答坛友问：关于软件企业的7.4，采购产品指的是什么？

yuanye318

有坛友私下问我：“关于软件企业的7.4，采购产品指的是什么？

                  如果从标准术语来理解，产品应是：

                  a）预期提供给顾客的或顾客所要求的产品；

                  b）产品实现过程所产生的任何预期输出。

                  如果软件企业交付给客户的是纯软件，且没有外包，那么7.4采购产品我理解为没有。

              而计算机、开发软件应属于6.3设备的范围，其采购、验证是6.3的内容。

                                                
2 v( l* m8 _( s' n( c: E

考虑到这个问题可能有一定的普遍意义，现公开回答。但正确与谬误自判，仅供参考。

答：软件产品与硬件产品有非常大的差异。为了在软件企业实施ISO9000要求，ISO组织专门制定有一个指南《ISO/IEC 90003:2004.IDT》，我国加以等同采用为GB/T19003-2008/ISO/IEC 90003：2004《GBT 19003-2008 软件工程 GB∕T19001-2000应用于计算机软件的指南》。这是软件企业实施ISO9000唯一可参照的标准。虽非审核准则，但对理解ISO9001-2008的要求，并力争满足要求是非常好的一个工具。

针对你提的问题，6.3和7.4均有非常清楚的指导。我想加以归纳说明之。

一、先说说6.3要求：

标准只是要求“组织应确定、提供并维护为达到产品符合要求所需的基础设施”。

注意是“确定”、“提供”、“维护”，并未涉及你所讲的对其“采购、验证”要求！

哪么，这些基础设施在软件企业指的是哪些设施呢？除了ISO9001标准要求的三种设施（建筑物、工作场所和相关设施；过程设备—硬件和软件；支持性服务—运输或通讯）外，软件行业管理体系应“确定”、“提供”、“维护”设施还有，GBT 19003-2008的6.3所提示的设施：

“应当包括用于软件开发、运行或维护的硬件、软件、工具和设施”。

《指南》紧接着又说：

“基础设施可包括支持设计和开发过程的软件工具，其中包括：

a) 工具、例如用于分析、设计和开发、配置管理、测试、项目管理、文档、代码编写或生成等工具；

b) 应用开发和支持环境；

c) 知识管理、内部网络以及外部网络工具；

d) 网络工具，包括网络安全、备份、防病毒和防火墙；

e) 帮助台和维护工具；

f) 访问控制；

g) 软件库；

h) 运行控制工具，如网络监视、系统管理和存储管理工具。

关于这些设施的控制要求的进一步信息还可从以下标准中获得：

----ISO/IEC12207:1995 中的7.2以及ISO/IEC12207:1995/Amd:2002【12】F.3.2（基础设施过程）；

----GB/T18905.2-2002/ISO/IEC14598-2[获取]GB/T18905.3-2002/ISO/IEC14598-3[15]（软件产品评价）；

----GB/T18234 -2000/ISO/IEC14102[13]

《指南》还要求，“不论这些工具和技术是自我开发的还是购买的，组织都应当对其适用进行评价”。 显然，上面表述的“用于软件开发、运行或维护的硬件、软件、工具和设施”大部分不可能是组织自我开发的，而必须通过“购买”获得！

“购买”就是“采购”。说到这里，你还可能得到“软件企业交付给客户的是纯软件，且没有外包，那么7.4采购产品我理解为没有”这种答案吗？

二、关于软件企业的采购控制要求：

1、软件企业需要采购的产品：

除上述用于软件开发、运行或维护的硬件、软件、工具和设施”大部分需要组织“采购”外，根据7.4.1的要求软件企业还可能发生的通过“采购”活动“采购”以下产品（如无，可忽略）：

1） 免费的开放的源开发工具（产品）；

2） 商品软件或共享软件；

3） 定制的软件和服务；

4） 分包开发（外包劳务或产品的部分模块单元开发分包）。；

5） 外包活动（如产品检测、独立验证和确认，开发软件及设备的管理和维护以及外聘技术专家）；

6） 用于辅助软件开发的工具（如设计开发和配置管理工具、编码分析器、调试器、测试分析器、程序生成器及编译器）；

7） 计算机、服务器主机、外设和配件；

8） 通讯设施、终端设备；

9） 网络设备、防火墙类安全设备、内部网线、控制电缆；

10). 电源设备；

11). 维修用关键部件；

12). 有环境要求的软件测试物理环境的控制室内的调温及温控设施；

13). 用户所需的产品或技术文件；

14). 软件售前、售中、售后服务的用户培训课程和技术资料。

15). 软件的承载媒体（光盘、硬盘、磁光盘、U盘、固体硬盘）及配套设备包装物（纸盒、塑料盒、标签）、条码机、打码机等等；

2、软件企业的采购过程控制要点：

2.1 上述采购产品中，分包开发（外包劳务或产品的部分模块单元开发分包）和外包活动（如产品检测、独立验证和确认，开发软件及设备的管理和维护以及外聘技术专家）对组织的产品是否能满足顾客要求非常重要，组织应加强对供方的评价选择控制，进行风险评估，获取供方人员的资格证明和培训记录，确认有效地验证供方的过程成熟度、开发能力和开发水平（如无分包开发情况可忽略）。

2.2 对于劳务分包人员，应充分考虑他们在程序设计语言、开发工具和系统管理方面的教育水平、培训经历、技能和经验（如无分包开发情况可忽略）。

2.3  购买或获取数据时，应慎重考虑所获取数据的格式、媒体、容量、来源和内容；

2.4 购买软件产品应考虑承载格式和媒体、工作平台、系统及环境要求，以确保满足运行要求。

2.5 其他方面应严格按7.4要求实施控制。

( i* s; y$ K$ d& t: w7 F, F- J. w9 t

学为考试

感谢袁老师提供的非常有价值的资料！

霍青桐

学习了，这个也是我一直以来有困惑的问题。
就软件开发工具而言，通常一个软件公司购买了一个开发工具，几年都不会再买，企业说只买过一次，这几年都没有再买，还要评价吗？这是不是可以理解供应商还为开发工具提供升级服务，所以仍需评价？

袁老师是否还能说一下度量方面的知识？

雪域青松

感谢袁老师提供的非常有价值的资料！

wxsunhao

谢谢袁老师

zgq

感谢袁老师！
一般来说，机械行业是最符合9001的。如果只看机加工企业，他们的设备管理一般都有专门的“设备管理制度”，包括了设备的采购、验收、使用到报废的全过程。而采购过程则指的是原材料/零部件的购买的控制。
: W! k( s6 W; s& |; n2 U所以，我看到的机加工企业里设备采购是6.3而非7.4的要求。
对比到软件行业，就让我困惑，并不是说软件企业没有采购，只是设备采购需不需要放到7.4里去控制？希望大家能来讨论。
- y( v* W, C, x$ L& i4 z再次感谢袁老师的辛苦付出！

yuanye318

1、请再仔细阅读一下标准的6.3.其中除了“确定”“维护”的要求外，并未对设备的采购提出任何要求；
2、再看看7.4.1“组织应确保采购的产品符合规定的采购要求”。采购是组织的一种在产品实现过程中必不可少的活动。但问题是，这里的所提及的“采购的产品”是哪些“产品”？我认为，标准并未限制是组成产品的一部分的产品（材料、部件、零件或其他）；所以此处所讲的“采购的产品”还应包括组织计划或需要采购的其他产品。
% P3 t# G* ^; w- B3、从7.4.2采购信息。可以找到答案。“采购信息应表述拟采购的产品”。适当时包括：a)产品、程序、过程和设备的批准要求。据此，我们似乎可以将采购的产品分为2种：
0 f! q" a% [" i1 b: j( k产品---构成组织产品的材料、零部件、包装物和其他；
- A" d7 W* \' V6 i设备--显然是指6.3中需要“确认”和 “维护”的能达到符合产品要求所需的基础设施---设备。
至于“程序”--我理解可以是按“程序”术语所定义的，是采购信息中所应该列出的“采购活动的路径和方法”。当然，从另外一种角度也可理解为“采购程序”（“程序”是计算机软件的驱动程序或工作控制程序）。哪此处的“程序”可以理解为是采购的一个新对象。
过程--  可以理解为在采购信息中有”采购活动的过程“要求。这是对采购活动的控制方法之一。
- X, Z6 d! J# Q4 u当然，当组织的产品实现的任何过程需要”外包“来实现时。这种”过程“，是不是可理解为采购的外包过程（服务、劳务、加工、代办），是另一个需要采购的对象。
* t: }* v$ ]0 c* R8 E据此，对设备、设施的采购，我认为应纳入组织的采购管理，并非属于6.3的控制内容。
4、再看看7.4.3，标准要求”组织应确定并实施检验或其他必要的活动，以确保采购的产品满足规定的采购要求“。这里的”采购要求”是通过“7.4.2”采购信息来作出”安排“和批准的要求。
    只要组织“确定”的如何“检验”或“验证/验收”并实施后可证明采购产品已能满足通过“采购要求”就OK.并不需要按6.3去控制。
. F; R- q. K9 C' V  Y) {' d% `供参考。

emeipengxu

机械厂的设备采购与7.4无关，7.4是产品采购，机械厂的产品显然不是采购的设备。放在6.3没有问题。6.3虽然没有提到设备的采购，但这是设备管理的源头，采购环节没有控制好，就直接影响设备的性能

zgq

正是在7.4采购的包括范围上，我和袁老师理解不一致。
我认为的采购内容即为构成产品的部分，当然外包过程也是用采购来控制。
6.3里没有采购的要求，所以很多企业制定了自己的制度来包括采购要求。
% H  v# y3 i, K# M9 p/ T! \% m我们审核机加工企业时，对设备的采购一般是不要求的，所以更不考虑设备供方的控制了。
当然机加工企业原材料多，有审核内容。而软件企业没有，会把设备加到7.4里。这样我感觉软件和机加工在这一条款上冲突了。
+ ?: S( h/ M; |$ T2 B以上个人观点供参考。
1 |1 T  J1 W# C) d  R. T! V7 [
感谢袁老师的回复，也希望大家讨论。

kwy516888

我审核软件企业，一般把正版软件序列号验证，设备硬件采购作为来料检验验证的主要审核方向。供参考。

学为考试

有道理。值得借鉴。

nj-wugaolin

非常专业的理解.

kwy516888

kwy516888 发表于 2013-12-17 20:08
5 F% c" b$ i$ ]- u+ E) v1 a我审核软件企业，一般把正版软件序列号验证，设备硬件采购作为来料检验验证的主要审核方向。供参考。

个人理解：
1、正版软件的验证，是尊重法律法规中关于落实软件版权的控制要求。
2、采购的软件产品，是作为一个标准产品来验收，而不是需要对所有的性能指标作全面测试，例如可以买一台计算机，我们可能只验证型号、规格、包装等信息就可以了，而不需要对计算机作整体性能测试，软件也一样。
      至于袁老师说的采购软件的验证与7.6关系，我觉得还是很远的。验证是验证软件“适宜性”，“可使用性”，7.6是针对监视和测量设备(或者软件）的控制，关注的软件使用输出结果的准确性。打个比方，我买了一个正版的excle软件，验证正版，是对这个软件合理和可使用性的验证，而使用这个软件计算1+1的结果是不是等于2，才是7.6 的控制要求。
      仅是个人见解，供分析讨论。

kwy516888

rml 发表于 2013-12-18 01:50
0 x: K, U+ w$ X. r" a! Q: a当且仅当“正版软件、设备硬件”构成顾客要求或预期提供给顾客的产品时，这方向在ISO9001第三方审核中是 ...

如果这样理解，那使用正版软件和盗版软件无所谓区别？
8 O3 N4 X! E- Z+ e0 k0 F那反问一下，审核制造业的时候，对厂房一类的基础建筑、维修好坏的生产设备，我们要不要考虑审核到，厂房破一点和好一点，机器好一点和坏一点，同样能生产出满足客户要求的产品，那需要控制吗？审核要关注吗？

HGS

软件产品与硬件产品有非常大的差异。为了在软件企业实施ISO9000要求，ISO组织专门制定有一个指南《ISO/IEC 90003:2004.IDT》，我国加以等同采用为GB/T19003-2008/ISO/IEC 90003：2004《GBT 19003-2008 软件工程 GB∕T19001-2000应用于计算机软件的指南》。这是软件企业实施ISO9000唯一可参照的标准。虽非审核准则，但对理解ISO9001-2008的要求，并力争满足要求是非常好的一个工具。
/ y' \, I% `" i: P针对你提的问题，6.3和7.4均有非常清楚的指导。我想加以归纳说明之。
) G% Z6 i/ q/ h3 g

HGS

感谢 yuanye318