《TL9000-2015 R6.0 standard质量管理体系--要求.docx》由会员分享,可在线阅读,更多相关《TL9000-2015 R6.0 standard质量管理体系--要求.docx(36页珍藏版)》请在课桌文档上搜索。
1、IS09001:2015Qualitymanagementsystems-Requirements质量管理体系-要求TL9000:2016R6.0REQUIREMENTSHANDBOOKRELEASE6.0要求手册IntrOdUCtiOrl弓言0.1GelIeral总则采用质量管理体系应该是组织的项战略性决策,可以帮助组织改进其整体绩效,并为可持续发展计划提供良好的基础。对于根据本标准实施质量管理体系的组织来说,潜在的收益是:a)稳定提供满足顾客要求和法律法规要求的产品和服务的能力;b)获取增强顾客满意的机会;c)应对与组织环境和目标相关的风险;d)证实符合质量管理体系特定要求的能力。本标准可
2、用于内部和外部。以下方面不是本标准的目的:- 统一不同质量管理体系的结构;- 统一本标准条款结构的文件;- 在组织中使用本标准的特定术语。本标准所规定的质量管理体系要求是对产品要求的补充。本标准采用过程方法,该方法结合了策划实施检查改进(PDCA)循环和基于风险的思维。过程方法使组织能够策划组织的过程及其相互作用。PDCA循环使组织能够确保其过程得到充分的资源和管理,并确定和实施改进机会。基于风险的思维能够使组织确定可能导致其过程和质量管理体系偏离所策划的结果的因素,采取预防性控制,以最小化负面影响并在机会出现时将机会利用最大化(见A.4条款)。在日益变化和复杂的环境中,持续满足要求和应对未来
3、的需求和期望是组织面临的挑战。要实现这个目标,组织可能发现除了纠正和持续改进以外,变革、创新和重组也是必要的。本标准中采用了以下动词形式:uShaII表示要求;“should”表示建议;may”表示允许;“can”表示可能性或能力标注为“注”的信息是理解或说明相关要求的指南。0.2QualitymanagementPrinCiPIeS质量管理原贝J本标准基于IS09000中阐述的质量管理原则,该阐述包括每项原则的说明、对组织的重要性、与该原则相关的益处的示例,以及应用该原则时改进组织绩效所采取的典型措施的示例。质量管理原则是:- 以顾客为关注焦点;- 领导力;- 全员参与;- 过程方法;- 改
4、进;- 循证决策;- 关系管理。0.3Processapproach过程方法0.3.1GeneraI总则本标准鼓励在建立、实施质量管理体系以及改进其有效性时采用过程方法,通过满足顾客要求,增强顾客满意。采用过程方法须考虑的特定要求包含在4.4中。将相互关联的过程作为体系进行理解和管理,会有助于组织实现其预期结果的有效性和效率。该方法能够是组织控制体系的过程间的相互关系和相互依存,以使组织的整体绩效得到提高。过程方法运用系统的定义和管理过程及其相互作用,以期实现与组织的质量方针和战略方向一致的预期结果。将PDCA循环全面用于旨在利用机会优势和预防不期望的结果的基于风险的思维(见0.3.3),能够
5、实现对过程和整个体系进行管理。在质量管理体系中应用过程方法能够:a)对满足要求的理解和一致性;b)从增值的角度考虑过程;c)实现有效的过程绩效;d)在评价数据和信息的基础上改进过程。图1给出了过程示意图并展示了过程要素的相互作用。将必要控制的监视和测量检查具体到每个过程并将根据相关风险而改变。图1:单一过程要素图0.3.2Plan-Do-Check-ActCyCIe策划实施检查改进循环PDCA循环能够应用于所有过程和整个质量管理体系。图2展示了第4章到第10章分别与PDCA的关联。注:图中数字表示本国际标准中的章节。图2:本标准中的PDCA循环模式PDCA模式可以简要描述如下:PIan-策划:
6、根据顾客要求和组织方针,为提供结果建立体系目标及其过程,以及所需的资源,识别并提出风险及机会;DO-实施:实施所策划的(安排):CheCk-检查:根据方针、目标和要求及策划的活动,对过程、产品和服务进行监视和测量(适用时),并报告结果;ACt-处置:必要时,采取措施,以改进过程绩效。0.3.3Risk-basedthinking基于风险的思维为实现有效的质量管理体系,基于风险的思维(见A.4条款)是必要的。基于风险的思维的概念在本标准的以往版本中一直是没有言明的,包括如实施预防措施以消除潜在不合格、分析发生的不合格并采取与不合格的影响相适应的措施防止其再发生。为符合本标准的要求,组织需要策划和
7、实施应对风险和机会的措施。应对风险和机会是为提高质量管理体系有效性、实现改进的结果并防止负面影响建立基础。机会可以形成有益于实现预期结果的状况的结果,例如,让组织吸引顾客、开发新产品和服务、减少浪费或改进生产效率的一系列情况。应对机会的措施还可以包括对相关风险的考虑。风险是不确定的影响,这种不确定可能是正面或负面的影响。来自风险的正面偏离可以提供机会,但不是风险的所有正面影响都能产生机会。0.4RelationshipwithothermanagementsystemStandardS与其他管理体系标准的关系本标准采用了【SO为改进其管理体系国际标准间的一致性而开发的框架(见A.1条款)本标准
8、能够是使组织应用过程方法,再加上PDCA循环和基于风险的思维,使其质量管理体系与与其他管理体系标准的要求保持一致或整合。本标准与ISo9000和ISo9004相关联:ISO9000质量管理体系-基础和术语:为本标准的正确理解和实施提供了必要的背景ISO9004组织持续成功的管理一种质量管理方法,为选择超越本标准要求的发展的组织提供指南附录B提供了ISOTC/176开发的与质量管理和质量管理体系有关的其他标准的信息。本标准不包括针对其他管理体系的特定要求,如环境管理、职业健康安全管理或财务管理。已开发了一部分基于本标准要求的特定行业的质量管理体系标准,这些标准中的某些标准规定了附加的质量管理体系
9、要求,而其他标准限于为本标准在特定行业内的应用提供指南。在ISO/TC176/SC2公开获取网站可以找到本标准和ISO9001:2008标准条款的对照矩阵表。www.iso.org/tcl76/sc02/publicQualitymanagementsystems-Requirements质量管理体系要求ISCoPe范围本标准为有下列需求的组织规定了质量管理体系要求:a)需要证实其有能力稳定地提供满足顾客要求和适用的法律法规要求的产品或服务;b)通过体系的有效应用,包括体系改进过程的有效应用,以及保证符合顾客要求和适用的法律法规要求,旨在增强顾客满意。本标准的所有要求是通用的,旨在适用于各种类
10、型、不同规模和提供不同产品和服务的组织。注1:本标准中,术语“产品”或“服务”仅适用于预期提供给顾客或顾客所要求的产品和服务。注2:法律法规要求可称作法定要求。2 Normativereferences规范性引用文件下列文件中的全部和部分内容在本标准中引用并在应用中不可或缺。凡是注日期的引用文件,仅该版本适用于本标准。凡未标注日期的引用文件,引用文件的最新版(包括修订)适用于本标准。ISO9000:2015质量管理体系-基础和术语3 Termsanddefinitions术语和定义本标准采用ISO9000:2015中的术语和定义。4 ContextoftheOrgailiZatiOll组织的环
11、境4.1 UnderstandingtheorganizationanditsCOilteXt理解组织及其环境组织应确定与其宗旨和战略方向有关,且影响质量管理体系实现其预期结果的能力的内部和外部环境。组织应监视和评审有关内部和外部环境的信息。注1:环境可能是正面或负面的因素或要考虑的状况;注2:可以通过考虑源于国际、国家、地区或本地的法律法规、技术、竞争、市场、文化、社会和经济环境的情况,促进对外部环境的了解。注3:可以通过考虑与价值、文化、知识和组织绩效相关的情况,促进对内部环境的了解。4.2 UnderstandingtheneedsandexpectationsofinterestedP
12、artieS理解相关方需求和期望由于对组织持续提供满足顾客和适用的法律法规要求的产品和服务的能力的影响或潜在影响,组织应确定:a)与质量管理体系有关的相关方;b)与质量管理体系有关的相关方的要求。组织应监视和评审有关相关方及其有关要求的信息。4.3 DeterminingthescopeofthequalitymanagementSyStem确定质量管理体系的范围组织应确定质量管理体系的边界和适用性来建立其范围。在确定质量管理体系范围时,组织应考虑:a)在4.1中涉及的外部和内部情况;b)在4.2中涉及的有关相关方要求;C)组织的产品与服务。如本标准的要求在确定的范围内适用,组织应应用本标准的
13、所有要求。组织的质量管理体系范围应可获取并保持形成文件的信息。范围应说明质量管理体系所覆盖的产品和服务,并对组织确定不适用于管理体系范围的本标准的要求说明正当理由。当被确定为不适用的要求不影响组织确保产品和服务的符合性以及增强顾客满意的能力或责任时,才能声称符合本标准的要求。4.3. C.1要求手册和测量手册适用性声明组织必须在它的注册界面中声明确定不适用的要求,和任何声明的测量豁免。注解1:假如要求(手册)是在组织已经选择的TL9000注册专项选择之外的范围,对组织而言,声明TL9000不适用不是必须的。同样,当要求本身或相关的注解要求表明针对组织的产品或服务类型不适用,对组织而言,声明不适
14、用也不是必须的。注解2:参见测量手册中的测量豁免定义。1.3 .C.2TL9000概况和范围组织要去认证,必须与认证机构协调,确定:TL9000的范围描述、IS09001的范围描述、确定的要求不适用、测量的豁免、注册的专项选择、NACE的编号、产品类型、位置和地址、ISO9001的版本、TL9000要求和测量的版本,和高级监督审核和再认证信息(ASRP)的应用。所有注册必须在QF注册管理系统(RMS)的注册概况中记录和维护。被认证公司发行的证书必须参考在概况创建时,TL9000管理者分配的TL编号注册管理系统(RMS)的注册概况。范围描述必须包括:a)组织被注册的身份,可以包括整个组织,一个组
15、织的单元,或多个单元的结合,和b)被注册所覆盖的产品/产品线,假如不是所有产品/产品线包括的注册中,那么包括或排除的产品/产品线必须被列出;范围描述不需要包括:a)产品类型的编号,b)位置或地址;,c)ISO9001,要求手册和测量手册的版本;,d)注册专项的选择,和e)其他在注册概况中被定为个别行业的特征;1.4 QualitymanagementsystemanditsProCeSSeS质量管理体系及其过程1.4.1 组织应按本标准的要求建立、实施、保持和持续改进质量管理体系,包括质量管理体系所需的过程及其相互作用。组织应确定质量管理体系所需的过程及其在整个组织中的应用,组织应:a)确定这
16、些过程所需的输入和期望的输出;b)确定这些过程的顺序和相互作用:C)确定和应用所需的准则和方法(包括监视、测量和相关的绩效指标),以确保这些过程的有效运行和控制;d)确定这些过程所需的资源并确保其可用性;e)规定这些过程的职责和权限;0应对按照6.1的要求确定的风险和机会;g)评价这些过程并实施所需的变更,以确保这些过程实现预期的结果:h)改进过程和质量管理体系。1.4.2 组织应保持必要程度的:a)保持形成文件的信息,为过程运行提供支持;5.1 b)保留形成文件的信息,以证实过程是按策划执行的。5.2 1.eadership领导力5.3 1.eadershipandcommitment领导力
17、和承诺5.3.1 GeneraI总则最高管理者应通过以下方面证实其领导力和对质量管理体系承诺:a)对质量管理体系的有效性承担责任;b)确保质量方针和质量目标得到建立,并与组织的战略方向和组织环境保持一致;c)确保将质量管理体系要求融入组织的业务过程;d)促进过程方法和基于风险的思维的应用;e)确保获得质量管理体系所需的资源;0传达有效的质量管理以及满足质量管理体系要求的重要性;g)确保质量管理体系实现其预期的结果;h)鼓励、指导和支持员工为质量管理体系的有效性做出贡献;i)增强改进;JJ支持其他相关管理者在其负责的区域证实其领导力。注:本标准中的“业务”从广义上解释为对于组织的存在而言具有核心
18、价值的活动,组织可以是公有的、私有的、盈利或非盈利的。5.3.2 Customerfocus以顾客为关注焦点最高管理者应通过以下方面,证实其对以顾客为关注焦点的领导力和承诺:a)确定、理解和持续满足顾客要求和适用的法律法规要求;b)确定和应对影响产品和服务符合性以及增强顾客满意能力的风险与机会;c)维护以增强顾客满意为关注焦点。5.3.3 .C.1客户沟通方法组织必须建立并保持方法以与选定的客户沟通分享期望,并确保产品质量的改进。顾客沟通的结果应该针对解决识别的问题而产生措施,提供顾客满意改进机会.5L2C.1-注:众所周知,组织不可能向所有客户提供同样程度的沟通。沟通的程度可取决于与客户的业
19、务量,问题的历史,客户的期望,和其它因素,见文件,“与客户的沟通指南”(H9000.org)。5.4 POliCy方针5.4.1 Establishingthequalitypolicy建立质量方针最高管理者应建立、实施和保持质量方针,方针应:a)与组织的宗旨和环境相适应,并支持其战略方向;b)提供制定质量目标的框架c)包括对满足适用要求的承诺;d)包括对持续改进质量管理体系的承诺。5.4.2 CommunicatingthequalityPOliCy沟通质量方针质量方针应:a)为可获得的保持为形成文件的信息;b)在组织内得到沟通、理解和应用C)适当时,可为相关方所获取。5.5 Organiz
20、ationalroles,responsibilitiesandauthorities组织的角色、职责和权限最高管理者应确保相关角色的职责和权限在整个组织得到分派、沟通和理解。最高管理者应规定职责和权限以:a)确保质量管理体系符合本标准的要求;b)确保过程实现其预期的输出;c)向最高管理者报告质量管理体系绩效和改进机会;d)确保在整个组织提高以顾客为关注焦点的意识;e)对质量管理体系的变更进行策划和实施时,维护质量管理体系的完整性。6 Planning策划6.1 Actionstoaddressrisksandopportunities应对风险和机会的措施6.1.1 策划质量管理体系时,组织应
21、考虑4.1和4.2的要求,并确定需要应对的风险和机会以:a)确保质量管理体系能够实现其预期的结果;b增强期望的影响;c)预防或减少非预期的影响;d)实现持续改进。6.1.2 TheorganizationshallPIaiI势织应策划:a)应对风险和机会的措施;b)如何:1)在质量管理体系过程中融入和实施这些措施(见4.4);2)评价这些措施的有效性。所采取的应对风险和机会的措施应与对产品和服务符合性的潜在影响相适应。注1:应对风险的选择可以包括:避免风险、为获取机会而接受风险、消除风险源、改变可能性或结果、分担风险或经过决策而保留风险。注2:机会可以带来新实践的采用、发布新产品、打开新市场、
22、获得新客户、建立合作关系、使用新技术以及其他期望的或可行的可能性以满足组织或其顾客的需求。6.2 Qualityobjectivesandplanningtoachievethem质量目标及实现策划6.2.1 织应在质量管理体系所需的相关职能、层次和过程上建立质量目标。质量目标应:a)与质量方针保持一致;b)可测量;。考虑适用的要求;d)与产品和服务的符合性以及增强顾客满意有关;e)得到监视;0得到沟通;g)适当时进行更新。组织应保持质量目标的形成文件的信息。6.2.2 C.1TL9000测量目标质量目标必须包括TL9000测量手册中规定的目标。622策划如何实现其质量目标时,组织应确定:a)
23、要做什么;b)需要什么资源;c)由谁负责;d)什么时候完成;e)如何评价结果。6.2.3 C.1顾客输入组织必须实施方法以征求和考虑客户对质量策划活动的输入。组织应该与客户建立共同的质量改进项目。6.2.4 C.2外部供方输入组织必须实施方法以征求和考虑供方对质量策划活动的输入。.6.22C.3长期和短期量策划组织的质量策划活动必须包括旨在改进质量和提高客户满意度的长期和短期计划。计划必须描述到相关组织和它的顾客业务方面因素,包括与选定顾客一起建立业绩目标。这些目标的业绩必须被监控和报告给最高管理者。最高管理者必须举证他们积极参与到长短期质量策划中。注1:策划的事例可以考虑如下:a)周期时间,
24、b)客户服务,C)培训,d)成本,e)交货承诺和0产品可靠性;g)耐久性6.3Planningofchanges变更的策划当组织确定了质量管理体系变更的需求时(见4.4),应按策划的方式进行变更。组织应考虑:a)变更的目的及其潜在后果:b)质量管理体系的完整性;c)资源的获得;d)职责和权限的分配与再分配。7Support支持7.1. ReSollrCeS资源7.1.1 General&则组织应确定和提供建立、实施、保持和持续改进质量管理体系所需的资源。组织应考虑:a)现有内部资源的能力和局限;b)需要从外部供方获取的资源。7.1.2 .C.1业务连续性策划组织必须建立和保持针对运行、灾害恢复
25、、基础设施和安保复原的文件化持续性计划,确保组织有持续支持它的产品和服务的能力。业务连续性计划至少必须包含:危机管理、灾害恢复和技术。该计划必须被针对其有效性进行周期性评估和适当级别的管理层评审。7.1.3 .C,1注:恢复能力类型应该包括相关于描述灾害恢复一系列措施.例子包括:谁在什么情况下被通知了,谁有权限行施动作,谁协调在计划中描述的步骤。7.1.4 People人组织应确定和提供质量管理体系有效实施及过程的运行和控制所需的人员。7.1.5 IiIfraStrUCtUre基础设施组织应确定、提供并维护为达到产品和服务符合要求的过程的运行所需的基础设施。注:基础设施可包括:a)建筑物和相关
26、的设施;b)设备,包括硬件和软件;C)运输资源;d)信息和通讯技术。7.1.6 .C.1基础设施安保组织必须确定、提供和保持基础设施的安保。7.1.7 Environmentfortheoperationofprocesses过程运行环境组织应确定、提供并维护过程的运行和达到产品和服务的符合性所需的环境。注:适宜的环境可以是人文的因素和物理的因素的组合,例如:a)社会的(如不歧视、平和、不对抗);b)心理的(如降低压力、倦怠预防、情感保护)C)物理的(温度、热度、湿度、照明、空气流通、卫生、噪音)根据所提供的产品和服务,这些因素可能有显著的差异。7.1.8 Monitoringandmeasu
27、ringresources监视和测量资源7.1.8.1 Genera)总则当监视或测量用于产品和服务符合特定要求的证据时,组织应确定和提供所需的资源以确保有效和可靠的结果。组织应确保所提供的资源:a)与所进行的监视和测量活动的具体类型相适应;b)得到保持以确保其持续满足使用要求。组织应保留适当的形成文件的信息,作为监视和测量资源漏足使用要求的证据。7.1.8.2 Measurementtraceability测量的追溯性对测量有追溯性要求或组织认为是提供测量结果的有效性信心的必要部分时,测量设备应:a)对照能溯源到国际或国家标准的测量标准,按照规定的时间间隔或在使用前进行检定或校准,或两者都进
28、行。当不存在上述标准时,应保留作为校准或检定依据的形成文件的信息;b)具有标识,以确定其校准状态;c)防止可能使校准状态和后续测量结果失效的调整、损坏或退化。当发现测量设备不能满足其预期使用要求时,组织应确定以往测量结果的有效性是否受到不利影响,必要时,采取适当的纠正措施。7.1.8.3 设备标识监控和测量装置在不使用时或不适合使用时必须被明显标识和不再使用。所有不需要校准的监控和测量装置必须被标识。7.1.9 Organizationalknowledge组织知识组织应确定过程的运行和达到产品和服务的符合性所需的知识。这些知识应得到维护并在需要时易于获取。在应对变化的需求和趋势时,组织应考虑
29、现有的知识,确定如何获取必要的附加知识和所需的更新。注1:组织知识是组织的特定知识,是获得的经验,是实现组织目标所使用和分享的信息。注2:组织知识可以基于:a)内部资源(如:知识产权、从经验获得的知识、从失败和成功项目中获得的教训、获取和分享非文件化知识和经验、过程、产品和服务的改进结果);b)外部资源(如:标准、学术交流、会议以及从顾客和供方收集的知识)。7.2. Competence能力组织应:a)确定在组织控制下从事影响质量管理体系绩效和有效性工作的人员的必要能力;b)基于适当的教育、培训或经验,确保这些人员是胜任的;C)适用时,采取措施以获取所需的能力,并评价这些措施的有效性;d)保留
30、适当的形成文件的信息作为能力的证据。注:适用的措施可以包括,如为现有员工提供培训、辅导或重新分配工作,雇佣或外包胜任的人员。7.3. C.1内部课程开发当组织负责开发内部培训课程时,必须建立并保持一方法以确保策划,开发和交付这些课程一致性。7.4. C.2质量和过程改进概念对与产品和服务质量有直接影响的员工,包括最高管理层,必须在持续改进,问题解决和客户满意的基本概念和应用接受培训。7.5. C.3产品质量培训机会和意识当影响产品或服务质量的培训需要时,组织必须实施方法确保员工能参于,方法应该规定:a)培训机会的沟通,和b)培训可获得。7.6. C.4静电培训所有职能包括静电敏感产品的搬运,储
31、存,包装,防护或交付的员工都必甦进行工作前接受静电防护的培训。ESD再培训的类型和频率必匆被组织规定。7.7. C.5高级质量培训组织殁驾供适当程度的高级质量培训7.8. C.5注:高级质量培训可以包括:统计技术,过程能力,统计抽样,数据收集和分析,问题识别,问题分析和根本原因分析。7.9. C.6危险情况培训内容在潜在危险情况存在的地方,培训内容必须包括以下:a)任务的执行,b)人员安全,C)对危险环境的意识,和d)设备防护。7.10. V.1操作者个人资格组织必须识别针对操作人员资格和再认可资格的活动。资格和再认可资格要求必须针对识别的活动被建立。至少,这些要求必须描述教育,经验,培训和可
32、证实的技能。组织必须和所有那些涉及到的对象沟通这些信息。7.11. HV.1:需要个人资格和再认定资格过程的例子包括绕线,光纤熔接,焊接,烧结,叉车操作和高楼攀爬。7.12. Awareness意识组织应确保在组织控制下工作的有关人员意识到:a)质量方针;b)相关的质量目标;C)他们对质量管理体系有效性的贡献,包括改进绩效的益处;d)不符合质量管理体系要求可能引发的后果。7.13. Communication沟通组织应确定与质量管理体系有关的内部和外部沟通,包括:a)沟通的内容;b)沟通的时机;c)沟通的对象;d)如何沟通;e)谁负责沟通。7.14. C.1组织绩效反馈组织谈S知员工关于他们的
33、质量绩效和客户满意程度水平,包括管理评审的结果(见93)。注:敏感的组织信息可以被排除。7.15. Documentedinformation形成文件的信息7.15.1 General总则组织的质量管理体系应包括:a)本标准要求的形成文件的信息;b)组织确定的为确保质量管理体系有效运行所需的形成文件的信息。注:不同组织的质量管理体系形成文件的信息的程度可以因以下方面而不同:- 组织的规模、活动、过程、产品和服务的类型;- 过程及其相互作用的复杂程度;- 人员的能力。7.15.2 Creatingandupdating编制和更新在编制和更新形成文件的信息时,组织应确保适当的:a)标识和说明(例如
34、:标题、日期、作者、文件编号等);b)格式(例如:语言、软件版本、图示)和媒介(例如:纸质、电子):c)评审和批准以确保适宜性和充分性。7.15.3 ControlofdocumentedInformation形成文件的信息的控制7.15.3.1 对质量管理体系和本标准所要求的形成文件的信息进行控制,以确保:a)在需要使用文件之处和之时能获得适用的文件;b)文件得到充分地保护(如防止泄密、使用不当、缺损)。753.2适用时,组织应实施以下活动对形成文件的信息进行控制:a)分发、获取、检索和使用;b)储存、保护,包括保存易读性:C)更改的控制(如:版本控制);d)保留和处置。组织所确定的策划和运
35、行质量管理体系所需的外来文件应得到适当的识别和控制。作为符合性证据保留的形成文件的信息应妥善保存以防止其非预期的失效。注:获取是指有关形成文件的信息访问许可的决定,或访问和更改形成文件的信息的许可和权力。7.5.3.2.C.1客户提供的文件和数据的控制假如客户提供的文件和数据对产品或/和服务的实现和/或支持会产生影响,组织必须建立并保持文件化信息,组织必逊制所有顾客提供的文件和数据(如,网络结构,拓扑学,容量,安装终端分配,图纸和数据库等)。8Operation运行8.1 Operationalplanningandcontrol运行的策划和控制组织应策划、实施和控制满足产品和服务提供要求所需
36、的过程(见4.4),并实施第6章确定的措施:a)确定产品和服务的要求;b)建立以下准则:1)过程;2)产品和服务接收。c)确定为达到产品和服务符合要求所需的资源;d)按照准则实施过程控制;e)确定,保持和保留必要的形成文件的信息:1)确信过程已按照策划予以实施;2)证实产品和服务与其要求的符合性。策划的输出应适合组织的运行。组织应控制有计划的变更,评审非预期的变更的后果,必要时采取措施减轻任何不良影响。组织应确保外包过程得到控制(见8.4)。8.1.C.1生命周期模式组织必须建立并保持一套完整的覆盖产品生命周期的方法。适当时,这方法必须包括,适当时,产品在概念、定义、开发、导入、生产、运行、维
37、护及处置中的过程、活动和任务。8.1.C.1注1:生命周期应该考虑耐久性的实践,比如:能量和资源消耗降低,生态责任的处理和合适的生命中止处理。8.1.C.1注2:新产品导入方法应该包括质量和可靠性预研究,试生产,需求和能力的研究,销售和服务个人的培训,客户文件和培训,新产品导入后期评价的提供。8.1.C.2产品和服务安保组织必须通过产品生命周期建立和保持为产品和服务安全风险和薄弱点而识别和分析的方法。风险分析的结果必须用安全薄弱点的预防或减轻方式在产品设计和运行控制中支持网络安全运行。设计和运行控制持续的有效性必须通过产品生命周期由合适的安全测量选择利使用被评估。NOTEl:此要求通过沟通和/
38、或用户/产品和服务操作者的接口,关注有关于薄弱点可能利用的风险;NOTE2:按IS027001定义,一个运行控制是一种管理风险的方法,包括:方针、信息、指南、实践或组织结构,本质上可能是行政、技术、管理或法律上的。运行控制的例子包括:授权和移去进入(包括物理的和逻辑的)到系统、文件化运行信息、变更控制信息和控制在运行系统上的软件安装信息;NOTE3:安全测量指南文件参考H9000.org/links.html,可以用于合适的产品安全测量选择和建立的方法。8.1.C.3生命策划中止组织必须针对制造和/或产品和服务支持终止建立文件化信息。文件化信息应该包括:a)在某一时期后停止全部的或部分的支持,
39、b产品文件和软件的存档,c)有关任何将来遗留问题的责任,d)转换到新产品和/或服务,如适用,e)存档数据备份的可获取性,和0组织的部件和装配的处置。8.1. C.4工具管理组织必须确保内部开发的用于产品和服务生命周期的软件和/或工具是遵循合适的质量方法。8.1 C4注:被考虑工具例子包括:设计和开发,测试,配置管理,文件,模具,压模,治具和诊断工具,包括手稿和定制,和用于建立和测试产品的软件。8.2 RequirementsforproductsandSerViCeS产品和服务要求8.2.1 Customercommunication顾客沟通与顾客沟通应包括:a)提供与产品和服务有关的信息;b
40、)处理问询,合同或订单的处理,包括更改;C)获取顾客关于产品和服务的反馈,包括顾客抱怨;d)顾客财产的处理和控制;e)相关时,确定应急措施的特定要求。8.2.2 .C.1问题的严重度分类除了严重程度水平报告特别除外的那些产品,组织必须根据本手册中的术语定义中对关键,严重和轻微问题报告定义对客户的影响来确定客户报告问题的严重度,必须根据这严重程度来确定组织作出反必须的及时程度。8.2.1Cl-注1:客户与组织应该共同决定解决客户报告问题的优先次序。8.2.1.C.2问题的提升组织必须保持一文件化信息以消除和解决客户报告问题。8.2.1.C.3问题报告反馈组织必须及时和系统地向客户对其问题报告提供
41、反馈。821.HS.1产品追回组织必须建立并保持文件化信息以识别和追回不适合继续服务的产品。8.2.1.HS.2关犍问题报告的通知组织必须建立保持文件化信息,通知可能由关键问题报告影响到的所有顾客。8.2.1 .V.1关键服务中断通知组织必须针对影响到的顾客建立和保持一方法,获取关于当前中断的实时信息。821.V.1-注1:此要求仅适用于提供服务给最终客户的组织。8.2.2 DeterminationtherequirementsforproductsandSerViCeS产品和服务要求的确定在确定提供给顾客的产品和服务的要求时,组织应确保:a)产品和服务要求得到确定,包括:1)适用的法律法规
42、要求;2)组织认为必要的要求。b)组织能够满足其所提供产品和服务的申明要求。8.2.3 ReviewoftherequirementsforproductsandSerViCeS产品和服务要求的评审8.2.3.1 组织应确保其有能力满足提供给顾客的产品和服务的要求,组织应在向顾客承诺提供产品和服务之前实施评审,包括:a)顾客规定的要求,包括交付和交付后活动的要求;b)顾客虽然没有明示,但规定用途或已知的预期用途所必需的要求;c)组织规定的要求;d)适用于产品和服务的法律法规要求;e)与以前表述不一致的合同或订单的要求。组织应确保与以前规定不一致的合同或订单要求已得到解决。顾客没有提供其要求的文
43、件化说明时,组织应在接受前对顾客要求进行确认。注:在某些情况下,如网络销售,对每一个订单进行正式的评审可能是不实际的。作为替代方法,可对提供给顾客的有关的产品信息进行评审,如产品目录。8.2.3.1.C.1合同评审组织必须建立和保持以合同评审过程,并应该包括:a)产品接受准则和准则评审过程,b)处理在产品接受后发现的问题方法,包括顾客抱怨,C)在适用的保质期后或在产品合同约定的维护期内,不合格的移去和/或纠正计划,d)可能不可预计费用和风险识别,e)针对产权足够的防护,f)组织与外包工作有关的职责定义,g)由顾客执行的活动,包括顾客在要求,规范和接受中的作用:h)由顾客提供的装置,工具和软件项
44、目,和i)所有参考的标准和信息。8.2.3.1 .C.2注:适当时,产品接受准则应该包括:a)文件化测试信息,b)测试用例,C)测试数据,d)测试职责,f)包含的资源,g)规定的接受测试报告。8.2.3.2 适用时,组织应保留以下方面的形成文件的信息:a)评审结果;b)产品和服务的任何新要求。8.2.4Changetorequirementsforproductsandservice产品和服务要求的变更若产品和服务要求发生变更,组织应确保相关的形成文件的信息得到修改,并确保相关人员知道已变更的要求。8.3DesignanddevelopmentofproductsandSerViCeS产品和服
45、务的设计和开发8.3.1 General总则组织应建立、实施和维护设计和开发过程,以适用于确保后续的产品和服务的提供。8.3.2 Designanddevelopmentplanning设计和开发策划在确定设计和开发的阶段和控制时,组织应考虑:a)设计和开发活动的性质、持续时间和复杂性;b)所需的过程阶段,包括适用的设计和开发评审:c)所需的设计和开发的验证和确认:d)设计和开发过程涉及的职责和权限;e)产品和服务的设计和开发所需的内部和外部资源;f)控制设计和开发过程涉及的个人之间的接口的需求;g)顾客和用户参与设计和开发过程的需求;h)后续的产品和服务提供的要求;i)顾客和其他有关相关方对
46、设计和开发过程所期望的控制程度:j)证实设计和开发要求已得到满足所需的形成文件的信息。8.3.3 .C.1项目计划组织的项11策划活动必须根据已规定的产品生命周期模式建立并保持项目计划(见8.1.C.1)o项目计划应该包括:a)项目组织结构;b)项目团队的作用,职责和义务;C)相关团队或个人在组织内外部的作用,职责和义务,在他们和项目团队之间的接口,d)时间计划,跟踪,问题解决和报告的方法;e)项目因素估算;f)预算、雇员,相关项目活动的安排g)准备使用的方法,标准,文件化信息和工具的标识(假如此项目是被清晰的定义作为产品和服务生命周期模式的部分,参考生命周期模式是可以的),h)与其它相关计划的连接(例如:风险管理,开发,测试,配置管理和质量),i)项目特定开发或服务交付环境和物质资源的考虑(例如:去描述开发,用户文件,检测,操作,规定的开发工具,安全计算环境,试验空间,工位等的资源),j)包含在产品和服务说明周期中的顾客、用户、和外部供方;针对X(DFX)设计计划适合于产品的生命周期;k)项目质量的管理,包括合适的质量测量,1)“X”计划设计适合产品和服务生命
