ISO/IEC 90003:2004
(Main)Software engineering — Guidelines for the application of ISO 9001:2000 to computer software
Software engineering — Guidelines for the application of ISO 9001:2000 to computer software
ISO/IEC 90003:2004 provides guidance for organizations in the application of ISO 9001:2000 to the acquisition, supply, development, operation and maintenance of computer software and related support services. ISO/IEC 90003:2004 does not add to or otherwise change the requirements of ISO 9001:2000. The guidelines provided in ISO/IEC 90003:2004 are not intended to be used as assessment criteria in quality management system registration/certification. The application of ISO/IEC 90003:2004 is appropriate to software that is part of a commercial contract with another organization, a product available for a market sector, used to support the processes of an organization, embedded in a hardware product, or related to software services. Some organizations may be involved in all the above activities; others may specialize in one area. Whatever the situation, the organization's quality management system should cover all aspects (software related and non-software related) of the business. ISO/IEC 90003:2004 identifies the issues which should be addressed and is independent of the technology, life cycle models, development processes, sequence of activities and organizational structure used by an organization. Additional guidance and frequent references to the ISO/IEC JTC 1/SC 7 software engineering standards are provided to assist in the application of ISO 9001:2000: in particular ISO/IEC 12207, ISO/IEC TR 9126, ISO/IEC 14598, ISO/IEC 15939 and ISO/IEC TR 15504.
Ingénierie du logiciel — Lignes directrices pour l'application de l'ISO 9001:2000 aux logiciels informatiques
L'ISO/CEI 90003:2004 fournit aux organismes des indications sur l'application de l'ISO 9001:2000 pour l'acquisition, la fourniture, le développement, l'exploitation et la maintenance des logiciels et des services de support associés. L'ISO/CEI 90003:2004 n'apporte ni ajout ni modification aux exigences de l'ISO 9001:2000. Les lignes directrices présentées dans l'ISO/CEI 90003:2004 ne sont pas destinées à servir de critères d'évaluation dans le cadre d'un enregistrement/d'une certification de systèmes de management de la qualité. L'application de l'ISO/CEI 90003:2004 est appropriée pour un logiciel qui fait partie d'un contrat commercial avec un autre organisme, est un produit destiné à un secteur du marché, est utilisé en support aux processus d'un organisme, est intégré à un produit matériel, ou concerne des services logiciels. Certains organismes peuvent être impliqués dans toutes les activités précitées; d'autres peuvent se spécialiser dans un seul domaine. Quel que soit le cas, il convient que le système de management de la qualité de l'organisme couvre tous les aspects stratégiques (ceux qui sont liés au logiciel et ceux qui ne le sont pas). L'ISO/CEI 90003:2004 identifie les éléments qu'il convient de traiter, de façon indépendante de la technologie, des modèles de cycle de vie, des processus de développement, de l'enchaînement des activités et de la structure organisationnelle de l'organisme. Des indications supplémentaires et des références fréquentes aux normes d'ingénierie du logiciel de l'ISO/CEI JTC 1/SC 7 sont fournies pour faciliter l'application de l'ISO 9001:2000, en particulier l'ISO/CEI 12207, l'ISO/CEI TR 9126, l'ISO/CEI 14598, l'ISO/CEI 15939 et l'ISO/CEI 15504.
General Information
Relations
Buy Standard
Standards Content (Sample)
INTERNATIONAL ISO/IEC
STANDARD 90003
First edition
2004-02-15
Software engineering — Guidelines for
the application of ISO 9001:2000 to
computer software
Ingénierie du logiciel — Lignes directrices pour l'application de
l'ISO 9001:2000 aux logiciels informatiques
Reference number
ISO/IEC 90003:2004(E)
©
ISO/IEC 2004
---------------------- Page: 1 ----------------------
ISO/IEC 90003:2004(E)
PDF disclaimer
This PDF file may contain embedded typefaces. In accordance with Adobe's licensing policy, this file may be printed or viewed but shall
not be edited unless the typefaces which are embedded are licensed to and installed on the computer performing the editing. In
downloading this file, parties accept therein the responsibility of not infringing Adobe's licensing policy. The ISO Central Secretariat
accepts no liability in this area.
Adobe is a trademark of Adobe Systems Incorporated.
Details of the software products used to create this PDF file can be found in the General Info relative to the file; the PDF-creation
parameters were optimized for printing. Every care has been taken to ensure that the file is suitable for use by ISO member bodies. In the
unlikely event that a problem relating to it is found, please inform the Central Secretariat at the address given below.
© ISO/IEC 2004
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means,
electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or
ISO's member body in the country of the requester.
ISO copyright office
Case postale 56 CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
©
ii ISO/IEC 2004 – All rights reserved
---------------------- Page: 2 ----------------------
ISO/IEC 90003:2004(E)
Contents Page
1 Scope . 1
1.1 General . 1
1.2 Application . 1
2 Normative references . 2
3 Terms and definitions . 2
4 Quality management system . 5
4.1 General requirements . 5
4.2 Documentation requirements . 6
4.2.1 General . 6
4.2.2 Quality manual . 6
4.2.3 Control of documents . 7
4.2.4 Control of records . 7
5 Management responsibility . 8
5.1 Management commitment . 8
5.2 Customer focus . 8
5.3 Quality policy . 9
5.4 Planning . 9
5.4.1 Quality objectives . 9
5.4.2 Quality management system planning . 9
5.5 Responsibility, authority and communication . 10
5.5.1 Responsibility and authority . 10
5.5.2 Management representative . 10
5.5.3 Internal communication . 11
5.6 Management review . 11
5.6.1 General . 11
5.6.2 Review input . 11
5.6.3 Review output . 12
6 Resource management . 12
6.1 Provision of resources . 12
6.2 Human resources . 12
6.2.1 General . 12
6.2.2 Competence, awareness and training . 13
6.3 Infrastructure . 13
6.4 Work environment . 14
7 Product realization . 14
7.1 Planning of product realization . 14
7.1.1 Software life cycle . 15
7.1.2 Quality planning . 15
7.2 Customer-related processes . 16
©
ISO/IEC 2004 – All rights reserved iii
---------------------- Page: 3 ----------------------
ISO/IEC 90003:2004(E)
7.2.1 Determination of requirements related to the product . 16
7.2.2 Review of requirements related to the product . 18
7.2.3 Customer communication . 20
7.3 Design and development . 21
7.3.1 Design and development planning . 21
7.3.2 Design and development inputs . 23
7.3.3 Design and development outputs . 24
7.3.4 Design and development review . 25
7.3.5 Design and development verification . 26
7.3.6 Design and development validation . 26
7.3.7 Control of design and development changes . 28
7.4 Purchasing . 28
7.4.1 Purchasing process . 28
7.4.2 Purchasing information . 30
7.4.3 Verification of purchased product . 30
7.5 Production and service provision . 31
7.5.1 Control of production and service provision . 31
7.5.2 Validation of processes for production and service provision . 34
7.5.3 Identification and traceability . 34
7.5.4 Customer property . 35
7.5.5 Preservation of product . 36
7.6 Control of monitoring and measuring devices . 37
8 Measurement, analysis and improvement . 38
8.1 General . 38
8.2 Monitoring and measurement . 38
8.2.1 Customer satisfaction . 38
8.2.2 Internal audit . 39
8.2.3 Monitoring and measurement of processes . 40
8.2.4 Monitoring and measurement of product . 40
8.3 Control of nonconforming product . 41
8.4 Analysis of data . 42
8.5 Improvement . 42
8.5.1 Continual improvement . 42
8.5.2 Corrective action . 43
8.5.3 Preventive action . 43
Annex A (informative) Additional guidance in the implementation of ISO 9001:2000 available in
ISO/IEC JTC 1/SC 7 and ISO/TC 176 standards . 44
Annex B (informative) Planning in ISO/IEC 90003 and ISO/IEC 12207 . 49
Bibliography . 53
©
iv ISO/IEC 2004 – All rights reserved
---------------------- Page: 4 ----------------------
ISO/IEC 90003:2004(E)
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that are members of
ISO or IEC participate in the development of International Standards through technical committees established
by the respective organization to deal with particular fields of technical activity. ISO and IEC technical
committees collaborate in fields of mutual interest. Other international organizations, governmental and non-
governmental, in liaison with ISO and IEC, also take part in the work.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
In the field of information technology, ISO and IEC have established a joint technical committee, ISO/IEC
JTC 1. Draft International Standards adopted by the joint technical committee are circulated to national bodies
for voting. Publication as an International Standard requires approval by at least 75 % of the national bodies
casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights.
ISO/IEC90003 was prepared by Joint Technical Committee ISO/IEC JTC1, Information technology,
Subcommittee SC 7, Software and system engineering.
This first edition of ISO/IEC 90003 cancels and replaces ISO 9000-3:1997, which has been updated for
conformity with ISO 9001:2000. ISO 9000-3:1997 was under the responsibility of ISO/TC 176/SC 2.
©
ISO/IEC 2004 – All rights reserved v
---------------------- Page: 5 ----------------------
ISO/IEC 90003:2004(E)
Introduction
This International Standard provides guidance for organizations in the application of ISO 9001:2000 to the
acquisition, supply, development, operation and maintenance of computer software.
It identifies the issues which should be addressed and is independent of the technology, life cycle models,
development processes, sequence of activities and organizational structure used by an organization. The
guidance and identified issues are intended to be comprehensive but not exhaustive. Where the scope of an
organization’s activities includes areas other than computer software development, the relationship between
the computer software elements of that organization’s quality management system and the remaining aspects
should be clearly documented within the quality management system as a whole.
Clauses 4, 5 and 6 and parts of clause 8 of ISO 9001:2000 are applied mainly at the “global” level in the
organization, although they do have some effect at the “project/product level”. Each project or product
development may tailor the associated parts of the organization’s quality management system, to suit
project/product-specific requirements.
Throughout ISO 9001:2000, “shall” is used to express a provision that is binding between two or more parties,
“should” to express a recommendation among possibilities and “may” to indicate a course of action permissible
within the limits of ISO 9001:2000. In this International Standard (ISO/IEC 90003), “should” and “may” have the
same meaning as in ISO 9001:2000, i.e. “should” to express a recommendation among possibilities and “may”
to indicate a course of action permissible within the limits of this International Standard.
Organizations with quality management systems for developing, operating or maintaining software based on
this International Standard may choose to use processes from ISO/IEC12207 and
ISO/IEC 12207:1995/Amd.1:2002 to support or complement the ISO 9001:2000 process model. It should be
noted that the quality management process defined in ISO/IEC12207:1995/Amd.1:2002, F.3.1.4 is not
consistent with the definition of quality management in ISO 9000, ISO 9001 and other ISO/TC 176 standards.
The related paragraphs of ISO/IEC 12207:1995/Amd.1:2002 are referenced in each clause of this International
Standard; however, they are not intended to imply requirements additional to those in ISO 9001:2000. Further
guidance to the use of ISO/IEC 12207 may be found in ISO/IEC TR 15271. For additional guidance, frequent
references are provided to the International Standards for software engineering defined by ISO/IEC JTC 1/SC 7
and in particular ISO/IEC9126-1, ISO/IECTR9126-2, ISO/IECTR9126-3, ISO/IECTR9126-4,
ISO/IEC 15939 and ISO/IEC 15504 (all parts). Where these references are specific to a clause or subclause of
ISO 9001:2000 they appear after the guidance for that clause or subclause. Where they apply generally across
the parts of a clause or subclause, the references are included at the end of the last part of the clause or
subclause.
Where text has been quoted from ISO 9001:2000, that text is enclosed in a box, for ease of identification.
©
vi ISO/IEC 2004 – All rights reserved
---------------------- Page: 6 ----------------------
INTERNATIONAL STANDARD ISO/IEC 90003:2004(E)
Software engineering — Guidelines for the application of
ISO 9001:2000 to computer software
1Scope
1.1 General
ISO 9001:2000, Quality management systems — Requirements
1.1 General
This International Standard specifies requirements for a quality management system where an organization
a) needs to demonstrate its ability to consistently provide product that meets customer and applicable regulatory
requirements, and
b) aims to enhance customer satisfaction through the effective application of the system, including processes for
continual improvement of the system and the assurance of conformity to customer and applicable regulatory
requirements.
NOTE In this International Standard, the term “product” applies only to the product intended for, or required by, a customer.
This International Standard provides guidance for organizations in the application of ISO 9001:2000 to the
acquisition, supply, development, operation and maintenance of computer software and related support
services. It does not add to or otherwise change the requirements of ISO 9001:2000.
Annex A (informative) provides a table pointing to additional guidance in the implementation of ISO 9001:2000
available in ISO/IEC JTC 1/SC 7 and ISO/TC 176 standards.
The guidelines provided in this International Standard are not intended to be used as assessment criteria in
quality management system registration/certification.
1.2 Application
ISO 9001:2000, Quality management systems — Requirements
1.2 Application
All requirements of this International Standard are generic and are intended to be applicable to all organizations,
regardless of type, size and product provided.
Where any requirement(s) of this International Standard cannot be applied due to the nature of an organization and
its product, this can be considered for exclusion.
Where exclusions are made, claims of conformity to this International Standard are not acceptable unless these
exclusions are limited to requirements within clause 7, and such exclusions do not affect the organization's ability, or
responsibility, to provide product that meets customer and applicable regulatory requirements.
©
ISO/IEC 2004 – All rights reserved 1
---------------------- Page: 7 ----------------------
ISO/IEC 90003:2004(E)
The application of this International Standard is appropriate to software that is
— part of a commercial contract with another organization,
— a product available for a market sector,
— used to support the processes of an organization,
— embedded in a hardware product, or
— related to software services.
Some organizations may be involved in all of the above activities; others may specialize in one area. Whatever
the situation, the organization’s quality management system should cover all aspects (software related and non-
software related) of the business.
2 Normative references
ISO 9001:2000, Quality management systems — Requirements
2 Normative reference
The following normative document contains provisions which, through reference in this text, constitute provisions of
this International Standard. For dated references, subsequent amendments to, or revisions of, any of these
publications do not apply. However, parties to agreements based on this International Standard are encouraged to
investigate the possibility of applying the most recent edition of the normative document indicated below. For undated
references, the latest edition of the normative document referred to applies. Members of ISO and IEC maintain
registers of currently valid International Standards.
ISO 9000:2000, Quality management systems — Fundamentals and vocabulary.
3 Terms and definitions
ISO 9001:2000, Quality management systems — Requirements
3 Terms and definitions
For the purposes of this International Standard, the terms and definitions given in ISO 9000 apply.
The following terms, used in this edition of ISO 9001 to describe the supply chain, have been changed to reflect the
vocabulary currently used:
supplier organization customer
The term “organization” replaces the term “supplier” used in ISO 9001:1994, and refers to the unit to which this
International Standard applies. Also, the term “supplier” now replaces the term “subcontractor”.
Throughout the text of this International Standard, wherever the term “product” occurs, it can also mean “service”.
For the purposes of this document, the terms and definitions given in ISO 9001:2000, and certain terms
(repeated here for convenience) given in ISO/IEC 12207 apply.
However, in the event of a conflict in terms and definitions, the terms and definitions specified in ISO 9000:2000
apply.
NOTE ISO/IEC12207:1995 provides detailed provisions for seventeen software life cycle processes.
ISO/IEC 12207:1995/Amd.1:2002 provides high-level provisions for many additional processes. This International Standard
will make reference to terms defined in both.
©
2 ISO/IEC 2004 – All rights reserved
---------------------- Page: 8 ----------------------
ISO/IEC 90003:2004(E)
3.1
activity
collection of related tasks
3.2
baseline
formally approved version of a configuration item, regardless of media, formally designated and fixed at a
specific time during the configuration item’s life cycle
[ISO/IEC 12207:1995, definition 3.5]
3.3
configuration item
entity within a configuration that satisfies an end use function and that can be uniquely identified at a given
reference point
[ISO/IEC 12207:1995, definition 3.6]
3.4
COTS
Commercial-Off-The-Shelf (acronym)
〈software product〉 available for purchase and use without the need to conduct development activities
3.5
development
software life cycle process that contains the activities of requirements analysis, design, coding, integration,
testing, installation and support for acceptance of software products
3.6
life cycle model
framework containing the processes, activities, and tasks involved in the development, operation, and
maintenance of a software product, spanning the life of the system from the definition of its requirements to the
termination of its use
[ISO/IEC 12207:1995, definition 3.11]
NOTE The requirements of ISO 9001:2000 would apply to maintenance, only if contractually required, after acceptance of
the product by the customer. However, generally the requirements do not apply to maintenance.
3.7
measure, verb
make a measurement
[ISO/IEC 14598-1:1999, definition 4.17]
3.8
measure, noun
variable to which a value is assigned as the result of measurement
[ISO/IEC 15939:2002, definition 3.14]
3.9
measurement
set of operations having the object of determining a value of a measure
[ISO/IEC 15939:2002, definition 3.17]
©
ISO/IEC 2004 – All rights reserved 3
---------------------- Page: 9 ----------------------
ISO/IEC 90003:2004(E)
3.10
process
set of interrelated or interacting activities which transforms inputs into outputs
NOTE 1 Inputs to a process are generally outputs of other processes.
NOTE 2 Adapted from ISO 9000:2000, definition 3.4.1.
3.11
regression testing
testing required to determine that a change to a system component has not adversely affected functionality,
reliability or performance and has not introduced additional defects
3.12
release
particular version of a configuration item that is made available for a specific purpose
EXAMPLE A test release.
[ISO/IEC 12207:1995, definition 3.22]
NOTE The term “release” used in the ISO 9001:2000 text quoted in this International Standard is used in the context of the
definition provided in ISO 9000:2000, 3.6.13, which is different from the ISO/IEC 12207 definition quoted above.
3.13
replication
copying a software product from one medium to another
3.14
software item
identifiable part of a software product
3.15
software product
set of computer programs, procedures, and possibly associated documentation and data
[ISO/IEC 12207:1995, definition 3.26]
NOTE 1 A software product may be designated for delivery, an integral part of another product, or used in development.
[2]
NOTE 2 This is different from a product in ISO 9000 .
NOTE 3 For the purposes of this International Standard, “software” is synonymous with “software product”.
3.16
software service
performance of activities, work, or duties connected with a software product, such as its development,
maintenance and operation
[ISO/IEC 12207:1995, definition 3.27]
©
4 ISO/IEC 2004 – All rights reserved
---------------------- Page: 10 ----------------------
ISO/IEC 90003:2004(E)
4 Quality management system
4.1 General requirements
ISO 9001:2000, Quality management systems — Requirements
4.1 General requirements
The organization shall establish, document, implement and maintain a quality management system and continually
improve its effectiveness in accordance with the requirements of this International Standard.
The organization shall
a) identify the processes needed for the quality management system and their application throughout the
organization (see 1.2),
b) determine the sequence and interaction of these processes,
c) determine criteria and methods needed to ensure that both the operation and control of these processes are
effective,
d) ensure the availability of resources and information necessary to support the operation and monitoring of these
processes,
e) monitor, measure and analyse these processes, and
f) implement actions necessary to achieve planned results and continual improvement of these processes.
These processes shall be managed by the organization in accordance with the requirements of this International
Standard.
Where an organization chooses to outsource any process that affects product conformity with requirements, the
organization shall ensure control over such processes. Control of such outsourced processes shall be identified
within the quality management system.
NOTE Processes needed for the quality management system referred to above should include processes for management
activities, provision of resources, product realization and measurement.
Guidance is provided for items a) and b) of ISO 9001:2000, 4.1, in relation to the organizational processes as
follows (see 5.4.2, and 7.4.1 for additional guidance on outsourcing).
a) Process identification and application
The organization should also identify the processes for software development, operation or maintenance.
b) Process sequence and interaction
The organization should also define the sequence and interaction of the processes in
1) life cycle models for software development, e.g. waterfall, incremental and evolutionary, and
2) quality and development planning, which should be based upon a life cycle model.
NOTE For further information, see the following:
[11] [12]
— ISO/IEC 12207 and ISO/IEC 12207:1995/Amd.1:2002 (software life cycle processes) which define a set of
software life cycle processes that may be used for reference;
[21]
— ISO/IEC TR 15271:1998 , Annex C (guide to ISO/IEC 12207) which provides guidance on how to use processes
from ISO/IEC 12207 in different life cycles.
©
ISO/IEC 2004 – All rights reserved 5
---------------------- Page: 11 ----------------------
ISO/IEC 90003:2004(E)
4.2 Documentation requirements
4.2.1 General
ISO 9001:2000, Quality management systems — Requirements
4.2.1 General
The quality management system documentation shall include
a) documented statements of a quality policy and quality objectives,
b) a quality manual,
c) documented procedures required by this International Standard,
d) documents needed by the organization to en
...
NORME ISO/CEI
INTERNATIONALE 90003
Première édition
2004-02-15
Ingénierie du logiciel — Lignes directrices
pour l'application de l'ISO 9001:2000 aux
logiciels informatiques
Software engineering — Guidelines for the application of ISO 9001:2000
to computer software
Numéro de référence
ISO/CEI 90003:2004(F)
©
ISO/CEI 2004
---------------------- Page: 1 ----------------------
ISO/CEI 90003:2004(F)
PDF — Exonération de responsabilité
Le présent fichier PDF peut contenir des polices de caractères intégrées. Conformément aux conditions de licence d'Adobe, ce fichier
peut être imprimé ou visualisé, mais ne doit pas être modifié à moins que l'ordinateur employé à cet effet ne bénéficie d'une licence
autorisant l'utilisation de ces polices et que celles-ci y soient installées. Lors du téléchargement de ce fichier, les parties concernées
acceptent de fait la responsabilité de ne pas enfreindre les conditions de licence d'Adobe. Le Secrétariat central de l'ISO décline toute
responsabilité en la matière.
Adobe est une marque déposée d'Adobe Systems Incorporated.
Les détails relatifs aux produits logiciels utilisés pour la création du présent fichier PDF sont disponibles dans la rubrique General Info du
fichier; les paramètres de création PDF ont été optimisés pour l'impression. Toutes les mesures ont été prises pour garantir l'exploitation
de ce fichier par les comités membres de l'ISO. Dans le cas peu probable où surviendrait un problème d'utilisation, veuillez en informer
le Secrétariat central à l'adresse donnée ci-dessous.
© ISO/CEI 2004
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication ne peut être reproduite ni utilisée sous
quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l'accord écrit
de l'ISO à l'adresse ci-après ou du comité membre de l'ISO dans le pays du demandeur.
ISO copyright office
Case postale 56 CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Publié en Suisse
©
ii ISO/CEI 2004 – Tous droits réservés
---------------------- Page: 2 ----------------------
ISO/CEI 90003:2004(F)
Sommaire Page
1 Domaine d'application . 1
1.1 Généralités . 1
1.2 Périmètre d'application . 2
2Références normatives . 2
3 Termes et définitions . 3
4 Système de management de la qualité . 5
4.1 Exigences générales . 5
4.2 Exigences relatives à la documentation . 6
4.2.1 Généralités . 6
4.2.2 Manuel qualité . 7
4.2.3 Maîtrise des documents . 7
4.2.4 Maîtrise des enregistrements . 8
5 Responsabilité de la direction . 9
5.1 Engagement de la direction . 9
5.2 Écoute client . 9
5.3 Politique qualité . 9
5.4 Planification . 10
5.4.1 Objectifs qualité . 10
5.4.2 Planification du système de management de la qualité . 10
5.5 Responsabilité, autorité et communication . 11
5.5.1 Responsabilité et autorité . 11
5.5.2 Représentant de la direction . 11
5.5.3 Communication interne . 11
5.6 Revue de direction . 11
5.6.1 Généralités . 11
5.6.2 Éléments d'entrée de la revue . 12
5.6.3 Éléments de sortie de la revue . 12
6 Management des ressources . 12
6.1 Mise à disposition des ressources . 12
6.2 Ressources humaines . 13
6.2.1 Généralités . 13
6.2.2 Compétence, sensibilisation et formation . 13
6.3 Infrastructures . 14
6.4 Environnement de travail . 14
7Réalisation du produit . 15
7.1 Planification de la réalisation du produit . 15
7.1.1 Cycle de vie du logiciel . 15
7.1.2 Planification de la qualité . 16
7.2 Processus relatifs aux clients . 17
©
ISO/CEI 2004 – Tous droits réservés iii
---------------------- Page: 3 ----------------------
ISO/CEI 90003:2004(F)
7.2.1 Détermination des exigences relatives au produit . 17
7.2.2 Revue des exigences relatives au produit . 18
7.2.3 Communication avec les clients . 20
7.3 Conception et développement . 22
7.3.1 Planification de la conception et du développement . 22
7.3.2 Éléments d'entrée de la conception et du développement . 24
7.3.3 Éléments de sortie de la conception et du développement . 25
7.3.4 Revue de la conception et du développement . 26
7.3.5 Vérification de la conception et du développement . 27
7.3.6 Validation de la conception et du développement . 27
7.3.7 Maîtrise des modifications de la conception et du développement . 29
7.4 Achats . 30
7.4.1 Processus d'achat . 30
7.4.2 Informations relatives aux achats . 31
7.4.3 Vérification du produit acheté . 32
7.5 Production et préparation du service . 33
7.5.1 Maîtrise de la production et de la préparation du service . 33
7.5.2 Validation des processus de production et de préparation du service . 36
7.5.3 Identification et traçabilité . 36
7.5.4 Propriété du client . 38
7.5.5 Préservation du produit . 38
7.6 Maîtrise des dispositifs de surveillance et de mesure . 40
8 Mesures, analyse et amélioration . 41
8.1 Généralités . 41
8.2 Surveillance et mesures . 42
8.2.1 Satisfaction du client . 42
8.2.2 Audit interne . 42
8.2.3 Surveillance et mesure des processus . 43
8.2.4 Surveillance et mesure du produit . 43
8.3 Maîtrise du produit non conforme . 44
8.4 Analyse des données . 45
8.5 Amélioration . 46
8.5.1 Amélioration continue . 46
8.5.2 Action corrective . 46
8.5.3 Action préventive . 47
Annexe A (informative) Conseils supplémentaires pour la mise en œuvre de l'ISO 9001:2000,
disponibles dans les normes de l'ISO/CEI JTC 1/SC 7 et de l'ISO/TC 176 . 48
Annexe B (informative) La planification dans l'ISO/CEI 90003 et l'ISO/CEI 12207 . 53
Bibliographie . 58
©
iv ISO/CEI 2004 – Tous droits réservés
---------------------- Page: 4 ----------------------
ISO/CEI 90003:2004(F)
Avant-propos
L'ISO (Organisation internationale de normalisation) et la CEI (Commission électrotechnique internationale)
forment le système spécialisé de la normalisation mondiale. Les organismes nationaux membres de l'ISO ou de
la CEI participent au développement de Normes internationales par l'intermédiaire des comités techniques
créés par l'organisation concernée afin de s'occuper des domaines particuliers de l'activité technique. Les
comités techniques de l'ISO et de la CEI collaborent dans des domaines d'intérêt commun. D'autres
organisations internationales, gouvernementales ou non gouvernementales, en liaison avec l'ISO et la CEI
participent également aux travaux.
Les Normes internationales sont rédigées conformément aux règles données dans les Directives ISO/CEI,
Partie 2.
Dans le domaine des technologies de l'information, l'ISO et la CEI ont créé un comité technique mixte,
l'ISO/CEI JTC 1. Les projets de Normes internationales adoptés par le comité technique mixte sont soumis aux
organismes nationaux pour vote. Leur publication comme Normes internationales requiert l'approbation de
75 % au moins des organismes nationaux votants.
L'attention est appelée sur le fait que certains des éléments du présent document peuvent faire l'objet de droits
de propriété intellectuelle ou de droits analogues. L'ISO et la CEI ne saurait être tenue pour responsable de ne
pas avoir identifié de tels droits de propriété et averti de leur existence.
L'ISO/CEI 90003 a été élaborée par le comité technique ISO/JTC 1, Technologies de l'information, sous-comité
SC 7, Ingénierie du logiciel et du système.
Cette première édition de l’ISO/CEI 90003 annule et remplace l’ISO 9000-3:1997, qui a été mise à jour afin
d’être conforme à l’ISO 9001:2000. L’ISO 9000-3:1997 était de la responsabilité de l’ISO/TC 176/SC 2.
©
ISO/CEI 2004 – Tous droits réservés v
---------------------- Page: 5 ----------------------
ISO/CEI 90003:2004(F)
Introduction
La présente Norme internationale fournit aux organismes des indications sur l'application de l'ISO 9001:2000
pour l'acquisition, la fourniture, le développement, l'exploitation et la maintenance des logiciels.
Elle identifie les éléments qu‘il convient de traiter, de façon indépendante de la technologie, des modèles de
cycle de vie, des processus de développement, de l'enchaînement des activités et de la structure
organisationnelle de l'organisme. Les indications et les éléments identifiés sont censés être complets sans pour
autant être exhaustifs. Lorsque le champ d'activités d'un organisme inclut des domaines autres que le
développement de logiciels, il convient que la relation entre les éléments de logiciel du système de
management de la qualité de cet organisme, et les autres aspects soit clairement documenté dans le système
de management de la qualité pris dans sa globalité.
Les Articles 4, 5 et 6, ainsi que des parties de l'Article 8 de l'ISO 9001:2000 sont appliqués essentiellement au
niveau “global” dans l'organisme, même s'ils ont une certaine incidence au “niveau projet/produit”. Chaque
projet ou développement de produit peut conduire à l'ajustement des parties associées du système de
management de la qualité de l'organisme, de manière à l'adapter aux exigences spécifiques du projet/produit.
Dans le texte de l'ISO 9001:2000, le verbe devoir est employé pour exprimer une disposition qui engage deux
parties ou plus, l'expression “il convient de” est utilisée pour exprimer une recommandation lorsqu'il existe
plusieurs options, et le verbe pouvoir, pour indiquer une piste d'action autorisée dans les limites de
l'ISO 9001:2000. Dans la présente Norme internationale (ISO/CEI 90003), l'expression “il convient de” et le
verbe pouvoir ont la même signification que dans l'ISO 9001:2000, à savoir que “il convient de” est employé
pour exprimer une recommandation lorsqu'il existe plusieurs options, et le verbe pouvoir, pour exprimer une
piste d'action autorisée dans les limites de la présente Norme internationale.
Les organismes possédant des systèmes de management de la qualité pour développer, exploiter ou maintenir
du logiciel sur la base de l'ISO/CEI 90003 peuvent choisir d'utiliser des processus de l'ISO/CEI 12207 et de
l'ISO/CEI 12207:1995/Amd.1:2002 pour soutenir ou compléter le modèle de processus de l'ISO 9001:2000. Il
convient de noter que le processus de management de la qualité défini dans
l'ISO/CEI 12207:1995/Amd.1:2002, F.3.1.4, n'est pas en cohérence avec la définition de management de la
qualité de l'ISO 9000, l'ISO 9001 et les autres normes de l'ISO/TC 176. Les paragraphes correspondants de
l'ISO/CEI 12207:1995/Amd.1:2002 sont référencés dans chaque article de la présente Norme internationale;
cependant, elles ne sont pas supposées induire des exigences supplémentaires à celles de l'ISO 9001:2000.
On peut trouver des indications supplémentaires sur l'utilisation de l'ISO/CEI 12207 dans l'ISO/CEI TR 15271.
À titre d'indications supplémentaires, il est fait souvent référence aux Normes internationales d'ingénierie du
logiciel, définies par l'ISO/CEIJTC1/SC7 et, en particulier, l'ISO/CEI9126-1, l'ISO/CEITR9126-2,
l'ISO/CEI TR 9126-3, l'ISO/CEI TR 9126-4, l'ISO/CEI 15939 et l'ISO/CEI 15504 (toutes les parties). Lorsque
ces références ne concernent qu'un article ou un paragraphe de l'ISO 9001:2000, elles figurent après les
indications pour cet article ou paragraphe. Lorsqu'elles s'appliquent généralement à l'ensemble des parties
d'un article ou d'un paragraphe, les références sont placées à la fin de la dernière partie de l'article ou du
paragraphe.
Lorsque le texte cité provient de l'ISO 9001:2000, ce texte est encadré pour faciliter son identification.
©
vi ISO/CEI 2004 – Tous droits réservés
---------------------- Page: 6 ----------------------
NORME INTERNATIONALE ISO/CEI 90003:2004(F)
Ingénierie du logiciel — Lignes directrices pour l'application de
l'ISO 9001:2000 aux logiciels informatiques
1 Domaine d'application
1.1 Généralités
ISO 9001:2000, Systèmes de management de la qualité — Exigences
1.1 Généralités
La présente Norme internationale spécifie les exigences relatives au système de management de la qualité lors-
qu'un organisme
a) doit démontrer son aptitude à fournir régulièrement un produit conforme aux exigences des clients et aux
exigences réglementaires applicables,
b) vise à accroître la satisfaction de ses clients par l'application efficace du système, y compris les processus pour
l'amélioration continue du système et l'assurance de la conformité aux exigences des clients et aux exigences
réglementaires applicables.
NOTE Dans la présente Norme internationale, le terme «produit» s'applique uniquement au produit destinéà,ouexigé par, un
client.
La présente Norme internationale fournit aux organismes des lignes directrices pour l'application de
l'ISO 9001:2000 pour l'acquisition, la fourniture, le développement, l'exploitation et la maintenance des logiciels
et des prestations de support associées. Elle n'apporte ni ajout ni modification aux exigences de
l'ISO 9001:2000.
L'AnnexeA (informative) fournit un tableau à titre de guide additionnel dans la mise en œuvre de
l'ISO 9001:2000 disponible dans les normes de l'ISO/CEI JTC 1/SC 7 et de l'ISO/TC 176.
Les lignes directrices présentées dans la présente Norme internationale ne sont pas destinées à servir de
critères d'évaluation dans le cadre d'un enregistrement, d’une certification de systèmes de management de la
qualité.
©
ISO/CEI 2004 – Tous droits réservés 1
---------------------- Page: 7 ----------------------
ISO/CEI 90003:2004(F)
1.2 Périmètre d'application
ISO 9001:2000, Systèmes de management de la qualité — Exigences
1.2 Périmètre d'application
Toutes les exigences de la présente Norme internationale sont génériques et prévues pour s'appliquer à tout orga-
nisme, quels que soient son type, sa taille et le produit fourni.
Lorsque l'une ou plusieurs exigences de la présente Norme internationale ne peuvent être appliquées en raison de
la nature d'un organisme et de son produit, leur exclusion peut être envisagée.
Lorsque des exclusions sont faites, les demandes de conformitéà la présente Norme internationale ne sont accep-
tables que si ces exclusions se limitent aux exigences de l'article 7 et qu'elles n'affectent pas l'aptitude de l'organis-
me à fournir un produit conforme aux exigences des clients et aux exigences réglementaires applicables, ni ne le
dégagent de cette responsabilité.
L'application de la présente Norme internationale est appropriée pour un logiciel qui
— fait partie d'un contrat commercial avec un autre organisme,
— est un produit destiné à un secteur du marché,
— est utilisé en support aux processus d'un organisme,
— est intégré à un produit matériel, ou
— concerne des services logiciels.
Certains organismes peuvent être impliqués dans toutes les activités précitées; d'autres peuvent se spécialiser
dans un seul domaine. Quel que soit le cas, il convient que le système de management de la qualité de
l'organisme couvre tous les aspects stratégiques (ceux qui sont liés au logiciel et ceux qui ne le sont pas).
2Références normatives
ISO 9001:2000, Systèmes de management de la qualité — Exigences
2Référence normative
Le document normatif suivant contient des dispositions qui, par suite de la référence qui y est faite, constituent des
dispositions valables pour la présente Norme internationale. Pour les références datées, les amendements ultérieurs
ou les révisions de ces publications ne s'appliquent pas. Toutefois, les parties prenantes aux accords fondéssur la
présente Norme internationale sont invitées à rechercher la possibilité d'appliquer l'édition la plus récente du
document normatif indiqué ci-après. Pour les références non datées, la dernière édition du document normatif en
référence s'applique. Les membres de l'ISO et de la CEI possèdent le registre des Normes internationales en
vigueur.
ISO 9000:2000, Systèmes de management de la qualité— Principes essentiels et vocabulaire.
©
2 ISO/CEI 2004 – Tous droits réservés
---------------------- Page: 8 ----------------------
ISO/CEI 90003:2004(F)
3 Termes et définitions
ISO 9001:2000, Systèmes de management de la qualité — Exigences
3 Termes et définitions
Pour les besoins de la présente Norme internationale, les termes et définitions donnés dans l'ISO 9000 s'appliquent.
Les termes suivants, utilisésdanslaprésente édition de l'ISO 9001 pour décrirelachaîne d'approvisionnement, ont
été modifiés pour refléter le vocabulaire couramment utilisé:
fournisseur(s) organisme client
Le terme «organisme» remplaceleterme «fournisseur» utilisé dans l'ISO 9001:1994 et se réfère à l'entitéà laquelle
s'applique cette Norme internationale. Le terme «fournisseur» remplace maintenant le terme «sous-contractant».
Dans la présente Norme internationale, lorsque le terme «produit» est utilisé, il peut également signifier «service».
Pour les besoins du présent document, les termes et les définitions donnés dans l'ISO 9001:2000, ainsi que
certains termes (qui sont répétés ici par commodité) donnés dans l'ISO/CEI 12207 s'appliquent.
Cependant, en cas de conflit sur les termes et les définitions, ce sont les termes et les définitions spécifiés dans
l'ISO 9001:2000 qui s'appliquent.
NOTE L'ISO/CEI 12207:1995 fournit des dispositions détaillées pour dix-sept processus du cycle de vie du logiciel.
L'ISO/CEI 12207:1995/Amd.1:2002 fournit des dispositions de haut niveau pour de nombreux processus supplémentaires.
La présente Norme internationale fera référence aux termes définis dans ces deux documents.
3.1
activité
ensemble de tâches liées
3.2
référentiel
version formellement approuvée d'un élément de configuration, quel qu'en soit le support, qui est formellement
attribuée et attachée à un instant spécifique du cycle de vie de l'élément de configuration
[ISO/CEI 12207:1995, définition 3.5]
3.3
élément de configuration
entité au sein d'une configuration satisfaisant une fonction pour un utilisateur final et pouvant être identifiée de
façon unique à un instant spécifique du cycle de vie
[ISO/CEI 12207:1995, définition 3.6]
3.4
produit logiciel sur étagère
COTS
〈produit logiciel〉 disponible à l'achat et à l'utilisation sans qu'il soit nécessaire de conduire des activités de
développement
3.5
développement
processus du cycle de vie du logiciel qui comprend les activités d'analyse des exigences, de conception, de
codage, d'intégration, de test, d'installation et d'assistance pour l'acceptation de produits logiciels
©
ISO/CEI 2004 – Tous droits réservés 3
---------------------- Page: 9 ----------------------
ISO/CEI 90003:2004(F)
3.6
modèle de cycle de vie
structure contenant les processus, les activités et les tâches mis en œuvre pour le développement, l'exploitation
et la maintenance d'un logiciel, englobant la totalité du système depuis l'expression de besoins jusqu'à la fin de
son utilisation
[ISO/CEI 12207:1995, définition 3.11]
NOTE Les exigences de l'ISO 9001:2000 ne s'appliqueront à la maintenance que si cela est exigé contractuellement,
après acceptation du produit par le client. Cependant, les exigences ne s'appliquent généralement pas à la maintenance.
3.7
mesurer, verbe
faire un mesurage
[ISO/CEI 14598-1:1999, définition 4.17]
3.8
mesure, nom
variable à laquelle une valeur est attribuée en tant que résultat d'un mesurage
[ISO/CEI 15939:2002, définition 3.14]
3.9
mesurage
ensemble d'opérations ayant pour objet de déterminer une valeur de mesure
[ISO/CEI 15939:2002, définition 3.17]
3.10
processus
ensemble d'activités corrélées ou en interaction, qui transforme des éléments d'entrée en éléments de sortie
NOTE 1 Les éléments d'entrée d'un processus sont généralement les éléments de sortie d'autres processus.
NOTE 2 Adapté de l'ISO 9000:2000, définition 3.4.1.
3.11
test de régression
test nécessaire pour déterminer qu'une modification d'un composant du système n'a pas eu un effet
défavorable sur les fonctionnalités, la fiabilité ou les performances, et qu'elle n'a pas introduit de défauts
supplémentaires
3.12
version disponible
version particulière d'un élément de configuration rendue disponible dans un but spécifique
EXEMPLE Une version d'essai.
[ISO/CEI 12207:1995, définition 3.22]
NOTE (Ne concerne que la version anglaise.)
3.13
reproduction
action de copier un logiciel d'un support vers un autre
3.14
élément logiciel
composant identifiable d'un produit logiciel
©
4 ISO/CEI 2004 – Tous droits réservés
---------------------- Page: 10 ----------------------
ISO/CEI 90003:2004(F)
3.15
produit logiciel
ensemble des programmes informatiques, des procédures et de la documentation, et des données
éventuellement associées
[ISO/CEI 12207:1995, définition 3.26]
NOTE 1 Un produit logiciel peut être destiné à être livré, à être inclus dans un autre produit ou à être utilisé dans le cadre
d'un développement.
[2]
NOTE 2 Cette définition d'un produit est différente de celle donnée par l'ISO 9000 .
NOTE 3 Dans le cadre de la présente Norme internationale, «logiciel» est synonyme de «produit logiciel».
3.16
prestation logiciel
exécution d'activités, de tâches ou d'obligations liées à un logiciel, telles que le développement, la maintenance
et l'exploitation
[ISO/CEI 12207:1995, définition 3.27]
4Système de management de la qualité
4.1 Exigences générales
ISO 9001:2000, Systèmes de management de la qualité — Exigences
4.1 Exigences générales
L'organisme doit établir, documenter, mettre en œuvre et entretenir un système de management de la qualité et en
améliorer en permanence l'efficacité conformément aux exigences de la présente Norme internationale.
L'organisme doit
a) identifier les processus nécessaires au système de management de la qualité et leur application dans tout
l'organisme (voir 1.2);
b) déterminer la séquence et l'interaction de ces processus;
c) déterminer les critères et les méthodes nécessaires pour assurer l'efficacité du fonctionnement et de la maîtrise
de ces processus;
d) assurer la disponibilité des ressources et des informations nécessaires au fonctionnement et à la surveillance de
ces processus;
e) surveiller, mesurer et analyser ces processus;
f) mettre en œuvre les actions nécessaires pour obtenir les résultats planifiéset l'amélioration continue de ces
processus.
L'organisme doit gérer ces processus conformément aux exigences de la présente Norme internationale.
Lorsqu'un organisme décide d'externalis
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.