7.6形成文件的信息

7.6.1概述

組織應確定信息技術服務管理體系和本標準要求的形成文件的信息。這些信息應包括：

a)SJ/T11693.1一2017所要求的形成文件的信息(例如：服務管理方針和目標、服務目錄等)；

b)組織內部從規章制度層面考慮建立的制度、辦法、規定和實施細則，從企業標準化方面考慮建立的工作標準、管理標準和技術標準，組織發布的與管理體系有關的文件；

c)執行上述各類文件過程中所產生的各類記錄、檔案，用于對完成的活動或達到的結果提供客觀證據的文件。

形成文件的信息宜與組織的規模、活動類型、過程、產品和服務、過程及其相互作用的復雜程度、人員的能力相適應。

7.6.2創建和更新

創建和更新形成文件的信息時，組織應確保合適的：

a)標識和描述(例如：標題、日期、作者、索引編號等)。宜制定統一的標識和描述方式，以便于識別和檢索；

b)格式(例如：語言、軟件版本、圖示)和媒體(例如：紙質、磁媒體)。不同信息可采用不同的格式和存儲媒體；

c)評審和批準。適當的評審和批準有助于確保文件的適宜性和充分性。

7.6.3形成文件的信息的管理

7.6.3.1控制形成文件的信息

對形成文件的信息可采取的控制措施包括但不限于：

a)對形成文件的信息進行全生命周期的管理，可以適當形式提供；

b)確保這些形成文件的信息可為相關區域、部門、過程所有者獲取；

c)根據形成文件的信息的所用方法，考慮控制的級別，對形成文件的信息進行適當的控制，控制包括可用性、分發和保護(例如：防止信息丟失、不當使用和非預期的修改)；

d)當服務由外部提供時，考慮將相關形成文件的信息以適合于使用的形式提供給外部相關方(例如：外部服務提供商的服務級別協議或在過程界面以電子格式下載的過程參數信息)；

e)作為形成文件信息系統的一部分，確保制定了必要的控制措施以確保信息不被丟失，防止不當使用和非預期的修改，控制措施可包括電子系統只讀訪問、規定不同級別的訪問權限、口令保護和用戶名登錄等，控制級別可因訪問人員和地點而異(例如：外部組織與內部部門相比，可能需要更多的訪問控制和非預期的修改限制)。

7.6.3.2形成文件的信息的管理活動

組織對形成文件的信息進行管理時應關注以下活動：

a)控制形成文件的信息，包括分發、訪問、獲取和使用、存儲和保護、變更控制、保留和處置；

b)在建立了控制形成文件的信息分發和訪問的體系后，考慮如何存儲、維護及隨著時間推移在必要時處置信息；

c)考慮如何維護、存儲以及在必要時檢索歷史的形成文件的信息，以便將來使用；

d)考慮版本控制(例如：修訂狀態和作廢狀態)，確保識別當前有效的形成文件的信息和作廢的文件的信息。考慮到組織需要從作廢的文件的信息中識別信息，作廢的文件的信息的存儲非常關鍵，這些信息應通過恰當形式得以維護，以確保得到保護，形成文件的信息的保留時間在某些領域可能有法律要求，其他情況下可由組織根據產品和服務的壽命確定。

組織所確定的策劃和運行信息技術服務管理體系所需的外來文件應確保得到識別和控制，外來文件包括：相關法律法規，國家、行業、地方、企業標準，顧客要求等。