Купить ГОСТ Р 57551-2017 — бумажный документ с голограммой и синими печатями. подробнее
Распространяем нормативную документацию с 1999 года. Пробиваем чеки, платим налоги, принимаем к оплате все законные формы платежей без дополнительных процентов. Наши клиенты защищены Законом. ООО "ЦНТИ Нормоконтроль"
Наши цены ниже, чем в других местах, потому что мы работаем напрямую с поставщиками документов.
Должен помочь организациям в оценке рисков для документных процессов и систем, для обеспечения того, чтобы документы удовлетворяли выявленным потребностям деятельности до тех пор, пока в этом сохраняется необходимость. Стандарт: a) устанавливает метод анализа, проводимого с целью идентификации (выявления) рисков, связанных с документными процессами и системами; b) описывает метод анализа потенциальных последствий неблагоприятных событий для документных процессов и систем; c) содержит рекомендации по проведению оценки рисков, связанных с документными процессами и системами, а также d) содержит рекомендации по документированию выявленных и оцененных рисков, в рамках подготовки к смягчению или устранению этих рисков. В стандарте не рассматриваются риски для деятельности организации общего характера, которые могут быть смягчены, в том числе, путем создания документов. Стандарт может быть использован любыми организациями, вне зависимости от их размера, характера деятельности и сложности их функций и структуры. Перечисленные факторы, а также предписывающий создание документов и контроль над ними режим законодательно-нормативного регулирования, в условиях которого организация осуществляет свою деятельность, принимаются во внимание при идентификации и оценке рисков, связанных с документами и документными системами.
Идентичен ISO/TR 18128:2014
1 Область применения
2 Нормативные ссылки
3 Термины и определения
3.1 Термины, относящиеся к риску
3.2 Термины, относящиеся к документам
4 Критерии оценки риска для организации
4.1 Оценка риска
4.2 Критерии риска
4.3 Определение приоритетов
5 Идентификация риска
5.1 Общие положения
5.2 Контекст деятельности организации: внешние факторы
5.3 Контекст деятельности организации: внутренние факторы
5.4 Документные системы
5.5 Документные процессы
6 Анализ выявленных рисков
6.1 Общие положения
6.2 Анализ возможности и количественная оценка вероятности реализации рисков
7 Сравнительная оценка рисков
7.1 Общие положения
7.2 Оценка воздействия неблагоприятных событий
7.3 Сравнительная оценка риска
8 Распространение информации о выявленных рисках
Приложение А (справочное) Пример записи о документированном риске в реестре рисков
Приложение В (справочное) Контрольные вопросы для выявления областей неопределенности
Приложение С (справочное) Руководство по использованию мер и средств из приложения А «Цели и меры управления" ИСО/МЭК 27001
Приложение ДА (справочное) Сведения о соответствии ссылочных международных стандартов национальным стандартам Российской Федерации
Библиография
Дата введения | 01.07.2019 |
---|---|
Добавлен в базу | 01.01.2018 |
Актуализация | 01.01.2021 |
20.07.2017 | Утвержден | Федеральное агентство по техническому регулированию и метрологии | 731-ст |
---|---|---|---|
Разработан | ООО ЭОС Тех | ||
Издан | Стандартинформ | 2017 г. |
Чтобы бесплатно скачать этот документ в формате PDF, поддержите наш сайт и нажмите кнопку:
ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ
НАЦИОНАЛЬНЫЙ
СТАНДАРТ
РОССИЙСКОЙ
ФЕДЕРАЦИИ
2017/
ISO/TR 18128:2014
(ISO/TR 18128:2014, ЮТ)
Издание официальное
Москва
Стандартинформ
2017
ГОСТ P 57551—2017
1 ПОДГОТОВЛЕН Обществом с ограниченной ответственностью «ЭОС Тех» на основе собственного перевода на русский язык англоязычной версии документа, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 459 «Информационная поддержка жизненного цикла изделий»
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 20 июля 2017 г. № 731 -ст
4 Настоящий стандарт идентичен международному стандарту ISO/TR 18128:2014 «Информация и документация. Оценка рисков для документных процессов и систем» (ISOTTR 18128:2014 «Information and documentation — Risk assessment for records processes and systems». IDT).
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении ДА
5 ВВЕДЕН ВПЕРВЫЕ
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. № 162-ФЗ «О стандартизации в Российской Федерации». Информация об изменениях к настоящему стандарту публикуется в ежегодном (по сослюянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты» В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соотвепктвующая информация, уведомление и тексты размещаются также в информационной сислюме общего пользования — на официальном сайте Федерального агенглства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
© Стандартинформ. 2017
Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии
II
5.2.3 Области неопределенности: физическая среда и инфраструктура
Возможность крупномасштабных природных и техногенных катастроф, способных повлиять на деятельность организации в целом, является одной из главных областей неопределенности, требующей идентификации и оценки. Потенциальный ущерб от таких катастроф включает как непосредственное воздействие на документы и их хранилища, так и менее прямолинейное влияние вследствие утраты услуг, от которых организация зависит, таких как водо- и электроснабжение и ряд других. В число областей неопределенности входят следующие:
a) региональные или местные разрушительные или нарушающие нормальную деятельность природные явления, такие как землетрясения, ураганы/циклоны. цунами, наводнения, пожары, мощные штормы и длительная засуха:
b) возможность серьезных структурных повреждений и перебоев с оказанием услуг в помещениях или в непосредственной близости от местоположения организации вследствие военных действий или террористических актов;
c) различные перебои в организации с энергоснабжением, подачей воды, вывозом отходов, с информационными технологиями, оказанием транспортных услуг и иных основных коммунальных услуг и сервисов.
5.2.4 Области неопределенности: внешние угрозы безопасности
Идентификация риска должна охватывать враждебные внешние угрозы безопасности, потенциальное воздействие которых может варьироваться от повреждения помещений и помех оказанию услуг до несанкционированного доступа к системам, в том числе документным. Примерами внешних угроз могут быть:
a) несанкционированное внешнее вторжение/достул в документные системы и внесение несанкционированных изменений в документы;
b) оставшаяся незамеченной компрометация системы безопасности или использование неконтролируемой уязвимости, приводящее к деградации информации;
Пример — Атака с использованием шпионского или вредоносного программного обеспечения либо уязвимостей, связанных с неисправленными слабыми сторонами и нарушениями защиты программного обеспечения.
c) физическое вторжение в хранилище документов или в зону размещения ИТ-оборудования;
d) атака «отказ в обслуживании» (DDOS-атака) и иные преднамеренные атаки на интернет-услуги;
e) физический вандализм;
О утрата услуг третьих сторон, от которых зависят документные системы.
Примечание — Оценка риска является неотъемлемым элементом внедрения международных стандартов серии ИСО/МЭК 27000 в области информационной безопасности В этих стандартах подробно рассматриваются области неопределенности, связанные с информационной безопасностью
5.3 Контекст деятельности организации: внутренние факторы
5.3.1 Области неопределенности: организационные изменения
Влияющие на организацию управленческие решения, такие как решения о слиянии компаний, о поглощении другой компании, о прочих приобретениях, реструктуризациях, сокращениях, передаче функций на аутсорсинг либо переводе в оффшоры представляют собой значительную область неопределенности во внутреннем контексте организации. Подобные решения будут влиять на документные процессы и системы, например:
a) изменение прав собственности на документы и документные системы, и последующая передача документов в организацию и из нее:
b) изменение прав собственности на документы и документные системы, приводящее к вынужденной миграции документов или к объединению систем;
c) соглашения о доступе к документным системам, обеспечивающие право непрерывного доступа к документам после их передачи и миграции;
d) наследование ответственности за документы и документные системы в отсутствие адекватной документации;
e) утрата персонала или корпоративной памяти, отражающиеся на имеющихся у организации знаниях о текущих документах и системах, в том числе о процедурах извлечения и использования документов. и на знаниях о более старых документах, унаследованных через организационные изменения;
ГОСТ P 57551—2017
0 прекращение использования документов и документных систем, особенно унаследованных систем. за которые никто не несет ответственность:
д) изменение условий в договорах с третьими сторонами об оказании услуг;
h) введение новых или модификация существующих внутренних политик организации, влияющих на документные системы и процессы;
i) наличие политик и процедур, которые не были своевременно пересмотрены и обновлены и стали неприменимыми либо стали несогласованными или противоречивыми в результате организационных изменений;
j) изменения в кадровом составе организации, которые могут повлиять на распределение ответственности за документы;
k) изменения в кадровой политике, в финансировании и возможностях для подготовки персонала и повышения его квалификации, которые влияют на компетенцию отвечающих за документы специалистов. а также
l) отказ от проведения тестирования и актуализации плана действий в случае катастроф и в ходе последующего восстановления деятельности организации, что может повлиять на судьбу документов в случае стихийного бедствия.
5.3.2 Области неопределенности: технологические изменения
Внедрение новых технологий и систем создает возможности для совершенствования деловой деятельности. но при этом является областью неопределенности, где потенциально возможны негативные последствия. К числу областей неопределенности относятся:
a) технологические изменения, которые влияют на совместимость (интероперабельность) создающих или контролирующих документы систем;
b) совместимость с существующими платформами и системами;
c) планирование и осуществление миграции документов;
d) перераспределение ответственности и контроля над документными процессами;
е) эффективность внедрения изменений;
Пример — Адекватность планирования и управления проектом по внедрению новой платформы или программного обеспечения.
f) степень, в которой существующие политики охватывают внедренные организацией новые технологии;
Пример — Использование облачных сервисов, социальных сетей. RFID-радиометок, систем глобального позиционирования GPS/ГЛОНАСС.
д) способность внедряющих новые технологии системных администраторов и разработчиков осознавать влияние этих технологий на требования к документам — как на стадии проектирования, так и на этапе практической реализации;
Пример — Использование для разработки новых систем приложений для поддержки коллективной работы или вики-сред, не способных адекватным образом захватывать проектные документы и системную документацию.
h) способность существующей технической инфраструктуры удовлетворять новые требования, появившиеся в результате технологического развития организации или ее документных систем.
5.3.3 Области неопределенности: ресурсы — люди и компетенции
Выполнение организацией всех ее операций, включая документные процессы и эксплуатацию документных систем, зависит от наличия компетентного персонала. Специалисты по управлению документами или ответственные за документы лица проводят оценку областей неопределенности, включая следующие:
a) численность персонала, занятого созданием документов, контролем над ними, а также разработкой и поддержкой документных систем;
b) осведомленность о документных политиках и процессах:
c) поддержка высшим руководством деятельности по управлению документами;
d) осведомленность о связанных с документными процессами и системами рисках, и способность высшего руководства принимать решения по смягчению этих рисков;
е) управление взаимоотношениями между ответственными за документные системы лицами и пользователями;
0 адекватность компетенций персонала для создания документов и контроля над ними;
7
g) потеря ключевых специалистов, обладающих важнейшими навыками и глубокими знаниями организации и ее истории;
h) снижение со временем уровня квалификации персонала;
О адекватность используемых средств оценки эффективности и пригодности персонала
5.3.4 Области неопределенности: ресурсы — финансовые и материальные ресурсы
На финансовые и материальные ресурсы, доступные для адекватного управления документными процессами и системами, оказывают влияние как внешняя экономическая ситуация и деловая среда, так и уровень поддержки управления документами в организации. Области неопределенности включают в себя следующее:
a) достаточность финансовых ресурсов для исполнения обязательств и достижения целей управления документами;
b) достаточность финансовых ресурсов для закупки, обновления и поддержки адекватных систем.
5.4 Документные системы
При оценке воздействия риска на системы, используемые для создания документов и/или контроля над ними, следует принять во внимание архитектуру таких систем, вопросы обеспечения поддержки. жизнеспособности, непрерывности функционирования, интероперабельности и безопасности. Используемые организацией системы стечением времени сменяются в зависимости от экономических обстоятельств, перемен в характере деятельности и кадровом составе, а также в связи с изменениями размера и структуры организации. Критически важно, чтобы высшее руководство было надлежащим образом информировано о риске для документных систем и приняло на себя ответственность за предпринимаемые организацией меры реагирования
Примечание 1 — В рамках настоящего подраздела термин «системы» следует понимать как «документные системы» в смысле определения, данного в 3 2.1
Примечание 2 — Специалисты по управлению документами при проведении идентификации связанных с документными системами рисков в организациях, внедривших у себя меры и средства контроля и управления, предусмотренные стандартом системы менеджмента информационной безопасности ИСО/МЭК 27001. должны принять во внимание возможность снижения рисков в некоторых областях благодаря этим мерам В не внедривших ИСО/МЭК 27001 организациях, этот стандарт может быть использован как источник для выбора действий по смягчению риска из числа перечисленных в нем мер Приложение С содержит таблицу, устанавливающую соответствие между относящимися к документным системам областями неопределенности и мерами контроля и управления, описанными в ИСО/МЭК 27001
5.4.1 Области неопределенности: архитектура систем
Архитектура и конфигурация систем имеют ключевое значение для создания документов и обеспечения их долговечности Данная область пересекается с идентификацией рисков для документных процессов. Адекватная документация по конфигурации системы является основой для решения вопросов. связанных как с другими областями риска на системном уровне, так и с процессами в системе.
Примечание — О документных процессах в системах см 5.5.
Исходя из современного опыта, идентификация связанных с архитектурой систем рисков, особенно в контексте электронных документов, включает в себя следующее:
a) определение того, что является документом в системе, с тем чтобы система адекватно своим целям создавала документы и управляла ими;
Пример — В транзакционной безо данных следует выявить все необходимые злемонты документа и обеспечить управление ими, с тем чтобы сведения о транзакции могли быть извлечены или воссозданы.
b) адекватное выявление требований в отношении сроков хранения;
Пример — В элементах (метаданных) документов должны быть указаны сами сроки хранения и события-»триггеры», запускающие отсчет сроков хранения и выполнение действий по уничтожению документов либо их породачо на архивное храноние.
c) выявление и документирование всех необходимых документных процессов, которыми должна управлять система;
d) эффективность архитектуры документных систем, соответствующая потребностям сотрудников организации и используемым организацией технологиям;
8
ГОСТ P 57551—2017
е) управление степенью зависимости от поддержки со стороны производителя системы;
0 доступ к документации производителя системы.
5.4.2 Области неопределенности; техническое обслуживание и поддержка
Техническое обслуживание документных систем в первую очередь относится к тем аспектам технологической платформы и поддержки систем, на которые влияют структурные изменения в организации, внедрение новых систем, изменения технологий, а также компетентность и надежность технической поддержки.
Области неопределенности включают в себя следующее:
a) изменения в деятельности и деловых системах, влияющие на документные системы;
b) уровень квалификации системных администраторов и понимание ими требований к управлению документами в системах;
c) надежность поставщиков систем и их способность обеспечить техническое обслуживание систем и их постоянное соответствие текущему уровню развития технологий;
d) адекватность документации по процедурам оперативного технического обслуживания;
e) адекватность технической документации на системы;
0 адекватность документированных процедур резервного копирования и восстановления для документных систем;
д) адекватность процесса восстановления с резервных копий.
5.4.3 Области неопределенности: жизнестойкость и непрерывность функционирования
Жизнестойкость документных систем зависит от отслеживания перемен во внешнем и внутреннем контексте организации, с тем чтобы эти системы обновлялись, реагируя на изменяющиеся потребности.
При планировании действий по обеспечению непрерывного функционирования документных систем следует учитывать планы организации по обеспечению непрерывности деятельности. При отсутствии у организации плана по обеспечению непрерывности ее деятельности специалисты по управлению документами проводят анализ и оценку документных систем с целью установления приоритетов и процедур восстановления их работоспособности после перерывов в обслуживании.
Области неопределенности включают в себя следующее:
a) изменения во внешнем и внутреннем контексте, затрагивающие требования и потребности организации в отношении документов;
b) адекватность мониторинга качества документов и работы с ними, проводимого с целью выявления изменений в требованиях к документам;
c) адекватность оценки фактических затрат на внедрение и поддержание документных систем, включая затраты на оплату труда;
d) адекватность действий по выявлению и документированию документных систем;
е) поддержание и обеспечение доступности спецификаций и документации на документные системы;
0 адекватность документирования решений, принятых в ходе внедрения документных систем, и доступность этих документов всем нуждающимся в них пользователям;
д) способность документных систем поддерживать пригодность документов к использованию;
h) способность импортировать документы из унаследованных документных систем и прочих деловых систем;
i) проведение миграции документов в новую документную систему по причине изменения требований к документам либо изменений в технологиях;
j) изменения в других системах, от которых зависит данная документная система;
k) способность облачных систем экспортировать документы, когда это необходимо, для их включения в собственные системы организации;
l) адекватность протоколирования истории событий в документной системе, включая обеспечение ее сохранности в течение срока службы системы; а также управление зависимостью от других систем с целью поддержания во времени осмысленности содержащейся в истории событий информации;
Пример — Ведение документации на уникальные идентификаторы, используемые в истории событий для обозначения пользооателей и деловых подразделений.
т) способность документных систем поддерживать усилия по обеспечению непрерывности деятельности посредством предоставления доступа к необходимым документам в случае стихийного бедствия;
9
п) планирование действий на случай перебоев в обслуживании при возникновении нештатных ситуаций.
5.4.4 Области неопределенности: интероперабельность
Имеющиеся у документных систем зависимости и взаимосвязи с другими системами могут оказаться уязвимым местом.
Области неопределенности включают в себя следующее:
a) адекватность действий по выявлению и специфицированию необходимой интероперабельности между документными системами и иными деловыми системами;
b) зависимость документных систем от внешних по отношению к ним источников данных и способность обмениваться данными с этими системами, подключаться к ним либо ссылаться на их данные (примером могут служить облачные системы и другие внешние услуги по хранению данных);
c) совместимость стандартов и спецификаций, касающихся обмена документами и интероперабельности систем;
d) эффективность межсистемного взаимодействия (интероперабельности) после внесения изменений или проведения технологических обновлений одной или обеих взаимодействующих систем;
e) управление метаданными, относящимися к управлению документами, при перемещении документов между системами с тем, чтобы сохранить пригодность к использованию и смысл документов.
5.4.5 Области неопределенности: безопасность
Оценка риска, связанного с безопасностью документных систем, может проводиться с использованием серии стандартов ИСО/МЭК 27000 и использоваться в качестве элемента системы менеджмента информационной безопасности организации, если таковая имеется. Национальные стандарты и требования к информационной безопасности систем также могут быть применимы в отношении документных систем.
Приложения В—D в ИСО/МЭК 27005 содержат примеры областей неопределенности, применимые в отношении любой информационной системы. Более специфические для документных систем области неопределенности также включают следующее:
a) адекватность политики безопасности организации в отношении документов, документных процессов и систем;
b) способность обеспечивать соблюдение и защиту правил и привилегий доступа, связанных с документами, документными процессами и системами;
c) политика и меры контроля в отношении действующих по поручению организации третьих сторон, влияющие на хранение, доступ и контроль над документами и документными системами.
5.5 Документные процессы
При идентификации риска основное внимание обращается на используемые при управлении документами и документными системами процессы создания документов (или их элементов) и контроля над ними.
Примечание — Предполагается, что специалисты по управлению документами при проектировании документов и документных процессов используют в качестве руководства стандарты и технические отчеты ИСО 15489-1, ИСО 23081-1, ИСО 23081-2 и ИСОЯО 23081-3
5.5.1 Области неопределенности: проектирование документов
Области неопределенности в процессах проектирования документов следующие:
a) адекватное проведение анализа видов деятельности с целью выявления требований к документам;
b) всесторонний характер сбора требований к документам для каждого делового процесса, когда, в том числе, учитываются потребности всех заинтересованных сторон;
c) адекватность проектирования документов (например, установления содержания и определения метаданных, необходимых для идентификации, описания, использования, сохранения истории событий, а также для планирования событий), соответствующая требованиям к документам;
d) адекватность схем наименования и классификации поставленным целям.
5.5.2 Области неопределенности: создание документов и внедрение документных систем
Области неопределенности в процессах создания документов и внедрения документных систем
следующие:
а) для всех документов выбраны подходящие для соответствующих деловых процессов и документных систем точки их создания или захвата (обеспечиваются своевременность, комппексность и полнота создания/захвата);
10
ГОСТ P 57551—2017
b) эффективность интеграции, где это уместно, деловых процессов с процессами создания документов и контроля над ними;
c) адекватное распределение и документирование обязанностей и ответственности создателей документов и участвующих в деловых транзакциях агентов (там. где это разные лица);
d) распределение обязанностей и ответственности по захвату документов организации из внешних сред соответствует требованиям;
e) спецификации метаданных ведутся и документируются надлежащим образом;
0 надлежащим образом документируются и контролируются процессы управления и протоколирования доступа к документам.
5.5.3 Области неопределенности: метаданные
Области неопределенности в процессах управления метаданными следующие;
a) имеются и доступны технические спецификации метаданных, используемых в документах, документных процессах и системах;
b) обеспечивается управление спецификациями метаданных, дающее возможность проводить по мере необходимости их обновление.
5.5.4 Области неопределенности: использование документов и документных систем
Области неопределенности в процессах доступа и использования следующие:
a) соответствующие требованиям стабильность и своевременность извлечения или получения доступа к документам;
b) адекватность управления правами доступа пользователей во всех документных процессах;
c) управление инцидентами безопасности и случаями взлома других мер и средств контроля доступа;
d) ведение документации, показывающей, кто во времени получал доступ к документам и вносил в них изменения;
e) адекватность подготовки использующего процессы персонала;
f) соблюдение установленных процедур.
5.5.4.1 Области неопределенности: поддержание пригодности к использованию
Области неопределенности в процессах поддержания пригодности к использованию следующие:
a) сохранение осмысленности метаданных документов во времени, особенно при наличии зависимости от данных из внешних систем или связей с ними;
b) адекватность документных процессов в плане сохранения аутентичности и надежности документов во времени;
c) поддержание доступности документов во времени;
d) управление применением шифрования документов в случае их передачи по каналам связи;
e) адекватность управления версиями документов во времени;
0 адекватность усилий по сохранению истории событий с документами с целью сохранения осмысленности документов во времени;
д) проблемы, связанные с устареванием оборудования и программного обеспечения (в том числе форматов), затрагивающие как документные процессы, так и документные системы.
Пример — Более старые версии электронных документов могут оказаться недоступными с использованием современных программных приложений (версий приложений).
5.5.5 Области неопределенности: уничтожение документов либо их передача на архивное хранение
Области неопределенности в процессах окончательного решения судьбы документов (их уничтожения либо передачи на архивное хранение) следующие:
a) уничтожение документов либо их передача на архивное хранение проводятся так. как это было запланировано и авторизовано;
b) процедуры окончательного решения судьбы документов предусматривают, в случае необходимости, возможность продолжения хранения документов после истечения срока их хранения;
Пример — Документы, необходимые в рамках судебного разбирательства либо запрошенные о соответствии с законодательством о свободе доступа к государственной информации, сроки хранения копюрых истекли.
c) документируются все действия, связанные с уничтожением либо передачей документов;
d) уничтожение документов надлежащим образом авторизовано и задокументировано;
11
ГОСТ P 57551—2017
1 Область применения.................................................................1
2 Нормативные ссылки.................................................................2
3 Термины и определения...............................................................2
3.1 Термины, относящиеся к риску......................................................2
3.2 Термины, относящиеся к документам................................................2
4 Критерии оценки риска для организации.................................................2
4.1 Оценка риска....................................................................2
4.2 Критерии риска..................................................................3
4.3 Определение приоритетов.........................................................3
5 Идентификация риска................................................................4
5.1 Общие положения................................................................4
5.2 Контекст деятельности организации: внешние факторы.................................5
5.3 Контекст деятельности организации: внутренние факторы...............................6
5.4 Документные системы............................................................ 8
5.5 Документные процессы...........................................................10
6 Анализ выявленных рисков ...........................................................12
6.1 Общие положения...............................................................12
6.2 Анализ возможности и количественная оценка вероятности реализации рисков............12
7 Сравнительная оценка рисков.........................................................14
7.1 Общие положения...............................................................14
7.2 Оценка воздействия неблагоприятных событий.......................................15
7.3 Сравнительная оценка риска......................................................16
8 Распространение информации о выявленных рисках. .....................................17
Приложение А (справочное) Пример записи о документированном риске в реестре рисков........18
Приложение В (справочное) Контрольные вопросы для выявления областей неопределенности . .19 Приложение С (справочное) Руководство по использованию мер и средств из приложения А
«Цели и меры управления» ИСО/МЭК 27001 .................................24
Приложение ДА (справочное) Сведения о соответствии ссылочных международных стандартов
национальным стандартам Российской Федерации...........................34
Библиография.......................................................................35
Международная организация по стандартизации ИСО (International Organization for Standardization, ISO) явпяется всемирным объединением национапьных органов по стандартизации — чпенов ИСО, Работа по подготовке международных стандартов обычно проводится техническими комитетами ИСО. Каждый чпен ИСО. заинтересованный в вопросе, дпя проработки которого бып создан технический комитет, имеет право быть представленным в этом комитете. Международные правительственные и неправительственные организации, имеющие партнерские связи с ИСО. также принимают участие в этой работе. ИСО тесно сотрудничает с Международной электротехнической комиссией МЭК (International Electrotechnical Commission, IEC) no всем вопросам стандартизации в обпасти эпектротехники.
Международные стандарты разрабатываются и в дапьнейшем поддерживаются в соответствии с правилами, установленными в части 1 директив ИСО/МЭК. Следует, в частности, иметь в виду различные критерии, соответствие которым необходимо для утверждения документов ИСО разных типов. Технический отчет ИСО/ТО 18128:2014 был разработан в соответствии с правилами редакционной работы. установленными частью 2 директив ИСО/МЭК1).
Следует принять во внимание, что некоторые элементы данного документа могут подпадать под действие патентного права. ИСО и МЭК не несут ответственность за идентификацию соответствующих патентных прав. Сведения о выявпенных в ходе разработки технического отчета ИСО/ТО 18128:2014 патентных правах содержатся во введении и/или в перечне ИСО полученных патентных деклараций2).
Все встречающиеся в данном документе торговые наименования представляют собой сведения, включенные для удобства пользователей, и их упоминание не означает официапьной поддержки соответствующих продуктов со стороны ИСО.
Разъяснения принятых в ИСО трактовок специфических терминов и выражений, относящихся к оценке соответствия, а также информацию о приверженности ИСО принципам ВТО в части борьбы с техническими барьерами для торговли (Technical Barriers to Trade. TBT) можно найти на веб-сайте ИСО по адресу http://www.iso.org/iso/home/standards_development/resources-for-technical-work/foreword.htm.
Технический отчет ИСО/ТО 18128:2014 бып разработан Техническим подкомитетом ПК 11 «Управление документами и архивами» Технического комитета ИСО/ТК 46 «Информация и документация» (ISO/ТС 46/SC 11 «Archives/records management». ISO/ТС 46 «Information and documentation»).
Все организации идентифицируют угрожающие их успешному функционированию риски и управляют ими. Специалисты организации по управлению документами несут ответственность за идентификацию и управление рисками, относящимися к документным процессам и системам.
Настоящий стандарт должен помочь специалистам по управлению документами и ответственным за документы в своих организациях сотрудникам оценивать риски, связанные с документными процессами и системами.
Примечание — Под «системой» понимается любое деловое программное приложение, в котором создаются и хранятся документы
Данная задача отличается от более общей задачи идентификации и оценки деловых рисков организации, где создание и хранение адекватных документов является одним из стратегических способов реагирования. Решения о необходимости создания документов в качестве реакции на риски для основной деятельности являются деловыми решениями, которые должны приниматься с учетом результатов анализа требований и потребностей организации в документах, проводимого совместно специалистами по управлению документами и представителями деловых подразделений. Настоящий стандарт исходит из того, что организация создала отражающие ее деловую деятельность документы с тем. чтобы удовлетворить потребности оперативной деятельности и иные нужды, и. по крайней мере, внедрила минимальный набор мер. обеспечивающих систематическое управление документами и контроль над ними.
h См www iso org/directives 21 См www iso org/patents
ГОСТ P 57551—2017
Последствием рисковых событий для документных процессов и систем является утрата или повреждение документов, которые в результате становятся непригодными для использования, утрачивают надежность, аутентичность, полноту и/или неизменность, и могут поэтому не удовлетворять потребностям организации.
Настоящий стандарт содержит рекомендации и примеры, основанные на общих принципах менеджмента риска, установленных ИСО 31000 (см. рисунок 1). которые применены в отношении рисков, связанных с документными процессами и системами. Стандарт охватывает следующие вопросы:
a) идентификация рисков.
b) анализ риска.
c) сравнительная оценка риска.
Результаты анализа риска для документных процессов и систем следует включать в общую систему управления рисками организации. В результате организация будет лучше контролировать свои документы и их качество в плане использования в деловых целях.
Раздел 5 содержит всесторонний перечень областей неопределенности, связанных с документными процессами и системами, предназначенный для идентификации рисков.
Раздел 6 содержит руководство по определению последствий и вероятностей идентифицированных рисковых событий с учетом наличия (или отсутствия) и эффективности применяемых мер и средств контроля и управления.
Раздел 7 содержит руководство по определению значимости уровня и типа идентифицированных рисков.
Стандарт не затрагивает вопросы воздействия на риски. По завершении оценки рисков, связанных с документными процессами и системами, эти риски документируются и соответствующие сведения передаются в подразделение (службу) организации, занимающееся менеджментом риска. Реагирование на оцененные риски осуществляется в рамках общей программы управления рисками организации. Приоритет, установленный оцененным рискам специалистом по управлению документами, впоследствии учитывается при принятии организацией решений об управлении этими рисками.
Рисунок 1 — Процесс менеджмента риска |
Примечание — Рисунок 1 взят из ИСО 31000 2009 Приведенная на нем нумерация разделов относится к тексту указанного стандарта
V
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Информация и документация ОЦЕНКА РИСКОВ ДЛЯ ДОКУМЕНТНЫХ ПРОЦЕССОВ И СИСТЕМ
Information and documentation Risk assessment for records processes and systems
Дата введения — 2019—07—01
Настоящий стандарт должен помочь организациям в оценке рисков для документных процессов и систем, для обеспечения того, чтобы документы удовлетворяли выявленным потребностям деятельности до тех пор, пока в этом сохраняется необходимость.
Настоящий стандарт:
a) устанавливает метод анализа, проводимого с целью идентификации (выявления) рисков, связанных с документными процессами и системами:
b) описывает метод анализа потенциальных последствий неблагоприятных событий для документных процессов и систем:
c) содержит рекомендации по проведению оценки рисков, связанных с документными процессами и системами, а также
d) содержит рекомендации по документированию выявленных и оцененных рисков, в рамках подготовки к смягчению или устранению этих рисков.
В настоящем стандарте не рассматриваются риски для деятельности организации общего характера. которые могут быть смягчены, в том числе, путем создания документов.
Настоящий стандарт может быть использован любыми организациями, вне зависимости от их размера, характера деятельности и сложности их функций и структуры. Перечисленные факторы, а также предписывающий создание документов и контроль над ними режим законодательно-нормативного регулирования, в условиях которого организация осуществляет свою деятельность, принимаются во внимание при идентификации и оценке рисков, связанных с документами и документными системами.
При установлении границ ответственности организации следует учитывать сложную систему взаимоотношений с другими организациями и внешними и внутренними заинтересованными сторонами. в том числе партнерские отношения и договорные обязательства, касающиеся цепочек поставок и передачи на аутсорсинг ряда функций, которые являются характерной особенностью деятельности современных государственных и коммерческих организаций. Установление границ ответственности организации является первым шагом в определении объема и содержания проекта оценки связанных с документами рисков.
В настоящем стандарте вопрос воздействия на риски (смягчения рисков) непосредственно не рассматривается. поскольку соответствующие методы являются специфическими для каждой организации.
Стандарт может быть использован специалистами по управлению документами, лицами, несущими в своих организациях ответственность за документы, а также аудиторами и руководителями, отвечающими в организациях за программы менеджмента риска.
Издание официальное
Настоящий стандарт содержит ссылки нормативного характера на перечисленные ниже документы. которые (полностью или частично) необходимы для его применения Для датированных ссылок применима только та версия, которая упомянута в тексте В случае недатированных ссылок необходимо использовать последнюю редакцию документа (включая опубликованные поправки).
ISO 30300:2011 Information and documentation — Management systems for records — Fundamentals and vocabulary (Система стандартов no информации, библиотечному и издательскому делу. Информация и документация. Системы управления документами. Основные положения и словарь)
ISO Guide 73:2009 Risk management — Vocabulary (Менеджмент риска. Термины и определения)
В настоящем стандарте применены следующие термины с соответствующими определениями:
3.1 Термины, относящиеся к риску
3.1.1 риск (risk): Следствие влияния неопределенности на достижение поставленных целей.
Примечание 1 — Под следствием влияния неопределенности необходимо понимать отклонение от ожидаемого результата или события (позитивное и/или негативное).
Примечание 2 — Неопределенность — это состояние полной или частичной нехватки информации, знаний и понимания события, его последствий и/или их вероятности
Примечание 3 — Риск часто характеризуют путем описания возможного события (Руководство ИСО 73:2009. 3.5.1.3) и его последствий (Руководство ИСО 73:2009. 3 6 1 3) или их сочетания
Примечание 4 — Риск часто описывают в виде комбинации последствий возможного события (в том числе изменения обстоятельств) и соответствующей вероятности наступления этого события (Руководство ИСО 73 2009. 36.1.1).
(Руководство ИСО 73:2009. 1.1)
3.2 Термины, относящиеся к документам
3.2.1 документная система, система управления документами (records system): Информационная система, обеспечивающая захват документов, а также управление документами и доступ к ним во времени.
Примечание 1 — К числу документных систем могут быть отнесены создающие и хранящие документы деловые приложения и системы
(ИСО 30300—2011. 3 4 4)
3.2.2 документные процессы, процессы управления документами (records processes): Совокупности взаимосвязанных или взаимодействующих видов деятельности, с использованием которых организация создает, контролирует, использует, уничтожает либо передает на архивное хранение свои документы.
4.1 Оценка риска
Оценка рисков для документных процессов и систем должна включаться в общий процесс управления рисками организации, где таковой существует. В этом случае специалисты по управлению документами должны учитывать внешние и внутренние обстоятельства и условия, в которых организация осуществляет свою деятельность (контекст), а также контекст самого процесса менеджмента риска, в том числе следующие факторы:
a) роли и обязанности: Должна быть определена роль специалистов по управлению документами в оценке рисков, связанных с документными процессами и системами;
b) охват и масштабы деятельности по оценке рисков: Во избежание избыточности и конфликтов, а также для создания условий для применения комплексного подхода к оценке рисков, связанных, в
2
ГОСТ P 57551—2017
том числе, с документами, следует явным образом определить взаимоотношения с другими областями оценки риска, такими как информационная безопасность;
c) методология; При использовании имеющихся инструментов для оценки рисков и при подготовке отчетов перед уполномоченным лицом или службой следует использовать стандартную методологию оценки риска;
d) критерии риска; В случае, когда в организации используются общие критерии риска, следует оценивать связанные с документными процессами и системами риски на основе этих критериев.
Если в организации отсутствует общий процесс управления рисками, то специалистам по управлению документами до начала процесса оценки следует установить критерии риска, применимые к документным процессам и системам.
4.2 Критерии риска
Критерии должны быть основаны на нормативно-правовых требованиях юрисдикции, в рамках которой действует организация, и включать в себя следующее:
a) природу и типы принимаемых во внимание последствий и способы их измерения;
b) способы отражения вероятности событий;
c) подход к определению уровня риска;
d) критерии, на основе которых будет приниматься решение о необходимости воздействия на риск (т. е. об устранении или снижении риска);
e) критерии для принятия решения о приемлемости и/или допустимости риска;
0 будут ли учитываться возможные комбинации рисков, и если да. то каким образом.
Что касается природы и типов последствий, которые должны быть охвачены при оценке риска для документных процессов и систем, то существует общая отправная точка, применимая во всех организациях. Аутентичные, надежные, целостные документы, пригодные к использованию в течение всего периода времени, пока в них сохраняется необходимость, будут способны удовлетворить потребности организации. Риски идентифицируются, исходя из их возможности нанести ущерб этим общим свойствам документов, в результате чего документы могут уже не соответствовать тем целям, ради которых они были созданы.
Вопросы анализа вероятности и частоты событий в рамках оценки рисхов обсуждаются в 6.2.
Критерии количественной оценки рисков, в том числе критерии, на основе которых будут приниматься решения о приемлемости риска или необходимости его снижения, включают размер и охват документных систем организации, количество пользователей этих систем, а также способ применения таких систем в оперативной деятельности организации.
Аналогичным образом критерии количественной оценки рисков для документных процессов должны включать частоту выполнения процесса, количество систем в которых он выполняется, его относительную важность для создания и управления документами, возможности для мониторинга процессов. а также потенциальные возможности для полного устранения или смягчения неблагоприятных последствий.
4.3 Определение приоритетов
Как правило, организация должна определить, какие документы являются ключевыми для ее деятельности, а также придаваемый им уровень значимости. Это деловые решения, основанные на рекомендациях как специалистов по управлению документами, так и представителей деловых подразделений.
Приоритет, установленный для отдельных документов, их массивов, для документных процессов или конкретных документных систем, также может приниматься во внимание в связи с реагированием на крупные чрезвычайные происшествия, затрагивающие все или многие деловые операции. Например. определенные документы могут потребоваться сразу же после стихийного бедствия, такие как адреса и телефоны экстренных служб, сведения о проходе лиц на территорию объекта, контактные данные групп реагирования на чрезвычайные ситуации, контактные данные страховых компаний и конкретные условия страхования. Кроме того, при планировании мер по обеспечению непрерывности своей деятельности организациям следует определить, какие деловые функции должны быть восстановлены в первую очередь и какие документы для этого понадобятся.
Особое внимание следует уделить ситуациям, в которых документы, отнесенные к числу ключевых для оперативной деятельности, подвергаются комбинации рисков.
3
5.1 Общие положения
Идентификация риска проводится по следующим направлениям: анализируются контекст деятельности. системы, а также процессы, используемые при создании и управлении документами организации.
Под внешним контекстом деятельности организации понимается совокупность неподконтрольных ей общественно-политических, макроэкономических, технологических, а также физических и экологических факторов, оказывающих влияние на ее деятельность и учитываемых при определении связанных с документами требований и потребностей организации. Частью внешнего контекста являются внешние заинтересованные стороны, имеющие конкретные интересы, связанные с деятельностью организации.
Существует также внутренний контекст деятельности организации, под которым понимается совокупность внутренних факторов, неподконтрольных ответственным за документные процессы и системы специалистам по управлению документами. Внутренний контекст включает в себя такие факторы, как структура и финансы организации, применяемые ею технологии, ресурсное обеспечение деятельности (кадры и бюджеты), а также культура организации, которые влияют на политики и практику управления документами.
Потенциально возможные события с не вполне предсказуемыми последствиями могут быть как внешними, так и внутренними по отношению к организации.
Различные подразделения организации могут иметь разные точки зрения на неопределенности, связанные с последствиями изменений внешнего контекста (см. рисунок 2). Кроме того, следует иметь в виду, что любые изменения открывают новые возможности, последствия которых могут быть и положительными.
Рисунок 2 — Множественность слоев контекста для документов и документных процессов организации |
4
ГОСТ P 57551—2017
Цель идентификации риска заключается в выяснении того, что может произойти и какие ситуации могут возникнуть, чтобы это в итоге повлияло на способность документов удовлетворять потребности организации.
Процесс идентификации риска включает в себя выявление причин и источников риска, событий, ситуаций или обстоятельств, способных существенно повлиять на достижение организацией своих целей. а также выяснение природы такого влияния. Сопоставление основных методов дано в приложении В к МЭК 31010.
Выявленные риски должны быть задокументированы в реестре рисков. Это может быть как специальный реестр рисков для документов, так и общий реестр рисков организации. Соответствующий пример приведен в приложении А.
Примечание —В приложении В к настоящему стандарту приведен пример построенного в соответствии со структурой раздела 5 списка контрольных вопросов (контрольного списка), который организация может использовать для систематической идентификации рисков для документных процессов и систем
5.2 Контекст деятельности организации: внешние факторы
5.2.1 Области неопределенности: изменения в общественно-политическом контексте
Изменения в политическом и общественном климате, как на национальном, так и на международном уровне, могут повлиять на отношение общества к поведению государственных органов и коммерческих организаций. Это может привести к изменениям в законодательстве и нормативной базе, которые повлияют на деятельность организаций и, как следствие, на их требования к документам.
Примерами областей, в которых изменение общественного отношения может повлиять на требования к документам, являются обеспечение национальной безопасности, доступ к государственной и корпоративной информации, неприкосновенность частной жизни и защита персональных данных, права интеллектуальной собственности, а также обязанности корпораций по раскрытию информации об их деятельности. В более общем плане примерами областей неопределенности являются:
a) законодательно-нормативные изменения, влияющие на требования организаций к документам;
b) изменения в государственной политике, влияющие на документы, документные процессы и системы организации;
c) новые стандарты и кодексы практики, влияющие на документы, документные процессы и системы организации;
d) изменение спроса на услуги в области управления документами.
e) изменение ожиданий заинтересованных сторон;
0 изменение репутации либо доверия к способности организации предоставлять свои услуги.
5.2.2 Области неопределенности: макроэкономическая и технологическая среда
Изменения в макроэкономической, деловой и производственной средах, а также в информационных технологиях сильно влияют на конкуренцию и потребительский спрос. Изменения могут проходить постепенно и непрерывно, но могут быть и результатом кризисов. Они также представляют собой области неопределенности, с которыми могут быть связаны, в том числе и позитивные возможности.
Примеры областей неопределенности, вытекающих из подобных изменений в макроэкономической и деловой среде, включают в себя следующее:
a) изменения в собственности и/или выручке организации, влияющие на приоритеты в сфере управления, включая управление документами;
b) изменения в целях, функциях и оперативной деятельности организации, приводящие к изменению требований к документам;
c) повышение активности регулирующих органов, приводящее к росту числа внешних запросов на представление документов;
d) увеличение числа судебных разбирательств, приводящее к росту числа запросов на представление документов;
e) внедрение и широкое распространение новых технологий в масштабах всего общества;
Пример — Использование социальных сетей и мобильных компьютерных устройств для ведения деятельности.
0 изменения на рынке или в клиентской базе организации.
Эти изменения находят свое отражение в организационных переменах, которые рассматриваются ниже (см. 5.3.1).
5