CMM
ということで、とりあえず構成管理について考えてみた。こんな感じかなぁ?
適用範囲
| レベル1 | 適用範囲が明確に定義されておらず、関係者個人の判断に依存する |
| レベル2 | 適用範囲は定義されているが、組織内のオーソライズが未だである |
| レベル3 | 適用範囲が明確に定義されており、組織内でオーソライズされている |
| レベル4 | 適用範囲が組織内で周知徹底されている |
| レベル5 | 適用範囲が定期的に見直され、関係者に随時周知されている |
目的
| レベル1 | 目的が定義されていない |
| レベル2 | 目的は定義されているが、組織内のオーソライズが未だである |
| レベル3 | 目的が明確に定義されており、組織内でオーソライズされている |
| レベル4 | 目的が組織内で周知徹底されている |
方針
| レベル1 | 方針が定義されていない |
| レベル2 | 方針は定義されているが、組織内のオーソライズが未だである |
| レベル3 | 方針が明確に定義されており、組織内でオーソライズされている |
| レベル4 | 方針が組織内で周知徹底されている |
構成管理ポリシー
| レベル1 | 構成管理ポリシーが明確に定義されていない |
| レベル2 | 構成管理ポリシーは定義されているが、組織内のオーソライズが未だである |
| レベル3 | 構成管理ポリシーが明確に定義されており、組織内でオーソライズされている |
| レベル4 | 構成管理ポリシー準拠についての監査手法が確立している |
| レベル5 | 構成管理ポリシーが定期的に見直され、変更があった場合には関係者に周知徹底されている |
構成管理責任者
| レベル1 | 構成管理責任者、及びその役割・責任が明確に定義されていない |
| レベル2 | 構成管理責任者、及びその役割・責任は定義されているが、組織内のオーソライズが未だである |
| レベル3 | 構成管理責任者、及びその役割・責任が明確に定義され、組織内でオーソライズされている |
| レベル4 | 構成管理責任者が適切に構成管理を管理しており、その管理手法の監査が確立している |
| レベル5 | 構成管理責任者、及びその役割・責任が定期的に見直され、適任者がその任に当たっている |
構成管理体制
| レベル1 | 構成管理担当者/組織、及びその役割・責任が明確に定義されていない |
| レベル2 | 構成管理担当者/組織、及びその役割・責任は定義されているが、組織内のオーソライズが未だである |
| レベル3 | 構成管理担当者/組織、及びその役割・責任が明確に定義され、組織内でオーソライズされている |
| レベル4 | 構成管理担当者/組織が適切に構成管理を管理しており、その管理手法の監査が確立している |
| レベル5 | 構成管理担当者/組織、及びその役割・責任が定期的に見直され、適任者がその任に当たっている |
構成管理DB管理手順
| レベル1 | 構成管理DB管理手順が明確に定義されておらず、担当者個人が独自に構成管理を行っている |
| レベル2 | 構成管理DB管理手順は定義されているが、組織内のオーソライズが未だである |
| レベル3 | 構成管理DB管理手順が明確に定義され、組織内でオーソライズされている |
| レベル4 | 構成管理DBが定義された手順で管理・メンテナンスされ、その監査が可能な状態となっている |
| レベル5 | 構成管理DB管理手順が定期的に見直され、変更があった場合には関係者に周知徹底されている |
構成管理DBへのアクセス権
| レベル1 | 構成管理DBへのアクセス権が明確に定義されておらず、誰でも構成管理DBを変更、閲覧できる |
| レベル2 | 構成管理DBへのアクセス権が明確に定義されていないが、構成管理DBにアクセスできる者が限られている |
| レベル3 | 構成管理DBへのアクセス権が明確に定義され、組織内でオーソライズされている |
| レベル4 | 構成管理DBへのアクセスログが記録され、監査されている |
| レベル5 | 構成管理DBへのアクセス権が定期的に見直され、必要最低限のアクセス権が関係者に付与されている |
構成管理DB
| レベル1 | 構成管理DBが個人のファイルとして管理されている |
| レベル2 | 構成管理DBがシステムとして導入されていないが、関係者内で管理している |
| レベル3 | 構成管理DBがシステムとして導入されている |
| レベル4 | 構成管理DBの監査ログが取得され、監査手法が確立している |
| レベル5 | 構成管理DBの仕様が定期的に見直され、業務要件にあったものになっている |
ソフトウェアライブラリ管理
| レベル1 | 担当者が個人でソフトウェアの管理を実施している |
| レベル2 | ソフトウェアライブラリの管理手順は定義されているが、組織内のオーソライズが未だである |
| レベル3 | ソフトウェアライブラリの管理手順が明確に定義され、組織内でオーソライズされている |
| レベル4 | ソフトウェアライブラリが定義された手順で管理・メンテナンスされ、その監査が可能な状態となっている |
| レベル5 | ソフトウェアライブラリの管理手順が定期的に見直され、変更があった場合には関係者に周知徹底されている |
構成アイテムの命名規則
| レベル1 | 担当者が個々に名前をつけている |
| レベル2 | 命名規則は定義されているが、組織内のオーソライズが未だである |
| レベル3 | 命名規則が明確に定義され、組織内でオーソライズされている |
| レベル4 | 命名規則どおりに全ての構成アイテムが名づけられていることを確認する手順が確立している |
| レベル5 | 命名規則が定期的に見直され、変更があった場合には関係者に周知徹底されている |
構成管理項目
| レベル1 | 構成管理項目が個人で管理・メンテナンスされている |
| レベル2 | 構成管理項目は定義されているが、組織内のオーソライズが未だである |
| レベル3 | 構成管理項目が明確に定義され、組織内でオーソライズされている |
| レベル4 | 構成管理項目が定義された手順で管理・メンテナンスされ、その手順が関係者内で理解されている |
| レベル5 | 構成管理項目が定期的に見直され、情報の追加が適宜行われている |
構成情報管理
| レベル1 | 構成情報が個人で管理・メンテナンスされている |
| レベル2 | 構成情報の管理手順は定義されているが、組織内のオーソライズが未だである |
| レベル3 | 構成情報の管理手順が定義され、組織内でオーソライズされている |
| レベル4 | 構成管理DBの情報と実際の構成情報が同じことを確認する手順が確立している |
| レベル5 | 構成情報の管理手順が定期的に見直され、変更があった場合には関係者に教育されている |
構成アイテム管理
| レベル1 | 構成アイテムの管理責任者、管理手順は明確に定義されていない、担当者個人が独自に管理している |
| レベル2 | 構成アイテムの管理責任者、管理手順は定義されているが、組織内のオーソライズが未だである |
| レベル3 | 構成アイテムの管理責任者、管理手順が明確に定義され、組織内でオーソライズされている |
| レベル4 | 構成アイテムの現物調査が行われ、構成管理DBの情報との相違が無いことが確認できる |
| レベル5 | 構成アイテムの管理手順が定期的に見直され、変更があった場合には関係者に周知徹底されている |
受領手順
| レベル1 | リリースした構成アイテムの受領手順が明確に定義されておらず、担当者個人が独自に構成管理を行っている |
| レベル2 | リリースした構成アイテムの受領手順は定義されているが、組織内のオーソライズが未だである |
| レベル3 | リリースした構成アイテムの受領手順が明確に定義され、組織内でオーソライズされている |
| レベル4 | リリースした構成アイテムの受領が定義された手順で管理・メンテナンスされ、その監査が可能な状態となっている |
| レベル5 | リリースした構成アイテムの受領手順が定期的に見直され、変更があった場合には関係者に周知徹底されている |
廃棄手順
| レベル1 | 廃棄する構成アイテムの廃棄手順が明確に定義されておらず、担当者個人が独自に構成管理を行っている |
| レベル2 | 廃棄する構成アイテムの廃棄手順は定義されているが、組織内のオーソライズが未だである |
| レベル3 | 廃棄する構成アイテムの廃棄手順が明確に定義され、組織内でオーソライズされている |
| レベル4 | 廃棄する構成アイテムの廃棄が定義された手順で管理・メンテナンスされ、その監査が可能な状態となっている |
| レベル5 | 廃棄する構成アイテムの廃棄手順が定期的に見直され、変更があった場合には関係者に周知徹底されている |
監査手順
| レベル1 | 構成管理の監査手順がなされていない |
| レベル2 | 構成管理の監査手順は定義されているが、組織内のオーソライズが未だである |
| レベル3 | 構成管理の監査手順が明確に定義され、組織内でオーソライズされている |
| レベル4 | 構成管理の監査が定期的に行われている |
| レベル5 | 構成管理の監査手順が定期的に見直され、変更があった場合には関係者に周知徹底されている |
ライセンス管理手順
| レベル1 | ライセンス管理手順が明確に定義されておらず、担当者個人が独自に構成管理を行っている |
| レベル2 | ライセンス管理手順は定義されているが、組織内のオーソライズが未だである |
| レベル3 | ライセンス管理手順が明確に定義され、組織内でオーソライズされている |
| レベル4 | ライセンス管理が定義された手順で管理・メンテナンスされ、その監査が可能な状態となっている |
| レベル5 | ライセンス管理手順が定期的に見直され、変更があった場合には関係者に周知徹底されている |
評価指標
| レベル1 | 評価基準が存在しない |
| レベル2 | 評価基準は定義されているが、組織内のオーソライズが未だである |
| レベル3 | 評価基準が明確に定義され、組織内でオーソライズされている |
| レベル4 | 評価基準を元に構成管理のプロセスの有効性が図られている |
| レベル5 | 評価指標の目標値が定期的に見直されている |
なんか今一のような気もするけど、こういうのがあれば何を今しなけりゃいけないかわかっていいかなぁ?
CMMってギャップ分析に似てるけど、ギャップ分析の場合理想はこうだけど、現実はこんな感じというのをやるわけで、CMMの場合は最終的な理想系とそれにいたる過程を示して、現在どういった状況にあるから次に何をすればいいか?というのを測るのだと思う。というわけで今考えているのだけど、役に立つかねぇ?
