一、ISO 9001:2015 7.5.3 标准原文
条款原文:质量管理体系和本标准要求的形成文件的信息应予控制,以确保:
a)在需要的场所和时间均可获得并适宜使用;
b)得到充分保护,例如防止失密、不当使用或完整性受损。
为控制形成文件的信息,适用时,组织应处理下列活动:分发、访问、检索和使用;存储和防护,包括保持清晰可辨;更改控制,例如版本控制;保留和处置。
组织确定的对质量管理体系策划和运行所必需的外来形成文件的信息,应进行适当识别并予以控制。
作为符合性证据而保留的形成文件的信息,应防止非预期更改。
二、条款解读说明
2.1 7.5.3为什么是文件化信息真正“落地”的关键
如果说7.5.1决定哪些信息需要形成文件,7.5.2决定这些信息如何被写出来,那么7.5.3决定这些信息能否在现实工作中被正确使用。很多组织的文件体系看起来完整、模板规范、审批齐全,但现场依然出现旧版在用、外来标准未更新、记录找不到、权限失控、关键数据被误改、保存介质损坏等问题,其根源往往就是7.5.3控制不到位。
这条款特别重要,因为它直接连接日常运行、审核证据、顾客争议、法规追溯和经营风险。一份文件只有在需要的时候能被正确的人拿到,并且是正确版本、适合使用、没有被误改、事后还能找到,才真正算受控。否则,再完美的创建和审批过程,也会在现场失去价值。
2.2 7.5.3本质上是在做“信息生命周期管理”
| 生命周期阶段 | 控制问题 | 典型风险 | 控制重点 |
|---|---|---|---|
| 分发与获取 | 谁能在何时拿到哪一版 | 现场拿不到、拿到旧版、对象遗漏 | 受控发布、接收确认、唯一有效来源 |
| 访问与使用 | 谁能看、谁能改、如何用 | 越权修改、误删、误用 | 权限控制、使用规则、场景限制 |
| 存储与保护 | 如何保存、如何防损坏和泄露 | 丢失、损坏、不可读、泄密 | 备份、防护、可读性、环境条件 |
| 变更控制 | 修改如何留痕、旧版如何退出 | 多版本并存、擅自修改、版本倒挂 | 版本管理、修订记录、旧版隔离 |
| 保留与处置 | 保留多久、如何销毁 | 该留的不留、不该留的乱放 | 保留期限、归档规则、销毁控制 |
2.3 “可获得且适宜使用”比“有权限访问”更进一步
条款第一项要求形成文件的信息在需要的场所和时间均可获得,并适宜使用。这里有两层意思。第一,文件必须在真正需要时取得到,而不是理论上存放在某个共享盘里;第二,文件必须适宜使用,比如清晰可辨、格式匹配、界面可读、网络可达、设备可打开。很多组织文件并没有丢失,但因为路径混乱、命名不清、终端打不开、打印模糊、表格被锁死等原因,实际同样不可用。
因此,7.5.3并不只是安全控制条款,也是可用性控制条款。文控管理不能只想着“别人别乱改”,还要确保“真正该用的人用得上、用得顺、用得对”。
2.4 “保护”不仅是保密,还包括完整性和真实性
条款特别提到防止失密、不当使用和完整性受损。对很多组织来说,最常见的风险不是商业泄密,而是记录被事后补填、电子数据被覆盖、扫描件模糊不可辨、外来标准被随意下载替换、签字记录无法验证、系统日志被删除等。这些都会削弱形成文件的信息作为符合性证据的可信度。特别是作为符合性证据保留的信息,更必须防止非预期更改。
这意味着组织需要根据风险等级,对不同信息设置不同保护强度。例如,公开SOP与顾客投诉证据、法规申报记录、检验原始数据、校准证书、电子签核记录,显然不应采用同一种控制方式。7.5.3要求的是分层保护,而不是一刀切。
2.5 外来形成文件的信息经常是7.5.3的薄弱点
许多组织内部文件控制做得不错,但顾客图纸、顾客规范、法律法规、行业标准、供方手册、设备厂家说明书、软件发布说明等外来形成文件的信息没有纳入受控,最终导致最关键的要求反而在体系边界之外游离。7.5.3明确要求,对策划和运行所需的外来形成文件的信息也应识别并控制。这一点在代工、项目型、合规要求高和技术更新快的行业尤为重要。
三、实施要点
3.1 建立唯一有效来源和分发确认机制
控制形成文件的信息,第一步是明确“哪里是唯一有效来源”。无论是文控系统、受控共享平台、ERP、MES、知识库还是纸质受控本,组织都应定义正式来源,避免人员从聊天记录、个人电脑、旧邮件或打印柜里自行寻找版本。对关键文件和关键更新,应保留分发和接收确认,防止“已发布但没到位”。
- 定义各类信息的正式发布平台和唯一有效来源。
- 对高风险文件设置强制签收或接收确认。
- 禁止从个人私存副本中直接作为受控版本使用。
3.2 以角色为基础实施访问和修改权限控制
不同人员对形成文件的信息应具有不同权限。有人只需阅读,有人需要填写,有人可以审批,有人可以维护版本。权限设计应遵循最小必要原则,既避免未经授权的修改和删除,也避免真正需要使用的人拿不到。对电子记录、系统日志、检验原始数据、顾客投诉和合规证明等高敏感信息,应特别强化修改权限和审计留痕。
- 按角色定义查看、编辑、审批、归档和销毁权限。
- 关键记录建议保留操作日志,便于追溯修改行为。
- 定期复核权限,防止离岗、转岗后仍保留旧权限。
3.3 做好存储、备份和可读性保护
文件和记录受控,不只是“放进柜子”或“存进服务器”。纸质记录要防潮、防火、防丢失、保持清晰;电子记录要防误删、防病毒、防硬盘损坏、防格式失效,并能在保留期内持续可读。组织尤其要重视扫描件模糊、图片记录丢失时间信息、旧软件格式无法打开、移动端上传照片不可辨认等实际问题。
- 对电子记录建立定期备份和恢复验证机制。
- 对纸质档案明确存储环境和借阅规则。
- 对长期留存的信息定期检查可读性和完整性。
3.4 版本控制和旧版退出必须同时发生
7.5.3最常见的不符合之一,就是新版已经发布,但旧版仍然在现场流通。版本控制不是简单在文件上加一个版本号,而是要确保旧版被识别、隔离、回收或失效处理,且相关系统和打印件同步更新。对仍需保留参考价值的旧版,应明确“仅供参考/作废”标识,避免被误用。
- 对每次修订明确旧版处置方式和责任人。
- 现场纸质受控本应定期盘点,防止旧版残留。
- 系统中保留历史版本时,应清晰区分当前有效版与历史版。
3.5 对外来文件和证据类记录实行重点控制
顾客规范、法规标准和外部供方文件应与内部文件一样受控,明确来源、适用版本、更新方式和使用范围。对于作为符合性证据保留的记录,组织更应重点控制真实性和防篡改性,例如使用电子签核、只读归档、审计日志、原始数据备份和关键记录锁定机制。越是可能在争议、审查和合规场景中被用作证据的信息,越不能“后补”“重做”或“随意修改”。
- 建立外来文件识别、更新和分发规则。
- 对关键证据类记录实施防篡改和留痕保护。
- 明确留存期限结束后的处置审批和销毁方式。
四、常用工具与实施方法
| 工具/方法 | 应用场景 | 实施重点 | 输出成果 |
|---|---|---|---|
| 受控发布平台 | 统一版本来源 | 建立唯一有效来源和接收确认机制 | 受控发布记录 |
| 角色权限矩阵 | 电子文件和系统记录管理 | 定义查看、编辑、审批和归档权限 | 权限分配清单 |
| 备份与恢复演练 | 电子记录保护 | 验证数据能否在故障后完整恢复 | 备份恢复报告 |
| 纸质受控本盘点机制 | 现场纸质文件管理 | 核对版本、回收旧版、检查清晰度 | 盘点和回收记录 |
| 记录保留矩阵 | 记录留存与处置 | 定义保存期限、存储位置和销毁方式 | 留存处置规则 |
| 外来文件台账 | 顾客、法规和供方文件控制 | 记录来源、版本、更新日期和责任人 | 外来文件清单 |
| 审计日志与防篡改机制 | 关键证据保护 | 跟踪谁在何时修改了什么 | 审计留痕记录 |
五、典型案例
案例一:制造企业现场旧版SOP残留治理
- 背景:新版作业指导书已发布数周,但现场审核仍发现员工按旧版操作。
- 问题:车间张贴纸质文件未及时回收,个人文件夹中还留有旧版打印件。
- 7.5.3行动:建立唯一有效来源、旧版回收清单和现场盘点机制,对纸质受控本统一编号。
- 结果:旧版误用显著下降,版本一致性提高。
- 启示:版本控制不以“新版发布”为结束,而以“旧版退出现场”为完成。
案例二:服务企业投诉证据被覆盖的风险修复
- 背景:企业在顾客投诉争议处理中,发现原始沟通记录被后续编辑覆盖。
- 问题:投诉系统允许普通用户修改关键处理节点,且无审计日志。
- 7.5.3行动:将关键节点记录设为只读归档,增加修改审批和日志留痕机制。
- 结果:投诉证据链可信度提高,争议处理更有依据。
- 启示:作为符合性证据保留的信息,必须优先考虑真实性保护。
案例三:项目型企业外来标准文件失控整改
- 背景:不同项目团队使用的顾客标准版本不一致,导致交付要求理解偏差。
- 问题:顾客文件由各项目经理自行保存,缺少统一识别和更新机制。
- 7.5.3行动:建立外来文件台账和统一发布平台,明确更新责任和适用项目范围。
- 结果:顾客要求口径统一,返工和争议减少。
- 启示:外来文件不受控,往往比内部文件失控风险更高。
六、成文信息管理要求
7.5.3本身对成文信息控制提出了明确要求,因此组织需要保留的不只是文件和记录本身,还包括控制这些信息生命周期的规则和执行证据。审核员通常会从“取得到、看得清、用得对、改不乱、找得回”五个角度来判断7.5.3是否有效。
6.1 建议保留的核心记录
| 记录名称 | 关键内容 | 责任部门 | 审核价值 |
|---|---|---|---|
| 文件分发与接收确认记录 | 文件名称、版本、接收对象、确认时间 | 文控/业务部门 | 证明文件在需要时已到位 |
| 权限与访问控制记录 | 角色权限、授权审批、变更和复核情况 | IT/文控部门 | 证明访问和修改受控 |
| 备份、归档和恢复记录 | 备份周期、介质、恢复测试、异常处理 | IT/档案部门 | 证明信息得到保护且可恢复 |
| 版本和旧版处置记录 | 修订版本、回收方式、历史版状态 | 文控/使用部门 | 证明变更和旧版退出受控 |
| 外来文件台账与更新记录 | 来源、版本、适用范围、更新责任人 | 质量/项目/采购部门 | 证明外来文件已识别和控制 |
| 记录留存和销毁记录 | 保留期限、归档位置、销毁批准和方式 | 档案/质量部门 | 证明保留与处置可追溯 |
6.2 管控建议
- 关键证据类记录应优先采用防篡改、可追溯的保存方式。
- 电子和纸质文件应分别定义适用的保护和回收规则。
- 外来文件更新要有明确责任人,不能依赖个人订阅和记忆。
- 保留期和处置规则应同时满足顾客、法规、合同和经营需要。
七、常见误区及踩坑提醒
| 误区 | 后果 | 正确做法 |
|---|---|---|
| 认为文件只要存着就算受控 | 需要时找不到、拿到旧版或无法使用 | 确保在需要的时间和地点可获得且适宜使用 |
| 只控制内部文件,不控制外来文件 | 顾客和法规要求版本失控 | 将外来形成文件的信息纳入同等控制 |
| 权限放得过宽 | 关键证据被误改、误删或越权查看 | 按角色实施最小必要权限控制 |
| 只发布新版,不回收旧版 | 多版本并存,现场执行混乱 | 版本控制和旧版退出同步执行 |
| 电子记录没有备份和恢复验证 | 系统故障后关键证据丢失 | 建立备份策略并定期演练恢复 |
| 保留期和销毁规则模糊 | 该留的不在、该销的不销,风险累积 | 建立清晰的留存矩阵和处置审批机制 |