差 PMC2.3跟踪项目利益相关方的参与和承诺 PMC2.4跟踪项目问题和解决措施 | 1、项目计划跟踪和识别偏差; 2、跟踪项目利益相关方的参与和承诺; 3、项目问题跟踪表; |
3级 | PMC3.1按项目计划和项目过程管理项目 PMC3.2执行里程碑评审 PMC3.3跟踪项目关键依赖 | 1、项目监控阀值(成本、进度、质量等); 2、里程碑计划跟踪,甘特图管理; |
3、配置管理(Configuration Management)
概述:配置管理是通过技术手段对软件生存周期中的工作产品进行控制、规范的一系列措施。
目标:提升工作产品的一致性、完整性和可追溯性。
表3 CSMM 配置管理能力子域建设要求
能力子域 | 能力等级 | 能力项 | 示例 |
配置管理CM | 2级 | CM2.1建立并维护配置管理计划 CM2.2识别并标识配置项 CM2.3建立并维护配置项信息 CM2.4建立和发布基线 CM2.5管理配置项变更 CM2.6执行配置审计 | 1、《配置过程管理要求》; 2、配置管理计划(项目级、组织级); 3、基线发布申请表; 4、配置变更申请表等; |
3级 | CM3.1建立并维护配置管理系统 | 1、配置管理系统/工具查看; |
4、过程质量保证(Process Quality Assurance)
概述:过程质量保证是依据适用的过程描述、标准和要求来检查过程和工作产品,并对发现的不符合问题进行跟踪和解决。
目标:软件过程和工作产品应符合既定标准和要求,持续提高开发过程的效率和质量水平。
表4 CSMM 过程质量保证能力子域建设要求
能力子域 | 能力等级 | 能力项 | 示例 |
过程质量保证PQA | 2级 | PQA2.1建立并维护质量保证计划 PQA2.2建立过程和工作产品的质量检查单 PQA2.3执行质量检查 PQA2.4沟通质量检查结果 | 1、《质量保证指南》; 2、质量保证计划; 3、开展质量检查; 4、不符合问题跟踪表等; |
3级 | PQA3.1依据组织资产建立并维护质量保证计划 PQA3.2识别并反馈改进机会 | 1、组织级质量检查单; 2、质量检查报告; 3、改进措施; |
5、技术评审(Technical Review)
概述:技术评审是通过审查、走查和审计等评审方法来实施,客观地检查工作产品,识别并消除工作产品中的问题和缺陷。
目标:提前识别并减少潜在的问题或缺陷,提高软件质量。
表5 CSMM 技术评审能力子域建设要求
能力子域 | 能力等级 | 能力项 | 示例 |
技术评审TR | 2级 | TR2.1明确评审对象和入口准则 TR2.2准备评审活动 TR2.3开展并跟踪技术评审 | 1、《技术评审规程》; 2、评审计划和过程跟踪; |
3级 | TR3.1使用组织资产开展技术评审活动 TR3.2明确技术评审职责与分工 TR3.3依据历史数据分析、评估与改进技术评审活动 | 1、设计、代码等评审检查表; 2、评审报告; 3、评审分析; |
6、原因分析与解决(Causal Analysis and Resolution)
概述:原因分析与解决是对组织和项目中发现的正面或负面结果,进行深入分析,找出产生的原因和影响因素,并制定相应的解决方案和预防措施。通过持续改进,提升团队达成业务目标的能力。
目标:避免问题的重复发生或促进成功得以复制,从而更高效地达成目标。
表6 CSMM 原因分析与解决能力子域建设要求
能力子域 | 能力等级 | 能力项 | 示例 |
原因分析与解决CAR | 2级 | CAR2.1识别需要进行原因分析的现象 CAR2.2分析造成现象的原因并进行处理 | 1、《原因分析和解决指南》; |
3级 | CAR3.1识别造成组织级共性现象的原因 CAR3.2制定并实施组织级共性原因的处理措施 CAR3.3收集并记录原因分析所使用的数据 CAR3.4评价措施实施效果 | 1、《原因分析和解决指南》; 2、《原因分析与解决过程》; 3、CAR计划、报告; |
7、软件物料清单管理(Software Bill of Materials)
概述:SBOM 管理提供了软件供应链的可见性,包括组件的版本、许可证信息、漏洞等。SBOM 管理旨在帮助组织更好地管理和控制软件供应链,识别和处理潜在漏洞、合规性问题和安全风险。
目标:生成和管理软件制品中包含的组件信息,解决软件供应链安全问题。
表7 CSMM 软件物料清单管理能力子域建设要求
能力子域 | 能力等级 | 能力项 | 示例 |
软件物料清单管理SBOM | 2级 | SBOM2.1建立并分发SBOM | 1、SBOM |
3级 | SBOM3.1建立SBOM 基线 SBOM3.2持续维护和监控SBOM 中的组件 SBOM3.3声明未详尽信息 | 1、用SCA工具等为系统生成标准化SBOM基线,明确组件清单、版本、许可证等; 2、版本迭代时自动更新 SBOM,对接漏洞平台持续监控组件风险; |
四、CSMM组织管理能力域建设要点
组织管理能力域包括过程管理、过程性能管理、过程资产管理、人员能力管理、供方管理、风险管理6个能力子域,对软件组织能力进行综合管理,强调人员能力与过程资产复用。
1、过程管理(Process Management)
概述:过程管理是基于组织业务目标和发展规划,建立并维护组织软件业务相关的标准过程,指导软件工作的开展,并监控过程实施的效果,促进组织业务目标的达成。
目标:提升组织软件过程执行的规范性和一致性,促进业务目标的达成。
表1 CSMM 过程管理能力子域建设要求
能力子域 | 能力等级 | 能力项 | 示例 |
过程管理PM | 2级 | PM2.1识别过程改进的需要,确定改进的优先级 PM2.2建立并维护过程改进计划 | 1、《过程改进计划》; |
3级 | PM3.1建立并维护组织标准过程 PM3.2建立并维护标准过程的裁剪标准 PM3.3部署标准过程和过程资产 PM3.4建立并维护可追溯到业务目标的过程改进目标 PM3.5识别并使用新技术进行过程改进 PM3.6评价过程改进的效果 | 1、《过程管理过程》; 2、过程改进目标分解; 3、过程改进建议与跟踪表等; |
2、过程性能管理(Process Performance Management)
概述:过程性能管理是组织基于战略建立业务目标,建立软件过程性能的度量分析体系,量化地管理过程性能,识别过程性能存在问题并改进,支撑业务目标的实现。
目标:对软件过程的性能建立量化的理解,通过管理和改进过程性能目标支撑组织业务目标的达成。
表2 CSMM 过程性能管理能力子域建设要求
能力子域 | 能力等级 | 能力项 | 示例 |
过程性能管理PPM | 2级 | PPM2.1建立并维护组织业务目标 PPM2.2建立并维护度量目标 PPM2.3建立并维护度量指标 PPM2.4收集并分析度量数据 PPM2.5沟通度量数据和分析结果 | 1、业务目标和过程能力目分解; 2、度量指标; 3、度量数据收集与分析; |
3级 | PPM3.1建立并维护组织级过程性能目标 PPM3.2建立并维护组织级的过程性能度量规格 PPM3.3建立并维护组织级度量库 PPM3.4分析组织过程性能数据以识别过程改进机会 | 1、组织级过程性能目标; 2、组织级的过程性能度量规格; 3、组织级度量库等; |
3、过程资产管理(Process Asset Management)
概述:过程资产是组织基于软件业务目标,对软件过程所需的过程资产进行识别和管理,以提高组织过程性能。
目标:使过程资产得到收集、管理和使用,提高组织过程性能。
表3 CSMM 过程资产管理能力子域建设要求
能力子域 | 能力等级 | 能力项 | 示例 |
过程资产管理PAM | 2级 | PAM2.1识别软件过程所需的过程资产 PAM2.2提供软件过程所需的过程资产 | 1、过程资产清单; |
3级 | PAM3.1建立并维护过程资产的管理机制 PAM3.2监控并评估过程资产的使用情况 PAM3.3建立技术成果复用管理机制 PAM3.4建立组织的标准工作环境和管理工具要求 | 1、《过程资产定义过程》; 2、《组织过程资产建立和维护规程》; 3、过程资产清单; 4、《组织工作环境标准》; |
4、人员能力管理(Personnel Capacity Management)
概述:人员能力管理包括建立、实施、维护组织人员管理的标准过程、目标和管理计划,设置与业务相适应的岗位结构与岗位职责,配置与储备符合项目要求和组织发展的人员,培养与提升人员知识、技能和经验,建立人员能力评价体系并持续改进。
目标:使人员能力符合项目要求和组织发展。
表4 CSMM 人员能力管理能力子域建设要求
能力子域 | 能力等级 | 能力项 | 示例 |
人员能力管理PCM | 2级 | PCM2.1建立软件业务相关的人员配备管理机制 PCM2.2建立人员沟通机制 PCM2.3建立人员能力提升机制 | 1、人员管理机制; 2、人员沟通机制; 3、人员培训提升机制; |
3级 | PCM3.1依据组织业务目标建立人员胜任能力要求 PCM3.2建立组织级人员能力目标和计划 PCM3.3实施并监控人员管理计划 PCM3.4建立并维护人员能力评价体系 | 1、年度培训计划; 2、人员绩效考核体系; 3、人员激励和晋升等评价体系等; |
5、供方管理(Supplier Management)
概述:供方管理使识别并持续评估符合组织软件业务需要的供方,与供方建立达成共识的协议,监督供方按协议执行并完成交付。
目标:使供方的过程、产品和服务符合组织要求。
表5 CSMM 供方管理能力子域建设要求
能力子域 | 能力等级 | 能力项 | 示例 |
供方管理SM | 2级 | SM2.1建立供方选择的准则,并依据准则选择供方 SM2.2建立并维护与供方达成的协议 SM2.3监督供方协议的执行,且对供方关键技术方案和技术成果进行评审 SM2.4验收供方交付物 | 1、供方协议管理; 2、供方协议执行管理; 3、验收记录等; |
3级 | SM3.1建立组织的供方选择与评价准则和方法 SM3.2监控并评价组织的供方能力 | 1、供应商评价准则; 2、供应商评价记录等; |
6、风险管理(Risk Management)
概述:风险管理是建立风险管理机制,对风险进行识别、评估、应对和监控。
目标:降低因风险对目标达成带来的不利影响。
表6 CSMM 风险管理能力子域建设要求
能力子域 | 能力等级 | 能力项 | 示例 |
风险管理RSKM | 2级 | RSKM2.1识别组织和项目的风险 RSKM2.2制定并实施风险应对方案 | 1、项目风险识别表; 2、项目风险应对方案; |
3级 | RSKM3.1识别组织软件业务相关风险的来源和类别要求 RSKM3.2建立风险参数的定义 RSKM3.3制定风险应对策略和计划 RSKM3.4实施并监控风险应对计划 | 1、组织级项目风险识别表; 2、组织级项目风险应对策略和计划等。 |
CSMM项目合作请各位添加微信:
