— Все документы — ГОСТы — ГОСТ Р ИСО 30302-2022 СИСТЕМА СТАНДАРТОВ ПО ИНФОРМАЦИИ, БИБЛИОТЕЧНОМУ И ИЗДАТЕЛЬСКОМУ ДЕЛУ. СИСТЕМЫ УПРАВЛЕНИЯ ДОКУМЕНТАМИ. РУКОВОДСТВО ПО ВНЕДРЕНИЮ
Добавил: Богдан Кривошея
Дата: [30.03.2023]
Утв. и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 12 мая 2022 г. N 287-ст
System of standards on information, librarianship and publishing. Management systems for records. Guidelines for implementation
(ISO 30302:2015, Information and documentation – Management systems for records - Guidelines for implementation, IDT)
ОКС 01.140.20
Дата введения - 1 июня 2022 года
Введен впервые
Предисловие
1 ПОДГОТОВЛЕН Федеральным государственным бюджетным учреждением "Российский институт стандартизации" (ФГБУ "РСТ") и Федеральным бюджетным учреждением "Всероссийский институт документоведения и архивного дела" (ВНИИДАД) на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 191 "Научно-техническая информация, библиотечное и издательское дело"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 12 мая 2022 г. N 287-ст
4 Настоящий стандарт идентичен международному стандарту ИСО 30302:2015 "Информация и документация. Системы управления документами. Руководство по внедрению (ISO 30302:2015 "Information and documentation - Management systems for records - Guidelines for implementation", IDT).
Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5-2012 (пункт 3.5).
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА
5 ВВЕДЕН ВПЕРВЫЕ
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.rst.gov.ru)
Введение
ИСО 30302 является частью серии стандартов под общим названием "Информация и документация. Системы управления документами":
- ИСО 30300, Информация и документация. Системы управления документами. Основные положения и словарь;
- ИСО 30301, Информация и документация. Системы управления документами. Требования;
- ИСО 30302, Информация и документация. Системы управления документами. Руководство по внедрению.
ИСО 30300 определяет терминологию серии стандартов на системы управления документами (СУД), цели и преимущества СУД; ИСО 30301 определяет требования к СУД для организации, которой необходимо продемонстрировать способность надлежащим образом создавать образующиеся в процессе ее деловой деятельности документы и управлять ими в течение необходимого периода времени. ИСО 30302 содержит руководство по внедрению СУД.
Цель настоящего стандарта - предоставить практическое руководство по внедрению СУД в организации в соответствии с ИСО 30301. Стандарт охватывает все необходимые аспекты для внедрения и поддержания работы СУД.
Внедрение СУД, как правило, представляет отдельно взятый проект. Внедрение СУД может рассматриваться в рамках как организаций, уже имеющих документные системы или программы, в целях анализа и улучшения процесса управления ими, так и в организациях, планирующих впервые внедрить систематический и прослеживаемый подход к созданию и средствам управления документами. Руководство, приведенное в настоящем стандарте, может быть использовано в обоих случаях.
Предполагается, что организации, принявшие решение о внедрении СУД, провели предварительную оценку существующих документов и документных систем, а также определили риски и возможности улучшений. Например, решение о внедрении СУД может быть принято в целях снижения рисков при переходе на новую информационно-техническую платформу или при реализации аутсорсинга деловых процессов с высокими уровнями риска. Помимо этого, СУД может обеспечить стандартизированный механизм управления ключевыми изменениями в процессах организации, таких как интеграция документных процессов с конкретными деловыми процессами, усиление контроля в области управления документами при совершении онлайн-транзакций или использование социальных средств массовой информации в деловых целях.
Данное руководство может быть адаптировано к потребностям конкретной организации. Особенности применения данного руководства зависят от размера организации, направления деятельности и сложности структуры, а также от наличия опыта применения СУД. Так как вышеуказанные характеристики уникальны для каждой организации, к процессу внедрения СУД будут предъявляться различные требования. Мероприятия, описанные в данном стандарте, могут быть упрощены для небольших организаций. В отношении же крупных организаций, имеющих сложную структуру, для эффективного выполнения требований, описанных в данном международном стандарте, может потребоваться внедрение многоуровневой системы управления.
Руководство, приведенное в настоящем стандарте, соответствует структуре ИСО 30301 и описывает необходимые действия для соответствия требованиям ИСО 30301, а также порядок документирования этих действий.
Раздел 4 содержит руководство по проведению анализа, необходимого для внедрения СУД. Исходя из результатов этого анализа определяются рамки проекта внедрения СУД, а также взаимосвязь внедрения СУД и других систем управления (менеджмента).
Раздел 5 содержит информацию о роли высшего руководства в процессе внедрения СУД, которая выражается в формировании политики управления документами, распределении обязанностей, планировании внедрения СУД и реализации поставленных задач.
Раздел 6 посвящен планированию, основанному на анализе рисков, анализе среды организации (см. раздел 4), а также выявлении доступных ресурсов (см. раздел 7). Раздел 7 определяет основные аспекты поддержки функциональности СУД, такие как необходимые ресурсы, компетенции, обучение, обмен информацией и документация.
Раздел 8 посвящен определению, обзору и планированию внедрения документных процессов. Он учитывает контекстные требования среды и область применения (см. раздел 4), а также политику управления документами (см. 5.2), анализ рисков (см. 6.1) и необходимые ресурсы (см. 7.1) для достижения целей (см. 6.2) планируемого внедрения. Раздел 8 отражает документные процессы и системы, необходимые для внедрения СУД.
Разделы 9 и 10 касаются оценки эффективности и улучшений в соответствии с планированием, задачами и требованиями, определенными в ИСО 30301.
Для каждого из разделов 4 - 10 ИСО 30301:2011 настоящий стандарт определяет следующее:
a) действия, необходимые для выполнения требований ИСО 30301, могут осуществляться последовательно, или некоторые необходимо выполнять одновременно с проведением единого контекстуального анализа,
b) исходные данные - отправные точки, которые могут являться итогами предшествующих действий,
c) итоги деятельности - это фактические или ожидаемые результаты по завершении деятельности.
Настоящий стандарт предназначен для использования лицами, ответственными за внедрение СУД и поддержание ее работы. Для высшего руководства он также является полезным инструментом в принятии решений о создании, области применения и внедрения систем управления (менеджмента) в организации. Он должен быть использован лицами, ответственными за внедрение СУД и поддержание ее работы. Концепции разработки оперативных документных процессов основаны на принципах, установленных ИСО 15489-1. Другие международные стандарты и технические отчеты, разработанные ИСО/ТК 46/ПК 11, являются основными инструментами для разработки, внедрения, мониторинга и совершенствования документных процессов, систем и средств управления документами, а также могут использоваться в сочетании с настоящим стандартом для внедрения отдельных элементов СУД.
Организации, которые руководствуются ИСО 15489-1, могут использовать настоящий стандарт для разработки организационной инфраструктуры управления документами в рамках систематического и прослеживаемого подхода СУД.
Настоящий стандарт содержит руководство по внедрению СУД в соответствии с ИСО 30301. Он предназначен для использования совместно с ИСО 30300 и ИСО 30301. Данный стандарт не изменяет и (или) не ограничивает требования, указанные в ИСО 30301. В нем описываются действия, необходимые для разработки и внедрения СУД.
Настоящий стандарт предназначен для использования любой организацией, осуществляющей внедрение СУД. Он применим ко всем типам организаций (например, коммерческие и некоммерческие организации, государственные учреждения) вне зависимости от их размера.
В настоящем стандарте использованы нормативные ссылки на следующие стандарты [для датированных ссылок применяют только указанное издание, для недатированных - последнее издание ссылочного стандарта (включая все изменения)]:
ISO 30300, Information and documentation - Management systems for records - Fundamentals and vocabulary (Информация и документация. Системы управления документами. Основные положения и словарь)
ISO 30301:2011 <1>, Information and documentation - Management systems for records - Requirements (Информация и документация. Системы управления документами. Требования)
--------------------------------
<1> Заменен на ISO 30301:2019. Однако для однозначного соблюдения требования настоящего стандарта, выраженного в датированной ссылке, рекомендуется использовать только указанное в этой ссылке издание.
В настоящем стандарте применены термины и определения по ИСО 30300.
Особенности внедрения и совершенствования СУД зависят от организационной среды. Требования раздела 4 предписывают организациям рассматривать организационную среду и ее потребности в рамках внедрения СУД. Данные требования могут быть выполнены посредством проведения анализа организационной среды. Анализ должен быть выполнен на первом этапе внедрения СУД, чтобы:
a) определить внутренние и внешние факторы (см. 4.1);
b) определить деловые, правовые и иные требования (см. 4.2);
c) установить область применения СУД (см. 4.3) и определить риски (см. раздел 6).
Примечания
1 На начальном этапе, до выявления факторов и потребности в документах, масштаб анализа организационной среды будет зависеть от утвержденной высшим руководством области применения.
2 Данный подход стандартов систем управления к проведению анализа организационной среды и определению требований соотносится с проведением анализа (оценкой), предложенным в ИСО 15489-1, который также включает элементы планирования (см. раздел 6) и определение потребностей в документах (см. раздел 8).
Точная, актуальная и полная информация должна быть получена из надежного источника. Регулярный анализ источников обеспечивает точность и надежность проведения анализа организационной среды.
В разделе A.1 приложения A приведены примеры источников информации о внутренней и внешней среде организации, а также о потенциальных заинтересованных сторонах.
В качестве примеров факторов, отражающих влияние организационной среды на СУД, можно привести:
1) влияние конкурентного рынка на необходимость демонстрации эффективности работы организации;
2) влияние ценностей или восприятия заинтересованных сторон на решения, принимаемые в отношении сроков хранения документов, или решения о доступе к информации;
3) влияние информационно-технологической инфраструктуры и информационной архитектуры на доступность документных систем или документов;
4) влияние уровня квалификации и компетенций сотрудников организации на потребность в обучении или внешней помощи;
5) влияние правовых инструментов, политик, стандартов и кодексов на проектирование документных процессов и средства управления документами;
6) влияние организационной культуры на соответствие требованиям СУД;
7) влияние уровня сложности структуры организации, деловой и правовой среды на документную политику, процессы и средства управления документами (например, в межведомственной среде).
В зависимости от организации выявление внутренних и внешних факторов может быть проведено для иных целей, в том числе для внедрения других стандартов на системы управления (менеджмента). В таких случаях не требуется проведение нового анализа. Этап проведения анализа может быть ограничен рассмотрением результатов предыдущего анализа.
Анализ организационной среды является непрерывным процессом. Он обеспечивает реализацию и систематическую оценку СУД (см. раздел 9) и поддерживает цикл непрерывного совершенствования (см. раздел 10).
Итоговая документация
Одним из требований ИСО 30301 является документальное подтверждение проведенного анализа. Примеры документов:
- перечень внутренних и внешних факторов деловой деятельности, которые должны быть учтены при проектировании СУД;
- раздел в руководстве или в проектном плане внедрения СУД;
- официальный отчет по анализу внутренней и внешней организационной среды, их взаимное влияние;
- группа документов, описывающих организационную среду.
Результаты анализа, приведенные в 4.1, используются в качестве основы для проведения оценки правовых, организационных и иных требований в соответствии со сферой деятельности организации, ее результаты документируются. Деятельность организации является первостепенным элементом для анализа и определения требований, которые влияют на создание документов и средства управления документами.
При определении деловых требований организации следует учитывать:
a) характер деятельности организации (например, горнодобывающая промышленность, финансовый консалтинг, предоставление государственных услуг, производство, фармацевтика, бытовые услуги, некоммерческие организации, общественные работы);
b) особый вид или форма собственности организации (например, доверительная собственность, частная или государственная организация);
c) конкретный сектор, к которому принадлежит организация (то есть государственный или частный сектор, некоммерческие организации);
d) юрисдикция, в рамках которой организация ведет свою деятельность.
Требования к деловой деятельности должны быть сформулированы на основе текущих деловых процессов, а также с учетом перспективы будущего планирования и развития организации. Особое внимание к ним необходимо при разработке организацией автоматизированных или цифровых деловых процессов. В таком случае требования могут измениться в ходе обсуждения с лицами, ответственными за разработку и реализацию предлагаемых новых процессов.
Действия, предпринимаемые для определения всех нормативных правовых требований, относящихся к организации, включают:
1) анализ требований отраслевого законодательства;
2) анализ требований законодательства в сфере защиты персональных данных и управления документами и (или) данными.
Раздел A.2 приложения A содержит примеры деловых, правовых и других требований, касающихся создания документов и средств управления ими, а также источники экспертной помощи при составлении деловых, правовых и иных требований.
Итоговая документация
Оформление документации по формулированию деловых, правовых и иных требований является обязательным условием соответствия ИСО 30301. Требования могут быть отражены в одном или нескольких документах в зависимости от типа требований. Примерами подобной документации могут являться:
- перечень требований, определенных по типу (например, деловые, правовые);
- раздел в руководстве или в проектном плане внедрения СУД;
- официальный отчет об определении требований к СУД;
- перечень применяемых в организации законодательных и других кодифицированных нормативных правовых актов в отношении создания документов и управления ими;
- обзор практики правоприменения (совокупность практики применения правовых норм по определенному вопросу, относящемуся к организации).
Область применения СУД устанавливается высшим руководством и четко обозначает рамки внедрения СУД, подлежащие включению и исключению компоненты СУД, их роли и взаимосвязи.
Область применения может быть определена в результате проведения анализа организационной среды с учетом выявленных факторов (см. 4.1) и требований (см. 4.2), а также может быть установлена высшим руководством до выявления таких факторов и требований.
Определение области применения включает:
a) определение охватываемых СУД подразделений и функций организации. Это может быть организация в целом, департамент или отдел, отдельная функция, один или несколько деловых процессов;
b) определение подразделений или функции других (смежных) организаций, охватываемых СУД, и их взаимосвязи;
c) описание процесса интеграции СУД с общей системой управления и с другими системами управления (менеджмента), реализованными в организации (например, ИСО 9000, ИСО 14000 и ИСО/МЭК 27000);
d) определение любых процессов, влияющих на СУД, выполняемых другими организациями (аутсорсинг), и меры и средства контроля над субъектами, которые несут ответственность за их выполнение.
Итоговая документация
Наличие документального подтверждения области применения СУД является обязательным требованием СУД. Область применения СУД может быть изложена в отдельном документе либо включена в другие документы, относящиеся к СУД, такие как политика управления документами (см. 5.2), руководства или проектные планы внедрения СУД.
Обязательства высшего руководства по внедрению СУД устанавливаются так же четко и на том же уровне детализации, как и для других систем управления (менеджмента), внедренных в организации, и так же как для других ее активов, например человеческих ресурсов, финансов и инфраструктуры. Обязательства руководства не подразумевают выполнение каких-либо конкретных действий, но открытая демонстрация участия руководства является неотъемлемым фактором успеха внедрения СУД. Под обязательствами также подразумеваются требования ИСО 30301:2011, относящиеся к ресурсам (см. 7.1), обмену информацией (см. 7.4), а также анализу управления (см. 9.3).
Итоговая документация
Документальное закрепление обязательств руководства в отношении СУД не является обязательным требованием. Такие обязательства могут быть установлены в политике управления документами (см. 5.2). Обязательства также могут быть отражены в руководствах либо посредством выполнения каких-либо действий и в зависимости от характера деятельности организации и уровня сложности ее структуры, их подтверждение должно быть закреплено в качестве дополнения к политике управления документами. В качестве примеров можно привести:
- протокол совета директоров или совета правления;
- положения стратегических и бизнес-планов;
- резолюции и указания;
- бюджет, технико-экономическое обоснование;
- план взаимодействия.
Стратегические направления деятельности организации, определенные высшим руководством, являются основой политики управления документами. Она устанавливается руководством в качестве основы для внедрения и совершенствования СУД организации, а также в качестве эталона для оценки качества СУД.
Указания высшего руководства организации должны быть изложены в официальном документе. Проект такого рода документа обычно готовится не самими представителями высшего руководства, однако документ должен быть официально утвержден высшим руководством вне зависимости от того, кто его подготовил. В зависимости от конкретной организации к числу высшего руководства могут относиться различные должности, однако желательно, чтобы политика управления документами была утверждена наиболее высокопоставленным должностным лицом организации.
Политика управления документами содержит общие указания о том, как обеспечивается соответствие целям организации процессов создания документов и управления ими; а также принципы организации работы с документами. В случае интеграции политики работы с документами в общую политику управления, в которой применяются стандарты систем управления (менеджмента), она не требует отдельного утверждения руководством.
Разработка политики управления документами включает:
a) анализ организационной среды и определение требований (см. 4.1, 4.2);
b) организационные цели и стратегии;
c) ее влияние на другие политики организации и их взаимосвязь;
d) область применения СУД (см. 4.3);
e) организационная структура и полномочия.
Политика управления документами отражает намерения организации и может включать:
1) цель;
2) указания высшего руководства о создании документов и об управлении ими;
3) ответственность и обязательства высшего руководства в отношении создания документов и средств управления ими;
4) определение порядка внедрения установленной политики;
5) термины и определения.
Проект политики управления документами должен быть представлен в форме, понятной для всех сотрудников, имеющих отношение к работе СУД. Следует иметь в виду, что в рамках внедрения документных процессов и систем "политиками" также могут называться некоторые технические документы, в том числе решения. При внедрении ИСО 30301 политика управления документами должна быть представлена в форме самостоятельного, небольшого по объему документа, утвержденного высшим руководством. Она не должна содержать описание задач, действий или документных процессов.
В целях распространения политики управления документами в организации возможно применение методов, описанных в 7.4.
Итоговая документация
При внедрении СУД утвержденная политика управления документами является официальным документом. Положения этого документа следует соблюдать и контролировать в организации, с ним должен быть ознакомлен каждый сотрудник организации. Все документы по внедрению СУД, разработанные впоследствии, не должны противоречить установленной политике управления документами.
5.3.1 Общие положения
Ответственность и полномочия в рамках СУД определяются и соотносятся с конкретными ролями. Они взаимосвязаны на всех уровнях организации, что позволяет легко определить лицо, ответственное за принятие необходимых мер для разработки, внедрения и поддержки СУД. Помимо формального установления представителя управления и оперативного руководителя, как указано в нижеследующих разделах, для внедрения СУД высшее руководство должно распределить обязанности и ответственность:
a) за разработку и утверждение политики;
b) за распределение ресурсов;
c) за разработку процедур и процессов и их утверждение;
d) за разработку информационных систем;
e) за обучение и консультации;
f) за внедрение политики, процедур и процессов и управление ими;
g) за аудит/мониторинг соответствия;
h) за управление качеством работ.
Ответственность может быть соотнесена с различными ролями. Следующие положения могут быть использованы в качестве основных принципов для распределения ответственности:
1) высшее руководство несет ответственность за утверждение и поддержку политики управления документами в организации;
2) определен конкретный представитель высшего руководства, на которого возложены ответственность и подотчетность за СУД (конкретная роль);
3) руководители структурных подразделений несут ответственность за обеспечение надлежащего создания документов и управление ими сотрудниками их подразделений в соответствии с установленной политикой управления документами;
4) специалисты в области управления документами несут ответственность за разработку процессов и средств управления документами, внедрение и эксплуатацию документных систем, а также за обучение лиц, участвующих в документных процессах и использующих документные системы;
5) системные администраторы несут ответственность за обеспечение надежности, безопасности, совместимости документных систем, включая системное управление процессами миграции и внесение изменений;
6) сотрудники отдела ИТ несут ответственность за внедрение и поддержку технологических аспектов, необходимых для непрерывного и надежного управления документами, в том числе за миграцию систем в случае необходимости;
7) все сотрудники несут ответственность за создание документов и управление ими в их сфере деятельности в соответствии с установленной политикой управления документами путем использования документных систем организации, ее процессов и средств управления документами.
Требования, перечисленные в этом разделе, связаны с требованиями 7.2 и 7.3 и должны быть реализованы одновременно.
Итоговая документация
Распределение обязанностей является обязательной частью документированной информации, необходимой при внедрении СУД. Она может быть представлена в различных формах.
Например:
- обязанности высшего руководства, отраженные в политике управления документами (см. 5.2);
- документация о назначении должностного лица (уполномоченного представителя) и оперативного руководителя;
- должностные инструкции или аналогичные руководства;
- делегирование полномочий в установленном порядке;
- раздел в руководстве или в проектном плане, касающийся ответственности за внедрение СУД.
5.3.2 Ответственность руководства
Роль и обязанности представителя управления должны быть четко определены. Указанная роль предполагает полную ответственность за внедрение и поддержание функционирования СУД. Представитель управления является частью высшего руководства организации. В зависимости от сложности структуры организации и внедряемой СУД руководство должно быть дополнено оперативным руководителем (как определено в 5.3.3).
В обязанности представителя высшего руководства входит:
a) утверждение официальной документации по планированию, разработке, обслуживанию и оценке СУД и проектов СУД при необходимости;
b) утверждение способа распределения ресурсов, необходимых для внедрения и поддержания работы СУД;
c) утверждение назначения одной или нескольких ролей по внедрению и поддержанию работы СУД. Эти функции могут возлагаться на конкретное должностное лицо или группу лиц в зависимости от сложности структуры и размера организации;
d) содействие обеспечению совместимости СУД за счет: обмена информацией (см. 7.4), привлечения сотрудников, расширения прав, мотивации, системы вознаграждений;
e) определение компетенции лиц (сотрудников или работников, оказывающих услуги по договору (контракту) выполнения работ или услуг), задействованных во внедрении и в поддержании функционирования СУД.
Объем, характер и способ закрепления обязанностей изложены в 5.3.1.
Итоговая документация
Соответствует итоговой документации, указанной в 5.3.1.
5.3.3 Оперативное управление
Ответственность по разработке и выполнению необходимых работ по непосредственному внедрению СУД и подготовке отчетов высшему руководству должна быть возложена на оперативного руководителя. Он может быть как сотрудником организации, так и работником, с которым заключен договор (контракт) на выполнение работ или услуг.
Оперативный руководитель должен обладать соответствующими профессиональными умениями, описанными в 7.2.
Описание области применения, характера ответственности, необходимой документации изложены в 5.3.1.
Задачи, выполняемые под руководством оперативного руководителя, основаны главным образом на задачах, указанных в разделе 8 и приложении A ИСО 30301:2011.
Оперативный руководитель может координировать деятельность одной или нескольких групп по внедрению и поддержанию функционирования СУД на оперативном уровне, а также осуществлять действия по совершенствованию СУД.
Оперативный руководитель должен предоставлять высшему руководству либо ответственному представителю по внедрению и оценке эффективности СУД отчеты с необходимой сопровождающей документацией и рекомендации по усовершенствованию процессов СУД. Отчеты могут предоставляться регулярно, с установленной периодичностью, поэтапно, в соответствии с требованиями организации. Отчеты - это документы, которыми необходимо управлять в соответствии с документными процессами и средствами управления, установленными в приложении A ИСО 30301:2011.
Взаимодействие с внешними сторонами по вопросам СУД также является обязанностью оперативного руководителя. Оно может включать (но не ограничиваться) следующее:
a) консультации с экспертами в области нормативно-правовой базы (юристами);
b) соблюдение требований или руководств специалистов в области аудита и контроля качества;
c) организацию и ведение переговоров с поставщиками товаров или услуг (например, поставщиками программного обеспечения, консультантами по внедрению);
d) приобретение дополнительных навыков за счет человеческих или информационных ресурсов подрядчиков.
Роль ответственного представителя и оперативного руководителя может быть реализована одним лицом или группой лиц в зависимости от сложности и размера организации и области применения СУД.
Итоговая документация
Соответствует итоговой документации, указанной в 5.3.1.
В данном разделе основное внимание уделяется прогнозированию стратегических рисков, связанных с обеспечением достижения СУД плановых показателей, и планированию действий по их предотвращению. Успешное внедрение СУД требует выявления, анализа и оценки рисков как части планирования внедрения СУД. Анализ факторов (см. 4.1) и требований (см. 4.2) следует проводить вместе с оценкой рисков. Это необходимо для определения задач управления документами (см. 6.2) и действий, необходимых для их достижения. Данные действия включены в процессы СУД (см. раздел 8).
Создание СУД помогает организациям управлять фактором неопределенности, который влияет на достижение деловых задач. Необеспеченность процессов создания и хранения документов, отвечающих требованиям, может привести к неопределенности в деловой деятельности и негативно повлиять на способность достижения организацией поставленных целей. Создание СУД помогает организациям управлять подобной неопределенностью и ее негативным влиянием. В данном случае СУД представляет средство обработки рисков. Стратегические возможности, связанные с СУД, можно рассматривать в качестве положительных сторон реализации системы управления. Также это может влиять на прозрачность и подотчетность организации, совершенствование деловых процессов, экономическую эффективность и производительность, а также укрепление отношений с клиентами и заинтересованными сторонами. СУД может предоставить возможность исправить недостатки в работе и защитить от угроз, вызванных изменениями внешней среды или связанных с ее особенностями, посредством анализа и оценки такого рода рисков и возможностей. Как правило, делается это до того, как решение о внедрении СУД становится частью общей системы управления рисками.
При внедрении СУД неопределенности в отношении выполнения задач должны быть идентифицированы как риски. Такая оценка рисков также может предоставить возможность улучшения деловых процессов и оказать положительное влияние на постановку и достижение деловых задач. Цель требований, указанных в данном разделе, - рассмотрение оценки рисков и возможностей, в соответствии с задачами СУД. Это является частью планирования СУД. Организации могут решить, какую методологию управления рисками они собираются использовать и как действия по устранению рисков определены и реализованы.
Кроме того, существуют риски, связанные с самими документами и документными системами, в которых они находятся. Такие операционные риски должны быть выявлены в ходе оперативного планирования (см. 8.1).
В зависимости от характера рисков и возможностей необходимо применение процедур и действий различных типов и уровней. Основным определяющим фактором является наличие оперативного характера у рисков и возможностей, связанных с задачами СУД. В то время как требования к рискам и возможностям изложены в разных разделах ИСО 30301, они могут рассматриваться в качестве единого вида деятельности.
При создании организацией формальной системы управления рисками планирование СУД должно быть включено в процесс выявления рисков, анализа и оценки данной структуры.
Области неопределенности, которые могут содержать риски, необходимо учитывать при стратегическом планировании СУД. Они могут включать:
a) изменения внешней и внутренней среды организации, такие как нормативно-правовые изменения, изменения экономической и политической среды, структурные изменения;
b) системы и процессы, задействованные в создании доказательств и управлении ими для исполнения организацией миссии и выполнения задач;
c) человеческие ресурсы и навыки, необходимые для внедрения и обеспечения поддержки СУД;
d) бюджетные или финансовые последствия и изменения;
e) измерение и оценку выполнения обозначенных задач, политики и стратегий;
f) реализацию взаимосвязей с другими системами управления (менеджмента), внедренными в организации.
Определение стратегических рисков и возможностей и формулировка задач управления документами могут оказывать влияние друг на друга. Поэтому данные действия не следует рассматривать в линейной последовательности.
Выявление рисков на этом уровне должно быть связано либо с СУД в целом, либо с конкретной задачей. Например, риски, связанные с "человеческими ресурсами и навыками", упомянутые выше, как область неопределенности, могут быть связаны как с СУД в целом, так и с отдельной задачей управления документами.
В первом случае риск может заключаться в непонимании руководителями цели системы управления и ее потенциального влияния на деловые процессы и задачи, вследствие чего они сосредотачиваются на процессах сертификации, связанных с внедрением СУД.
Например, если одной из задач управления документами для конкретной системы определена необходимость фиксации ввода электронных документов в ходе выполнения процессов, связанных с клиентами, возникает риск того, что сотрудники будут сопротивляться нововведениям и использовать альтернативные технологии (например, хранить документы по деловым вопросам, используя электронную почту вместо указанной системы для хранения документов).
Действия по управлению рисками и возможностями специфичны для каждой организации. В зависимости от свойств каждого отдельного риска или возможности действия по их устранению также меняются. Они должны быть включены в процесс выполнения задач и разработки документных процессов.
Итоговая документация
Особых требований к документированию данного аспекта процесса планирования не предъявляется. Выявление рисков может быть включено в планы по выполнению задач (см. 6.2) или документироваться в виде отдельной части планирования.
Примерами могут служить:
любое применение инструментов оценки риска (приложение B МЭК 31010 включает ряд таких инструментов, а также ISO/TR 18128 содержит несколько примеров);
документирование действий, которые должны быть предприняты в отношении рисков и для реализации возможностей.
Задачи внедрения СУД или задачи управления документами определяются в соответствии с организационной средой, требованиями и приоритетами организации. Действия по их выполнению документируются, а задачи и план по их выполнению распространяются во всей организации для ознакомления в соответствии с областью применения СУД.
Исходная информация для определения задач управления документами включает:
a) анализ организационной среды и выявление потребностей организации (см. раздел 4);
b) политику управления документами (см. 5.2);
c) анализ рисков, а также действия и приоритетные области, нацеленные на устранение этих рисков (см. 6.1);
d) обзор существующих документных процессов.
Задачи управления документами различны в каждой организации [они основаны на анализе организационной среды (см. раздел 4) и анализе рисков (см. 6.1)], соответствуют стратегиям и целям и могут быть определены.
При определении задач управления документами организация должна учитывать уже существующие документы и документные системы, выявленные для устранения рисков, а также основные области для улучшения, за счет которых организация может получить максимальную выгоду.
Изменения в организационной среде (например, нормативные изменения), в политике управления документами, в процессе оценки рисков или в результатах оценки эффективности, требуют пересмотра задач управления документами для их обновления или изменения при необходимости. Задачи управления документами должны быть взаимосвязаны посредством использования методов, указанных в 7.4.
Действия по выполнению задач управления документами должны быть определены. Каждая задача может быть связана с одним или несколькими действиями. К конкретным планируемым действиям относятся:
1) определение ожидаемых результатов;
2) определение места, времени, способа выполнения данных действий и их исполнителя;
3) в зависимости от потребностей организации, организационной среды, ее размеров, сложности и характера действий, которые необходимо предпринять, меры по выполнению данных задач управления документами могут быть спланированы с применением официальной методологии управления проектами или менее формальных проектных планов или планов действий. В зависимости от объема и сложности действий может быть составлен один или несколько проектных планов.
Контроль планируемых изменений может осуществляться посредством представления официальной отчетности по проектам, составления запроса при планировании и мониторинге либо изменения процедур.
Процесс планирования может быть сформулирован в бизнес-кейсе, который включает приоритеты и цели внедрения СУД. Он может содержать:
i) область применения СУД (см. 4.3);
ii) риски, связанные с СУД;
iii) задачи и планы;
iv) приоритеты и сроки выполнения конкретных задач;
v) обязанности отдельных лиц;
vi) рассмотрение проекта;
vii) необходимость привлечения дополнительных человеческих ресурсов и навыков;
viii) необходимость привлечения иных ресурсов;
ix) методы оценки результатов предпринятых действий.
Этап планирования позволяет организации оценить значимость СУД, а также установить роли и обязанности в рамках организации, необходимые для реализации проекта СУД.
Итоговая документация
Документирование задач управления документами является требованием СУД, однако создание нормативного или официального документа необязательно.
Примерами документирования являются:
- документирование основных задач управления документами;
- утверждение руководством действий и обязательств по внедрению СУД;
- издание бизнес-кейса или его эквивалента;
- один или несколько проектных планов СУД с указанием основных этапов.
Планирование внедрения и поддержки СУД (см. раздел 6) включает оценку вида и количества необходимых ресурсов с последующим решением руководства о распределении этих ресурсов в течение необходимого времени.
Ресурсы могут быть выделены на разные периоды времени в зависимости от сферы деятельности, а также для обеспечения поддержания СУД на регулярной основе. Ресурсы могут быть временными или постоянными, внешними или внутренними.
Ресурсы, необходимые для разработки, внедрения и поддержания работы СУД могут включать:
a) человеческие ресурсы - необходимое число сотрудников, имеющих соответствующий уровень квалификации и умений;
b) информационно-коммуникационную среду в соответствии с потребностями организации в документных процессах и средствах управления;
c) финансовые ресурсы;
d) оборудование и логистику, например, для размещения дополнительных сотрудников (при необходимости).
С физическими и юридическими лицами, которые обеспечивают и предоставляют услуги организации в связи с разработкой, внедрением и поддержкой СУД, должны быть заключены официальные договоры (контракты). Такие договоры (контракты) могут включать:
- распределение обязанностей;
- требования к определенным профессиональным знаниям;
- стабильное предоставление услуг;
- наличие возможности пролонгации договора (контракта).
Итоговая документация
Распределение ресурсов является частью обязанностей высшего руководства, в то же время не существует конкретных требований к документированной информации по этому вопросу. Типовые документы, в которых может быть прописано распределение ресурсов: бюджеты; организационные диаграммы; положение о разграничении обязанностей; перечни систем, оборудования и других объектов инфраструктуры, необходимой для СУД, и договоры (контракты) (например, на оказание услуг, предоставляемых сторонними организациями).
Сотрудники должны обладать определенными компетенциями при выполнении возложенных на них задач (ролей) в СУД. Следует определить необходимый состав компетенций, нанять дополнительных штатных сотрудников либо заключить договоры на выполнение работ или услуг с работниками, имеющими соответствующие профессиональные умения, обеспечить соответствие их функциям в СУД и распределить их обязанности в СУД.
Определенные компетенции и профессиональные умения, необходимые для выполнения оперативной роли, будут варьироваться в зависимости от размера и сложности структуры организации, особенностей осуществляемых конкретных действий.
Компетенции оперативного руководителя могут включать в себя следующее:
a) наличие квалификации в области управления информацией;
b) опыт управления проектами, включая планирование проекта, мониторинг и отчетность;
c) опыт управления сотрудниками организации, работниками, выполняющими работу по договорам выполнения работ или оказания услуг, и временными творческими коллективами;
d) знание методов взаимодействия с заинтересованными сторонами;
e) знание принципов оценки эффективности работы организации в конкретной области и умение разработки рекомендаций по внесению изменений или улучшений.
Требования к профессиональному уровню лиц, ответственных за разработку и внедрение документных процессов и средств управления документами, определяются в зависимости от их ролей. Как правило, они включают:
1) умение проводить контекстуальный анализ и анализ требований;
2) знание установления процедур, инструментов и методов контроля и поддержки документов;
3) знание методики и умение разработки и внедрения правил предоставления доступа;
4) знание методики и умение разработки и внедрения систем для поддержки документных процессов;
5) знание порядка и правил отбора и передачи документов на хранение или уничтожение;
6) умение поддержания работы документных систем.
Квалификационные требования к профессиональному уровню применимы в отношении любых работников организации, как работающих на постоянной основе, так и работников, с которыми заключены договоры на выполнение работ и оказание услуг.
После определения необходимых компетенций для внедрения СУД, документных процессов и систем могут быть разработаны положение о распределении обязанностей и должностные инструкции (регламенты), включающие описание компетенций (квалификационных требований). Сравнение опыта, квалификации, знаний и умений сотрудников организации с положениями о распределении обязанностей и должностными инструкциями (регламентами) позволяет выявить пробелы и принять соответствующие меры, необходимые для приобретения сотрудниками организации компетенций, отвечающих предъявляемым требованиям.
Это должно учитываться:
i) при организации дополнительного профессионального обучения сотрудников или наставничества;
ii) при решении вопросов профессионального роста сотрудников;
iii) при найме (приеме) новых сотрудников;
iv) при заключении с работниками договоров на выполнение работ или услуг.
Действенность мер, принятых для приобретения необходимых компетенций, станет показательна:
- при индивидуальной оценке эффективности в соответствии с установленными критериями оценки эффективности;
- по результатам оценки эффективности функционирования СУД (см. раздел 9).
Итоговая документация
Подтверждение компетентности лиц, исполняющих определенные должностные обязанности, является требованием ИСО 30301. Обязательным результатом данного этапа является наличие у сотрудников документов, подтверждающих профессиональные знания и умения, уровень образования или получение дополнительного профессионального образования, а также определение квалификационных требований к уровню образования, профессиональным знаниям и умениям для каждой отдельной должности.
Стратегии необходимы для формирования осведомленности о политике, целях и требованиях СУД, а также понимания сотрудниками их функций и обязанностей для достижения соответствия требованиям СУД. Это достигается посредством разработки различных программ и методов обучения и ознакомления, которые могут включаться в уже существующие программы.
Стратегии обучения и ознакомления могут включать:
a) вводные программы для сотрудников;
b) специализированные программы профессиональной подготовки;
c) брифинги руководства и сотрудников, например, в рамках регулярных собраний;
d) финансовое, материальное поощрение или награды;
e) повышение квалификации по отдельным аспектам работы СУД и документных процессов и средств управления документами;
f) методы коммуникации, перечисленные в 7.4.
Для удовлетворения потребностей организации формы обучения могут быть различными:
1) очное обучение;
2) дистанционное обучение;
3) индивидуальное обучение, например, для руководства.
Итоговая документация
Не предъявляется требований к составлению конкретной документации о выполнении условий, описанных в данном разделе. Реализация программы обучения может осуществляться в различных направлениях. Ниже приведены примеры документов, составленных в ходе выполнения данного этапа. Они могут варьироваться в зависимости от размера и сложности структуры организации, а также тематики программы обучения:
- концепция разработки программы;
- план инструктажа;
- административный план;
- схема оценки программы;
- содержание программы;
- учебные материалы, включая конспекты лекций преподавателя и материалы обучающихся;
- порядок оценки по результатам обучения;
- отчеты о посещаемости.
Процедуры и методы обмена информацией разрабатываются для обеспечения эффективной реализации требований СУД и соответствия им. При разработке таких процедур и методов важно выявить целевые группы или аудитории. Для различных адресатов могут потребоваться различные установки и методы взаимодействия. Обмен информацией в отношении СУД может быть интегрирован в уже существующие коммуникационные стратегии.
Процедуры обмена информацией, относящейся к СУД, должны включать:
a) область обмена информацией и краткое описание содержания;
b) способы обмена информацией;
c) ответственность за обмен информацией;
d) методы оценки эффективности обмена информацией.
Содержание информации о СУД должно включать:
1) цель СУД;
2) преимущества внедрения СУД;
3) роли и обязанности;
4) местонахождение, а также доступ к документации по СУД, включая операционные элементы;
5) содержание текущих процедур, связанных с документными процессами, системами и средствами управления документами;
6) источники помощи при реализации политики управления документами, выполнении задач и использовании оперативных элементов (например, техническая поддержка документной системы).
Примеры способов внутреннего информирования:
- рекламные мероприятия, такие как внутрисетевые уведомления, постеры, конкурсы и призы;
- кураторы, то есть передовые сотрудники, продвигающие СУД организации;
- брифинги на регулярных собраниях отделов;
- информационные бюллетени и доски объявлений.
Руководство организации должно решить, информировать ли внешние заинтересованные стороны по вопросам СУД, о политике управления документами и задачах. Это требует знания особенностей внешних заинтересованных сторон, понимания характера их заинтересованности, а также возможности фактического или потенциального воздействия на внедрение и стабильную работу СУД (см. 4.1).
Например, обмен информацией с юридическими или физическими лицами, которые являются частью цепочки поставщиков организации, может быть важен для обеспечения получения последовательных и стабильных результатов при выполнении документных процессов и использовании средств управления в рамках СУД; при наличии общих деловых процессов другая сторона или стороны могут потребовать прямой доступ к некоторым документным системам организации.
Организация может выбрать способ документирования информационного обмена с другими организациями по вопросам политики управления документами, задач и текущих процедур, в зависимости от взаимосвязей и влияния этих организаций на особенности функционирования СУД. Тем не менее, если внешние стороны задействованы в повседневных деловых процессах организации, обмен информацией должен охватывать соответствующие роли, права и условия, установленные для задействованных документных процессов и средств управления документами, а также использование документных систем.
Итоговая документация
Процедура документирования внутреннего информирования является обязательной при внедрении ИСО 30301. Если организация принимает решение взаимодействовать с другими организациями по вопросам СУД, то возникает необходимость в регламентации процедуры внешнего информационного обмена или включении внутренних и внешних связей в общую процедуру взаимодействия.
Дополнительными результатами реализации этого требования являются сообщения или документально подтвержденное решение руководства организации об информировании внешних заинтересованных сторон по вопросам создания СУД.
7.5.1 Общие положения
Документация создается и ведется с целью описания основных элементов СУД и их взаимосвязей. Она содержит определение структуры, формата, состава элементов и информационных(ой) систем(ы) управления для документации, описывающей СУД, и относящиеся к ней процессы и средства управления.
Документация по планированию, оперативной работе и контролю процессов СУД зависит от размера организации и области применения СУД. ИСО 30301 устанавливает минимальный объем документации, необходимой для внедрения СУД, но организации вправе создавать дополнительную документацию, если это необходимо для обеспечения эффективного планирования, функционирования СУД и управления ею.
Состав необходимой для реализации ИСО 30301 документации указывается в каждом разделе. Составление конкретных документов, таких как политики или процедуры, является обязательным. Иные требования к документированию указаны без определения конкретного вида документа, вследствие чего могут быть удовлетворены посредством создания различных видов документации.
Пункт 7.5.1 ИСО 30301:2011 может быть использован при проверке требований к документации, указанных в других разделах. В таблице 1 представлены документы, требования к которым описаны в других разделах.
Требование к документации |
Пункт ИСО 30301 |
Документ |
Внешние и внутренние факторы |
4.1 |
Не определен |
Деловые, нормативные и другие требования |
4.2 |
Не определен |
Область применения СУД |
4.3 |
Не определен |
Взаимозависимость и взаимосвязь СУД с другими системами управления (менеджмента) |
4.3 |
Не определен |
Политика управления документами |
5.2 |
Политика |
Функции и обязанности |
5.3 |
Не определен |
Оценка рисков |
6.1 |
Не определен |
Задачи управления документами и планирование |
6.2 |
Не определен |
Компетентность |
7.2 |
Не определен |
Внутренний обмен информацией |
7.4 |
Процедура (описание процедуры) |
Взаимодействие со сторонними организациями (в зависимости от условий) |
7.4 |
Описание процедуры |
Управление документацией |
7.5.2 |
Процедура (описание процедуры) |
Проектирование документных процессов |
8.1 |
Не определен |
Средства управления документными процессами |
8.1 |
Не определен |
Оценка производительности |
9.1 |
Не определен |
Внутренний аудит |
9.2 |
Программа аудита |
Выявленные несоответствия и мероприятия по их устранению |
10.1 |
Не определен |
Определение потребности в документах |
A.1.1 |
Не определен |
Требования к документам |
A.1.1, A.1.2, A.1.3, A.2.1 |
Не определен |
Передача документов |
A.1.1 |
Процедура (описание процедуры). График передачи на хранение или уничтожение документов |
Методы ввода документов |
A.1.1 |
Не определен |
Точки ввода документов |
A.1.2.2 |
Процедура рабочего процесса (описание процедуры) |
Выбор или изменение технологии |
A.1.4 |
Не определен |
Регистрация (в зависимости от условий) |
A.2.1 |
Процедура (описание процедуры) |
Классификация |
A.2.1 |
Классификационная схема |
История событий |
A.2.1 |
Процедура (описание процедуры) |
Доступ |
A.2.2 |
Правила доступа |
Целостность, аутентичность, пригодность для использования |
A.2.3 |
Процедура (описание процедуры) |
Отбор и передача |
A.2.4 |
Процедура (описание процедуры) |
Перемещение и уничтожение |
A.2.4 |
Процедура (описание процедуры) |
Документные системы |
A.2.5.1 |
Перечень систем |
Документирование решений о внедрении документных систем |
A.2.5.2 |
Не определен |
Доступность и целостность документных систем |
A.2.5.4 и A.2.5.6 |
Процедура (описание процедуры) |
7.5.2 Средства управления документацией
Процедуру устанавливают и поддерживают для управления документацией СУД.
Процедура должна установить различные уровни документации, единый порядок составления заголовков и кодирования документации, а также роли и обязанности в отношении разработки, рассмотрения и утверждения документации. Формы или шаблоны могут создаваться для любого вида документации.
Документация, требуемая СУД (см. 7.5.1) и создающаяся в процессе разработки, внедрения и поддержания документных процессов и средств управления документами, управляется с помощью документных процессов и средств управления документами, установленных в приложении A ИСО 30301.
В дополнение к средствам управления документация обновляется в соответствии с управлением версиями и должна следовать процедурам обмена информацией и распространения, установленным в 7.4.
Международные стандарты и технические отчеты ИСО/ТК 46/ПК 11 содержат дополнительные руководства по разработке и внедрению ряда документных процессов и средств управления документами.
В случае если организация внедрила другие стандарты систем управления (менеджмента) (ССУ), документация и документационные процедуры должны быть общими для двух или более ССУ.
Итоговая документация
Управление процедурой документирования.
Организации определяют, планируют и внедряют оперативные документные процессы и системы для достижения задач управления документами (см. 6.2), которые включают возможности и меры по устранению рисков, определенных в 6.1.
В большинстве организаций, внедряющих СУД, существуют документы, документные процессы и документные системы, которые в будущем потребуют пересмотра с использованием процедур СУД, описанных ниже, а также оценки на соответствие документным процессам и средствам управления, описанным в приложении A ИСО 30301. Пересмотр существующих документов, документных процессов и документных систем также влияет на формулирование задач управления документами, оперативное планирование и контроль.
Оперативные документные процессы и системы должны быть определены и запланированы. Планирование работы СУД в организации осуществляется посредством определения документных процессов и систем, которые будут внедрены, выявления критериев для осуществления этих процессов и описания (с необходимой степенью детализации) различных видов деятельности, ее результатов, задействованных сотрудников и систем. При определении документных процессов целесообразно указать, какие виды контроля необходимы для того, чтобы показать, что каждый процесс внедряется в соответствии с планом. Исходными данными для оперативного планирования и контроля являются результаты анализа рисков, возможностей и действий, которые необходимо предпринять для управления этими рисками и возможностями (см. 6.1).
Оперативные процессы создания документов и средства управления ими, соотнесенные с конкретными потребностями организации, внедряются в соответствии с требованиями, указанными в приложении A ИСО 30301. Соответствующие международные стандарты и технические отчеты ИСО/ТК 46/ПК 11 могут использоваться в качестве руководств для разработки и внедрения этих процессов. Требования этого раздела следует рассматривать в совокупности с требованиями, указанными в 8.2 и 8.3.
В случае если деловые или документные процессы осуществляются другими организациями, ИСО 30301 четко устанавливает требование контроля подобных процессов. Такие механизмы должны быть определены и задокументированы в договорах со сторонними организациями.
Процессы, осуществляемые поставщиками на договорной основе, подлежат той же оценке эффективности, как и любые другие процессы СУД в соответствии с разделом 9.
Итоговая документация
Не предъявляется конкретных требований к контрольной документации для данного раздела. Результаты включены в итоговую документацию, указанную в 8.2.
Проектирование документных процессов и средств управления включает пересмотр существующих документных процессов либо разработку новых. Как пересмотр, так и разработка новых процессов основаны на анализе рабочих процессов организации и предназначены для выполнения задач управления документами. Масштаб и сложность проектирования документных процессов и технологий, предназначенных для дальнейшего применения, могут меняться в зависимости от результатов контекстуального анализа, оценки рисков, требований к деловым процессам, размера и характера деятельности организации (см. 4.1 и 4.2) и значимости деловых мероприятий, которые они поддерживают.
Кроме того, в анализ, проводимый для проектирования новых или усовершенствования существующих документных процессов, должен быть включен анализ рисков и возможностей, выявленных на уровне СУД, а также оценка и разработка мер по устранению рисков в отношении документных процессов.
В дополнение к требованиям 8.1 ИСО 30301 для проектирования документных процессов устанавливается процесс проектирования, который включает:
a) анализ процессов работы в качестве основы для разработки документных процессов. Анализ рабочих процессов проводится в целях определения потребности в документах (ИСО 30301, приложение A), понимания реализации требований к созданию и контролю документов, которые определены в приложении A ISO/TR 26122, где содержится руководство по проведению анализа рабочих процессов;
b) оценку рисков, возникающих в документных процессах, а также их влияние на создание аутентичных, достоверных и пригодных для использования документов в процессе осуществления деловых процессов организации. ISO/TR 18128 содержит руководство по оценке рисков, связанных с документными процессами.
Требования, предъявляемые к проектированию и внедрению документных процессов, установлены ИСО 30301 и перечислены в приложении A. ИСО 15489-1 содержит дополнительные руководящие принципы по характеристикам документных процессов, а также основные понятия для их внедрения.
Средства управления, указанные в приложении A ИСО 30301, следует использовать для того, чтобы показать соответствие разработанных документных процессов существующим деловым процессам.
Соблюдение требований приложения A ИСО 30301 не подразумевает однотипное внедрение документных процессов в каждой организации.
В случае если документные процессы, связанные с конкретными требованиями, установленными в приложении A ИСО 30301, не подходят какой-либо организации, их внедрение и соблюдение предъявляемых к ним требований не являются обязательными. Однако причины, служащие основанием для принятия данного решения, должны быть сформулированы и задокументированы в ходе проектирования документных процессов.
Для документных процессов, выполняемых по договорам на выполнение работ или услуг или договорам с третьим лицом (находящихся на аутсорсинге), должны быть установлены средства управления, отраженные в договорах, соглашениях об уровне обслуживания, требованиях к документации и отчетности.
При проектировании документных процессов, соответствующих требованиям ИСО 30301, для определения выполнения этих требований могут быть использованы следующие показатели. Пункты 1 - 4 являются показателями, касающимися создания и ввода документов. Пункты 5 - 8 являются показателями, относящимися к процессам управления, как указано в приложении A ИСО 30301. Ссылки в скобках относятся к приложению A ИСО 30301.
Примечание - Международные стандарты и технические отчеты, разработанные ИСО/ТК 46/ПК 11 (ISC/TC46/SC 11), содержат подробные рекомендации по проведению анализа и проектированию документных процессов и средств управления.
1) Организация определила объект, время и способ создания и ввода документов для каждого делового процесса (A.1.1).
В соответствии с областью применения СУД, задачами управления документами и планом внедрения организация провела систематический анализ требований к созданию и средствам управления документами по каждому деловому процессу. Особенности проведения анализа устанавливаются организацией самостоятельно, но его результаты обязательно должны быть задокументированы. Примерами выполнения и документирования анализа являются:
i) диаграммы потоков деловых процессов с указанием точек создания документов;
ii) перечень документов для любого делового процесса;
iii) полное описание документов, связанных с деловыми процессами, задокументированных в процедурах каждого делового процесса.
Исходя из результатов вышеупомянутого анализа организация установила сроки хранения документов. Это отражается в определенной процедуре, в которой описывается, как выполнялся данный анализ. Процедура анализа процесса передачи документов на хранение или уничтожение гарантирует, что все правовые, деловые и другие требования выполняются и все решения приняты соответствующими лицами. Результаты анализа оформляют в виде графиков передачи на хранение или уничтожение документов, связанных с конкретным деловым процессом или группой процессов.
Процессы создания документов могут быть разработаны организацией с использованием различных подходов. Требования ИСО 30301 устанавливают необходимость наличия процессов создания документов соответствующим лицом либо инструментом в момент проведения документируемой операции/транзакции, а также ввода документов в систему наиболее приемлемым способом. Способы ввода документов в систему должны быть задокументированы.
2) Организация определила содержание, среду и контрольную информацию (метаданные), которые должны являться частью документов (A.1.2).
Документы введены в систему вместе с описательной и контекстной информацией, которая позволяет их идентифицировать и понимать не только автору документа, но и другим людям, находящимся вне делового процесса. ИСО 30301 не определяет необходимую для ввода в систему информацию, за исключением наименования подразделения организации, ответственного за документы. Тем не менее документирование фактов ввода данной описательной информации в систему является обязательным требованием для каждого рабочего процесса. Эта информация может быть включена в результаты анализа каждого делового процесса (A.1.1).
В зависимости от отрасли экономики, размера и сложности структуры организации предназначенная для ввода в систему информация может быть заранее определена в схемах метаданных. ИСО 23081-2 содержит руководство по схемам метаданных для документов.
При наличии схем метаданных в них включается контрольная информация согласно A.2.1 приложения A ИСО 30301.
3) Организация приняла решение в отношении формы и структуры документов, которые должны быть созданы и введены в систему (A.1.3).
При определении состава документов, которые должны быть созданы (A.1.1), устанавливаются формы и структуры документов. Это должно быть задокументировано для каждого делового процесса.
4) Организация определила соответствующие технологии для создания и ввода документов в систему (A.1.4).
Определение состава документов, которые должны быть созданы (A.1.1), включает принятие решений о выборе технологий, которые будут использоваться для создания и ввода документов в систему. Это должно быть задокументировано для каждого делового процесса. В небольших организациях с одной функцией и небольшим числом сотрудников данное требование может быть удовлетворено путем документирования решения о создании документов на бумажном носителе либо в компьютерной системе, а также выбором программного обеспечения, которое будет использоваться.
5) Организация установила состав контрольной информации (метаданных), которая должна быть создана в рамках осуществления документных процессов, а также порядок установления ее связи с документами и способ управления ею в течение времени (A.2.1).
Проектирование документных процессов, необходимых для контроля документов и управления ими в течение сроков их хранения, включает группировку документов в соответствии с процессом работы, к которому они относятся. Для этого организация имеет официальную, документированную схему группировки, так называемую схему классификации. Любое изменение деловых процессов должно быть отражено в схеме.
При необходимости для каждого отдельного документа разрабатывается процесс уникальной идентификации и процедура документирования.
Информация, созданная в ходе осуществления конкретных документных процессов, является контрольной. Организация самостоятельно решает, как управлять данной контрольной информацией, например, с помощью заранее определенной схемы метаданных.
В небольших организациях это требование может быть удовлетворено путем документирования решения о создании и хранении определенной совокупности документов в соответствии с различными направлениями деловой деятельности с использованием выбранного программного обеспечения либо средств хранения бумажных носителей и путем документирования соответствующих инструкций, предназначенных для сотрудников.
6) Организация установила правила и условия для использования документов в течение времени (A.2.2).
Установление процессов предоставления доступа к документам требует проведения анализа использования документов и определения прав доступа либо разрешений на использование. Правила доступа, включая любые обязательные к применению правила, должны быть четко сформулированы и задокументированы.
Реализация правил осуществляется посредством установления круга сотрудников и их прав на просмотр либо использование документов, а также внедрения этих правил в системы хранения документов.
7) Организация определила, как обеспечить сохранность документов, пригодных для использования в течение времени (A.2.3).
Пригодность документов для использования в течение времени особенно важна в отношении электронных документов. Разработка и внедрение данного процесса (для документов всех форм) должны охватывать вопросы безопасности, такие как предотвращение несанкционированного доступа, модификации, удаления, сокрытия и (или) уничтожения информации. Для организаций, внедряющих ИСО/МЭК 27001, эти требования к безопасности могут быть уже учтены.
ИСО 30301 устанавливает требования к процессу обеспечения сохранности документов. Это включает использование соответствующих стандартов в отношении медиа и технологий, а также процедуры по периодической проверке пригодности для использования. При применении технологий шифрования для обеспечения безопасности срок ограничения доступа и методы дешифровки должны быть определены и задокументированы.
8) Организация установила правила отбора и передачи документов на хранение или уничтожение (A.2.4).
Разработка процессов по отбору и передаче документов на хранение или уничтожение соответствует ИСО 30301 и включает установление процедур по отбору и передаче документов на хранение или уничтожение, включая установление сроков хранения документов, утверждение решений по передаче документов на хранение и уничтожение. Отбор и передача документов на хранение или уничтожение может включать, при необходимости, их передачу другим организациям, изменение места хранения и уничтожение. Уничтожение документов подлежит контролю и документированию, и при необходимости контрольная информация об уничтоженных документах сохраняется.
Итоговая документация:
- проект(ы) документных процессов;
- процедуры деловых процессов, включающих документные процессы;
- средства управления документами и вспомогательный анализ, например процедуры, схема(ы) классификации, схемы метаданных, правила предоставления доступа, модель системы безопасности, политики или правила отбора и передачи документов на хранение или уничтожение;
- системные требования и спецификации (для технологий);
- документация по выбору и приобретению технологий;
- документация по проектированию и конфигурации системы;
- аналитические обзоры процессов, процедур и систем;
- учебные материалы.
Требования к процессу внедрения документных систем, указанные в 8.3 ИСО 30301, дополнены требованиями A.2.5 приложения A ИСО 30301. И те и другие требования должны рассматриваться в совокупности.
Документные системы, соответствующие требованиям ИСО 30301, могут быть представлены в различных формах. Например:
a) программное обеспечение для деловых процессов или системы, которые сохраняют и управляют документами по транзакциям;
b) базы данных, с помощью которых можно при необходимости восстановить документы;
c) специализированное программное обеспечение, используемое для автоматизации ввода документов и управления ими.
Эти системы могут управляться как самой организацией, так и внешним поставщиком. В любом случае они должны предоставлять возможность ввода документов, управления ими, а также обеспечивать доступ к ним в течение необходимого времени. Они также должны иметь функцию экспорта документов и метаданных с сохранением доступа, аутентичности, достоверности и пригодности для использования даже в случае изменений в системе.
ИСО 15489-1 устанавливает общие характеристики документных систем и основные понятия для их внедрения. ИСО 16175-1, ИСО 16175-2 и ИСО 16175-3 содержат принципы и функциональные требования к документам в электронной офисной среде и могут быть использованы в качестве основы для формирования требований и выбора соответствующего программного обеспечения. Другие международные стандарты и технические отчеты, разработанные ИСО/ТК 46/ПК 11, должны быть использованы при проектировании и техническом обслуживании систем хранения документов.
В организации может функционировать более одной системы хранения документов, но при этом требуется идентифицировать все системы хранения документов и лиц, ответственных за них.
В ходе проводимого на регулярной основе мониторинга производительности документных систем, вне зависимости от требований деловой среды и задач управления документами, должны проверяться их следующие характеристики:
1) обеспечение функциональных возможностей, необходимых для выполнения организацией функций в соответствии с ее направлениями деятельности;
2) функционирование в соответствии с техническими спецификациями;
3) своевременная доступность системы сотрудникам организации;
4) документные системы функционируют на постоянной и надежной основе, и запланированные действия могут быть осуществлены даже в случае отказа системы;
5) непрерывность рабочего процесса и наличие возможности аварийного восстановления.
Управление функционированием документных систем заключается в обеспечении беспрерывной, надежной, безопасной работы на совместимой основе, охватывающей весь спектр деятельности организации. Это может быть осуществлено посредством:
i) документирования и внедрения процедур управления системой и поддержания ее работы;
ii) систематического тестирования системы на соответствие проектным спецификациям;
iii) анализа и принятия решений по исправлению возникающих системных сбоев, разрешению проблем и жалоб пользователей;
iv) оценки уровня и причин использования сотрудниками других (недокументных) систем;
v) регулярной проверки доступности и пригодности системы для использования;
vi) тестирования системы безопасности;
vii) оценки возможностей внесения изменений в систему в соответствии с потребностями деловой среды организации, заинтересованных сторон или требованиями законодательства;
viii) принятия необходимых мер для обеспечения процесса управления документами в случае возникновения новой функции или делового процесса в организации.
Итоговая документация
Документация, создаваемая по результатам проверки, включает:
- перечни систем управления документами;
- документацию и изменения к ней по внедрению информационных систем;
- процедуры технического обслуживания информационных систем;
- правила доступа к информационным системам;
- документацию, подтверждающую тестирование информационной системы.
В организациях, внедривших программу обеспечения защиты информации, которая может быть основана на требованиях ИСО 27001, к документным системам предъявляются те же требования по обеспечению безопасности.
9.1.1 Определение объектов и способов проведения мониторинга, измерения, анализа и оценки
Для предоставления информации для обеспечения непрерывного развития и определения необходимости применения корректирующих мер (см. 10.1) проводится мониторинг эффективности работы СУД, документных процессов, средств управления документами и документных систем.
При определении объекта мониторинга и измерения организации следует рассмотреть:
a) уровень деловых рисков, возникающих из-за несоответствия требованиям документов или документных систем в различных подразделениях организации;
b) применение других стандартов систем управления (менеджмента);
c) требования заинтересованных сторон (в качестве примера см. приложение A);
d) правовые и нормативные требования;
e) способ реализации в деловой сфере новых процессов, средств управления документами или документных систем.
Критерии мониторинга и проведения измерений следует регулярно пересматривать и обновлять в соответствии с изменениями организационной среды (см. раздел 4).
Методы мониторинга, проведения измерений, анализа и оценки документных процессов, средств управления документами и документных систем будут зависеть от объекта мониторинга. Эти методы могут быть количественными или качественными и включать:
1) опросы пользователей;
2) контрольные перечни вопросов;
3) наблюдения;
4) сбор и анализ статистики использования системы;
5) анализ данных операционной системы, например, простои, аварии, потери данных.
Частота проведения мониторингов и измерений также будет варьироваться в зависимости от того, что подлежит оценке. Например:
i) крупная организация оценивает конкретные деловые функции попеременно;
ii) небольшая организация проводит ежегодную оценку всей организации;
iii) организация проводит внеплановую оценку существующей СУД по причине невыполнения правовых или нормативных требований либо по результатам оценки риска;
iv) оценку проводят по завершении конкретных этапов внедрения СУД.
Итоговая документация
Составление результирующей документации не является обязательным требованием, однако примерами таких документов могут являться:
- критерии для проведения мониторинга и измерений;
- методы проведения мониторинга, измерения, анализа и оценки;
- инструменты проведения мониторинга и измерений, такие как контрольные перечни вопросов и анкеты;
- результаты проведения мониторинга и измерений, такие как статистика, результаты интервьюирования, результаты наблюдений, системные отчеты, результаты тестирований, опросов;
- график(и) проведения мониторинга и измерений.
9.1.2 Оценка производительности документных систем, процессов и эффективности функционирования СУД
Результаты мониторинга и измерений оценивают для того, чтобы гарантировать эффективность интеграции и реализации мероприятий в процессах СУД организации (см. 8.1). Организация гарантирует соответствие уровня производительности СУД деловым потребностям организации, требованиям законодательства, а также повышение степени удовлетворенности клиентов и заинтересованных сторон. Анализ и оценку результатов проведения мониторинга и измерений следует проводить после каждой проверки уровня производительности. Однако анализ тенденций изменений или анализ, проводимый для целей управленческой отчетности, в котором представлена информация о полученных результатах, может выполняться с учетом текущих потребностей, например, ежеквартально, ежегодно. Исходными данными при проведении анализа и оценки будут являться результаты мониторинга и измерений (см. 9.1.1), внутренней проверки системы (см. 9.2) и анализа, проводимого руководством (см. 9.3), а также любые установленные требования в отношении регулярной или проектной отчетности. Организация использует данные, собранные для измерения степени целесообразности и эффективности СУД, а также для оценки возможности улучшения.
Организация должна разработать, внедрить и поддерживать процедуры по оценке эффективности работы СУД, в том числе по оценке эффективности документных процессов, средств управления документами и систем. Мониторинг и оценка документных процессов или систем входят в перечень основных принципов, изложенных в ИСО 15489-1. При применении в организации ИСО 15489-1 процедуры мониторинга и оценки обычно могут быть адаптированы к требованиям ИСО 30301.
Оценку эффективности следует проводить на регулярной основе с целью обеспечения функционирования СУД в соответствии с политикой и требованиями в сфере управления документами, а также в целях удовлетворения потребностей пользователей.
При выявлении низкого уровня результативности СУД, документных процессов и средств управления документами должны быть приняты меры по совершенствованию СУД. Следует заблаговременно принять меры по устранению неблагоприятных тенденций и последствий. См. 10.1.
Итоговая документация
Отчеты о проведении оценки.
9.1.3 Оценка эффективности
Мониторинг и измерение СУД проводят с целью оценки степени ее эффективности соответствия требованиям политики управления документами, выполнения задач управления документами и удовлетворения деловых потребностей организации и ожиданий заинтересованных сторон.
Исходные данные для оценки эффективности СУД включают результаты проведенной оценки производительности документных процессов и систем (см. 9.1.2), внутренний аудит системы (см. 9.2) и анализ со стороны высшего руководства (см. 9.3).
Эффективность СУД определяется такими факторами, как:
a) текущая политика управления документами, отвечающая соответствующим требованиям (см. 5.2);
b) текущие задачи управления документами, соответствующие имеющимся и возможным деловым потребностям (см. 6.2);
c) политика управления документами, задачи, документные процессы и средства управления документами, которые были пересмотрены в результате изменений в деловой сфере, в правовых и иных требованиях (см. 4.2);
d) соответствующий уровень ресурсов, выделяемых для поддержания работы СУД (см. 7.1);
e) верное распределение ролей, обязанностей и полномочий (см. 5.3), соизмеримых с размером и характером деятельности организации и областью применения СУД, а также назначение компетентных лиц на данные роли (см. 7.2);
f) результаты оценки эффективности работы сотрудника в соответствии с четко установленными обязанностями по внедрению СУД, предоставлению отчетности и повышению осведомленности о ее функционировании (см. 7.2);
g) результаты функционирования документных процессов и систем (см. 9.1.2);
h) наличие полного состава документации по СУД и контроль процедур управления документами по месту эксплуатации (см. 7.5);
i) документные системы, обеспечивающие достижение стратегических, управленческих и финансовых целей организации (см. 8.3);
j) обучение по программе повышения осведомленности, а также текущая стратегия взаимодействия в отношении СУД, постоянно внедряемая и обновляемая в соответствии с изменениями в политике управления документами, задачах управления документами, документных процессах и средствах управления документами (см. 7.3 и 7.4);
k) результаты оценки удовлетворенности пользователей и заинтересованных сторон (см. 9.1.2).
Итоговая документация
Данные и документация по оценке работы СУД должны храниться в качестве подтверждения проведения оценки эффективности.
Примерами могут служить:
- заключение по оценке эффективности СУД;
- программа или план оценки работы;
- процедуры оценки работы;
- критерии и показатели оценки работы;
- результаты оценки работы;
- диагностический аудит, в том числе перечень мероприятий по устранению проблем;
- текущие данные мониторинга;
- отчеты по мониторингу.
Организация определяет частоту проведения внутреннего аудита системы и проводит его для оценки соответствия СУД требованиям, изменениям в политике и задачах управления документами, а также эффективности ее внедрения. Руководство по проведению внутреннего аудита, характеристики аудиторов, планы и программы по аудиту и отчеты приведены в ИСО 19011.
Внутренний аудит должен осуществляться лицами, которые не принимали участия во внедрении СУД. Программа аудита должна быть составлена в соответствии с требованиями ИСО 30301. При внедрении различных ССУ организация может осуществлять комбинированный внутренний аудит.
Для того, чтобы определить эффективность внедрения и поддержки СУД, оценивают следующие аспекты:
a) соответствие документации по СУД требованиям, а также степень ее соответствия практике;
b) значимость политики и задач управления документами;
c) периодичность проведения анализа организационной среды и предпринимаемые ответные действия;
d) понимание сотрудниками их ролей и обязанностей;
e) надлежащий уровень поддержки функционирования СУД;
f) возможность внедрения и поддержания документных процессов и средств управления документами в соответствии с заявленным проектом.
Итоговая документация:
- программа аудита;
- отчет по внутреннему аудиту и сопроводительная документация.
Некоторые организации могут найти процедуру документирования внутреннего аудита полезной, особенно при интеграции различных систем управления (менеджмента).
Высшее руководство проводит анализ СУД и оценку ее текущего функционирования в целях обеспечения ее постоянной пригодности, соответствия установленным требованиям и эффективности, а также для улучшения или изменения по мере необходимости. Анализ со стороны высшего руководства представляет собой комплексную оценку СУД, а не оценку отдельно взятой области. Тем не менее особое внимание может быть уделено областям выявления риска.
Исходными данными для анализа со стороны высшего руководства будут:
a) результаты предыдущих анализов со стороны высшего руководства;
b) организационная среда (см. раздел 4);
c) результаты мониторинга, измерений, анализа и оценки (см. 9.1);
d) результаты предыдущего внутреннего аудита системы (см. 9.2).
Частота проведения руководством анализа зависит от потребностей организации и ее среды. На периодичность в свою очередь влияют:
1) период функционирования СУД (новая СУД или уже функционирующая в течение какого-то времени);
2) результаты предыдущих анализов и принятых мер;
3) результаты предыдущих аудитов;
4) ожидания заинтересованных сторон;
5) принятие новых или изменение действующих нормативных правовых актов.
Анализ СУД со стороны высшего руководства может осуществляться путем рассмотрения:
i) предыдущих оценок и принятых мер;
ii) любых изменений во внутренней и внешней среде, которые могли повлиять на область применения СУД или на уровни организационного риска;
iii) предыдущих результатов мониторинга и измерений;
iv) предыдущих результатов внутреннего аудита;
v) корректирующих действий, предпринятых вследствие мониторинга, измерения и аудита;
vi) документации о возможностях постоянного улучшения и действий по ним.
При проведении анализа СУД и поиску возможностей постоянного совершенствования руководству следует рассмотреть следующие вопросы:
- дальнейшее приведение СУД в соответствие со стратегическими направлениями деятельности организации, которые могут повлиять на СУД;
- соответствие масштабов и области применения СУД деловым процессам организации;
- изменения организационной среды, которые могут повлиять на СУД, такие как: изменения в нормативно-правовой базе, влияние заинтересованных сторон, изменение организационных функций вследствие структурных изменений;
- необходимость пересмотра политики управления документами и (или) задач управления документами;
- достаточность объема ресурсов и навыков для текущего поддержания и совершенствования СУД;
- уровень информированности о СУД и ее понимания сотрудниками и контрагентами, а также понимание требований соответствия установленной политике и задачам управления документами;
- возможность достижения СУД плановых результатов.
Итоговая документация
Документирование результатов анализа со стороны высшего руководства является требованием ИСО 30301.
Результатом анализа будут являться документированные решения руководства и действия, связанные с совершенствованием процессов или общим улучшением эффективности работы СУД, а также с изменениями в ней. Данные изменения могут повлиять на политику и задачи управления документами и ресурсы.
При выявлении несоответствий требованиям СУД принимаются необходимые меры. Причины несоответствий оцениваются и, в случае необходимости, принимаются меры для устранения этих причин в будущем. Несоответствия выявляются в результате:
a) мониторинга и оценки (см. 9.1);
b) внутреннего аудита (см. 9.2);
c) анализа со стороны высшего руководства (см. 9.3);
d) специальной отчетности.
Любые несоответствия требуют анализа причин, вследствие которых они возникают. При необходимости должны быть приняты корректирующие меры. Меры по контролю, смягчению или урегулированию несоответствий будут зависеть:
1) от уровня риска;
2) от степени влияния несоответствий;
3) от доступности ресурсов для принятия необходимых мер.
Планирование, необходимое для принятия корректирующих действий, может включать:
i) распределение ролей и обязанностей;
ii) определение конкретных действий, которые необходимо предпринять;
iii) в случае необходимости выделение дополнительных ресурсов;
iv) установление графиков и определение ожидаемых результатов;
v) составление отчетов о принятых мерах.
При оценке необходимости принятия соответствующих мер или действий с целью устранения причин несоответствий должны быть рассмотрены следующие вопросы:
- уровень риска по отношению к организации;
- уровень риска для СУД;
- уровень риска для нормального функционирования документных процессов, систем и средств управления документами;
- вероятность возникновения несоответствий;
- ресурсы, необходимые для принятия корректирующих действий.
Оценка корректирующих действий должна быть выполнена уполномоченными сотрудниками или подрядчиками в соответствии с их ролями, как это определено в 5.3. В рамках процесса постоянного совершенствования в отчетах по данной оценке представлены исходные данные для проведения регулярного мониторинга и измерений, внутренних аудитов системы, а также проведения анализа со стороны высшего руководства как части процесса постоянного совершенствования СУД.
Итоговая документация
Документирование полученных в ходе контроля несоответствий и принятия корректирующих действий результатов является требованием ИСО 30301. В качестве примеров можно привести следующее:
- документация по несоответствиям;
- описание корректирующих мер, которые необходимо принять;
- документирование решений о непринятии корректирующих мер в соответствующих случаях;
- проектная документация по принятию корректирующих мер;
- документы (доказательства), подтверждающие принятие корректирующих мер;
- аналитические обзоры корректирующих действий;
- оценка необходимости принятия мер по устранению причин несоответствий;
- плановая документация по принятию упреждающих действий;
- документы (доказательства), подтверждающие принятие упреждающих действий;
- аналитические обзоры упреждающих действий.
Организация способствует повышению эффективности СУД посредством соблюдения цикла планирования, поддержки, эксплуатации и оценки эффективности под непосредственным контролем высшего руководства. Это также повышает способность организации грамотно вести документацию в течение длительного времени, а также способность удовлетворять требованиям к отчетности и поддержанию деловых потребностей. Организация демонстрирует, что непрерывное улучшение цикла происходит посредством обеспечения соответствия политики работы с документами и задач управления документами целям организации и ее стратегическому направлению и это отражается в изменении документных процессов, систем и средств управления документами.
Цикл непрерывного совершенствования может быть отражен:
a) в результатах текущей оценки эффективности;
b) в предпринятых корректирующих действиях;
c) в предпринятых мерах по совершенствованию;
d) в пересмотренной политике и задачах управления документами;
e) в пересмотренной инфраструктуре поддержки СУД в результате изменений потребностей;
g) в текущем анализе организационной среды и рисков.
Итоговая документация
Результатом цикла непрерывного совершенствования является документирование указанных выше показателей.
Приложение A
(справочное)
A.1 Источники информации
Источники информации о внешней организационной среде могут включать:
- информацию от и в отношении заинтересованных сторон;
- законы, правила, стандарты, своды правил, отраслевые своды правил, правила корпоративного управления, указания;
- обзор судебных разбирательств организации и принятые меры в отношении организации со стороны контролирующих органов;
- аналитику (по вопросам экономики, финансов, окружающей среды) государственных или отраслевых специалистов;
- сообщения средств массовой информации.
Источники информации о внутренней организационной среде могут включать:
- основные корпоративные документы, такие как: политики, стратегии, бизнес-планы, годовые отчеты;
- аудиторские отчеты;
- организационную структуру, положения о распределении ролей, ответственности и обязанностей;
- корпоративные стандарты, руководства, кодексы;
- карты или описания бизнес-процессов;
- оценку навыков;
- перечни информационных систем;
- информационные модели или модели данных;
- анализ заинтересованных сторон;
- анализ рисков;
- политику информационной безопасности;
- контекстуальный анализ внедрения других стандартов систем менеджмента;
- методологию управления проектами;
- модели закупок и заключения контрактов;
- понимание организационной культуры (может быть не задокументировано).
Заинтересованными сторонами могут являться:
- сотрудники и внештатные работники, работающие от имени организации;
- сотрудники, на которых возложена ведущая роль в управлении документами, например аудит, оценка рисков, правовые вопросы, проверка соответствия, информационные технологии;
- деловые партнеры, например научно-исследовательские сотрудники, торговые партнеры;
- акционеры, владельцы, попечители, директора;
- поставщики товаров и услуг;
- клиенты;
- граждане, неправительственные организации и другие общественные группы, заинтересованные в организации и ее деятельности;
- надзорные/регулирующие органы, объектом регулирования которых может являться деятельность организации;
- органы управления, в том числе органы управления нескольких организаций, действующих в различных юрисдикциях.
A.2 Примеры требований
Примерами деловых требований, касающихся создания документов и средств управления ими, являются:
- требования к созданию документов с целью выполнения или завершения отдельных деловых процессов (в том числе веб-транзакций, а также деловых операций с использованием новых технологий, таких как социальные сети, мобильные и облачные технологии);
- требования к созданию документов по финансовой/оперативной отчетности и контролю;
- требования к созданию документов по внутренней и внешней отчетности;
- требования к созданию документов по контролю и мониторингу внешних услуг или процессов (аутсорсинга);
- требования к созданию документов по анализу и планированию;
- требования к осуществлению контроля запрашиваемых в разных местах и в течение определенных периодов времени документов и предоставлению доступа к ним;
- требования к данным, необходимым для получения доступа к документам и их использования (например, к персональным данным);
- требования к обмену информацией, содержащейся в документах, и ее повторному использованию.
Примерами правовых требований, касающихся создания документов и средств управления ими, являются:
- требования к созданию конкретных документов;
- требования к предоставлению информации о деятельности организации конкретным заинтересованным сторонам, таким как акционеры или клиенты;
- требования к хранению документов (например, конкретные сроки хранения, потенциально связанные с фиксированной или переменной датой или событиями);
- требования к хранению документов в определенных форматах;
- требования к хранению документов в определенных местах;
- требования и порядок предоставления доступа к документам;
- требования к передаче документов в другую организацию или под другую юрисдикцию.
Примерами других требований, касающихся создания документов и средств управления ими, являются:
- требования к документам, установленные отдельными сводами правил, включая применение других стандартов систем управления (менеджмента);
- требования к обеспечению доступа к конкретным документам для удовлетворения ожиданий внешних заинтересованных сторон.
Помощь в формировании деловых, правовых и других требований может исходить от целого ряда внутренних и внешних заинтересованных сторон, например:
- юристов со знанием гражданского и общего права и взаимодействия между ними (это особенно важно, когда организации действуют в нескольких юрисдикциях);
- оперативных работников с широким пониманием деловой среды;
- специалистов в области управления документами, информационных технологий и систем;
- аудиторов, специалистов в области оценки рисков и соответствия;
- документоведческих/архивных учреждений или регулирующих органов, которые заинтересованы во внедрении СУД в организации.
Приложение ДА
(справочное)
Таблица ДА.1
Обозначение ссылочного международного стандарта |
Степень соответствия |
Обозначение и наименование соответствующего национального стандарта |
ISO 30300 |
IDT |
ГОСТ Р ИСО 30300-2015 "Система стандартов по информации, библиотечному и издательскому делу. Информация и документация. Системы управления документами. Основные положения и словарь" |
ISO 30301:2011 |
IDT |
ГОСТ Р 7.0.101-2018/ИСО 30301:2011 "Система стандартов по информации, библиотечному и издательскому делу. Информация и документация. Системы управления документами. Требования" |
Примечание - В настоящей таблице использовано следующее условное обозначение степени соответствия стандартов: - IDT - идентичные стандарты. |
Библиография
[1] |
ISO 9000 |
Quality management systems - Fundamentals and vocabulary |
[2] |
ISO 13008 |
Information and documentation - Digital records conversion and migration process |
[3] |
ISO/TR 13028 |
Information and documentation - Implementation guidelines for digitization of records |
[4] |
ISO 14001 |
Environmental management systems - Requirements with guidance for use |
[5] |
ISO 15489-1 |
Information and documentation - Records management - Part 1: General |
[6] |
ISO/TR 15489-2 |
Information and documentation - Records management - Part 2: Guidelines |
[7] |
ISO 16175-1 |
Information and documentation - Principles and functional requirements for records in electronic office environments - Part 1: Overview and statement of principles |
[8] |
ISO 16175-2 |
Information and documentation - Principles and functional requirements for records in electronic office environments - Part 2: Guidelines and functional requirements for digital records management systems |
[9] |
ISO 16175-3 |
Information and documentation - Principles and functional requirements for records in electronic office environments - Part 3: Guidelines and functional requirements for records in business systems |
[10] |
ISO/TR 18128 |
Information and documentation - Risk assessment for records processes and systems |
[11] |
ISO 19011 |
Guidelines for auditing management systems |
[12] |
ISO 23081-1 |
Information and documentation - Records management processes - Metadata for records - Part 1: Principles |
[13] |
ISO 23081-2 |
Information and documentation - Managing metadata for records - Part 2: Conceptual and implementation issues |
[14] |
ISO/TR 26122 |
Information and documentation - Work process analysis for records |
[15] |
ISO 28000 |
Specification for security management systems for the supply chain |
[16] |
ISO/IEC 27001 |
Information technology - Security techniques - Information security management systems - Requirements |
[17] |
IEC 31010 |
Risk management - Risk assessment techniques |
(Нет голосов) |
Комментарии (0)
Чтобы оставить комментарий вам необходимо авторизоваться