移动互联网应用程序（APP）合规开发管理测评规范 第11部分：能力成熟度评估.pdf

移动互联网应用程序（APP）合规开发管理测评规范第11部分：

能力成熟度评估

1范围

本文件规定了移动互联网应用程序合规开发管理的能力成熟度评估要求，包括评估原则、总体要

求、能力成熟度评估等级和能力成熟度评估具体要求，明确合规开发管理的能力成熟度评估范围。

本文件适用于APP开发者的设计、生产活动，也适用于主管部门、第三方评估机构等组织对APP开发

者的能力成熟度情况进行监督、管理和评估。

2规范性引用文件

本文件没有规范性引用文件。

3术语和定义

下列术语和定义适用于本文件。

3.1

移动互联网应用程序mobileInternetapplication

可安装在移动智能终端内，能够利用移动智能终端操作系统提供的公开开发接口，实现某项或某几

项特定任务的应用程序。

3.2

能力成熟度capabilitymaturity

对一个组织有条理的持续改进能力以及实现特定过程的连续性、可持续性、有效性和可信度的水平。

[来源:GB/T37988—2019]

4缩略语

下列缩略语适用于本文件。

APP：移动互联网应用程序（MobileInternetApplication）

5概述

5.1评估原则

1

能力成熟度评估是一种评估组织在移动互联网领域能力水平的过程，评估结果可以帮助企业制定改

进计划，提高其在移动互联网领域的能力水平。能力成熟度评估过程应遵循以下原则进行：

a)标准性原则：评估工作应依据本文件展开，评估人员应具备足够的专业能力，评估过程应充

分记录，以确保评估的全面性、一致性和准确性。

b)保密性原则：评估人员在评估过程中，应采取安全措施审慎使用和保护在评估过程获得的信

息，以保障被评估方数据安全。

c)客观公正原则：评估发现、评估结论和评估报告应真实和准确地反映评估活动，不带评估人

员个人偏见，以确保评估发现和评估结论仅建立在评估证据的基础上。

5.2总体要求

合规开发管理能力成熟度评估主要包括组织责任、合规开发管理战略、合规开发管理体系、开发生

命周期管理、交流和反馈、培训和教育、识别和应对风险、持续改进等共八部分，具体要求如下：

a)组织责任，包括组织架构、部门设置、人员责任。

b)合规开发管理战略，包括合规开发管理目标、合规目标评估、合规文化建设。

c)合规开发管理体系，包括合规政策完善、要求基本覆盖、及时更新调整。

d)开发生命周期管理，包括立项阶段、需求设计、开发实施阶段、测试阶段、运维监控阶段。

e)交流和反馈，包括评估各个业务模块间合规管理沟通机制。

f)培训和教育，包括定期对员工开展教育和评估。

g)识别和应对风险，包括开展风险识别、应急响应。

h)持续改进，包括评估企业不断改进和创新合规管理。

6能力成熟度评估等级

6.1第一级

能力成熟度评估主要是体现在APP开发过程中，未建立基本的合规管理流程和初步的体系，具体特

征如下：

a)一般由各业务团队人员负责能力成熟度评估相关工作。

b)未制定能力成熟度评估制度规范和管理流程，不能基本满足评估要求。

c)未建立监督和审计机制，对合规开发的执行情况进行监督和评估。

6.2第二级

能力成熟度评估体现在组织层面，初步具备完善的标准化管理机制，具体特征如下：

a)初步设立了能力成熟度评估管理部门、岗位、人员，主要负责制定实施组织的战略规划、制

度管理流程，以覆盖全开发周期相关的系统和应用。

b)能对开发全生命周期的管理过程进行支撑。

c)初步具备能力成熟度评估管理制度和流程，能基本满足评估要求。

d)初步建立了监督和审计机制，能对合规管理的执行情况进行监督和评估。

e)对组织内部人员的合规开发意识和合规开发能力制定了相应的培训及考核机制。

6.3第三级

2

能力成熟度评估体现在拥有完善的能力成熟度评估体系和持续改进策略，能够促进能力成熟度评估

的规范化落地，具体特征如下：

a)设立了专门的能力成熟度评估