ISO/IEC 90003:2004
(Main)Software engineering - Guidelines for the application of ISO 9001:2000 to computer software
Software engineering - Guidelines for the application of ISO 9001:2000 to computer software
ISO/IEC 90003:2004 provides guidance for organizations in the application of ISO 9001:2000 to the acquisition, supply, development, operation and maintenance of computer software and related support services. ISO/IEC 90003:2004 does not add to or otherwise change the requirements of ISO 9001:2000. The guidelines provided in ISO/IEC 90003:2004 are not intended to be used as assessment criteria in quality management system registration/certification. The application of ISO/IEC 90003:2004 is appropriate to software that is part of a commercial contract with another organization, a product available for a market sector, used to support the processes of an organization, embedded in a hardware product, or related to software services. Some organizations may be involved in all the above activities; others may specialize in one area. Whatever the situation, the organization's quality management system should cover all aspects (software related and non-software related) of the business. ISO/IEC 90003:2004 identifies the issues which should be addressed and is independent of the technology, life cycle models, development processes, sequence of activities and organizational structure used by an organization. Additional guidance and frequent references to the ISO/IEC JTC 1/SC 7 software engineering standards are provided to assist in the application of ISO 9001:2000: in particular ISO/IEC 12207, ISO/IEC TR 9126, ISO/IEC 14598, ISO/IEC 15939 and ISO/IEC TR 15504.
Ingénierie du logiciel — Lignes directrices pour l'application de l'ISO 9001:2000 aux logiciels informatiques
L'ISO/CEI 90003:2004 fournit aux organismes des indications sur l'application de l'ISO 9001:2000 pour l'acquisition, la fourniture, le développement, l'exploitation et la maintenance des logiciels et des services de support associés. L'ISO/CEI 90003:2004 n'apporte ni ajout ni modification aux exigences de l'ISO 9001:2000. Les lignes directrices présentées dans l'ISO/CEI 90003:2004 ne sont pas destinées à servir de critères d'évaluation dans le cadre d'un enregistrement/d'une certification de systèmes de management de la qualité. L'application de l'ISO/CEI 90003:2004 est appropriée pour un logiciel qui fait partie d'un contrat commercial avec un autre organisme, est un produit destiné à un secteur du marché, est utilisé en support aux processus d'un organisme, est intégré à un produit matériel, ou concerne des services logiciels. Certains organismes peuvent être impliqués dans toutes les activités précitées; d'autres peuvent se spécialiser dans un seul domaine. Quel que soit le cas, il convient que le système de management de la qualité de l'organisme couvre tous les aspects stratégiques (ceux qui sont liés au logiciel et ceux qui ne le sont pas). L'ISO/CEI 90003:2004 identifie les éléments qu'il convient de traiter, de façon indépendante de la technologie, des modèles de cycle de vie, des processus de développement, de l'enchaînement des activités et de la structure organisationnelle de l'organisme. Des indications supplémentaires et des références fréquentes aux normes d'ingénierie du logiciel de l'ISO/CEI JTC 1/SC 7 sont fournies pour faciliter l'application de l'ISO 9001:2000, en particulier l'ISO/CEI 12207, l'ISO/CEI TR 9126, l'ISO/CEI 14598, l'ISO/CEI 15939 et l'ISO/CEI 15504.
General Information
Relations
Frequently Asked Questions
ISO/IEC 90003:2004 is a standard published by the International Organization for Standardization (ISO). Its full title is "Software engineering - Guidelines for the application of ISO 9001:2000 to computer software". This standard covers: ISO/IEC 90003:2004 provides guidance for organizations in the application of ISO 9001:2000 to the acquisition, supply, development, operation and maintenance of computer software and related support services. ISO/IEC 90003:2004 does not add to or otherwise change the requirements of ISO 9001:2000. The guidelines provided in ISO/IEC 90003:2004 are not intended to be used as assessment criteria in quality management system registration/certification. The application of ISO/IEC 90003:2004 is appropriate to software that is part of a commercial contract with another organization, a product available for a market sector, used to support the processes of an organization, embedded in a hardware product, or related to software services. Some organizations may be involved in all the above activities; others may specialize in one area. Whatever the situation, the organization's quality management system should cover all aspects (software related and non-software related) of the business. ISO/IEC 90003:2004 identifies the issues which should be addressed and is independent of the technology, life cycle models, development processes, sequence of activities and organizational structure used by an organization. Additional guidance and frequent references to the ISO/IEC JTC 1/SC 7 software engineering standards are provided to assist in the application of ISO 9001:2000: in particular ISO/IEC 12207, ISO/IEC TR 9126, ISO/IEC 14598, ISO/IEC 15939 and ISO/IEC TR 15504.
ISO/IEC 90003:2004 provides guidance for organizations in the application of ISO 9001:2000 to the acquisition, supply, development, operation and maintenance of computer software and related support services. ISO/IEC 90003:2004 does not add to or otherwise change the requirements of ISO 9001:2000. The guidelines provided in ISO/IEC 90003:2004 are not intended to be used as assessment criteria in quality management system registration/certification. The application of ISO/IEC 90003:2004 is appropriate to software that is part of a commercial contract with another organization, a product available for a market sector, used to support the processes of an organization, embedded in a hardware product, or related to software services. Some organizations may be involved in all the above activities; others may specialize in one area. Whatever the situation, the organization's quality management system should cover all aspects (software related and non-software related) of the business. ISO/IEC 90003:2004 identifies the issues which should be addressed and is independent of the technology, life cycle models, development processes, sequence of activities and organizational structure used by an organization. Additional guidance and frequent references to the ISO/IEC JTC 1/SC 7 software engineering standards are provided to assist in the application of ISO 9001:2000: in particular ISO/IEC 12207, ISO/IEC TR 9126, ISO/IEC 14598, ISO/IEC 15939 and ISO/IEC TR 15504.
ISO/IEC 90003:2004 is classified under the following ICS (International Classification for Standards) categories: 03.100.70 - Management systems; 03.120.10 - Quality management and quality assurance; 35.080 - Software. The ICS classification helps identify the subject area and facilitates finding related standards.
ISO/IEC 90003:2004 has the following relationships with other standards: It is inter standard links to ISO 13366-3:1997, ISO/IEC 90003:2014, ISO 9000-3:1997. Understanding these relationships helps ensure you are using the most current and applicable version of the standard.
You can purchase ISO/IEC 90003:2004 directly from iTeh Standards. The document is available in PDF format and is delivered instantly after payment. Add the standard to your cart and complete the secure checkout process. iTeh Standards is an authorized distributor of ISO standards.
Standards Content (Sample)
INTERNATIONAL ISO/IEC
STANDARD 90003
First edition
2004-02-15
Software engineering — Guidelines for
the application of ISO 9001:2000 to
computer software
Ingénierie du logiciel — Lignes directrices pour l'application de
l'ISO 9001:2000 aux logiciels informatiques
Reference number
©
ISO/IEC 2004
PDF disclaimer
This PDF file may contain embedded typefaces. In accordance with Adobe's licensing policy, this file may be printed or viewed but shall
not be edited unless the typefaces which are embedded are licensed to and installed on the computer performing the editing. In
downloading this file, parties accept therein the responsibility of not infringing Adobe's licensing policy. The ISO Central Secretariat
accepts no liability in this area.
Adobe is a trademark of Adobe Systems Incorporated.
Details of the software products used to create this PDF file can be found in the General Info relative to the file; the PDF-creation
parameters were optimized for printing. Every care has been taken to ensure that the file is suitable for use by ISO member bodies. In the
unlikely event that a problem relating to it is found, please inform the Central Secretariat at the address given below.
© ISO/IEC 2004
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means,
electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or
ISO's member body in the country of the requester.
ISO copyright office
Case postale 56 CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
©
ii ISO/IEC 2004 – All rights reserved
Contents Page
1 Scope . 1
1.1 General . 1
1.2 Application . 1
2 Normative references . 2
3 Terms and definitions . 2
4 Quality management system . 5
4.1 General requirements . 5
4.2 Documentation requirements . 6
4.2.1 General . 6
4.2.2 Quality manual . 6
4.2.3 Control of documents . 7
4.2.4 Control of records . 7
5 Management responsibility . 8
5.1 Management commitment . 8
5.2 Customer focus . 8
5.3 Quality policy . 9
5.4 Planning . 9
5.4.1 Quality objectives . 9
5.4.2 Quality management system planning . 9
5.5 Responsibility, authority and communication . 10
5.5.1 Responsibility and authority . 10
5.5.2 Management representative . 10
5.5.3 Internal communication . 11
5.6 Management review . 11
5.6.1 General . 11
5.6.2 Review input . 11
5.6.3 Review output . 12
6 Resource management . 12
6.1 Provision of resources . 12
6.2 Human resources . 12
6.2.1 General . 12
6.2.2 Competence, awareness and training . 13
6.3 Infrastructure . 13
6.4 Work environment . 14
7 Product realization . 14
7.1 Planning of product realization . 14
7.1.1 Software life cycle . 15
7.1.2 Quality planning . 15
7.2 Customer-related processes . 16
©
ISO/IEC 2004 – All rights reserved iii
7.2.1 Determination of requirements related to the product . 16
7.2.2 Review of requirements related to the product . 18
7.2.3 Customer communication . 20
7.3 Design and development . 21
7.3.1 Design and development planning . 21
7.3.2 Design and development inputs . 23
7.3.3 Design and development outputs . 24
7.3.4 Design and development review . 25
7.3.5 Design and development verification . 26
7.3.6 Design and development validation . 26
7.3.7 Control of design and development changes . 28
7.4 Purchasing . 28
7.4.1 Purchasing process . 28
7.4.2 Purchasing information . 30
7.4.3 Verification of purchased product . 30
7.5 Production and service provision . 31
7.5.1 Control of production and service provision . 31
7.5.2 Validation of processes for production and service provision . 34
7.5.3 Identification and traceability . 34
7.5.4 Customer property . 35
7.5.5 Preservation of product . 36
7.6 Control of monitoring and measuring devices . 37
8 Measurement, analysis and improvement . 38
8.1 General . 38
8.2 Monitoring and measurement . 38
8.2.1 Customer satisfaction . 38
8.2.2 Internal audit . 39
8.2.3 Monitoring and measurement of processes . 40
8.2.4 Monitoring and measurement of product . 40
8.3 Control of nonconforming product . 41
8.4 Analysis of data . 42
8.5 Improvement . 42
8.5.1 Continual improvement . 42
8.5.2 Corrective action . 43
8.5.3 Preventive action . 43
Annex A (informative) Additional guidance in the implementation of ISO 9001:2000 available in
ISO/IEC JTC 1/SC 7 and ISO/TC 176 standards . 44
Annex B (informative) Planning in ISO/IEC 90003 and ISO/IEC 12207 . 49
Bibliography . 53
©
iv ISO/IEC 2004 – All rights reserved
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that are members of
ISO or IEC participate in the development of International Standards through technical committees established
by the respective organization to deal with particular fields of technical activity. ISO and IEC technical
committees collaborate in fields of mutual interest. Other international organizations, governmental and non-
governmental, in liaison with ISO and IEC, also take part in the work.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
In the field of information technology, ISO and IEC have established a joint technical committee, ISO/IEC
JTC 1. Draft International Standards adopted by the joint technical committee are circulated to national bodies
for voting. Publication as an International Standard requires approval by at least 75 % of the national bodies
casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights.
ISO/IEC90003 was prepared by Joint Technical Committee ISO/IEC JTC1, Information technology,
Subcommittee SC 7, Software and system engineering.
This first edition of ISO/IEC 90003 cancels and replaces ISO 9000-3:1997, which has been updated for
conformity with ISO 9001:2000. ISO 9000-3:1997 was under the responsibility of ISO/TC 176/SC 2.
©
ISO/IEC 2004 – All rights reserved v
Introduction
This International Standard provides guidance for organizations in the application of ISO 9001:2000 to the
acquisition, supply, development, operation and maintenance of computer software.
It identifies the issues which should be addressed and is independent of the technology, life cycle models,
development processes, sequence of activities and organizational structure used by an organization. The
guidance and identified issues are intended to be comprehensive but not exhaustive. Where the scope of an
organization’s activities includes areas other than computer software development, the relationship between
the computer software elements of that organization’s quality management system and the remaining aspects
should be clearly documented within the quality management system as a whole.
Clauses 4, 5 and 6 and parts of clause 8 of ISO 9001:2000 are applied mainly at the “global” level in the
organization, although they do have some effect at the “project/product level”. Each project or product
development may tailor the associated parts of the organization’s quality management system, to suit
project/product-specific requirements.
Throughout ISO 9001:2000, “shall” is used to express a provision that is binding between two or more parties,
“should” to express a recommendation among possibilities and “may” to indicate a course of action permissible
within the limits of ISO 9001:2000. In this International Standard (ISO/IEC 90003), “should” and “may” have the
same meaning as in ISO 9001:2000, i.e. “should” to express a recommendation among possibilities and “may”
to indicate a course of action permissible within the limits of this International Standard.
Organizations with quality management systems for developing, operating or maintaining software based on
this International Standard may choose to use processes from ISO/IEC12207 and
ISO/IEC 12207:1995/Amd.1:2002 to support or complement the ISO 9001:2000 process model. It should be
noted that the quality management process defined in ISO/IEC12207:1995/Amd.1:2002, F.3.1.4 is not
consistent with the definition of quality management in ISO 9000, ISO 9001 and other ISO/TC 176 standards.
The related paragraphs of ISO/IEC 12207:1995/Amd.1:2002 are referenced in each clause of this International
Standard; however, they are not intended to imply requirements additional to those in ISO 9001:2000. Further
guidance to the use of ISO/IEC 12207 may be found in ISO/IEC TR 15271. For additional guidance, frequent
references are provided to the International Standards for software engineering defined by ISO/IEC JTC 1/SC 7
and in particular ISO/IEC9126-1, ISO/IECTR9126-2, ISO/IECTR9126-3, ISO/IECTR9126-4,
ISO/IEC 15939 and ISO/IEC 15504 (all parts). Where these references are specific to a clause or subclause of
ISO 9001:2000 they appear after the guidance for that clause or subclause. Where they apply generally across
the parts of a clause or subclause, the references are included at the end of the last part of the clause or
subclause.
Where text has been quoted from ISO 9001:2000, that text is enclosed in a box, for ease of identification.
©
vi ISO/IEC 2004 – All rights reserved
INTERNATIONAL STANDARD ISO/IEC 90003:2004(E)
Software engineering — Guidelines for the application of
ISO 9001:2000 to computer software
1Scope
1.1 General
ISO 9001:2000, Quality management systems — Requirements
1.1 General
This International Standard specifies requirements for a quality management system where an organization
a) needs to demonstrate its ability to consistently provide product that meets customer and applicable regulatory
requirements, and
b) aims to enhance customer satisfaction through the effective application of the system, including processes for
continual improvement of the system and the assurance of conformity to customer and applicable regulatory
requirements.
NOTE In this International Standard, the term “product” applies only to the product intended for, or required by, a customer.
This International Standard provides guidance for organizations in the application of ISO 9001:2000 to the
acquisition, supply, development, operation and maintenance of computer software and related support
services. It does not add to or otherwise change the requirements of ISO 9001:2000.
Annex A (informative) provides a table pointing to additional guidance in the implementation of ISO 9001:2000
available in ISO/IEC JTC 1/SC 7 and ISO/TC 176 standards.
The guidelines provided in this International Standard are not intended to be used as assessment criteria in
quality management system registration/certification.
1.2 Application
ISO 9001:2000, Quality management systems — Requirements
1.2 Application
All requirements of this International Standard are generic and are intended to be applicable to all organizations,
regardless of type, size and product provided.
Where any requirement(s) of this International Standard cannot be applied due to the nature of an organization and
its product, this can be considered for exclusion.
Where exclusions are made, claims of conformity to this International Standard are not acceptable unless these
exclusions are limited to requirements within clause 7, and such exclusions do not affect the organization's ability, or
responsibility, to provide product that meets customer and applicable regulatory requirements.
©
ISO/IEC 2004 – All rights reserved 1
The application of this International Standard is appropriate to software that is
— part of a commercial contract with another organization,
— a product available for a market sector,
— used to support the processes of an organization,
— embedded in a hardware product, or
— related to software services.
Some organizations may be involved in all of the above activities; others may specialize in one area. Whatever
the situation, the organization’s quality management system should cover all aspects (software related and non-
software related) of the business.
2 Normative references
ISO 9001:2000, Quality management systems — Requirements
2 Normative reference
The following normative document contains provisions which, through reference in this text, constitute provisions of
this International Standard. For dated references, subsequent amendments to, or revisions of, any of these
publications do not apply. However, parties to agreements based on this International Standard are encouraged to
investigate the possibility of applying the most recent edition of the normative document indicated below. For undated
references, the latest edition of the normative document referred to applies. Members of ISO and IEC maintain
registers of currently valid International Standards.
ISO 9000:2000, Quality management systems — Fundamentals and vocabulary.
3 Terms and definitions
ISO 9001:2000, Quality management systems — Requirements
3 Terms and definitions
For the purposes of this International Standard, the terms and definitions given in ISO 9000 apply.
The following terms, used in this edition of ISO 9001 to describe the supply chain, have been changed to reflect the
vocabulary currently used:
supplier organization customer
The term “organization” replaces the term “supplier” used in ISO 9001:1994, and refers to the unit to which this
International Standard applies. Also, the term “supplier” now replaces the term “subcontractor”.
Throughout the text of this International Standard, wherever the term “product” occurs, it can also mean “service”.
For the purposes of this document, the terms and definitions given in ISO 9001:2000, and certain terms
(repeated here for convenience) given in ISO/IEC 12207 apply.
However, in the event of a conflict in terms and definitions, the terms and definitions specified in ISO 9000:2000
apply.
NOTE ISO/IEC12207:1995 provides detailed provisions for seventeen software life cycle processes.
ISO/IEC 12207:1995/Amd.1:2002 provides high-level provisions for many additional processes. This International Standard
will make reference to terms defined in both.
©
2 ISO/IEC 2004 – All rights reserved
3.1
activity
collection of related tasks
3.2
baseline
formally approved version of a configuration item, regardless of media, formally designated and fixed at a
specific time during the configuration item’s life cycle
[ISO/IEC 12207:1995, definition 3.5]
3.3
configuration item
entity within a configuration that satisfies an end use function and that can be uniquely identified at a given
reference point
[ISO/IEC 12207:1995, definition 3.6]
3.4
COTS
Commercial-Off-The-Shelf (acronym)
〈software product〉 available for purchase and use without the need to conduct development activities
3.5
development
software life cycle process that contains the activities of requirements analysis, design, coding, integration,
testing, installation and support for acceptance of software products
3.6
life cycle model
framework containing the processes, activities, and tasks involved in the development, operation, and
maintenance of a software product, spanning the life of the system from the definition of its requirements to the
termination of its use
[ISO/IEC 12207:1995, definition 3.11]
NOTE The requirements of ISO 9001:2000 would apply to maintenance, only if contractually required, after acceptance of
the product by the customer. However, generally the requirements do not apply to maintenance.
3.7
measure, verb
make a measurement
[ISO/IEC 14598-1:1999, definition 4.17]
3.8
measure, noun
variable to which a value is assigned as the result of measurement
[ISO/IEC 15939:2002, definition 3.14]
3.9
measurement
set of operations having the object of determining a value of a measure
[ISO/IEC 15939:2002, definition 3.17]
©
ISO/IEC 2004 – All rights reserved 3
3.10
process
set of interrelated or interacting activities which transforms inputs into outputs
NOTE 1 Inputs to a process are generally outputs of other processes.
NOTE 2 Adapted from ISO 9000:2000, definition 3.4.1.
3.11
regression testing
testing required to determine that a change to a system component has not adversely affected functionality,
reliability or performance and has not introduced additional defects
3.12
release
particular version of a configuration item that is made available for a specific purpose
EXAMPLE A test release.
[ISO/IEC 12207:1995, definition 3.22]
NOTE The term “release” used in the ISO 9001:2000 text quoted in this International Standard is used in the context of the
definition provided in ISO 9000:2000, 3.6.13, which is different from the ISO/IEC 12207 definition quoted above.
3.13
replication
copying a software product from one medium to another
3.14
software item
identifiable part of a software product
3.15
software product
set of computer programs, procedures, and possibly associated documentation and data
[ISO/IEC 12207:1995, definition 3.26]
NOTE 1 A software product may be designated for delivery, an integral part of another product, or used in development.
[2]
NOTE 2 This is different from a product in ISO 9000 .
NOTE 3 For the purposes of this International Standard, “software” is synonymous with “software product”.
3.16
software service
performance of activities, work, or duties connected with a software product, such as its development,
maintenance and operation
[ISO/IEC 12207:1995, definition 3.27]
©
4 ISO/IEC 2004 – All rights reserved
4 Quality management system
4.1 General requirements
ISO 9001:2000, Quality management systems — Requirements
4.1 General requirements
The organization shall establish, document, implement and maintain a quality management system and continually
improve its effectiveness in accordance with the requirements of this International Standard.
The organization shall
a) identify the processes needed for the quality management system and their application throughout the
organization (see 1.2),
b) determine the sequence and interaction of these processes,
c) determine criteria and methods needed to ensure that both the operation and control of these processes are
effective,
d) ensure the availability of resources and information necessary to support the operation and monitoring of these
processes,
e) monitor, measure and analyse these processes, and
f) implement actions necessary to achieve planned results and continual improvement of these processes.
These processes shall be managed by the organization in accordance with the requirements of this International
Standard.
Where an organization chooses to outsource any process that affects product conformity with requirements, the
organization shall ensure control over such processes. Control of such outsourced processes shall be identified
within the quality management system.
NOTE Processes needed for the quality management system referred to above should include processes for management
activities, provision of resources, product realization and measurement.
Guidance is provided for items a) and b) of ISO 9001:2000, 4.1, in relation to the organizational processes as
follows (see 5.4.2, and 7.4.1 for additional guidance on outsourcing).
a) Process identification and application
The organization should also identify the processes for software development, operation or maintenance.
b) Process sequence and interaction
The organization should also define the sequence and interaction of the processes in
1) life cycle models for software development, e.g. waterfall, incremental and evolutionary, and
2) quality and development planning, which should be based upon a life cycle model.
NOTE For further information, see the following:
[11] [12]
— ISO/IEC 12207 and ISO/IEC 12207:1995/Amd.1:2002 (software life cycle processes) which define a set of
software life cycle processes that may be used for reference;
[21]
— ISO/IEC TR 15271:1998 , Annex C (guide to ISO/IEC 12207) which provides guidance on how to use processes
from ISO/IEC 12207 in different life cycles.
©
ISO/IEC 2004 – All rights reserved 5
4.2 Documentation requirements
4.2.1 General
ISO 9001:2000, Quality management systems — Requirements
4.2.1 General
The quality management system documentation shall include
a) documented statements of a quality policy and quality objectives,
b) a quality manual,
c) documented procedures required by this International Standard,
d) documents needed by the organization to ensure the effective planning, operation and control of its processes,
and
e) records required by this International Standard (see 4.2.4).
NOTE 1 Where the term “documented procedure” appears within this International Standard, this means that the procedure is
established, documented, implemented and maintained.
NOTE 2 The extent of the quality management system documentation can differ from one organization to another due to
a) the size of organization and type of activities,
b) the complexity of processes and their interactions, and
c) the competence of personnel.
NOTE 3 The documentation can be in any form or type of medium.
Documents for the effective planning, operation, and control of processes for software [ISO 9001:2000, 4.2.1,
item d)] may cover the following:
1) descriptions of processes, such as those identified in implementing 4.1;
2) descriptions of procedural instructions and/or templates used;
3) descriptions of life cycle models used, such as waterfall, incremental and evolutionary;
4) descriptions of tools, techniques, technologies, and methods such as those identified in implementing 4.1;
5) technical topics such as standards or guidance documents for coding, design and development, and testing.
NOTE For further information on document identification as part of configuration management, see 7.5.3.
4.2.2 Quality manual
ISO 9001:2000, Quality management systems — Requirements
4.2.2 Quality manual
The organization shall establish and maintain a quality manual that includes
a) the scope of the quality management system, including details of and justification for any exclusions (see 1.2),
b) the documented procedures established for the quality management system, or reference to them, and
c) a description of the interaction between the processes of the quality management system.
©
6 ISO/IEC 2004 – All rights reserved
4.2.3 Control of documents
ISO 9001:2000, Quality management systems — Requirements
4.2.3 Control of documents
Documents required by the quality management system shall be controlled. Records are a special type of document
and shall be controlled according to the requirements given in 4.2.4.
A documented procedure shall be established to define the controls needed
a) to approve documents for adequacy prior to issue,
b) to review and update as necessary and re-approve documents,
c) to ensure that changes and the current revision status of documents are identified,
d) to ensure that relevant versions of applicable documents are available at points of use,
e) to ensure that documents remain legible and readily identifiable,
f) to ensure that documents of external origin are identified and their distribution controlled, and
g) to prevent the unintended use of obsolete documents, and to apply suitable identification to them if they are
retained for any purpose.
NOTE For further information on document control as part of configuration management, see 7.5.3.
4.2.4 Control of records
ISO 9001:2000, Quality management systems — Requirements
4.2.4 Control of records
Records shall be established and maintained to provide evidence of conformity to requirements and of the effective
operation of the quality management system. Records shall remain legible, readily identifiable and retrievable. A
documented procedure shall be established to define the controls needed for the identification, storage, protection,
retrieval, retention time and disposition of records.
4.2.4.1 Evidence of conformity to requirements
Evidence of conformity to requirements may include
a) documented test results,
b) problem reports, including those related to tools problems,
c) change requests,
d) documents marked with comments,
e) audit and assessment reports, and
f) review and inspection records, such as those for design reviews, code inspections, and walk-throughs.
4.2.4.2 Evidence of effective operation
Examples of evidence of effective operation of the quality management system may include, but are not limited
to
a) changes (and the reasoning) to resources (people, software and equipment),
b) estimates, e.g. project size and effort (people, cost, schedule),
©
ISO/IEC 2004 – All rights reserved 7
c) how and why tools, methodologies and suppliers were selected and qualified,
d) software license agreements (both for software supplied to customers and software procured to aid
development),
e) minutes of meetings, and
f) software release records.
4.2.4.3 Retention and disposition
When determining the retention periods for records, consideration should be given to statutory and regulatory
requirements. Where records are held on electronic media, consideration of the retention times and
accessibility of the records should take into account the rate of media degradation, the availability of the
devices, and software needed to access the records. Records may include information held in email systems.
Protection from computer viruses and unapproved or illegal access, should be considered.
The proprietary nature of the information stored on records should be assessed, in determining the methods of
data erasure from the media, at the end of its required retention period.
[11]
NOTE For further general guidance related to ISO9001:2000, 4.2, see ISO/IEC12207:1995 , 6.1, and
[12]
ISO/IEC 12207:1995/Amd.1:2002 , F.2.1 (documentation process).
5 Management responsibility
5.1 Management commitment
ISO 9001:2000, Quality management systems — Requirements
5.1 Management commitment
Top management shall provide evidence of its commitment to the development and implementation of the quality
management system and continually improving its effectiveness by
a) communicating to the organization the importance of meeting customer as well as statutory and regulatory
requirements,
b) establishing the quality policy,
c) ensuring that quality objectives are established,
d) conducting management reviews, and
e) ensuring the availability of resources.
5.2 Customer focus
ISO 9001:2000, Quality management systems — Requirements
5.2 Customer focus
Top management shall ensure that customer requirements are determined and are met with the aim of enhancing
customer satisfaction (see 7.2.1 and 8.2.1).
©
8 ISO/IEC 2004 – All rights reserved
5.3 Quality policy
ISO 9001:2000, Quality management systems — Requirements
5.3 Quality policy
Top management shall ensure that the quality policy
a) is appropriate to the purpose of the organization,
b) includes a commitment to comply with requirements and continually improve the effectiveness of the quality
management system,
c) provides a framework for establishing and reviewing quality objectives,
d) is communicated and understood within the organization, and
e) is reviewed for continuing suitability.
5.4 Planning
5.4.1 Quality objectives
ISO 9001:2000, Quality management systems — Requirements
5.4.1 Quality objectives
Top management shall ensure that quality objectives, including those needed to meet requirements for product [see
7.1 a)], are established at relevant functions and levels within the organization. The quality objectives shall be
measurable and consistent with the quality policy.
[22]
NOTE Information on attributes of software processes suitable for setting objectives may be found in ISO/IEC 15504-1 .
ISO/IEC 15504 (all parts) may be used for assessing process capabilities and for setting objectives for improving process
capabilities.
5.4.2 Quality management system planning
ISO 9001:2000, Quality management systems — Requirements
5.4.2 Quality management system planning
Top management shall ensure that
a) the planning of the quality management system is carried out in order to meet the requirements given in 4.1, as
well as the quality objectives, and
b) the integrity of the quality management system is maintained when changes to the quality management system
are planned and implemented.
Planning may occur at organizational and project/product levels.
Quality management system planning at the organizational level may include the following:
a) defining appropriate software life cycle models to be used for the types of project that the organization
undertakes, including how the organization normally implements software life cycle processes;
b) defining the work products of software development, such as software requirements documents,
architectural design documents, detailed design documents, program code, and software user
documentation;
©
ISO/IEC 2004 – All rights reserved 9
c) defining the content of software management plans, such as software project management plans, software
configuration management plans, software verification and validation plans, software quality assurance
plans and training plans;
d) defining how software engineering methods are tailored for the organization’s projects within the life cycle
(see 1.2 Application);
e) identifying the tools and environment for software development, operations or maintenance;
f) specifying conventions for the use of programming languages, e.g. coding rules, software libraries and
frameworks;
g) identifying any software reuse (see also 7.5.4).
The organization’s management representative should consider any change to a software life cycle model
which may affect the quality management system and should ensure that such changes do not compromise any
quality management system controls.
Software quality planning at the project/product level is discussed in 7.1.
5.5 Responsibility, authority and communication
5.5.1 Responsibility and authority
ISO 9001:2000, Quality management systems — Requirements
5.5.1 Responsibility and authority
Top management shall ensure that responsibilities and authorities are defined and communicated within the
organization.
5.5.2 Management representative
ISO 9001:2000, Quality management systems — Requirements
5.5.2 Management representative
Top management shall appoint a member of management who, irrespective of other responsibilities, shall have
responsibility and authority that includes
a) ensuring that processes needed for the quality management system are established, implemented and
maintained,
b) reporting to top management on the performance of the quality management system and any need for
improvement, and
c) ensuring the promotion of awareness of customer requirements throughout the organization.
NOTE The responsibility of a management representative can include liaison with external parties on matters relating to the
quality management system.
For a software-producing organization, there is benefit if the management representative has had experience
with software development.
©
10 ISO/IEC 2004 – All rights reserved
5.5.3 Internal communication
ISO 9001:2000, Quality management systems — Requirements
5.5.3 Internal communication
Top management shall ensure that appropriate communication processes are established within the organization
and that communication takes place regarding the effectiveness of the quality management system.
5.6 Management review
5.6.1 General
ISO 9001:2000, Quality management systems — Requirements
5.6.1 General
Top management shall review the organization's quality management system, at planned intervals, to ensure its
continuing suitability, adequacy and effectiveness. This review shall include assessing opportunities for improvement
and the need for changes to the quality management system, including the quality policy and quality objectives.
Records from management reviews shall be maintained (see 4.2.4).
5.6.2 Review input
ISO 9001:2000, Quality management systems — Requirements
5.6.2 Review input
The input to management review shall include information on
a) results of audits,
b) customer feedback,
c) process performance and product conformity,
d) status of preventive and corrective actions,
e) follow-up actions from previous management reviews,
f) changes that could affect the quality management system, and
g) recommendations for improvement.
Guidance is provided for ISO 9001:2000, 5.6.2, item c) as follows.
One way to measure process performance is to perform software process assessments (see 8.2.3). The
outcomes of software process assessments should be considered as input to management reviews.
One way to measure product conformity is to perform software product evaluation (see 8.2.4). The outcomes of
software product evaluation should be considered as input to management review.
©
ISO/IEC 2004 – All rights reserved 11
5.6.3 Review output
ISO 9001:2000, Quality management systems — Requirements
5.6.3 Review output
The output from the management review shall include any decisions and actions related to
a) improvement of the effectiveness of the quality management system and its processes,
b) improvement of product related to customer requirements, and
c) resource needs.
6 Resource management
6.1 Provision of resources
ISO 9001:2000, Quality management systems — Requirements
6.1 Provision of resources
The organization shall determine and provide the resources needed
a) to implement and maintain the quality management system and continually improve its effectiveness, and
b) to enhance customer satisfaction by meeting customer requirements.
6.2 Human resources
6.2.1 General
ISO 9001:2000, Quality management systems — Requirements
6.2.1 General
Personnel performing work affecting product quality shall be competent on the basis of appropriate education,
training, skills and experience.
[12]
NOTE For further information, see ISO/IEC 12207:1995/Amd.1:2002 , F.3.4.1 (human resource management) and
F.3.4.2 (training).
©
12 ISO/IEC 2004 – All rights reserved
6.2.2 Competence, awareness and training
ISO 9001:2000, Quality management systems — Requirements
6.2.2 Competence, awareness and training
The organization shall
a) determine the necessary competence for personnel performing work affecting product quality,
b) provide training or take other actions to satisfy these needs,
c) evaluate the effectiveness of the actions taken,
d) ensure that its personnel are aware of the relevance and importance of their activities and how they contribute to
the achievement of the quality objectives, and
e) maintain appropriate records of education, training, skills and experience (see 4.2.4).
The training needs should be determined considering the requirements notation, design methods, specific
programming languages, tools, techniques and computer resources to be used in the development and
management of the software product/project. It might also be useful t
...
NORME ISO/CEI
INTERNATIONALE 90003
Première édition
2004-02-15
Ingénierie du logiciel — Lignes directrices
pour l'application de l'ISO 9001:2000 aux
logiciels informatiques
Software engineering — Guidelines for the application of ISO 9001:2000
to computer software
Numéro de référence
ISO/CEI 90003:2004(F)
©
ISO/CEI 2004
ISO/CEI 90003:2004(F)
PDF — Exonération de responsabilité
Le présent fichier PDF peut contenir des polices de caractères intégrées. Conformément aux conditions de licence d'Adobe, ce fichier
peut être imprimé ou visualisé, mais ne doit pas être modifié à moins que l'ordinateur employé à cet effet ne bénéficie d'une licence
autorisant l'utilisation de ces polices et que celles-ci y soient installées. Lors du téléchargement de ce fichier, les parties concernées
acceptent de fait la responsabilité de ne pas enfreindre les conditions de licence d'Adobe. Le Secrétariat central de l'ISO décline toute
responsabilité en la matière.
Adobe est une marque déposée d'Adobe Systems Incorporated.
Les détails relatifs aux produits logiciels utilisés pour la création du présent fichier PDF sont disponibles dans la rubrique General Info du
fichier; les paramètres de création PDF ont été optimisés pour l'impression. Toutes les mesures ont été prises pour garantir l'exploitation
de ce fichier par les comités membres de l'ISO. Dans le cas peu probable où surviendrait un problème d'utilisation, veuillez en informer
le Secrétariat central à l'adresse donnée ci-dessous.
© ISO/CEI 2004
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication ne peut être reproduite ni utilisée sous
quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l'accord écrit
de l'ISO à l'adresse ci-après ou du comité membre de l'ISO dans le pays du demandeur.
ISO copyright office
Case postale 56 CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Publié en Suisse
©
ii ISO/CEI 2004 – Tous droits réservés
ISO/CEI 90003:2004(F)
Sommaire Page
1 Domaine d'application . 1
1.1 Généralités . 1
1.2 Périmètre d'application . 2
2Références normatives . 2
3 Termes et définitions . 3
4 Système de management de la qualité . 5
4.1 Exigences générales . 5
4.2 Exigences relatives à la documentation . 6
4.2.1 Généralités . 6
4.2.2 Manuel qualité . 7
4.2.3 Maîtrise des documents . 7
4.2.4 Maîtrise des enregistrements . 8
5 Responsabilité de la direction . 9
5.1 Engagement de la direction . 9
5.2 Écoute client . 9
5.3 Politique qualité . 9
5.4 Planification . 10
5.4.1 Objectifs qualité . 10
5.4.2 Planification du système de management de la qualité . 10
5.5 Responsabilité, autorité et communication . 11
5.5.1 Responsabilité et autorité . 11
5.5.2 Représentant de la direction . 11
5.5.3 Communication interne . 11
5.6 Revue de direction . 11
5.6.1 Généralités . 11
5.6.2 Éléments d'entrée de la revue . 12
5.6.3 Éléments de sortie de la revue . 12
6 Management des ressources . 12
6.1 Mise à disposition des ressources . 12
6.2 Ressources humaines . 13
6.2.1 Généralités . 13
6.2.2 Compétence, sensibilisation et formation . 13
6.3 Infrastructures . 14
6.4 Environnement de travail . 14
7Réalisation du produit . 15
7.1 Planification de la réalisation du produit . 15
7.1.1 Cycle de vie du logiciel . 15
7.1.2 Planification de la qualité . 16
7.2 Processus relatifs aux clients . 17
©
ISO/CEI 2004 – Tous droits réservés iii
ISO/CEI 90003:2004(F)
7.2.1 Détermination des exigences relatives au produit . 17
7.2.2 Revue des exigences relatives au produit . 18
7.2.3 Communication avec les clients . 20
7.3 Conception et développement . 22
7.3.1 Planification de la conception et du développement . 22
7.3.2 Éléments d'entrée de la conception et du développement . 24
7.3.3 Éléments de sortie de la conception et du développement . 25
7.3.4 Revue de la conception et du développement . 26
7.3.5 Vérification de la conception et du développement . 27
7.3.6 Validation de la conception et du développement . 27
7.3.7 Maîtrise des modifications de la conception et du développement . 29
7.4 Achats . 30
7.4.1 Processus d'achat . 30
7.4.2 Informations relatives aux achats . 31
7.4.3 Vérification du produit acheté . 32
7.5 Production et préparation du service . 33
7.5.1 Maîtrise de la production et de la préparation du service . 33
7.5.2 Validation des processus de production et de préparation du service . 36
7.5.3 Identification et traçabilité . 36
7.5.4 Propriété du client . 38
7.5.5 Préservation du produit . 38
7.6 Maîtrise des dispositifs de surveillance et de mesure . 40
8 Mesures, analyse et amélioration . 41
8.1 Généralités . 41
8.2 Surveillance et mesures . 42
8.2.1 Satisfaction du client . 42
8.2.2 Audit interne . 42
8.2.3 Surveillance et mesure des processus . 43
8.2.4 Surveillance et mesure du produit . 43
8.3 Maîtrise du produit non conforme . 44
8.4 Analyse des données . 45
8.5 Amélioration . 46
8.5.1 Amélioration continue . 46
8.5.2 Action corrective . 46
8.5.3 Action préventive . 47
Annexe A (informative) Conseils supplémentaires pour la mise en œuvre de l'ISO 9001:2000,
disponibles dans les normes de l'ISO/CEI JTC 1/SC 7 et de l'ISO/TC 176 . 48
Annexe B (informative) La planification dans l'ISO/CEI 90003 et l'ISO/CEI 12207 . 53
Bibliographie . 58
©
iv ISO/CEI 2004 – Tous droits réservés
ISO/CEI 90003:2004(F)
Avant-propos
L'ISO (Organisation internationale de normalisation) et la CEI (Commission électrotechnique internationale)
forment le système spécialisé de la normalisation mondiale. Les organismes nationaux membres de l'ISO ou de
la CEI participent au développement de Normes internationales par l'intermédiaire des comités techniques
créés par l'organisation concernée afin de s'occuper des domaines particuliers de l'activité technique. Les
comités techniques de l'ISO et de la CEI collaborent dans des domaines d'intérêt commun. D'autres
organisations internationales, gouvernementales ou non gouvernementales, en liaison avec l'ISO et la CEI
participent également aux travaux.
Les Normes internationales sont rédigées conformément aux règles données dans les Directives ISO/CEI,
Partie 2.
Dans le domaine des technologies de l'information, l'ISO et la CEI ont créé un comité technique mixte,
l'ISO/CEI JTC 1. Les projets de Normes internationales adoptés par le comité technique mixte sont soumis aux
organismes nationaux pour vote. Leur publication comme Normes internationales requiert l'approbation de
75 % au moins des organismes nationaux votants.
L'attention est appelée sur le fait que certains des éléments du présent document peuvent faire l'objet de droits
de propriété intellectuelle ou de droits analogues. L'ISO et la CEI ne saurait être tenue pour responsable de ne
pas avoir identifié de tels droits de propriété et averti de leur existence.
L'ISO/CEI 90003 a été élaborée par le comité technique ISO/JTC 1, Technologies de l'information, sous-comité
SC 7, Ingénierie du logiciel et du système.
Cette première édition de l’ISO/CEI 90003 annule et remplace l’ISO 9000-3:1997, qui a été mise à jour afin
d’être conforme à l’ISO 9001:2000. L’ISO 9000-3:1997 était de la responsabilité de l’ISO/TC 176/SC 2.
©
ISO/CEI 2004 – Tous droits réservés v
ISO/CEI 90003:2004(F)
Introduction
La présente Norme internationale fournit aux organismes des indications sur l'application de l'ISO 9001:2000
pour l'acquisition, la fourniture, le développement, l'exploitation et la maintenance des logiciels.
Elle identifie les éléments qu‘il convient de traiter, de façon indépendante de la technologie, des modèles de
cycle de vie, des processus de développement, de l'enchaînement des activités et de la structure
organisationnelle de l'organisme. Les indications et les éléments identifiés sont censés être complets sans pour
autant être exhaustifs. Lorsque le champ d'activités d'un organisme inclut des domaines autres que le
développement de logiciels, il convient que la relation entre les éléments de logiciel du système de
management de la qualité de cet organisme, et les autres aspects soit clairement documenté dans le système
de management de la qualité pris dans sa globalité.
Les Articles 4, 5 et 6, ainsi que des parties de l'Article 8 de l'ISO 9001:2000 sont appliqués essentiellement au
niveau “global” dans l'organisme, même s'ils ont une certaine incidence au “niveau projet/produit”. Chaque
projet ou développement de produit peut conduire à l'ajustement des parties associées du système de
management de la qualité de l'organisme, de manière à l'adapter aux exigences spécifiques du projet/produit.
Dans le texte de l'ISO 9001:2000, le verbe devoir est employé pour exprimer une disposition qui engage deux
parties ou plus, l'expression “il convient de” est utilisée pour exprimer une recommandation lorsqu'il existe
plusieurs options, et le verbe pouvoir, pour indiquer une piste d'action autorisée dans les limites de
l'ISO 9001:2000. Dans la présente Norme internationale (ISO/CEI 90003), l'expression “il convient de” et le
verbe pouvoir ont la même signification que dans l'ISO 9001:2000, à savoir que “il convient de” est employé
pour exprimer une recommandation lorsqu'il existe plusieurs options, et le verbe pouvoir, pour exprimer une
piste d'action autorisée dans les limites de la présente Norme internationale.
Les organismes possédant des systèmes de management de la qualité pour développer, exploiter ou maintenir
du logiciel sur la base de l'ISO/CEI 90003 peuvent choisir d'utiliser des processus de l'ISO/CEI 12207 et de
l'ISO/CEI 12207:1995/Amd.1:2002 pour soutenir ou compléter le modèle de processus de l'ISO 9001:2000. Il
convient de noter que le processus de management de la qualité défini dans
l'ISO/CEI 12207:1995/Amd.1:2002, F.3.1.4, n'est pas en cohérence avec la définition de management de la
qualité de l'ISO 9000, l'ISO 9001 et les autres normes de l'ISO/TC 176. Les paragraphes correspondants de
l'ISO/CEI 12207:1995/Amd.1:2002 sont référencés dans chaque article de la présente Norme internationale;
cependant, elles ne sont pas supposées induire des exigences supplémentaires à celles de l'ISO 9001:2000.
On peut trouver des indications supplémentaires sur l'utilisation de l'ISO/CEI 12207 dans l'ISO/CEI TR 15271.
À titre d'indications supplémentaires, il est fait souvent référence aux Normes internationales d'ingénierie du
logiciel, définies par l'ISO/CEIJTC1/SC7 et, en particulier, l'ISO/CEI9126-1, l'ISO/CEITR9126-2,
l'ISO/CEI TR 9126-3, l'ISO/CEI TR 9126-4, l'ISO/CEI 15939 et l'ISO/CEI 15504 (toutes les parties). Lorsque
ces références ne concernent qu'un article ou un paragraphe de l'ISO 9001:2000, elles figurent après les
indications pour cet article ou paragraphe. Lorsqu'elles s'appliquent généralement à l'ensemble des parties
d'un article ou d'un paragraphe, les références sont placées à la fin de la dernière partie de l'article ou du
paragraphe.
Lorsque le texte cité provient de l'ISO 9001:2000, ce texte est encadré pour faciliter son identification.
©
vi ISO/CEI 2004 – Tous droits réservés
NORME INTERNATIONALE ISO/CEI 90003:2004(F)
Ingénierie du logiciel — Lignes directrices pour l'application de
l'ISO 9001:2000 aux logiciels informatiques
1 Domaine d'application
1.1 Généralités
ISO 9001:2000, Systèmes de management de la qualité — Exigences
1.1 Généralités
La présente Norme internationale spécifie les exigences relatives au système de management de la qualité lors-
qu'un organisme
a) doit démontrer son aptitude à fournir régulièrement un produit conforme aux exigences des clients et aux
exigences réglementaires applicables,
b) vise à accroître la satisfaction de ses clients par l'application efficace du système, y compris les processus pour
l'amélioration continue du système et l'assurance de la conformité aux exigences des clients et aux exigences
réglementaires applicables.
NOTE Dans la présente Norme internationale, le terme «produit» s'applique uniquement au produit destinéà,ouexigé par, un
client.
La présente Norme internationale fournit aux organismes des lignes directrices pour l'application de
l'ISO 9001:2000 pour l'acquisition, la fourniture, le développement, l'exploitation et la maintenance des logiciels
et des prestations de support associées. Elle n'apporte ni ajout ni modification aux exigences de
l'ISO 9001:2000.
L'AnnexeA (informative) fournit un tableau à titre de guide additionnel dans la mise en œuvre de
l'ISO 9001:2000 disponible dans les normes de l'ISO/CEI JTC 1/SC 7 et de l'ISO/TC 176.
Les lignes directrices présentées dans la présente Norme internationale ne sont pas destinées à servir de
critères d'évaluation dans le cadre d'un enregistrement, d’une certification de systèmes de management de la
qualité.
©
ISO/CEI 2004 – Tous droits réservés 1
ISO/CEI 90003:2004(F)
1.2 Périmètre d'application
ISO 9001:2000, Systèmes de management de la qualité — Exigences
1.2 Périmètre d'application
Toutes les exigences de la présente Norme internationale sont génériques et prévues pour s'appliquer à tout orga-
nisme, quels que soient son type, sa taille et le produit fourni.
Lorsque l'une ou plusieurs exigences de la présente Norme internationale ne peuvent être appliquées en raison de
la nature d'un organisme et de son produit, leur exclusion peut être envisagée.
Lorsque des exclusions sont faites, les demandes de conformitéà la présente Norme internationale ne sont accep-
tables que si ces exclusions se limitent aux exigences de l'article 7 et qu'elles n'affectent pas l'aptitude de l'organis-
me à fournir un produit conforme aux exigences des clients et aux exigences réglementaires applicables, ni ne le
dégagent de cette responsabilité.
L'application de la présente Norme internationale est appropriée pour un logiciel qui
— fait partie d'un contrat commercial avec un autre organisme,
— est un produit destiné à un secteur du marché,
— est utilisé en support aux processus d'un organisme,
— est intégré à un produit matériel, ou
— concerne des services logiciels.
Certains organismes peuvent être impliqués dans toutes les activités précitées; d'autres peuvent se spécialiser
dans un seul domaine. Quel que soit le cas, il convient que le système de management de la qualité de
l'organisme couvre tous les aspects stratégiques (ceux qui sont liés au logiciel et ceux qui ne le sont pas).
2Références normatives
ISO 9001:2000, Systèmes de management de la qualité — Exigences
2Référence normative
Le document normatif suivant contient des dispositions qui, par suite de la référence qui y est faite, constituent des
dispositions valables pour la présente Norme internationale. Pour les références datées, les amendements ultérieurs
ou les révisions de ces publications ne s'appliquent pas. Toutefois, les parties prenantes aux accords fondéssur la
présente Norme internationale sont invitées à rechercher la possibilité d'appliquer l'édition la plus récente du
document normatif indiqué ci-après. Pour les références non datées, la dernière édition du document normatif en
référence s'applique. Les membres de l'ISO et de la CEI possèdent le registre des Normes internationales en
vigueur.
ISO 9000:2000, Systèmes de management de la qualité— Principes essentiels et vocabulaire.
©
2 ISO/CEI 2004 – Tous droits réservés
ISO/CEI 90003:2004(F)
3 Termes et définitions
ISO 9001:2000, Systèmes de management de la qualité — Exigences
3 Termes et définitions
Pour les besoins de la présente Norme internationale, les termes et définitions donnés dans l'ISO 9000 s'appliquent.
Les termes suivants, utilisésdanslaprésente édition de l'ISO 9001 pour décrirelachaîne d'approvisionnement, ont
été modifiés pour refléter le vocabulaire couramment utilisé:
fournisseur(s) organisme client
Le terme «organisme» remplaceleterme «fournisseur» utilisé dans l'ISO 9001:1994 et se réfère à l'entitéà laquelle
s'applique cette Norme internationale. Le terme «fournisseur» remplace maintenant le terme «sous-contractant».
Dans la présente Norme internationale, lorsque le terme «produit» est utilisé, il peut également signifier «service».
Pour les besoins du présent document, les termes et les définitions donnés dans l'ISO 9001:2000, ainsi que
certains termes (qui sont répétés ici par commodité) donnés dans l'ISO/CEI 12207 s'appliquent.
Cependant, en cas de conflit sur les termes et les définitions, ce sont les termes et les définitions spécifiés dans
l'ISO 9001:2000 qui s'appliquent.
NOTE L'ISO/CEI 12207:1995 fournit des dispositions détaillées pour dix-sept processus du cycle de vie du logiciel.
L'ISO/CEI 12207:1995/Amd.1:2002 fournit des dispositions de haut niveau pour de nombreux processus supplémentaires.
La présente Norme internationale fera référence aux termes définis dans ces deux documents.
3.1
activité
ensemble de tâches liées
3.2
référentiel
version formellement approuvée d'un élément de configuration, quel qu'en soit le support, qui est formellement
attribuée et attachée à un instant spécifique du cycle de vie de l'élément de configuration
[ISO/CEI 12207:1995, définition 3.5]
3.3
élément de configuration
entité au sein d'une configuration satisfaisant une fonction pour un utilisateur final et pouvant être identifiée de
façon unique à un instant spécifique du cycle de vie
[ISO/CEI 12207:1995, définition 3.6]
3.4
produit logiciel sur étagère
COTS
〈produit logiciel〉 disponible à l'achat et à l'utilisation sans qu'il soit nécessaire de conduire des activités de
développement
3.5
développement
processus du cycle de vie du logiciel qui comprend les activités d'analyse des exigences, de conception, de
codage, d'intégration, de test, d'installation et d'assistance pour l'acceptation de produits logiciels
©
ISO/CEI 2004 – Tous droits réservés 3
ISO/CEI 90003:2004(F)
3.6
modèle de cycle de vie
structure contenant les processus, les activités et les tâches mis en œuvre pour le développement, l'exploitation
et la maintenance d'un logiciel, englobant la totalité du système depuis l'expression de besoins jusqu'à la fin de
son utilisation
[ISO/CEI 12207:1995, définition 3.11]
NOTE Les exigences de l'ISO 9001:2000 ne s'appliqueront à la maintenance que si cela est exigé contractuellement,
après acceptation du produit par le client. Cependant, les exigences ne s'appliquent généralement pas à la maintenance.
3.7
mesurer, verbe
faire un mesurage
[ISO/CEI 14598-1:1999, définition 4.17]
3.8
mesure, nom
variable à laquelle une valeur est attribuée en tant que résultat d'un mesurage
[ISO/CEI 15939:2002, définition 3.14]
3.9
mesurage
ensemble d'opérations ayant pour objet de déterminer une valeur de mesure
[ISO/CEI 15939:2002, définition 3.17]
3.10
processus
ensemble d'activités corrélées ou en interaction, qui transforme des éléments d'entrée en éléments de sortie
NOTE 1 Les éléments d'entrée d'un processus sont généralement les éléments de sortie d'autres processus.
NOTE 2 Adapté de l'ISO 9000:2000, définition 3.4.1.
3.11
test de régression
test nécessaire pour déterminer qu'une modification d'un composant du système n'a pas eu un effet
défavorable sur les fonctionnalités, la fiabilité ou les performances, et qu'elle n'a pas introduit de défauts
supplémentaires
3.12
version disponible
version particulière d'un élément de configuration rendue disponible dans un but spécifique
EXEMPLE Une version d'essai.
[ISO/CEI 12207:1995, définition 3.22]
NOTE (Ne concerne que la version anglaise.)
3.13
reproduction
action de copier un logiciel d'un support vers un autre
3.14
élément logiciel
composant identifiable d'un produit logiciel
©
4 ISO/CEI 2004 – Tous droits réservés
ISO/CEI 90003:2004(F)
3.15
produit logiciel
ensemble des programmes informatiques, des procédures et de la documentation, et des données
éventuellement associées
[ISO/CEI 12207:1995, définition 3.26]
NOTE 1 Un produit logiciel peut être destiné à être livré, à être inclus dans un autre produit ou à être utilisé dans le cadre
d'un développement.
[2]
NOTE 2 Cette définition d'un produit est différente de celle donnée par l'ISO 9000 .
NOTE 3 Dans le cadre de la présente Norme internationale, «logiciel» est synonyme de «produit logiciel».
3.16
prestation logiciel
exécution d'activités, de tâches ou d'obligations liées à un logiciel, telles que le développement, la maintenance
et l'exploitation
[ISO/CEI 12207:1995, définition 3.27]
4Système de management de la qualité
4.1 Exigences générales
ISO 9001:2000, Systèmes de management de la qualité — Exigences
4.1 Exigences générales
L'organisme doit établir, documenter, mettre en œuvre et entretenir un système de management de la qualité et en
améliorer en permanence l'efficacité conformément aux exigences de la présente Norme internationale.
L'organisme doit
a) identifier les processus nécessaires au système de management de la qualité et leur application dans tout
l'organisme (voir 1.2);
b) déterminer la séquence et l'interaction de ces processus;
c) déterminer les critères et les méthodes nécessaires pour assurer l'efficacité du fonctionnement et de la maîtrise
de ces processus;
d) assurer la disponibilité des ressources et des informations nécessaires au fonctionnement et à la surveillance de
ces processus;
e) surveiller, mesurer et analyser ces processus;
f) mettre en œuvre les actions nécessaires pour obtenir les résultats planifiéset l'amélioration continue de ces
processus.
L'organisme doit gérer ces processus conformément aux exigences de la présente Norme internationale.
Lorsqu'un organisme décide d'externaliser un processus ayant une incidence sur la conformité du produit aux
exigences, l'organisme doit en assurer la maîtrise. La maîtrise des processus externalisés doit être mentionnée dans
le système de management de la qualité.
NOTE Il convient que les processus nécessaires au système de management de la qualité décrits ci-dessus comprennent les
processus relatifs aux activités de management, à la mise à disposition de ressources, à la réalisation des produits et aux
mesures.
Des conseils sont fournis sur les éléments a) et b) de l'ISO 9001:2000, 4.1, sur les processus organisationnels,
comme indiqué ci-dessous (voir 5.4.2 et 7.4.1 pour des conseils supplémentaires sur l'externalisation).
©
ISO/CEI 2004 – Tous droits réservés 5
ISO/CEI 90003:2004(F)
a) Identification et application de processus
Il convient que l'organisme identifie aussi les processus pour le développement, l'exploitation ou la
maintenance du logiciel.
b) Séquencement et interaction d'un processus
Il convient que l'organisme définisse aussi le séquencement et l'interaction des processus dans
1) des modèles de cycle de vie pour le développement de logiciels, par exemple en cascade, incrémental
et évolutif, et
2) la planification de la qualité et du développement, qu‘il convient de fonder sur un modèle de cycle de
vie.
NOTE Pour plus d'informations, voir ce qui suit:
[11] [12]
— ISO/CEI 12207 et ISO/CEI 12207:1995/Amd.1:2002 (processus du cycle de vie des logiciels) qui définissent un
ensemble de processus du cycle de vie des logiciels qui peuvent être utilisés comme référence;
[21]
— ISO/CEI TR 15271:1998 , Annexe C (guide pour l'ISO/CEI 12207) qui fournit des conseils sur la façon d'utiliser les
processus de l'ISO/CEI 12207 dans différents cycles de vie.
4.2 Exigences relatives à la documentation
4.2.1 Généralités
ISO 9001:2000, Systèmes de management de la qualité — Exigences
4.2.1 Généralités
La documentation du système de management de la qualité doit comprendre
a) l'expression documentée de la politique qualité et des objectifs qualité;
b) un manuel qualité;
c) les procédures documentées exigées par la présente Norme internationale;
d) les documents nécessaires à l'organisme pour assurer la planification, le fonctionnement et la maîtrise efficaces
de ses processus;
e) les enregistrements exigés par la présente Norme internationale (voir 4.2.4).
NOTE 1 Lorsque le terme «procédure documentée» apparaît dans cette Norme internationale, cela signifie que la procédure est
établie, documentée, appliquée et tenue à jour.
NOTE 2 L'étendue de la documentation du système de management de la qualité peut différer d'un organisme à l'autre en raison
a) de la taille de l'organisme et du type d'activités;
b) de la complexité des processus et de leurs interactions;
c) de la compétence du personnel.
NOTE 3 La documentation peut se présenter sous toute forme et sur tout type de support.
Les documents permettant la planification, l'exploitation et la maîtrise effectives des processus logiciel
[ISO 9001:2000, 4.2.1 d)] peuvent couvrir les aspects suivants:
1) descriptions de processus, tels que ceux qui sont identifiés pour la mise en œuvre de 4.1;
2) descriptions d'instructions procédurales et/ou de modèles utilisés;
3) descriptions de modèles du cycles de vie utilisés, tels que les modèles en cascade, incrémental ou évolutif;
©
6 ISO/CEI 2004 – Tous droits réservés
ISO/CEI 90003:2004(F)
4) descriptions d'outils, de techniques, de technologies et de méthodes, tels que ceux qui sont identifiés pour
la mise en œuvre de 4.1;
5) thèmes techniques, tels que normes ou guides pour le codage, la conception et le développement, ainsi
que les tests.
NOTE Pour plus d'informations sur l'identification de documents dans le cadre de la gestion de configuration, voir 7.5.3.
4.2.2 Manuel qualité
ISO 9001:2000, Systèmes de management de la qualité — Exigences
4.2.2 Manuel qualité
L'organisme doit établir et tenir à jour un manuel qualité qui comprend
a) le domaine d'application du système de management de la qualité,y compris le détail et la justification des
exclusions (voir 1.2.);
b) les procédures documentées établies pour le système de management de la qualité ou la référence à celles-ci;
c) une description des interactions entre les processus du système de management de la qualité.
4.2.3 Maîtrise des documents
ISO 9001:2000, Systèmes de management de la qualité — Exigences
4.2.3 Maîtrise des documents
Les documents requis pour le système de management de la qualité doivent être maîtrisés. Les enregistrements
sont des documents particuliers qui doivent être maîtrisésconformément aux exigences du paragraphe 4.2.4.
Une procédure documentéedoit être établie pour
a) approuver les documents quant à leur adéquation avant diffusion;
b) revoir, mettre à jour si nécessaire et approuver de nouveau les documents;
c) assurer que les modifications et le statut de la version en vigueur des documents sont identifiés;
d) assurer la disponibilité sur les lieux d'utilisation des versions pertinentes des documents applicables;
e) assurer que les documents restent lisibles et facilement identifiables;
f) assurer que les documents d'origine extérieure sont identifiés et que leur diffusion est maîtrisée;
g) empêcher toute utilisation non intentionnelle de documents périmés, et les identifier de manière adéquate s'ils
sont conservés dans un but quelconque.
NOTE Pour plus d'informations sur la maîtrise des documents dans le cadre de la gestion de configuration, voir 7.5.3.
©
ISO/CEI 2004 – Tous droits réservés 7
ISO/CEI 90003:2004(F)
4.2.4 Maîtrise des enregistrements
ISO 9001:2000, Systèmes de management de la qualité — Exigences
4.2.4 Maîtrise des enregistrements
Les enregistrements doivent être établis et conservés pour apporter la preuve de la conformité aux exigences et du
fonctionnement efficace du système de management de la qualité. Les enregistrements doivent rester lisibles, faciles
à identifier et accessibles. Une procédure documentéedoit être établie pour assurer l'identification, le stockage, la
protection, l'accessibilité,ladurée de conservation et l'élimination des enregistrements.
4.2.4.1 Preuve de conformité aux exigences
Les preuves de conformité aux exigences peuvent inclure
a) des résultats documentés de test,
b) des relevés de problèmes, y compris ceux relatifs aux outils,
c) des demandes de modification,
d) des documents annotés avec des commentaires,
e) des rapports d'audit et d'évaluation, et
f) des enregistrements de revue et d'inspection, tels que ceux qui concernent les revues de conception,
d'inspection de code et de relectures.
4.2.4.2 Preuve d'un fonctionnement efficace
Des exemples de preuve du fonctionnement efficace d'un système de management de la qualité peuvent
inclure, de façon non limitative
a) des modifications (avec leurs justifications) apportées aux ressources (personnes, logiciels et matériels),
b) des estimations, par exemple de la taille et de la charge du projet (personnes, coût, planning),
c) les modalités et critères de sélection et de qualification des outils, des méthodologies et des fournisseurs,
d) des accords de licence de logiciels (aussi bien pour les logiciels livrés aux clients que pour ceux qui sont
achetés comme support au développement),
e) des comptes rendus de réunions, et
f) des enregistrements relatifs aux versions de logiciels.
4.2.4.3 Conservation et élimination
Lorsqu'on détermine les périodes de conservation d'enregistrements, il convient de tenir compte des exigences
légales et réglementaires. Si les enregistrements sont conservés sur des supports électroniques, il convient
que les durées de conservation et l'accessibilité des enregistrements tiennent compte de la vitesse de
dégradation des supports, et de la disponibilité des appareils et des logiciels assurant l'accès aux
enregistrements. Les enregistrements peuvent inclure les informations stockées dans les messageries
électroniques. Il convient de tenir compte de la protection contre les virus informatiques et contre des accès non
autorisés ou illégaux.
Il convient d'évaluer la nature de la propriété des informations stockées dans les enregistrements, lorsqu'on
détermine les méthodes d'effacement des données sur les supports à la fin de la période de conservation
exigée.
[11]
NOTE Pour plus de conseils d'ordre général, liées à l'ISO9001:2000, 4.2, voir l'ISO/CEI12207:1995 , 6.1, et
[12]
l'ISO/CEI 12207:1995/Amd.1:2002 , F.2.1 (processus de documentation).
©
8 ISO/CEI 2004 – Tous droits réservés
ISO/CEI 90003:2004(F)
5 Responsabilité de la direction
5.1 Engagement de la direction
ISO 9001:2000, Systèmes de management de la qualité — Exigences
5.1 Engagement de la direction
Afin de fournir la preuve de son engagement au développement et à la mise en œuvre du système de management
de la qualité ainsi qu'à l'amélioration continue de son efficacité, la direction doit
a) communiquer au sein de l'organisme l'importance à satisfaire les exigences des clients ainsi que les exigences
réglementaires et légales;
b) établir la politique qualité;
c) assurer que des objectifs qualité sont établis;
d) mener des revues de direction;
e) assurer la disponibilité des ressources.
5.2 Écoute client
ISO 9001:2000, Systèmes de management de la qualité — Exigences
5.2 Écoute client
La direction doit assurer que les exigences des clients sont déterminées et respectées afin d'accroître la satisfaction
des clients (voir 7.2.1 et 8.2.1).
5.3 Politique qualité
ISO 9001:2000, Systèmes de management de la qualité — Exigences
5.3 Politique qualité
La direction doit assurer que la politique qualité
a) est adaptée à la finalité de l'organisme;
b) comprend l'engagement à satisfaire aux exigences et à améliorer en permanence l'efficacité du système de
management de la qualité;
c) fournit un cadre pour établir et revoir les objectifs qualité;
d) est communiquée et comprise au sein de l'organisme;
e) est revue quant à son adéquation permanente.
©
ISO/CEI 2004 – Tous droits réservés 9
ISO/CEI 90003:2004(F)
5.4 Planification
5.4.1 Objectifs qualité
ISO 9001:2000, Systèmes de management de la qualité — Exigences
5.4.1 Objectifs qualité
La direction doit assurer que les objectifs qualité,ycomprisceuxnécessaires pour satisfaire aux exigences relatives
au produit [voir 7.1 a)], sont établis aux fonctions et aux niveaux appropriés au sein de l'organisme. Les objectifs
qualité doivent être mesurables et cohérents avec la politique qualité.
NOTE Les informations sur les attributs des processus logiciels appropriés pour établir les objectifs peuvent être trouvées
[22]
dans l'ISO/CEITR15504-1 . L'ISO/CEITR15504 (toutes les parties) peut être utilisée pour évaluer l'aptitude de
processus et pour établir les objectifs d'amélioration des aptitudes de processus.
5.4.2 Planification du système de management de la qualité
ISO 9001:2000, Systèmes de management de la qualité — Exigences
5.4.2 Planification du système de management de la qualité
La direction doit assurer que
a) la planification du système de management de la qualité est réalisée dans le but de satisfaire les exigences du
paragraphe 4.1 ainsi que les objectifs qualité;
b) la cohérencedusystème de management de la qualité n'est pas affectée lorsque des modifications du système
de management de la qualité sont planifiées et mises en œuvre.
La planification peut se faire aux niveaux organisationnel et projet/produit.
La planification du système de management de la qualité au niveau organisationnel peut inclure ce qui suit:
a) définition des modèles appropriés du cycle de vie de logiciel à utiliser pour les types de projet que
l'organisme entreprend, y compris la façon habituelle avec laquelle l'organisme met en œuvre les
processus de cycle de vie des logiciels;
b) définition des produits intermédiaires et finals du développement de logiciel, tels que documents
d'exigences relatives au logiciel, documents de conception d'architecture, documents de conception
détaillée, code de programmes, et documentation d'utilisation du logiciel;
c) définition du contenu des plans de management pour le développement de logiciel, tels que plans de
management d'un projet logiciel, plans de gestion de configuration logiciel, plans de vérification et de
validation de logiciel, plans d'assurance qualité logiciel et plans de formation;
d) définition de la façon d'ajuster les méthodes d'ingénierie du logiciel dans le cadre du cycle de vie, en
fonction des projets de l'organisme (voir 1.2, Périmètre d'application);
e) identification des outils et des environnements de développement, d'exploitation et de maintenance des
logiciels;
f) spécification des conventions d'utilisation des langages de programmation, par exemple règles de codage,
bibliothèques et structures de logiciels;
g) identification de toute réutilisation des logiciels (voir aussi 7.5.4).
Il convient que la direction de l'organisme prenne en considération toute modification du modèle de cycle de vie
de logiciel susceptible d'affecter le système de management de la qualité, et qu'elle assure que de telles
modifications ne compromettront pas la maîtrise du système de management de la qualité.
La planification de la qualité des logiciels au niveau projet/produit est traitée en 7.1.
©
10 ISO/CEI 2004 – Tous droits réservés
ISO/CEI 90003:2004(F)
5.5 Responsabilité, autorité et communication
5.5.1 Responsabilité et autorité
ISO 9001:2000, Systèmes de management de la qualité — Exigences
5.5.1 Responsabilité et autorité
La direction doit assurer que les responsabilités et autoritéssontdéfinies et communiquées au sein de l'organisme.
5.5.2 Représentant de la direction
ISO 9001:2000, Systèmes de management de la qualité — Exigences
5.5.2 Représentant de la direction
La direction doit nommer un membre de l'encadrement qui, nonobstant d'autres responsabilités, doit avoir la
responsabilité et l'autorité en particulier pour
a) assurer que les processus nécessaires au système de management de la qualité sont établis, mis en œuvre et
entretenus;
b) rendre compte à la direction du fonctionnement du système de management de la qualité et de tout besoin
d'amélioration;
c) assurer que la sensibilisation aux exigences du client dans tout l'organisme est encouragée.
NOTE La responsabilité du représentant de la direction peut comprendre une liaison avec des parties externes à l'organisme sur
des sujets relatifs au système de management de la qualité.
Pour un organisme de production de logiciels, il est intéressant que le représentant de la direction ait une
expérience dans le domaine du développement de logiciels.
5.5.3 Communication interne
ISO 9001:2000, Systèmes de management de la qualité — Exigences
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.
Loading comments...