答坛友问:关于软件企业的7.4,采购产品指的是什么?
有坛友私下问我:“关于软件企业的7.4,采购产品指的是什么? 如果从标准术语来理解,产品应是: a)预期提供给顾客的或顾客所要求的产品; b)产品实现过程所产生的任何预期输出。 如果软件企业交付给客户的是纯软件,且没有外包,那么7.4采购产品我理解为没有。 而计算机、开发软件应属于6.3设备的范围,其采购、验证是6.3的内容。static/image/hrline/line8.png
考虑到这个问题可能有一定的普遍意义,现公开回答。但正确与谬误自判,仅供参考。 答:软件产品与硬件产品有非常大的差异。为了在软件企业实施ISO9000要求,ISO组织专门制定有一个指南《ISO/IEC 90003:2004.IDT》,我国加以等同采用为GB/T19003-2008/ISO/IEC 90003:2004《GBT 19003-2008 软件工程 GB∕T19001-2000应用于计算机软件的指南》。这是软件企业实施ISO9000唯一可参照的标准。虽非审核准则,但对理解ISO9001-2008的要求,并力争满足要求是非常好的一个工具。针对你提的问题,6.3和7.4均有非常清楚的指导。我想加以归纳说明之。一、先说说6.3要求:标准只是要求“组织应确定、提供并维护为达到产品符合要求所需的基础设施”。注意是“确定”、“提供”、“维护”,并未涉及你所讲的对其“采购、验证”要求!哪么,这些基础设施在软件企业指的是哪些设施呢?除了ISO9001标准要求的三种设施(建筑物、工作场所和相关设施;过程设备—硬件和软件;支持性服务—运输或通讯)外,软件行业管理体系应“确定”、“提供”、“维护”设施还有,GBT 19003-2008的6.3所提示的设施:“应当包括用于软件开发、运行或维护的硬件、软件、工具和设施”。《指南》紧接着又说:“基础设施可包括支持设计和开发过程的软件工具,其中包括:a) 工具、例如用于分析、设计和开发、配置管理、测试、项目管理、文档、代码编写或生成等工具;b) 应用开发和支持环境;c) 知识管理、内部网络以及外部网络工具; d) 网络工具,包括网络安全、备份、防病毒和防火墙; e) 帮助台和维护工具; f) 访问控制; g) 软件库;h) 运行控制工具,如网络监视、系统管理和存储管理工具。关于这些设施的控制要求的进一步信息还可从以下标准中获得:----ISO/IEC12207:1995 中的7.2以及ISO/IEC12207:1995/Amd:2002【12】F.3.2(基础设施过程);----GB/T18905.2-2002/ISO/IEC14598-2[获取]GB/T18905.3-2002/ISO/IEC14598-3(软件产品评价);----GB/T18234 -2000/ISO/IEC14102 《指南》还要求,“不论这些工具和技术是自我开发的还是购买的,组织都应当对其适用进行评价”。 显然,上面表述的“用于软件开发、运行或维护的硬件、软件、工具和设施”大部分不可能是组织自我开发的,而必须通过“购买”获得!“购买”就是“采购”。说到这里,你还可能得到“软件企业交付给客户的是纯软件,且没有外包,那么7.4采购产品我理解为没有”这种答案吗? 二、关于软件企业的采购控制要求:1、软件企业需要采购的产品:除上述用于软件开发、运行或维护的硬件、软件、工具和设施”大部分需要组织“采购”外,根据7.4.1的要求软件企业还可能发生的通过“采购”活动“采购”以下产品(如无,可忽略):1) 免费的开放的源开发工具(产品);2) 商品软件或共享软件;3) 定制的软件和服务;4) 分包开发(外包劳务或产品的部分模块单元开发分包)。;5) 外包活动(如产品检测、独立验证和确认,开发软件及设备的管理和维护以及外聘技术专家);6) 用于辅助软件开发的工具(如设计开发和配置管理工具、编码分析器、调试器、测试分析器、程序生成器及编译器);7) 计算机、服务器主机、外设和配件;8) 通讯设施、终端设备;9) 网络设备、防火墙类安全设备、内部网线、控制电缆;10). 电源设备;11). 维修用关键部件;12). 有环境要求的软件测试物理环境的控制室内的调温及温控设施;13). 用户所需的产品或技术文件;14). 软件售前、售中、售后服务的用户培训课程和技术资料。15). 软件的承载媒体(光盘、硬盘、磁光盘、U盘、固体硬盘)及配套设备包装物(纸盒、塑料盒、标签)、条码机、打码机等等;2、软件企业的采购过程控制要点:2.1 上述采购产品中,分包开发(外包劳务或产品的部分模块单元开发分包)和外包活动(如产品检测、独立验证和确认,开发软件及设备的管理和维护以及外聘技术专家)对组织的产品是否能满足顾客要求非常重要,组织应加强对供方的评价选择控制,进行风险评估,获取供方人员的资格证明和培训记录,确认有效地验证供方的过程成熟度、开发能力和开发水平(如无分包开发情况可忽略)。2.2 对于劳务分包人员,应充分考虑他们在程序设计语言、开发工具和系统管理方面的教育水平、培训经历、技能和经验(如无分包开发情况可忽略)。2.3购买或获取数据时,应慎重考虑所获取数据的格式、媒体、容量、来源和内容;2.4 购买软件产品应考虑承载格式和媒体、工作平台、系统及环境要求,以确保满足运行要求。2.5 其他方面应严格按7.4要求实施控制。
感谢袁老师提供的非常有价值的资料! 学习了,这个也是我一直以来有困惑的问题。
就软件开发工具而言,通常一个软件公司购买了一个开发工具,几年都不会再买,企业说只买过一次,这几年都没有再买,还要评价吗?这是不是可以理解供应商还为开发工具提供升级服务,所以仍需评价?
袁老师是否还能说一下度量方面的知识?
感谢袁老师提供的非常有价值的资料! 谢谢袁老师 感谢袁老师!
一般来说,机械行业是最符合9001的。如果只看机加工企业,他们的设备管理一般都有专门的“设备管理制度”,包括了设备的采购、验收、使用到报废的全过程。而采购过程则指的是原材料/零部件的购买的控制。
所以,我看到的机加工企业里设备采购是6.3而非7.4的要求。
对比到软件行业,就让我困惑,并不是说软件企业没有采购,只是设备采购需不需要放到7.4里去控制?希望大家能来讨论。
再次感谢袁老师的辛苦付出!
1、请再仔细阅读一下标准的6.3.其中除了“确定”“维护”的要求外,并未对设备的采购提出任何要求;
2、再看看7.4.1“组织应确保采购的产品符合规定的采购要求”。采购是组织的一种在产品实现过程中必不可少的活动。但问题是,这里的所提及的“采购的产品”是哪些“产品”?我认为,标准并未限制是组成产品的一部分的产品(材料、部件、零件或其他);所以此处所讲的“采购的产品”还应包括组织计划或需要采购的其他产品。
3、从7.4.2采购信息。可以找到答案。“采购信息应表述拟采购的产品”。适当时包括:a)产品、程序、过程和设备的批准要求。据此,我们似乎可以将采购的产品分为2种:
产品---构成组织产品的材料、零部件、包装物和其他;
设备--显然是指6.3中需要“确认”和 “维护”的能达到符合产品要求所需的基础设施---设备。
至于“程序”--我理解可以是按“程序”术语所定义的,是采购信息中所应该列出的“采购活动的路径和方法”。当然,从另外一种角度也可理解为“采购程序”(“程序”是计算机软件的驱动程序或工作控制程序)。哪此处的“程序”可以理解为是采购的一个新对象。
过程--可以理解为在采购信息中有”采购活动的过程“要求。这是对采购活动的控制方法之一。
当然,当组织的产品实现的任何过程需要”外包“来实现时。这种”过程“,是不是可理解为采购的外包过程(服务、劳务、加工、代办),是另一个需要采购的对象。
据此,对设备、设施的采购,我认为应纳入组织的采购管理,并非属于6.3的控制内容。
4、再看看7.4.3,标准要求”组织应确定并实施检验或其他必要的活动,以确保采购的产品满足规定的采购要求“。这里的”采购要求”是通过“7.4.2”采购信息来作出”安排“和批准的要求。
只要组织“确定”的如何“检验”或“验证/验收”并实施后可证明采购产品已能满足通过“采购要求”就OK.并不需要按6.3去控制。
供参考。 机械厂的设备采购与7.4无关,7.4是产品采购,机械厂的产品显然不是采购的设备。放在6.3没有问题。6.3虽然没有提到设备的采购,但这是设备管理的源头,采购环节没有控制好,就直接影响设备的性能 正是在7.4采购的包括范围上,我和袁老师理解不一致。
我认为的采购内容即为构成产品的部分,当然外包过程也是用采购来控制。
6.3里没有采购的要求,所以很多企业制定了自己的制度来包括采购要求。
我们审核机加工企业时,对设备的采购一般是不要求的,所以更不考虑设备供方的控制了。
当然机加工企业原材料多,有审核内容。而软件企业没有,会把设备加到7.4里。这样我感觉软件和机加工在这一条款上冲突了。
以上个人观点供参考。
感谢袁老师的回复,也希望大家讨论。 我审核软件企业,一般把正版软件序列号验证,设备硬件采购作为来料检验验证的主要审核方向。供参考。 有道理。值得借鉴。 非常专业的理解. kwy516888 发表于 2013-12-17 20:08
我审核软件企业,一般把正版软件序列号验证,设备硬件采购作为来料检验验证的主要审核方向。供参考。
个人理解:
1、正版软件的验证,是尊重法律法规中关于落实软件版权的控制要求。
2、采购的软件产品,是作为一个标准产品来验收,而不是需要对所有的性能指标作全面测试,例如可以买一台计算机,我们可能只验证型号、规格、包装等信息就可以了,而不需要对计算机作整体性能测试,软件也一样。
至于袁老师说的采购软件的验证与7.6关系,我觉得还是很远的。验证是验证软件“适宜性”,“可使用性”,7.6是针对监视和测量设备(或者软件)的控制,关注的软件使用输出结果的准确性。打个比方,我买了一个正版的excle软件,验证正版,是对这个软件合理和可使用性的验证,而使用这个软件计算1+1的结果是不是等于2,才是7.6 的控制要求。
仅是个人见解,供分析讨论。 rml 发表于 2013-12-18 01:50
当且仅当“正版软件、设备硬件”构成顾客要求或预期提供给顾客的产品时,这方向在ISO9001第三方审核中是 ...
如果这样理解,那使用正版软件和盗版软件无所谓区别?
那反问一下,审核制造业的时候,对厂房一类的基础建筑、维修好坏的生产设备,我们要不要考虑审核到,厂房破一点和好一点,机器好一点和坏一点,同样能生产出满足客户要求的产品,那需要控制吗?审核要关注吗? 软件产品与硬件产品有非常大的差异。为了在软件企业实施ISO9000要求,ISO组织专门制定有一个指南《ISO/IEC 90003:2004.IDT》,我国加以等同采用为GB/T19003-2008/ISO/IEC 90003:2004《GBT 19003-2008 软件工程 GB∕T19001-2000应用于计算机软件的指南》。这是软件企业实施ISO9000唯一可参照的标准。虽非审核准则,但对理解ISO9001-2008的要求,并力争满足要求是非常好的一个工具。
针对你提的问题,6.3和7.4均有非常清楚的指导。我想加以归纳说明之。
感谢 yuanye318
页:
[1]