有关ISO的个人见解

由网友xmfu提交。本来提交到下载中的，但我认为与本站的主旨不符，但有一定的意义，故放到此，让大家看看。

1  写在前面
    5月18、19日两天，我受公司委派参加安徽省信息中心举办的软件质量管理与认证培训班，感觉一般但
收获很大。这次培训让我明确了许多概念，澄清了许多误区，对比公司软件部门开发的现状又有新的感受。
我把这些写出来，权当作本次学习的总结。

2  软件质量管理
2-1  软件质量之含义：
    软件质量是软件产品对一组固有特性满足要求的程度。这个要求是明示的、通常隐含的必须履行的需求
和期望。由此而来，软件需求是衡量软件质量的基础，软件开发的质量保证活动必须是以需求为中心，强调
在开发过程中强行遵守标准规范以达到控制质量的目的。 软件中通常有一些不作明文规定的隐含需求，要
尽量以文件的形式规定下来，这也是质量管理八大原则的以顾客为关注焦点的原则（下面会详述）。

2-2  质量管理八项原则
    1：以顾客为关注焦点
    2：领导作用
    3：全员参与
    4：过程方法
    5：持续改进
    6：管理的系统方法
    7：基于事实的决策方法
    8：与供方互利的关系
    各个原则的详细叙述在讲议的第五页，这里不在浪费打印纸。首要原则是以顾客为关注焦点，要求充分
了解客户当前和未来的需求，满足并争取超越客户的期望。强调需求是质量保证的基础，也就是说搞清楚客
户要我们干什么。
    2和3是要求最高领导必须重视质量管理，要发动所有员工学习和参与质量管理，这两条强调质量管理中
人对质量活动是最重要的，要充分调动员工的热情，要求他们对质量活动的强制性给予理解和支持，并充分
授权。
    4到7是对人和其他资源的管理和决策。对人的管理，它基本要求分工明确，职责分明，目标清晰，充分
沟通，自我评估和不断更新改进，更重要的是它强调法制化管理。
    8是对于合作伙伴和分包方来说的。

2-3  质量管理体系
    质量管理体系就是把八项原则具体化，文件化。也就是说你按照质量管理体系的要求建立了你的管理架
构并有效运行，那么你的企业质量活动就在自觉的贯彻落实质量管理八项原则，产品质量就有一定程度的保
证。目前软件行业流行的是ISO9001和美国SEI CMM质量管理体系标准，还有TL9000，TickIT，我国的国家标
准是等同采用ISO标准。
    各种质量管理体系都强调在过程方法上满足PDCA模式，强调建立质量方针和目标，强调最高管理者在体
系中的价值，并强调所有活动都建立在文件（文档）之上。
    

2-4 质量管理体系认证
    通过权威第三方证明你的质量体系是符合标准的。它的产生是由于以前各个国家的国家标准质量体系要
求不一样，因此要求出口方的质量体系必须符合本国国标才能对其产品质量给予认可，由此造成贸易壁垒，
国际标准化组织也因此诞生，它授权给参加多边认可协议的国家，让该国根据ISO标准自行认证本国企业的质
量体系，其它参加方必须认可该国的认证。由此消除因标准问题引起的贸易壁垒。
    到了90年代，美国国防部为了评估分包方开发软件和质量控制的能力，委托卡耐基梅隆大学软件工程研
究所（SEI）提出一套评估方案。1991年SEI推出能力成熟度模型（CMM）1.0版，该版本有5个类别，关于软件
的SW-CMM也就成了美国国防部对软件分包方评估的标准，后来美国软件企业发现它对推动软件质量活动很有
帮助，便纷纷参与CMM认证。CMM虽然不是国际标准，但越来越受到业界的关注，中国只有一家通过CMM 5级认
证，是摩托罗拉软件中心。CMM标准到2003年作废，取而代之CMMI。
    由于ISO通用性太高而针对性较低，一些国家又在制定针对软件设计的标准（如美国的CMM），ISO于90年
代开始制定针对软件开发的标准SPICE，它和CMMI很类似，预计今年发布正式版本。

2-5 产品认证
    这里澄清一个误区，质量管理体系认证不是产品认证。产品认证是国家对特殊产品的要求，如杀毒软件，
防火墙要通过公安部认证等。质量管理体系认证是对企业质量管理架构在质量保证活动中的对质量保证能力的
评价，非强制性的。

误区:
1:CMM比ISO9000好:
CMM和ISO9000都只是一种标准,前者只是根据一个研究所的研究报告制订的一套标准,必然有很多不完善的地方.
ISO9000是一个国际标准,通用性强.就软件企业来说,两者在对企业的质量管理的指导原则上的要求是差不多的.
而实现和表述上是不同的,不能笼统的说谁比谁好.

CMM注重过程要求,它的每一级对所要实现的关键过程域都有详细的要求,并且强制企业能自我更新和持续改进,
以实现缺陷预防.这对于推动软件企业自身质量管理素质是非常有利的.ISO9000的94版是以要素为关注重点,它
要求的20个要素做到了,ISO9000就认为你的生产过程能够在一定程度上保障你产品的质量.这是一个很低的标
准.ISO9000的2000版就此改进了一些内容,更大程度上增加了一些强制性的东西,它要求企业持续改进和量化管
理.

但ISO9000的通用性太强,针对性太弱.ISO9000适用范围是所有设计\制造\开发及服务的行业，就对软件质量管
理体系的要求是很低的，通过ISO9000认证的企业就相当于CMM的2级或3级，而且要求不是很具体，CMM对每个
级别的关键过程域都有很详细的说明，就CMM的关键实现的说明就有500页之多。

CMM毕竟只是一个学术报告基础上建立起来的一套评估体系，只适用于美国，而且它的认证结果只是由SEI授权
的首席评估员寄一封带有本人签名的信给你，并在SEI备案，没有任何证书，终生受用，中间不在审查。由于
SEI不是政府部门，这对于中国企业来说，是不可想象的。通过ISO9000认证的企业，要在中国技术监督局备案，
并且发证给企业，并要求每年审查，所有参加多边认可协议的国家必须认可适用性强。

ISO9000认证费用是2-4万元人民币，时间4-6个月，而CMM则需要7-10万美金，每一级向上一级认证时，需要
18-30个月，2003年该标准作废，取而代之的是CMMI。

综述：CMM对于推动企业自身质量管理是有好处的，它的评估标准也是很适合软件企业自身发展的，对于软件
产品不出口到美国的企业，不需要参与此认证。ISO9000的2000版只是能够证明软件企业的质量管理体系能够
保障产品质量，是一个最低质量保证要求，对软件企业的针对性也不强，ISO也正准备发布以过程为关注焦点
的软件质量体系标准ISO15504，也叫SPICE。它与CMMI很相似，但SPICE是国际通用标准，要比CMMI更有说服
力，CMMI也认识到这一点，把表达形式有单一的阶段性表达形式拆成连续性和阶段性两种，便于从SPICE转到
CMMI。

2：企业质量管理是领导的事，跟我们有什么关系。
   质量管理八大原则要求企业员工全员参与质量管理，质量管理的重点是对人的管理，领导的作用在对人的
管理占到首要作用，但并不是说员工就不需要参与，因为具体参与设计和编写程序的人是企业的员工。
   CMM，ISO9000都强调对人员的培训，尤其是在操作第一线的员工，产品的品质的好坏绝大多数与第一线员
工的操作有密切关系。领导的作用是让员工自觉的贯彻质量方针和政策，并积极参与企业的质量管理。同时
要充分授权给下一级，鼓励他们完成既定目标。

3：我自觉执行上级的命令就可以了，没有必要写文档。
   不管是CMM还是ISO9000，都要求写文档，这是质量管理的第一步，也是强调自觉性的重要部分。质量管理
的首要就是可以重复，没有文档就造成了目标的不可重复，也为生产的稳定性造成很大的伤害，试想如果你企
业的核心技术人员因为经不起高薪的诱惑而离去又没有留下文档，后面的人无从跟起。如果推翻以前的成果重
来，浪费的不仅是金钱，更重要的是浪费时间和因为推迟造成的连锁反应。这样，产品的开发进入进退两难的
局面。

四：对比公司质量管理的现状，目前有许多急切需要改进的地方。
1：加强领导重视。
2：制定统一文档格式，强制写文档，加强开发稳定性。
3：加强“法制”行为，削弱“人制”行为，公司应更加制度化。

建议弄一些软件工程之类的东东来吧。最近特想看这类书。

找一找吧。