7.5.3 成文信息的控制7.5.3.1您的 QMS 和 ISO 9001 要求的文件化信息必须受到控制,以确保其在需要的时间和地点可用且适合使用; 它必须得到充分的保护,以免失去机密性、不当使用或丧失完整性。 7.5.3.2对于文件化信息的控制,组织必须解决(如适用):分发、访问、检索和使用;储存和保存,包括保持可读性;变更控制(例如,版本控制);保留和处置。组织确定的系统规划和运行所必需的外部来源的文件化信息必须适当地加以识别和控制。访问可能意味着决定仅允许查看成文信息,或查看和更改成文信息的许可和权限。 一旦文件化信息存在,就控制下一个逻辑步骤。以下是 ISO 9001:2015 的控制要求: 可用性: 文件化信息存在于它应该存在的地方。组织有专门的资源来创建文件化的信息,并且信息适合于它打算满足的需求。 保护:保护记录的信息免受篡改、未经授权的更改和损坏。不应该看到文件化信息的人被阻止看到它。组织采取适当的保护措施,以确保信息不会以任何方式被滥用。系统密码和员工培训是实现此目的的两种方法。 分发:您可以评估文件化信息。员工不会费力去寻找它,而且他们知道如何解释它的含义。如果需要计算机或程序来访问为员工准备的文件化信息,那么员工可以操作它。在保留信息(例如,记录)的情况下,它们可以在合理的时间内被检索到。 存储:组织指定文件化信息的位置。这适用于保留的文件化信息(记录)和保持的文件化信息(文件)。该位置是准确且可验证的,并且有保存信息的控制措施。 保存可以包括定期备份计算机文件和定期监控以确保持续的易读性。“保存”控制与上述“保护”控制非常相似。 变更控制:组织能够确保提供正确版本的文件化信息。当文件化信息被修订时,修订被纳入正在使用的信息中(在审查和批准之后)。有适当的保护措施来防止员工错误地访问和使用过时的信息。 保留:我们说我们保留记录信息的时间。请记住,术语“保留”是指记录,因此这是建立保留时间的要求。可以想象,您系统中的每条记录都可能有不同的保留时间,而 ISO 9001:2015 没有就记录的适当保留时间提供指导。这完全取决于组织及其需求。 处置是指在保留时间过去后记录发生的情况。典型的处置包括归档、粉碎或回收。 最后,ISO 9001:2015 涉及外部文件并防止意外更改保留的信息。外部文件在组织外部发布并在管理体系范围内使用。可能需要控制的外部文件示例包括:
设备制造商发布的故障排除和/或校准手册 客户或其他机构发布的测试程序、规范和/或工程图纸 供应商发布的说明、规范和/或程序 行业组织发布的适用于该组织的标准 ISO 9001 等国际标准
一旦确定了外部文件,就必须对其进行识别,并且必须对其进行控制。与内部文档一样,必须有标题、文档编号或其他唯一标识符。这种标识通常来自发布文件的来源,组织只是简单地采用它。确保“控制”的所有其他方面都适用于外部文档。 ISO 9001:2015 提供的最后一项要求涉及保留提供符合性证据的文件化信息。换句话说,证明您符合要求的记录。组织必须确保人们不能对记录进行未经授权的更改。这是对已经讨论过的保护和保存要求的重述。 控制什么?“我需要控制这个吗?” 是致力于建立或维护正式管理体系的组织中最常见的问题之一。鉴于可能需要控制的文件化信息的范围,这个问题是可以理解的。此外,如果没有必要,大多数人宁愿不控制某些东西。以下是在确定是否应控制文档时要问的一些问题: 文件化信息是否指导组织提供的产品(即商品或服务)的生产? 文件化信息是否指导组织提供的产品的验证、检查或测试? 文件化信息是否定义了客户和/或产品要求? 文件化信息是否用于控制过程? 生产人员是否将文件化信息用于决策? 文件化的信息是否用于收集以后可用于管理体系范围内的决策的数据(例如,表格)? 信息是否如此重要以至于未能保持更新会对组织或其客户构成风险? 文件化信息是否涉及或涉及 ISO 9001 的要求? 如果其中一个或多个问题的答案是肯定的,那么文件化信息可能应该受到控制。出于说明目的,请考虑以下场景:
制造部门的墙上贴着一份办公室间备忘录。该备忘录为在那里制造的产品提供了许多功能和包装要求。由于文档的发布位置及其包含的信息,因此应控制备忘录。忽略备忘录很少受到控制的事实;在这种情况下,它提供客户要求,指导决策,并直接与 ISO 9001 要求相关。即使备忘录复制了受控规范中其他地方包含的信息,不受控制的备忘录仍然是一个问题。最终,备忘录上的信息与受控规范中包含的信息之间会出现差异。组织应控制已发布的备忘录或将其删除。 培训部门制作视频,以培训员工正确设置和操作生产线。这些视频包含在新员工和现有员工的培训计划中。在这种情况下,需要文档控制,因为视频定义了过程控制、指导产品生产,并与 IS0 9001 的培训要求相关。 产品缺陷样本展示在视觉检测区域的发光玻璃柜中,这些样本说明了客户认为可以接受的各种缺陷的限制,并且在检测人员不确定标准时使用。目前,展示柜标有“仅供参考”。尽管有这个声明。样品应该受到控制,因为它们定义了客户的要求。 一个组织制定了一份清单,用于记录产品检验的结果。空白清单准确定义了要检查的内容,如检查员必须填写的空格所示。这些空白表格需要作为文档进行控制,然后在完成后作为记录进行控制。
这些场景突出了这样一个事实,即文件化信息不必局限于传统程序、工作说明等。“成文信息”一词可以涵盖范围广泛的事物,所有这些事物都可能需要控制,具体取决于它们所包含的信息。一些示例包括数据库、照片、绘图、图表、草图、音频、视频、产品样本和缺陷样本、用于颜色匹配的油漆样本、检查表、流程图、空白表格等 准备实施 QMS 的组织对于正在实施 QMS 并希望满足 ISO 9001:2015 要求的组织,以下评论可能有用。 对于正在实施或尚未实施 QMS 的组织,ISO 9001:2015 强调过程方法。这包括:
2. 考虑到 ISO 9001:2015 的要求,过程分析应该是确定质量管理体系所需文件化信息量的驱动力。驱动流程的不应是文件化信息。 希望采用现有 QMS 的组织 对于目前拥有 QMS 的组织,以下评论旨在帮助理解向 ISO 9001:2015 过渡可能需要或促进的文件化信息的变化: 证明符合 ISO 9001:2015 对于希望证明符合 ISO 9001:2015 要求的组织,出于认证/注册、合同或其他原因的目的,重要的是要记住需要提供有效实施 QMS 的证据。 组织可能能够证明符合性而不需要大量的文件化信息 为了声称符合 ISO 9001:2015,组织必须能够提供其过程和质量管理体系有效性的客观证据。ISO 9000:2015 第 3.8.3 条将“客观证据”定义为“支持
某事物存在或真实性的数据”,并指出“客观证据可以通过观察、测量、测试或其他方式获得”。 客观证据不一定依赖于文件化信息的存在,除非 ISO 9001:2015 中特别提及。在某些情况下,(例如,在第 8.1 (e) 条运营计划和控制中,由组织决定需要哪些文件化信息以提供此客观证据。 如果组织没有特定活动的特定文件化信息,并且标准没有要求,则可以使用 ISO 9001:2015 的相关条款作为基础进行该活动。在这些情况下,内部和外部审核都可以使用 ISO 9001:2015 的文本进行合格评定。
表格形式的文件要求从文本中可以明显看出,“文件化信息”何时与“记录”相关,作为已执行活动/过程的证据,而“文件化信息”与如何执行活动/过程相关。通常,当含义是如何执行活动/过程时,该标准指“应保持成文信息”,而当含义是保存已执行活动/过程的证据时,该标准是指“应保留成文信息”。
这些是最低文件要求。组织自己可以决定他们需要额外的文件化信息。 | 条款 | 文件要求 |
|---|
| 4.3 确定质量管理体系的范围 | 组织的质量管理体系范围应作为文件化信息可用并予以保持。范围应说明所涵盖的产品和服务的类型,并为组织确定不适用于其质量管理体系范围的本国际标准的任何要求提供理由。 | | 4.4.2(质量管理体系及其流程) | 在必要的范围内,组织应:
a) 保持形成文件的信息以支持其过程的运行;
b) 保留形成文件的信息,以确信过程正在按计划进行。 | | 5.2.2(传达质量方针) | 质量方针应:
a) 可作为文件化信息获得;
b) 在组织内得到沟通、理解和应用;
c) 酌情提供给相关方; | | 6.2(质量目标和实现这些目标的计划) | 组织应保持质量目标的文件化信息。 | | 7.1.5.1 概述(监控和测量资源) | 组织应保留适当的文件化信息,作为适合监视和测量设备目的的证据。 | | 7.1.5.2(测量追溯) |
当测量可追溯性是一项要求或组织认为是对测量结果的有效性提供信心的重要组成部分时,测量设备应:对照可溯源至国际或国家测量标准的测量标准;当不存在此类标准时,用于校准或验证的依据应作为文件化信息保留; | | 7.2(能力) | 组织应:
d) 保留适当的文件化信息作为能力的证据。 | | 7.5.1 概述(文件化信息) | 组织的质量管理体系应包括:
a) 本标准要求的文件化信息;
b) 组织确定的质量管理体系有效性所必需的文件化信息。
注:质量管理体系文件化信息的范围可能因组织而异,这是由于:
——组织的规模及其活动、过程、产品和服务的类型;
– 过程的复杂性及其相互作用;
– 人员的能力。 | | 8.1.e(运营规划和控制) | 在必要的范围内确定和保存文件化信息
1) 确信过程已按计划进行;
2) 证明产品和服务符合其要求。
注:“保存”意味着保存和保留成文信息。 | | 8.2.3.2(审查与产品和服务相关的要求) | 适用时,组织应保留形成文件的信息:
a) 关于评审结果的信息;
b) 对产品和服务的任何新要求。 | | 8.3.2(设计开发规划) | 在确定设计和开发的阶段和控制时,组织应考虑:
j) 证明已满足设计和开发要求所需的文件化信息。 | | 8.3.3(设计和开发输入) | 组织应保留有关设计和开发输入的文件化信息。 | | 8.3.4(设计和开发控制) | 组织应对设计和开发过程实施控制,以确保:
f) 保留这些活动的文件化信息 | | 8.3.5(设计和开发输出) | 组织应保留有关设计和开发输出的文件化信息。 | | 8.3.6(设计和开发变更) | 组织应保留以下方面的文件化信息:
a) 设计和开发变更;
b) 评审结果;
c) 变更的授权;
d) 采取措施防止不利影响。 | | 8.4.1 总则(控制外部提供的产品和服务) | 组织应保留这些活动的结果和评价产生的任何必要措施的文件化信息。 | | 8.5.1(生产和服务提供的控制) | 如果适用,受控条件应包括:
a) 文件化信息的可用性,该信息定义:
1) 待生产产品的特性、待提供的服务或待执行的活动;
2)要达到的结果; | | 8.5.2(识别和可追溯性) | 当要求可追溯性时,组织应控制输出的唯一标识,并应保留实现可追溯性所需的文件化信息。 | | 8.5.3(属于客户或外部供应商的财产) | 当顾客或外部供方的财产丢失、损坏或以其他方式发现不适合使用时,组织应向顾客或外部供方报告,并保留所发生情况的文件化信息。 | | 8.5.6(变更控制) | 组织应保留描述变更评审结果、授权变更的人员以及评审产生的任何必要措施的文件化信息。 | | 8.6(商品和服务的发布) | 组织应保留有关产品和服务放行的文件化信息。文件化信息应包括:
a) 符合接受准则的证据;
b) 对授权放行人的可追溯性。 | | 8.7.2(不合格输出的控制) | 组织应保留以下文件化信息:
a) 描述不合格;
b) 描述所采取的行动;
c) 描述获得的任何让步;
d) 确定决定对不合格采取措施的权威。 | | 9.1.1 概述(监控、测量、分析和评估) | 组织应保留适当的文件化信息作为结果的证据 | | 9.2.2(内部审计) | 组织应:
f) 保留形成文件的信息,作为实施审核方案和审核结果的证据。 | | 9.3.3(管理评审) | 组织应保留文件化信息作为管理评审结果的证据。 | | 10.2.2(不符合和纠正措施) | 组织应保留形成文件的信息,作为以下方面的证据:
a) 不符合的性质和所采取的任何后续措施;
b) 任何纠正措施的结果。 |
此外,在 ISO 9001:2015 中,有几个地方使用了“应确定”的措辞。“确定”一词意味着产生知识的发现过程。没有明确的“文件”要求,但在使用“确定”的地方,组织至少应该能够证明并给予对此类活动/过程的完整性和控制的信心。 | 条款 | 文件要求 |
|---|
| 4.1(了解组织及其背景) | 组织应确定与其宗旨和战略方向相关并影响其实现质量管理体系预期结果的能力的外部和内部问题。 | | 4.2(了解相关方的需求和期望) | 由于它们对组织持续提供满足顾客和适用法律法规要求的产品和服务的能力的影响或潜在影响,组织应确定:
a) 与质量管理体系相关的相关方;
b) 这些相关方对质量管理体系的要求。 | | 4.3(范围) | 组织应确定质量管理体系的边界和适用性,以确定其范围。 | | 4.4(质量管理体系及其过程) | 组织应确定质量管理体系所需的过程及其在整个组织的应用,并应:
a) 确定这些过程所需的输入和预期的输出;
b) 确定这些过程的顺序和相互作用;
c) 确定和应用确保这些过程有效运行和控制所需的准则和方法(包括监视、测量和相关性能指标);
d) 确定所需资源并确保其可用性;
e) 为这些过程分配职责和权限;g) 评估这些过程以及确保这些过程实现其预期结果所需的任何内容;
f) 处理按照 6.1 的要求确定的风险和机会;
h) 改进过程和质量管理体系。 | | 6.1.1(应对风险和机遇的行动) | 在策划质量管理体系时,组织应考虑 4.1 中提到的问题和 4.2 中提到的要求,并确定需要解决的风险和机遇,以:
a) 确保质量管理体系能够实现其预期结果;
b) 增强理想效果;
c) 防止或减少不良影响;
d) 实现改进。 | | 6.2.2(质量目标和实现这些目标的计划) | 在策划如何实现其质量目标时,组织应确定:
a) 将做什么,
b) 将需要什么资源,
c) 谁将负责,
d) 何时完成,以及
e) 结果如何将被评估。 | | 7.1.1 一般(资源) | 组织应确定并提供建立、实施、维护和持续改进质量管理体系所需的资源。 | | 7.1.2(人) | 组织应确定并提供有效实施其质量管理体系以及运行和控制其过程所需的人员。 | | 7.1.3(基础设施) | 组织应确定、提供和维护其过程运行所需的基础设施,以实现产品和服务的符合性。 | | 7.1.4(流程运行环境) | 组织应确定、提供和维护其过程运行所需的环境,并实现产品和服务的符合性。 | | 7.1.5(监控和测量资源) | 当使用监视或测量来验证产品和服务是否符合要求时,组织应确定并提供确保结果有效和可靠所需的资源。
当发现测量设备不适合其预期目的时,组织应确定先前测量结果的有效性是否受到不利影响,并应在必要时采取适当的措施。 | | 7.1.6(组织知识) | 组织应确定其过程运行以及产品和服务的主要符合性所必需的知识。
在应对不断变化的需求和趋势时,组织应考虑其当前知识并确定如何获取或访问任何必要的附加知识和所需的更新。 | | 7.2(能力) | 组织应:
a) 确定在其控制下从事影响质量管理体系绩效和有效性的工作的人员的必要能力; | | 7.4(通讯) | 组织应确定与质量管理体系相关的内部和外部沟通,包括:
a) 沟通什么,
b) 何时沟通,
c) 与谁沟通,
d) 如何沟通
e) 谁沟通。 | | 8.3.3(设计和开发输入) | 组织应确定所设计和开发的特定类型的产品和服务所必需的要求。组织应考虑:
a) 功能和性能要求;
b) 从以前的类似设计和开发活动中获得的信息;
c) 法律法规要求;
d) 组织承诺实施的标准或操作规范;
e) 由于产品和服务的性质而导致的潜在故障后果。 | | 8.4.1 总则(外部提供的过程、产品和服务的控制) | 在以下情况下,组织应确定应用于外部提供的过程、产品和服务的控制措施:
a) 来自外部供方的产品和服务旨在整合到组织自己的产品和服务中;
b) 由外部供方代表组织直接向顾客提供产品和服务;
c) 作为组织决定的结果,由外部供方提供过程或过程的一部分。
组织应根据外部供方按要求提供过程或产品和服务的能力,确定和应用评价、选择、绩效监控和再评价的准则。 | | 8.4.2(控制类型和程度) | 组织应:
a) 确定为确保外部提供的过程、产品和服务满足要求所必需的验证或其他活动。 | | 9.1.1 概述(监控、测量、分析和评估) | 组织应确定:
a) 需要监视和测量的内容;
b) 确保有效结果所需的监视、测量、分析和评价方法;
c) 何时进行监视和测量;
d) 何时对监视和测量的结果进行分析和评价。 | | 9.1.2(客户满意度) | 组织应监控顾客对其需求和期望得到满足程度的看法。组织应确定获取、监控和评审该信息的方法。 | | 10.1 一般(改进) | 组织应确定和选择改进的机会,并实施必要的措施以满足顾客要求并提高顾客满意。 |
|
