【原】如何理解“7.5.3 文件化信息的控制“？

7.5.3    文件化信息的控制

7.5.3.1 本条旨在确保在需要时组织能以适当的载体提供文件化信息，且妥善保护这些信息。

在确定质量管理体系需要哪些文件化信息后，组织应确保所有相关领域、部门、过程的负责人都可以获得这些信息。当从外部采购产品和服务时，组织还应考虑向外部有关相关方提供文件化信息。文件化信息应采用适合预期用途的形式，例如，对于外部服务提供方使用书面服务等级协议，或在过程接触面能够下载电子形式的过程参数信息。

组织应考虑文件化信息的控制级别，以确保其得到适当地控制，同时，组织还应考虑文件化信息的载体。控制包括可获得性、分发、保护，如保护数据免于丢失、保密、不当使用和非预期更改。组织应确保将对文件化信息的必要控制作为文件化信息及其沟通体系的组成部分，并确保不会发生文件化信息的丢失、不当使用或非预期更改。对文件化信息的控制可采用多种方式，包括不同级别的只读访问和规定权限访问的电子系统、密码保护或身份识别（ID）准入等方式。控制的级别根据获得文件化信息时的情况而不同，如应加强对外部各方的访问限制措施。信息安全问题和数据备份也应纳入考虑范畴。

7.5.3.2   本条旨在确保组织能够对文件化信息的分发、访问、检索和使用、存储和保护、更改控制、保留和处置进行控制。当组织认为来自外部的文件化信息是质量管理体系策划和运行所必需时，则这些文件化信息同样需要予以控制。文件化信息可通过不同的方法（如张贴/悬挂在现场、内部网络共享、群内分享等）进行分发。

建立文件化信息的分发和访问控制体系后，组织应考虑如何在适用时存储、保护和处置这些信息。

文件化信息可随着组织的过程和质量管理体系的改进，进行更改和扩展。

为了文件化信息的后续使用，组织还需要考虑如何保持、存储和检索以往的文件化信息。

在确定当前和以往的文件化信息的识别方法，以及建立控制措施以确保仅使用当前文件化信息时，组织应考虑版本控制问题。

存储以往的文件化信息可能非常重要。应以适当的载体保持以往的文件化信息，从而确保其得到妥善保护并易于读取，例如，对生产完成多年后提出的投诉进行调查时，可能需要以往的生产数据，或为了组织知识管理的目的。文件化信息的保留时间可能是法律法规要求，合同要求，或由组织确定（根据产品和服务的使用寿命而定）。对于以往的和不再需要的文件化信息的处置，组织应考虑对敏感数据（如个人或保密信息）的控制。

若组织认为来自外部的文件化信息是策划和运行质量管理体系所必需时，则同其他文件化信息一样，也应进行适当的识别和控制。这些文件化信息可包括来自顾客或外部供方的图纸、规定的测试方法、抽样计划、标准或校准报告等。组织应特别注意对敏感数据的控制。

当文件化信息作为符合性证据予以保留时，则应保护这些信息免受非预期的更改。组织应允许仅按照所控的方式获取这些信息，如由代表组织工作的相关人员经授权获取这些信息，或按照“只读”等受限电子方式获取这些信息。