实现能力成熟度模型集成（Capability Maturity Model Integration，CMMI）等级 4

　　引言

　　在 developerWorks Rational 专区上的 Managing Compliance系列的第一篇文章“An overview of IT frameworks”中，我讨论过 IT 框架是关于什么内容的，以及它们如何控制满足法规需求所需的业务过程。我比较了标准的框架，包括 COBIT® 和 CMMI®，并且向您介绍了如何自定义一个框架。

　　在该系列的第二篇文章，“Automating COBIT business processes using IBM Rational Portfolio Manager”中，我曾指出，COBIT 是帮助确保对信息和创建、存储，并操作 IT 的系统进行合适控制及治理的 IT 治理框架。COBIT 提供了一个框架，用于适当设置控制，从而确保对法规的遵循，例如 Sarbanes Oxley (SOX 法案) 和 Basel。

　　CMMI（1991 年由卡内基梅隆大学的软件工程协会（Software Engineering Institute ）发布的）是一系列集成的模型。它们包括软件开发、系统工程，及集成产品与过程开发、人员和关于跨项目、区域，或整个组织的过程改进的其他计划。

　　在该系列的第三篇文章中，我将探讨 CMMI 中缺失的部分，以及您如何能够利用 IBM RUP for Compliance Management Plug-in 和其他 Rational 工具，为缺失的部分（法规遵循、风险，及治理）达到成熟度等级 4。我还将简要介绍如何将 CMMI 与 COBIT 结合。

　　缺失的部分

　　CMMI 中缺失的部分是法规遵循、风险，及治理的过程。要加入这些过程，第一步是要树立达到该模型第四个成熟度等级的整体目标。让我们来看一下每个过程类型的目标：

　　风险管理目标是度量并控制风险，使风险减小到指定的可接受的级别。当新的风险到来时，我们需要更新该目标，以确保这些与现有风险结合了的新风险仍将处于该指定的可接受级别上。