ГОСТ Р ИСО 30301-2014 Информация и документация. Системы менеджмента записей. Требования.

                   

ГОСТ Р ИСО 30301-2014

 

      

     

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

 

 

 ИНФОРМАЦИЯ И ДОКУМЕНТАЦИЯ

 

 Системы менеджмента записей. Требования

 

 Information and documentation - Management systems for records - Requirements

ОКС 03.120.10*

Дата введения 2015-03-01

 

      

     

Предисловие

1 ПОДГОТОВЛЕН Открытым акционерным обществом "Всероссийский научно-исследовательский институт сертификации" (ОАО "ВНИИС") на основе собственного аутентичного перевода на русский язык международного стандарта, указанного в пункте 4

 

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 076 "Системы менеджмента"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 28 мая 2014 года N 460-ст

 

4 Настоящий стандарт идентичен международному стандарту ИСО 30301:2011* "Информация и документация. Системы менеджмента записей. Требования" (ISO 30301:2011 "Information and documentation - Management systems for records - Requirements").

 

           

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в справочном Приложении ДА

 

5 ВВЕДЕН ВПЕРВЫЕ

 

Правила применения настоящего стандарта установлены в ГОСТ Р 1.0-2012 (Раздел 8). Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе "Национальные стандарты", а текст изменений и поправок - в ежемесячно издаваемых информационных указателях "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (gost.ru).

 

 

 Введение

Успех функционирования организации в существенной степени зависит от внедрения и поддержания в работоспособном состоянии системы менеджмента, которая предназначена для постоянного улучшения эффективности деятельности и одновременного удовлетворения нужд всех заинтересованных сторон. Системы менеджмента основаны на методологиях, помогающих в принятии решений и в управлении ресурсами для достижения целей организации.

 

Формирование и ведение записей являются неотъемлемой частью деятельности, процессов и систем любой организации. Они обеспечивают эффективность деятельности, возможность ведения учета, менеджмент рисков и устойчивость функционирования организации. Они также дают возможность организациям извлекать выгоду из ценности своих информационных ресурсов как производственных, коммерческих и интеллектуальных активов и содействовать сохранению коллективной памяти в условиях глобальной и цифровой среды.

 

Стандарты на системы менеджмента (ССМ) предоставляют возможность высшему руководству применять системный и надежный подход к управлению организацией в условиях, стимулирующих надежную деловую практику.

 

Стандарты на системы менеджмента записей, разрабатываемые ИСО/ТК 46/ПК 11, призваны помогать организациям всех видов и масштабов или группам организаций, осуществляющих совместную предпринимательскую деятельность, во внедрении, использовании и совершенствовании результативных систем менеджмента записей (далее - СМЗ). СМЗ направляет и контролирует организацию с целью выработки политики и определения задач, связанных с ведением записей, и решения этих задач. Это осуществляется за счет использования:

 

a) строго определенных функций и обязанностей;

 

b) систематизированных процессов;

c) измерений и оценивания;

 

d) анализа и совершенствования.

 

Осуществление политики ведения записей и решение задач, полностью основанных на требованиях организации, будут способствовать формированию достоверной и надежной информации и получению подтверждений о предпринимательской деятельности, ведению такой информации и предоставлению ее тем, кто в ней нуждается, в течение необходимого периода времени. Успешная реализация надежной политики ведения записей и решение соответствующих задач способствуют формированию записей и созданию систем управления записями, отвечающих всем целям организации.

 

Внедрение СМЗ в организации также гарантирует прозрачность и прослеживаемость решений, принимаемых ответственными руководителями, и осознание общественных интересов.

 

Стандарты на СМЗ разрабатываются ИСО/ТК 46/ПК 11 в рамках стандартов на системы менеджмента (ССМ) для обеспечения совместимости с другими ССМ и использования общих элементов и методологии. ИСО 15489 и другие международные стандарты и технические отчеты, также разработанные ИСО/ТК 46/ПК 11, служат основными инструментами проектирования, внедрения, мониторинга и совершенствования документооборота и управления записями, осуществляемых в рамках СМЗ, когда организации принимают решение о внедрении методологии ССМ.

 

Примечание - ИСО 15489 является основополагающим стандартом, систематизирующим оптимальные методы ведения записей.

 

На Рисунке 1 показана структура стандартов на СМЗ, разрабатываемых ИСО/ТК 46/ПК 11, которые либо уже опубликованы, либо находятся в стадии подготовки.

 

Эти стандарты предназначены для использования:

 

- высшим руководством, принимающим решения о формировании и внедрении систем менеджмента в рамках своей организации;

 

- персоналом, отвечающим за внедрение СМЗ, в частности, специалистами по менеджменту рисков, аудитам, документообороту, информационным технологиям и информационной безопасности.

 

СМЗ определяет требования и ожидания заинтересованных сторон (потребителей и основных участников) к ведению записей и путем использования необходимых процессов формирует записи, удовлетворяющие этим требованиям и ожиданиям.

 

На Рисунке 2 показаны структура СМЗ и связи с потребителями и основными партнерами.

 

 

Рисунок 1 - Стандарты на системы менеджмента записей, разработанные ИСО/ТК 46/ПК 11, и родственные международные стандарты и технические отчеты

                     

 

 

Рисунок 2 - Структура СМЗ

 

 

 

      1 Область применения

Настоящий стандарт устанавливает требования, которым должна отвечать СМЗ, чтобы помочь организации в выполнении своих обязательств, назначения, стратегии и достижении целей. Настоящий стандарт касается разработки и реализации политики и целей ведения записей и предоставляет сведения о результатах измерений и мониторинга.

 

СМЗ может создаваться организацией или группой организаций, осуществляющих совместную предпринимательскую деятельность. Используемый в настоящем стандарте термин "организация" не ограничивается одной организацией, а включает и другие организационные структуры.

 

Настоящий стандарт применим к любой организации, желающей:

 

a) сформировать, внедрить, поддерживать в работоспособном состоянии и совершенствовать СМЗ в поддержку своей основной деятельности;

 

b) удостовериться в правильности проведения своей заявленной политики ведения записей;

 

c) продемонстрировать соответствие настоящему стандарту путем:

 

1) проведения самооценки и самодекларирования;

 

2) запрашивания подтверждения своего самодекларирования у сторонней организации;

 

3) обращения к сторонней организации на предмет проведения сертификации своей СМЗ.

Настоящий стандарт может применяться наряду с другими стандартами на системы менеджмента (ССМ). Он особенно полезен для демонстрации выполнения требований других ССМ к документации и записям.

 

 

      2 Нормативные ссылки

Приведенный ниже ссылочный документ необходим для использования настоящего стандарта*. Для датированных ссылок применяют только ту версию, которая была упомянута в тексте. Для недатированных ссылок необходимо использовать самое последнее издание документа (включая любые поправки).

 

           

ИСО 30300 Информация и документация. Системы менеджмента записей. Основные положения и словарь (ISO 30300:2011 Information and documentation. Management systems for records. Fundamentals and vocabulary).

 

 

      3 Термины и определения

В настоящем стандарте применены термины и определения по ИСО 30300.

 

 

      4 Среда организации

 

 

      4.1 Понимание внешней и внутренней среды организации

При формировании и доработке СМЗ организация должна принимать во внимание соответствующие внешние и внутренние факторы.

 

Следует документировать внешние и внутренние факторы, выявленные и принимаемые во внимание при формировании и доработке СМЗ.

 

Понимание внешней среды организации включает в себя помимо прочего:

 

a) понимание социальных и культурных, правовых, нормативных, финансовых, научно-технических, экономических, природных и конкурентных условий, будь то международные, национальные, региональные или местные;

 

b) понимание ключевых движущих сил и тенденций, которые могут оказывать влияние на цели организации;

 

c) понимание взаимосвязей с внешними заинтересованными сторонами и восприятие их ценностей и ожиданий.

 

Понимание внутренней среды организации включает в себя помимо прочего:

 

1) методы корпоративного управления, организационную структуру, функции и обязанности;

 

2) политику, цели, задачи и стратегии, реально действующие и требующие реализации и достижения;

 

3) возможности с точки зрения ресурсов и знаний (например, капитал, время, персонал, процессы, системы и технологии);

 

4) информационные системы, информационные потоки и процессы принятия решений (как официальные, так и неофициальные);

 

5) взаимосвязи с внутренними заинтересованными сторонами, восприятие ими ценностей и культуры организации;

 

6) стандарты, руководящие положения и модели, принятые в организации;

 

7) форма и масштабы договорных взаимоотношений.

 

 

      4.2 Бизнес-требования, законодательные и другие требования

При установлении и пересмотре своих целей в области ведения записей организация должна принимать во внимание бизнес-требования, законодательные, нормативные и другие требования, относящиеся к формированию записей и управлению ими.

 

Организация должна оценивать и документировать бизнес-требования, законодательные, нормативные и другие требования, влияющие на ее деятельность, которую она должна выполнять и для выполнения которой требуется свидетельство соответствия.

Бизнес-требования включают все требования к должному выполнению работ или деятельности организации. Требования возникают в связи с текущими показателями деятельности, будущими планами и развитием, управлением рисками и планированием устойчивости функционирования организации.

 

Законодательные требования включают требования, относящиеся к формированию и ведению записей. Источниками законодательных требований являются:

 

a) статутное и прецедентное право, включая законы и регламенты, определяющие отраслевую и общую деловую среду;

 

b) законы и регламенты, относящиеся непосредственно к свидетельствам, записям и архивам, доступу, конфиденциальности, защите данных и информации, а также к электронной торговле;

 

c) конституционно-правовой статус организаций, уставы или соглашения, стороной в которых является организация;

 

d) условия договоров и других инструментов, которые организация юридически обязана выполнять.

 

К другим требованиям относятся неузаконенные добровольные обязательства, которые на себя принимает организация:

 

- добровольные кодексы лучшей практики;

 

- добровольные кодексы поведения и корпоративной этики;

 

- идентифицируемые ожидания сообщества относительно того, что является допустимым поведением для определенной отрасли или организации, включая надлежащее управление, должный контроль за мошенническим или злонамеренным поведением и прозрачность принятия решений.

 

 

      4.3 Определение области применения системы менеджмента записей

Организация должна определить и документировать область применения своей системы менеджмента записей.

 

Область применения СМЗ может охватывать всю организацию, конкретные функциональные подразделения организации, конкретные участки организации или одно, или несколько функциональных подразделений в рамках группы организаций.

 

При создании СМЗ для одного или нескольких конкретных функциональных подразделений в рамках группы организаций, область применения СМЗ должна включать взаимоотношения между субъектами и роль каждого субъекта.

 

В том случае, когда организация передает стороннему исполнителю любой процесс, влияющий на соответствие требованиям к СМЗ, организация должна обеспечить контроль за такими процессами. Управление исполнителями и процессами, переданными сторонним исполнителям, должно быть определено в рамках области применения СМЗ.

 

 

      5 Лидирующая роль руководства

 

 

      5.1 Обязательства руководства

Высшее руководство должно демонстрировать свои обязательства путем:

 

- обеспечения совместимости СМЗ со стратегическим направлением организации;

 

- включения требований к СМЗ в бизнес-процессы организации;

 

- предоставления ресурсов для создания, внедрения, поддержания в работоспособном состоянии и постоянного улучшения СМЗ;

 

- информирования о значимости результативной СМЗ и выполнения требований к СМЗ;

 

- обеспечения достижения СМЗ намеченных результатов;

 

- направления и поддержки постоянного совершенствования.

 

Примечание - Ссылка на "бизнес" в настоящем стандарте имеет широкое толкование и означает ту деятельность, которая является ключевой для обеспечения существования организации.

 

 

      5.2 Политика

Высшее руководство должно разрабатывать политику ведения записей. Такая политика должна:

 

- соответствовать целям организации;

 

- обеспечивать основу для установления целей управления записями;

 

- включать обязательство по выполнению действующих требований;

 

- доводиться до сведения всех работников организации;

 

- предоставляться заинтересованным сторонам по мере необходимости.

 

Организация должна сохранять документально оформленную информацию о политике ведения записей.

 

Политика ведения записей должна включать стратегические планы высшего уровня в отношении создания и управления достоверными, надежными и пригодными для использования записями, способными обеспечивать выполнение функций и операций организации и защищать целостность этих записей до тех пор, пока они могут потребоваться.

 

Организация должна обеспечивать доведение политики ведения записей до всех уровней организации и внедрение ее на всех уровнях, а также доведение ее до сведения всех субъектов или лиц (таких как партнеры или подрядчики), работающих с ней или действующих от ее лица.

 

 

      5.3 Функции, обязанности и полномочия организации

5.3.1 Общие положения

 

Высшее руководство должно обеспечить определение, распределение и доведение до всех работников организации, а также до субъектов или отдельных лиц, взаимодействующих с организацией или действующих от ее имени, функций, обязанностей и полномочий, связанных с менеджментом записей.

 

Обязанности должны распределяться соответствующим образом среди всего персонала в соответствующих подразделениях и на соответствующих уровнях в рамках организации, в частности, среди высшего руководства, руководителей программ, специалистов по ведению записей, специалистов по информационным технологиям, системных администраторов и всех других в соответствии со своими обязанностями, которые формируют записи и управляют ими как частью своей работы.

 

Лидирующая роль во внедрении СМЗ должна принадлежать конкретному представителю высшего руководства. В тех случаях, когда этого требуют масштабы и сложность организации, а также ее процессы управления записями, конкретная роль должна быть отведена представителю руководства по работе с записями, имеющему специальную подготовку и компетентность. Распределение обязанностей и их взаимосвязи должны быть документированы.

           

5.3.2 Обязанности руководства

 

Из состава высшего руководства должен быть назначен конкретный представитель, который, независимо от других обязанностей, должен нести ответственность за:

 

a) принятие мер по формированию, внедрению и поддержанию в должном состоянии в соответствии с требованиями настоящего стандарта;

 

b) содействие осведомленности о СМЗ по всей организации;

 

c) должное распределение функций и обязанностей, определенных в СМЗ, и обеспечение компетентности персонала, выполняющего эти функции.

 

Примечание - В зависимости от сложности структуры организации обязанности могут предоставляться конкретному должностному лицу или группе лиц.

 

5.3.3 Оперативные обязанности

 

Высшее руководство организации должно назначить конкретного представителя руководства по работе с записями, который должен выполнять определенную роль, иметь определенные обязанности и полномочия, в том числе:

 

a) внедрение СМЗ на оперативном уровне;

 

b) представление отчетов высшему руководству по результативности СМЗ для проведения анализа, включая рекомендации по совершенствованию;

 

c) установление связей с внешними сторонами по вопросам, касающимся СМЗ.

 

Примечание - Функции представителя руководства и представителя оперативного отдела по работе с записями могут выполняться одним и тем же лицом или группой лиц.

 

 

      6 Планирование

 

      6.1 Меры по изучению рисков и возможностей

Организация должна анализировать вопросы, приведенные в 4.1, и требования, приведенные в 4.2, и определять риски и возможности, которые должны быть изучены, с целью:

 

a) обеспечения достижения СМЗ намеченных результатов;

 

b) предотвращения нежелательных последствий;

 

c) реализации возможностей для совершенствования.

 

Организация должна оценивать потребность в планировании мер по изучению таких рисков и возможностей и в соответствующих случаях:

 

- включать и реализовывать эти меры в процессах СМЗ (см. 8.1);

 

- обеспечивать наличие информации для оценивания результативности таких мер (см. 9.1).

 

 

      6.2 Цели управления записями и планы по их достижению

Высшее руководство должно обеспечивать установление целей управления записями и доведение их до сведения соответствующих функциональных подразделений и уровней в рамках организации.

 

Цели управления записями должны:

 

a) соответствовать политике ведения записей;

 

b) быть измеримыми (при наличии возможности);

 

c) принимать во внимание действующие требования;

 

d) подвергаться мониторингу и актуализации по мере необходимости.

 

Цели управления записями должны определяться на основе анализа деятельности организации. Они должны определять участки, на которых в наибольшей степени возможно применение законодательства, регламентов, других стандартов и оптимальных методов для формирования записей, относящихся к деятельности организации.

 

Цели управления записями должны учитывать масштабы организации, характер ее деятельности, ее продукцию и услуги, а также местоположение, правовую/административную систему и культурную среду, в которой она функционирует.

 

Организация должна сохранять документально оформленную информацию, касающуюся целей управления записями.

 

Для достижения своих целей управления записями организация должна определить:

 

- кто будет нести ответственность;

 

- какие шаги будут предприняты;

 

- какие ресурсы потребуются;

 

- когда это будет завершено;

 

- как будут оцениваться результаты.

 

 

      7 Обеспечение

 

 

      7.1 Ресурсы

Высшее руководство должно выделять и обеспечивать наличие ресурсов, необходимых для функционирования СМЗ.

 

Управление ресурсами включает:

 

a) наделение ответственностью персонала, способного выполнять функции, определенные в СМЗ;

 

b) периодическую проверку компетентности и уровня подготовки такого персонала;

 

c) поддержание и устойчивость ресурсов и технической инфраструктуры.

 

 

      7.2 Компетентность

Организация должна:

 

a) определять необходимую компетентность персонала, выполняющего работу под ее управлением, которая влияет на эффективность ее процессов и систем управления записями;

 

b) гарантировать наличие у персонала достаточной квалификации как результата полученного образования, подготовки и опыта;

 

c) при необходимости принимать меры для приобретения необходимой компетентности и оценивать результативность принимаемых мер;

 

d) сохранять соответствующую документированную информацию как свидетельство компетентности.

 

Примечание - К принимаемым мерам может, в частности, относиться организация подготовки, обучение или назначение на новые должности работников организации или прием на работу, или привлечение для выполнения работ компетентных специалистов.

 

 

      7.3 Информированность и подготовка

Организация должна обеспечивать осведомленность работников:

a) о необходимости и значимости их персональной деятельности и о том, как они способствуют достижению целей СМЗ;

 

b) о важности соответствия политике и процедурам СМЗ, а также требованиям системы менеджмента;

 

c) о важных аспектах СМЗ и связанных с ними фактических или потенциальных воздействиях на их работу и о преимуществах качественного выполнения рабочих заданий;

 

d) об их функциях и обязанностях по выполнению требований СМЗ;

 

e) о потенциальных последствиях отклонения от установленных процедур.

 

Организация должна разработать постоянно действующую программу обучения процессу формирования и управления записями. Программы обучения требованиям и методам управления записями должны охватывать весь персонал организации, включая подрядчиков и персонал других организаций в случае необходимости. Требуемая компетенция и квалификация различных специалистов в отношении управления записями должны оцениваться, идентифицироваться и включаться в программы подготовки, разрабатываемые и предоставляемые организацией.

 

 

      7.4 Обмен информацией

Организация должна разрабатывать, внедрять, документировать и поддерживать в рабочем состоянии процедуры внутреннего обмена информацией о СМЗ и своей политике и целях ведения записей. Внутренний обмен информацией для обеспечения результативности СМЗ должен включать распределение обязанностей, операционные процедуры и доступ к документации.

 

Организация должна принимать решения о необходимости передачи информации о своей СМЗ другим субъектам (например, при наличии совместных бизнес-процессов). Если принимается решение о передаче информации, организация должна разработать средства передачи информации. В зависимости от уровня взаимодействия с внешними сторонами, такими как подрядчики, заказчики и поставщики, речь может идти о передаче информации о СМЗ и ее целях на высоком уровне или передаче документации о конкретных процедурах.

 

 

      7.5 Документация

7.5.1 Общие положения

 

Организация должна документировать свою СМЗ. Это включает наличие санкционированных заявлений:

 

a) об области применения СМЗ;

 

b) о политике и целях;

 

c) о взаимозависимости и взаимосвязях между СМЗ и другими системами менеджмента организации или между организациями;

 

d) о документированных процедурах согласно требованиям настоящего стандарта;

 

e) о документации, которую организация считает необходимой для обеспечения результативного планирования, функционирования и управления процессами.

 

Примечания

 

1 Термин "документированная процедура", который встречается в настоящем стандарте, означает, что процедура была разработана, документирована, внедрена и поддерживается в рабочем состоянии.

 

2 Объем документации СМЗ может отличаться в зависимости от организации вследствие:

 

- масштабов организации и видов деятельности, которой она занимается;

 

- границ и сложности внедренных и реализуемых процессов управления записями и систем учетных документов, в том числе в тех случаях, когда в предпринимательской деятельности участвуют несколько организаций.

 

7.5.2 Управление документацией

 

Необходимо управлять документацией, которая требуется для функционирования СМЗ. Документированная процедура должна определять средства управления, необходимые для:

 

a) одобрения документации на предмет адекватности до ее выпуска;

 

b) анализа, актуализации и повторного утверждения документации;

 

c) обеспечения идентификации изменений и текущего статуса пересмотра документации;

d) обеспечения наличия в местах использования соответствующих версий действующих документов;

 

e) обеспечения удобочитаемости и идентифицируемости документации;

 

f) обеспечения идентификации документации внешнего происхождения и управления ее распространением;

 

g) предотвращения непреднамеренного использования устаревшей документации и идентификации ее как таковой, если она будет использоваться в каких-либо целях.

 

К документации СМЗ относят записи, ведение которых осуществляется в системе записей. Процедуры формирования и управления документацией СМЗ должны соответствовать общим процедурам формирования и ведения записей (см. 8.2, перечисление с).

 

 

      8 Функционирование

 

 

      8.1 Оперативное планирование и контроль

Организация должна определять, планировать и контролировать те процессы, которые необходимы для рассмотрения рисков и возможностей, определяемых в 6.1, и удовлетворения требований, установленных в 6.1, путем:

 

- установления критериев для этих процессов;

 

- осуществления управления этими процессами в соответствии с заданными критериями;

 

- сохранения документально оформленной информации для подтверждения того, что процессы реализуются, как запланировано.

 

Организация должна контролировать запланированные изменения и анализировать последствия непредусмотренных изменений, принимая меры по снижению любых отрицательных эффектов по мере необходимости.

 

Организация должна управлять процессами, которые отданы на субподряд или выполняются сторонними организациями.

 

      8.2 Проектирование процессов менеджмента записями

Для создания СМЗ организация должна спроектировать процессы менеджмента записями в соответствии со следующим планом.

 

a) Проведение анализа рабочих процессов с целью определения требований к формированию и управлению записей в отношении непрерывных процессов и удовлетворения интересов участвующих сторон, включая отчетность (см. ИСО/ТО 26122).

 

b) Оценивание рисков, которые могут возникнуть в связи с невозможностью контролировать подлинные, достоверные и пригодные для использования записи о бизнес-процессах организации:

 

1) для оценки уровней рисков;

 

2) определения приемлемости рисков на основе установленных критериев или необходимости управления рисками;

 

3) выявления и оценивания возможностей управления рисками.

 

c) Определение процессов (см. Приложение А, касающееся процессов управления записями, которые должна использовать организация), способствующих формированию и управлению записями, и порядка их реализации в системах, а также выбор технических средств, подлежащих использованию.

 

1) Формирование:

 

i) установление того, какие записи, когда и как должны быть сформированы и обобщены для каждого бизнес-процесса;

 

ii) определение контентной, контекстной и управляющей информации (метаданных), которая должна быть включена в записи;

 

iii) принятие решения о том, в какой форме и структуре должны формироваться и накапливаться записи;

 

iv) определение подходящих методов формирования и накапливания записей.

 

2) Управление:

 

i) определение того, какая управляющая информация (метаданные) должна формироваться на основании процессов управления записями и как она будет связана с записями и контролироваться с течением времени;

 

ii) установление правил и условий использования записей с течением времени;

 

iii) обеспечение пригодности использования записей с течением времени;

 

iv) установление порядка санкционированного изъятия записей из обращения;

 

v) установление условий, которые должны применяться для ведения и поддержания в рабочем состоянии систем менеджмента записями.

 

Для достижения этих целей должны применяться процессы и средства управления, приведенные в Приложении А, с учетом ресурсов организации, бизнес-среды и выявленных рисков, а также нормативной и социальной среды.

 

 

      8.3 Внедрение систем записей

Организация должна осуществлять следующие действия:

 

a) внедрять процессы записей в системах записей для достижения установленных целей;

 

b) проводить регулярный мониторинг за результативностью функционирования систем записей на основании бизнес-требований и целей ведения записей;

 

c) регулировать функционирование систем записей.

 

Примечание - В условиях электронного обмена данными (например, при администрировании, в государственном и корпоративном управлении, торговле) процессы управления записями будут в большей степени автоматизироваться и обеспечиваться автоматизированными системами ведения записей. Существуют процессуальные нормы определения функциональных требований. Автоматизированные системы ведения записей должны соответствовать функциональным требованиям, совместимым с требованиями настоящего стандарта.

 

 

      9 Оценка результативности деятельности

 

 

      9.1 Мониторинг, измерение, анализ и оценивание

9.1.1 Организация должна определять:

 

- что подлежит измерению и мониторингу;

 

- методы проведения мониторинга, измерения, анализа и оценивания, исходя из реальной ситуации, для получения обоснованных результатов;

 

- когда должны проводиться мониторинг и измерение;

 

- когда должен проводиться анализ результатов мониторинга и измерения.

 

9.1.2 Организация должна оценивать результативность процессов и систем записей и результативность СМЗ.

 

Помимо этого организация должна:

 

a) в случае необходимости принимать меры в отношении негативных тенденций или результатов до возникновения несоответствия;

 

b) сохранять соответствующую документально оформленную информацию как свидетельство полученных результатов.

 

9.1.3 Для оценки результативности СМЗ организация должна проводить мониторинг и, в зависимости от обстоятельств, измерение следующих составляющих по мере необходимости:

 

a) политики ведения записей, чтобы убедиться в том, что она отражает текущие деловые потребности и актуализируется в случае любых значимых перемен в организации;

 

b) целей ведения записей, чтобы убедиться в том, что они согласуются с политикой ведения записей, являются достижимыми, действующими и способствуют постоянному совершенствованию;

c) изменений в бизнес-требованиях, законодательных и прочих требованиях, влияющих на СМЗ;

 

d) наличия и достаточности ресурсов, включая финансовые, человеческие, инфраструктурные, научно-технические и др.;

 

e) адекватности назначений и распределения функций, обязанностей и полномочий;

 

f) результативности деятельности лиц, несущих ответственность за внедрение СМЗ, представление отчетов по СМЗ и расширение информированности о СМЗ;

 

g) результативности выполнения процессов и функционирования систем согласно поставленным целям;

 

h) достаточности документации и должной реализации процедур управления записями;

 

i) результативности систем записей для достижения стратегических, управленческих и финансовых целей организации с использованием мер, определяемых при внедрении систем записей;

 

j) результативности программ подготовки и расширения информированности о СМЗ и стратегии обмена информацией;

 

k) удовлетворенности пользователей и основных партнеров.

 

В Приложении С приведены примеры оценки и измерения показателей в виде перечня контрольных вопросов для проведения самооценки.

 

Критерии мониторинга и измерения должны формироваться согласно изменениям в социальном, экономическом, стратегическом или правовом контексте организации.

 

 

      9.2 Внутренние проверки системы

Организация должна проводить внутренние проверки через запланированные промежутки времени для получения информации, помогающей определить, насколько СМЗ:

 

a) отвечает:

 

1) собственным требованиям организации к СМЗ,

 

2) требованиям настоящего стандарта;

 

b) результативно используется и поддерживается в работоспособном состоянии.

 

Организация должна:

 

- планировать, реализовывать и поддерживать в рабочем состоянии программы проведения проверок с учетом их периодичности, методов проведения, обязанностей, требований к планированию и отчетности, а также принимать во внимание важность используемых процессов и результатов предыдущих проверок;

 

- устанавливать критерии проведения проверок и область каждой проверки;

 

- выбирать аудиторов и проводить проверки для обеспечения объективности и беспристрастности процесса аудита;

 

- обеспечивать доведение результатов проверок до соответствующих руководителей;

 

- сохранять документально оформленную информацию как свидетельство полученных результатов.

 

 

      9.3 Анализ со стороны руководства

Высшее руководство должно проверять функционирование СМЗ организации через запланированные промежутки времени для обеспечения ее постоянной пригодности, адекватности и результативности.

 

Анализ со стороны руководства должен касаться:

 

a) реализации мер, принятых по результатам предыдущих анализов со стороны руководства;

b) изменений во внешних и внутренних аспектах, относящихся к СМЗ;

 

c) информации о результативности функционирования процессов и систем записей, включая тенденции в:

 

1) несоответствиях и корректирующих действиях;

 

2) результатах оценивания мониторинга и измерения;

 

3) результатах проверок;

 

d) возможностей для постоянного совершенствования.

 

В результате анализа со стороны руководства должны приниматься решения, касающиеся возможностей для постоянного совершенствования и возможной необходимости внесения изменений в СМЗ.

 

Организация должна сохранять документально оформленную информацию как свидетельство результатов анализов со стороны руководства.

 

 

      10 Улучшение

 

 

      10.1 Управление несоответствиями и корректирующие действия

Организация должна:

 

- выявлять несоответствия;

 

- реагировать на несоответствия и, в случае необходимости:

- принимать меры по управлению несоответствиями, их сдерживанию и исправлению;

 

- устранять последствия.

 

Организация также должна оценивать необходимость в принятии мер по устранению причин несоответствий, включая:

 

a) анализ несоответствий;

 

b) определение причин несоответствий;

 

c) выявление наличия потенциальных аналогичных несоответствий где-либо еще в СМЗ;

 

d) оценивание потребности в принятии мер по предотвращению повторного возникновения несоответствий или их возникновения где-либо еще;

 

e) определение и реализация требуемых мер;

 

f) проверка результативности принятых корректирующих мер;

 

g) внесение изменений в СМЗ в случае необходимости.

 

Корректирующие действия должны соответствовать последствиям возникающих несоответствий.

 

Организация должна сохранять документированную информацию как свидетельство:

 

1) характера несоответствий и любых принимаемых последующих мер;

 

2) результатов корректирующих действий.

 

 

      10.2 Постоянное улучшение

Организация должна постоянно улучшать результативность СМЗ путем использования политики ведения записей, целей, результатов проверок, анализа данных, корректирующих и предупреждающих действий и оценивания, проводимого руководством.

 

Очередность мер по улучшению должна устанавливаться согласно результатам оценки рисков (см. 6.1).

 

Приложение А

(обязательное)

 

           

Процессы и средства управления

           

Настоящее приложение дает представление о процессах и средствах управления записями, которые должны быть реализованы. Реализация может осуществляться дифференцированно в соответствии с характеристиками организации. Решение о неприменении какого-либо процесса должно быть обосновано (например, организация может решить не применять процесс А.2.4.3 "Передача", приведенный в Таблице А.1, поскольку не планируется передача ее записей другой организации).

 

Процессы и средства управления записями были сгруппированы и пронумерованы в Таблице А.1 согласно целям, приведенным в 8.2, перечисление с) 1) "Формирование" и 8.2, перечисление с) 2) "Управление". По каждому процессу управления записями предлагается одно или несколько средств управления.

 

Таблица А.1 - Процессы и средства управления записями

 

 

 

NN

Процесс управления

Средства управления

А.1

Формирование

А.1.1

Определение того, какие записи, когда и как должны быть сформированы и обобщены для каждого бизнес-процесса

А.1.1.1

Определение потребности в информации

Все операционные, отчетные, аудиторские и прочие потребности участвующих сторон в информации (обобщенной в качестве записей с соответствующими метаданными) о процессах организации должны систематически выявляться и документироваться

А.1.1.2

Определение требований

Требования к формированию, обобщению и менеджменту записей и решения не накапливать записи для конкретных процессов должны определяться на основании бизнес-требований, законодательных и иных требований, документально оформленных и санкционированных

А.1.1.3

Формирование достоверных записей

Записи должны формироваться на момент (или вскоре после) транзакции или особой ситуации, к которой они относятся частными лицами, обладающими непосредственным знанием фактов или средствами, повседневно используемыми организацией для проведения транзакции

А.1.1.4

Определение сроков хранения

Должна быть разработана процедура для определения сроков хранения записей согласно требованиям каждого рабочего процесса

А.1.1.5

Разработка графика изъятия из обращения

Решения относительно сохранения и изъятия записей из обращения, основанные на бизнес-требованиях, законодательных и иных требованиях, должны быть документально оформлены в графике изъятия из обращения

А.1.1.6

Определение методов интегрированного обобщения

Должны быть выбраны и документированы методы интеграции обобщенных записей с бизнес-процессами

А.1.2

Определение контентной, контекстной и управляющей информации (метаданных), которая подлежит включению в записи

А.1.2.1

Идентификация контекстуальной и описательной информации

Должна быть определена и документирована как часть требований к записям информация, необходимая для идентификации записей каждого рабочего процесса, включая идентификацию подразделения организации, ответственного за эти записи и рабочие процессы

А.1.2.2

Идентификация точек извлечения информации

Точки, в которых происходит извлечение контекстуальной информации или ее добавление в записи, а также источники такой информации должны быть идентифицированы в процедурах по каждому рабочему процессу

А.1.3

Принятие решения о том, в какой форме и структуре должны формироваться и накапливаться записи

А.1.3.1

Определение конкретных требований

Должна быть идентифицирована и документирована информация, а также форма и структура информации, требуемой в качестве записей для каждого рабочего процесса

А.1.4

Определение подходящих технических средств формирования и обобщения записей

А.1.4.1

Выбор технических средств

Для каждого рабочего процесса должны быть выбраны технические средства формирования и обобщения записей (автоматизированные или ручные). Выбор и любое изменение технических средств подлежат документированию

А.2

Управление

А.2.1

Определение того, какая управляющая информация (метаданные) должна быть сформирована на основе процессов записей и как она будет увязана с записями и управляться с течением времени

А.2.1.1

Регистрация

Для рабочих процессов, требующих свидетельство сбора данных, должна применяться процедура регистрации записей путем присвоения им индивидуального идентификатора на момент обобщения записей. Данная процедура должна обеспечивать отсутствие каких-либо транзакций с участием записей до завершения регистрации

А.2.1.2

Классификация

Записи должны быть сгруппированы (классифицированы) согласно рабочим процессам, к которым они относятся

А.2.1.3

Классификация

Схема группирования (классифицирования) записей, отражающая природу, количество и сложность рабочих процессов организации, должна быть документирована (включая изменения во времени) и реализована как часть процедур этих рабочих процессов

А.2.1.4

Отбор управляющей информации (элементов метаданных)

Описательная и управляющая информация (элементы метаданных), требуемая для формирования записей по каждому рабочему процессу и управления ими, должна быть идентифицирована и документирована

А.2.1.5

Определение хронологии событий

Должны быть определены процессы управления записями, которые должны быть зафиксированы в метаданных и увязаны с хронологией событий. Должны быть разработаны процедуры для увязки хронологии событий с записями и сохранены в течение того же времени, что и записи

А.2.1.6

Управление записями в рамках организации

Решения относительно того, какие метаданные требуются для идентификации, контролирования и управления записями на всех уровнях организации и вне ее, должны быть документированы и реализованы

А.2.2

Установление правил и условий для использования записей с течением времени

А.2.2.1

Разработка правил доступа

Должны быть разработаны правила для регулирования доступа к записям на основе требований к рабочим процессам, соответствующего законодательства и, если это целесообразно, коммерческих соображений. Правила должны быть документированы и должны действовать так долго, как требуются записи

А.2.2.2

Реализация правил доступа

Правила доступа должны реализовываться в системах записей путем присвоения статуса доступа как записям, так и исполнителям

А.2.3

Сохранение применимости записей с течением времени

А.2.3.1

Сохранение целостности и аутентичности

Должны быть реализованы процедуры, обеспечивающие целостность и защиту записей и предотвращающие несанкционированное использование, внесение изменений, изъятия, сокрытие и (или) уничтожение

А.2.3.2

Сохранение применимости

Средства ведения/хранения записей должны отвечать соответствующим стандартам для используемых носителей и технологий, чтобы обеспечивать их дальнейшую применимость в течение требуемого срока

А.2.3.3

Сохранение применимости

Должны быть разработаны и внедрены процедуры для обеспечения доступности и полноценности цифровых записей с течением времени, также вне контекста их формирования

А.2.3.4

Пределы и ограничения

Ограничения, включая использование кодирования, должны быть сняты по истечению указанного периода времени

А.2.4

Осуществление санкционированного изъятия записей из обращения

А.2.4.1

Осуществление изъятия из обращения

Должны быть разработаны процедуры для анализа, санкционирования и реализации решений относительно сохранения и изъятия записей из обращения по каждому рабочему процессу

А.2.4.2

Санкционирование изъятия из обращения

Решения относительно передачи, изъятия или уничтожения записей должны быть санкционированы и документированы

А.2.4.3

Передача

Должны быть разработаны и реализованы процедуры для санкционированной и контролируемой передачи записей другой организации или системе

А.2.4.4

Изъятия

Должны быть разработаны и реализованы процедуры для санкционированного, регулярного изъятия записей, которые больше не требуются, включая их перенос в удаленное хранилище или в автономное хранилище данных

А.2.4.5

Сохранение информации об уничтоженных записях

В тех случаях, когда характер и сложность деятельности и официальное ведение учета требуют этого, должна сохраняться управляющая информация (регистрация, идентификация и хронологические метаданные) о записях, которые были уничтожены

А.2.5

Создание условий для ведения и поддержания в работоспособном состоянии систем записей

А.2.5.1

Идентификация систем записей

Все системы записей (включая бизнес-системы, хранящие записи) должны быть четко обозначены, закреплены за ответственным владельцем и документированы в описи, которая регулярно актуализируется

А.2.5.2

Документирование внедренческих решений

Внедренческие решения по системам записей должны документироваться, должно обеспечиваться их выполнение, и они должны предоставляться всем пользователям, которым они требуются

А.2.5.3

Доступ к системам записей

Должны быть разработаны, документированы и соблюдаться правила для регулирования доступа к системам записей с целью выполнения задач по системному администрированию

А.2.5.4

Обеспечение доступности

Должны быть разработаны процедуры по текущему техническому обслуживанию для обеспечения доступности систем записей

А.2.5.5

Обеспечение результативности

Должен осуществляться и документироваться регулярный мониторинг результативности систем записей на соответствие бизнес-требованиям и целям

А.2.5.6

Обеспечение целостности

Должны быть предусмотрены процедуры для обеспечения и подтверждения того, что любой отказ, любая модернизация или регулярное обслуживание системы не влияют на целостность записей

А.2.5.7

Управление изменениями

Изменения в системах записей, в частности, особые операции (такие как миграция, интегрирование новых требований, изменение или прерывание компьютерных технологий) должны анализироваться, планироваться и реализовываться. Все принимаемые решения должны документироваться

 

           

В Приложении В рассматривается взаимосвязь между настоящим стандартом и ИСО 9001, ИСО 14001 и ИСО/МЭК 27001 и сопоставляются общие разделы, касающиеся управления документами и записями в этих международных стандартах со средствами управления записями, приведенными в Таблице А.1.

 

Приложение В

(справочное)

 

      

Взаимосвязь между ИСО 9001, ИСО 14001, ИСО/МЭК 27001 и настоящим стандартом      

В стандартах на системы менеджмента, таких как ИСО 9001, ИСО 14001 или ИСО/МЭК 27001, имеется раздел по документации, состоящий из подразделов, касающихся общего порядка управления документацией и записями, а именно:

 

a) Общая часть оговаривает перечень документов, включая записи, которые должны быть включены в систему менеджмента.

 

b) Подраздел по управлению документацией устанавливает требования к подготовке документов, их анализу, утверждению, управлению статусом пересмотра, распространению и наличию, обозначению и предотвращению неправильного использования.

 

c) Подраздел по управлению записями устанавливает процедуры для подготовки записей, их идентификации, архивации, защиты, поиска, сроков хранения и изъятия из обращения.

 

Хотя записи представляют собой особый вид документов, определяемый в стандартах системы менеджмента, документы, идентифицируемые или рассматриваемые как записи в каждой системе менеджмента, должны быть управляемыми для удовлетворения требований как к управлению документацией, так и к управлению записями на протяжении всего цикла от подготовки, распространения, использования до изъятия из обращения.

 

Требования, установленные для управления записями в каждом стандарте на системы менеджмента, являются недостаточными сами по себе для применения и управления записями и документами. Настоящий стандарт дает рекомендации относительно того, как должным образом управлять записями и документами, требуемыми в других системах менеджмента.

 

Для правильного формирования и управления записями настоящий стандарт определяет процессы управления записями и их назначение, как они должны осуществляться в рамках систем и как выбирать используемые технические средства.

 

В Таблице В.1 показана взаимосвязь между процессами СМЗ и средствами управления, содержащимися в Приложении А настоящего стандарта и разделах других стандартов на системы менеджмента, касающихся документации.

 

Таблица В.1 - Взаимосвязь между процессами СМЗ и средствами управления

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Взаимосвязь между ИСО 9001:2008, ИСО 14001:2004, ИСО/МЭК 27001:2005

Процессы управления записями, приведенные в Приложении А настоящего стандарта

 

ИСО 9001:2008

ИСО 14001:2004

ИСО/МЭК 27001:2005

Формирование

Управление

 

 

 

 

А.1.1

А.1.2

А.1.3

А.1.4

А.2.1

А.2.2

А.2.3

А.2.4

А.2.5

Общее

4.2 Требования к документации

 

4.2.1 Общие положения

 

Документация системы менеджмента качества должна включать в себя:

 

a) документально оформленные заявления о политике и целях в области качества;

4.4.4 Документация

 

Документация системы экологического менеджмента должна содержать:

 

a) экологическую политику, цели и задачи;

 

b) описание области применения системы экологического менеджмента;

4.3 Требования к документации

 

4.3.1 Общие положения

 

Документация системы менеджмента информационной безопасности (СМИБ) должна включать:

 

a) документированные заявления о политике (см. 4.2.1b)) и целях СМИБ;

*

 

 

 

 

 

 

 

 

 

 

b) руководство по качеству;

 

c) документированные процедуры и записи, требуемые настоящим стандартом;

 

d) документы, включая записи, определенные

c) описание основных элементов системы экологического менеджмента менеджмента и их взаимодействия, а также ссылки на соответствующие документы;

 

d) документы, включая

b) область применения СМИБ

(см. 2.1а));

 

c) процедуры и средства управления в поддержку СМИБ;

 

d) описание методологии оценки рисков (см. 4.2.1с));

 

 

 

 

 

 

 

 

 

 

организацией как необходимые ей для обеспечения эффективного планирования, осуществления процессов и управления ими

записи, требуемые настоящим международным стандартом;

е) документы, включая записи, определенные организацией как необходимые для обеспечения результативного планирования, функционирования и управления процессами, которые связаны со значимыми экологическими аспектами

 

e) отчет об оценке рисков

(см. 4.2.1с)-4.2.1g));

 

f) план обработки рисков

(см. 4.2.2b));

 

g) документированные процедуры, необходимые организации для того, чтобы гарантировать результативное планирование, работу и управление ее процессами защиты информации, а также для того, чтобы описать, как измерять

 

 

 

 

 

 

 

 

 

 

 

 

результативность средств управления (см. 4.2.3с));

 

h) записи, требуемые настоящим международным стандартом (см. 4.3.3);

 

i) заявление о применимости

 

 

 

 

 

 

 

 

 

 

 

 

Документация должна содержать записи об управленческих решениях, обеспечивать прослеживаемость действия до управленческих решений и принципов деятельности и обеспечивать воспроизводимость зарегистрированных результатов.

 

 

 

 

 

 

 

 

 

 

 

 

Важно иметь возможность продемонстрировать зависимость результатов оценки рисков и процесса обработки рисков от выбранных средств управления и, соответственно, политики и целей СМИБ

 

 

 

 

 

 

 

 

 

 

 

 

Документация должна содержать записи об управленческих решениях, обеспечивать прослеживаемость действия до управленческих решений и принципов деятельности и обеспечивать воспроизводимость зарегистрированных результатов.

*

*

 

 

 

*

 

 

 

 

 

 

Важно иметь возможность продемонстрировать зависимость результатов оценки рисков и процесса обработки рисков от выбранных средств управления и, соответственно, политики и целей СМИБ

 

 

 

 

 

 

 

 

 

Управле-

ние доку-

ментацией

4.2.3 Управление документацией

4.4.5 Управление документацией

4.3.2 Управление документацией

*

 

 

 

 

 

 

 

*

 

Документы системы менеджмента качества должны быть управляемыми. Записи, представляющие собой специальный вид документов, должны быть управляемыми согласно требованиям 4.2.4.

Документами, требуемыми системой экологического менеджмента и настоящим международным стандартом, необходимо управлять. Записи являются документами особого вида, и ими необходимо

Документы, требуемые СМИБ, должны быть защищенными и управляемыми.

 

Должна быть разработана документированная процедура для определения действий руководства,

 

 

 

 

 

 

 

 

 

 

Должна быть разработана документированная процедура для определения средств управления, требуемых для официального одобрения документации с точки зрения ее адекватности до выпуска (4.2.3а))

управлять в соответствии с требованиями 4.5.4.

 

Организация должна установить, внедрить и поддерживать процедуру(ы) для одобрения документов перед выпуском на предмет их адекватности (4.4.5а))

необходимых для одобрения документов перед выпуском на предмет их адекватности (4.3.2а))

 

 

 

 

 

 

 

 

 

 

Для анализа и актуализации по мере необходимости и повторного официального одобрения документов (4.2.3 b)).

Для анализа, актуализации документов по мере необходимости и их повторного утверждения (4.4.5 b)).

Для анализа и актуализации документов по мере необходимости и их повторного утверждения (4.3.2 b)).

 

*

 

 

*

 

 

*

 

 

Для обеспечения идентификации изменений и статуса пересмотра документов (4.2.3 с))

Для обеспечения идентификации изменений и текущего статуса пересмотра документов (4.4.5с))

     

Для обеспечения идентификации изменений и текущего статуса пересмотра документов (4.3.2 с))

 

 

 

 

 

 

 

 

 

 

Для обеспечения наличия соответствующих версий документов в местах их применения (4.2.3d))

Для обеспечения наличия соответствующих версий документов в местах их применения (4.4.5d))

Для обеспечения наличия соответствующих версий документов в местах их применения (4.3.2d))

 

 

 

 

 

*

*

 

 

 

Для обеспечения сохранения документов четкими и легко идентифицируемыми (4.2.3е))

Для обеспечения удобочитаемости и идентифицируемости документов (4.4.5е))

Для обеспечения удобочитаемости и идентифицируемости документов (4.3.2е))

 

*

*

 

 

 

*

 

 

 

Для обеспечения идентификации и управления рассылкой документов внешнего происхождения, определенных организацией как необходимые для планирования и функционирования системы менеджмента качества (4.2.3f))

Для обеспечения идентификации и контроля распространения документов внешнего происхождения, определяемых организацией как необходимые для планирования и функционирования системы экологического менеджмента (4.4.5f))

Для обеспечения идентификации документов внешнего происхождения (4.3.2g)).

 

Для обеспечения контроля распространения документов (4.3.2h))

 

*

 

 

*

*

 

 

 

 

Для предотвращения непреднамеренного использования устаревших документов и применение соответствующей идентификации таких документов, оставленных для каких-либо целей (4.2.3g))

Для предотвращения непреднамеренного использования устаревших документов и для обозначения таких документов соответствующим образом, если они сохранены для каких- либо целей (4.4.5g))

Для предотвращения непреднамеренного использования устаревших документов (4.3.2i)).

 

Для обозначения таких документов соответствующим образом, если они сохранены для каких- либо целей (4.3.2j))

 

 

 

 

 

*

*

*

 

 

 

 

Для обеспечения доступа к документам лицам, которые в них нуждаются, а также передачи, хранения и уничтожения их в соответствии с процедурами, применимыми к степени их конфиденциальности (4.3.2f)).

 

 

 

 

 

 

 

 

 

Управле-

ние записями

4.2.4 Управление записями

4.5.4 Управление записями

4.3.3 Управление записями

*

*

 

 

*

 

 

 

 

 

Для предоставления свидетельств соответствия требованиям и результативного функционирования системы менеджмента качества необходимо формировать и вести записи (4.2.4)

Организация должна создавать и вести записи, необходимые для демонстрации соответствия требованиям своей системы экологического менеджмента и настоящего международного стандарта, а также записи о достигнутых результатах (4.5.4)

Для получения свидетельств соответствия требованиям и результативности функционирования СМИБ необходимо формировать и вести записи.

 

Необходимо обеспечивать защиту и управление записями (4.3.3)

 

 

 

 

 

 

 

 

 

 

Записи должны оставаться четкими, легко идентифицируемыми и восстанавливаемыми (4.2.4)

Записи должны быть удобочитаемыми, идентифицируемыми и прослеживаемыми (4.5.4)

Записи должны оставаться четкими, легко идентифицируемыми и восстанавливаемыми (4.3.3)

 

*

*

 

 

*

*

 

 

 

Должна быть разработана документированная процедура для определения средств управления, необходимых для идентификации, хранения, защиты, восстановления, сохранения и изъятия записей (4.2.4)

Организация должна разработать, внедрить и поддерживать в рабочем состоянии процедуру или процедуры для идентификации, хранения, защиты, восстановления, сохранения и изъятия записей (4.5.4)

Должны быть документированы и внедрены средства управления, требуемые для идентификации, хранения, защиты, восстановления, определения сроков хранения и изъятия записей (4.3.3)

*

 

 

 

*

*

*

*

*

 

 

 

СМИБ должна принимать во внимание все соответствующие нормативно-правовые требования и договорные обязательства (4.3.3)

*

 

 

 

 

 

 

 

 

 

 

 

Следует вести и хранить записи об эффективности функционирования процесса, описанного в 4.2, и обо всех значительных инцидентах информационной безопасности, связанных со СМИБ (4.3.3)

 

 

 

 

 

 

 

 

 

 

     

 

Приложение С

(справочное)

 

           

Перечень контрольных вопросов для проведения самооценки

Таблица С.1 - Перечень контрольных вопросов для проведения самооценки

 

 

 

 

 

 

 

Подраз-

дел настоя-

щего стан-

дарта

Проверить

Отвечает требованиям

Требует улучшения

Нет

Ожидается

Не применимо

4.1

Выявила и документировала ли организация внутренние и внешние факторы, влияющие на СМЗ, включая основных партнеров организации, которые заинтересованы в целях управления записями?

 

 

 

 

 

4.2

Определены ли в документации СМЗ следующие основные требования:

 

- законодательные;

 

- нормативные;

 

- бизнес-требования, которым должна отвечать СМЗ?

 

 

 

 

 

4.3

Определила и документировала ли организация область применения и цели СМЗ?

 

 

 

 

 

4.3

Включает ли область применения определение:

 

- подразделений;

 

- функций;

 

- внешних организаций, предоставляющих услуги организации, к которой применима СМЗ?

 

 

 

 

 

5.1

Довело ли высшее руководство решение о создании СМЗ до работников организации?

 

 

 

 

 

5.2

Имеется ли у организации четкая политика ведения записей?

 

 

 

 

 

5.2

Принята и утверждена ли политика ведения записей высшим руководством?

 

 

 

 

 

5.2

Установлена ли ответственность за выполнение требований?

 

 

 

 

 

5.3

Назначен ли высшим руководством конкретный представитель руководства с четко определенной ролью, ответственностью и полномочиями в отношении СМЗ?

 

 

 

 

 

6.1

Идентифицировала и документировала ли организация все риски и возможности, учитываемые СМЗ?

 

 

 

 

 

6.2

Установила ли организация цели управления записями по своим основным рабочим процессам с учетом всех рисков и возможностей?

 

 

 

 

 

6.2

Являются ли цели, согласующиеся с политикой ведения записей, измеримыми и практически осуществимыми?

 

 

 

 

 

6.2

Соразмерны ли цели управления записями ресурсам организации?

 

 

 

 

 

6.2

Существует ли план реализации, определяющий:

 

- кто несет ответственность;

 

- что должно быть сделано;

 

- своевременность в отношении достижения целей управления записями?

 

 

 

 

 

7.1

Соизмеримы ли выделенные ресурсы полному внедрению СМЗ?

 

 

 

 

 

7.2

Наделены ли ответственностью за достижение целей управления записями компетентные специалисты на соответствующих уровнях по всей организации?

 

 

 

 

 

7.3

Разработаны ли программы подготовки кадров и образовательные программы в отношении целей управления записями и плана реализации?

 

 

 

 

 

7.4

Разработаны ли процедуры для внутреннего и внешнего обмена информацией относительно СМЗ?

 

 

 

 

 

7.5

Осуществляется ли должная идентификация, управление и ведение документации, требуемой для функционирования СМЗ, особенно процедур?

 

 

 

 

 

8.1

Планируются и реализуются ли процессы, необходимые для изучения рисков и возможностей?

 

 

 

 

 

8.2

Имеется ли документация по выбору процессов управления записями и средств управления, используемых для проектирования систем записей, применяемых в рамках СМЗ?

 

 

 

 

 

8.3

Имеется ли документация по применению систем записей и насколько они отвечают целям управления записями?

 

 

 

 

 

9.1

Регулярно ли обследуются заинтересованные стороны на предмет оценивания результативности СМЗ для удовлетворения их ожиданий?

 

 

 

 

 

9.2

Проводится ли аудит СМЗ через регулярные промежутки времени?

 

 

 

 

 

9.3

Осуществляется ли анализ со стороны руководства и оценивается ли эффективность функционирования СМЗ?

 

 

 

 

 

10.1

Существует ли процедура реагирования на несоответствия и их исправления, определяемая процессами мониторинга и аудита?

 

 

 

 

 

10.2

Разработала ли организация процедуры внесения исправлений, актуализации и улучшения СМЗ?

 

 

 

 

 

 

     

     

Приложение ДА

(справочное)

 

           

Сведения о соответствии ссылочных международных стандартов ссылочным национальным стандартам Российской Федерации (и действующим в этом качестве межгосударственным стандартам)

Таблица ДА

 

 

 

Обозначение ссылочного международного стандарта

Степень соответствия

Обозначение и наименование соответствующего национального стандарта

ИСО 9001:2008

IDT

ГОСТ ISO 9001-2011 "Системы менеджмента качества. Требования"

ИСО 14001:2004

IDT

ГОСТ Р ИСО 14001-2007 "Системы экологического менеджмента. Требования и руководство по применению"

ИСО/МЭК 27001:2005

IDT

ГОСТ Р ИСО/МЭК 27001-2006 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования"

ИСО 30300:2011

-

*

 

* Соответствующий национальный стандарт отсутствует. До его утверждения рекомендуется использовать перевод на русский язык данного международного стандарта. Перевод данного международного стандарта находится в Федеральном информационном фонде технических регламентов и стандартов.     

 

 

Примечание - В настоящей таблице использованы следующее условное обозначение степени соответствия стандартов:

 

 

IDT - идентичные стандарты.

 

 

      

    

 

 Библиография

 

 

 

[1]

ISO 9001:2008

Quality management systems - Requirements

[2]

ISO 14001:2004

Environmental management systems - Requirements with guidance for use

[3]

ISO 15489-1

Information and documentation - Records management - Part 1: General

[4]

ISO/TR 15489-2

Information and documentation - Records management - Part 2: Guidelines

[5]

ISO 19011

Guidelines for auditing management systems

[6]

ISO/TR 26122

Information and documentation - Work process analysis for records

[7]

ISO/IEC 27001:2005

Information technology - Security techniques - Information security management system - Requirements

[8]

ISO Guide 72

Guidelines for the justification and development of management system standards

 

 

 

УДК 658.562.014:006.354

ОКС 03.120.10

 

 

Ключевые слова: системы менеджмента, записи

 

Чат GPT

Вверх