实施建议
    (1)iso27001认证组织应十分重视设计和(或)开发的评审。它是正规地系统地检查设计和(或)开发是否恰当地符合顾客需要和其它设计输入,识别问题并寻找出路‘
    <2)设计和(或)开发评审可在任何阶段进行。在哪些阶段要进行评审,这应在设计和(或)开发策划的输出(如设计计划等)中规定(见本节
      在整个产品设计和(或)开发过程中,要进行几次评审,应视设计(或)开发的产品而定。ISO27001对于简单的设计,如家庭房屋装饰设计,一次评审就足够了。对于复杂的设计,如设计一个发电厂,可能需要若干次评审。软件设计在设计全过程中需要多次评审。
    到底应进行多少次评审,除了设计和(或)开发策划后在设计计划或设计进度表中事先安排以外,iso27001认证组织还应考虑:
    a.设计和(或)开发过程是否有明显的阶段区分或可能存在本质性设计缺陷?
    b.如果设计和(或)开发中一旦有错误,到后续阶段,甚至检验或使用时才被发现,其后果和影响如何?
    (3?设计和(或)开发评审应与项目进度协调会议区分开来。设计和(或)开发评审应事先安排,让参与评审的部门或人员对阶段设计和(或)开发有所了解,以便他们能够发现问题和提出后续跟踪措施。
    (4)iso20000认证参与设计和(或)开发评审的人员应包括从事其后产品制造和提供服务的关键人员,珠海市CMMI认证评估机构甚至还应包括诸如顾客、供方代表参与。当设计
和(或)开发的阶段性结果涉及法律和法规时,还应请有关管理部门参与。
    (5)设计和(或)开发评审的内容因产品属性不同,设计和(或)开发的阶段不同而异。
    (6)设计和(或)开发评审的方法也不能干篇一律,有参与评审的人员评价设计和(或)开发文件和召开正式会议评审两类。对复杂设计(或)开发而言,召开正规会议评审是合适的,会议记录将构成评审记
录。对一项简单设计,可能不需要会议,评审记录就表现在评审者在他所评审的文件上记载意见、签名、日期。
    (7)设计和(或)开发评审和其后叙述的设计和(或)开发验证、确认是有区别的。iso27001认证它们之间有关联,甚至有重叠,有很多实例能说明这一点。例如某硬件产品的原型机试验和对试验结果的评价就与三者均有很大关系。