《《软件过程及能力成熟度评估机构通用要求》CNAS-CC51.doc》由会员分享,可在线阅读,更多相关《《软件过程及能力成熟度评估机构通用要求》CNAS-CC51.doc(12页珍藏版)》请在三一文库上搜索。
1、CNASCC51:XXXX 软件过程及能力成熟度评估机构 通用要求 General Requirements for Software Process and Capability Maturity Assessment Bodies 中国合格评定国家认可委员会 二一二年XX月 软件过程及能力成熟度评估机构通用要求 1 范围本文件规定了从事软件过程及能力成熟度评估(简称为“SPCA”)的评估机构应满足的通用要求,以获得对其能力和可信性的承认。本文件可用于评估机构对依据SJ/T11234和/或SJ/T11235或与其等同的其它标准进行正式评估活动的管理。注:在本文件中,“评估机构”是指按照相关制
2、度的要求有能力提供软件过程及能力成熟度评估服务的组织。2 引用的规范性文件以下引用的文件,注明日期的,仅引用的版本适用;未注明日期的,引用文件的最新版本(包括任何修订)适用。GB/T 20000.1-2002 标准化工作指南第 1 部分:标准化和相关活动的通用词汇(mod ISO/IEC 导则2:1996)SJ/T 11234 软件过程能力评估模型SJ/T 11235 软件能力成熟度模型国认可联200249号文软件过程及能力成熟度评估指南GB/T 19000-2000 质量管理体系基础和术语(idt ISO9000:2000)GB/T190112003质量和(或)环境管理体系审核指南(idt
3、ISO19011:2002) ISO/IEC 导则62:1996 质量管理体系认证机构通用要求3 术语和定义本文件除了采用GB/T 20000.1-2002和GB/T 19000-2000中的术语定义外,还采用下列术语定义。3.1 软件过程及能力成熟度评估即软件过程能力评估(依据SJ/T11234)和软件能力成熟度评估(依据SJT/11235)的统称(简称为“SPCA”)。SPCA是由经过培训的专业队伍以评估参考模型作为确定过程的强项和弱项的基础而对一个或多个过程进行的检查活动。根据评估目的的不同,评估可分为内部过程改进评估(见本文3.2)和顾客选择评价(见本文3.3)两种模式。3.2 内部过
4、程改进评估以内部过程改进为目的,对组织内部软件过程能力进行的评估。执行这种评估前,评估机构往往可根据评估委托方的要求向被评估组织提供咨询,并且应该有被评估组织的人员参加到评估组中,使评估活动更有效地发挥促进内部过程改进的作用。3.3 顾客选择评估顾客选择评估是一种由软件产品或服务的需方委托评估机构对意向中可提供产品或服务的软件组织所进行的软件过程评估。当某组织机构需要获取某种软件(包括业务应用和工具软件等)来支持自身或关联组织的业务、管理或某项任务而这种软件又没有商业产品软件或是基于其它考虑而不采用产品软件时就需要通过定制软件来满足需求。如果该组织机构自身不具有软件开发能力,那么就会从软件组织
5、中寻求软件开发服务外包。这样从软件组织的角度来看寻求定制软件产品的该需方机构就是“顾客”。一般情况下顾客方都会按其预定的准则通过对候选软件组织的评价来选择并确定承包方。当在对重大或特殊领域的软件服务承包方进行选择决策的过程中,顾客为了能客观地了解候选承包方的软件开发和管理能力,就可以委托第三方评估机构按照行业认可的标准或准则并结合顾客的特殊需求对候选承包方的软件过程能力或成熟度进行评估,向顾客提供更为客观的评估结果,以便使顾客确定是否能建立对候选承包方的信任,并为软件开发合同的授予确立准则。这种委托第三方机构对某软件组织所进行的评估就称为顾客选择评估,其目的是通过评估来选择提供软件产品或服务的
6、组织。这种评估不同于过程改进评估的要点在于评估的发起人是顾客方,评估的经费由顾客承担,评估组的成员完全来自于被评估软件组织的外部,评估结果为顾客所有。通过评估的软件组织有可能承接顾客委托的开发软件产品或服务的合同,或是具有顾客所认可的某种资质。 4 评估机构4.1基本规定4.1. 1评估机构采用的政策和程序必须是非歧视性的,并应以非歧视的方式实施。凡符合本文件规定的申请人的申请,评估机构都不得妨碍或阻止。4. 1.2评估机构的评估服务必须向所有委托方开放,不得向委托方提出不正当的财政或其他限制条件。4. 1.3评估机构实施评估的依据为SJ/T 11234软件过程能力评估模型或SJ/T 1123
7、5软件能力成熟度模型。4. 1.4评估机构应仅在拟开展评估的范围和经授权的评估级别内开展评估活动和做出评估决定。4.2组织评估机构的组织结构应有利于保证评估活动及其结果的可信度。评估机构应做到: a) 客观、公正; b) 对所做出的评估结论(包括与评估结果的批准、升级、降级、暂停、撤销和恢复有关的决定)负责; c) 明确对以下工作全面负责的管理者(委员会、小组或个人) 1) 按照本文件规定提供评估服务, 2) 制定本机构的运作方针, 3) 审查并确定评估结论, 4) 监督本机构运作方针的实施, 5) 监督本机构财务情况, 6) 需要时,授权委员会、小组或个人代表其从事所规定的活动; d) 具有
8、证实其为法律实体的文件;e) 具有保证公正性的组织结构并形成文件,文件中应有确保评估机构运作公正性的条款,该组织结构应有利于密切相关的各方均能参与组织制定有关评估制度内容及其运作方面的方针和原则;f) 确保各项评估决定由非实施该项评估的人员做出;g)具有与其评估活动相应的权利和责任;h) 有充分的安排承担因其评估运作和(或)活动引发的责任; i)财务状况稳定,具有评估运作所需的资源;j)根据评估工作的类型、范围和工作量配备足够的人员。这些人员具备与所承担的工作相适应的必要的教育、培训、技术知识和经历,并在一位负有职责的高级主管及评估组长领导下开展工作;k) 具有对其实施评估活动的能力提供信任的
9、质量管理体系; l ) 具有区分评估机构从事的评估和其他活动的方针和程序m) 保证有关人员(包括高级主管和评估工作人员)均免受任何有可能影响评估过程结果的,来自商业、财务和其他方面的压力;n)应有正式的规则和程序,规定与评估过程有关的任何委员会和评估组的组成、指派和运作,该委员会和小组应免受任何可能影响决定的来自商业、财务和其他方面的压力;o) 保证评估机构的运作不影响评估活动的保密性、客观性和公正性; 并应:1)不从事软件产品开发、维护、营销和相应服务活动(为支持评估活动本身所需的软件开发、维护和服务除外);2)在“顾客选择评价”评估模式下,不对申请人(/被评估组织)提供咨询或方法建议,以避
10、免对评估活动的妨碍; 3)不提供可能损害其评估过程和评估决定保密性、客观性或公正性的任何其他产品或服务。p) 具有相关的方针和程序,处理和解决评估活动和相关事务方面的,来自被评估组织或其他各方提出的申诉、投诉和争议。4.3 运作评估机构应根据特定评估类型和模式的要求,采取一切必要措施和步骤,评价与相关评估标准的符合性。评估机构应明确相关评估模型标准或相关标准的一部分,以及评估方法规定的诸如抽样、检测和检查等其他要求,所有这些构成了相应评估过程活动的基础。在评估实施过程中,评估机构应遵守软件过程及能力成熟度评估指南和相关规定的有关执行评估的机构或人员适应性及能力的要求。4.4 分包当评估机构决定
11、将评估工作分包给某一外部机构或人员时,应就有关事宜,包括保密和利益冲突方面的安排签订一份适当的书面协议。评估机构应: a) 对分包的工作全面负责,并且保留其对批准、保持或撤销评估的职责; b) 确保分包的机构或个人具备能力并且满足本文件的有关要求;同时,在“顾客选择评价”评估模式下,分包方的机构和人员不应参与被评估组织的软件产品的开发、维护、营销和相应的服务活动;c) 获得申请人或委托方的同意。注:当评估机构利用与其签署协议的另一个评估机构所提供的工作结果来作出评估决定时, 应满足本条款a)和b)的要求。4.5 质量管理体系 4.5.1 对质量负有执行职责的评估机构管理者应制定质量方针、质量目
12、标和对质量的承诺并形成文件。管理者应确保该方针在组织的各层次得到理解、贯彻和保持。4.5.2 评估机构应按照本文件的有关要求,针对工作的类型、范围和工作量运作一套有效的质量管理体系。质量管理体系应形成文件,在评估机构人员使用时应能得到该文件。评估机构应确保形成文件的质量管理体系、程序和指导文件的有效实施。评估机构应指定一名能够直接与最高执行层接触的人员,不论他在其他方面的职责如何,应明确其权力,以便:a) 确保依据本文件建立、实施并保持质量管理体系;b) 向评估机构的管理者报告质量管理体系的运行情况以供评审,并作为改进质量管理体系的基础。4.5.3 质量管理体系应以质量手册和相关的质量程序的方
13、式形成文件,质量手册至少应包括或涉及如下内容:a) 质量方针的阐述;b) 评估机构法律地位的简要说明,包括所有者的名称,如果所有者和控制者不同,还要包括控制者的名称;c) 高级主管和其他内、外部评估人员的姓名、资格、经历和权限;d) 表明从高级主管到各层次的权限、职责和职能分配的组织结构图;e) 评估机构组织的描述,包括 4.2.c)中所指的管理者(委员会、小组或个人)的详细情况及其组成、权限和程序规则;f) 进行管理评审的方针和程序;g) 包括文件控制在内的管理程序;h) 与质量相关的职能部门和岗位的职责和工作内容,以便每个人的职责内容与权限能让所有相关人员了解;i)有关评估人员录用、选择、
14、培训以及考核评价的程序;j)批准的分包方名录和评定、记录与监视其能力的程序;k) 处理与相关要求的不符合项与保证所采取的纠正措施和预防措施有效性的程序;l)评估及其实施过程的程序,包括:1) 评估文件(/证书)颁发、保持和撤销的条件;2) 评估所用文件的使用和应用的控制。m) 处理申诉、投诉和争议的方针和程序;n) 以 GB/T 19011-2003 的规定为基础进行内部审核的程序。4.6 批准、保持、扩大、暂停和撤销评估结果的条件和程序4.6.1 评估机构应规定批准、保持、扩大评估结果的条件,以及部分或全部暂停或撤销评估结果的条件。4.6.2 评估机构应具有程序,以:a) 批准、保持、撤销和
15、(适用时)暂停评估结果/证书;b) 扩大或缩小评估的范围,适用时,提高或降低评估的级别;c) 当评估模型标准发生显著影响原评估结果的变更时,或已评定的评估级别需要升级时,或被评估组织的所有权、组织结构、管理者发生(相关)变更时,或有其他信息表明已评估内容可能不再符合评估要求时,应重新进行评估。4.7 内部审核和管理评审4.7.1 评估机构应有计划和系统地进行定期的内部审核,内部审核应覆盖所有程序并验证质量管理体系得到有效实施。评估机构应确保:a) 将审核结果通知被审核区域的负责人;b) 及时、有效地采取纠正措施和预防措施;c) 将审核结果形成文件。4.7.2 评估机构负有执行职责的管理者应按确
16、定的、适当的时间间隔,对质量管理体系进行评审,以确保其持续适宜和有效地满足本文件和所声明的质量方针与质量目标的要求。评审记录应予保存。4.8 文件4.8.1 评估机构应定期更新,并在有要求时提供(通过出版物、电子媒体或其他方式)以下信息:a) 评估机构运作得到授权的信息;b)评估制度的书面说明,包括批准、保持、扩大、暂停和撤销评估的规则和程序;c) 有关评估的评价程序和评估过程的信息;d) 机构获取财务支持方式的描述以及向申请人及被评估组织收取费用的基本信息;e) 有关委托人、申请人和被评估方的权利和义务的说明,包括对评估机构徽标的使用和获得评估的表明方式的要求、约束或限制;f) 有关处理投诉
17、、申诉和争议程序的信息;g) 通过评估的组织名录。4.8.2 评估机构应建立并保持程序,以控制所有与其评估职能相关的文件和资料。在初次制定、修订或更改的文件发布之前,为保证其适宜性,应经授权且具备能力的人员对这些文件进行评审和批准。应保留一份所有适用文件的清单,并明确标明各文件发布和(或)更改的状态。应对所有这些文件的分发进行控制,以确保评估机构人员和委托人/被评估方在要求其履行与评估机构活动有关的职责时,能得到适用的文件。4.9 记录4.9.1 评估机构应形成和保持记录制度,以保留和证实其当时的其实际情况,且符合现行法规要求。记录,特别是申请书、评估报告、监督活动和有关批准、保持、扩大、暂停
18、或撤销评估结果的其他文件,应能证实评估程序已经得到有效实施。记录应加以识别、管理和处置,其方式应确保过程的完整性和信息的保密性。记录应保存一段时间,至少为一个完整的评估周期内或按法规要求的时段,以便证实其持续可信。4.9.2 评估机构应具有保存记录的方针和程序,记录的保存期与合同、法律或其他义务要求相符。评估机构还应有与本文件4.10.1 条规定相一致的有关接触这些记录的方针和程序。注 4:考虑记录的保存期时,要求特别注意遵循法律规定及惯例。4.10 保密4.10.1 评估机构应具有符合适用法律要求的充分的安排,以保证组织的各级人员,包括代表评估机构工作的委员会、外部机构或个人,对在评估活动过
19、程中获得的信息保密。4.10.2 除本文件或法律要求外,评估活动过程中获得的有关特定产品或被评估方的信息,未经被评估方书面同意,不得向第三方透露。当应法律要求需要将相关信息提供给第三方时,应按照法律的允许,将提供的信息通知被评估方。4.10.3 评估机构必须规定关于在现场评估活动结束时,在现场立即销毁现场访问中收集的被评估组织的数据的要求。评估机构应建立公布被评估组织的成熟度等级的方针和程序,必须确保尊重被评估组织是否同意公布其成熟度等级的意愿。5 评估机构人员5.1 总则5.1.1 评估机构的人员应有能力履行其职责,包括做出所要求的技术判断、制定方针并付诸实施。5.1.2 评估机构人员应可获
20、得明确描述其职责的指导文件,这些指导文件应保持最新状态。5.2 资格准则5.2.1 为确保评估和评估实施的有效性和一致性,评估机构应规定人员能力的最低相关准则。5.2.2 评估机构应要求参与评估过程的人员签署一份合同或其他文件,以使其承诺:a) 遵守评估机构制定的规则,包括有关保密和独立于商业和其他利益的要求;b) 声明他们自己或其雇主以前和(或)现在与拟派他们去评估的被评估方的关系。评估机构应确保签约人及其雇主(如有)均符合本文件提出的对人员的所有要求,并用文件表明如何满足这些要求。5.2.3 评估机构应保存参与评估过程的每个人员的有关资格、培训和经历的信息。培训和经历的记录应保持最新状态。
21、特别是:a) 姓名和地址;b) 所在的组织和职位;c) 教育资历和专业状况;d) 在评估机构每一业务范围的经历和培训情况;e) 最近更新记录的日期;f) 业绩评价。5.3 评估师资格5.3.1 评估师级别 实习评估师经培训合格,但未满足评估经历要求的评估人员。实习评估师不能作为独立的评估人员。 评估师指已满足本文件规定的要求,同时能够对组织的软件过程及 能力成熟度进行评估的人员。 主任评估师指已满足本文件规定的要求,经证实有能力有效地管理一个评估组并协调涉及到整个软件过程及能力成熟度评估各方面工作的人员。 5.3.2 个人素质要求 SPCA评估师应具备下列经证实的个人素质: 有职业道德,行为严
22、谨、规范; 思路开阔,分析能力强; 善于交往,有团队合作能力; 观察敏锐,善于发现问题; 知识面广; 性格坚韧,不因困难、外界压力和干扰偏离目标和方向; 有独立工作能力,胜任工作; 有必要的组织、领导和协调能力; 有较强的口头交流和书写能力。 5.3.3 知识、技能和培训 SPCA评估师应具有以下方面的知识和技能: a) 软件生存周期过程方面 熟悉软件工程及软件生存周期模型的理论和实践; 熟悉软件过程,掌握软件开发、维护的方法和技术; 了解并参加过软件过程活动,特别是软件开发和项目管理活动。 b) 评估方面 全面掌握SJ/T11234和SJ/T11235,能正确表达和解释标准的条款及其含义;
23、全面掌握软件过程及能力成熟度评估指南; 理解评估原理,掌握评估过程方法、程序、工具和技巧,包括计算机辅助评估工具; 策划、组织和实施SPCA评估; 与被评估组织各层人员的沟通; 收集证据,归纳观察项; 在分析观察项的基础上,准确报告、确认评估发现; 根据确认的评估发现做出评估结论(评级); 撰写和提交评估报告; 评估机构应对培训进行策划,对培训教材、培训教师、培训计划、培训效果的评价作出安排,以确保评估师满足上述的知识和技能要求。 5.3.4 教育和工作经历 评估师应具有国家承认的大学本科或以上学历。 评估师应至少具有五年计算机软件开发和管理岗位全职工作经历。 可以接受的计算机软件开发和管理经
24、历,包括: a) 从事计算机软件的设计、开发、运行和维护相关的技术和管理工作; b)推广、实施和保持软件工程化/标准化; c) 作为政府主管部门或行业管理机构的代表,实施计算机软件产业/行业的监督与管理; d) 全程参与过SPCA评估和其他基于软件和软件工程标准的审核、评估、认证、认定工作; e) 全职参与软件企业基于软件过程改进的质量管理体系的建立、实施和保持,以及质量管理体系的评估。 注1: 工作经历的关键要点是评估师应具备软件工程的相关知识。 注2: 培训期的经历不能作为符合本准则要求的工作经历。 注3: 5年的计算机软件开发和管理工作经历应是评估师首次评定时前8年内获得的。 5.3.5
25、 评估经历 a)实习评估师:无评估经历要求; b)评估师:作为实习评估师在评估师的指导下全程参加了至少3次完整的SPCA评估,且现场评估时间不少于20天; c)主任评估师:已评定为评估师的人员至少有2次作为评估组长领导评估组工作。 注:评估经历应是评定时前3年内获得的。6 评估要求的变更评估机构应预先通知(由于评估依据、方法等发生变更所导致的)将变更的评估要求。在变更生效之前,评估机构应考虑各相关方的意见。在变更的要求确定并发布后,评估机构应验证每一被评估方在评估机构认为合理的时间内进行了必要的调整。7 申诉、投诉和争议7.1 应按评估机构的程序处理被评估方或其他各方向评估机构提出的申诉、投诉
26、和争议。7.2 评估机构应:a) 保存所有与评估有关的申诉、投诉、争议和补救措施的记录;b) 采取适当的后续措施;c) 将已采取的措施及其效果形成文件。8 评估申请8.1信息与程序规则8.1.1 评估机构应向申请人提供现行的适用于各种评估方案的评价和评估程序的详细说明,以及包括评估要求、申请人权利和被评估方的责任(包括申请人和被评估方应付的费用)的文件。8.1.2 评估机构应要求委托方和/或被评估组织:a) 始终遵守评估机构的有关规定。b) 书面同意为评估提供必要的资源和准备有待审查的文件,开放有关评估的项目和功能领域,以及准备参加评估的人员。c) 有关评估范围方面的书面声明,包括:1)关于评
27、估范围的要求;2) 关于是否确定过程能力或能力成熟度等级的意向;3) 关于评估活动的限制条件。在委托方要求提供顾客选择评价服务的情况下,除了要求委托方明确指出有关的限制条件外,还必须要求被评估组织明确指出有关的限制条件,并且在委托方、被评估组织和评估机构之间达成共识。d) 在使用评估结果/证书时,其方式不得损害评估机构的声誉,也不得做任何使评估机构认为可能误导或未经授权使用的声明;e) 当评估结果/证书被暂停或撤销时,停止使用包含评估内容的所有广告,并交回评估机构要求的所有评估文件。f) 使用评估结果仅表明其经评估符合特定标准范围和/或级别;g) 确保不以误导的方式使用或部分使用评估证书或报告
28、;h) 在文件、宣传册或广告等传播媒体中,对评估内容和结果的引用,要符合评估机构的要求。8.1.3 当申请评估的范围关系到评估机构运作的某一特定评估标准、类型或级别时,应向申请人做出必要的解释。8.2 申请8.2.1 评估机构应要求申请人填写一份经其充分授权的代表签署的正式申请书,申请书或其附件应包括:a) 申请评估的范围和/或级别;b) 申请人同意遵守评估要求并提供评估所需的任何信息的声明。8.2.2 申请人至少应提供以下信息:a) 法人实体、名称、地址和法律地位;b) 有关软件开发活动项目的一般信息; c) 对拟评估的产品所适用的标准或其它规范性文件的说明; d) 按照商定的评估范围所要求
29、的其他文件。9 评估准备9.1 评估前,评估机构应对评估申请进行评审并保存记录,以确保:a) 评估要求规定明确、形成文件并得到理解;b) 评估机构和申请人之间在理解上的差异得到解决;c) 对于申请的评估范围,适用时对申请人的工作场所和任何特殊要求(如申请人使用的语言等),评估机构有能力开展评估服务。9.2 评估机构应制定评估活动的计划以便进行必要的安排和管理。9.3 评估机构应指派具有适当资格的人员去执行特定的评估任务。在“顾客选择评价”情况下,如果某些人或其所在机构已经以某种方式在一定时期内参与了被评估组织的活动,可能与公正性有冲突时,则不应委派这些人员参与此项评价工作。9.4 评估机构应任
30、命一个合格的评估组及评估组长,代表评估机构对从申请人收集到的资料进行评价和实施评估。相关的技术专家可以以顾问身份参加评估机构的评估组。9.5 评估机构应提前将评估组成员的姓名通知申请人,并使其有足够的时间提出对所指派评估师和专家是否有异议。9.6 为确保实施全面和正确的评估,评估机构应向有关人员提供适用的工作文件。9.7 为确保评估工作顺利开展,评估组长应负责评估前的准备工作,包括对评估角色的指定、评估任务的分配以及评估组成员技能的提高等。9.8 评估组需事先通知评估组织内参加评估活动的人员,介绍评估过程、目的、安排等。9.9 评估组应在评估前向被评估组织索取该组长管理实施的详细数据,并对数据
31、准备情况进行初步审查和分析,以便拟定数据采集计划。10 评估10.1 评估机构应按照评估方案中所规定的准则,依据申请评估范围所对应的标准实施评估。10.2 评估组组长负责领导评估组具体实施评估。评估活动应符合“国认可联200249号文软件过程及能力成熟度评估指南”的规定。10.3 评估组应制定数据采集计划,按计划进行客观数据等数据的收集。客观证据包括来自调查工具、情况介绍、文件以及访问的客观证据。10.4 评估组应验证客观证据,对每个惯例的实施情况进行确认,并与参考模型惯例要求进行比较,找到惯例实施的差距。10.5 评估组应将调查过程产生的记录、结论等形成文件,包括客观证据的已有/缺失情况、满
32、足模型惯例要求的情况,更新的数据采集计划等。10.6 评估组应根据惯例的调查结果来确定目标的满意程度,进而产生过程方面的满意程度。10.7 评估组根据过程方面的满意程度来确定成熟度等级。10.8 评估组应将发现的差距和评定等级作为评估结果形成文件,作为向软件过程评估机构的情况报告的组成部分。11 评估报告11.1评估机构应该建立并实施适当的评估结果报告程序。该程序必须保证: a) 评估组组长向被评估组织报告评估期间发现的强项和弱项,如果委托方在申请时要求评定等级,还应报告所评定的过程能力等级和相应的软件能力成熟度等级; b) 评估组组长向评估机构提交书面评估报告; c) 评估机构向委托方提交经
33、过审查和批准的最终评估报告; 11.2 评估报告的内容a) 评估组组长和其他成员的姓名及其所在工作单位和他们在评估组里的角色; b) 被评估组织的概况,包括名称、地址、主要业务领域、规模(全员数量和软件开发人员数量); c) 评估目的,即该次评估是内部过程改进评估还是顾客选择评价; d) 所依据的标准; e) 评估中采用的方法,即内部过程改进评估方法或顾客选择评价方法; f) 评估持续时间; g) 评估期间发现的被评估组织的强项和弱项; h) 适用时,关于被评估组织的评估范围内各个软件过程的能力和/或软件能力成熟度的评估结论。12 评估决定12.1评估机构应根据评估过程中收集的和其它方面得到的
34、信息做出是否批准评估结果的决定。做决定的人员不应为参加该项评估的人员。12.2评估机构不应把批准、保持、扩大、缩小、暂停和撤销评估的权力授予外部人员或机构。12.3评估机构应为每个获得评估通过的申请人提供正式的评估文件,例如由评估机构授权人员签发的信件或证书。这些正式的评估文件应能够明确下列内容: a) 被评估组织的名称和地址b) 批准的评估范围,包括: 1) 软件过程能力等级轮廓和/或软件过程能力成熟度状态2) 评估所依据的标准和/或其它规范性文件。c) 评估完成时的日期和有效期(适用时)。12.4 对于更改已批准证书任何内容的申请,评估机构应采用适当的程序,以决定是否批准更改并予以实施。1
35、3 监督13.1 评估机构应有形成文件的程序,以便能按照相应的评估制度的适用准则对被评估组织进行监督。监督评估应包括现场评估,特殊情况下不能进行现场评估的,应有相关的文件说明。在评估证书3年有效期内,至少应进行一次监督评估,监督周期不超过18个月。13.2 评估机构应要求被评估组织,该组织如发生4.6.2.c)中列举的与其有关的任何更改,需通知评估机构。评估机构应确定是否需要对被告知的更改做进一步的调查评价(或评估)。如需调查,则在未得到评估机构的相应通知前,被评估组织不应继续使用原评估文件。13.3 评估机构应将其监督活动形成文件。14评估证书和评估标志的使用14.1 评估机构应对评估证书和
36、评估标志的所有权、使用和展示进行适当的控制。14.2 评估机构允许的评估证书和评估标志的使用指南可从ISO/IEC 导则23 中获得。14.3 对于在广告、产品目录等形式中发现的对评估的不正确的引用,或者对评估证书或评估标志的误导性使用,应采取适当的措施进行处理。注:ISO/IEC 导则27 中阐述了这些措施,可包括纠正措施、撤销证书、公布违规行为以及必要时的其他法律措施。15 对被评估组织投诉的记录与处理评估机构应要求被评估组织:a)保存其已知的、涉及其评估结果市场应用中有关的产品(服务)与相应标准要求符合性的所有投诉记录,并在评估机构要求时提供;b) 对这些投诉,以及在产品或服务中发现的影响评估要求符合性的任何缺陷,采取适当的处理措施;c) 将所采取的措施形成文件。