База ГОСТовallgosts.ru » 01. ОБЩИЕ ПОЛОЖЕНИЯ. ТЕРМИНОЛОГИЯ. СТАНДАРТИЗАЦИЯ. ДОКУМЕНТАЦИЯ » 01.140. Информатика. Издательское дело

ГОСТ Р ИСО 30301-2014 Информация и документация. Системы менеджмента записей. Требования

Обозначение: ГОСТ Р ИСО 30301-2014
Наименование: Информация и документация. Системы менеджмента записей. Требования
Статус: Действует
Дата введения: 03/01/2015
Дата отмены: -
Заменен на: -
Код ОКС: 01.140.20
Скачать PDF: ГОСТ Р ИСО 30301-2014 Информация и документация. Системы менеджмента записей. Требования.pdf
Скачать Word:ГОСТ Р ИСО 30301-2014 Информация и документация. Системы менеджмента записей. Требования.doc

Текст ГОСТ Р ИСО 30301-2014 Информация и документация. Системы менеджмента записей. Требования



ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ


НАЦИОНАЛЬНЫЙ

СТАНДАРТ

РОССИЙСКОЙ

ФЕДЕРАЦИИ


ГОСТ Р ИСО 30301—

2014


ИНФОРМАЦИЯ И ДОКУМЕНТАЦИЯ

Системы менеджмента записей. Требования

ISO 30301:2011

Information and documentation — Management systems for records —

Requirements

(IDT)

Издание официальное


Москва

Стандартинформ

2015

Предисловие

1    ПОДГОТОВЛЕН Открытым акционерным обществом «Всероссийский научноисследовательский институт сертификации- (ОАО «ВНИИС») на основе собственного аутентичного перевода на русский язык международного стандарта, указанного е пункте 4

2    ВНЕСЕН Техническим комитетом по стандартизации ТК 076 «Системы менеджмента -

3    УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 28 мая 2014 г. No 460-ст

4    Настоящий стандарт идентичен международному стандарту ИСО 30301.2011 «Информация и документация. Системы менеджмента записей. Требования» (ISO 30301:2011 «Information and documentation — Management systems for records — Requirements»).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в справочном Приложении ДА

5    ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в ГОСТ Р 1.0—2012 (Раздел в). Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе «Национальные стандарты», а текст изменений и поправок — е ежемесячно издаваемых информационных указателях «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе «Национальные стандарты». Соответствующая информация. уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (gost.nj).

© Стандарт и нформ. 2015

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

Содержание

Приложение В (справочное) Взаимосвязь между ИСО 9001, ИСО 14001, ИСО/МЭК 27001

Приложение ДА (справочное) Сведения о соответствии ссылочных международных стандартов ссылочным национальным стандартам Российской Федерации (и действующим в этом качестве межгосударственным стандартам)............................................25

Введение

Успех функционирования организации в существенной степени зависит от внедрения и поддержания в работоспособном состоянии системы менеджмента, которая предназначена для постоянного улучшения эффективности деятельности и одновременного удовлетворения нужд всех заинтересованных сторон. Системы менеджмента основаны на методологиях, помогающих в принятии решений и в управлении ресурсами для достижения целей организации.

Формирование и ведение записей являются неотъемлемой частью деятельности, процессов и систем любой организации. Они обеспечивают эффективность деятельности, возможность ведения учета, менеджмент рисков и устойчивость функционирования организации. Они также дают возможность организациям извлекать выгоду из ценности своих информационных ресурсов как производственных, коммерческих и интеллектуальных активов и содействовать сохранению коллективной памяти в условиях глобальной и цифровой среды.

Стандарты на системы менеджмента (ССМ) предоставляют возможность высшему руководству применять системный и надежный подход к управлению организацией в условиях, стимулирующих надежную деловую практику.

Стандарты на системы менеджмента записей, разрабатываемые ИСО/ТК 4&'ПК 11. призваны помогать организациям всех видов и масштабов или группам организаций, осуществляющих совместную предпринимательскую деятельность, во внедрении, использовании и совершенствовании результативных систем менеджмента записей (далее — СМ3). СМ3 направляет и контролирует организацию с целью выработки политики и определения задач, связанных с ведением записей, и решения этих задач. Это осуществляется за счет использования:

a)    строго определенных функций и обязанностей;

b)    систематизированных процессов:

c)    измерений и оценивания;

d)    анализа и совершенствования.

Осуществление политики ведения записей и решение задач, полностью основанных на требованиях организации, будут способствовать формированию достоверной и надежной информации и получению подтверждений о предпринимательской деятельности, ведению такой информации и предоставлению ее тем. кто в ней нуждается, в течение необходимого периода времени. Успешная реализация надежной политики ведения записей и решение соответствующих задач способствуют формированию записей и созданию систем управления записями, отвечающих всем целям организации.

Внедрение СМ3 в организации также гарантирует прозрачность и прослеживаемость решений, принимаемых ответственными руководителями, и осознание общественных интересов.

Стандарты на СМ3 разрабатываются ИСО/ТК 46/ПК 11 в рамках стандартов на системы менеджмента (ССМ) для обеспечения совместимости с другими ССМ и использования общих элементов и методологии. ИСО 15489 и другие международные стандарты и технические отчеты, также разработанные ИСО/ТК 46/ПК 11. служат основными инструментами проектирования, внедрения, мониторинга и совершенствования документооборота и управления записями, осуществляемых в рамках СМ3, когда организации принимают решение о внедрении методологии ССМ.

Примечание — ИСО 15489 является основополагающим стандартом. систематизирующим оптимальные методы ведения записей.

На Рисунке t показана структура стандартов на СМ3, разрабатываемых ИСОЯК 46/ПК 11. которые либо уже опубликованы, либо находятся в стадии подготовки.

Эти стандарты предназначены для использования:

*    высшим руководством, принимающим решения о формировании и внедрении систем менеджмента в рамках своей организации:

*    персоналом, отвечающим за внедрение СМ3, в частности, специалистами по менеджменту рисков, аудитам, документообороту, информационным технологиям и информационной безопасности.

СМ3 определяет требования и ожидания заинтересованных сторон (потребителей и основных участников) к ведению записей и путем использования необходимых процессов формирует записи, удовлетворяющие этим требованиям и ожиданиям.

На Рисунке 2 показаны структура СМ3 и связи с потребителями и основными партнерами.

Стандарты на системы менеджмента записей Основа корпоративного управления записями


Основные положения и терминология

ИСО 30300

Системы менеджмента эа/мевй Основные положения и словарь

Требования

ИСО 30301

Системы менеджмента записей. Требоеажя


исо зозоз

Системы менеджмента записей Требования к органам, проводящим аудит и сертификацию


Родственные международные стандарты и технические отчеты Внедрение процессов управления записями


ИСО 1S480 Менеджмент записей

Часть 1 Общие положения

Часть 2 Русоеодтцие умаэанмя


ИСО 23081 Метаданные для 1 алтеей. Часть 1 Примдипы


Часть 2 Концов ии и вопросы реапизации


Часть 3 Метод самооцемш


исогто

28122

Аиапмэ

рабочих

процессов


Руководящие указания Опорные структурные элементы высокого

уровня


ИСО 30302

Системы менеджмента записей

РучоеодАдие указания по применению


В


ИСОГТО

13026

Руководство

по

оцифрованию

записей


ИСО 13008 Процесс конверсии

и МИфЭЦ»Ы цифровых записей


ИСО 30304

Системы менеджмента записей

Руководство по ОЦСИ1С


ИСО 1817S Принципы и функциональные требования к записям в электронной офисной среде часть 1. Обзор и основные

ПРИНЦИПЫ


Честь 2. Руководящие уоэагыя и функцио малыше требования к системам менеджмента цифровых записей


Часть 3 Руководящие указания и функциональные требовала к записям е биэкес-система*


Рисунок 1 — Стандарты на системы менеджмента записей, разработанные ИСОЯК 46-ЛК 11. и родственные международные стандарты и технические отчеты


Требования и ожидания, связанные с менеджментом записей

Потребители и основные партнеры

Потребители и основные партнеры

Рисунок 2 — Структура СМ3


Верные

управленческие решения для достижения политических целей и удовлетворен ожиданий


НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

ИНФОРМАЦИЯ И ДОКУМЕНТАЦИЯ Системы менеджмента записей. Требования Information and documentation — Management systems tor records — Requirements

Дата введения — 2015—03—01

1    Область применения

Настоящий стандарт устанавливает требования, которым должна отвечать СМ3, чтобы помочь организации в выполнении своих обязательств, назначения, стратегии и достижении целей. Настоящий стандарт касается разработки и реализации политики и целей ведения записей и предоставляет сведения о результатах измерений и мониторинга.

СМ3 может создаваться организацией или группой организаций, осуществляющих совместную предпринимательскую деятельность. Используемый в настоящем стандарте термин «организация» не ограничивается одной организацией, а включает и другие организационные структуры.

Настоящий стандарт применим к любой организации, желающей:

a)    сформировать, внедрить, поддерживать в работоспособном состоянии и совершенствовать СМ3 в поддержку своей основной деятельности;

b)    удостовериться в правильности лроведения своей заявленной политики ведения записей:

c)    продемонстрировать соответствие настоящему стандарту путем:

1)    проведения самооценки и самодекларирования:

2)    запрашивания подтверждения своего самодекларирования у сторонней организации:

3)    обращения к сторонней организации на предмет проведения сертификации своей СМ3. Настоящий стандарт может применяться наряду с другими стандартами на системы

менеджмента (ССМ). Он особенно полезен для демонстрации выполнения требований других ССМ к документации и записям.

2    Нормативные ссылки

Приведенный ниже ссылочный документ необходим для использования настоящего стандарта. Для датированных ссылок применяют только ту версию, которая была упомянута в тексте. Для недатированных ссылок необходимо использовать самое последнее издание документа (включая любые поправки).

ИСО 30300 Информация и документация. Системы менеджмента записей. Основные положения и словарь (ISO 30300:2011 Information and documentation. Management systems for records. Fundamentals and vocabulary).

3    Термины и определения

8 настоящем стандарте применены термины и определения по ИСО 30300.

4 Среда организации

4.1 Понимание внешней и внутренней среды организации

При формировании и доработке СМ3 организация должна принимать во внимание соответствующие внешние и внутренние факторы.

Следует документировать внешние и внутренние факторы, выявленные и принимаемые во внимание при формировании и доработке СМ3.

Издание официальное

Понимание внешней среды организации включает в себя помимо прочего:

a)    понимание социальных и культурных, правовых, нормативных, финансовых, научнотехнических. экономических, природных и конкурентных условий, будь то международные, национальные, региональные или местные;

b)    понимание ключевых движущих сил и тенденций, которые могут оказывать влияние на цели организации;

c)    понимание взаимосвязей с внешними заинтересованными сторонами и восприятие их ценностей и ожиданий.

Понимание внутренней среды организации включает в себя помимо прочего:

1)    методы корпоративного управления, организационную структуру, функции и обязанности;

2)    политику, цели, задачи и стратегии, реально действующие и требующие реализации и достижения;

3)    возможности с точки зрения ресурсов и знаний (например, капитал, время, персонал, процессы, системы и технологии):

4)    информационные системы, информационные потоки и процессы принятия решений (как официальные, таки неофициальные):

5)    взаимосвязи с внутренними заинтересованными сторонами, восприятие ими ценностей и культуры организации:

6)    стандарты, руководящие положения и модели, принятые в организации:

7)    форма и масштабы договорных взаимоотношений.

4.2    Бизнес-требования, законодательные и другие требования

При установлении и пересмотре своих целей в области ведения записей организация должна принимать во внимание бизнес-требования, законодательные, нормативные и другие требования, относящиеся к формированию записей и управлению ими.

Организация должна оценивать и документировать бизнес-требования, законодательные, нормативные и другие требования, влияющие на ее деятельность, которую она должна выполнять и для выполнения которой требуется свидетельство соответствия.

Бизнес-требования включают все требования к должному выполнению работ или деятельности организации. Требования возникают в связи с текущими показателями деятельности, будущими планами и развитием, управлением рисками и планированием устойчивости функционирования организации.

Законодательные требования включают требования, относящиеся к формированию и ведению записей. Источниками законодательных требований являются:

a)    статутное и прецедентное право, включая законы и регламенты, определяющие отраслевую и общую деловую среду:

b)    законы и регламенты, относящиеся непосредственно к свидетельствам, записям и архивам, доступу, конфиденциальности, защите данных и информации, а также к электронной торговле;

c)    конституционно-правовой статус организаций, уставы или соглашения, стороной в которых является организация:

d)    условия договоров и других инструментов, которые организация юридически обязана выполнять.

К другим требованиям относятся неузаконенные добровольные обязательства, которые на себя принимает организация:

- добровольные кодексы лучшей практики;

•    добровольные кодексы поведения и корпоративной этики:

•    идентифицируемые ожидания сообщества относительно того, что является допустимым поведением для определенной отрасли или организации, включая надлежащее управление, должный контроль за мошенническим или злонамеренным поведением и прозрачность принятия решений.

4.3    Определение области применения системы менеджмента записей

Организация должна определить и документировать область применения своей системы менеджмента записей.

Область применения СМ3 может охватывать всю организацию, конкретные функциональные подразделения организации, конкретные участки организации или одно, или несколько функциональных подразделений в рамках группы организаций.

При соэдании СМ3 для одного или нескольких конкретных функциональных подразделений в рамках группы организаций, область применения СМ3 должна включать взаимоотношения между субъектами и роль каждого субъекта.

8 том случае, когда организация передает стороннему исполнителю любой процесс, влияющий на соответствие требованиям к СМ3, организация должна обеспечить контроль за такими процессами. Управление исполнителями и процессами, переданными сторонним исполнителям, должно быть определено в рамках области применения СМ3.

5 Лидирующая роль руководства

5.1    Обязательства руководства

высшее руководство должно демонстрировать свои обязательства путем:

•    обеспечения совместимости СМ3 со стратегическим направлением организации;

•    включения требований к СМ3 в бизнес-процессы организации:

•    предоставления ресурсов для создания, внедрения, поддержания в работоспособном состоянии и постоянного улучшения СМ3:

•    информирования о значимости результативной СМ3 и выполнения требований к СМ3: обеспечения достижения СМ3 намеченных результатов;

направления и поддержки постоянного совершенствования.

Примечание — Ссылка на «бизнес- в настоящем стандарте имеет широкое толкование и означает ту деятельность, которая является ключевой для обеспечения существования организации.

5.2    Политика

Высшее руководство должно разрабатывать политику ведения записей. Такая политика должна:

-    соответствовать целям организации:

•    обеспечивать основу для установления целей управления записями;

•    включать обязательство по выполнению действующих требований:

-    доводиться до сведения всех работников организации;

•    предоставляться заинтересованным сторонам по мере необходимости.

Организация должна сохранять документально оформленную информацию о политике ведения записей.

Политика ведения записей должна включать стратегические планы высшего уровня в отношении создания и управления достоверными, надежными и пригодными для использования записями, способными обеспечивать выполнение функций и операций организации и защищать целостность этих записей до тех пор, пока они могут потребоваться.

Организация должна обеспечивать доведение политики ведения записей до всех уровней организации и внедрение ее на всех уровнях, а также доведение ее до сведения всех субъектов или лиц (таких как партнеры или подрядчики), работающих с ней или действующих от ее лица.

5.3    Функции, обязанности и полномочия организации

5.3.1 Общие положения

высшее руководство должно обеспечить определение, распределение и доведение до всех работников организации, а также до субъектов или отдельных лиц, взаимодействующих с организацией или действующих от ее имени, функций, обязанностей и полномочий, связанных с менеджментом записей.

Обязанности должны распределяться соответствующим образом среди всего персонала е соответствующих подразделениях и на соответствующих уровнях в рамках организации, в частности, среди высшего руководства, руководителей программ, специалистов по ведению записей, специалистов по информационным технологиям, системных администраторов и всех других в соответствии со своими обязанностями, которые формируют записи и управляют ими как частью своей работы.

Лидирующая роль во внедрении СМ3 должна принадлежать конкретному представителю высшего руководства, в тех случаях, когда этого требуют масштабы и сложность организации, а также ее процессы управления записями, конкретная роль должна быть отведена представителю руководства по работе с записями, имеющему специальную подготовку и компетентность. Распределение обязанностей и их взаимосвязи должны быть документированы.

5.3.2    Обязанности руководства

Из состава высшего руководства должен быть назначен конкретный представитель, который, независимо от других обязанностей, должен нести ответственность за:

a)    принятие мер по формированию, внедрению и поддержанию в должном состоянии в соответствии с требованиями настоящего стандарта;

b)    содействие осведомленности о СМ3 по всей организации;

c)    должное распределение функций и обязанностей, определенных в СМ3, и обеспечение компетентности персонала, выполняющего эти функции.

Примечание — В зависимости от сложности структуры организации обязанности могут предоставляться конкретному должностному лицу или группе лиц.

5.3.3    Оперативные обязанности

Высшее руководство организации должно назначить конкретного представителя руководства по работе с записями, который должен выполнять определенную роль, иметь определенные обязанности и полномочия, в том числе:

a)    внедрение СМ3 на оперативном уровне:

b)    представление отчетов высшему руководству по результативности СМ3 для проведения анализа, включая рекомендации по совершенствованию;

c)    установление связей с внешними сторонами по вопросам, касающимся СМ3.

Примечание — Функции представителя руководства и представителя оперативного огдела по работе с записями могут выполняться одним и тем же лицом или группой лиц.

6 Планирование

6.1    Меры по изучению рисков и возможностей

Организация должна анализировать вопросы, приведенные в 4.1, и требования, приведенные в 4.2, и определять риски и возможности, которые должны быть изучены, с целью:

a)    обеспечения достижения СМ3 намеченных результатов:

b)    предотвращения нежелательных последствий;

c)    реализации возможностей для совершенствования.

Организация должна оценивать потребность е планировании мер по изучению таких рисков и возможностей и в соответствующих случаях:

•    включать и реализовывать эти меры в процессах СМ3 (см. 8.1):

•    обеспечивать наличие информации для оценивания результативности таких мер (см. 9.1).

6.2    Цели управления записями и планы по их достижению

Высшее руководство должно обеспечивать установление целей управления записями и доведение их до сведения соответствующих функциональных подразделений и уровней в рамках организации.

Цели управления записями должны:

a)    соответствовать политике ведения записей:

b)    быть измеримыми (при наличии возможности);

c)    принимать во внимание действующие требования:

d)    подвергаться мониторингу и актуализации по мере необходимости.

Цели управления записями должны определяться на основе анализа деятельности организации. Они должны определять участки, на которых в наибольшей степени возможно применение законодательства, регламентов, других стандартов и оптимальных методов для формирования записей, относящихся к деятельности организации.

Цели управления записями должны учитывать масштабы организации, характер ее деятельности, ее продукцию и услуги, а также местоположение, правоеую/административную систему и культурную среду, в которой она функционирует.

Организация должна сохранять документально оформленную информацию, касающуюся целей управления записями.

Для достижения своих цепей управления записями организация должна определить:

•    кто будет нести ответственность:

•    какие шаги будут предприняты:

•    какие ресурсы потребуются;

•    когда это будет завершено:

•    как будут оцениваться результаты.

7 Обеспечение

7.1    Ресурсы

Высшее руководство должно выделять и обеспечивать наличие ресурсов, необходимых для функционирования СМ3.

Управление ресурсами включает:

a)    наделение ответственностью персонала, способного выполнять функции, определенные в

СМ3:

b)    периодическую проверку компетентности и уровня подготовки такого персонала;

c)    поддержание и устойчивость ресурсов и технической инфраструктуры.

7.2    Компетентность

Организация должна:

a)    определять необходимую компетентность персонала, выполняющего работу под ее управлением, которая влияет на эффективность ее процессов и систем управления записями:

b)    гарантировать наличие у персонала достаточной квалификации как результата полученного образования, подготовки и опыта;

c)    при необходимости принимать меры для приобретения необходимой компетентности и оценивать результативность принимаемых мер;

d)    сохранять соответствующую документированную информацию как свидетельство компетентности.

Примечание — К принимаемым мерам может, в частности, относиться организация подготовки, обучение или назначение на новые должности работников организации или прием на работу, или привлечение для выполнения работ компетентных специалистов.

7.3    Информированность и подготовка

Организация должна обеспечивать осведомленность работников:

a)    о необходимости и значимости их персональной деятельности и о том. как они способствуют достижению целей СМ3;

b)    о важности соответствия политике и процедурам СМ3, а также требованиям системы менеджмента:

c)    о важных аспектах СМ3 и связанных с ними фактических или потенциальных воздействиях на их работу и о преимуществах качественного выполнения рабочих заданий:

d)    об их функциях и обязанностях по выполнению требований СМ3:

e)    о потенциальных последствиях отклонения от установленных процедур.

Организация должна разработать постоянно действующую программу обучения процессу формирования и управления записями. Программы обучения требованиям и методам управления записями должны охватывать весь персонал организации, включая подрядчиков и персонал других организаций в случае необходимости. Требуемая компетенция и квалификация различных специалистов в отношении управления записями должны оцениваться, идентифицироваться и включаться в программы подготовки, разрабатываемые и предоставляемые организацией.

7.4    Обмен информацией

Организация должна разрабатывать, внедрять, документировать и поддерживать в рабочем состоянии процедуры внутреннего обмена информацией о СМ3 и своей политике и целях ведения записей, внутренний обмен информацией для обеспечения результативности СМ3 должен включать распределение обязанностей, операционные процедуры и доступ к документации.

Организация должна принимать решения о необходимости передачи информации о своей СМ3 другим субъектам (например, при наличии совместных бизнес-процессов). Если принимается решение о передаче информации, организация должна разработать средства передачи информации. В зависимости от уровня взаимодействия с внешними сторонами, такими как подрядчики, заказчики и поставщики, речь может идти о передачи информации о СМ3 и ее целях на высоком уровне или передаче документации о конкретных процедурах.

7.5 Документация

7.5.1    Общие положения

Организация должна документировать свою СМ3. Это включает наличие санкционированных заявлений:

a)    об области применения СМ3;

b)    о политике и целях;

c)    о взаимозависимости и взаимосвязях между СМ3 и другими системами менеджмента организации или между организациями;

d)    о документированных процедурах согласно требованиям настоящего стандарта;

e)    о документации, которую организация считает необходимой для обеспечения результативного планирования, функционирования и управления процессами.

Примечания

1    Термин «документированная процедура», который встречается в настоящем стандарте, означает, что процедура была разработана, документирована, внедрена и поддерживается в рабочем состоянии.

2    Объем документации СМ3 может отличаться в зависимости от организации вследствие:

- масштабов организации и видов деятельности, которой она занимается:

• границ и сложности внедренных и реализуемых процессов управления записями и систем учетных документов, в том числе в тех случаях, когда в предпринимательской деятельности участвуют несколько организаций.

7.5.2    Управление документацией

Необходимо управлять документацией, которая требуется для функционирования СМ3. Документированная процедура должна определять средства управления, необходимые для:

a)    одобрения документации на предмет адекватности до ее выпуска;

b)    анализа, актуализации и повторного утверждения документации;

c)    обеспечения идентификации изменений и текущего статуса пересмотра документации;

d)    обеспечения наличия в местах использования соответствующих версий действующих документов;

в) обеспечения удобочитаемости и идентифицируемости документации:

f)    обеспечения идентификации документации внешнего происхождения и управления ее распространением:

д) предотвращения непреднамеренного использования устаревшей документации и идентификации ее как таковой, если она будет использоваться в каких-либо целях.

К документации СМ3 относят записи, ведение которых осуществляется в системе записей. Процедуры формирования и управления документацией СМ3 должны соответствовать общим процедурам формирования и ведения записей (см. в.2. перечисление с).

8 Функционирование

8.1    Оперативное планирование и контроль

Организация должна определять, планировать и контролировать те процессы, которые необходимы для рассмотрения рисков и возможностей, определяемых в 6.1. и удовлетворения требований, установленных в 6.1, путем:

•    установления критериев для этих процессов:

- осуществления управления этими процессами в соответствии с заданными критериями;

•    сохранения документально оформленной информации для подтверждения того, что процессы реализуются, как запланировано.

Организация должна контролировать запланированные изменения и анализировать последствия непредусмотренных изменений, принимая меры по снижению любых отрицательных эффектов по мере необходимости.

Организация должна управлять процессами, которые отданы на субподряд или выполняются сторонними организациями.

8.2    Проектирование процессов менеджмента записями

Для создания СМ3 организация должна спроектировать процессы менеджмента записями в соответствии со следующим планом.

a)    Проведение анализа рабочих процессов с целью определения требований к формированию и управлению записей в отношении непрерывных процессов и удовлетворения интересов участвующих сторон, включая отчетность (см. ИСО/ТО 26122).

b)    Оценивание рисков, которые могут возникнуть в связи с невозможностью контролировать подлинные, достоверные и пригодные для использования записи о бизнес*процессах организации:

1)    для оценки уровней рисков:

2)    определения приемлемости рисков на основе установленных критериев или

необходимости управления рисками:

3)    выявления и оценивания возможностей управления рисками.

c)    Определение процессов (см. Приложение А. касающееся процессов управления записями, которые должна использовать организация), способствующих формированию и управлению записями, и порядка их реализации в системах, а также выбор технических средств, подлежащих использованию.

1)    Формирование:

i)    установление того, какие записи, когда и как должны быть сформированы и обобщены для каждого бизнес-процесса:

ii)    определение контентной, контекстной и управляющей информации (метаданных), которая должна быть включена в записи:

iii)    принятие решения о том. в какой форме и структуре должны формироваться и накапливаться записи:

iv)    определение подходящих методов формирования и накапливания записей.

2)    Управление:

i) определение того, какая управляющая информация (метаданные) должна формироваться на основании процессов управления записями и как она будет связана с записями и контролироваться с течением времени;

И) установление правил и условий использования записей с течением времени:

ш) обеспечение пригодности использования записей с течением времени:

iv)    установление порядка санкционированного изъятия записей из обращения:

v)    установление условий, которые должны применяться для ведения и поддержания в рабочем состоянии систем менеджмента записями.

Для достижения этих целей должны применяться процессы и средства управления, приведенные в Приложении А. с учетом ресурсов организации, бизнес-среды и выявленных рисков, а также нормативной и социальной среды.

8.3 Внедрение систем записей

Организация должна осуществлять следующие действия:

a)    внедрять процессы записей в системах записей для достижения установленных целей;

b)    проводить регулярный мониторинг за результативностью функционирования систем записей на основании бизнес-требований и цепей ведения записей:

c)    регулировать функционирование систем записей.

Примечание — В условиях электродного обмена данными (например, при администрировании, в государственном и корпоративном упрааленш. торговле) процессы управления записями будут в большей степени автоматизироваться и обеспечиваться автоматизированными системами ведения записей. Существуют процессуальные нормы определения функциональных требований. Автоматизированные системы ведения записей должны соответствовать функциональным требованиям, совместимым с требованиями настоящего стандарта.

9 Оценка результативности деятельности

9.1    Мониторинг, измерение, анализ и оценивание

9.1.1    Организация должна определять:

•    что подлежит измерению и мониторингу;

•    методы проведения мониторинга, измерения, анализа и оценивания, исходя из реальной ситуации, для получения обоснованных результатов;

- когда должны проводиться мониторинг и измерение:

•    когда должен проводиться анализ результатов мониторинга и измерения.

9.1.2    Организация должна оценивать результативность процессов и систем записей и результативность СМ3.

Помимо этого организация должна:

a)    в случае необходимости принимать меры е отношении негативных тенденций или результатов до возникновения несоответствия;

b)    сохранять соответствующую документально оформленную информацию как свидетельство полученных результатов.

9.1.3 Для оценки результативности СМ3 организация должна проводить мониторинг и. в зависимости от обстоятельств, измерение следующих составляющих по мере необходимости:

a)    политики ведения записей, чтобы убедиться в том. что она отражает текущие деловые потребности и актуализируется в случае любых значимых перемен в организации;

b)    целей ведения записей, чтобы убедиться в том, что они согласуются с политикой ведения записей, являются достижимыми, действующими и способствуют постоянному совершенствованию;

c)    изменений в бизнес требованиях, законодательных и прочих требованиях, влияющих на СМ3;

d)    наличия и достаточности ресурсов, включая финансовые, человеческие, инфраструктурные, научно-технические и др. ;

e)    адекватности назначений и распределения функций, обязанностей и полномочий:

f) результативности деятельности лиц, несущих ответственность за внедрение СМ3, представление отчетов по СМ3 и расширение информированности о СМ3;

д) результативности    выполнения    процессов и функционирования систем согласно

поставленным целям:

h)    достаточности документации и должной реализации процедур управления записями;

i)    результативности систем записей для достижения стратегических, управленческих и финансовых целей организации с использованием мер, определяемых при внедрении систем записей:

j)    результативности программ подготовки и расширения информированности о СМ3 и стратегии обмена информацией:

k)    удовлетворенности пользователей и основных партнеров.

В Приложении С приведены примеры оценки и измерения показателей в виде перечня контрольных вопросов для проведения самооценки.

Критерии мониторинга и измерения должны формироваться согласно изменениям в социальном, экономическом, стратегическом или правовом контексте организации.

9.2    Внутренние проверки системы

Организация должна проводить внутренние проверки через запланированные промежутки времени для получения информации, помогающей определить, насколько СМ3:

a)    отвечает:

1)    собственным требованиям организации к СМ3.

2)    требованиям настоящего стандарта:

b)    результативно используется и поддерживается в работоспособном состоянии.

Организация должна:

•    планировать, реализовывать и поддерживать в рабочем состоянии программы проведения проверок с учетом их периодичности, методов проведения, обязанностей, требований к планированию и отчетности, а также принимать во внимание важность используемых процессов и результатов предыдущих проверок:

•    устанавливать критерии проведения проверок и область каждой проверки:

•    выбирать аудиторов и проводить проверки для обеспечения объективности и беспристрастности процесса аудита:

•    обеспечивать доведение результатов проверок до соответствующих руководителей:

•    сохранять документально оформленную информацию как свидетельство полученных результатов.

9.3    Анализ со стороны руководства

Высшее руководство должно проверять функционирование СМ3 организации через запланированные промежутки времени для обеспечения ее постоянной пригодности, адекватности и результативности.

Анализ со стороны руководства должен касаться:

a)    реализации мер. принятых по результатам предыдущих анализов со стороны руководства:

b)    изменений во внешних и внутренних аспектах, относящихся к СМ3:

c)    информации о результативности функционирования процессов и систем записей, включая тенденции в:

1)    несоответствиях и корректирующих действиях;

2)    результатах оценивания мониторинга и измерения:

3)    результатах проверок;

d)    возможностей для постоянного совершенствования.

6 результате анализа со стороны руководства должны приниматься решения, касающиеся возможностей для постоянного совершенствования и возможной необходимости внесения изменений в СМ3.

Организация должна сохранять документально оформленную информацию как свидетельство результатов анализов оо стороны руководства.

10 Улучшение

10.1    Управление несоответствиями и корректирующие действия

Организация должна:

•    выявлять несоответствия:

•    реагировать на несоответствия и. в случае необходимости:

•    принимать меры по управлению несоответствиями, их сдерживанию и исправлению:

•    устранять последствия.

Организация также должна оценивать необходимость в принятии мер по устранению причин несоответствий, включая:

a)    анализ несоответствий;

b)    определение причин несоответствий:

c)    выявление наличия потенциальных аналогичных несоответствий где-либо еще в СМ3:

d)    оценивание потребности в принятии мер по предотвращению повторного возникновения несоответствий или их возникновения где-либо еще:

e)    определение и реализация требуемых мер:

f)    проверка результативности принятых корректирующих мер: д) внесение изменений в СМ3 в случае необходимости.

Корректирующие действия должны соответствовать последствиям возникающих несоответствий.

Организация должна сохранять документированную информацию как свидетельство:

1)    характера несоответствий и любых принимаемых последующих мер;

2)    результатов корректирующих действий.

10.2    Постоянное улучшение

Организация должна постоянно улучшать результативность СМ3 путем использования политики ведения записей, целей, результатов проверок, анализа данных, корректирующих и предупреждающих действий и оценивания, проводимого руководством.

Очередность мер по улучшению должна устанавливаться согласно результатам оценки рисков (см. 6.1).

Приложение А (обязательное)

Процессы и средства управления

Настоящее приложение дает представление о процессах и средствах управления записями, которые должны быть реализованы. Реализация может осуществляться дифференцировано в соответствии с характеристиками организации. Решение о неприменении какого-либо процесса должно быть обосновано (например, организация может решить не применять процесс А.2.4.3 «Передача», приведенный в Таблице А.1, поскольку не планируется передача ее записей другой организации).

Процессы и средства управления записями были сгруппированы и пронумерованы в Таблице А.1 согласно целям, приведенным в 8.2, перечисление с) 1) «Формирование» и 8.2, перечисление с) 2) «Управление». По каждому процессу управления записями предлагается одно или несколько средств управления.

Таблица А.1 — Процессы и средства управления записями

isbto

Пооцес' упряолеиии

Среде юз управления

А.1

Формирование

А. 1.1

Определение того, какие записи, когда и как должны быгь сформированы и обобщены для каждого бизнес-процесса

А.1.1.1

Определение потребности в информации

Все операционные, отчетные, аудиторские и прочие потребности участвующих сторон в информации (обобщенной в качестве записей с соответствующими метаданными) о процессах организации должны систематически выявляться и документироваться

А.1.1.2

Определение

требований

Требования к формированию, обобщению и менеджменту записей и решения не накапливать записи для конфетных процессов должны определяться на основании бизнес-требований, законодательных и иных требований, документально оформленных и санкционированных

А.1.1.3

Формирование достоверных записей

Записи должны формироваться на момент (или вскоре после) транзакции или особой ситуации, к которой они относятся частными лицами, обладающими непосредственным знанием фактов или средствами, повседневно используемыми организацией для проведения транзакции

А.1.1.4

Определение сроков хранения

Должна быть разработана процедура для определения сроков хранения записей согласно требованиям каждого рабочего процесса

А.1.1.5

Разработка графика изъятия из обращения

Решения относительно сохранения и изъятия записей из обращения, основанные на бизнес-требованиях, законодательных и иных требованиях, должны быть документально оформлены в графике изъятия из обращения

А.1.1.6

Определение методов интегрированного обобщения

Должны быть выбраны и документированы методы интеграции обобщенных записей с бизнес-процессами

А.1.2

Определение контентной, контекстной и управляющей информации (метаданных), которая подлежит включению в записи

А. 1.2.1

Идентификация контекстуальной и описательной информации

Должна быть определена и документирована как часть требований к записям информация, необходимая для идентификации записей каждого рабочего процесса, включая идентификацию подразделения организации, ответственного за эти записи и рабочие процессы

А. 1.2.2

Идентификация точек извлечения информации

Точки, в которых происходит извлечение контекстуальной информации или ее добавление в записи, а также источники такой информации должны быть идентифицированы в процедурах по каждому рабочему процессу

Nt№

Процесс у прав пении

Средства управления

А.1.3

Принятие решения о том. в какой форме и структуре должны формироваться и накапливаться записи

А.1.3.1

Определение конкретных требований

Должна быть идентифицирована и документирована информация, а также форма и структура информации, требуемой в качестве записей для каждого рабочего процесса

А.1.4

Определение подходящих технических средств формирования и обобщения записей

А.1.4.1

Выбор технических средств

Для каждого рабочего процесса должны быть выбраны технические средства формирования и обобщения записей (автоматизированные игы ручные). Выбор и любое изменение технических средств подлежат документированию

А.2

Управление

А.2.1

Определение того, какая управляющая информация (метаданные) должна быть сформирована на основе процессов записей и как она будет увязана с записями и управляться с течением времени

А.2.1.1

Регистрация

Для рабочих процессов, требующих свидетельство сбора данных, должна применяться процедура регистрации записей путем присвоения им индивидуального идентификатора на момент обобщения записей. Данная процедура должна обеспечивать отсутствие каких-либо транзакций с участием записей до завершения регистрации

А.2.12.

Классификация

Записи должны быть сгруппированы (классифицированы) согласно рабочим процессам, к которым они относятся

А.2.1.3

Классификация

Схема группирования (классифицирования) записей, отражающая природу, количество и сложность рабочих процессов организации, должна быть документирована (включая изменения во времени) и реализована как часть процедур этих рабочих процессов

А.2.1.4

Отбор управляющей информации (элементов метаданных)

Описательная и управляющая информация (элементы метаданных), требуемая для формирования записей по каждому рабочему процессу и управления ими. должна быть идентифицирована и документирована

А.2.1.5

Определение хронолоп«1 событий

Должны быть определены процессы управления записями, которые должны быть зафиксированы в метаданных и увязаны с хронологией событий. Должны быть разработаны процедуры для увязки хронологии событий с записями и сохранены в течение того же времени, что и записи

А.2.1.6

Управление записями в рамках организацш

Решения относительно того, какие метаданные требуются для идентификации, контролирования и управления записями на всех уровнях организации и вне ее. должны быть документированы и реализованы

А.2.2

Установление правил и условий для использования записей с течением времени

А.2.2.1

Разработка правил доступа

Должны быть разработаны правила для регулирования доступа к записям на основе требований к рабочим процессам, соответствующего законодательства и. если это целесообразно, коммерческих соображений. Правила должны быть документированы и должны действовать так долго, как требуются записи

А.2.2.2

Реализация правил доступа

Правила доступа должны реализовываться в системах записей путем присвоения статуса доступа как загысям. так и исполнителям

А.2.3

Сохранение применимости записей с течением времени

А.2.3.1

Сохранение целостности и аутентичности

Должны быть реализованы процедуры, обеспечивающие целостность и защиту записей и предотвращающие несанкционированное использование, внесение изменений, изъятия, сокрытие и (или) уничтожение

Окончание Таблицы А. 1

Прочоосуправления

Средстве управления

А.2.3.2

Сохранение

применимости

Средства ведения1 хранения загысей должны отвечать соответствующим стандартам для используемых носителей и технологий, чтобы обеспечивать их дальнейшую применимость в течение требуемого срока

А.2.3.3

Сохранение

применимости

Должны бьпь разработаны и внедрены процедуры для обеспечения доступности и полноценности цифровых загысей с течением времени, также вне контекста их формирования

А.2.3.4

Пределы и ограничения

Ограничения, включая использование кодирования, должны быгъ сняты по истечению указанного периода времен*

А.2.4

Осуществление санкционированного изъятия записей из обращения

А.2.4.1

Осуществление изъятия из обращения

Должны быгъ разработаны процедуры для анализа, санкционирования и реализации решений относительно сохранения и изъятия записей из обращения по каждому рабочему процессу

А.2.4.2

Санкционирование изъятия из обращения

Решения относительно передачи, изъятия или уничтожения записей должны быть санкционированы и документированы

А.2.4.3

Передача

Должны быть разработаны и реализованы процедуры для санкционированной и контролируемой передачи записей другой организации или системе

А.2.4.4

Изъятия

Должны быть разработкам и реализованы процедуры для санкционированного, регулярного изъятия записей, которые больше не требуются, включая их перенос в удаленное хранилище или в автономное хранилище дагиых

А.2.4.5

Сохранение информации об уничтоженных записях

В тех случаях, когда харжтер и сложность деятельности и официальное ведение учета требуют этого, должна сохраняться управляющая информация (регистрация. идентификация и хронологические метаданные) о записях, которые были уничтожены

А.2.5

Создание условий для ведения и поддержания в работоспособном состоянии систем записей

А.2.5.1

Идентификация систем записей

Все системы записей (включая биэгес-сисгемы. хранящие записи) должны быть четко обозначены, закреплены за ответственным владегъцем и документированы в описи, которая регулярно актуализируется

А.2.5.2

Документирование внедренческих решений

Внедренческие решения по системам записей долж>ы документироваться, должно обеспечиваться их выполнение, и они должны предоставляться всем пользователям, которым они требуются

А.2.5.3

Доступ к системам записей

Должны быть разработаны, документированы и соблюдаться правила для регулирования доступа к системам записей с целью выполнения задач по системному администрированию

А.2.5.4

Обеспечение

доступности

Должны быть разработаны процедуры по текущему техническому обслуживанию для обеспечения доступности систем записей

А.2.5.5

Обеспечение

результативности

Должен осуществляться и документироваться регулярный мониторинг результативности систем записей на соответствие бизнестребованиям и целям

А.2.5.6

Обеспечение

целостности

Должны быть предусмотрены процедуры для обеспечения и подтверждения того, что любой отказ, любая модернизация или регулярное обслуживание системы не вгыяют на целостность записей

А.2.5.7

Управление

изменениями

Изменения в системах записей, в частности, особые операции (такие как миграция, интегрирование новых требований, изменение или прерывание компьютерных технологий) должны анализироваться, планироваться и реализовываться. Все принимаемые решения должны документироваться

В Приложении В рассматривается взаимосвязь между настоящим стандартом и ИСО 9001, ИС014001 и ИСО/МЭК 27001 и сопоставляются общие разделы, касающиеся управления документами и записями в этих международных стандартах со средствами управления записями, приведенными в Таблице А. 1.

Приложение В

(справочное)

Взаимосвязь между ИСО 9001, ИСО 14001, ИСО/МЭК 27001 и настоящим стандартом

8 стандартах на системы менеджмента, таких как ИСО 9001. ИСО 14001 или ИСО/МЭК 27001, имеется раздел по документации, состоящий из подразделов, касающихся общего порядка управления документацией и записями, а именно:

a)    Общая часть оговаривает перечень документов, включая записи, которые должны быть включены в систему менеджмента.

b)    Подраздел по управлению документацией устанавливает требования к подготовке документов, их анализу, утверждению, управлению статусом пересмотра, распространению и наличию, обозначению и предотвращению неправильного использования.

c)    Подраздел по управлению записями устанавливает процедуры для подготовки записей, их идентификации, архивации, защиты, поиска, сроков хранения и изъятия из обращения.

Хотя записи представляют собой особый вид документов, определяемый в стандартах системы менеджмента, документы, идентифицируемые или рассматриваемые как записи в каждой системе менеджмента, должны быть управляемыми для удовлетворения требований как к управлению документацией, так и к управлению записями на протяжении всего цикла от подготовки, распространения, использования до изъятия из обращения.

Требования, установленные для управления записями в каждом стандарте на системы менеджмента, являются недостаточными сами по себе для применения и управления записями и документами. Настоящий стандарт дает рекомендации относительно того, как должным образом управлять записями и документами, требуемыми в других системах менеджмента.

Для правильного формирования и управления записями настоящий стандарт определяет процессы управления записями и их назначение, как они должны осуществляться в рамках систем и как выбирать используемые технические средства.

В Таблице В.1 показана взаимосвязь между процессами СМ3 и средствами управления, содержащимися в Приложении А настоящего стандарта и разделах других стандартов на системы менеджмента, касающихся документации.

Взаимосвязь между ИСО 90012008. ИСО 14001:2004, ИСО/МЭК270012005

Процессы управления записями, приведенные о Приложении А настоящего стандарта

ИСО 90012008

ИСО 14001:2004

ИСО.'МЭК 270012005

Формирование

Управление

А 1 1

А 1 2

А 1 3

А. 1 4

А.2.1

А 22

А 23

А 24

А 25

Общее

4.2 Требования к документации

4.2.1 Общие положения

Документация системы менеджмента качества долина вклкмать в себя:

a)    документально оформленные заявления о полит**» и целях в области качества;

b)    руководство по качеству;

c)    документированные процедуры и записи, требуемые настоящим стандартом;

d)    д ж умен ты, вх/ючая записи, определенные организацией к« необходимые ей для обеспечения эффективного планирования, осуществления процессов и управления ими

4 А .4 Доку меитаци я

Дсжументация системы экологическою менеджмента долина содержать:

a)    экологическую политику, цели и задами;

b)    описание области применения системы экологическою менеджмента;

c)    о гм сан ие основных элементов системы экологическою менеджмента менеджмента и их взаимодействия, а также ссылки на соответствующие документы;

d)    документы, включая записи, требуемые настоящим международным стандартом;

4.3 Требования к документации

43.1 Общие положения

Документация системы менеджмента информационной безопасности (СМИБ) должна включать:

а) д сж уме нт и ро ванные заявления о политике (см. 4.2.10)} и целях СМИБ;

0) область применения СМИБ (см. 2.1а));

c)    процедуры и средства управления в поддержку СМИ Б;

d) описание

методологии оценки рисков (см. 43.1с»;

e)    отчет об оценке рисков

(см. 42.1с) —42.1д)):

0 план обработки рисков (см. 42.20)):

*


ГОСТ Р ИСО 30301—2014


взаимосвязь между ИСО 90012008.

И СО 14001 2004, И СОМ ЭК 270012005

процессы управления записями, приведенные е приложении А нестоящего стандарте

ИСО 90012008

ИСО U0012004

ИСО^МЭК 270012005

Формирование

Управление

А 1 1

А 1 2

А 1 Э

А 1 4

А.2.1

А2.2

А.23

А2 4

А 25

Общее

е) документы, вк/вочая затем, определенные организацией как необходимые для обеспечения результативного планирования, функтонирования и управления процессами, которые связан со значимыми экологи чеслшм аспектами

0)    документированные процедуры, необхедиьеие оргатзации для того, чтобы гарантировать результативное планирование, работу и управление ее процессами защиты информати. а также для того, чтобы описать, как измерять результативность средств управления

(см. 42.3с»;

h) записи, требуемые настоящим международным стандартом (см. 43.3);

1)    заявление о применимости

Документатя должна содержать затеи об управленческих решениях, обеспечивать

прослеживаемость действия до

управлеичеоыхрешент и

принципов деятельности и

обеспечивать

вослроиэводемость

зарегистрированных

результатов.

Важно иметь аозможиоаь продемонстрировать зависимость результатов оценки рисков и процесса обработки рисков от выбранных средств управления и. соответственно, пол иг пси и целей СМИБ


ГОСТ Р ИСО 30301—2014


о%


взаимосвязь между ИСО 90012008. ИСО 14001 2004, ИСО.ЫЭК 27001 2005

проиеосы управлений записями, приведенные е приложении а настоящего стандарта

ИСО 9001 2008

ИСО 14001 2004

ИСО/МЭК 270012005

Формирование

Управление

All

А.1,2

А.1.Э

А 1.4

А.2.1

А.22

А.23

А 2.4

А2 5

Общее

Документация должна содержать записи об управленческих решениях, обеспечивать прослеживаемость действия до

управленческих решений и

принятое деятельности и

обеспечивать

воспроизводимость

зарегистрированных

результатов.

Важно иметь возможность продемонстрировать зависимость результатов оценки риоов и процесса обработки риооов от выбранных средств управления и, соответственно, попит им и целей СМИБ

9


ГОСТ РИСО 50301—2014


Взаимосвязь между ИСО 9001:2008. ИСО 14001200*. ИСОН ЭК 27001:2005

Процессы управления записями, приведенные е Приложении А настоящего стана ар га

ИСО 90012008

ИСО 140012004

ИСО/МЭ К 270012005

Формирование

Управление

А 1 1

А 1 2

А 1 3

А 14

А2 1

А 22

А.2.3

А2 4

А2 5

г

ь

а

о

S

X

а

с

>

4.2.3 Управление документацией

Документы системы менеджмента качества должны быть управляемыми. Затеи, представляющие собой специальный вед документов, должны быть управляемыми согласно требованиям 4.2.4.

Догокиа быть разработана документированная процедура для определения средств управления, требуемых для офи^агъиого одобртия документации с тонки зрения ее адекватности до выпуска (4.23а»

4.4.5 Управление доку ме нтаци ей

Документами, требуемыми системой экологического менеджмента и настоящим международным стандартом, необходимо управлять. Записи являются документа*»* особого вида, и ими необходимо управлять в соответствии с требованиями 4.5.4.

Организация должна установить, внедрить и поддерживать Процедуру(ы> для одобрения документов перед выпуском на предмет их адекватности (4.4.5а))

4.3.2 Управление доку ме нтаци ей

Документы, требуемые СМИБ, должны быть защищенными и управляемыми.

Должна быть разработана документированная процедура для определения действий руководства, необходимых для одобрения дежу мен то в перед выпуском на Предмет их

адекватности (4.3.2а))


ГОСТ Р ИСО 30301—2014


взаимосвязь между ИСО 90012008. ИСО 140012004, И СОМ ЭК 27001:2005

Процессы управления записями, приведенные е прилож»<ии А нестоящего стандарта

ЫГП ОЛА 1 ОПАО

игл 14лл 1' тпл

Формирование

Управление

WW eUU 1 AIUO

rlv v МJЛ </UU •

АМ

А 12

А 1 Э

А 1.4

А2.1

А 22

А 23

А 24

А2.5

Для анализа и актуагыэации по мере необходимости и повторного официального одобрения документов (4.2.3 Ь».

Для анализа, жтуэлиэаши документов по мере необходимости и их повторного утверждения (4.4.5 Ь».

Для анализа и актуализации документов по мере необходимости и их повторного

утверждения (4.3.2 Ь».

•X

ф

X

X

<0

X

1

г

Для обеспечения паентификацьы изменений и статуса пересмотра документов (4.2.3 с»

Для обеспечения

идентификации

изменений и текущего статуса пересмотра документов (4.4.5с))

Для обеспечения идентификации изменений и текущего статуса пересмотра документов (43.2 с))

о

«X

?

£

§

&

С

>

Для обеспечения магмам я

соответствующих версий документов в местах их применения (4.2.3d))

Для обеспечения наличия

соответствующих версий документов в местах их применения (4.4.5d))

Для обеспечения наличия

соответствующих версий документов в местах их применения (43.2d»

Для о беспечен я сохранения документов четкими и лето иде нт иф ицир уем ы ш (4.2.Эе))

Для обеспечения удобо^гтаемости и идентифицируемости документов (4.4.5е))

Для обеспечения удобочитаемости и идентифицируемости документов (43.2е))


ГОСТРИСО 30301—2014


взаимосвязь между ИСО 90012008. ИСО 14001 2004 . ИС О М ЭК 27001:2005

Пооцеоеы управлений записями, г© и веденное е Приложении А нестоящего с гена ер те

илл олл! -*лла

игл илл< ^ЛЛ1

Формирование

Управление

nvv VUUl ^иио

l^UUl ^UU4

MJK £/UUl 2UU9

А 1 1

А 12

А 13

А 1 4

А2 1

А 22

А 23

А2 4

A2.S

Управ пение документацией

Для обеспечения идентификации и управления раосылкой документов внешнею происхождения, определенных организацией как необходимые для планирования и фунхци он иро ва >н я системы менеджмента качества (4.2,31})

Для обеспечения идентификации и контроля распространения документов внешнего происхождения, определяемых организацией как необходимые для планирования и функционирования систем экологическою менеджмента (44.50)

Для обеспечения идентификации документов внешнего происхождения (43.29)).

Для обеспечения контроля распространения документов (43.2П))

Для предотвращения непреднамеренного использования устаревших документов и применение соответствующей идентификации таких документов, оставленных для каких-либо целей (4.23Q))

Для предотвращения непреднамеренного использования устаревших документов и для обозначения таких документов соответствующим образом, если они оокранены для каких-либо целей (4.4 5q))

Для

предотвращения непреднамеренного использования устаревших документов (43.20).

Для обозначения таких документов соответствующим образом, если они сохранены для каких-либо целей (4.32j))

Для обеспечения доступа к документам лицам, которые е них нуждается, а также передаем, хранения и уничтожения их в соответствии с Процедурами, применимыми к степени их

конфиденциальности

(43.21)).

V

V


ГОСТРИСО 30301—2014


Взаимосвязь между ИСО 9001:2000. ИСО 140012004. ИСО.У ЭК 27001:2005

Процессы управления записями, приведенные в приложении А нестоящего стандарта

УГЛ ОЛЛ1 "ЭЛЛА

игл илле «злл4

Формирование

Управление

U vUUl «иио

И vv MUUl «UU4

17ЧЛ^»МыЛ 4/UU 1 «UUw

А. 1.1

А.1.2

А.1.Э

А 14

А2.1

А.22

А.2.Э

А2.4

A2.S

Управление записями

4.2.4 Управление записями

Для предоставления свидетельств соответствия требованиям и результативного ф уж до он и ро ва ни я системы менеджмента качества необходимо формировать и вести записи (4.2.4)

4.5.4 Управление записями

Организация должна создавать и вести записи, необходимые

для демон страдой соответствия требованиям своей систем экологического менеджмента и настоящего международного стандарта, а также записи о достигнутых результатах (4.5.4)

4.3.3 Управление записями

Для получения свидетельств соответствия требованиям и результативности функционирования СМИБ необходимо формировать и вести записи.

Необходимо обеспечивать защиту и управление записями (4.3.3)

Записи должны оставаться четкими, легко идентифицируемыми и восстанавливаемыми (4.24)

Записи должны быть удобочитаемыми, идентифицируемыми и прослеживаемы до

(4-5.4)

Записи должны оставаться четкими, легко

идентифицируемыми

и

восстанавливаемыми

<4-3.3>

Должна быть разработана документированная процедура для определения средств управления, необходимых для идентификации, хранения, защиты, восстановления, сохранения и изъятия затеей (4.2.4)

Организация должна разработать, внедрить и поддерживать в рабочем состоянии процедуру или процедуры для идентификации, хрене до я, защиты, восстановления, сохранения и изъятия эапиоей (4.5.4)

Должны быть документировав и внедрены средства управления, требуемые для идентификации, хранения, защиты, восстановледоя, определения сроков храме до я и изъятия записей (43.3)

*


ГОСТРИСО 30301—2014


к>


Взаимосвязь между ИСО 90012008. ИСО 14001200*. ИСОН ЭК 27001:2005

Процессы управления записями, приведенные е Приложении А настоящего стана ар га

ИСО 90012008

ИСО 140012004

ИСО/МЭК 27001 200S

Формирование

Управление

А 1 1

А 1 2

А 13

А 14

А2 1

А 22

А.23

А2 4

А2 5

Управление записями

СМИБ должна гр ин им а ть во внимание все соответствующие нормативно-правовые требования и договорные обязательства (4.3.3)

«

Следует вести и хранить записи об эффективности фужциомировамия процесса, описа^ого в 4.2. и обо воех канительных инцидентах ин фо рма iai он н ой безопасности, саяэажых со СМИ Б (43.3)


ГОСТ Р ИСО 30301—2014


Приложение С

(справочное)

Перечень контрольных вопросов для проведения самооценки

Таблица С.1 — Перечень контрольных вопросов для проведения самооценки

Подраздел

мае теяше'о стандарта

Проверить

Отвечает

требованиям

Требует

улучшения

Нет

Ожидается

Не применимо

4.1

Выявила и документировала ли организация внутренние и внешние факторы, влияющие на СМ3, в кто чая основных партнеров организации, которые заинтересованы в целях управления записями0

4.2

Определены ли в документации СМ3 следующие основные требования:

•    законодательные;

•    нормативные;

•    бизнес*требования, которым должна отвечать СМЗ°

4.3

Определила и документировала ли организация область применения и цели СМ3?

4.3

Включает ли область применения определение;

•    подразделений;

•    функций;

•    внешних организаций, предоставляющих услуги организации, к которой применима СМ3?

5.1

Довело ли высшее руководство решение о создании СМ3 до работников организации0

5.2

Имеется ли у организации четкая политика ведения записей0

5.2

Принята и утверждена ли политика ведения записей высшим руководством0

5.2

Установлена ли

ответственность за выполнение требований?

Подрездел

из-:юви.р(0

стандарта

Проверить

Отвечает

требованиям

Требует

улучшения

Нет

Ожидается

Не применимо

5.3

Назначен пи высшим руководством конкретный представитель руководства с четко определенной ролью, ответственностью и полномочиями в отношении СМ3?

6.1

Идентифицировала и документировала гм организация все риски и возможности, учитываемые СМ3?

в 2

Установила ли организация цели управления записями по своим основным работы м процессам с учетом всех рисков и возможностей?

6.2

Являются ли цели, согласующиеся с политикой ведения записей, измеримыми и практически осуществимыми?

6 2

Соразмерны ли цели управления записям ресурсам организации?

6.2

Существует ли план реализации, определяющий:

•    кто несет ответственность;

•    что должно быть сделано:

•    своевременность в отношении достижения целей управления записями?

7.1

Соизмеримы ли выделенные ресурсы полному внедрению СМ3?

7.2

Наделены ли ответственностью за достижение целей управления записями компетентные специалисты на соответствующих уровнях по всей организации?

7.3

Разработаны ли программы подготовки кадров и образовательные программы в отношении целей управления записями и плана реализации?

Окончание Таблицы С. 1

Подраздел

мае ?cnuicro стандарта

Проверить

Отвечает

требованиям

Требует

улучшения

Нет

Ожидается

Не применимо

7.4

Разработаны пи процедуры для внутреннего и внешнего обмена информацией относительно СМ3?

7.5

Осуществляется ли должная идентификация, управление и ведеюле документации, требуемой для функционирования СМ3, особе процедур?

8.1

Планируются и реализуются ли процессы, необходимые для иэуче*1я рисков и возможностей?

8.2

Имеется ли документация по выбору процессов управления записями и средств управления, используемых для проектирования систем записей, применяемых в рамках СМ3?

8.3

Имеется ли документация по применению систем записей и насколько они отвечают целям управления записями?

9.1

Регулярно ли обследуются заинтересованные стороны на предмет оценивания результативности СМ3 для удовлетворения их ожиданий?

9.2

Проводится ли аудит СМ3 через регулярные промежутки времени?

9.3

Осуществляется ли анализ оо стороны руководства и оценивается ли эффективность функционирования СМ3?

10.1

Существует ли процедура реагирования на несоответствия и их исправления, определяемая процессами мониторинга и аудита?

10.2

Разработала ли организация процедуры внесения исправлений, актуализации и улучшения СМ3?

Приложение ДА (справочное)

Сведения о соответствии ссылочных международных стандартов ссылочным национальным стандартам Российской Федерации (и действующим в атом качестве межгосударственным стандартам)

Таблица ДА

Обозначение осы печного международного стандарта

Степень

национального стандарта

ИСО 9001:2008

ЮТ

ГОСТ ISO 9001—2011 «Системы менеджмента качества. Требования-

ИСО 14001.2004

ЮТ

ГОСТ Р ИСО 14001—2007 «Системы экологического менеджмента. Требования и руководство по применению-

ИСО.МЭК 27001:2005

ЮТ

ГОСТ Р ИСОМЭК 27001—2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования*

ИСО 303002011

-

'Соответствующий национальный стандарт отсутствует. До его утверждении рекомендуется использовать перевод на русский язык данното международною стандарта. Перевод данного международного стандарта иаходнтси о Федеральном информационном фонде технических регламентов и стандартов

Примечание — В настоящей таблице использованы следующее условное обозначение степени соответствия стандартов

Библиография

ш

ISO 9001:2008

(2|

ISO 14001:2004

(3|

ISO 15489-1

[4|

ISQ'TR 154892

(5|

ISO 19011

(6|

ISQ'TR 26122

IS04EC 27001:2005

ISO Guide 72


Quality management systems — Requirements

Environmental management systems — Requirements with guidance for use

Information and documentation — Records management — Pari 1: General

Information and documentation — Records management — Pari 2: Guidelines

Guidelines for auditing management systems

Information and documentation — Work process analysis for records

Information technology — Security techniques — Information security management system — Requirements

Guidelines for the justification and development of management system standards

УДК 658.562.014:006.354    OKC 03.120.10

Ключевые слова: системы менеджмента, записи

Подписано е печать 25.01.2015. Формат 60х84'/«.

Уел. печ. л. 3,72. Тираж 32 экэ. Зак. 5007.

Подготовлено на основе электронной версии, предоставленной разработчиком стандарта

ФГУП «СТАНДАРТИНФОРМ»

123995 Москва. Гранатный пер.. 4.