allgosts.ru01.140 Информатика. Издательское дело01 ОБЩИЕ ПОЛОЖЕНИЯ. ТЕРМИНОЛОГИЯ. СТАНДАРТИЗАЦИЯ. ДОКУМЕНТАЦИЯ

ГОСТ Р ИСО 30302-2022 Система стандартов по информации, библиотечному и издательскому делу. Системы управления документами. Руководство по внедрению

Обозначение:
ГОСТ Р ИСО 30302-2022
Наименование:
Система стандартов по информации, библиотечному и издательскому делу. Системы управления документами. Руководство по внедрению
Статус:
Действует
Дата введения:
06.01.2022
Дата отмены:
-
Заменен на:
-
Код ОКС:
01.140.20

Текст ГОСТ Р ИСО 30302-2022 Система стандартов по информации, библиотечному и издательскому делу. Системы управления документами. Руководство по внедрению

ГОСТ Р ИСО 30302-2022

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Система стандартов по информации, библиотечному и издательскому делу

СИСТЕМЫ УПРАВЛЕНИЯ ДОКУМЕНТАМИ

Руководство по внедрению

System of standards on information, librarianship and publishing. Management systems for records. Guidelines for implementation

ОКС 01.140.20

Дата введения 2022-06-01

Предисловие

1 ПОДГОТОВЛЕН Федеральным государственным бюджетным учреждением "Российский институт стандартизации" (ФГБУ "РСТ") и Федеральным бюджетным учреждением "Всероссийский институт документоведения и архивного дела" (ВНИИДАД) на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 191 "Научно-техническая информация, библиотечное и издательское дело"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 12 мая 2022 г. N 287-ст

4 Настоящий стандарт идентичен международному стандарту ИСО 30302:2015* "Информация и документация. Системы управления документами. Руководство по внедрению (ISO 30302:2015 "Information and documentation - Management systems for records - Guidelines for implementation", IDT).

Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5-2012 (пункт 3.5).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА

5 ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.rst.gov.ru)

Введение

ИСО 30302 является частью серии стандартов под общим названием "Информация и документация. Системы управления документами":

- ИСО 30300, Информация и документация. Системы управления документами. Основные положения и словарь;

- ИСО 30301, Информация и документация. Системы управления документами. Требования;

- ИСО 30302, Информация и документация. Системы управления документами. Руководство по внедрению.

ИСО 30300 определяет терминологию серии стандартов на системы управления документами (СУД), цели и преимущества СУД; ИСО 30301 определяет требования к СУД для организации, которой необходимо продемонстрировать способность надлежащим образом создавать образующиеся в процессе ее деловой деятельности документы и управлять ими в течение необходимого периода времени. ИСО 30302 содержит руководство по внедрению СУД.

Цель настоящего стандарта - предоставить практическое руководство по внедрению СУД в организации в соответствии с ИСО 30301. Стандарт охватывает все необходимые аспекты для внедрения и поддержания работы СУД.

Внедрение СУД, как правило, представляет отдельно взятый проект. Внедрение СУД может рассматриваться в рамках как организаций, уже имеющих документные системы или программы, в целях анализа и улучшения процесса управления ими, так и в организациях, планирующих впервые внедрить систематический и прослеживаемый подход к созданию и средствам управления документами. Руководство, приведенное в настоящем стандарте, может быть использовано в обоих случаях.

Предполагается, что организации, принявшие решение о внедрении СУД, провели предварительную оценку существующих документов и документных систем, а также определили риски и возможности улучшений. Например, решение о внедрении СУД может быть принято в целях снижения рисков при переходе на новую информационно-техническую платформу или при реализации аутсорсинга деловых процессов с высокими уровнями риска. Помимо этого, СУД может обеспечить стандартизированный механизм управления ключевыми изменениями в процессах организации, таких как интеграция документных процессов с конкретными деловыми процессами, усиление контроля в области управления документами при совершении онлайн-транзакций или использование социальных средств массовой информации в деловых целях.

Данное руководство может быть адаптировано к потребностям конкретной организации. Особенности применения данного руководства зависят от размера организации, направления деятельности и сложности структуры, а также от наличия опыта применения СУД. Так как вышеуказанные характеристики уникальны для каждой организации, к процессу внедрения СУД будут предъявляться различные требования. Мероприятия, описанные в данном стандарте, могут быть упрощены для небольших организаций. В отношении же крупных организаций, имеющих сложную структуру, для эффективного выполнения требований, описанных в данном международном стандарте, может потребоваться внедрение многоуровневой системы управления.

Руководство, приведенное в настоящем стандарте, соответствует структуре ИСО 30301 и описывает необходимые действия для соответствия требованиям ИСО 30301, а также порядок документирования этих действий.

Раздел 4 содержит руководство по проведению анализа, необходимого для внедрения СУД. Исходя из результатов этого анализа определяются рамки проекта внедрения СУД, а также взаимосвязь внедрения СУД и других систем управления (менеджмента).

Раздел 5 содержит информацию о роли высшего руководства в процессе внедрения СУД, которая выражается в формировании политики управления документами, распределении обязанностей, планировании внедрения СУД и реализации поставленных задач.

Раздел 6 посвящен планированию, основанному на анализе рисков, анализе среды организации (см. раздел 4), а также выявлении доступных ресурсов (см. раздел 7). Раздел 7 определяет основные аспекты поддержки функциональности СУД, такие как необходимые ресурсы, компетенции, обучение, обмен информацией и документация.

Раздел 8 посвящен определению, обзору и планированию внедрения документных процессов. Он учитывает контекстные требования среды и область применения (см. раздел 4), а также политику управления документами (см. 5.2), анализ рисков (см. 6.1) и необходимые ресурсы (см. 7.1) для достижения целей (см. 6.2) планируемого внедрения. Раздел 8 отражает документные процессы и системы, необходимые для внедрения СУД.

Разделы 9 и 10 касаются оценки эффективности и улучшений в соответствии с планированием, задачами и требованиями, определенными в ИСО 30301.

Для каждого из разделов 4-10 ИСО 30301:2011 настоящий стандарт определяет следующее:

a) действия, необходимые для выполнения требований ИСО 30301, могут осуществляться последовательно, или некоторые необходимо выполнять одновременно с проведением единого контекстуального анализа,

b) исходные данные - отправные точки, которые могут являться итогами предшествующих действий,

c) итоги деятельности - это фактические или ожидаемые результаты по завершении деятельности.

Настоящий стандарт предназначен для использования лицами, ответственными за внедрение СУД и поддержание ее работы. Для высшего руководства он также является полезным инструментом в принятии решений о создании, области применения и внедрения систем управления (менеджмента) в организации. Он должен быть использован лицами, ответственными за внедрение СУД и поддержание ее работы. Концепции разработки оперативных документных процессов основаны на принципах, установленных ИСО 15489-1. Другие международные стандарты и технические отчеты, разработанные ИСО/ТК 46/ПК 11, являются основными инструментами для разработки, внедрения, мониторинга и совершенствования документных процессов, систем и средств управления документами, а также могут использоваться в сочетании с настоящим стандартом для внедрения отдельных элементов СУД.

Организации, которые руководствуются ИСО 15489-1, могут использовать настоящий стандарт для разработки организационной инфраструктуры управления документами в рамках систематического и прослеживаемого подхода СУД.

1 Область применения

Настоящий стандарт содержит руководство по внедрению СУД в соответствии с ИСО 30301. Он предназначен для использования совместно с ИСО 30300 и ИСО 30301. Данный стандарт не изменяет и (или) не ограничивает требования, указанные в ИСО 30301. В нем описываются действия, необходимые для разработки и внедрения СУД.

Настоящий стандарт предназначен для использования любой организацией, осуществляющей внедрение СУД. Он применим ко всем типам организаций (например, коммерческие и некоммерческие организации, государственные учреждения) вне зависимости от их размера.

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты [для датированных ссылок применяют только указанное издание, для недатированных - последнее издание ссылочного стандарта (включая все изменения)]:

ISO 30300, Information and documentation - Management systems for records - Fundamentals and vocabulary (Информация и документация. Системы управления документами. Основные положения и словарь)

ISO 30301:2011
, Information and documentation - Management systems for records - Requirements (Информация и документация. Системы управления документами. Требования)

_________________

Заменен на ISO 30301:2019. Однако для однозначного соблюдения требования настоящего стандарта, выраженного в датированной ссылке, рекомендуется использовать только указанное в этой ссылке издание.

3 Термины и определения

В настоящем стандарте применены термины и определения по ИСО 30300.

4 Организационная среда

4.1 Понимание организации и ее среда

Особенности внедрения и совершенствования СУД зависят от организационной среды. Требования раздела 4 предписывают организациям рассматривать организационную среду и ее потребности в рамках внедрения СУД. Данные требования могут быть выполнены посредством проведения анализа организационной среды. Анализ должен быть выполнен на первом этапе внедрения СУД, чтобы:

a) определить внутренние и внешние факторы (см. 4.1);

b) определить деловые, правовые и иные требования (см. 4.2);

c) установить область применения СУД (см. 4.3) и определить риски (см. раздел 6).

Примечания

1 На начальном этапе, до выявления факторов и потребности в документах, масштаб анализа организационной среды будет зависеть от утвержденной высшим руководством области применения.

2 Данный подход стандартов систем управления к проведению анализа организационной среды и определению требований соотносится с проведением анализа (оценкой), предложенным в ИСО 15489-1, который также включает элементы планирования (см. раздел 6) и определение потребностей в документах (см. раздел 8).

Точная, актуальная и полная информация должна быть получена из надежного источника. Регулярный анализ источников обеспечивает точность и надежность проведения анализа организационной среды.

В разделе А.1 приложения А приведены примеры источников информации о внутренней и внешней среде организации, а также о потенциальных заинтересованных сторонах.

В качестве примеров факторов, отражающих влияние организационной среды на СУД, можно привести:

1) влияние конкурентного рынка на необходимость демонстрации эффективности работы организации;

2) влияние ценностей или восприятия заинтересованных сторон на решения, принимаемые в отношении сроков хранения документов, или решения о доступе к информации;

3) влияние информационно-технологической инфраструктуры и информационной архитектуры на доступность документных систем или документов;

4) влияние уровня квалификации и компетенций сотрудников организации на потребность в обучении или внешней помощи;

5) влияние правовых инструментов, политик, стандартов и кодексов на проектирование документных процессов и средства управления документами;

6) влияние организационной культуры на соответствие требованиям СУД;

7) влияние уровня сложности структуры организации, деловой и правовой среды на документную политику, процессы и средства управления документами (например, в межведомственной среде).

В зависимости от организации выявление внутренних и внешних факторов может быть проведено для иных целей, в том числе для внедрения других стандартов на системы управления (менеджмента). В таких случаях не требуется проведение нового анализа. Этап проведения анализа может быть ограничен рассмотрением результатов предыдущего анализа.

Анализ организационной среды является непрерывным процессом. Он обеспечивает реализацию и систематическую оценку СУД (см. раздел 9) и поддерживает цикл непрерывного совершенствования (см. раздел 10).

Итоговая документация

Одним из требований ИСО 30301 является документальное подтверждение проведенного анализа. Примеры документов:

- перечень внутренних и внешних факторов деловой деятельности, которые должны быть учтены при проектировании СУД;

- раздел в руководстве или в проектном плане внедрения СУД;

- официальный отчет по анализу внутренней и внешней организационной среды, их взаимное влияние;

- группа документов, описывающих организационную среду.

4.2 Деловые, правовые и иные требования

Результаты анализа, приведенные в 4.1, используются в качестве основы для проведения оценки правовых, организационных и иных требований в соответствии со сферой деятельности организации, ее результаты документируются. Деятельность организации является первостепенным элементом для анализа и определения требований, которые влияют на создание документов и средства управления документами.

При определении деловых требований организации следует учитывать:

a) характер деятельности организации (например, горнодобывающая промышленность, финансовый консалтинг, предоставление государственных услуг, производство, фармацевтика, бытовые услуги, некоммерческие организации, общественные работы);

b) особый вид или форма собственности организации (например, доверительная собственность, частная или государственная организация);

c) конкретный сектор, к которому принадлежит организация (то есть государственный или частный сектор, некоммерческие организации);

d) юрисдикция, в рамках которой организация ведет свою деятельность.

Требования к деловой деятельности должны быть сформулированы на основе текущих деловых процессов, а также с учетом перспективы будущего планирования и развития организации. Особое внимание к ним необходимо при разработке организацией автоматизированных или цифровых деловых процессов. В таком случае требования могут измениться в ходе обсуждения с лицами, ответственными за разработку и реализацию предлагаемых новых процессов.

Действия, предпринимаемые для определения всех нормативных правовых требований, относящихся к организации, включают:

1) анализ требований отраслевого законодательства;

2) анализ требований законодательства в сфере защиты персональных данных и управления документами и (или) данными.

Раздел А.2 приложения А содержит примеры деловых, правовых и других требований, касающихся создания документов и средств управления ими, а также источники экспертной помощи при составлении деловых, правовых и иных требований.

Итоговая документация

Оформление документации по формулированию деловых, правовых и иных требований является обязательным условием соответствия ИСО 30301. Требования могут быть отражены в одном или нескольких документах в зависимости от типа требований. Примерами подобной документации могут являться:

- перечень требований, определенных по типу (например, деловые, правовые);

- раздел в руководстве или в проектном плане внедрения СУД;

- официальный отчет об определении требований к СУД;

- перечень применяемых в организации законодательных и других кодифицированных нормативных правовых актов в отношении создания документов и управления ими;

- обзор практики правоприменения (совокупность практики применения правовых норм по определенному вопросу, относящемуся к организации).

4.3 Определение области применения СУД

Область применения СУД устанавливается высшим руководством и четко обозначает рамки внедрения СУД, подлежащие включению и исключению компоненты СУД, их роли и взаимосвязи.

Область применения может быть определена в результате проведения анализа организационной среды с учетом выявленных факторов (см. 4.1) и требований (см. 4.2), а также может быть установлена высшим руководством до выявления таких факторов и требований.

Определение области применения включает:

a) определение охватываемых СУД подразделений и функций организации. Это может быть организация в целом, департамент или отдел, отдельная функция, один или несколько деловых процессов;

b) определение подразделений или функции других (смежных) организаций, охватываемых СУД, и их взаимосвязи;

c) описание процесса интеграции СУД с общей системой управления и с другими системами управления (менеджмента), реализованными в организации (например, ИСО 9000, ИСО 14000 и ИСО/МЭК 27000);

d) определение любых процессов, влияющих на СУД, выполняемых другими организациями (аутсорсинг), и меры и средства контроля над субъектами, которые несут ответственность за их выполнение.

Итоговая документация

Наличие документального подтверждения области применения СУД является обязательным требованием СУД. Область применения СУД может быть изложена в отдельном документе либо включена в другие документы, относящиеся к СУД, такие как политика управления документами (см. 5.2), руководства или проектные планы внедрения СУД.

5 Руководство

5.1 Обязательства руководства

Обязательства высшего руководства по внедрению СУД устанавливаются также четко и на том же уровне детализации, как и для других систем управления (менеджмента), внедренных в организации, и также как для других ее активов, например человеческих ресурсов, финансов и инфраструктуры. Обязательства руководства не подразумевают выполнение каких-либо конкретных действий, но открытая демонстрация участия руководства является неотъемлемым фактором успеха внедрения СУД. Под обязательствами также подразумеваются требования ИСО 30301:2011, относящиеся к ресурсам (см. 7.1), обмену информацией (см. 7.4), а также анализу управления (см. 9.3).

Итоговая документация

Документальное закрепление обязательств руководства в отношении СУД не является обязательным требованием. Такие обязательства могут быть установлены в политике управления документами (см. 5.2). Обязательства также могут быть отражены в руководствах либо посредством выполнения каких-либо действий и в зависимости от характера деятельности организации и уровня сложности ее структуры, их подтверждение должно быть закреплено в качестве дополнения к политике управления документами. В качестве примеров можно привести:

- протокол совета директоров или совета правления;

- положения стратегических и бизнес-планов;

- резолюции и указания;

- бюджет, технико-экономическое обоснование;

- план взаимодействия.

5.2 Политика

Стратегические направления деятельности организации, определенные высшим руководством, являются основой политики управления документами. Она устанавливается руководством в качестве основы для внедрения и совершенствования СУД организации, а также в качестве эталона для оценки качества СУД.

Указания высшего руководства организации должны быть изложены в официальном документе. Проект такого рода документа обычно готовится не самими представителями высшего руководства, однако документ должен быть официально утвержден высшим руководством вне зависимости от того, кто его подготовил. В зависимости от конкретной организации к числу высшего руководства могут относиться различные должности, однако желательно, чтобы политика управления документами была утверждена наиболее высокопоставленным должностным лицом организации.

Политика управления документами содержит общие указания о том, как обеспечивается соответствие целям организации процессов создания документов и управления ими; а также принципы организации работы с документами. В случае интеграции политики работы с документами в общую политику управления, в которой применяются стандарты систем управления (менеджмента), она не требует отдельного утверждения руководством.

Разработка политики управления документами включает:

a) анализ организационной среды и определение требований (см. 4.1, 4.2);

b) организационные цели и стратегии;

c) ее влияние на другие политики организации и их взаимосвязь;

d) область применения СУД (см. 4.3);

e) организационная структура и полномочия.

Политика управления документами отражает намерения организации и может включать:

1) цель;

2) указания высшего руководства о создании документов и об управлении ими;

3) ответственность и обязательства высшего руководства в отношении создания документов и средств управления ими;

4) определение порядка внедрения установленной политики;

5) термины и определения.

Проект политики управления документами должен быть представлен в форме, понятной для всех сотрудников, имеющих отношение к работе СУД. Следует иметь в виду, что в рамках внедрения документных процессов и систем "политиками" также могут называться некоторые технические документы, в том числе решения. При внедрении ИСО 30301 политика управления документами должна быть представлена в форме самостоятельного, небольшого по объему документа, утвержденного высшим руководством. Она не должна содержать описание задач, действий или документных процессов.

В целях распространения политики управления документами в организации возможно применение методов, описанных в 7.4.

Итоговая документация

При внедрении СУД утвержденная политика управления документами является официальным документом. Положения этого документа следует соблюдать и контролировать в организации, с ним должен быть ознакомлен каждый сотрудник организации. Все документы по внедрению СУД, разработанные впоследствии, не должны противоречить установленной политике управления документами.

5.3 Организационные функции, ответственность и полномочия

5.3.1 Общие положения

Ответственность и полномочия в рамках СУД определяются и соотносятся с конкретными ролями. Они взаимосвязаны на всех уровнях организации, что позволяет легко определить лицо, ответственное за принятие необходимых мер для разработки, внедрения и поддержки СУД. Помимо формального установления представителя управления и оперативного руководителя, как указано в нижеследующих разделах, для внедрения СУД высшее руководство должно распределить обязанности и ответственность:

a) за разработку и утверждение политики;

b) за распределение ресурсов;

c) за разработку процедур и процессов и их утверждение;

d) за разработку информационных систем;

e) за обучение и консультации;

f) за внедрение политики, процедур и процессов и управление ими;

g) за аудит/мониторинг соответствия;

h) за управление качеством работ.

Ответственность может быть соотнесена с различными ролями. Следующие положения могут быть использованы в качестве основных принципов для распределения ответственности:

1) высшее руководство несет ответственность за утверждение и поддержу политики управления документами в организации;

2) определен конкретный представитель высшего руководства, на которого возложены ответственность и подотчетность за СУД (конкретная роль);

3) руководители структурных подразделений несут ответственность за обеспечение надлежащего создания документов и управление ими сотрудниками их подразделений в соответствии с установленной политикой управления документами;

4) специалисты в области управления документами несут ответственность за разработку процессов и средств управления документами, внедрение и эксплуатацию документных систем, а также за обучение лиц, участвующих в документных процессах и использующих документные системы;

5) системные администраторы несут ответственность за обеспечение надежности, безопасности, совместимости документных систем, включая системное управление процессами миграции и внесение изменений;

6) сотрудники отдела ИТ несут ответственность за внедрение и поддержу технологических аспектов, необходимых для непрерывного и надежного управления документами, в том числе за миграцию систем в случае необходимости;

7) все сотрудники несут ответственность за создание документов и управление ими в их сфере деятельности в соответствии с установленной политикой управления документами путем использования документных систем организации, ее процессов и средств управления документами.

Требования, перечисленные в этом разделе, связаны с требованиями 7.2 и 7.3 и должны быть реализованы одновременно.

Итоговая документация

Распределение обязанностей является обязательной частью документированной информации, необходимой при внедрении СУД. Она может быть представлена в различных формах.

Например:

- обязанности высшего руководства, отраженные в политике управления документами (см. 5.2);

- документация о назначении должностного лица (уполномоченного представителя) и оперативного руководителя;

- должностные инструкции или аналогичные руководства;

- делегирование полномочий в установленном порядке;

- раздел в руководстве или в проектном плане, касающийся ответственности за внедрение СУД.

5.3.2 Ответственность руководства

Роль и обязанности представителя управления должны быть четко определены. Указанная роль предполагает полную ответственность за внедрение и поддержание функционирования СУД. Представитель управления является частью высшего руководства организации. В зависимости от сложности структуры организации и внедряемой СУД руководство должно быть дополнено оперативным руководителем (как определено в 5.3.3).

В обязанности представителя высшего руководства входит:

a) утверждение официальной документации по планированию, разработке, обслуживанию и оценке СУД и проектов СУД при необходимости;

b) утверждение способа распределения ресурсов, необходимых для внедрения и поддержания работы СУД;

c) утверждение назначения одной или нескольких ролей по внедрению и поддержанию работы СУД. Эти функции могут возлагаться на конкретное должностное лицо или группу лиц в зависимости от сложности структуры и размера организации;

d) содействие обеспечению совместимости СУД за счет: обмена информацией (см. 7.4), привлечения сотрудников, расширения прав, мотивации, системы вознаграждений;

e) определение компетенции лиц (сотрудников или работников, оказывающих услуги по договору (контракту) выполнения работ или услуг), задействованных во внедрении и в поддержании функционирования СУД.

Объем, характер и способ закрепления обязанностей изложены в 5.3.1.

Итоговая документация

Соответствует итоговой документации, указанной в 5.3.1.

5.3.3 Оперативное управление

Ответственность по разработке и выполнению необходимых работ по непосредственному внедрению СУД и подготовке отчетов высшему руководству должна быть возложена на оперативного руководителя. Он может быть как сотрудником организации, так и работником, с которым заключен договор (контракт) на выполнение работ или услуг.

Оперативный руководитель должен обладать соответствующими профессиональными умениями, описанными в 7.2.

Описание области применения, характера ответственности, необходимой документации изложены в 5.3.1.

Задачи, выполняемые под руководством оперативного руководителя, основаны главным образом на задачах, указанных в разделе 8 и приложении А ИСО 30301:2011.

Оперативный руководитель может координировать деятельность одной или нескольких групп по внедрению и поддержанию функционирования СУД на оперативном уровне, а также осуществлять действия по совершенствованию СУД.

Оперативный руководитель должен предоставлять высшему руководству либо ответственному представителю по внедрению и оценке эффективности СУД отчеты с необходимой сопровождающей документацией и рекомендации по усовершенствованию процессов СУД. Отчеты могут предоставляться регулярно, с установленной периодичностью, поэтапно, в соответствии с требованиями организации. Отчеты - это документы, которыми необходимо управлять в соответствии с документными процессами и средствами управления, установленными в приложении А ИСО 30301:2011.

Взаимодействие с внешними сторонами по вопросам СУД также является обязанностью оперативного руководителя. Оно может включать (но не ограничиваться) следующее:

a) консультации с экспертами в области нормативно-правовой базы (юристами);

b) соблюдение требований или руководств специалистов в области аудита и контроля качества;

c) организацию и ведение переговоров с поставщиками товаров или услуг (например, поставщиками программного обеспечения, консультантами по внедрению);

d) приобретение дополнительных навыков за счет человеческих или информационных ресурсов подрядчиков.

Роль ответственного представителя и оперативного руководителя может быть реализована одним лицом или группой лиц в зависимости от сложности и размера организации и области применения СУД.

Итоговая документация

Соответствует итоговой документации, указанной в 5.3.1.

6 Планирование

6.1 Действия в отношении рисков и возможностей

В данном разделе основное внимание уделяется прогнозированию стратегических рисков, связанных с обеспечением достижения СУД плановых показателей, и планированию действий по их предотвращению. Успешное внедрение СУД требует выявления, анализа и оценки рисков как части планирования внедрения СУД. Анализ факторов (см. 4.1) и требований (см. 4.2) следует проводить вместе с оценкой рисков. Это необходимо для определения задач управления документами (см. 6.2) и действий, необходимых для их достижения. Данные действия включены в процессы СУД (см. раздел 8).

Создание СУД помогает организациям управлять фактором неопределенности, который влияет на достижение деловых задач. Необеспеченность процессов создания и хранения документов, отвечающих требованиям, может привести к неопределенности в деловой деятельности и негативно повлиять на способность достижения организацией поставленных целей. Создание СУД помогает организациям управлять подобной неопределенностью и ее негативным влиянием. В данном случае СУД представляет средство обработки рисков. Стратегические возможности, связанные с СУД, можно рассматривать в качестве положительных сторон реализации системы управления. Также это может влиять на прозрачность и подотчетность организации, совершенствование деловых процессов, экономическую эффективность и производительность, а также укрепление отношений с клиентами и заинтересованными сторонами. СУД может предоставить возможность исправить недостатки в работе и защитить от угроз, вызванных изменениями внешней среды или связанных с ее особенностями, посредством анализа и оценки такого рода рисков и возможностей. Как правило, делается это до того, как решение о внедрении СУД становится частью общей системы управления рисками.

При внедрении СУД неопределенности в отношении выполнения задач должны быть идентифицированы как риски. Такая оценка рисков также может предоставить возможность улучшения деловых процессов и оказать положительное влияние на постановку и достижение деловых задач. Цель требований, указанных в данном разделе, - рассмотрение оценки рисков и возможностей, в соответствии с задачами СУД. Это является частью планирования СУД. Организации могут решить, какую методологию управления рисками они собираются использовать и как действия по устранению рисков определены и реализованы.

Кроме того, существуют риски, связанные с самими документами и документными системами, в которых они находятся. Такие операционные риски должны быть выявлены в ходе оперативного планирования (см. 8.1).

В зависимости от характера рисков и возможностей необходимо применение процедур и действий различных типов и уровней. Основным определяющим фактором является наличие оперативного характера у рисков и возможностей, связанных с задачами СУД. В то время как требования к рискам и возможностям изложены в разных разделах ИСО 30301, они могут рассматриваться в качестве единого вида деятельности.

При создании организацией формальной системы управления рисками планирование СУД должно быть включено в процесс выявления рисков, анализа и оценки данной структуры.

Области неопределенности, которые могут содержать риски, необходимо учитывать при стратегическом планировании СУД. Они могут включать:

a) изменения внешней и внутренней среды организации, такие как нормативно-правовые изменения, изменения экономической и политической среды, структурные изменения;

b) системы и процессы, задействованные в создании доказательств и управлении ими для исполнения организацией миссии и выполнения задач;

c) человеческие ресурсы и навыки, необходимые для внедрения и обеспечения поддержки СУД;

d) бюджетные или финансовые последствия и изменения;

e) измерение и оценку выполнения обозначенных задач, политики и стратегий;

f) реализацию взаимосвязей с другими системами управления (менеджмента), внедренными в организации.

Определение стратегических рисков и возможностей и формулировка задач управления документами могут оказывать влияние друг на друга. Поэтому данные действия не следует рассматривать в линейной последовательности.

Выявление рисков на этом уровне должно быть связано либо с СУД в целом, либо с конкретной задачей. Например, риски, связанные с "человеческими ресурсами и навыками", упомянутые выше, как область неопределенности, могут быть связаны как с СУД в целом, так и с отдельной задачей управления документами.

В первом случае риск может заключаться в непонимании руководителями цели системы управления и ее потенциального влияния на деловые процессы и задачи, вследствие чего они сосредотачиваются на процессах сертификации, связанных с внедрением СУД.

Например, если одной из задач управления документами для конкретной системы определена необходимость фиксации ввода электронных документов в ходе выполнения процессов, связанных с клиентами, возникает риск того, что сотрудники будут сопротивляться нововведениям и использовать альтернативные технологии (например, хранить документы по деловым вопросам, используя электронную почту вместо указанной системы для хранения документов).

Действия по управлению рисками и возможностями специфичны для каждой организации. В зависимости от свойств каждого отдельного риска или возможности действия по их устранению также меняются. Они должны быть включены в процесс выполнения задач и разработки документных процессов.

Итоговая документация

Особых требований к документированию данного аспекта процесса планирования не предъявляется. Выявление рисков может быть включено в планы по выполнению задач (см. 6.2) или документироваться в виде отдельной части планирования.

Примерами могут служить:

любое применение инструментов оценки риска (приложение В МЭК 31010 включает ряд таких инструментов, а также ISO/TR 18128 содержит несколько примеров);

документирование действий, которые должны быть предприняты в отношении рисков и для реализации возможностей.

6.2 Основные задачи управления документами и планирование их выполнения

Задачи внедрения СУД или задачи управления документами определяются в соответствии с организационной средой, требованиями и приоритетами организации. Действия по их выполнению документируются, а задачи и план по их выполнению распространяются во всей организации для ознакомления в соответствии с областью применения СУД.

Исходная информация для определения задач управления документами включает:

a) анализ организационной среды и выявление потребностей организации (см. раздел 4);

b) политику управления документами (см. 5.2);

c) анализ рисков, а также действия и приоритетные области, нацеленные на устранение этих рисков (см. 6.1);

d) обзор существующих документных процессов.

Задачи управления документами различны в каждой организации [они основаны на анализе организационной среды (см. раздел 4) и анализе рисков (см. 6.1)], соответствуют стратегиям и целям и могут быть определены.

При определении задач управления документами организация должна учитывать уже существующие документы и документные системы, выявленные для устранения рисков, а также основные области для улучшения, за счет которых организация может получить максимальную выгоду.

Изменения в организационной среде (например, нормативные изменения), в политике управления документами, в процессе оценки рисков или в результатах оценки эффективности, требуют пересмотра задач управления документами для их обновления или изменения при необходимости. Задачи управления документами должны быть взаимосвязаны посредством использования методов, указанных в 7.4.

Действия по выполнению задач управления документами должны быть определены. Каждая задача может быть связана с одним или несколькими действиями. К конкретным планируемым действиям относятся:

1) определение ожидаемых результатов;

2) определение места, времени, способа выполнения данных действий и их исполнителя;

3) в зависимости от потребностей организации, организационной среды, ее размеров, сложности и характера действий, которые необходимо предпринять, меры по выполнению данных задач управления документами могут быть спланированы с применением официальной методологии управления проектами или менее формальных проектных планов или планов действий. В зависимости от объема и сложности действий может быть составлен один или несколько проектных планов.

Контроль планируемых изменений может осуществляться посредством представления официальной отчетности по проектам, составления запроса при планировании и мониторинге либо изменения процедур.

Процесс планирования может быть сформулирован в бизнес-кейсе, который включает приоритеты и цели внедрения СУД. Он может содержать:

i) область применения СУД (см. 4.3);

ii) риски, связанные с СУД;

iii) задачи и планы;

iv) приоритеты и сроки выполнения конкретных задач;

v) обязанности отдельных лиц;

vi) рассмотрение проекта;

vii) необходимость привлечения дополнительных человеческих ресурсов и навыков;

viii) необходимость привлечения иных ресурсов;

ix) методы оценки результатов предпринятых действий.

Этап планирования позволяет организации оценить значимость СУД, а также установить роли и обязанности в рамках организации, необходимые для реализации проекта СУД.

Итоговая документация

Документирование задач управления документами является требованием СУД, однако создание нормативного или официального документа необязательно.

Примерами документирования являются:

- документирование основных задач управления документами;

- утверждение руководством действий и обязательств по внедрению СУД;

- издание бизнес-кейса или его эквивалента;

- один или несколько проектных планов СУД с указанием основных этапов.

7 Обеспечение

7.1 Ресурсы

Планирование внедрения и поддержки СУД (см. раздел 6) включает оценку вида и количества необходимых ресурсов с последующим решением руководства о распределении этих ресурсов в течение необходимого времени.

Ресурсы могут быть выделены на разные периоды времени в зависимости от сферы деятельности, а также для обеспечения поддержания СУД на регулярной основе. Ресурсы могут быть временными или постоянными, внешними или внутренними.

Ресурсы, необходимые для разработки, внедрения и поддержания работы СУД могут включать:

a) человеческие ресурсы - необходимое число сотрудников, имеющих соответствующий уровень квалификации и умений;

b) информационно-коммуникационную среду в соответствии с потребностями организации в документных процессах и средствах управления;

c) финансовые ресурсы;

d) оборудование и логистику, например, для размещения дополнительных сотрудников (при необходимости).

С физическими и юридическими лицами, которые обеспечивают и предоставляют услуги организации в связи с разработкой, внедрением и поддержкой СУД, должны быть заключены официальные договоры (контракты). Такие договоры (контракты) могут включать:

- распределение обязанностей;

- требования к определенным профессиональным знаниям;

- стабильное предоставление услуг;

- наличие возможности пролонгации договора (контракта).

Итоговая документация

Распределение ресурсов является частью обязанностей высшего руководства, в то же время не существует конкретных требований к документированной информации по этому вопросу. Типовые документы, в которых может быть прописано распределение ресурсов: бюджеты; организационные диаграммы; положение о разграничении обязанностей; перечни систем, оборудования и других объектов инфраструктуры, необходимой для СУД, и договоры (контракты) (например, на оказание услуг, предоставляемых сторонними организациями).

7.2 Компетентность

Сотрудники должны обладать определенными компетенциями при выполнении возложенных на них задач (ролей) в СУД. Следует определить необходимый состав компетенций, нанять дополнительных штатных сотрудников либо заключить договоры на выполнение работ или услуг с работниками, имеющими соответствующие профессиональные умения, обеспечить соответствие их функциям в СУД и распределить их обязанности в СУД.

Определенные компетенции и профессиональные умения, необходимые для выполнения оперативной роли, будут варьироваться в зависимости от размера и сложности структуры организации, особенностей осуществляемых конкретных действий.

Компетенции оперативного руководителя могут включать в себя следующее:

a) наличие квалификации в области управления информацией;

b) опыт управления проектами, включая планирование проекта, мониторинг и отчетность;

c) опыт управления сотрудниками организации, работниками, выполняющими работу по договорам выполнения работ или оказания услуг, и временными творческими коллективами;

d) знание методов взаимодействия с заинтересованными сторонами;

e) знание принципов оценки эффективности работы организации в конкретной области и умение разработки рекомендаций по внесению изменений или улучшений.

Требования к профессиональному уровню лиц, ответственных за разработку и внедрение документных процессов и средств управления документами, определяются в зависимости от их ролей. Как правило, они включают:

1) умение проводить контекстуальный анализ и анализ требований;

2) знание установления процедур, инструментов и методов контроля и поддержки документов;

3) знание методики и умение разработки и внедрения правил предоставления доступа;

4) знание методики и умение разработки и внедрения систем для поддержки документных процессов;

5) знание порядка и правил отбора и передачи документов на хранение или уничтожение;

6) умение поддержания работы документных систем.

Квалификационные требования к профессиональному уровню применимы в отношении любых работников организации, как работающих на постоянной основе, так и работников, с которыми заключены договоры на выполнение работ и оказание услуг.

После определения необходимых компетенций для внедрения СУД, документных процессов и систем могут быть разработаны положение о распределении обязанностей и должностные инструкции (регламенты), включающие описание компетенций (квалификационных требований). Сравнение опыта, квалификации, знаний и умений сотрудников организации с положениями о распределении обязанностей и должностными инструкциями (регламентами) позволяет выявить пробелы и принять соответствующие меры, необходимые для приобретения сотрудниками организации компетенций, отвечающих предъявляемым требованиям.

Это должно учитываться:

i) при организации дополнительного профессионального обучения сотрудников или наставничества;

ii) при решении вопросов профессионального роста сотрудников;

iii) при найме (приеме) новых сотрудников;

iv) при заключении с работниками договоров на выполнение работ или услуг.

Действенность мер, принятых для приобретения необходимых компетенций, станет показательна:

- при индивидуальной оценке эффективности в соответствии с установленными критериями оценки эффективности;

- по результатам оценки эффективности функционирования СУД (см. раздел 9).

Итоговая документация

Подтверждение компетентности лиц, исполняющих определенные должностные обязанности, является требованием ИСО 30301. Обязательным результатом данного этапа является наличие у сотрудников документов, подтверждающих профессиональные знания и умения, уровень образования или получение дополнительного профессионального образования, а также определение квалификационных требований к уровню образования, профессиональным знаниям и умениям для каждой отдельной должности.

7.3 Ознакомление и обучение

Стратегии необходимы для формирования осведомленности о политике, целях и требованиях СУД, а также понимания сотрудниками их функций и обязанностей для достижения соответствия требованиям СУД. Это достигается посредством разработки различных программ и методов обучения и ознакомления, которые могут включаться в уже существующие программы.

Стратегии обучения и ознакомления могут включать:

a) вводные программы для сотрудников;

b) специализированные программы профессиональной подготовки;

c) брифинги руководства и сотрудников, например, в рамках регулярных собраний;

d) финансовое, материальное поощрение или награды;

e) повышение квалификации по отдельным аспектам работы СУД и документных процессов и средств управления документами;

f) методы коммуникации, перечисленные в 7.4.

Для удовлетворения потребностей организации формы обучения могут быть различными:

1) очное обучение;

2) дистанционное обучение;

3) индивидуальное обучение, например, для руководства.

Итоговая документация

Не предъявляется требований к составлению конкретной документации о выполнении условий, описанных в данном разделе. Реализация программы обучения может осуществляться в различных направлениях. Ниже приведены примеры документов, составленных в ходе выполнения данного этапа. Они могут варьироваться в зависимости от размера и сложности структуры организации, а также тематики программы обучения:

- концепция разработки программы;

- план инструктажа;

- административный план;

- схема оценки программы;

- содержание программы;

- учебные материалы, включая конспекты лекций преподавателя и материалы обучающихся;

- порядок оценки по результатам обучения;

- отчеты о посещаемости.

7.4 Обмен информацией

Процедуры и методы обмена информацией разрабатываются для обеспечения эффективной реализации требований СУД и соответствия им. При разработке таких процедур и методов важно выявить целевые группы или аудитории. Для различных адресатов могут потребоваться различные установки и методы взаимодействия. Обмен информацией в отношении СУД может быть интегрирован в уже существующие коммуникационные стратегии.

Процедуры обмена информацией, относящейся к СУД, должны включать:

a) область обмена информацией и краткое описание содержания;

b) способы обмена информацией;

c) ответственность за обмен информацией;

d) методы оценки эффективности обмена информацией.

Содержание информации о СУД должно включать:

1) цель СУД;

2) преимущества внедрения СУД;

3) роли и обязанности;

4) местонахождение, а также доступ к документации по СУД, включая операционные элементы;

5) содержание текущих процедур, связанных с документными процессами, системами и средствами управления документами;

6) источники помощи при реализации политики управления документами, выполнении задач и использовании оперативных элементов (например, техническая поддержка документной системы).

Примеры способов внутреннего информирования:

- рекламные мероприятия, такие как внутрисетевые уведомления, постеры, конкурсы и призы;

- кураторы, то есть передовые сотрудники, продвигающие СУД организации;

- брифинги на регулярных собраниях отделов;

- информационные бюллетени и доски объявлений.

Руководство организации должно решить, информировать ли внешние заинтересованные стороны по вопросам СУД, о политике управления документами и задачах. Это требует знания особенностей внешних заинтересованных сторон, понимания характера их заинтересованности, а также возможности фактического или потенциального воздействия на внедрение и стабильную работу СУД (см. 4.1).

Например, обмен информацией с юридическими или физическими лицами, которые являются частью цепочки поставщиков организации, может быть важен для обеспечения получения последовательных и стабильных результатов при выполнении документных процессов и использовании средств управления в рамках СУД; при наличии общих деловых процессов другая сторона или стороны могут потребовать прямой доступ к некоторым документным системам организации.

Организация может выбрать способ документирования информационного обмена с другими организациями по вопросам политики управления документами, задач и текущих процедур, в зависимости от взаимосвязей и влияния этих организаций на особенности функционирования СУД. Тем не менее, если внешние стороны задействованы в повседневных деловых процессах организации, обмен информацией должен охватывать соответствующие роли, права и условия, установленные для задействованных документных процессов и средств управления документами, а также использование документных систем.

Итоговая документация

Процедура документирования внутреннего информирования является обязательной при внедрении ИСО 30301. Если организация принимает решение взаимодействовать с другими организациями по вопросам СУД, то возникает необходимость в регламентации процедуры внешнего информационного обмена или включении внутренних и внешних связей в общую процедуру взаимодействия.

Дополнительными результатами реализации этого требования являются сообщения или документально подтвержденное решение руководства организации об информировании внешних заинтересованных сторон по вопросам создания СУД.

7.5 Документация

7.5.1 Общие положения

Документация создается и ведется с целью описания основных элементов СУД и их взаимосвязей. Она содержит определение структуры, формата, состава элементов и информационных(ой) систем(ы) управления для документации, описывающей СУД, и относящиеся к ней процессы и средства управления.

Документация по планированию, оперативной работе и контролю процессов СУД зависит от размера организации и области применения СУД. ИСО 30301 устанавливает минимальный объем документации, необходимой для внедрения СУД, но организации вправе создавать дополнительную документацию, если это необходимо для обеспечения эффективного планирования, функционирования СУД и управления ею.

Состав необходимой для реализации ИСО 30301 документации указывается в каждом разделе. Составление конкретных документов, таких как политики или процедуры, является обязательным. Иные требования к документированию указаны без определения конкретного вида документа, вследствие чего могут быть удовлетворены посредством создания различных видов документации.

Пункт 7.5.1 ИСО 30301:2011 может быть использован при проверке требований к документации, указанных в других разделах. В таблице 1 представлены документы, требования к которым описаны в других разделах.

Таблица 1 - Требования к составу документации

Требование к документации

Пункт ИСО 30301

Документ

Внешние и внутренние факторы

4.1

Не определен

Деловые, нормативные и другие требования

4.2

Не определен

Область применения СУД

4.3

Не определен

Взаимозависимость и взаимосвязь СУД с другими системами управления (менеджмента)

4.3

Не определен

Политика управления документами

5.2

Политика

Функции и обязанности

5.3

Не определен

Оценка рисков

6.1

Не определен

Задачи управления документами и планирование

6.2

Не определен

Компетентность

7.2

Не определен

Внутренний обмен информацией

7.4

Процедура (описание процедуры)

Взаимодействие со сторонними организациями (в зависимости от условий)

7.4

Описание процедуры

Управление документацией

7.5.2

Процедура (описание процедуры)

Проектирование документных процессов

8.1

Не определен

Средства управления документными процессами

8.1

Не определен

Оценка производительности

9.1

Не определен

Внутренний аудит

9.2

Программа аудита

Выявленные несоответствия и мероприятия по их устранению

10.1

Не определен

Определение потребности в документах

А. 1.1

Не определен

Требования к документам

А.1.1, А.1.2, А.1.3, А.2.1

Не определен

Передача документов

А.1.1

Процедура (описание процедуры). График передачи на хранение или уничтожение документов

Методы ввода документов

А.1.1

Не определен

Точки ввода документов

А.1.2.2

Процедура рабочего процесса (описание процедуры)

Выбор или изменение технологии

А.1.4

Не определен

Регистрация (в зависимости от условий)

А.2.1

Процедура (описание процедуры)

Классификация

А.2.1

Классификационная схема

История событий

А.2.1

Процедура (описание процедуры)

Доступ

А.2.2

Правила доступа

Целостность, аутентичность, пригодность для использования

А.2.3

Процедура (описание процедуры)

Отбор и передача

А.2.4

Процедура (описание процедуры)

Перемещение и уничтожение

А.2.4

Процедура (описание процедуры)

Документные системы

А.2.5.1

Перечень систем

Документирование решений о внедрении документных систем

А.2.5.2

Не определен

Доступность и целостность документных систем

А.2.5.4 и А.2.5.6

Процедура (описание процедуры)

7.5.2 Средства управления документацией

Процедуру устанавливают и поддерживают для управления документацией СУД.

Процедура должна установить различные уровни документации, единый порядок составления заголовков и кодирования документации, а также роли и обязанности в отношении разработки, рассмотрения и утверждения документации. Формы или шаблоны могут создаваться для любого вида документации.

Документация, требуемая СУД (см. 7.5.1) и создающаяся в процессе разработки, внедрения и поддержания документных процессов и средств управления документами, управляется с помощью документных процессов и средств управления документами, установленных в приложении А ИСО 30301.

В дополнение к средствам управления документация обновляется в соответствии с управлением версиями и должна следовать процедурам обмена информацией и распространения, установленным в 7.4.

Международные стандарты и технические отчеты ИСО/ТК 46/ПК 11 содержат дополнительные руководства по разработке и внедрению ряда документных процессов и средств управления документами.

В случае если организация внедрила другие стандарты систем управления (менеджмента) (ССУ), документация и документационные процедуры должны быть общими для двух или более ССУ.

Итоговая документация

Управление процедурой документирования.

8 Оперативная деятельность

8.1 Оперативное планирование и контроль

Организации определяют, планируют и внедряют оперативные документные процессы и системы для достижения задач управления документами (см. 6.2), которые включают возможности и меры по устранению рисков, определенных в 6.1.

В большинстве организаций, внедряющих СУД, существуют документы, документные процессы и документные системы, которые в будущем потребуют пересмотра с использованием процедур СУД, описанных ниже, а также оценки на соответствие документным процессам и средствам управления, описанным в приложении А ИСО 30301. Пересмотр существующих документов, документных процессов и документных систем также влияет на формулирование задач управления документами, оперативное планирование и контроль.

Оперативные документные процессы и системы должны быть определены и запланированы. Планирование работы СУД в организации осуществляется посредством определения документных процессов и систем, которые будут внедрены, выявления критериев для осуществления этих процессов и описания (с необходимой степенью детализации) различных видов деятельности, ее результатов, задействованных сотрудников и систем. При определении документных процессов целесообразно указать, какие виды контроля необходимы для того, чтобы показать, что каждый процесс внедряется в соответствии с планом. Исходными данными для оперативного планирования и контроля являются результаты анализа рисков, возможностей и действий, которые необходимо предпринять для управления этими рисками и возможностями (см. 6.1).

Оперативные процессы создания документов и средства управления ими, соотнесенные с конкретными потребностями организации, внедряются в соответствии с требованиями, указанными в приложении А ИСО 30301. Соответствующие международные стандарты и технические отчеты ИСО/ТК 46/ПК 11 могут использоваться в качестве руководств для разработки и внедрения этих процессов. Требования этого раздела следует рассматривать в совокупности с требованиями, указанными в 8.2 и 8.3.

В случае если деловые или документные процессы осуществляются другими организациями, ИСО 30301 четко устанавливает требование контроля подобных процессов. Такие механизмы должны быть определены и задокументированы в договорах со сторонними организациями.

Процессы, осуществляемые поставщиками на договорной основе, подлежат той же оценке эффективности, как и любые другие процессы СУД в соответствии с разделом 9.

Итоговая документация

Не предъявляется конкретных требований к контрольной документации для данного раздела. Результаты включены в итоговую документацию, указанную в 8.2.

8.2 Проектирование документных процессов

Проектирование документных процессов и средств управления включает пересмотр существующих документных процессов либо разработку новых. Как пересмотр, так и разработка новых процессов основаны на анализе рабочих процессов организации и предназначены для выполнения задач управления документами. Масштаб и сложность проектирования документных процессов и технологий, предназначенных для дальнейшего применения, могут меняться в зависимости от результатов контекстуального анализа, оценки рисков, требований к деловым процессам, размера и характера деятельности организации (см. 4.1 и 4.2) и значимости деловых мероприятий, которые они поддерживают.

Кроме того, в анализ, проводимый для проектирования новых или усовершенствования существующих документных процессов, должен быть включен анализ рисков и возможностей, выявленных на уровне СУД, а также оценка и разработка мер по устранению рисков в отношении документных процессов.

В дополнение к требованиям 8.1 ИСО 30301 для проектирования документных процессов устанавливается процесс проектирования, который включает:

a) анализ процессов работы в качестве основы для разработки документных процессов. Анализ рабочих процессов проводится в целях определения потребности в документах (ИСО 30301, приложение А), понимания реализации требований к созданию и контролю документов, которые определены в приложении А ISO/TR 26122, где содержится руководство по проведению анализа рабочих процессов;

b) оценку рисков, возникающих в документных процессах, а также их влияние на создание аутентичных, достоверных и пригодных для использования документов в процессе осуществления деловых процессов организации. ISO/TR 18128 содержит руководство по оценке рисков, связанных с документными процессами.

Требования, предъявляемые к проектированию и внедрению документных процессов, установлены ИСО 30301 и перечислены в приложении А. ИСО 15489-1 содержит дополнительные руководящие принципы по характеристикам документных процессов, а также основные понятия для их внедрения.

Средства управления, указанные в приложении А ИСО 30301, следует использовать для того, чтобы показать соответствие разработанных документных процессов существующим деловым процессам.

Соблюдение требований приложения А ИСО 30301 не подразумевает однотипное внедрение документных процессов в каждой организации.

В случае если документные процессы, связанные с конкретными требованиями, установленными в приложении А ИСО 30301, не подходят какой-либо организации, их внедрение и соблюдение предъявляемых к ним требований не являются обязательными. Однако причины, служащие основанием для принятия данного решения, должны быть сформулированы и задокументированы в ходе проектирования документных процессов.

Для документных процессов, выполняемых по договорам на выполнение работ или услуг или договорам с третьим лицом (находящихся на аутсорсинге), должны быть установлены средства управления, отраженные в договорах, соглашениях об уровне обслуживания, требованиях к документации и отчетности.

При проектировании документных процессов, соответствующих требованиям ИСО 30301, для определения выполнения этих требований могут быть использованы следующие показатели. Пункты 1-4 являются показателями, касающимися создания и ввода документов. Пункты 5-8 являются показателями, относящимися к процессам управления, как указано в приложении А ИСО 30301. Ссылки в скобках относятся к приложению А ИСО 30301.

Примечание - Международные стандарты и технические отчеты, разработанные ИСО/ТК 46/ПК 11 (ISO/TC46/SC 11), содержат подробные рекомендации по проведению анализа и проектированию документных процессов и средств управления.

1) Организация определила объект, время и способ создания и ввода документов для каждого делового процесса (А.1.1).

В соответствии с областью применения СУД, задачами управления документами и планом внедрения организация провела систематический анализ требований к созданию и средствам управления документами по каждому деловому процессу. Особенности проведения анализа устанавливаются организацией самостоятельно, но его результаты обязательно должны быть задокументированы. Примерами выполнения и документирования анализа являются:

i) диаграммы потоков деловых процессов с указанием точек создания документов;

ii) перечень документов для любого делового процесса;

iii) полное описание документов, связанных с деловыми процессами, задокументированных в процедурах каждого делового процесса.

Исходя из результатов вышеупомянутого анализа организация установила сроки хранения документов. Это отражается в определенной процедуре, в которой описывается, как выполнялся данный анализ. Процедура анализа процесса передачи документов на хранение или уничтожение гарантирует, что все правовые, деловые и другие требования выполняются и все решения приняты соответствующими лицами. Результаты анализа оформляют в виде графиков передачи на хранение или уничтожение документов, связанных с конкретным деловым процессом или группой процессов.

Процессы создания документов могут быть разработаны организацией с использованием различных подходов. Требования ИСО 30301 устанавливают необходимость наличия процессов создания документов соответствующим лицом либо инструментом в момент проведения документируемой операции/транзакции, а также ввода документов в систему наиболее приемлемым способом. Способы ввода документов в систему должны быть задокументированы.

2) Организация определила содержание, среду и контрольную информацию (метаданные), которые должны являться частью документов (А.1.2).

Документы введены в систему вместе с описательной и контекстной информацией, которая позволяет их идентифицировать и понимать не только автору документа, но и другим людям, находящимся вне делового процесса. ИСО 30301 не определяет необходимую для ввода в систему информацию, за исключением наименования подразделения организации, ответственного за документы. Тем не менее документирование фактов ввода данной описательной информации в систему является обязательным требованием для каждого рабочего процесса. Эта информация может быть включена в результаты анализа каждого делового процесса (А.1.1).

В зависимости от отрасли экономики, размера и сложности структуры организации предназначенная для ввода в систему информация может быть заранее определена в схемах метаданных. ИСО 23081-2 содержит руководство по схемам метаданных для документов.

При наличии схем метаданных в них включается контрольная информация согласно А.2.1 приложения А ИСО 30301.

3) Организация приняла решение в отношении формы и структуры документов, которые должны быть созданы и введены в систему (А.1.3).

При определении состава документов, которые должны быть созданы (А.1.1), устанавливаются формы и структуры документов. Это должно быть задокументировано для каждого делового процесса.

4) Организация определила соответствующие технологии для создания и ввода документов в систему (А.1.4).

Определение состава документов, которые должны быть созданы (А.1.1), включает принятие решений о выборе технологий, которые будут использоваться для создания и ввода документов в систему. Это должно быть задокументировано для каждого делового процесса. В небольших организациях с одной функцией и небольшим числом сотрудников данное требование может быть удовлетворено путем документирования решения о создании документов на бумажном носителе либо в компьютерной системе, а также выбором программного обеспечения, которое будет использоваться.

5) Организация установила состав контрольной информации (метаданных), которая должна быть создана в рамках осуществления документных процессов, а также порядок установления ее связи с документами и способ управления ею в течение времени (А.2.1).

Проектирование документных процессов, необходимых для контроля документов и управления ими в течение сроков их хранения, включает группировку документов в соответствии с процессом работы, к которому они относятся. Для этого организация имеет официальную, документированную схему группировки, так называемую схему классификации. Любое изменение деловых процессов должно быть отражено в схеме.

При необходимости для каждого отдельного документа разрабатывается процесс уникальной идентификации и процедура документирования.

Информация, созданная в ходе осуществления конкретных документных процессов, является контрольной. Организация самостоятельно решает, как управлять данной контрольной информацией, например, с помощью заранее определенной схемы метаданных.

В небольших организациях это требование может быть удовлетворено путем документирования решения о создании и хранении определенной совокупности документов в соответствии с различными направлениями деловой деятельности с использованием выбранного программного обеспечения либо средств хранения бумажных носителей и путем документирования соответствующих инструкций, предназначенных для сотрудников.

6) Организация установила правила и условия для использования документов в течение времени (А.2.2).

Установление процессов предоставления доступа к документам требует проведения анализа использования документов и определения прав доступа либо разрешений на использование. Правила доступа, включая любые обязательные к применению правила, должны быть четко сформулированы и задокументированы.

Реализация правил осуществляется посредством установления круга сотрудников и их прав на просмотр либо использование документов, а также внедрения этих правил в системы хранения документов.

7) Организация определила, как обеспечить сохранность документов, пригодных для использования в течение времени (А.2.3).

Пригодность документов для использования в течение времени особенно важна в отношении электронных документов. Разработка и внедрение данного процесса (для документов всех форм) должны охватывать вопросы безопасности, такие как предотвращение несанкционированного доступа, модификации, удаления, сокрытия и (или) уничтожения информации. Для организаций, внедряющих ИСО/МЭК 27001, эти требования к безопасности могут быть уже учтены.

ИСО 30301 устанавливает требования к процессу обеспечения сохранности документов. Это включает использование соответствующих стандартов в отношении медиа и технологий, а также процедуры по периодической проверке пригодности для использования. При применении технологий шифрования для обеспечения безопасности срок ограничения доступа и методы дешифровки должны быть определены и задокументированы.

8) Организация установила правила отбора и передачи документов на хранение или уничтожение (А.2.4).

Разработка процессов по отбору и передаче документов на хранение или уничтожение соответствует ИСО 30301 и включает установление процедур по отбору и передаче документов на хранение или уничтожение, включая установление сроков хранения документов, утверждение решений по передаче документов на хранение и уничтожение. Отбор и передача документов на хранение или уничтожение может включать, при необходимости, их передачу другим организациям, изменение места хранения и уничтожение. Уничтожение документов подлежит контролю и документированию, и при необходимости контрольная информация об уничтоженных документах сохраняется.

Итоговая документация:

- проект(ы) документных процессов;

- процедуры деловых процессов, включающих документные процессы;

- средства управления документами и вспомогательный анализ, например процедуры, схема(ы) классификации, схемы метаданных, правила предоставления доступа, модель системы безопасности, политики или правила отбора и передачи документов на хранение или уничтожение;

- системные требования и спецификации (для технологий);

- документация по выбору и приобретению технологий;

- документация по проектированию и конфигурации системы;

- аналитические обзоры процессов, процедур и систем;

- учебные материалы.

8.3 Внедрение документных систем

Требования к процессу внедрения документных систем, указанные в 8.3 ИСО 30301, дополнены требованиями А.2.5 приложения А ИСО 30301. И те и другие требования должны рассматриваться в совокупности.

Документные системы, соответствующие требованиям ИСО 30301, могут быть представлены в различных формах. Например:

a) программное обеспечение для деловых процессов или системы, которые сохраняют и управляют документами по транзакциям;

b) базы данных, с помощью которых можно при необходимости восстановить документы;

c) специализированное программное обеспечение, используемое для автоматизации ввода документов и управления ими.

Эти системы могут управляться как самой организацией, так и внешним поставщиком. В любом случае они должны предоставлять возможность ввода документов, управления ими, а также обеспечивать доступ к ним в течение необходимого времени. Они также должны иметь функцию экспорта документов и метаданных с сохранением доступа, аутентичности, достоверности и пригодности для использования даже в случае изменений в системе.

ИСО 15489-1 устанавливает общие характеристики документных систем и основные понятия для их внедрения. ИСО 16175-1, ИСО 16175-2 и ИСО 16175-3 содержат принципы и функциональные требования к документам в электронной офисной среде и могут быть использованы в качестве основы для формирования требований и выбора соответствующего программного обеспечения. Другие международные стандарты и технические отчеты, разработанные ИСО/ТК 46/ПК 11, должны быть использованы при проектировании и техническом обслуживании систем хранения документов.

В организации может функционировать более одной системы хранения документов, но при этом требуется идентифицировать все системы хранения документов и лиц, ответственных за них.

В ходе проводимого на регулярной основе мониторинга производительности документных систем, вне зависимости от требований деловой среды и задач управления документами, должны проверяться их следующие характеристики:

1) обеспечение функциональных возможностей, необходимых для выполнения организацией функций в соответствии с ее направлениями деятельности;

2) функционирование в соответствии с техническими спецификациями;

3) своевременная доступность системы сотрудникам организации;

4) документные системы функционируют на постоянной и надежной основе, и запланированные действия могут быть осуществлены даже в случае отказа системы;

5) непрерывность рабочего процесса и наличие возможности аварийного восстановления.

Управление функционированием документных систем заключается в обеспечении беспрерывной, надежной, безопасной работы на совместимой основе, охватывающей весь спектр деятельности организации. Это может быть осуществлено посредством:

i) документирования и внедрения процедур управления системой и поддержания ее работы;

ii) систематического тестирования системы на соответствие проектным спецификациям;

iii) анализа и принятия решений по исправлению возникающих системных сбоев, разрешению проблем и жалоб пользователей;

iv) оценки уровня и причин использования сотрудниками других (недокументных) систем;

v) регулярной проверки доступности и пригодности системы для использования;

vi) тестирования системы безопасности;

vii) оценки возможностей внесения изменений в систему в соответствии с потребностями деловой среды организации, заинтересованных сторон или требованиями законодательства;

viii) принятия необходимых мер для обеспечения процесса управления документами в случае возникновения новой функции или делового процесса в организации.

Итоговая документация

Документация, создаваемая по результатам проверки, включает:

- перечни систем управления документами;

- документацию и изменения к ней по внедрению информационных систем;

- процедуры технического обслуживания информационных систем;

- правила доступа к информационным системам;

- документацию, подтверждающую тестирование информационной системы.

В организациях, внедривших программу обеспечения защиты информации, которая может быть основана на требованиях ИСО 27001, к документным системам предъявляются те же требования по обеспечению безопасности.

9 Оценка производительности

9.1 Мониторинг, измерение, анализ и оценка

9.1.1 Определение объектов и способов проведения мониторинга, измерения, анализа и оценки

Для предоставления информации для обеспечения непрерывного развития и определения необходимости применения корректирующих мер (см. 10.1) проводится мониторинг эффективности работы СУД, документных процессов, средств управления документами и документных систем.

При определении объекта мониторинга и измерения организации следует рассмотреть:

a) уровень деловых рисков, возникающих из-за несоответствия требованиям документов или документных систем в различных подразделениях организации;

b) применение других стандартов систем управления (менеджмента);

c) требования заинтересованных сторон (в качестве примера см. приложение А);

d) правовые и нормативные требования;

e) способ реализации в деловой сфере новых процессов, средств управления документами или документных систем.

Критерии мониторинга и проведения измерений следует регулярно пересматривать и обновлять в соответствии с изменениями организационной среды (см. раздел 4).

Методы мониторинга, проведения измерений, анализа и оценки документных процессов, средств управления документами и документных систем будут зависеть от объекта мониторинга. Эти методы могут быть количественными или качественными и включать:

1) опросы пользователей;

2) контрольные перечни вопросов;

3) наблюдения;

4) сбор и анализ статистики использования системы;

5) анализ данных операционной системы, например, простои, аварии, потери данных.

Частота проведения мониторингов и измерений также будет варьироваться в зависимости оттого, что подлежит оценке. Например:

i) крупная организация оценивает конкретные деловые функции попеременно;

ii) небольшая организация проводит ежегодную оценку всей организации;

iii) организация проводит внеплановую оценку существующей СУД по причине невыполнения правовых или нормативных требований либо по результатам оценки риска;

iv) оценку проводят по завершении конкретных этапов внедрения СУД.

Итоговая документация

Составление результирующей документации не является обязательным требованием, однако примерами таких документов могут являться:

- критерии для проведения мониторинга и измерений;

- методы проведения мониторинга, измерения, анализа и оценки;

- инструменты проведения мониторинга и измерений, такие как контрольные перечни вопросов и анкеты;

- результаты проведения мониторинга и измерений, такие как статистика, результаты интервьюирования, результаты наблюдений, системные отчеты, результаты тестирований, опросов;

- график(и) проведения мониторинга и измерений.

9.1.2 Оценка производительности документных систем, процессов и эффективности функционирования СУД

Результаты мониторинга и измерений оценивают для того, чтобы гарантировать эффективность интеграции и реализации мероприятий в процессах СУД организации (см. 8.1). Организация гарантирует соответствие уровня производительности СУД деловым потребностям организации, требованиям законодательства, а также повышение степени удовлетворенности клиентов и заинтересованных сторон. Анализ и оценку результатов проведения мониторинга и измерений следует проводить после каждой проверки уровня производительности. Однако анализ тенденций изменений или анализ, проводимый для целей управленческой отчетности, в котором представлена информация о полученных результатах, может выполняться с учетом текущих потребностей, например, ежеквартально, ежегодно. Исходными данными при проведении анализа и оценки будут являться результаты мониторинга и измерений (см. 9.1.1), внутренней проверки системы (см. 9.2) и анализа, проводимого руководством (см. 9.3), а также любые установленные требования в отношении регулярной или проектной отчетности. Организация использует данные, собранные для измерения степени целесообразности и эффективности СУД, а также для оценки возможности улучшения.

Организация должна разработать, внедрить и поддерживать процедуры по оценке эффективности работы СУД, в том числе по оценке эффективности документных процессов, средств управления документами и систем. Мониторинг и оценка документных процессов или систем входят в перечень основных принципов, изложенных в ИСО 15489-1. При применении в организации ИСО 15489-1 процедуры мониторинга и оценки обычно могут быть адаптированы к требованиям ИСО 30301.

Оценку эффективности следует проводить на регулярной основе с целью обеспечения функционирования СУД в соответствии с политикой и требованиями в сфере управления документами, а также в целях удовлетворения потребностей пользователей.

При выявлении низкого уровня результативности СУД, документных процессов и средств управления документами должны быть приняты меры по совершенствованию СУД. Следует заблаговременно принять меры по устранению неблагоприятных тенденций и последствий. См. 10.1.

Итоговая документация

Отчеты о проведении оценки.

9.1.3 Оценка эффективности

Мониторинг и измерение СУД проводят с целью оценки степени ее эффективности соответствия требованиям политики управления документами, выполнения задач управления документами и удовлетворения деловых потребностей организации и ожиданий заинтересованных сторон.

Исходные данные для оценки эффективности СУД включают результаты проведенной оценки производительности документных процессов и систем (см. 9.1.2), внутренний аудит системы (см. 9.2) и анализ со стороны высшего руководства (см. 9.3).

Эффективность СУД определяется такими факторами, как:

a) текущая политика управления документами, отвечающая соответствующим требованиям (см. 5.2);

b) текущие задачи управления документами, соответствующие имеющимся и возможным деловым потребностям (см. 6.2);

c) политика управления документами, задачи, документные процессы и средства управления документами, которые были пересмотрены в результате изменений в деловой сфере, в правовых и иных требованиях (см. 4.2);

d) соответствующий уровень ресурсов, выделяемых для поддержания работы СУД (см. 7.1);

e) верное распределение ролей, обязанностей и полномочий (см. 5.3), соизмеримых с размером и характером деятельности организации и областью применения СУД, а также назначение компетентных лиц на данные роли (см. 7.2);

f) результаты оценки эффективности работы сотрудника в соответствии с четко установленными обязанностями по внедрению СУД, предоставлению отчетности и повышению осведомленности о ее функционировании (см. 7.2);

g) результаты функционирования документных процессов и систем (см. 9.1.2);

h) наличие полного состава документации по СУД и контроль процедур управления документами по месту эксплуатации (см. 7.5);

i) документные системы, обеспечивающие достижение стратегических, управленческих и финансовых целей организации (см. 8.3);

j) обучение по программе повышения осведомленности, а также текущая стратегия взаимодействия в отношении СУД, постоянно внедряемая и обновляемая в соответствии с изменениями в политике управления документами, задачах управления документами, документных процессах и средствах управления документами (см. 7.3 и 7.4);

k) результаты оценки удовлетворенности пользователей и заинтересованных сторон (см. 9.1.2).

Итоговая документация

Данные и документация по оценке работы СУД должны храниться в качестве подтверждения проведения оценки эффективности.

Примерами могут служить:

- заключение по оценке эффективности СУД;

- программа или план оценки работы;

- процедуры оценки работы;

- критерии и показатели оценки работы;

- результаты оценки работы;

- диагностический аудит, в том числе перечень мероприятий по устранению проблем;

- текущие данные мониторинга;

- отчеты по мониторингу.

9.2 Внутренний аудит системы

Организация определяет частоту проведения внутреннего аудита системы и проводит его для оценки соответствия СУД требованиям, изменениям в политике и задачах управления документами, а также эффективности ее внедрения. Руководство по проведению внутреннего аудита, характеристики аудиторов, планы и программы по аудиту и отчеты приведены в ИСО 19011.

Внутренний аудит должен осуществляться лицами, которые не принимали участия во внедрении СУД. Программа аудита должна быть составлена в соответствии с требованиями ИСО 30301. При внедрении различных ССУ организация может осуществлять комбинированный внутренний аудит.

Для того, чтобы определить эффективность внедрения и поддержки СУД, оценивают следующие аспекты:

a) соответствие документации по СУД требованиям, а также степень ее соответствия практике;

b) значимость политики и задач управления документами;

c) периодичность проведения анализа организационной среды и предпринимаемые ответные действия;

d) понимание сотрудниками их ролей и обязанностей;

e) надлежащий уровень поддержки функционирования СУД;

f) возможность внедрения и поддержания документных процессов и средств управления документами в соответствии с заявленным проектом.

Итоговая документация:

- программа аудита;

- отчет по внутреннему аудиту и сопроводительная документация.

Некоторые организации могут найти процедуру документирования внутреннего аудита полезной, особенно при интеграции различных систем управления (менеджмента).

9.3 Анализ со стороны высшего руководства

Высшее руководство проводит анализ СУД и оценку ее текущего функционирования в целях обеспечения ее постоянной пригодности, соответствия установленным требованиям и эффективности, а также для улучшения или изменения по мере необходимости. Анализ со стороны высшего руководства представляет собой комплексную оценку СУД, а не оценку отдельно взятой области. Тем не менее особое внимание может быть уделено областям выявления риска.

Исходными данными для анализа со стороны высшего руководства будут:

a) результаты предыдущих анализов со стороны высшего руководства;

b) организационная среда (см. раздел 4);

c) результаты мониторинга, измерений, анализа и оценки (см. 9.1);

d) результаты предыдущего внутреннего аудита системы (см. 9.2).

Частота проведения руководством анализа зависит от потребностей организации и ее среды. На периодичность в свою очередь влияют:

1) период функционирования СУД (новая СУД или уже функционирующая в течение какого-то времени);

2) результаты предыдущих анализов и принятых мер;

3) результаты предыдущих аудитов;

4) ожидания заинтересованных сторон;

5) принятие новых или изменение действующих нормативных правовых актов.

Анализ СУД со стороны высшего руководства может осуществляться путем рассмотрения:

i) предыдущих оценок и принятых мер;

ii) любых изменений во внутренней и внешней среде, которые могли повлиять на область применения СУД или на уровни организационного риска;

iii) предыдущих результатов мониторинга и измерений;

iv) предыдущих результатов внутреннего аудита;

v) корректирующих действий, предпринятых вследствие мониторинга, измерения и аудита;

vi) документации о возможностях постоянного улучшения и действий по ним.

При проведении анализа СУД и поиску возможностей постоянного совершенствования руководству следует рассмотреть следующие вопросы:

- дальнейшее приведение СУД в соответствие со стратегическими направлениями деятельности организации, которые могут повлиять на СУД;

- соответствие масштабов и области применения СУД деловым процессам организации;

- изменения организационной среды, которые могут повлиять на СУД, такие как: изменения в нормативно-правовой базе, влияние заинтересованных сторон, изменение организационных функций вследствие структурных изменений;

- необходимость пересмотра политики управления документами и (или) задач управления документами;

- достаточность объема ресурсов и навыков для текущего поддержания и совершенствования СУД;

- уровень информированности о СУД и ее понимания сотрудниками и контрагентами, а также понимание требований соответствия установленной политике и задачам управления документами;

- возможность достижения СУД плановых результатов.

Итоговая документация

Документирование результатов анализа со стороны высшего руководства является требованием ИСО 30301.

Результатом анализа будут являться документированные решения руководства и действия, связанные с совершенствованием процессов или общим улучшением эффективности работы СУД, а также с изменениями в ней. Данные изменения могут повлиять на политику и задачи управления документами и ресурсы.

10 Совершенствование

10.1 Контроль несоответствий и корректирующие действия

При выявлении несоответствий требованиям СУД принимаются необходимые меры. Причины несоответствий оцениваются и, в случае необходимости, принимаются меры для устранения этих причин в будущем. Несоответствия выявляются в результате:

a) мониторинга и оценки (см. 9.1);

b) внутреннего аудита (см. 9.2);

c) анализа со стороны высшего руководства (см. 9.3);

d) специальной отчетности.

Любые несоответствия требуют анализа причин, вследствие которых они возникают. При необходимости должны быть приняты корректирующие меры. Меры по контролю, смягчению или урегулированию несоответствий будут зависеть:

1) от уровня риска;

2) от степени влияния несоответствий;

3) от доступности ресурсов для принятия необходимых мер.

Планирование, необходимое для принятия корректирующих действий, может включать:

i) распределение ролей и обязанностей;

ii) определение конкретных действий, которые необходимо предпринять;

iii) в случае необходимости выделение дополнительных ресурсов;

iv) установление графиков и определение ожидаемых результатов;

v) составление отчетов о принятых мерах.

При оценке необходимости принятия соответствующих мер или действий с целью устранения причин несоответствий должны быть рассмотрены следующие вопросы:

- уровень риска по отношению к организации;

- уровень риска для СУД;

- уровень риска для нормального функционирования документных процессов, систем и средств управления документами;

- вероятность возникновения несоответствий;

- ресурсы, необходимые для принятия корректирующих действий.

Оценка корректирующих действий должна быть выполнена уполномоченными сотрудниками или подрядчиками в соответствии с их ролями, как это определено в 5.3. В рамках процесса постоянного совершенствования в отчетах по данной оценке представлены исходные данные для проведения регулярного мониторинга и измерений, внутренних аудитов системы, а также проведения анализа со стороны высшего руководства как части процесса постоянного совершенствования СУД.

Итоговая документация

Документирование полученных в ходе контроля несоответствий и принятия корректирующих действий результатов является требованием ИСО 30301. В качестве примеров можно привести следующее:

- документация по несоответствиям;

- описание корректирующих мер, которые необходимо принять;

- документирование решений о непринятии корректирующих мер в соответствующих случаях;

- проектная документация по принятию корректирующих мер;

- документы (доказательства), подтверждающие принятие корректирующих мер;

- аналитические обзоры корректирующих действий;

- оценка необходимости принятия мер по устранению причин несоответствий;

- плановая документация по принятию упреждающих действий;

- документы (доказательства), подтверждающие принятие упреждающих действий;

- аналитические обзоры упреждающих действий.

10.2 Непрерывное совершенствование

Организация способствует повышению эффективности СУД посредством соблюдения цикла планирования, поддержки, эксплуатации и оценки эффективности под непосредственным контролем высшего руководства. Это также повышает способность организации грамотно вести документацию в течение длительного времени, а также способность удовлетворять требованиям к отчетности и поддержанию деловых потребностей. Организация демонстрирует, что непрерывное улучшение цикла происходит посредством обеспечения соответствия политики работы с документами и задач управления документами целям организации и ее стратегическому направлению и это отражается в изменении документных процессов, систем и средств управления документами.

Цикл непрерывного совершенствования может быть отражен:

a) в результатах текущей оценки эффективности;

b) в предпринятых корректирующих действиях;

c) в предпринятых мерах по совершенствованию;

d) в пересмотренной политике и задачах управления документами;

e) в пересмотренной инфраструктуре поддержки СУД в результате изменений потребностей;

g) в текущем анализе организационной среды и рисков.

Итоговая документация

Результатом цикла непрерывного совершенствования является документирование указанных выше показателей.

Приложение А

(справочное)

Примеры источников информации и требований к проведению анализа организационной среды

А.1 Источники информации

Источники информации о внешней организационной среде могут включать:

- информацию от и в отношении заинтересованных сторон;

- законы, правила, стандарты, своды правил, отраслевые своды правил, правила корпоративного управления, указания;

- обзор судебных разбирательств организации и принятые меры в отношении организации со стороны контролирующих органов;

- аналитику (по вопросам экономики, финансов, окружающей среды) государственных или отраслевых специалистов;

- сообщения средств массовой информации.

Источники информации о внутренней организационной среде могут включать:

- основные корпоративные документы, такие как: политики, стратегии, бизнес-планы, годовые отчеты;

- аудиторские отчеты;

- организационную структуру, положения о распределении ролей, ответственности и обязанностей;

- корпоративные стандарты, руководства, кодексы;

- карты или описания бизнес-процессов;

- оценку навыков;

- перечни информационных систем;

- информационные модели или модели данных;

- анализ заинтересованных сторон;

- анализ рисков;

- политику информационной безопасности;

- контекстуальный анализ внедрения других стандартов систем менеджмента;

- методологию управления проектами;

- модели закупок и заключения контрактов;

- понимание организационной культуры (может быть не задокументировано).

Заинтересованными сторонами могут являться:

- сотрудники и внештатные работники, работающие от имени организации;

- сотрудники, на которых возложена ведущая роль в управлении документами, например аудит, оценка рисков, правовые вопросы, проверка соответствия, информационные технологии;

- деловые партнеры, например научно-исследовательские сотрудники, торговые партнеры;

- акционеры, владельцы, попечители, директора;

- поставщики товаров и услуг;

- клиенты;

- граждане, неправительственные организации и другие общественные группы, заинтересованные в организации и ее деятельности;

- надзорные/регулирующие органы, объектом регулирования которых может являться деятельность организации;

- органы управления, в том числе органы управления нескольких организаций, действующих в различных юрисдикциях.

А.2 Примеры требований

Примерами деловых требований, касающихся создания документов и средств управления ими, являются:

- требования к созданию документов с целью выполнения или завершения отдельных деловых процессов (в том числе веб-транзакций, а также деловых операций с использованием новых технологий, таких как социальные сети, мобильные и облачные технологии);

- требования к созданию документов по финансовой/оперативной отчетности и контролю;

- требования к созданию документов по внутренней и внешней отчетности;

- требования к созданию документов по контролю и мониторингу внешних услуг или процессов (аутсорсинга);

- требования к созданию документов по анализу и планированию;

- требования к осуществлению контроля запрашиваемых в разных местах и в течение определенных периодов времени документов и предоставлению доступа к ним;

- требования к данным, необходимым для получения доступа к документам и их использования (например, к персональным данным);

- требования к обмену информацией, содержащейся в документах, и ее повторному использованию.

Примерами правовых требований, касающихся создания документов и средств управления ими, являются:

- требования к созданию конкретных документов;

- требования к предоставлению информации о деятельности организации конкретным заинтересованным сторонам, таким как акционеры или клиенты;

- требования к хранению документов (например, конкретные сроки хранения, потенциально связанные с фиксированной или переменной датой или событиями);

- требования к хранению документов в определенных форматах;

- требования к хранению документов в определенных местах;

- требования и порядок предоставления доступа к документам;

- требования к передаче документов в другую организацию или под другую юрисдикцию.

Примерами других требований, касающихся создания документов и средств управления ими, являются:

- требования к документам, установленные отдельными сводами правил, включая применение других стандартов систем управления (менеджмента);

- требования к обеспечению доступа к конкретным документам для удовлетворения ожиданий внешних заинтересованных сторон.

Помощь в формировании деловых, правовых и других требований может исходить от целого ряда внутренних и внешних заинтересованных сторон, например:

- юристов со знанием гражданского и общего права и взаимодействия между ними (это особенно важно, когда организации действуют в нескольких юрисдикциях);

- оперативных работников с широким пониманием деловой среды;

- специалистов в области управления документами, информационных технологий и систем;

- аудиторов, специалистов в области оценки рисков и соответствия;

- документоведческих/архивных учреждений или регулирующих органов, которые заинтересованы во внедрении СУД в организации.

Приложение ДА

(справочное)

Сведения о соответствии ссылочных международных стандартов национальным стандартам

Таблица ДА.1

Обозначение ссылочного международного стандарта

Степень соответствия

Обозначение и наименование соответствующего национального стандарта

ISO 30300

IDT

ГОСТ Р ИСО 30300-2015 "Система стандартов по информации, библиотечному и издательскому делу. Информация и документация. Системы управления документами. Основные положения и словарь"

ISO 30301:2011

IDT

ГОСТ Р 7.0.101-2018/ИСО 30301:2011 "Система стандартов по информации, библиотечному и издательскому делу. Информация и документация. Системы управления документами. Требования"

Примечание - В настоящей таблице использовано следующее условное обозначение степени соответствия стандартов:

- IDT - идентичные стандарты.

Библиография

[1]

ISO 9000

Quality management systems - Fundamentals and vocabulary

[2]

ISO 13008

Information and documentation - Digital records conversion and migration process

[3]

ISO/TR 13028

Information and documentation - Implementation guidelines for digitization of records

[4]

ISO 14001

Environmental management systems - Requirements with guidance for use

[5]

ISO 15489-1

Information and documentation - Records management - Part 1: General

[6]

ISO/TR 15489-2

Information and documentation - Records management - Part 2: Guidelines

[7]

ISO 16175-1

Information and documentation - Principles and functional requirements for records in electronic office environments - Part 1: Overview and statement of principles

[8]

ISO 16175-2

Information and documentation - Principles and functional requirements for records in electronic office environments - Part 2: Guidelines and functional requirements for digital records management systems

[9]

ISO 16175-3

Information and documentation - Principles and functional requirements for records in electronic office environments - Part 3: Guidelines and functional requirements for records in business systems

[10]

ISO/TR 18128

Information and documentation - Risk assessment for records processes and systems

[11]

ISO 19011

Guidelines for auditing management systems

[12]

ISO 23081-1

Information and documentation - Records management processes - Metadata for records - Part 1: Principles

[13]

ISO 23081-2

Information and documentation - Managing metadata for records - Part 2: Conceptual and implementation issues

[14]

ISO/TR 26122

Information and documentation - Work process analysis for records

[15]

ISO 28000

Specification for security management systems for the supply chain

[16]

ISO/IEC 27001

Information technology - Security techniques - Information security management systems - Requirements

[17]

IEC 31010

Risk management - Risk assessment techniques

УДК 005.5:005.92:006.354

ОКС 01.140.20

Ключевые слова: управление документами, система управления документами, документная система, процессы управления документами