方案/方法

该标准的结构如下。

第一部分：范围。

第二部分：引用标准。

第三部分：术语和定义。

第四部分：质量管理体系。

第五部分：管理职责。

第六部分：资源管理。

第七部分：产品实现。

第八部分：测量、分析和改进。

为了认证目的，一个组织必须拥有一个记录在案的管理体系，该体系能接受输入并将其转化为预期的输出。该体系(以一种有效的方式)：

对要做的事情做出表述。

做那些根据表述应该做到的事情。

对任何做过的事情做一个记录(尤其在当事情出错的时候)。

实现这些预期输出的基本过程将包括：

顾客要求。

管理层和员工的输入。

对任何生产成品所需活动的有记录的控制。

交付满足顾客原始要求的产品或者服务。

认识到不可能取得ISO 9000的认证是很重要的。虽然认证经常被称为是ISO 9000:2000认证，一个组织的质量管理能够获得认证的实际标准其实是ISO 9001:2000。一个组织要想获得该标准的注册，需要经过一家外部认证机构和内部员工的审核。这样做的目的是要显示出一个持续的审议和评价的过程已经完成，体系能够像预期的那样运转，识别出了要改进的地方并且改正了所有问题。获得认证与获得注册之间并无差别。在有些国家，组织声称自己获得了认证，而在另一些国家，组织则声称他们获得了注册。一个ISO证书必须要在认证机构所建议的固定时间段(一般是3年)后进行重新审验。

一个组织要想获得ISO 9000认证或注册，必须由一个独立的注册机构去审核组织的质量管理体系，认定它满足了ISO 9001:2000的要求，并以书面材料保证组织满足了ISO的质量管理体系标准并且已经被注册为获得认证。另一方面，对于一个要想符合ISO 9000的组织而言，虽然它必须满足ISO的质量体系要求，但它没必要经过一个独立注册机构的正式认证(就是说，它可以自己认证符合了标准)。尽管许多组织，特别是较小的组织，认为符合标准完全可以接受，但一个由独立注册机构签发的正式证书在市场上的价值却有攀升之势。

ISO自己并不为组织提供认证。在很多国家，诸如UKAS(英国鉴定服务署)这样的鉴定机构对审核员进行审核并认定某些注册机构具有在特定企业门类颁发证书的能力和权力。各国鉴定机构之间签有协议，以保证他们中任何一家机构签发的证书都能在世界范围内被接受。鉴定机构和认证机构都要对他们的服务收取费用。

在2000版的标准下，ISO期望审核员不仅要对“符合”做出审核，而且还要重点审核风险、状态和重要性。他们要判断哪些是有效的，而并不会去关注哪些已经被正式规定了下来。这就要回答下面的问题：“这个过程能否帮助你实现你所声明的目标？它是否是一个好的过程，是否还存在更好的过程/能不能把事情做得更好？”

3.5 与IT管理的关联

ISO 9000:2000与所有的组织、产品和服务都有关系。因此，它并非同IT管理有特殊的关联。但是，如果系统的质量有问题，那么就常常会需要返工。这会导致生产率的损失以及资源的浪费。引入一个质量管理体系可以减少这种情况。以客户服务以及持续改进为中心可以确保组织不会被视为怠慢顾客或者在夸大宣传自己的产品。通过提供支持和培训以及纠正系统内部的错误，客户服务也能得到提升。

ISO有一套帮助软件部门实施ISO 9001:2000的指导方针(ISO/IEC 90003:2004软件工程，将ISO 9001:2000用于计算机软件的指导方针)。这套指导方针为在计算机软件和相关支持服务的采购、供应、开发、运营以及维护方面应用ISO 9001:2000的组织提供支持。ISO/IEC 90003:2004并未改变ISO 9001:2000的要求，它的指导方针也并非是要作为注册/认证的评价标准来使用。

ISO/IEC 90003:2004适用于下列情形下的软件：

作为与另一个组织签订的商业合同的组成部分。

作为用于一个特定市场分支的产品。

作为用于支持一个组织的流程的一个产品。

作为配套于一种硬件产品或者与软件服务相关的一个产品。

有些组织可能会参与以上所有活动，另外一些则可能专门从事某一种活动。不论是哪种情况，组织的质量管理体系都应该涵盖业务的所有方面(与软件相关的以及与软件无关的)。不论组织采用什么样的技术、生命周期模型、开发过程、活动顺序以及组织结构，ISO/IEC 90003:2004都能识别出应该要解决的问题。