ISO 9000族标准质量管理体系内审员实用教程(第四版)
上QQ阅读APP看书,第一时间看更新

第五节 支持

GB/T 19001—2016质量管理体系 要求

7.1 资源

7.1.1 总则

组织应确定并提供所需的资源,以建立、实施、保持和持续改进质量管理体系。

组织应考虑:

a)现有内部资源的能力和局限;

b)需要从外部供方获得的资源。

【理解要点】

(1)资源是组织实施质量管理活动的保障,确定并提供资源是质量管理体系实现增值、实现预期结果的必要条件。ISO 9001标准将人员(7.1.2)、基础设施(7.1.3)、过程运行环境(7.1.4)、监视和测量资源(7.1.5)、组织的知识(7.1.6)等作为建立、实施、保持和持续改进质量管理体系的基本保障而对其规定了相应的要求。

(2)在建立质量管理体系时,需要配备恰当的资源,如开展组织的环境分析、相关方调查、体系策划等;在质量管理体系实施过程中,为确保各过程的正常运作,需要投入人力、物力等资源;为了增强顾客满意,更需要不断地补充、增加资源投入。

(3)在确定所需资源时,组织应考虑目前能力,例如现有材料、人力资源及其能力等。组织在评审自己目前所具有的能力时,应考虑各种现有制约,识别出组织内部现有资源中不能满足顾客需求和适用的法律、法规要求的环节及需进一步匹配的外部资源,通常可通过水平对比获得。

(4)组织应根据确定的资源需求制订资源配置计划并按照计划提供所需的资源,这适用于条款7.1的所有子条款的要求。外部提供的过程、产品和服务的控制在条款8.4中作了规定。

GB/T 19001—2016质量管理体系 要求

7.1.2 人员

组织应确定并配备所需的人员,以有效实施质量管理体系,并运行和控制其过程。

【理解要点】

(1)人员是组织内必要的资源。组织的绩效取决于体系内人员的工作表现。

(2)组织应确定有效实施质量管理体系和运作并控制其过程所需的人数。关键词是“确定”和“配备”。应考虑在质量管理体系中履行职能和作用(例如审核、检查、测试、投诉调查)的相关人员的经验、当前工作负荷和能力。

(3)组织应根据实现产品和服务符合性的复杂程度和规模,通过对组织结构进行必要的岗位分析,在需要时,形成岗位结构表。进而,组织需对各岗位实现过程预期输出的需要,识别和确定每个不同岗位所需的人员。

(4)为了实现目标,组织可决定聘请额外人员或承包服务给外部供方。如果是这样,组织应该考虑以下因素,例如,是否需要任何额外的培训、签订服务水平协议,或审核服务供方,以确保实现必要的绩效。

GB/T 19001—2016质量管理体系 要求

7.1.3 基础设施

组织应确定、提供并维护所需的基础设施,以运行过程并获得合格产品和服务。

注:基础设施可包括:

a)建筑物和相关设施;

b)设备,包括硬件和软件;

c)运输资源;

d)信息和通讯技术。

【理解要点】

(1)在ISO 9000标准中关于“基础设施”的定义是:组织运行所必需的设施、设备和服务的系统。基础设施可对实现产品和服务的一致性产生关键作用。组织需要确定其过程运作和实现其目标的必要基础设施。然后组织应策划,以便提供和维护必要的基础设施。

(2)本条款要求的基础设施界定的管理范围是“获得合格产品和服务”。“确定”基础设施要根据过程目标、过程的实际要求来进行,以保证其能力满足要求;“提供”包括基础设施的购置、配备,要确保必要的投入,使质量管理活动得以正常运行;“维护”则是通过一系列的维护和保养管理制度,保持其过程能力。维护设备时准备足够的替换件或配件是必要的。

(3)不同的组织因其质量管理体系过程与产品和服务的特点不同,所需的基础设施也不尽相同。根据组织的特点,在适用时,基础设施可以包括:

①建筑物(如宾馆开展客房和餐饮服务所需的建筑物)、工作场所(如办公室、车间厂房等)和相关的设施(如水、电、汽供应、通风照明、空调系统等);

②设备,包括硬件和软件,如机械加工设备、数控机床及其所带软件、工装、各种工具和辅具;

③运输资源,如大型超市的接送顾客的班车、上门维修服务用车辆、工厂内的运输车辆、搬运工具;

④信息和通信技术,如通信技术及设施、办公信息系统、ERP(企业资源计划)系统等。“信息和通信技术”对于质量管理的影响越来越大,信息化管理成为越来越多的组织提升管理的重要途径。

(4)在确定必要的基础设施时,组织应该考虑需要哪些设施、设备、计算机软件、服务和/或运输,以提供合格产品和服务。基础设施的需求可依据顾客和法律、法规的要求以及组织知识。

(5)在确定基础设施需求时,组织可进行差距分析,以检查当前的基础设施,并确定新的需求和需要采取的行动。例如,通过制订设备和维护计划,策划更换现有的基础设施,定期检测信息和通信系统,或定期检查设备和基础设施。

GB/T 19001—2016质量管理体系 要求

7.1.4 过程运行环境

组织应确定、提供并维护所需的环境,以运行过程,并获得合格产品和服务。

注:适宜的过程运行环境可能是人为因素与物理因素的结合,例如:

a)社会因素(如非歧视、安定、非对抗);

b)心理因素(如减压、预防过度疲劳、稳定情绪);

c)物理因素(如温度、热量、湿度、照明、空气流通、卫生、噪声)。

由于所提供的产品和服务不同,这些因素可能存在显著差异。

【理解要点】

(1)过程运行环境是指过程运作所需要的、对产品和服务质量具有影响的特定条件,这些条件可能是人为因素(社会因素、心理因素)与物理因素的结合。

(2)过程运行环境对产品和服务质量的影响有两种情况:一种情况是产品和服务处于某些特定的运行条件之中,产品和服务质量的符合性将直接受到这些运行环境因素(如物理因素)的影响;另一种情况是从事产品和服务质量符合性工作的人员在工作活动中处于某些特定的运行条件之中,工作质量受到这些运行环境(如社会因素、心理因素)的影响,从而间接地对产品和服务质量的符合性产生影响。

(3)为了获得合格的产品和服务,组织应根据其产品和服务质量特点,来确定过程运行所需的环境。由于不同组织的过程、产品和服务特点不尽相同,其所需的运行条件也不尽相同。即使是在同一组织中,其不同的过程形成的产品和服务,对运行环境的要求也是不尽相同的。例如:服务行业通常对于人身体舒适和健康所必需的环境有明确要求,如温度、照明、空气质量、噪声、振动、卫生及区域布置等;在微电子行业工作环境中的最主要要求是超净的空气环境;生产精密仪器的场所要求恒温和防震;而食品生产现场更是对运行环境有卫生、空气洁净方面的要求。

(4)组织在确定过程运行环境要求的基础上,应确保其运行环境能够得到保持。因此,组织应采取适宜的方法对过程运行环境进行有效的管理,避免因运行环境不符合要求而影响产品质量和服务质量。例如,食品加工车间的人员应按要求穿戴工作服(帽),按规定的要求对设备设施及空气环境进行消毒或净化等。

GB/T 19001—2016质量管理体系 要求

7.1.5 监视和测量资源

7.1.5.1 总则

当利用监视或测量来验证产品和服务符合要求时,组织应确定并提供所需的资源,以确保结果有效和可靠。

组织应确保所提供的资源:

a)适合所开展的监视和测量活动的特定类型;

b)得到维护,以确保持续适合其用途。

组织应保留适当的成文信息,作为监视和测量资源适合其用途的证据。

【理解要点】

(1)“监视”是指确定体系、过程、产品、服务或活动的状态。确定状态可能需要检查、监督或密切观察。“测量”是指确定数值的过程。测量是通过使用适当的测量资源确定数量、大小或尺寸、性能、可靠性等质量特性。组织在运作过程中出于各种目的存在着大量的监视和测量活动,在这些监视和测量活动中,有一些对验证产品和服务的符合性是必不可少的,如产品检验、原材料的化验分析、特殊过程的工艺参数监视等。组织应识别此类监视和测量活动。

(2)在实施上述监视和测量活动时,会使用到相应的监视和测量资源。监视和测量所需的资源可能因组织提供的产品和服务类型以及建立的质量管理体系过程而异。在某些情况下,简单的检查或监视就足以确定质量状态,这时需要的监视和测量资源可能是某个有经验的专家,例如餐厅的主厨、提供保健服务的医学专业人士;而在另外一些情况下,可能需要进行复杂的测量活动,此时所需的监视和测量资源包括检测设备、仪器仪表、测控装置用软件、标准物质等。组织应根据需要策划、确定所需的监视和测量资源类型。

(3)组织应提供确保结果有效和可靠所需的监视和测量资源,并适合特定类型的监视和测量活动。监视和测量活动的不同,其要求也存在差别,如测量设备量程和精度要求、辅助物质的纯度要求、试验温湿度要求、人员的特殊能力要求等。

(4)组织应确保监视和测量资源得到适当的维护,以确保其持续适用其用途。根据资源类型的不同,方法也存在差异,如对设备的定期检定校准、对标准物质的有效期管理、对人员的培训等。

(5)组织应保留作为监视和测量资源适合其用途的证据的成文信息。在需要时,组织可保持一份监视和测量资源清单或台账,包括规格型号、精确度、应用范围或对象等。

GB/T 19001—2016质量管理体系 要求

7.1.5.2 测量溯源

当要求测量溯源时,或组织认为测量溯源是信任测量结果有效的基础时,测量设备应:

a)对照能溯源到国际或国家标准的测量标准,按照规定的时间间隔或在使用前进行校准和(或)检定,当不存在上述标准时,应保留作为校准或验证依据的成文信息;

b)予以识别,以确定其状态;

c)予以保护,防止由于调整、损坏或衰减所导致的校准状态和随后的测量结果失效。

当发现测量设备不符合预期用途时,组织应确定以往测量结果的有效性是否受到不利影响,必要时应采取适当的措施。

【理解要点】

(1)测量溯源是指通过一条具有规定不确定度的不间断的比较链,使测量结果或测量标准的值能够与规定的参考标准(通常是国家计量基准或国际计量基准)联系起来的特性。实现测量溯源是信任测量结果有效的前提。

(2)对测量设备的溯源性要求可以来自多个方面,如法律法规的要求,顾客或相关方的要求,组织自己的要求等。

(3)如果测量设备用于验证是否符合要求,并确保测量结果的有效性,组织应考虑如何验证和/或校准、控制、储存、使用测量设备和保持其准确性。

①按照规定时间间隔或在使用前进行校准和检定,校准和检定的标准应能溯源到国际或国家标准。

校准是组织为确保量值准确的活动,可以由自己,也可以委托外部组织完成,是确定测量示值与被测量的已知值之间关系的技术操作;检定是法定行为,由计量部门或其授权组织依法规要求进行,是确定或证实测量设备完全满足检定规程要求的执法活动。

无论是校准还是检定,量值都应能溯源到国际标准或国家标准进行。当不存在上述标准时,组织可以自行校准,但应制定自校规程和校准标准,对自我实施的校准过程要保留相关记录。

②对测量设备采用适当的方式进行标识,确定其状态,防止误用未经过校准或验证的测量设备。校准状态有合格(在校准有效期内)、不合格(未校准或超期),还可以有停用、封存等状态。标识的方法可以是检定证书、校准标签、测量设备台账或校准记录的信息、各种颜色的标志等。

③为了确保测量设备持续符合要求,在存放、搬运、使用等阶段采取适当的措施,予以保护,防止由于调整、损坏或衰减所导致的校准状态和随后的测量结果失效。控制措施可以是由经培训、有资格的人员操作,严格按规范实施,采取铅封等防错措施等。

(4)测量设备出现不符合预期用途时要及时采取适当措施,如维修、保养、调整、校准等,以消除设备的不合格。同时需对该设备以往已经完成的测量结果的有效性进行评定或评估,如果发现无效,则要对有影响的产品和服务采取相应措施挽回,避免和减少给顾客带来的损失。

GB/T 19001—2016质量管理体系 要求

7.1.6 组织的知识

组织应确定必要的知识,以运行过程,并获得合格产品和服务。

这些知识应予以保持,并能在所需的范围内得到。

为应对不断变化的需求和发展趋势,组织应审视现有的知识,确定如何获取或接触更多必要的知识和知识更新。

注1:组织的知识是组织特有的知识,通常从其经验中获得。是为实现组织目标所使用和共享的信息。

注2:组织的知识可以基于:

a)内部来源(如知识产权、从经历获得的知识、从失败和成功项目吸取的经验教训、获取和分享未成文的知识和经验,以及过程、产品和服务的改进结果);

b)外部来源(如标准、学术交流、专业会议、从顾客或外部供方收集的知识)。

【理解要点】

(1)组织的知识是指组织通过学习、实践或探索所获得的认知、判断或技能(GB/T 23703.1—2009《知识管理 第1部分:框架》),知识正逐渐成为当今组织取得竞争优势的关键因素。

(2)知识管理是在获取、吸收、传播和应用知识方面支持组织的一组过程,目的是“在正确的时间、正确的地段,具有正确的知识”。组织应及时识别、确定和维护过程运行和实现产品和服务的符合性所需的各类知识,可能包括产品知识、生产技术、检验、设备等诸多方面,是组织特定的知识。

(3)人员及其经验是组织知识的基础。这些经验和知识的获取及分享可产生整合效应,从而创造出新的或更新的组织知识。知识只有在组织应用时才能增加价值。组织应避免由于员工流失、未能及时获取和共享知识造成组织丧失其知识。

(4)组织的知识可以基于内部来源和外部来源,在确定和维护组织知识时,组织宜考虑:

①从失败、临近失败的情况和成功中汲取经验教训;

②获取组织内部人员的知识和经验;

③从顾客、供应商和合作伙伴方面收集知识;

④获取组织内部存在的知识,隐性的(高度个性化而且难于格式化的知识,如主观的理解、直觉和预感)和显性的(能用文字和数字表达出来,容易以数据的形式交流和共享的知识,如程序或者文件);

⑤与竞争对手比较;

⑥与相关方分享组织知识,以确保组织的可持续性;

⑦根据改进的结果更新必要的组织知识。

(5)对知识的管理是动态的,为应对不断变化的需求和发展趋势,组织要考虑内外部环境的变化,及时地更新知识及其管理方法。知识的增长可能会带来创新,使质量管理体系的绩效达到更高水平。

GB/T 19001—2016质量管理体系 要求

7.2 能力

组织应:

a)确定在其控制下工作的人员所需具备的能力,这些人员从事的工作影响质量管理体系绩效和有效性;

b)基于适当的教育、培训或经验,确保这些人员是胜任的;

c)适用时,采取措施获得所需的能力,并评价措施的有效性;

d)保留适当的成文信息,作为人员能力的证据。

注:适当措施可包括对在职人员进行培训、辅导或重新分配工作,或者聘用、外包胜任的人员。

【理解要点】

(1)能力是指人员应用知识和技能实现预期结果的本领。从“能力”的定义可见,人员能力包括两个方面:一是具有知识和技能;二是能将这些知识和技能应用到工作活动中并能解决实际问题。经证实的能力有时是指资格。特定的工作(如内审、焊接、无损检测等)可能需要特定的能力,也可能需要某种资质或资格。

(2)组织应根据其质量管理体系工作活动的特点和各岗位的要求、职责、权限和作用,确定在其控制下从事的工作影响质量管理体系绩效和有效性的人员所具备的能力要求,这些要求可以是口头的,也可以是形成文件的,如《岗位能力要求说明书》《职务说明》《任职条件》等。组织控制范围内的人员可能是组织内部的人员,也可能是来自组织外部的人员。

(3)确定能力要求可以多种方式进行,包括:特定的服务水平协议,明确说明绩效准则和能力要求,知晓规定的要求和所需的接受准则,知晓非期望输出和缺陷以及组织运行的过程和控制措施的知识等。确定人员的能力要求时,并不一定是越高越好,而是与实际需要相适应为宜。例如,从事产品和工艺技术研发的人员需具备一定的教育背景和专业知识背景;从事生产活动的操作人员需具备专门的技术和技能;从事电工作业等国家规定的特种作业人员需具备相应的资格要求,等等。

(4)组织可以依据确定的人员所具备的能力要求,对现有人员目前的能力状况进行比较和评估,通过比较和评估来衡量现有人员是否已经达到了相应的能力要求,进行能力差距分析,从而识别培训或其他措施需求。在人力资源管理中,培训是获得必要能力的一个很好的选择,但并不是唯一的方法,其他的措施可以是招聘、任免、调岗、轮岗等各种人力资源管理活动。

(5)组织在实施培训或采取其他措施后,应对培训和采取措施的有效性进行评价,以确定培训及所采取的措施是否能够使人员达到其工作能力的要求。评价的方式可以多种多样,例如,培训后的考试、面试,对人员的实际工作状况进行考评,对人员的实际操作进行评估,等等。

(6)组织应保存适当的记录,以证实人员在其所需的教育、培训或经验等方面的能力。需要说明的是,由于对不同岗位的人员所需具备的能力要求不同,因此,所保存的记录只需能够证明人员满足其岗位能力要求即可,而不一定都涉及教育、培训或经历这几个方面。例如,某工作岗位能力的要求只涉及培训和技能方面的要求,则证明从事该岗位人员能力只需要这两个方面的记录。

GB/T 19001—2016质量管理体系 要求

7.3 意识

组织应确保在其控制下工作的人员知晓:

a)质量方针;

b)相关的质量目标;

c)他们对质量管理体系有效性的贡献,包括改进绩效的益处;

d)不符合质量管理体系要求的后果。

【理解要点】

(1)意识是指员工通过接受来自外部信息刺激而形成的一种具有自觉性的思维,这种思维可以驱动员工自觉地认识和实现质量要求。

(2)组织应确保在其控制下工作的人员知晓:

①质量方针;

②相关的质量目标;

③他们对质量管理体系有效性的贡献,包括改进绩效的益处;

④不符合质量管理体系要求的后果,包括不符合过程运行准则的后果。

在组织控制下工作的人员可以包括现有员工、临时员工和外部供方(例如承包商、外包服务供方)。

(3)增强质量方针和相关质量目标的意识并不意味着背诵、记住,而是员工必须明白方针的内涵及其所代表的企业的追求,统一质量价值观;同时了解相关的质量目标及其与组织整体目标的关系,明确自己的工作要求和努力方向。

(4)组织可通过构建质量文化和形成质量价值观,采取多种方式对员工进行质量意识培育,使员工认识到自己从事的工作活动与质量管理体系的关系和在质量管理体系中的重要性,增强人员的责任感和工作自觉性,从而使人员能够各尽其职、各尽其能、相互协作,为改善质量管理体系有效性做出成绩和贡献,包括改进质量绩效来给组织和个人带来益处。

(5)组织应促进所有员工基于风险的思维,使每一位员工都清楚偏离与各自岗位质量活动有关的质量管理体系要求的后果。

GB/T 19001—2016质量管理体系 要求

7.4 沟通

组织应确定与质量管理体系相关的内部和外部沟通,包括:

a)沟通什么;

b)何时沟通;

c)与谁沟通;

d)如何沟通;

e)谁来沟通。

【理解要点】

(1)沟通就是信息的交换、传递,是质量管理体系有效运行的重要因素。质量管理体系在建立和运行中有许多信息需要沟通,以便在组织内统一要求,加强理解,取得共识,行动更加协调。

(2)组织应确定与质量管理相关的内部和外部沟通的需求,包括:

①沟通什么,明确需要沟通的具体事项和内容;

②何时沟通,规定在何时沟通最为合适;

③与谁沟通,明确沟通的范围和沟通的对象;

④如何沟通,明确沟通的途径和方式;

⑤谁来沟通,针对不同的事项,确定沟通的具体担当者或职责。

(3)有效的内部沟通过程对组织的质量管理体系非常重要。相反,在质量管理体系中出现的很多问题,其原因都是沟通不畅。组织应建立内部各级人员良好的沟通机制。内部沟通的方法可以是多种多样的,应与沟通对象的文化水平和其他技能相适应。如通过文件、记录、简报、通知、公告、内部刊物(通讯)、电子邮件、局域网和网站传递信息,也可以通过在工作区域由管理者主导的沟通、会议、对话活动等沟通情况。沟通的形式应能确保信息沟通交流的可行和有效,以确保所有的信息清楚和容易理解,并传给需要该信息的人。

(4)内部沟通的内容,重点是质量管理体系的有效性,应将策划的质量管理活动的实施情况和结果情况及时告知相关人员,如质量监视和测量活动的情况,内审、管理评审的结果等。其目的最终也正是为了确保质量管理体系的有效性。

(5)在质量管理体系运行过程中,组织还需要开展大量的外部沟通,组织同样也应对这些外部沟通过程进行管理。在一般情况下,组织存在的外部沟通有与顾客的沟通(如合同、订单、问询等),与供应商的沟通(如采购合同、订单等),与其他相关方(如政府监管部门)的沟通等。外部相关方可能需要更正式的沟通,如报告、规范、发票或服务水平协议。

GB/T 19001—2016质量管理体系 要求

7.5 成文信息

7.5.1 总则

组织的质量管理体系应包括:

a)本标准要求的成文信息;

b)组织所确定的、为确保质量管理体系有效性所需的成文信息;

注:对于不同组织,质量管理体系成文信息的多少与详略程度可以不同,取决于:

——组织的规模,以及活动、过程、产品和服务的类型;

——过程及其相互作用的复杂程度;

——人员的能力。

【理解要点】

(1)成文信息是指组织需要控制和保持的信息及其载体,可以任何格式和载体存在,并可来自任何来源,可能来自组织内部,也可能来自组织外部,包括来自相关方的。

(2)成文信息主要有两类:一类是质量管理体系运行的依据,可以起到沟通意图、统一行动的作用,也就是通常所说的文件,在本标准中表述要求为“保持成文信息”。另一类成文信息,可以为质量管理体系运行及其结果提供证据,并为管理决策提供必要的输入,也就是通常所说的记录,在本标准中表述要求为“保留成文信息”。

(3)不同的组织因其运作特点、复杂程度、企业规模以及人员能力等存在较大的差别,其质量管理体系成文信息的多少与详略程度可能会存在较大的差别。各组织应根据自己的实际情况,策划有关的成文信息的要求。应为每个员工提供其正确工作所需的信息,但应避免过于详细的文件对活动进行过度控制。

(4)根据本标准的要求,组织的质量管理体系运行所需的成文信息包括两个部分:

①在本标准中明确提到的需要保持/保留的“成文信息”,见表3-2。

表3-2 ISO 9001:2015标准中要求保持或保留“成文信息”的要求

②组织为过程运行沟通信息的目的而保持的成文信息,可根据自身管理的需要进行策划。尽管本标准并不特别要求任何文件,可为QMS增加价值的文件的实例可包括:组织结构图、过程流程图和/或过程描述、程序、管理制度、工艺文件、作业指导书、图纸、操作规程、记录表格等。

GB/T 19001—2016质量管理体系 要求

7.5.2 创建和更新

在创建和更新成文信息时,组织应确保适当的:

a)标识和说明(如标题、日期、作者、索引编号);

b)形式(如语言、软件版本、图表)和载体(如纸质的、电子的);

c)评审和批准,以保持适宜性和充分性。

【理解要点】

(1)组织在创建和更新成文信息时,应对其进行适当的标识和说明,便于识别、检索,防止误用。各种不同类型的组织可以根据其习惯以及成文信息的形式,选择采用不同的方式进行标识和说明,如标题、版本号、修订状态、日期、作者,以及索引编号等;

(2)成文信息可以采用不同的形式(如文字、图片、实物、音频、视频等)、不同类型的媒介(如纸张、光盘等)。组织应根据不同的使用对象、场所、时间等予以考虑。

(3)在创建和更新成文信息时,组织应在发布前对其进行评审和批准,确保其适宜、充分、并且协调一致。组织应根据成文信息的内容、涉及的职能以及接口关系,明确所需的参与人员及其职责。在通常情况下,不同层次、不同内容或重要性不同的成文信息会由不同的人员进行批准。

GB/T 19001—2016质量管理体系 要求

7.5.3 成文信息的控制

7.5.3.1 应控制质量管理体系和本标准所要求的成文信息,以确保:

a)在需要的场合和时机,均可获得并适用;

b)予以妥善保护(如防止泄密、不当使用或缺失)。

7.5.3.2 为控制成文信息,适用时,组织应进行下列活动:

a)分发、访问、检索和使用;

b)存储和防护,包括保持可读性;

c)更改控制(如版本控制);

d)保留和处置。

对于组织确定的策划和运行质量管理体系所必需的来自外部的成文信息,组织应进行适当识别,并予以控制。

对所保留的作为符合性证据的成文信息应予以保护,防止非预期的更改。

注:对成文信息的“访问”可能意味着仅允许查阅,或者意味着允许查阅并授权修改。

【理解要点】

(1)本条款首先强调成文信息控制的目的,包括:

①确保成文信息可获得性,使需要的岗位能够得到适用的信息,防止不能得到或使用作废信息,以支持过程的运行。

在决定质量管理体系需要哪些成文信息后,组织应确保这些成文信息可为所有相关区域、部门、过程所有者所获取。当产品和服务由外部提供时,组织应考虑将相关成文信息以适合于使用的形式提供给外部相关方,例如外部服务提供商的书面服务水平协议。

②对有关的信息予以保护,防止泄密、篡改、不当使用、破坏、丢失等。

组织应确保必要的控制落实到位,控制措施可包括电子系统只读访问、规定不同级别的访问权限、密码保护和ID登录等。控制级别可因访问人员和地点而异,例如外部组织与内部部门相比,可能需要更多的访问限制和非预期的修改限制。信息安全问题和数据备份也应加以考虑。

(2)为达成上述的目的,组织应考虑以下管理:

①分发、访问、检索和使用:组织可以采取不同的方式使得使用者能获取并使用成文信息,通常可能的方式有成文信息的实物形式发放(纸质文件、光盘等)或网上电子形式发放(如音频视频的播放、网上发布文件等)。采用电子形式的网络发放成文信息,可以通过权限设置等让使用者获得或查询有关的信息。组织在确定采取何种形式时,应考虑到法规的要求以及有关的保密要求。对成文信息的“访问”可能意味着仅允许查阅,或者意味着允许查阅并授权修改。

②存储和防护:为防止丢失、受损、泄密,应将成文信息以适当的方式予以保存,如数据的远程备份、档案的保管等。在确定其存储形式、存储时间时,组织应考虑到法律法规的规定要求、顾客的要求、产品和服务的责任期限等。还需要考虑历史成文信息如何保存、存储并根据需要检索以供后续使用,例如对生产后多年的投诉调查可能需要历史的生产数据。

③更改控制:文件的更改和修订情况决定了文件的有效和无效状态,应有适宜可行的方法识别这些状态。通常的方法有编制并发布表明文件名称、编号及现行修订状态的控制清单;在文件上做出状态标识,如版本号(A、B、C……)、修订号(0、1、2……)等。

④保留和处置:对作废的成文信息,有一些已没有任何的价值,需要进行诸如销毁、数据删除等处置,组织应该明确有关的管理要求;部分信息出于参考、总结的目的需保留,此时应以适当的方式予以区分。

(3)对于组织确定的策划和运行质量管理体系所必需的来自外部的成文信息,组织应适当识别并与其他成文信息一起进行控制。可以包括与产品有关的国家、地方的法律法规、规章,各种标准、规范及其他要求的文件,顾客提供的图纸、规定的试验方法、取样计划、标准或校准,等等。应特别注意敏感数据的控制(如个人信息或财务信息)。

(4)如成文信息作为符合性的证据保留,那么这些信息应被保护以免非预期的修改。组织可仅允许对此类成文信息进行受控访问。例如,对某些人员的授权访问、电子访问限制(即只读权限)等。