ISO9000认证体系与软件行业

什么叫ISO
ISO源于希腊词根,如ISOBAR,ISOMETRIC和ISOSCELES等词的前缀。意为"相等的"如相等的压力,相等的数量及三角形相等的边。后来ISO被国际标准化组织选作为其机构的名称(ISO即为International Organization for Standardization的英文首尾字母的缩写词)。ISO希望全世界各国都等在一个等同的基础上进行竞争和贸易。
ISO是一个组织的英语简称。其全称是International Organization for Standardization , 翻译成中文就是"国际标准化组织"。
ISO是世界上最大的国际标准化组织。它成立于1947年2月23日，它的前身是1928年成立的"国际标准化协会国际联合会"（简称ISA）。他如IEC 也比较大。IEC即"国际电工委员会"，1906年在英国伦敦成立，是世界上最早的国际标准化组织。IEC主要负责电工、电子领域的标准化活动。而ISO负责除电工、电子领域之外的所有其他领域的标准化活动。
ISO 宣称它的宗旨是"在世界上促进标准化及其相关活动的发展，以便于商品和服务的国际交换，在智力、科学、技术和经济领域开展合作。"
ISO 现有117个成员，包括117个国家和地区。
ISO的最高权力机构是每年一次的"全体大会"，其日常办事机构是中央秘书处，设在瑞士的日内瓦。中央秘书处现有170名职员，由秘书长领导。
什么是ISO9000？
ISO通过它的2856个技术机构开展技术活动。其中技术委员会（简称TC）共185个，分技术委员会（简称SC）共611 个，工作组（WG）2022个，特别工作组38个。
共10ISO的2856个技术机构技术活动的成果（产品）是"国际标准"。ISO现已制定出国际标准300多个，主要涉及各行各业各种产品（包括服务产品、知识产品等）的技术规范。
ISO制定出来的国际标准除了有规范的名称之外，还有编号，编号的格式是：ISO+标准号+[杠+分标准号]+冒号+发布年号（方括号中的内容可有可无），例如：ISO8402：1987、ISO9000-1：1994等，分别是某一个标准的编号。
但是，"ISO9000"不是指一个标准，而是一族标准的统称。根据ISO9000-1：1994的定义："‘ISO9000族‘是由ISO/TC176制定的所有国际标准。"
什么叫TC176呢？TC176即ISO中第176个技术委员会，它成立于1980年，全称是"质量保证技术委员会"，1987年又更名为"质量管理和质量保证技术委员会"。TC176专门负责制定质量管理和质量保证技术的标准。
TC176最早制定的一个标准是ISO8402：1986，名为《质量-术语》，于1986年6月15日正式发布。1987年3月，ISO又正式发布了ISO9000：1987、ISO9001：1987、ISO9002：1987、ISO9003：1987、ISO9004：1987共5个国际标准，与ISO8402：1986一起统称为"ISO9000系列标准"。
此后，TC176又于1990年发布了一个标准，1991年发布了三个标准，1992年发布了一个标准，1993年发布了五个标准；1994年没有另外发布标准，但是对前述"ISO9000系列标准"统一作了修改，分别改为ISO8402：1994、ISO9000-1：1994、ISO9001：1994、ISO9002：1994、ISO9003：1994、ISO9004-1：1994，并把TC176制定的标准定义为"ISO9000族"。1995年，TC176又发布了一个标准，编号是ISO10013：1995。至今，ISO9000族一共有17个标准.
对于上述标准，作为专家应该通晓，作为企业，只需选用如下三个标准之一：
1. ISO9001：1994《质量体系：设计、开发、生产、安装和服务的质量保证模式》；
2. ISO9002：1994《质量体系：生产、安装和服务的质量保证模式》；
3. ISO9003：1994《质量体系：最终检验和试验的质量保证模式》。
什么是质量认证，产品质量认证，质量体系认证和安全认证？
质量认证也叫合格评定，是国际上通行的管理产质量量的有效方法。质量认证按认证的对象分为产质量量认证和质量体系认证两类；按认证的作用可分为安全认证和合格认证。
产品质量认证是指依据产品标准和相应技术要求，经认证机构确认并通过颁发认证证书和认证标志来证明某一产品符合相应标准和相应技术要求的活动。
就是说，产品质量认证的对象是特定产品包括服务。认证的依据或者说获准认证的条件是产品(服务)质量要符合指定的标准的要求，质量体系要满足指定质量保证标准要求，证明获准认证的方式是通过颁发产品认证证书和认证标志。其认证标志可用于获准认证的产品上。产质量量认证又有两种：一种是安全性产品认证，它通过法律、行政法规或规章规定强制执行认证；另一种是合格认证属自愿性认证，是否申请认证，由企业自行决定。
质量体系认证的对象是企业的质量体系，或者说是企业的质量保证能力。认证的根据或者说获准认证的条件，是企业的质量体系应符合申请的质量保证标准即GB／T19001一IS09001或GB／T19002一IS09002或GB／T19003一IS09003和必要的补充要求。获准认证的证明方式是通过颁发具有认证标记的质量体系认证证书。但证书和标记都不能在产品上使用。质量体系认证都是自愿性的。不论是产质量量认证，还是质量体系认证都是第三方从事的活动，确保认证的公正性。
安全认证在我国实行强制性监督管理。实行强制性监督管理的认证是法律、行政法规或联合规章规定强制执行的认证。凡属强制性认证范围的产品，企业必须取得认证资格，并在出厂合格的产品上或其包装上使用认证机构发给特定的认证标志。否则，不准生产、销售或进口和使用。因为这类产品涉及广大人民群众和用户的生命和财产的安全。
关于安全认证的电工产品强制性监督管理已在执行中。1992年9月5日国家技术监督局、商业部、物资部、机械电子工业部、轻工业部等10个单位，按照《中华人民共和国标准化法》和《中华人民共和国产质量量认证管理条例》的规定，联合发出《关于实施安全认证的电工产品进行强制性监督管理的通知》，《通知》中指出：电工产品开展安全认证是以等效转化国际电工委员会(1EC)安全标准的强制性国家标准和行业标准为依据。按此类标准开展的认证必须进行强制性监督管理，九未经安全认证的此类产品，不准出厂、销售、进口和使用。
 
软件企业如何选择认证机构？
企业自愿决策是否申请质量认证；企业自愿选择由国家认可的认证机构，不应有部门和地方的限制；企业自主选择认证的标准依据，即可在GB／T19000一IS09000族标准的三种质量保证模式标准中进行选择，但是在具体选择时，企业和认证机构应就使用哪一个标准作为认证的基准达成一致意见。所选择的质量保证模式应是适宜的，并且不会误导供方的顾客。
企业在选择体系认证机构时，一般应考虑四个因素：权威性、价格、顾客是否接受和认证机构的业务范围。权威性是指体系认证机构的知名度和影响。此外还必须考虑所选择的体系认证机构是否为顾客所接受，通常，顾客对选择体系认证机构并没有国别、行业或地区等的要求，但也不否认某些顾客对此有特定要求，因而在选择认证机构时，必要时也应征询顾客的期望和要求。最后，还应考虑认证机构的业务范围，认证机构必须在国家认可委确定的业务范围内方为有效，超过这个范围的认证一律无效。
需要强调和注意的是，由于软件行业的特殊性（主要是指软件业与传统产业存在着巨大的差别），选择认证机构的同时，也要选择认证机构时应考虑认证机构在软件领域专业的认证业绩，咨询和审核人员对专业领域的熟悉情况，以及认证机构在该领域认证的权威性等。
为什么要质量认证？
由于质量认证是由独立于第一方（供应商）和第二方（采购商）之外的第三方中介机构，通过严格的检验和检查，为产品的符合要求出具权威证书的一种公正、科学的质量制度，符合市场经济的法则，能给贸易双方带来直接经济效益，所以很快被社会所接受
但是也出现另一种倾向，即一些国家利用质量认证作为技术壁垒，阻碍别的国家的商品流入本国，实行贸易保护。为了消除这种贸易技术壁垒，国际间不断协调，使质量认证跨越国界，推动质量认证的国际互认。有人称质量认证是商品进入国际市场的通行证。按照一定规范有序开展质量认证活动，可减少重复检验和评审，降低成本，成为促进贸易的有效手段。
认证是贯彻"以质取胜"的经济发展战略方针的重大措施。企业按照GB/T19000族标准建立质量管理和质量保证体系，并开展认证工作，就是完善"硬件"和"软件"的最好途径。
企业获得认证证书和认证标志，是企业文化、质量文化的重要表现。争取获得认证标志，生产高质量产品，不仅是物质成果，也是精神的产物，是企业文化的结晶。
ISO认证的用途
1.供方证实其质量体系符合规定的质量体系要求。在合同情况下，供方应向特定的顾客证实其质量体系满足合同中规定的质量体系要求。在第三方认证的情况下，供方应向认证机构证实其质量体系满足所申请的质量保证模式的要求。
2.合同情况下作为顾客与供方之间的质量保证协议。合同中顾客对供方的质量体系要求合适时可以直接引用三种模式中适用的一种；需要时，也可在一种模式的基础上进行适当剪裁或提出补充要求。合同中引用哪一种模式以及如何剪裁、补充，应由顾客与供方协商，在对双方都有利的基础上达成一致意见。合同签订后，被引用的质量保证模式标准以及剪裁、补充的要求，将作为顾客对供方质量体系审核的依据。
3.作为合同前评定供方质量体系的准则（属第二方认定或注册的情况）。合同签订前，顾客往往需要评定供方的质量体系，以确定该供方具有满足其订购产品技术要求的能力。评定前，双方应就使用哪一个质量保证标准以及必要时的补充要求作为评定（或认定）的准则达成一致意见。
4.作为第三方认证的依据。在第三方质量体系认证时，供方和认证机构应就使用哪一个质量保证标准作为认证的准则达成一致意见。所选择的模式应适合所覆盖的产品技术要求的需要，并且不会误导供方的顾客。例如，一个组织有设计功能，申请体系认证所覆盖的产品是该组织自行设计的，究竟是选择GB1/T19001-ISO9001，还是选择GB1/T19002-ISO9002就特别重要。当设计质量对产质量量的形成特别重要，而且在产品检验和试验时又难以充分验证时，应选择GB1/T19001-ISO9001。一般来说，一个组织自己设计并制造的产品，最好选择第一种模式的质量体系认证。
企业申请认证的条件
开展质量认证是为了保证产质量量，提高产品信誉，保护用户和消费者的利益，促进国际贸易和发展经贸合作。这个认证目的非常清楚地说明，企业要开展认证必须具备条件才能申请认证。
《中华人民共和国产质量量认证管理条例》第三章专门讲了条件和程序，归纳起来，企业申请产质量量认证必须具备四个基本条件：
1． 中国企业持有工商行政管理部门颁发的"企业法人营业执照"；外国企业持有有关部门机构的登记注册证明。
2． 产质量量稳定，能正常批量生产。质量稳定指的是产品在一年以上连续抽查合格。小批量生产的产品，不能代表产质量量的稳定情况，必须正式成批生产产品的企业，才能有资格申请认证。
3． 产品符合国家标准、行业标准及其补充技术要求，或符合国务院标准化行政主管部门确认的标准。这里所说的标准是指具有国际水平的国家标准或行业标准。产品是否符合标准需由国家质量技术监督局确认和批准的检验机构进行抽样卷烟予以证明。
4． 生产企业建立的质量体系符合GB/T19000-ISO9000族中质量保证标准的要求。建立适用的质量标准体系（一般选定ISO9002来建立质量体系），并使其有效运行。
具备以上四个条件，企业即可向国家认证机构申请认证。一般说，已批量生产的企业多基本具备了前三个条件，后一个条件是要努力创造。目前应该积极开展宣传贯彻GB/T19000-ISO9000族标准，结合企业实际，建立质量体系认证必须具备以下条件：
1)． 中国企业持有工商行政管理部门颁发的"企业法人营业执照"；外国企业持有有关部门机构的登记注册证明。
2)． 企业已按GB/T19000-ISO9000族中的质量保证标准建立和实施可文件化的质量体系。
质量体系认证的程序
国家技术监督局于1994年1月19日发布了《质量体系认证实施程序规则(试行)》，我国质量体系认证的实施可分为以下四个阶段：
(一)提出申请 申请者(例如企业)按照规定的内容和格式向体系认证机构提出书面申请，并提交质量手册和其他必要的信息。质量手册内容应能证实其质量体系满足所申请的质量保证标准(GB/T19001或19002或19003)的要求。向哪一个体系认证机构申请由申请者自己选择。 体系认证机构在收到认证申请之日起60天内作出是否受理申请的决定，并书面通知申请者；如果不受理申请应说明理由。
(二)体系审核 体系认证机构指派审核组对申请的质量体系进行文件审查和现场审核。文件审查的目的主要是审查申请者提交的质量手册的规定是否满足所申请的质量保证标准的要求；如果不能满足，审核组需向申请者提出，由申请者澄清、补充或修改。只有当文件审查通过后方可进行现场审核。现场审核的主要目的是通过收集客观证据检查评定质量体系的运行与质量手册的规定是否一致，证实其符合质量保证标准要求的程度，作出审核结论，向体系认证机构提交审核报告。 审核组的正式成员应为注册审核员，其中至少应有一名注册主任审核员；必要时可聘请技术专家协助审核工作。
(三)审批发证 体系认证机构审查审核组提交的审核报告，对符合规定要求的批准认证，向申请者颁发体系认证证书，证书有效期三年；对不符合规定要求的亦应书面通知申请者。 体系认证机构应公布证书持有者的注册名录，其内容应包括注册的质量保证标准的编号及其年代号和所覆盖的产品范围。通过注册名录向注册单位的潜在顾客和社会有关方面提供对注册单位质量保证能力的信任，使注册单位获得更多的订单。
(四)监督管理 对获准认证后的监督管理有以下几项规定：
1．标志的使用。体系认证证书的持有者应按体系认证机构的规定使用其专用的标志，不得将标志使用在产品上，防止顾客误认为产品获准认证。
2. 通报。证书的持有者改变其认证审核时的质量体系，应及时将更改情况报体系认证机构。体系认证机构根据具体情况决定是否需要重新评定。
3. 监督审核。体系认证机构对证书持有者的质量体系每年至少进行一次监督审核，以使其质量体系继续保持。
4. 监督后的处置。通过对证书持有者的质量体系的监督审核，如果证实其体系继续符合规定要求时，则保持其认证资格。如果证实其体系不符合规定要求时，则视其不符合的严重程度，由体系认证机构决定暂停使用认证证书和标志或撤销认证资格，收回其体系认证证书。
5．换发证书。在证书有效期内，如果遇到质量体系标准变更，或者体系认证的范围变更，或者证书的持有者变更时，证书持有者可以申请换发证书，认证机构决定作必要的补充审核。
6．注销证书。在证书有效期内，由于体系认证规则或体系标准变更或其他原因，证书的持有者不愿保持其认证资格的，体系认证机构应收回其认证证书，并注销认证资格。
质量体系文件的作用
1. 质量体系文件确定了职责的分配和活动的程序，是企业内部的"法规"。
2. 质量体系文件是企业开展内部培训的依据。
3. 质量体系文件是质量审核的依据。
4. 质量体系文件使质量改进有章可循
质量体系文件的层次
第一层：质量手册
第二层：程序文件
第三层：第三层文件通常又可分为：
管理性第三层文件（如：车间管理办法、仓库管理办法、文件和资料编写导则、产品标识细则等）
技术性第三层文件（如：产品标准、原材料标准、技术图纸、工序作业指导书、工艺卡、设备操作规程、抽样标准、检验规程等）
注：表格（质量记录）一般归为第三层文件。
软件企业为什么要建立ISO9000质量管理体系？
软件企业在工作实践中总结出在软件质量问题上必须认识到：
1、软件本身的特点和目前软件开发模式使隐藏在软件内部的质量缺陷不可能完全避免，这包括：
---软件需求模糊以及需求的变更，从根本上影响着软件产品的质量
---目前广为采用的手工开发方式难于避免出现差错
---软件开发过程中各个环节的接口处不易保证安全
---软件测试技术存在着不可克服的缺陷，通过测试不可能把软件的缺陷全部排除。
2、从技术上解决软件质量问题的效果十分有限。
---找不到一个理想的软件开发技术能够从根本上防止缺陷的出现
---人们对软件质量的认识，软件质量的度量方法仍处于初级阶段
3、技术人员和管理人员在软件开发工作中仍有一些不正确的认识需要纠正，这需要在企业建立和实施质量体系的过程中加以解决。
4、目前多数软件企业的质量管理尚未得到应有的重视，他们需要认真总结教训，并将其渗入质量体系形成制度化的规定。
5、软件开发必须靠加强管理来实现工程化，质量管理要体现在建立和实施开发规范中，保证软件工程的各个步骤和各个岗位的工作都符合要求，并且即使产品在使用中出现了问题，也能及时的发现，及时妥善解决。
总之， 这些认识最终应体现在建立和实施ISO9000质量管理体系，争取质量认证的工作中。除此之外，软件企业贯彻ISO9000认证还具有加强国防合作，提高企业综合形象，扩大市场份额等诸多好处。
什么是软件企业ISO9000质量管理体系认证？
软件企业贯彻实施ISO9000质量管理体系认证，应当选择质量保证模式标准ISO9001。ISO9000-3作为软件企业实施ISO9001质量保证模式标准的实施指南，通过对软件产品从市场调查、需求分析、软件设计、编码、测试等开发工作，直至作为商品软件销售，以及安装及维护整个过程进行控制，保障软件产品的质量。现在ISO9000标准已被各国软件企业广泛采用，并将其作为建立企业质量体系的依据。
ISO9000-94与ISO9000-2000版之间的主要区别
1． 在管理思想上的发展：2000版ISO/DIS9001比ISO9000-94更加强调管理体系，加强了过程的管理，而不是对各个单独的要素平铺性的管理。在过程管理中，强调接口管理。
2． 在体系文件管理上，在ISO9000-94版中共17个要素中都提出了"形成文件的程序"要求。但是，2000版ISO/DIS9001在4.2中提出质量管理体系文件应包括"组织为确保其过程有效运行和得到控制所要求的文件。"这表明没有提到"形成文件的程序"的地方不一定就不需要文件，有些地方还是需要文件，只不过文件的形式不同罢了。并且，还应认识到，标准中未明?quot;文件化程序"的要求是给组织更多结合实际来决定文件化程序的自由度。这样有利于把注意力放在对过程的控制上，使程序更有实效。
3． 2000版ISO/DIS9001更强调内部沟通，而在ISO9000-94中没有明确要求。
4． 在持续改进上的发展：2000版ISO/DIS9001比ISO9000-94更加强调有效的持续改进，对于这一部分，94版中4.17、4.14等部分完全适用，只是以前仅针对已发现了不合格或潜在的不合格，要求采取改进。而新版标准要求持续改进要求在正常情况下，也要加强持续改进，以保证体系的有效性和效率，需要做出补充的规定。
5． 94版ISO9002、ISO9003在2000版标准中已不作为单独的标准存在，因此，在2000版ISO/DIS9001中增加了一条1.2"允许的裁剪"，允许的裁剪仅限于第七章中部分条款，组织不允许裁剪第4、5、6和8章中的内容。裁剪的原因主要来自于（1）组织所提供产品的性质；（2）顾客要求（3）适用的法律法规要求。强调了适宜性和有效性。
6． 数据分析和处理：在94版ISO9001标准中的4.14.3"预防措施"和4.20"统计技术"中已经体现出数据的收集、统计分析和应用的要求，而2000版标准更加明确地提出收集和分析数据是为了确定质量体系的适宜性和有效性，以及识别可以实施的改进。而且还提示数据分析可以提供顾客满意度，过程和产品的特性及其趋势，以及供方提供产品/服务的信息。说明2000版充分地体现信息和数据是组织进行管理的基础的思想。
误区之一--ISO9000不适用于软件 ？
持这种观点的人认为:软件开发是高度知识密集型的工作，是开发人员的智力创作，对开发人员的知识和技术水平要求较高。实施ISO9000能否达到预期的效果，即保证软件企业具有开发出符合要求的软件产品的能力?
ISO9000确实是起源于硬件，但这里需要强调指出的是ISO9000既不是某一产品的产品标准，也不是某一领域的技术标准，而是指导企业建立、实施质量体系的管理标准。它具有两种主要职能，即管理和保证职能。
ISO9000为企业提供了一个比较科学的管理和保证机制，它是任何企业都需要的。因此，ISO9000适用于所有的工业类型的企业。
同时，为了更好地在各个工业领域应用ISO9000，ISO/TC176(负责起草ISO9000的标准技术委员会)将工业产品分为四类，即硬件、软件、流程性材料和服务，ISO9000-3(ISO9001在软件开发、供应和维护中的使用指南)就是其中之一。因此，ISO9000不仅从原理和方法上适用于软件领域，而且还针对软件开发特点制定了相应的补充性指南，从而为软件企业更好地应用ISO9000提供了指导。
误区之二-- 软件企业难以实施ISO9000 ？
ISO9000要求建立一个文件化的质量体系，这个体系要求全员参与，并明确各个岗位的职责，只能严格地按照文件规定的要求执行。对于每个软件项目的大小、规模不等这一特性，可以将软件作为一个具体的"产品"对待，至于这个产品所采用的开发过程如何，或者说采用了哪几个生存周期过程，则在体系中不作统一要求，完全可以根据该项目的大小、规模，并依据质量体系的原则要求确定。因此，"软件按项目开发及项目的大小、规模不同"完全不妨碍软件企业应用ISO9000，相反应用了ISO9000，项目管理更加科学、系统。至于说到项目的进度问题，应用ISO9000并不会造成进度拖延，相反会使项目拖延问题得到改善。这是因为造成进度拖延的主要原因是由于管理不善，没有严格地按照规定的要求去作，而应用ISO9000则能够解决管理上的漏洞，使项目拖延问题得到最大限度的改善。
因此，我们虽然不能说应用了ISO9000的企业就具有了开发出符合要求的软件产品的能力，但却可以说软件企业要想具有开发出符合要求的软件产品，应用ISO9000则是其最佳选择。