质量管理和质量保证标准选择和使用指南.docx
《质量管理和质量保证标准选择和使用指南.docx》由会员分享,可在线阅读,更多相关《质量管理和质量保证标准选择和使用指南.docx(22页珍藏版)》请在冰点文库上搜索。
质量管理和质量保证标准选择和使用指南
安全性
□对信息系统安全性的威胁
任一系统,不管它是手工的还是采用计算机的,都有其弱点。
所以不但在信息系统这一级而且在计算中心这一级(如果适用,也包括远程设备)都要审定并提出安全性的问题。
靠识别系统的弱点来减少侵犯安全性的危险,以及采取必要的预防措施来提供满意的安全水平,这是用户和信息服务管理部门可做得到的。
管理部门应该特别努力地去发现那些由计算机罪犯对计算中心和信息系统的安全所造成的威胁。
白领阶层的犯罪行为是客观存在的,而且存在于某些最不可能被发觉的地方。
这是老练的罪犯所从事的需要专门技术的犯罪行为,而且这种犯罪行为之多比我们想象的还要普遍。
多数公司所存在的犯罪行为是从来不会被发觉的。
关于利用计算机进行犯罪的任何统计资料仅仅反映了那些公开报道的犯罪行为。
系统开发审查、工作审查和应用审查都能用来使这种威胁减到最小。
□计算中心的安全性
计算中心在下列方面存在弱点:
1.硬件。
如果硬件失效,则系统也就失效。
硬件出现一定的故障是无法避免的,但是预防性维护和提供物质上的安全预防措施,来防止未经批准人员使用机器可使这种硬件失效的威胁减到最小。
2.软件。
软件能够被修改,因而可能损害公司的利益。
严密地控制软件和软件资料将减少任何越权修改软件的可能性。
但是,信息服务管理人员必须认识到由内部工作人员进行修改软件的可能性。
银行的程序员可能通过修改程序,从自己的帐户中取款时漏记帐或者把别的帐户中的少量存款存到自己的帐户上,这已经是众所周知的了。
其它行业里的另外一些大胆的程序员同样会挖空心思去作案。
3.文件和数据库。
公司数据库是信息资源管理的原始材料。
在某些情况下,这些文件和数据库可以说是公司的命根子。
例如,有多少公司能经受得起丢失他们的收帐文件呢?
大多数机构都具有后备措施,这些后备措施可以保证,如果正在工作的公司数据库被破坏,则能重新激活该数据库,使其继续工作。
某些文件具有一定的价值并能出售。
例如,政治运动的损助者名单被认为是有价值的,所以它可能被偷走,而且以后还能被出售。
4.数据通信。
只要存在数据通信网络,就会对信息系统的安全性造成威胁。
有知识的罪犯可能从远处接通系统,并为个人的利益使用该系统。
偷用一个精心设计的系统不是件容易的事,但存在这种可能性。
目前已发现许多罪犯利用数据通信设备的系统去作案。
5.人员。
用户和信息服务管理人员同样要更加注意那些租用灵敏的信息系统工作的人。
某个非常无能的人也能像一个本来不诚实的人一样破坏系统。
□信息系统的安全性
信息系统的安全性可分为物质安全和逻辑安全。
物质安全指的是硬件、设施、磁带、以及其它能够被利用、被盗窃或者可能被破坏的东西的安全。
逻辑安全是嵌入在软件内部的。
一旦有人使用系统,该软件只允许对系统进行特许存取和特许处理。
物质安全是通过门上加锁、采用防火保险箱、出入标记、警报系统以及其它的普通安全设备就能达到的。
而作为联机系统的逻辑安全主要靠“口令”和核准代码来实现的。
终端用户可以使用全局口令,该口令允许利用几个信息系统及其相应的数据库;终端用户也可使用只利用一个子系统或部分数据库的口令。
□安全分析过程
大多数公司的办公人员询问关于信息和计算中心的安全时,往往问“一切都行了吗?
”其实他们应该问“对于信息和计算中心的安全,我们应该做什么?
”。
用户管理人员应该与信息服务管理人员定期地共同研究,进行安全分析,这种安全分析为各方都愿意接受。
简言之,这种安全分析意指决定要多大的一把“挂锁”。
遗憾的是,某些公司乐意承担巨大的风险,但又侥幸地希望不要出现自然灾害或预先考虑到的祸患。
“难得出现”并不等于“永不出现”,关于这一点某些公司发现得太晚了。
质量管理和质量保证标准——选择和使用指南
(一)范围
本标准
a)阐明与质量有关的基本概念以及这些概念之间的区别和相互联系;
b)提供ISO9000族质量管理和质量保证国际标准的选择和使用指南。
(二)引用标准
本国际标准发布时所引用的下列标准的有效版本,构成了本标准的一部分。
因所有标准都将修订,所以鼓励使用本标准的各方,尽可能采用下列标准的最新版本。
IEC和ISO成员均持有现行有效的国际标准。
ISO8402:
1994质量管理和质量保证——词汇
(三)定义
ISO9000、ISO9001、ISO9002、ISO9003和ISOI9004的本次修订,对组织在供应链中的术语作了进一步协调。
表11.3.1列出了在这些标准中所使用的术语。
所有这些术语的用法遵照ISO8402中给出的正式定义。
表11.3.1中在术语方面存在的差异也在一定程度上反映出希望与1987版本中的用法保持历史的连续性。
注1在所有这些国际标准中,指南或要求文本的语法形式在组织作用方面将其称之为产品的供方(表11.3.1中的第3列)。
注2在表11.3.1中ISO9000一行使用“分供方”这一术语,是相对“供方”使用自定义术语来强调三个组织单位的供应链关系。
适当时,特别在讨论质量管理环境时,使用术语“组织”比用“供方”更好。
注3在表11.3.1中ISO9001、ISO9002、ISO9003一行使用“承包方”这一术语所反映的情况是:
在外部质量保证范围内,其相互关系通常是(明确的或隐含的)合同关系。
注4在表11.3.1中ISO9004一行使用“组织”这一术语所反映的情况是:
质量管理指南可适用于任何组织单位,与所提供的产品类别无关,既可以是一个独立的单位,也可以是较大组织的一部分。
本标准使用ISO8402中给出的定义及下列定义。
注5为方便本标准的使用者可从ISO8402中摘取一些有关定义。
表11.3.1在供应链中组织的关系
ISO9000-1
分供方供方或组织顾客
ISO9001、
ISO9002、
ISO9003
分承包方供方顾客
ISO9004-1
分承包方组织顾客
1.硬件有形的、不连续的具有特定形状的产品。
注6硬件通常由制造的、建造的或装配的零件、部件和/或组件组成。
2.软件
由媒体支持表示的信息组成的一种智力创作。
注7软件能以概念、纪要或程序等形式表示。
注8计算机程序是软件的一种特例。
3.流程性材料
通过将原材料转化成某一预定状态所形成的有形产品。
注9流程性材料的状态可能是液体、气体、粒状材料、块状、丝状或片状。
注10流程性材料通常由桶、袋、罐、瓶、盆、管道或卷筒的形式交付。
4.工业/经济部门
一类供方的集合,这些供方提供的产品满足类似的顾客需要和/或这些供方的顾客在市场中具有紧密相关的关系。
注11同时使用“工业部门”和“经济部门”两个术语是考虑到在具体的国家或语言中,每一术语有其特定的含义。
注12工业/经济部门包括行政管理、航空航天、银行、化工、建筑、教育、食品、卫生保健、保险、矿业、零售、通讯、纺织、旅游等。
注13工业/经济部门适用于国际性经济或一个国家的经济。
5.受益者
在供方组织业绩和供方组织的运行环境方面有共同利益的一个人或一组人。
6.ISO9000族
由国际标准化组织ISO/TC176质量管理和质量保证技术委员会制定的所有国际标准。
注14目前,ISO9000族包括:
a)ISO9000到ISO9004的所有国际标准,包括ISO9000和ISO9004的各部分标准;
b)ISO10001至ISO10020的所有国际标准,包括所有标准的部分标准;
c)ISO8402。
(四)基本概念
1.主要质量目标和质量职责
一个组织应:
a)根据对质量的要求,达到、保持并不断改进其产品质量;
b)改进其自身的工作质量,以不断地满足所有的顾客和其他受益者明确的或隐含的需要;
c)为其内部管理者和其他雇员提供信任,质量要求正在得到实现和保持并进行质量改进;
d)为顾客和其他的受益者提供信任,交付产品的质量要求现在或将来都会得到满足;
e)提供质量体系要求已被满足的信任。
2.受益者及其期望
作为供方的每一组织都有五组基本的受益者:
它的顾客、它的雇员、它的所有者、它的分供方和社会。
供方应满足其所有受益者的期望和需要。
供方的受益者典型的期望或需要
顾客产品质量
雇员职业/工作满意
所有者投资效益
分供方继续经营的机会
社会可依赖的社会服务
ISO9000系列国际标准中,指南和要求的重点是使顾客满意。
作为五个受益者之一的社会的要求,在世界范围内日趋严格。
此外,期望和需要也正变得更加明确。
需要考虑的因素有工作场所的健康和安全;环境保护(包括能源和自然资源的保护);安全保障等。
考虑到ISO9000族国际标准为能满足质量要求的管理体系提供了一种广泛使用的方法,因此这些管理原理也能有助于满足其他的社会要求。
管理体系方法大这些不同领域的兼容性能促进组织的有效性。
但同时应认识到,产品和过程的技术规范有别于管理体系要求,因此在这些领域,应单独制定技术规范。
3.质量体系要求和产品要求之间的区别
ISO9000族国际标准把质量体系要求和产品要求区分开来。
因此,ISO9000族标准适用于提供所有通用产品的组织以及所有产品质量特性。
质量体系要求是对产品技术要求的补充。
适用的产品技术规范(如作为产品标准中的规定)和过程技术规范与适用的ISO9000族国际标准的要求或指南是有区别和不同的。
ISO9000族国际标准,包括指南和要求,是依照被满足的质量体系目标而编制的。
这些国际标准不是规定如何实现这些目标,而是把这一选择留给了组织的管理者。
4.通用产品类别
确定四种通用产品类别是有用的(见第3章和附录A)。
这四种类别是:
a)硬件;
b)软件;
c)流程性材料;
d)服务
这四种通用产品类别包括了组织提供的所有种类的产品。
ISO9000族国际标准适用于所有四种通用产品类别。
对所有通用产品类别来说,质量体系要求基本是相同的,但术语和管理体系的详略程度和侧重点存在差异。
任何一个组织,不论属于哪一个工业/经济部门,在市场上提供的产品通常有两种或两种以上的通用产品类别。
如大多数提供硬件、软件或流程性材料的组织,同时还要提供相应的服务。
顾客(以及其他受益者)将从所提供的每一通用产品类别的产品中寻求价值。
以分析仪器为例,硬件(如具体的仪器)、软件(围绕仪器而进行的计算工作)、流程性材料(如滴定溶液或标准物质)和服务(如培训或维修保养),均可能是提供产品的重要特性。
服务组织,如某餐馆,有服务成份也有硬件、软件和流程性材料。
5.质量的几个方面
对产品质量产生主要影响的四个方面可归纳如下:
a)与确定产品需要有关的质量
为满足市场要求、把握机遇,确定和不断完善产品的质量是首要方面。
b)与产品设计有关的质量
为能够使产品满足市场要求、把握机遇并为顾客和其他受益者提供价值,与特性设计到产品
中去有关的质量是质量的第二个方面。
更确切地说,与产品设计有关的质量是指在规定等级
内影响预期性能的产品设计特性,如上不同的生产和使用条件下影响产品性能健壮性的产品设计特性。
c)与符合产品设计有关的质量
在符合产品设计和为顾客以及其他受益者提供所设计的特性和价值方面,与始终保持一致性有关的质量是质量的第三个方面。
d)与产品保障有关的质量
为了按需要向顾客和其他受益者提供所设计的特性和价值,在产品寿命周期内,与提供产品保障有关的质量是质量的第四个方面。
对某些产品来说,重要的质量特性包括可信性特性。
可信性(即可靠性、维修性和可用性)可能受到产品质量的所有四个方面的影响。
满足产品质量所有四个方面的需要是组成ISO9000族国际标准的指南和要求的目标。
质量的某些方面可能是特别重要的,如在合同环境下,但是,总的来说,所有方面对产品质量都产生影响。
在a)、b)、c)、d)各方面,ISO9000族国际标准明确地提供了通用质量管理指南和外部质量保证要求。
在考虑整修产品的提供时,顾客将会认真考虑其他特性,其中包括:
——供方的市场状况和策略:
如果供方有一种稳定的和信誉好的市场状况和/或策略,并且正在取得满意的市场占有率,顾客可能会对供方提供的产品支付较高的价格。
——供方的财政状况和策略:
如果供方有一种稳定的和信誉好的财政状况和/或策略,并且正在不断改善财政状况,顾客可能会对供方提供的产品支付较高的价格。
——供方的人力资源状况和策略:
如果供方有一种稳定的和信誉好的人力资源状况和/或策略,并且大其人力资源方面正开发更高的技能、多样化并作出承诺,顾客可能会对供方提供的产品支付较高的价格。
提供方的组织作为一个全面的企业来管理时,这些附加的方面是至关重要的。
注15产品价值包括质量和价格,因此,价格不属于质量方面。
6.过程的概念
ISO9000族国际标准是建立在“所有工作通过一个过程来完成”这样一种认识基础上。
每一过程都有输入。
输出是过程的结果,是指有形的或无形的产品。
过程本身是(或应当是)增加价值的转换。
每一过程以某种方式包含着人和/或其他资源。
一个输出可能是一份发货单、计算机软件、液体燃料、一个医疗设备、一种银行服务、或任一通用产品类别的最终或中间产品。
对输出以及对输入或在过程的不同位置存在着进行度量的机会。
输入和输出有几种类型:
表11.3.2
类型示例
与产品有关的
原材料
中间产品
最终产品
样品
与信息有关的
产品要求
产品特性和状态
信息
保障功能传递
产品性能和需要的反馈
从样品获得的测量数据
在组织中,质量管理通过对过程进行管理得以实现。
因此,有必要在两个方面对过程进行管理。
——产品或信息在其内部进行流动的过程本身的结构和运行。
——在这一结构内流动的产品或信息的质量。
7.组织的过程网络
每一组织的存在是为了实现价值增值。
工作是通过一个过程网络来完成。
网络的结构通常不是一个简单的按顺序排列的结构,一般来说是相当复杂的。
在一个组织内,有许多要执行的职能,包括生产、产品设计、技术管理、营销、培训、人力资源管理、战略策划、交付、货品计价和维修等。
大多数组织是错综复杂的,因此,强调主要过程并简化和按优先次序排列过程对质量管理来说是尤为重要的。
一个组织需要识别、组织和管理其过程网络和接口。
组织通过过程网络来创造、改进和提供稳定的质量。
这是ISO9000族国际标准的一个基本概念。
因此,应该对所有过程及其接口进行分析并不断改进。
当人们必须管理一些过程及其相互关系,尤其是涉及几个职能的大型过程时,往往会出现问题。
为了澄清接口、职责和职权,每一过程应有一管理者专人负责,该管理者所负责的过程质量是非常重要的,如战略策划。
8.质量体系与过程网络的关系
“质量体系由一系列要素所组成”是一种习惯廉洁。
质量体系是通过过程来实施的,过程既存在于职能之中又跨越职能。
为了保证质量体系的有效性,组织应以一种协调一致的方法来确定和展开这些过程及其有关的职责、职权、程序和资源。
一个体系不只是过程的总和,为保证有效性,质量体系需要其组成过程以及过程接口的确定相互协调和相互兼容。
9.评价质量体系
(1)总则
评价质量体系时,必须针对每一被评价的过程提出三个基本问题。
a)过程是否被确定以及过程程序是否恰当地形成文件?
b)过程是否被全面展开并按文件实施?
c)在提供预期的结果方面,过程是否有效?
综合回答这些针对方法、展开和结果方面的问题将决定评价的结论。
一个质量体系的评价在范围上可能有所不同并且可能包括许多活动,将在下面章节中讨论其中的一些活动。
(2)管理评审
依受益者的期望对质量体系的状况和适宜性,包括质量方针,进行评价是供方组织的执行管理者需要系统地开展的重要活动之一。
管理评审通常要考虑许多超出ISO9001、ISO9002或ISO9003要求的附加因素。
内部审核结果和外部审核结果是重要的信息资源。
重要的是管理评审的结果应能导致质量体系的有效性和效率的提高。
(3)质量体系审核
在评价质量体系有效性方面,审核是一个重要的要素。
审核可以由组织自己(第一方)、组织的顾客(第二方)或独立机构(第三方)或以其名义进行。
第二方或第三方审核可以从顾客的角度提供更高程度的客观性。
第一方内部质量审核可以由组织的成员或代表组织的其他人员进行。
这种审核为有效的管理评审和纠正的、预防的或改进的措施提供信息。
在考虑某一合同或多个合同的情况下,可以由组织的顾客或代表顾客的其他人员进行第二方质量审核。
这种审核提供对供方的信任。
为获得认证或注册,可以由胜任的认证机构进行第三方质量审核,从而为许多潜在的顾客提供信任。
在ISO9001、ISO9002和ISO9003中规定了质量体系的基本要求,ISO10011—1、—2、和—3提供了审核指南。
注16第一方审核通常称为“内部”审核,而第二方和第三方质量审核通常称为“外部”质量审核。
(五)文件的作用
1.文件的价值
从ISO9000族国际标准的内容可以看出,编制和使用文件是具有动态的高增值的活动。
适宜的文件对下列几项关键任务来说是必不可少的:
——达到所要求的(产品)质量;
——评价质量体系;
——质量改进;
——保持改进。
2.质量体系的文件和评价
对审核来说,程序文件是客观证据,即
——过程已经被确定;
——程序被认可;
——程序处于更改控制之中。
只有在这些情况下,内部和外部审核才能对展开和实施的适宜性提供一个有意义的评价。
3.文件作为质量改进的保障
对质量改进来说文件是重要的。
当程序已形成文件并被展开和实施时,就可能有把握地确定如何目前执行工作以及如何衡量其业绩。
同时,也增强了更改效果的测量结果的可信度。
此外,文件化的标准工作程序对维持质量改进成果也是必不可少的。
4.文件和培训
保持被展开和实施的程序的协调性取决于文件与人员的技能和培训的有机结合。
在各种情况下都应寻求文件内容与技能和培训内容之间的适宜平衡,以便在合适的时期内保持文件达到一个合理的水平。
要切记应在这种必要的平衡下开展质量体系审核。
(六)质量体系环境
ISO9000族国际标准适用于四种环境:
a)用于质量管理的指南;
b)合同环境,在第一方和第二方之间;
c)第二方认定或注册;
d)第三方认证或注册。
供方组织应建立并保持一个质量体系,所设计的质量体系应涉及供方组织面临的所有环境[a)、b)、c)、d)列出的那些环境]。
对于环境a)这一质量体系将会增强组织自身的竞争力以便以经济有效的方式实现产品质量要求。
在环境b)情况下,顾客可能关心供方质量体系中影响供方按要求持续生产产品的能力的某些要素,以及相应的风险。
因此,顾客通过规定某一特定的质量保证模式,在合同中要求一定的质量体系要素和过程,如果合适,成为供方质量体系的一部分。
在环境c)情况下,供方的质量体系接受顾客的评定。
顾客可能对供方作出符合标准的正式认可。
在环境d)情况下,供方的技师体系接受认证机构的评价,并且供方同意对所有的顾客都保持其质量体系,除非在某一具体合同中有特殊规定。
这种质量体系认证或注册通常能减少顾客进行质量体系评定的数量和/或范围。
一个供方往往同时处于所有类别的环境中。
供方可以根据标准产品目录购买某些材料或零部件,而不提合同质量体系要求;也可以购买另一些产品,提出合同质量体系要求。
同一个供方可以在非合同环境下出售某些产品,有或没有顾客要求的质量体系认证;也可以在全同环境下出售另一些产品。
供方能依拒两种方法中的一种选择使用ISO9000族,这两种方法可分别称之为“管理推动”和“受益者推动”。
在任一情况下,供方首先应研究本标准——ISO9000族的路线图,以便理解在该族中适用的基本概念和标准类型。
在许多国家和工业/经济部门受益者推动是一种流行作法。
质量体系认证/注册应用的增加是推广该方法的一个因素。
在受益者推动方法中,供方首先要根据顾客或其他受益者提出的直接要求,实施一个质量体系。
所选择的质量体系要符合ISO9001、ISO9002或ISO9003中某一合适标准的要求。
在这一方法中,供方管理者必须起到重要的领导作用,但是其工作要得到外部受益者的推动。
特别地,当供方发现产品质量、成本和内部运行结果获得重大改进时,供方可能会着手开展质量管理工作以获得进一步的改进,并根据所选择的作为核心结构的质量保证模式,建立一个更加全面的质量体系。
在管理推动方法中,供方自己的管理者会开展预期形成市场需要和趋势的工作。
在这一方法中,首先要使用ISO9004—1(ISO9004的其他适用的标准)来指导的质量管理方法,建立一个能提高供方质量成就的质量体系。
其后,供方能使用ISO9001、ISO9002或ISO9003合适要求的标准,作为质量保证模式来证实质量体系的适宜性,可能先于任何顾客的要求,作为准备的资格而获得认证。
在管理推动方法中所实施的质量体系通常要比为证实质量体系适宜性而选用的模式更加全面和丰富。
(七)质量国际标准的选择和使用
1.总则
为开展质量管理,组织应使用ISO9000族国际标准,以便在管理推动和受益者推动两种环境下开发、实施和改进他们的质量体系。
ISO9000族国际标准包括两类指南性标准。
ISO9000的几个标准提供质量保证应用指南。
ISO9004的几个标准提供专用于质量管理的应用指南。
ISO9004这些标准不期望用于解释质量保证标准要求,然而,这些标准能提供有益的参考。
同样,序号10000后的国际标准可用作参考。
纵观ISO9000族国际标准,重点是强调顾客需要的满足、职能职责的确定和评价(尽可能地)潜在风险和利益的重要性。
在建立并保持一个有效的质量体系和不断改进质量体系时,应考虑所有这些方面。
应特别注意ISO9004—1,这一标准涉及了任何产品的质量管理并适用于所有的通用产品类别和所有的工业/经济部门。
使用ISO9004—1时,供方应依据具体环境确定每一质量体系要素的适用范围以及具体方法和技术的应用范围,ISO9000族国际标准相应的部分会给出进一步的指南。
为使组织能够从ISO9000族国际标准中选择合适的标准,这些标准将为实施和运行质量体系提供有用的信息。
2.选择和使用
ISO9000—1:
1994质量管理和质量保证标准
第一部分:
选择和使用指南
任一打算开发和实施一个质量体系的组织都应参照ISO9000—1。
全球竞争的加剧已经导致顾客对质量期望越来越高。
为了竞争和维持好的经济效益,组织/供方需要使用更加有效的和有效率的体系。
为此目的,ISO9000—1阐明了基本的与质量有关的概念并提供了ISO9000族国际标准的选择和使用指南。
3.应用指南
ISO9000—2:
1993质量管理和质量保证标准
第二部分:
ISO9001、ISO9002和ISO9003实施指南
在实施和应用ISO9001、ISO9002和ISO9003过程中需要帮助时,应选择ISO9002—2。
该标准为质量保证标准中各条款的实施提供指南,在实施质量保证标准初期特别有用。
4.软件
ISO,9000—3:
1991质量管理和质量保证标准
第三部分:
ISO9001在软件开发、供应和维护中的使用指南
(ISO9000—3仅涉及计算机软
升级会员 