带嵌入式软件的硬件产品的开发、设计和产品过程审核要点

yuanye318

一、行业特点 1.1该行业主要针对从事以下业务范围的组织： ---- 开发和维护市场可获得的软件产品； ---- 开发和维护用以支持客户业务过程的专用管理软件； ---- 开发和维护嵌入硬件产品的软件； ----　计算机硬件咨询 …－　计算机软件咨询与提供，软件的出版 ......数据的收集和处理（含城市地理信息系统中对测绘获得的信息的计算机矢量化处理） ――　数据库业务 ――　其他与计算机有关的活动 ---- 　与计算机应用相关的智能建筑系统集成工程开发或施工安装项目 本次审核的组织质量管理体系所覆盖的范围包括带嵌入式软件系统的开发和硬件产品。应符合计算机软件工程及硬件产品的设计开发、制造的相关要求。 计算机软件开发及产品的设计、制造流程（见公司质量手册、程序文件） 1.2 删减问题 计算机信息系统集成的实现过程应包含ISO9001标准规定的所有过程（管理活动＼资源提供＼产品实现＼测量分析和改进）．其中产品实现活动中需将顾客要求转化为设计成果，通过产品的制造（产品和服务实现活动）满足顾客要求．这些过程均需策划并满足的GB/T19001-2000标准7.5.1中的6个控制条件仍然是必须的。 因此，不能删减7.3,7.5.1和7.5.2。 二、主要依据标准和法规 2.1 标准
GA243-2000	计算机病毒防治产品评级准则
GA163－1997	计算机信息系统安全专用产品分类原则
GJB/Z102-98	《软件可靠性和安全性设计准则》
GB2887-2000	电子计算机场地通用规范
GB17859-99	《计算机信息系统安全保护等级划分准则》
GB9361-1988	计算站场地安全要求
GBKJ-90	通信系统机房设计
GB/T18905.1-2002 GB/T18905.2-2002 GB/T18905.3-2002 GB/T18905.5-2002	《软件工程产品评价第1部分:概述》　 《软件工程产品评价第2部分:策划和管理》　 0 m6 N8 @6 W$ B% o! M《软件工程产品评价第3部分:开发者用的过程》　 《软件工程产品评价第5部分:评价者用的过程》
GBJ232-82	中国电气装置安装工程施工及验收规范
GGBB1-1999	信息设备电磁泄漏发射限值
IEEE 802.3	总线局域网络标准
IEEE 802.5	环形局域网标准
ISO/IEC IS 11801	国际标准化组织布线标准
	全国信息网络IP地址编码规范
	中华人民共和国计算机信息系统安全保护条例
《计算机信息系统国际联网保密管理规定》（国家保密局国保发[1999] 10号）		第六条：涉及国家秘密的计算机信息系统不得直接或间接地与国际互联网或其他公共信息网连接，必须实行物理隔离。
《关于加强政府上网信息保密管理的通知》（国家保密局国保发[1999] 4号）		第三条：涉密信息网络必须与公共信息网实行物隔离，在与公共信息网相连的信息设备上不得存储、处理和传递国家秘密信息。
《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》（国家保密局国保发[1998] 6号）		第十六条：涉密系统不得直接或间接与国际联网，必须实行物理隔离。
《计算机信息系统保密管理暂行规定》（国家保密局国保发[1998] 1号）		第十一条：国家秘密信息不得在与国际网络联网的计算机信息系统中存储、处理、传递。
中央保密委员会办公室、国家保密局文件《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》（中保办发〔1998〕6号）
国家保密局文件《计算机信息系统保密管理暂行规定》（国保发〔1998〕1号）
中华人民共和国公安部令23号《计算机信息系统安全专用产品检测和销售许可证管理办法》
2.2、行业法规： 1、计量法，2、标准化法；3、产品质量法；4、销费者权益保护法； - F7 M% I% m$ [" O% W3 ^ 7 q4 ^2 o2 q& J5、合同法 6、劳动法；7、安全法；8计算机信息系统集成资质等级评定条件；9、计算机信息系统集成资质管理办法；10、计算机软件企业认定办法　11、计算机软件工程规范 三、过程审核要点： 1、审核的专业小类33.01.00计算机硬件咨询,33.02.02计算机软件咨询与提供. 2、(4.1)体系文件对专业活动过程是否识别和展开，过程之间的关系是否描述清楚？控制方法是否明确？ 外包过程是否识别并明确控制要求？ 3、注意电子文档的控制方法是否规定？控制是否有效？（4.2.3）　 4、人员能力、资格情况（计算机系统集成工程师、计算机系统集成项目管理员其他计算机有关的资格）后台及店面销售人员是否通过必要的培训,具有能力? (6.2), 5、对产品（项目）实现策划（7.1）和产品的设计开发的审核（7.3）： a) 审核7.1应注意因项目的特殊性而对每项目都可能需要“策划”。内容应包括产品实现的过程、方法、接收准则并形成带专业属性的“项目方案或计划”，确保有效性。　 b) 在本行业中，往往组织为满足用户要求，在合同签定前的投标、应标阶段就会完成项目的《方案设计》文档。这一文档可能已经是项目的实际开发结果既《项目的实施方案》，而同时又成为项目的设计输出文档之一。所以，按ISO9000标准7.1注1的指南，可以将7.3.1的证据用于7.1的开发，则此处的《方案设计》文档，可能既是7.1产品实现策划的证据，又是产品设计开发的证据。 c) 计算机信息系统的设计开发结果的验证＼确认活动，通常都是通过对工程项目的子项目验收和系统项目竣工验收实现的。对特定的一个计算机信息系统集成只有在完成子系统和总系统的安装调测后才可验证和确认。因此，7.3.5/7.3.6的审核发现可能同时就是7.5.1e),8.2.3,8.2.4的审核发现。 d) 注意收集7.3.2输入评审、7.3.4输出（由设计开发策划所确定的各项目实施阶段的）评审证据。由于行业惯例，对设计输入的评审，可以对招标书、邀标书或用户提交的技术协议的评审记录作为设计输入评审。而且，评审的时机可能是在项目合同签定之前。在正式的设计开发阶段，不再做评审。审核时应该加以认同。但应注意区别7.2.2的评审和7.3.2的评审的不同和共同点。 而设计输出评审，应包括对上述方案的评审和对其他详细设计的评审。 e) 对7.3.3设计开发输出的审核，应注意收集设计文件、图纸的充分性、适宜性、完整性、有效性及审核批准放行情况的证据（包括系统方案、系统拓扑结构设计图、系统设备安装布局图、网络布线图、系统连接图、系统IP地址分配图、系统配置图/表、系统及子系统联调/测试大纲或策划的测试方案等）；文件的状态标识(7.5.3)（名称、版本、编号、生成日期）； 6、在审核7.4时，应注意对组织实施的项目中涉及的采购活动中的供方的资质、代理（特许）证、产品的质量保证证明、有CCC强制认证要求的证据的收集完整性。 7、在审核计算机软件实现过程的7.5.1时，应要求组织提供产品的复制指令、及满足7.5.1策划要求的证据。对系统软件的放行，应出示有单元、系统及子系统的验收测试结果满足要求的证据。通常可以8.2.4的审核合并进行。对嵌入式软件的放行更应与8.2.4相符。如开发的是“计算机信息系统工程”，甲方聘有监理，应有监理签章放行。 对硬件产品的实现过程与一般“电子产品”的生产和服务提供过程相同。 8、对7.5.2的审核应查验组织是否识别了需对其过程能力进行确认的“特殊过程”？有关过程能力确认的安排是否形成文件，对特殊过程的能力是否确认并保持记录？应通过审核获得组织已经识别，并对过程能力确认准则、方法以及确认记录已经安排并实施的证据。对具有嵌入式软件的硬件产品的“特殊过程”应包括产品的“锡焊接”过程及对嵌入软件控制芯片的程序烧录（用仿真机、编程机写程序）过程，应加以关注。 9、对7.5.3的审核应查验对软件产品的配置（项）管理计划及实施情况。 10、审核7.5.4时应收集对顾客提供实物、软件、数据资料的防护措施和防护有效的客观证据； 销售卖场产品的品名、规格、明示价格、出产地的标识情况？ 11、对7.6的审核，带有很强的专业性，审核时，应注意监视测量装置已经识别、配置、实施校准或检定有效的记录（包括用于计算机系统工程测试的计算机软件），确保满足法规要求。　　　　　   　 12、对8.3不合格品的控制审核，应包括硬件产品的不合格和嵌入式软件的“缺陷”的评审和处理。应收集对不合格产品、不合格项控制有效的证据；以及项目开发实施过程中的阶段评审和现场监理工程师提出的需整改部分的处置和回归测试的证据。以及对产品的换货、返修品的处置记录？

学为考试

袁老师的一篇力作。我粘贴下来学习了。

frank116

我粘贴下来学习了。

wxsunhao

谢谢袁老师