ФЕДЕРАЛЬНОЕ
АГЕНТСТВО
Информационные технологии Информационно-вычислительные системы Программное обеспечение СИСТЕМЫ МЕНЕДЖМЕНТА КАЧЕСТВА Требования
Предисловие Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 года № 184-ФЗ «О техническом регулировании», а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0 - 2004 «Стандартизация в Российской Федерации. Основные положения» Сведения о стандарте 1 РАЗРАБОТАН Федеральным государственным унитарным предприятием «Всероссийский научно-исследовательский институт проблем вычислительной техники и информатизации» (ФГУП ВНИИПВТИ) 2 ВНЕСЕН Техническим комитетом по стандартизации «Информационные технологии» ТК 22 3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ приказом Ростехрегулирования от 15 декабря 2009 года № 966-ст 4 ВВЕДЕН ВПЕРВЫЕ Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе «Национальные стандарты», а текст изменений и поправок - в ежемесячно издаваемых информационных указателях «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе «Национальные стандарты». Соответствующая информация, уведомления и тексты размещаются также в информационной системе общего пользования - на официальном сайте национального органа Российской Федерации по стандартизации в сети Интернет Содержание Введение Настоящий стандарт разработан на базе основополагающего национального стандарта ГОСТ Р ИСО 9001-2008 «Системы менеджмента качества. Требования». Применение настоящего стандарта взаимосвязано с другими основополагающими стандартами, относящимися к системам менеджмента качества: - ГОСТ Р ИСО 9004-2001 «Системы менеджмента качества. Рекомендации по улучшению деятельности»; - ГОСТ Р ИСО 19011-2003 «Руководящие указания по аудиту систем менеджмента качества и/или систем экологического менеджмента». НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Дата введения - 2011 - 01 - 01 1 Область примененияНастоящий стандарт предназначен для сертификации систем менеджмента качества организаций, создающих программное обеспечение информационно-вычислительных систем. Настоящий стандарт может быть также применен организациями, осуществляющими разработку, поставку, эксплуатацию и сопровождение программного обеспечения, при: - подготовке системы менеджмента качества к сертификации на соответствие требованиям, установленным настоящим стандартом; - осуществлении действий по повышению результативности системы менеджмента качества и по улучшению деятельности организации в целом с основной целью - создание программного обеспечения с характеристиками, удовлетворяющими потребности и ожидания приобретателей (заказчиков и потребителей); - проведении мероприятий по поддержанию работоспособности сертифицированной системы менеджмента качества. Настоящий стандарт устанавливает требования к процессам системы менеджмента качества, к осуществлению этих процессов и правила их документирования. Настоящий стандарт распространяется на системы менеджмента качества создающих программное обеспечение организаций, независимо от их организационно-правовых форм, размера и форм собственности. 2 Нормативные ссылкиВ настоящем стандарте использованы нормативные ссылки на следующие стандарты: ГОСТ Р ИСО 9000-2008 Системы менеджмента качества. Основные положения и словарь ГОСТ Р ИСО 19011-2003 Руководящие указания по аудиту систем менеджмента качества и/или систем экологического менеджмента ГОСТ Р ИСО/МЭК 12207-99 Информационная технология. Процессы жизненного цикла программных средств Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте национального органа Российской Федерации по стандартизации в сети Интернет или по ежегодно издаваемому информационному указателю «Национальные стандарты», который опубликован по состоянию на 1 января текущего года, и по соответствующим ежемесячно издаваемым информационным указателям, опубликованным в текущем году. Если ссылочный документ заменен (изменен), то при пользовании настоящим стандартом следует руководствоваться заменяющим (измененным) документом. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, применяется в части, не затрагивающей эту ссылку. 3 Термины и определенияВ настоящем стандарте применены следующие термины с соответствующими определениями: 3.1 запись: Документ, содержащий описание результатов осуществленной деятельности. 3.2 информационно-вычислительная система: Совокупность данных (баз данных) и программ, функционирующих на вычислительных средствах как единое целое для решения определенных задач. 3.3 инфраструктура: Совокупность помещений, оборудования и средств, необходимых для функционирования организации при создании программного обеспечения. 3.4 корректирующее действие: Действие, предпринятое для устранения причины обнаруженного несоответствия. 3.5 менеджмент: Скоординированная деятельность должностных лиц по руководству и управлению организацией с целью повышения эффективности ее функционирования при создании программного обеспечения. 3.6 программное обеспечение (программное средство, программа): Последовательность инструкций в кодах для вычислительного средства, находящаяся в памяти вычислительного средства, представляющая описание алгоритма действий с данными. Примечание - Программное обеспечение как продукция производственно-технического назначения рассматривается с обязательным наличием соответствующих конструкторских и эксплуатационных документов. 3.7 производственная среда: Совокупность физических, социальных, психологических и экологических условий, в которых персонал выполняет работы. 3.8 процедура: Установленный способ осуществления процесса. 3.9 процедура документированная: Процедура, изложенная письменно на бумажном носителе информации. 3.10 процедурный документ: Документ на бумажном носителе информации, содержащий письменную процедуру. 3.11 процесс: Деятельность, в результате которой входные данные преобразуются в выходные данные (достигнутые результаты). 3.12 ресурсы: Персонал, финансовые средства, инфраструктура и производственная среда, необходимые для создания программного обеспечения. 3.13 система менеджмента качества: Совокупность организационной структуры, процессов и ресурсов организации, обеспечивающая достижение целей и реализацию политики в области качества. 3.14 служба качества: Входящая в организационную структуру группа работников из штатного расписания, назначенных приказом руководителя организации и подготовленных для содействия персоналу в поддержании системы менеджмента качества в рабочем состоянии, а также в повышении ее результативности. 3.15 создание (разработка) программного обеспечения: Совокупность процессов жизненного цикла программного обеспечения от формирования требований к нему до снятия его с эксплуатации. 3.16 этап (стадия): Составляющая часть жизненного цикла программного обеспечения, имеющая конкретный результат. 4 СокращенияВ настоящем документе использованы следующие сокращения: - ЖЦПО - жизненный цикл программного обеспечения; - ИВС - информационно-вычислительная система; - ИТ - информационная технология; - ОС СМК - орган по сертификации систем менеджмента качества; - ПО - программное обеспечение; - ПС - программное средство; - ПРК - представитель руководства организации по качеству; - СМК - система менеджмента качества; - СТО - стандарт организации. 5 Общие требования к организацииОрганизация, претендующая на сертификацию действующей в ней системы менеджмента качества, должна: а) быть юридическим лицом, зарегистрированном в установленном порядке; б) иметь: 1) определенный Уставом организации вид деятельности - создание программного обеспечения информационно-вычислительных систем; 2) утвержденную руководителем организации организационную структуру, включающую в себя штатное расписание и отражающую распределение ответственности, полномочий и взаимоотношений руководящих должностных лиц и взаимодействие структурных подразделений; 3) профессионально подготовленный для выполнения работ по созданию, сопровождению и эксплуатации программного обеспечения персонал, а также группу работников, специально подготовленных к действиям по поддержанию работоспособности СМК; 4) утвержденные руководителем организации положения о подразделениях, а также о службе качества; 5) должностные инструкции работников всех уровней организационной структуры организации; 6) инфраструктуру, обеспечивающую функционирование (жизнедеятельность) организации; 7) производственную среду, обеспечивающую условия для выполнения работ по созданию программного обеспечения; 8) документально оформленную СМК; 9) хотя бы одно сертифицированное ПО из уже созданных; 10) систему менеджмента качества, действующую в организации не менее шести месяцев с момента ее внедрения. 6 Ответственность руководства и персонала организации6.1 Требования к заявлениям о целях и политике в области качестваЦели организации в области качества должны: - соответствовать назначению организации; - конкретизировать конечный результат и срок его достижения; - содержать количественные характеристики требуемого результата для подтверждения факта их достижения; - быть включены в положения о соответствующих подразделениях и должностные инструкции работников. Политика организации в области качества должна: - соответствовать целям организации; - включать в себя обязательство руководства организации обеспечивать постоянное повышение результативности СМК; - содержать конкретные и однозначные формулировки; - состоять из 8-10 частей, содержащих логически завершенные принципиальные положения по руководству организацией с целью улучшения ее деятельности. 6.2 Требования к представителю руководства организации по качеству6.2.1 Представитель руководства организации по качеству, назначаемый ее руководителем, должен нести ответственность за результативность функционирования СМК. 6.2.2 Представитель руководства организации по качеству должен иметь полномочия, распространяющиеся на: - координацию деятельности подразделений для достижения целей организации в области качества; - подготовку проектов решений руководителя организации (приказов и распоряжений) по совершенствованию ее деятельности, принимаемых по результатам анализа функционирования СМК; - представление руководителю организации проектов программ внутренних проверок СМК для утверждения; - утверждение состава экспертных групп для проведения внутренних проверок СМК и отчетов по проверкам; - подготовку предложений руководителю организации о поощрении подразделений и отдельных работников по результатам функционирования СМК; - представительство организации во внешних организациях по вопросам СМК и принятие решений о возможности предоставления данных по СМК другим организациям (по их запросам). 6.2.3 Основными обязанностями представителя руководства организации по качеству должны быть: - разъяснение целей и политики организации в области качества руководителям подразделений, участвующих в создании ПО; - планирование внутренних проверок СМК, обеспечение проверок необходимыми ресурсами, проведение совещаний по анализу предпринятых корректирующих и предупреждающих действий; - представление отчетов руководству организации о функционировании СМК и необходимости ее улучшения; - методическое обеспечение работы службы качества и контроль ее деятельности; - анализ, оценка и подготовка предложений по актуализации целей и политики организации в области качества; - организация обучения и подготовки работников подразделений организации к осуществлению действий по поддержанию работоспособности СМК; - поддержание связей с потребителями, заказчиками и другими заинтересованными в деятельности организации сторонами по вопросам, касающимся СМК; - координация взаимодействия должностных лиц и персонала подразделений организации при функционировании СМК; - разрешение спорных вопросов, возникающих между подразделениями организации в рамках СМК; - обеспечение понимания персоналом организации требований приобретателей (заказчиков и потребителей) к ПО. 6.2.4 Обязанности представителя руководства организации по качеству и сфера его ответственности должны быть определены в положении о ПРК 6.3 Распределение полномочий и ответственности персонала6.3.1 Полномочия и ответственность персонала организации устанавливаются в положениях о подразделениях, должностных инструкциях, документированных процедурах, стандартах организации и организационно-распорядительных документах. 6.3.2 В положении о подразделении должны быть определены: - структура подразделения; - относящиеся к подразделению цели деятельности организации, а также ее цели в области качества; - права и обязанности руководителя подразделения; - ответственность руководителя подразделения; - процессы, определяющие участие персонала подразделения в достижении поставленных целей; - направления взаимодействия с другими подразделениями. 6.3.3 В должностной инструкции работника должны быть определены: - место и роль в подразделении, подчиненность; - требования к образованию, квалификации, опыту работы и специальной подготовке; - обязанности и права; - ответственность за результаты работы, включая достижение целей в области качества, относящихся к подразделению; - порядок взаимодействия с другими работниками подразделения. 6.4 Требования к службе качества6.4.1 Место службы качества (далее - Служба) в структуре организации должно быть документально закреплено положением о Службе, утвержденным руководителем организации. 6.4.2 В состав Службы должны входить: - руководитель Службы; - работники из подразделений, прошедшие специальную подготовку по СМК. 6.4.3 Руководитель Службы должен: - иметь высшее техническое образование в области информационных технологий; - иметь стаж работы на руководящих должностях продолжительностью не менее трех последних лет; - пройти специальную подготовку по СМК. 6.4.4 Положение о Службе должно содержать: - состав и задачи Службы; - права, обязанности и ответственность руководителя Службы; - права и обязанности работников, входящих в состав Службы. 6.4.5 Основные задачи Службы: - поддержание в работоспособном состоянии СМК; - постоянное совершенствование документов СМК и контроль внесения в нее изменений (корректировок); - проверка и оценка соблюдения персоналом требований документов СМК и правильности ведения записей о функционировании установленных процессов; - контроль достижения подразделениями и их персоналом целей организации в области качества; - выполнение комплекса работ по сбору и обработке информации о качестве ПО и представление ее руководству организации и руководителям подразделений; - разработка проектов планов внутренних проверок СМК; - представление отчетов о внутренних проверках СМК представителю руководства организации по качеству и рассылка их в соответствующие подразделения; - контроль своевременности выполнения корректирующих и предупреждающих действий по несоответствиям, выявленным при проведении проверок; - управление документацией СМК, обеспечение сохранности контрольных экземпляров всех документов СМК, доступность работникам актуализированных документов на соответствующих рабочих местах. 7 Требования к ресурсам организации7.1 Общие требования к ресурсамРесурсы, которые организация определяет как необходимые для создания программного обеспечения, должны обеспечивать: - повышение удовлетворенности приобретателей (заказчиков и потребителей) выполнением их требований; - внедрение и поддержание в работоспособном состоянии СМК, а также постоянное повышение ее результативности. 7.2 Требования к персоналу7.2.1 Руководители подразделений, непосредственно участвующих в создании ПО, должны иметь высшее техническое образование в области информационных технологий. 7.2.2 Персонал подразделений, непосредственно участвующих в создании ПО, должен иметь высшее или специальное техническое образование и не более чем трехлетний срок по окончании курсов повышения квалификации в области ИТ. 7.2.3 Сведения об образовании, повышении квалификации, стаже работы в области ИТ персонала организации должны поддерживаться в актуализированном состоянии. 7.3 Требования к инфраструктуре организации7.3.1 Инфраструктура организации в общем случае может включать в себя: - здания (помещения), рабочее пространство для размещения персонала, оборудования и средств обеспечения деятельности работников; - оборудование для процессов (компьютерные средства с программным обеспечением, оргтехника), для испытаний ПО, мониторинга и измерения; - другие средства обеспечения деятельности (информационная и информационно-вычислительная системы, связь, транспорт). 7.3.2 Здания (помещения) для размещения персонала и оборудования должны соответствовать требованиям действующих документов, устанавливающих: - санитарно-гигиенические требования по охране труда; - санитарные нормы; - нормы безопасности (пожарной безопасности, экологической безопасности, электробезопасности и т.п.). 7.3.3 Оборудование для создания и испытаний ПО, мониторинга и измерения должно быть сертифицировано на соответствие обязательным требованиям безопасности. 7.3.4 Оборудование для испытаний и измерения должно быть поверено в установленном порядке. 7.4 Требования к производственной среде организацииРабочие места для выполнения персоналом служебных обязанностей в части охраны жизни и здоровья работников должны соответствовать установленным санитарным нормам по допустимой степени загрязненности, уровням шума и вибрации, освещенности [5] - [10]. 8 Требования к составу и содержанию процессов системы менеджмента качества8.1 Требования к составу процессов СМКСистема менеджмента качества должна включать в себя: а) процесс управленческой деятельности руководства организации, обеспечивающий: 1) актуализацию целей и политики организации в области качества; 2) планирование развития и улучшения СМК; 3) распределение полномочий и ответственности персонала; 4) организацию внутреннего обмена информацией; 5) проведение анализа СМК со стороны руководства организации; б) процессы управления ресурсами: 1) персоналом; 2) инфраструктурой; 3) производственной средой; в) процессы жизненного цикла программного обеспечения (ЖЦПО); г) процессы мониторинга, измерения (где оно применимо) и анализа данных применительно к: 1) продукции, - обеспечивающие получение информации (свидетельств) о соблюдении организацией требований к ПО и удовлетворенности приобретателей (заказчиков и потребителей) соответствием ПО их требованиям; 2) процессам СМК, - обеспечивающие получение информации о соответствии системы менеджмента качества требованиям настоящего стандарта и пригодности процессов для достижения запланированных результатов; д) процессы, осуществление которых по соответствующим планам (8.3.1.2) способствует улучшению СМК - повышению ее результативности: 1) управление документацией; 2) управление записями; 3) управление программой проверок СМК; 4) управление несоответствующим ПО; 5) управление корректирующими действиями; 6) управление предупреждающими действиями. 8.2 Общие требования к процессам СМКДля каждого процесса СМК должны быть определены: - должностное лицо, ответственное за процесс; - входные данные для выполнения процесса; - процедуры процесса; - ресурсы, используемые для реализации процесса с заданными результатами; - выходные данные (достигнутые результаты) процесса; - взаимодействие и взаимосвязи процесса с другими процессами; - состав записей процесса (регистрируемых свидетельств выполненных действий, достигнутых результатов). 8.3 Требования к процессам, определенным организацией для СМК8.3.1 Процесс управленческой деятельности руководства организации 8.3.1.1 Решение об актуализации целей и политики организации в области качества должен принимать руководитель организации. Предложения по актуализации целей и политики организации в области качества разрабатываются руководителем Службы с участием руководителей подразделений и согласовываются с ПРК. Актуализация целей и политики организации в области качества должна предусматривать: - уточнение целей организации в области качества и создание благоприятной производственной среды для реализации этих целей; - способы и средства повышения квалификации персонала для реализации целей организации в области качества; - способы повышения качества ПО, снижения производственных издержек; - методы поддержания результативности СМК. Цели и политика организации в области качества должны оформляться отдельными документами, которые подписывает руководитель организации. Цели и политика организации в области качества: - отражаются в средствах наглядной агитации организации и используются в информационных и рекламных целях; - публикуются в специализированных каталогах и проспектах, в периодической печати, на сайтах в сети Интернет. Доведение целей и политики организации в области качества до персонала должно осуществляться: - при приеме работника на работу; - на совещаниях, проводимых руководителями различных уровней; - при подготовке и переподготовке работников (учебные курсы, семинары и т.п., организуемые руководством организации). Ответственность за доведение целей и политики организации в области качества до персонала несет ПРК. - наименования необходимых работ, их обоснование, цели и ожидаемые результаты; - необходимые для выполнения работ ресурсы (в том числе людские); - ответственных исполнителей этих работ (по согласованию); - предполагаемые сроки выполнения работ. 8.3.1.3 Распределение полномочий и ответственности персонала 8.3.1.3.1 Внутренний обмен информацией в организации должен обеспечивать осведомленность персонала о: - требованиях приобретателей (заказчиков и потребителей) к создаваемому организацией ПО; - результатах деятельности организации в целом; - результатах завершенных этапов работ; - отзывах приобретателей (заказчиков и потребителей) на сданное в эксплуатацию ПО; - результативности СМК и вкладе каждого подразделения и каждого работника в обеспечение ее функционирования и в достижение целей в области качества; - дате актуализации используемых в работе документов СМК и документов внешнего происхождения. 8.3.1.3.2 Анализ СМК со стороны руководства организации должен включать в себя оценки возможностей улучшения СМК и потребности в изменениях ее, а также своевременности актуализации политики и/или целей в области качества. Для такого анализа руководству организации его представителем по качеству и службой качества должны представляться: - отчеты о функционировании процессов СМК и системы в целом, обоснования необходимости ее улучшения, соответствующие рекомендации по изменениям, которые могли бы повлиять на повышение результативности СМК, в том числе в политике и целях в области качества; - информация о восприятии приобретателями (заказчиками и потребителями) выполнения организацией их требований и соответствия этим требованиям ПО, полученная по результатам соответствующего мониторинга; - результаты проверок СМК (как внутренних, так и внешних, проводимых ОС СМК) и данные о результативности предпринятых по ним корректирующих и/или предупреждающих действий; - результаты предпринятых действий по решениям, принятых руководством организации по предыдущим анализам СМК. По результатам анализа СМК со стороны руководства принимаются решения и предписываются необходимые действия, относящиеся к: - повышению результативности процессов для СМК и системы в целом; - улучшению характеристик ПО относительно требований приобретателей (заказчиков и потребителей); - обеспечению функционирования СМК дополнительными ресурсами (при необходимости и по потребности). 8.3.2 Процессы управления ресурсами 8.3.2.1 Управление персоналом организации должно предусматривать: - наличие актуализированных положений о подразделениях (а также о службе качества) и должностных инструкций работников; - актуализацию карточек, содержащих сведения о работниках; - установленный порядок повышения квалификации персонала; - информирование персонала руководством организации о целях и результатах деятельности организации, в том числе о ее целях и политике в области качества. Персоналу должны обеспечиваться условия для плодотворной деятельности и повышения квалификации, в том числе: а) участие в научно-технических конференциях, симпозиумах, семинарах и других информационных мероприятиях по профилю деятельности; б) доступ к информации, содержащейся в: 1) нормативных документах; 2) эксплуатационной документации фирм-производителей; 3) сведениях о заказчиках и поставщиках; 4) технической литературе; 5) журналах специальных направлений; 6) патентах на изобретения, промышленные образцы и полезные модели; 7) ресурсах сети Интернет. 8.3.2.2 Для поддержания инфраструктуры организации в рабочем состоянии должно осуществляться управление ею, заключающееся в: а) проведении периодических проверок помещений и размещенного в них оборудования (7.3) на соответствие требованиям техники безопасности и производственной санитарии; б) назначении должностных лиц (должностного лица) организации, ответственных(-ого) за эксплуатацию оборудования; в) учете приобретения, сроков эксплуатации и проведении периодического оценивания технического состояния всего используемого оборудования; г) проведение периодических поверок и аттестации оборудования для испытаний и измерения с документальным оформлением записей, содержащих: 1) наименование и тип оборудования; 2) дату последней поверки; 3) наименование поверяющей организации; 4) срок очередной поверки; 5) фамилию и инициалы лица, ответственного за проведение поверки; 6) фамилию и инициалы лица, ответственного за эксплуатацию оборудования; д) ведении записей о: 1) составе оборудования с указанием его качественных и количественных характеристик, степени изношенности («старения») и т.п.; 2) лицах, ответственных за эксплуатацию оборудования; 3) проведенных проверках и поверках; 4) состоянии транспорта и средств связи. 8.3.2.3 Управление производственной средой должно включать в себя: - периодические аттестации рабочих мест на соответствие установленным требованиям безопасности для жизни и здоровья персонала; - сочетание мер морального и материального воздействия на персонал за достигнутые результаты. 8.3.3 Процессы жизненного цикла программного обеспечения (ЖЦПО) Управление процессами жизненного цикла ПО должно заключаться в: - анализе требований к ПО в составе ИВС; - организации работ по этапам (стадиям) ЖЦПО в составе ИВС. Выходные данные (результаты) одного этапа должны являться входными данными для последующего, как правило, этапа или, в общем случае, другого этапа. По завершении каждого этапа должен проводиться анализ результатов работ. Требования к содержанию и результатам работ на каждом этапе жизненного цикла должны устанавливаться стандартами организации (СТО): - требования к компонентам ПО ИВС, разрабатываемым сторонними организациями; - требования к результатам работ на каждом этапе жизненного цикла. 8.3.4 Процессы мониторинга, измерения и анализа данных 8.3.4.1 Мониторинг и измерение результативности СМК должны проводиться на всех этапах ЖЦПО и обеспечиваться специальной информационно-вычислительной системой, эксплуатируемой в организации. 8.3.4.2 Мониторинг и измерение характеристик ПО должны предусматривать: - наличие перечня характеристик ПО, измеряемых на этапах (стадиях) его ЖЦ, и используемую документацию; - результаты измерения для подтверждения соответствия заданных характеристик установленным требованиям. 8.3.4.3 Для анализа данных о результативности СМК и ее пригодности, а также для оценивания, в какой области возможно постоянное повышение ее результативности, должны использоваться: а) сравнение полученных характеристик ПО с заданными (соответствие ПО установленным требованиям); б) характеристики процессов и тенденции функционирования СМК, оцениванием которых возможно выявление потенциальных несоответствий, определение и последующее осуществление предупреждающих действий; в) экономические показатели: 1) себестоимость работ; 2) объем выполненных работ; г) показатели удовлетворенности потребителей за определенный период времени (квартал, полугодие, год): 1) жалобы и рекламации, поступившие в организацию; 2) отзывы в публикациях средств массовой информации; д) показатели удовлетворенности персонала организации: 1) уровни заработной платы (минимальный, максимальный, средний); 2) наличие системы материального и морального поощрения; 3) текучесть кадров (например, за год); е) записи результатов выбора поставщиков по соответствию их разработанным критериям отбора, оценивания закупленной продукции по ее воздействию на создаваемое ПО (на стадиях его жизненного цикла и/или готовое). 8.3.5 Процесс управления документацией 8.3.5.1 Управление документацией распространяется на: - организационно-распорядительные документы; - нормативные документы; - документы, свидетельствующие о принятых руководством организации обязательствах по внедрению СМК, обеспечению ее функционирования и постоянному улучшению результативности. 8.3.5.2 Объектами управления являются подлинники (оригиналы) и копии документов, оформленные на бумажном носителе информации и в электронно-цифровой форме (ЭЦФ). 8.3.5.3 Управление документацией заключается в: - разработке проектов новых и пересмотре, при необходимости, действующих документов; - рассмотрении проектов документов в подразделениях; - согласовании проектов документов перед их утверждением; - утверждении документов; - издании/регистрации документов; - тиражировании документов; - ознакомлении персонала с документами; - обеспечении доступности экземпляров актуализированных документов на рабочих местах в соответствующих подразделениях; - регистрации поступающих документов внешнего происхождения; - обеспечении хранения документов; - установлении порядка своевременного изъятия из обращения утративших силу документов со всех мест их рассылки. 8.3.6 Процесс управления записями 8.3.6.1 Управлением записями должны обеспечиваться: - определение способов идентификации данных, относящихся к ПО, процессам для СМК, поставщикам используемой продукции и договорам на поставку ПО; - установление порядка сбора и хранения данных об источниках и потребителях данных, сроках и периодичности подготовки и представления данных руководству организации и по запросам приобретателей (заказчиков и потребителей); - определение состава вычислительных и программных средств ИВС, необходимых для ведения записей, и порядка ведения базы данных, содержащей записи; - контроль достоверности данных и соблюдения коммерческой тайны; - установление порядка изъятия записей, утративших актуальность. 8.3.6.2 Записи о соответствии ПО должны фиксировать объективные доказательства достигнутых результатов в следующих формах: - сертификат соответствия ПО; - отчет о результатах выбора организации-поставщика; - отчет об обеспечении сохранности предоставленных организации материалов (результаты испытаний, оборудование для ПО), аппаратных и других средств, являющихся собственностью организации - заказчика ПО; - протокол поверки используемого оборудования для измерения; - отчет о внутренней проверке СМК; - отчет о несоответствующем ПО и предпринятых действиях. 8.3.6.3 Информация о закупках и организациях-поставщиках должна содержать: а) наименование организации-поставщика, ее юридический и фактический адреса, номера контактных телефонов и факсов, адреса электронной почты; б) фамилию, имя и отчество ее руководителя; в) наименование продукции, даты поставок; г) описания заказанной (закупленной) продукции, включая, где это необходимо, требования к: 1) официальному одобрению продукции, а также процессов, процедур и оборудования, применяемых при ее производстве; 2) квалификации персонала; 3) системе менеджмента качества организации-поставщика. 8.3.6.4 Записи о результатах измерения характеристик созданного ПО, а также об отзывах приобретателей (заказчиков и потребителей), жалобах и рекламациях, в общем случае, могут включать в себя: - дату измерения (мониторинга); - выявленные несоответствия и/или отклонения от установленных требований и их причины; - сведения о несоответствующем ПО; - дату и способ утилизации несоответствующего ПО; - действия, предпринятые в отношении несоответствующего ПО, должность, фамилию и инициалы полномочного лица, санкционировавшего их. 8.3.6.5 В состав записей о процессах СМК должны быть включены: - данные о результатах: 1) внутренних проверок СМК; 2) реализованных мероприятий по улучшению СМК; - результаты анализа СМК со стороны руководства организации; - акты с анализом результативности предпринятых корректирующих и предупреждающих действий; - сведения о лицах, ответственных за ведение записей. 8.3.7 Процесс управления программой проверок СМК Управление программой проверок СМК заключается в: - разработке, согласовании и утверждении программы проверок на конкретный период времени (например, на один год) с учетом статуса и важности процессов для СМК, указанием участков (подразделений), подлежащих проверкам, и включением в нее предстоящих проверок СМК организации комиссиями ОС СМК; - разработке и утверждении планов внутренних проверок СМК, своевременном доведении их до подразделений, участвующих в проверяемых процессах; - назначении экспертов для проведения внутренних проверок, исключающем возможность проверок экспертом деятельности своего подразделения; - подготовке и утверждении отчетов по результатам внутренних проверок СМК, рассылке их соответствующим подразделениям. 8.3.8 Процесс управления несоответствующим ПО Управление несоответствующим ПО должно проводиться в целях предотвращения его непреднамеренного использования и/или поставки и включать в себя: - идентификацию ПО, не соответствующего установленным требованиям; - регистрацию характеристик несоответствующего ПО; - определение причин несоответствий и осуществление действий для устранения обнаруженных несоответствий; - повторную верификацию ПО после устранения несоответствий; - изоляцию или утилизацию несоответствующего ПО. Результатами процесса должны быть: - рекомендации по устранению причин выявленных несоответствий; - рекомендации по улучшению деятельности персонала по устранению несоответствий; - данные о возвращенном на доработку, изолированном или утилизированном ПО, не соответствующем установленным требованиям; - действия, предпринятые в отношении несоответствующего ПО, с указанием должности, фамилии и инициалов полномочного лица, санкционировавшего их. 8.3.9 Процесс управления корректирующими действиями Управление корректирующими действиями в целях устранения причин несоответствий и предотвращения повторного их возникновения, заключается в: - описании и анализе несоответствий (в том числе жалоб и рекламаций заказчиков и потребителей); - установлении причин несоответствий; - оценивании необходимости действий для исключения повторения несоответствий (таких же или аналогичных); - определении и осуществлении корректирующих действий, признанных необходимыми; - ведении записей результатов предпринятых действий; - анализе результативности предпринятых корректирующих действий. Результатами процесса должны быть рекомендации по: - устранению причин возникновения несоответствий; - улучшению деятельности по предотвращению повторения несоответствий. 8.3.10 Процесс управления предупреждающими действиями Управление предупреждающими действиями, которые проводятся в целях устранения причин потенциальных несоответствий и предотвращения их возникновения, может заключаться в: - установлении потенциальных несоответствий и их возможных причин; - оценивании необходимости действий в целях предотвращения появления несоответствий; - определении и осуществлении предупреждающих действий, признанных необходимыми; - ведении записей результатов предпринятых действий; - анализе результативности предпринятых предупреждающих действий. Результатами процесса должны быть рекомендации по: - устранению причин возникновения возможных несоответствий; - улучшению деятельности по предотвращению появления несоответствий. 9 Требования к документам СМК9.1 Требования к составу документов СМК9.1.1 Документация СМК организации должна включать в себя следующие виды документов: - организационно-распорядительные; - нормативные; - документы, свидетельствующие о принятых руководством организации обязательствах по внедрению СМК, обеспечению ее функционирования и постоянному улучшению результативности; - рабочие. 9.1.2 В состав организационно-распорядительных документов СМК должны входить: - Устав организации; - организационная структура (штатное расписание); - положения о подразделениях; - должностные инструкции работников; - приказы, распоряжения и решения руководства организации относительно СМК. 9.1.3 К нормативным документам СМК относятся: а) национальные (государственные) стандарты; б) требования системы добровольной сертификации, выбранной организацией для сертификации ее СМК; в) стандарты организации, конкретизирующие требования национальных (государственных) стандартов к процессам создания ПО. 9.1.4 К документам, свидетельствующим о принятых руководством организации обязательствах, относятся: - заявления о целях и политике организации в области качества; - Руководство по качеству; - положение о представителе руководства организации по качеству; - положение о службе качества. 9.1.5 В состав рабочих документов СМК входят: - описания процессов СМК (в соответствии с требованиями настоящего стандарта); - записи о результатах деятельности (в соответствии с документированной процедурой по управлению записями); - приказы, распоряжения и решения руководства организации относительно СМК. 9.2 Требования к Руководству по качествуРуководство по качеству должно представлять собой основной руководящий документ по СМК и содержать область применения СМК, включая подробности и обоснование любых исключений, а также: - полное и сокращенное наименования организации как юридического лица (в соответствии с определенными в ее Уставе); - юридический и фактический адреса организации, номера контактных телефонов, факсов, электронный адрес, банковские реквизиты, адрес сайта в сети Интернет и т.п.; - основные виды деятельности организации (в соответствии с ее Уставом и имеющимися лицензиями); - наименования видов проводимых работ (по Общероссийскому классификатору видов деятельности); - сведения об организациях-соисполнителях; - сведения о потенциальных организациях-заказчиках (потребителях) ПО; - описание взаимодействия процессов для СМК; - перечни документированных процедур и стандартов организации, разработанных для СМК, и ссылки на них; - перечень других документов, действующих в организации, включая документы внешнего происхождения. 10 Требования к методам проверки (контроля) СМК10.1 Проверки СМК осуществляются проведением сертификации ее на соответствие требованиям настоящего стандарта. Доказательства функционирования СМК оформляются в акте сертификационной проверки. Сертификация СМК включает в себя следующие этапы: - представление организацией заявки на сертификацию СМК в ОС СМК; - принятие органом по сертификации решения по заявке; - сертификационную проверку СМК комиссией ОС СМК; - принятие ОС СМК решения по результатам сертификационной проверки; - выдачу сертификата соответствия СМК (при положительных результатах сертификационной проверки); - регистрацию сертифицированной СМК в реестре системы добровольной сертификации; - последующий инспекционный контроль СМК комиссиями ОС СМК в течение срока действия сертификата соответствия; - ресертификацию СМК комиссией ОС СМК по окончании срока действия сертификата соответствия. 10.2 Представление заявки на сертификацию Для проведения сертификации СМК организация-заявитель представляет в ОС СМК заявку на сертификацию в соответствии с правилами системы добровольной сертификации. 10.3 Принятие решения по заявке Решение о проведении/отказе в проведении сертификации СМК принимает ОС СМК системы добровольной сертификации, в который заявитель представил заявку. 10.4 Сертификационная проверка СМК 10.4.1 Сертификация СМК проводится в два этапа: - экспертиза документов СМК, представленных организацией-заявителем (состав документов - по правилам системы добровольной сертификации); - проверка СМК на месте размещения организации-заявителя. 10.4.2 Экспертиза представленных документов СМК Комплект документов, представленный вместе с заявкой на сертификацию СМК, анализируется на полноту состава, правильность оформления документов и соответствия их содержания требованиям настоящего стандарта. Результатом анализа документов является экспертное заключение, содержащее оценку соответствия оформления и содержания документов СМК требованиям настоящего стандарта и правилам системы добровольной сертификации, выявленные несоответствия и замечания. При положительном экспертном заключении на комплект документов проводится второй этап сертификации непосредственно на месте размещения организации-заявителя (сертификационная проверка СМК «на месте»). 10.4.3 Проведение сертификационной проверки СМК «на месте» На этом этапе осуществляются следующие проверки: - доступности документов СМК на рабочих местах работников; - знания персоналом документов СМК; - оборудования рабочих мест; - проверки состояния и содержаний записей о функционировании СМК; - соответствия ПО, созданного организацией-заявителем. При сертификационной проверке СМК должны быть обследованы все подразделения организации, участвующие в работах по созданию ПО. Комиссии ОС СМК должны быть представлены в полном составе технические и программные средства, используемые для создания ПО, и их эксплуатационная документация. В каждом подразделении организации проверяется не менее половины работников, участвующих в создании ПО. Входными данными для оценки выполнения персоналом действий, установленных в документах СМК, являются: - обязанности работника, установленные в его должностной инструкции; - отчеты по внутренним проверкам СМК; - материалы аттестации персонала, проводимой в организации; - результаты производственной и экономической деятельности подразделений и организации в целом за период между проверками СМК органом по сертификации. Входными данными для оценки соответствия ПО являются: - характеристики ПО, созданного организацией-заявителем; - наличие рекламаций и жалоб приобретателей (заказчиков и потребителей) ПО, поступивших в организацию; - отзывы приобретателей (заказчиков и потребителей) ПО в периодической печати и/или в специализированных изданиях. Итоговым результатом сертификационной проверки СМК является акт комиссии ОС СМК, составленный в соответствии с правилами системы добровольной сертификации. 10.5 Принятие решения по результатам сертификационной проверки Критериями соответствия СМК требованиям настоящего стандарта являются: - наличие полного состава документов СМК; - доступность актуализированных документов СМК на рабочих местах работников; - отчеты по внутренним проверкам СМК с положительными выводами/результатами выполнения корректирующих/предупреждающих действий; - требуемая квалификация работников; - наличие сертификатов соответствия ПО действующим НД; - действующая и документированная информационно-вычислительная система сбора и обработки результатов мониторинга и измерения процессов СМК. ОС СМК системы добровольной сертификации на основании акта сертификационной проверки СМК принимает решение о выдаче организации-заявителю или сертификата соответствия установленного образца, или мотивированного отказа в его выдаче. Сертификат соответствия ОС СМК для организации-заявителя является разрешением на маркирование документации на ПО знаком соответствия системы. 10.6 Регистрация сертифицированной СМК в реестре системы добровольной сертификации Система менеджмента качества, на которую выдан сертификат соответствия, регистрируется в реестре системы добровольной сертификации. Библиография
Ключевые слова: система менеджмента качества, программное обеспечение, процесс для системы менеджмента качества, документированная процедура, записи, стандарт организации
|