CMMI供应商协议管理(SAM)实践域概述

CMMI V3.0供应商协议管理实践域是CMMI供应商视图的通用实践域

CMMI供应商协议管理实践域必需的实践域信息

意图

选择合格的供应商，签订协议，并在协议期限内管理由此产生的供应商和采购方活动。

价值

最大限度地提高采购方和供应商实现共同成功的可能性。

其他必需的实践域信息

如果所选的视图中包含“数据”：识别要包含在供应商协议中的与数据相关的考量，例如隐私、数据质量。
如果所选的视图中包含“安全”：识别要包含在供应商协议中的与危害和安全相关的考量，例如功能安全。
如果所选的视图中包含“安保”：识别要包含在供应商协议中的与安保相关的考量，例如物理安保、数据库和信息访问、背景调查、人员通行证。

CMMI供应商协议管理实践域解释性实践域信息

CMMI供应商协议管理实践总结

第 1 级

SAM 1.1 识别、评估和选择供应商。
SAM 1.2 开发和记录供应商协议。
SAM 1.3 接收或拒收供应商交付物。
SAM 1.4 处理供应商发票。

第 2 级

SAM 2.1 识别评价标准、潜在供应商并分发供应商请求。
SAM 2.2 根据记录的评估标准评估供应商回应并选择供应商。
SAM 2.3 根据供应商协议管理供应商活动并持续更新协议。
SAM 2.4 在接收之前先验证采购的供应商交付物是否符合供应商协议。
SAM 2.5 根据供应商协议管理供应商提交的发票。

第 3 级

SAM 3.1 对供应商性能活动和选定的交付物进行技术评审。
SAM 3.2 根据供应商协议中的标准管理供应商性能和过程。

第 4 级

SAM 4.1 选择度量项并运用分析技术，根据供应商性能目标对供应商进行量化管理。

CMMI供应商协议管理其他实践域解释性信息

供应商管理活动包括：
• 选择合格供应商
• 制定供应商协议
• 执行供应商协议
• 监督供应商技术活动
• 监督供应商过程和性能
• 验收所采购产品的交付
• 管理供应商发票

供应商协议是采购方与供应商之间达成的共识，作为管理双方关系的基础。协议定义了过程、角色和职责，使采购方有权：
• 监督供应商的活动
• 监督进行中的供应商交付物
• 验证是否满足供应商协议的要求
• 必要时解决问题

“供应商交付物”一词指根据协议提供给采购方或其他接收受方的物品。交付物可以是文档、硬件、软件、服务、任何类型的解决方案或工作产品。

如果供应商的性能、过程或供应商交付物不能满足供应商协议中所列的既定标准，采购方可采取纠正措施。在管理供应商交付物的采购过程中，采购方必须了解到行动的法律影响。

在监督供应商技术活动时，采购方可：
• 对供应商的技术交付物进行技术评审
• 分析供应商技术交付物的开发和执行情况，以确认技术进度以及是否满足合同需求
这些活动通常相互支持，用于度量技术进度并推动技术风险的有效管理。执行技术评审时进行不同详细程度的分析，以满足采购方的要求。对供应商进行的技术评审包括度量技术进度以及计划和需求的有效性。针对供应商的技术评审应与相关过程一同执行，如需求管理、风险与机会管理、配置管理和数据管理。

在某些采购中，采购方承担供应商交付物的整体架构师或集成者的角色。采购方需要确保需求和供应商协议的变更是可接受的且符合采购限制的。

与CMMI供应商协议管理相关的实践域

赋能安全 (ESAF)
赋能安保 (ESEC)
管理安保威胁和漏洞 (MST)

与CMMI供应商协议管理相关的特定背景

安保

背景标签：CMMI-SEC
背景：利用过程将安保注意事项整合为解决方案、工作、项目和组织不可或缺的一部分。

在管理与供应商签订的协议时考虑以下方面：
• 侧重于品牌完整性而不是品牌保护；这样有助于进行解决方案生命周期威胁建模，从而主动识别和解决供应链漏洞
• 定期召开供应商会议，以确保供应商了解客户和最终用户的业务需求、疑虑和安保优先级
• 向供应商提供有关关键组织安保目标和计划的指导和培训计划
• 识别和监控在解决方案中包含供应商解决方案或第三方组件时，可能引入的安保风险、威胁和漏洞
• 利用供应商评审和审计，帮助确定主要供应商是否实施了安保方法、标准和保护措施；以及用来审查下级供应商的实践，例如二级和三级供应商和分包商
• 对供应商自我评价评审执行现场安保验证和确认
• 软件或销售物料清单 (SBOM)，也称为软件销售清单 (SBOS)，包括开源软件或解决方案中存在的任何其他潜在漏洞

CMMI-DEV V1.3中，对供应商协议管理（SAM）的说明。