QMS-成文信息的控制
前言
标准《质量管理体系-要求 GB/T 19001-2016/ISO9001:2015》条款7.5.3 成文信息的控制的内容为“7.5.3.1 应控制质量管理体系和本标准所要求的成文信息,以确保:a) 在需要的场合和时机,均可获得并适用;b)予以妥善保护(如防止泄密、不当使用或缺失)。7.5.3.2为控制成文信息,适用时,组织应进行下列活动:a)分发、访问、检索和使用;b) 存储和防护,包括保持可读性;c)更改控制(如版本控制);d)保留和处置。对于组织确定的策划和运行质量管理体系所必需的来自外部的成文信息,组织应进行适当识别,并予以控制。对所保留的、作为符合性证据的成文信息应予以保护,防止非预期的更改”。
应控制质量管理体系和本标准所要求的成文信息,以确保:a) 在需要的场合和时机,均可获得并适用;b)予以妥善保护(如防止泄密、不当使用或缺失)。本条旨在确保当需要时能以适当的载体获得成文信息,并妥善保护这些信息。首先,在确定质量管理体系需要什么成文信息后,组织应确保所有相关领域、部门、过程的负责人等都能获得这些信息,并且适用。即组织确定成文信息后要确定某些成文信息使用场合和时机并且保证在需要时即可获得,也就是前面所说的文件编写、审核、批准和分发过程。其次,组织应确保所有相关领域、部门、过程的负责人获得成文信息后,予以妥善保护。组织应确保对成文信息与沟通所采取的必要控制作为体系的一部分,并确保成文信息免于丢失、不当使用或非预期更改。对成文信息的控制可采用多种方式,包括只读访问和规定不同级别访问权限的电子系统、密码保护或身份识别(ID)准入。控制的级别根据获得成文信息时的场合而不同,如应加强对外部各方的访问限制。信息安全问题和数据备份也应纳入考虑范畴。
为控制成文信息,适用时,组织应进行下列活动:a)分发、访问、检索和使用;b) 存储和防护,包括保持可读性;c)更改控制(如版本控制);d)保留和处置。本条旨在确保组织能够对成文信息的分发、访问、检索和使用、存储和防护、更改控制、保留和处置进行控制。当组织认为来自外部的成文信息是质量管理体系策划和运行所必需时,则这些控制同样适用。成文信息可通过不同的方法进行分发。在建立了成文信息的分发和获取的控制体系之后,组织应考虑如何在要求的期间内存储、防护和处置这些信息。成文信息可随着组织的过程和质量管理体系的改进而进行更改和开发。需要时,组织还需考虑如何保持、存储和检索以往的成文信息,以便成文信息的后续使用。为了确保仅使用现行有效的成文信息,组织在确定对现行有效的和作废的成文信息的识别方法以及建立控制措施时,应考虑对版本的控制。以往的成文信息的存储可能很重要。组织应以适当的载体保持以往的成文信息,以确保其得到妥善保护并清晰可读。例如,为了调查对多年前生产的产品提出的投诉时可能需要以往的生产数据,或为了组织知识管理的目的。成文信息的保留时间可能是法律法规要求、合同要求,或由组织确定(根据产品寿命和服务期限而定)。对于以往的和不再需要的成文信息的处置,组织应考虑处置过程中对敏感数据(如个人或保密信息)的控制。
对于组织确定的策划和运行质量管理体系所必需的来自外部的成文信息,组织应进行适当识别,并予以控制。若组织认为来自外部的成文信息是策划和运行质量管理体系所必需时,则与其他成文信息一样,也应进行适当的识别和控制。这些成文信息可包括来自顾客或外部供方的图纸、特定的测试方法、抽样计划、标准或校准报告等。组织应特别注意对敏感数据的控制。
对所保留的、作为符合性证据的成文信息应予以保护,防止非预期的更改。当成文信息作为符合性证据予以保留时,则应保护这些信息免受非预期的更改。适当时,组织应仅允许按照受控的方式获取这些信息,如授权给代表组织工作的相关人员,或“只读”等受限电子方式。