Устанавливает требования, которым должна отвечать СМЗ, чтобы помочь организации в выполнении своих обязательств, назначения, стратегии и достижении целей. Стандарт касается разработки и реализации политики и целей ведения записей и предоставляет сведения о результатах измерений и мониторинга.
Идентичен ISO 30301:2011
1 Область применения
2 Нормативные ссылки
3 Термины и определения
4 Среда организации
4.1 Понимание внешней и внутренней среды организации
4.2 Бизнес-требования, законодательные и другие требования
4.3 Определение области применения системы менеджмента записей
5 Лидирующая роль руководства
5.1 Обязательства руководства
5.2 Политика
5.3 Функции, обязанности и полномочия организации
6 Планирование
6.1 Меры по изучению рисков и возможностей
6.2 Цели управления записями и планы по их достижению
7 Обеспечение
7.1 Ресурсы
7.2 Компетентность
7.3 Информированность и подготовка
7.4 Обмен информацией
7.5 Документация
8 Функционирование
8.1 Оперативное планирование и контроль
8.2 Проектирование процессов менеджмента записями
8.3 Внедрение систем записей
9 Оценка результативности деятельности
9.1 Мониторинг, измерение, анализ и оценивание
9.2 Внутренние проверки системы
9.3 Анализ со стороны руководства
10 Улучшение
10.1 Управление несоответствиями и корректирующие действия
10.2 Постоянное улучшение
Приложение А (обязательное) Процессы и средства управления
Приложение В (справочное) Взаимосвязь между ИСО 9001, ИСО 14001, ИСО/МЭК 27001 и настоящим стандартом
Приложение С (справочное) Перечень контрольных вопросов для проведения самооценки
Приложение ДА (справочное) Сведения о соответствии ссылочных международных стандартов ссылочным национальным стандартам Российской Федерации (и действующим в этом качестве межгосударственным стандартам)
Библиография
32 страницы
Дата введения | 01.03.2015 |
---|---|
Добавлен в базу | 21.05.2015 |
Актуализация | 01.01.2021 |
28.05.2014 | Утвержден | Федеральное агентство по техническому регулированию и метрологии | 460-ст |
---|---|---|---|
Разработан | ОАО ВНИИС | ||
Издан | Стандартинформ | 2015 г. |
Чтобы бесплатно скачать этот документ в формате PDF, поддержите наш сайт и нажмите кнопку:
ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ
НАЦИОНАЛЬНЫЙ
СТАНДАРТ
РОССИЙСКОЙ
ФЕДЕРАЦИИ
ISO 30301:2011
Information and documentation — Management systems for records —
Requirements
(IDT)
Издание официальное
Москва
Стандартинформ
2015
1 ПОДГОТОВЛЕН Открытым акционерным обществом «Всероссийский научно-исследовательский институт сертификации» (ОАО «ВНИИС») на основе собственного аутентичного перевода на русский язык международного стандарта, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 076 «Системы менеджмента»
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 28 мая 2014 г. № 460-ст
4 Настоящий стандарт идентичен международному стандарту ИСО 30301:2011 «Информация и документация. Системы менеджмента записей. Требования» (ISO 30301:2011 «Information and documentation — Management systems for records — Requirements»).
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в справочном Приложении ДА
5 ВВЕДЕН ВПЕРВЫЕ
Правила применения настоящего стандарта установлены в ГОСТ Р 1.0-2012 (Раздел 8). Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе «Национальные стандарты», а текст изменений и поправок — в ежемесячно издаваемых информационных указателях «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (gost.ru).
© Стандартинформ, 2015
Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии
- когда это будет завершено;
- как будут оцениваться результаты.
Высшее руководство должно выделять и обеспечивать наличие ресурсов, необходимых для функционирования СМ3.
Управление ресурсами включает:
a) наделение ответственностью персонала, способного выполнять функции, определенные в
СМ3;
b) периодическую проверку компетентности и уровня подготовки такого персонала;
c) поддержание и устойчивость ресурсов и технической инфраструктуры.
Организация должна:
a) определять необходимую компетентность персонала, выполняющего работу под ее управлением, которая влияет на эффективность ее процессов и систем управления записями;
b) гарантировать наличие у персонала достаточной квалификации как результата полученного образования, подготовки и опыта;
c) при необходимости принимать меры для приобретения необходимой компетентности и оценивать результативность принимаемых мер;
d) сохранять соответствующую документированную информацию как свидетельство компетентности.
Примечание — К принимаемым мерам может, в частности, относиться организация подготовки, обучение или назначение на новые должности работников организации или прием на работу, или привлечение для выполнения работ компетентных специалистов.
Организация должна обеспечивать осведомленность работников:
a) о необходимости и значимости их персональной деятельности и о том, как они способствуют достижению целей СМ3;
b) о важности соответствия политике и процедурам СМ3, а также требованиям системы менеджмента;
c) о важных аспектах СМ3 и связанных с ними фактических или потенциальных воздействиях на их работу и о преимуществах качественного выполнения рабочих заданий;
d) об их функциях и обязанностях по выполнению требований СМ3;
e) о потенциальных последствиях отклонения от установленных процедур.
Организация должна разработать постоянно действующую программу обучения процессу формирования и управления записями. Программы обучения требованиям и методам управления записями должны охватывать весь персонал организации, включая подрядчиков и персонал других организаций в случае необходимости. Требуемая компетенция и квалификация различных специалистов в отношении управления записями должны оцениваться, идентифицироваться и включаться в программы подготовки, разрабатываемые и предоставляемые организацией.
Организация должна разрабатывать, внедрять, документировать и поддерживать в рабочем состоянии процедуры внутреннего обмена информацией о СМ3 и своей политике и целях ведения записей. Внутренний обмен информацией для обеспечения результативности СМ3 должен включать распределение обязанностей, операционные процедуры и доступ к документации.
Организация должна принимать решения о необходимости передачи информации о своей СМ3 другим субъектам (например, при наличии совместных бизнес-процессов). Если принимается решение о передаче информации, организация должна разработать средства передачи информации. В зависимости от уровня взаимодействия с внешними сторонами, такими как подрядчики, заказчики и поставщики, речь может идти о передачи информации о СМ3 и ее целях на высоком уровне или передаче документации о конкретных процедурах.
7.5.1 Общие положения
Организация должна документировать свою СМ3. Это включает наличие санкционированных заявлений:
a) об области применения СМ3;
b) о политике и целях;
c) о взаимозависимости и взаимосвязях между СМ3 и другими системами менеджмента организации или между организациями;
d) о документированных процедурах согласно требованиям настоящего стандарта;
e) о документации, которую организация считает необходимой для обеспечения результативного планирования, функционирования и управления процессами.
Примечания
1 Термин «документированная процедура», который встречается в настоящем стандарте, означает, что процедура была разработана, документирована, внедрена и поддерживается в рабочем состоянии.
2 Объем документации СМ3 может отличаться в зависимости от организации вследствие:
- масштабов организации и видов деятельности, которой она занимается;
- границ и сложности внедренных и реализуемых процессов управления записями и систем учетных документов, в том числе в тех случаях, когда в предпринимательской деятельности участвуют несколько организаций.
7.5.2 Управление документацией
Необходимо управлять документацией, которая требуется для функционирования СМ3. Документированная процедура должна определять средства управления, необходимые для:
a) одобрения документации на предмет адекватности до ее выпуска;
b) анализа, актуализации и повторного утверждения документации;
c) обеспечения идентификации изменений и текущего статуса пересмотра документации;
d) обеспечения наличия в местах использования соответствующих версий действующих документов;
e) обеспечения удобочитаемости и идентифицируемости документации;
f) обеспечения идентификации документации внешнего происхождения и управления ее распространением;
д) предотвращения непреднамеренного использования устаревшей документации и идентификации ее как таковой, если она будет использоваться в каких-либо целях.
К документации СМ3 относят записи, ведение которых осуществляется в системе записей. Процедуры формирования и управления документацией СМ3 должны соответствовать общим процедурам формирования и ведения записей (см. 8.2, перечисление с).
Организация должна определять, планировать и контролировать те процессы, которые необходимы для рассмотрения рисков и возможностей, определяемых в 6.1, и удовлетворения требований, установленных в 6.1, путем:
- установления критериев для этих процессов;
- осуществления управления этими процессами в соответствии с заданными критериями;
- сохранения документально оформленной информации для подтверждения того, что процессы реализуются, как запланировано.
Организация должна контролировать запланированные изменения и анализировать последствия непредусмотренных изменений, принимая меры по снижению любых отрицательных эффектов по мере необходимости.
Организация должна управлять процессами, которые отданы на субподряд или выполняются сторонними организациями.
Для создания СМ3 организация должна спроектировать процессы менеджмента записями в соответствии со следующим планом.
6
a) Проведение анализа рабочих процессов с целью определения требований к формированию и управлению записей в отношении непрерывных процессов и удовлетворения интересов участвующих сторон, включая отчетность (см. ИСО/ТО 26122).
b) Оценивание рисков, которые могут возникнуть в связи с невозможностью контролировать подлинные, достоверные и пригодные для использования записи о бизнес-процессах организации:
1) для оценки уровней рисков;
2) определения приемлемости рисков на основе установленных критериев или
необходимости управления рисками;
3) выявления и оценивания возможностей управления рисками.
c) Определение процессов (см. Приложение А, касающееся процессов управления записями, которые должна использовать организация), способствующих формированию и управлению записями, и порядка их реализации в системах, а также выбор технических средств, подлежащих использованию.
1) Формирование:
i) установление того, какие записи, когда и как должны быть сформированы и обобщены для каждого бизнес-процесса;
N) определение контентной, контекстной и управляющей информации (метаданных), которая должна быть включена в записи;
Ш) принятие решения о том, в какой форме и структуре должны формироваться и накапливаться записи;
iv) определение подходящих методов формирования и накапливания записей.
2) Управление:
i) определение того, какая управляющая информация (метаданные) должна формироваться на основании процессов управления записями и как она будет связана с записями и контролироваться стечением времени;
N) установление правил и условий использования записей стечением времени;
iii) обеспечение пригодности использования записей стечением времени;
iv) установление порядка санкционированного изъятия записей из обращения;
v) установление условий, которые должны применяться для ведения и поддержания в рабочем состоянии систем менеджмента записями.
Для достижения этих целей должны применяться процессы и средства управления, приведенные в Приложении А, с учетом ресурсов организации, бизнес-среды и выявленных рисков, а также нормативной и социальной среды.
Организация должна осуществлять следующие действия:
a) внедрять процессы записей в системах записей для достижения установленных целей;
b) проводить регулярный мониторинг за результативностью функционирования систем записей на основании бизнес-требований и целей ведения записей;
c) регулировать функционирование систем записей.
Примечание — В условиях электронного обмена данными (например, при администрировании, в государственном и корпоративном управлении, торговле) процессы управления записями будут в большей степени автоматизироваться и обеспечиваться автоматизированными системами ведения записей. Существуют процессуальные нормы определения функциональных требований. Автоматизированные системы ведения записей должны соответствовать функциональным требованиям, совместимым с требованиями настоящего стандарта.
9.1.1 Организация должна определять:
- что подлежит измерению и мониторингу;
- методы проведения мониторинга, измерения, анализа и оценивания, исходя из реальной ситуации, для получения обоснованных результатов;
- когда должны проводиться мониторинг и измерение;
- когда должен проводиться анализ результатов мониторинга и измерения.
9.1.2 Организация должна оценивать результативность процессов и систем записей и результативность СМ3.
7
Помимо этого организация должна:
a) в случае необходимости принимать меры в отношении негативных тенденций или результатов до возникновения несоответствия;
b) сохранять соответствующую документально оформленную информацию как свидетельство полученных результатов.
9.1.3 Для оценки результативности СМ3 организация должна проводить мониторинг и, в зависимости от обстоятельств, измерение следующих составляющих по мере необходимости:
a) политики ведения записей, чтобы убедиться в том, что она отражает текущие деловые потребности и актуализируется в случае любых значимых перемен в организации;
b) целей ведения записей, чтобы убедиться в том, что они согласуются с политикой ведения записей, являются достижимыми, действующими и способствуют постоянному совершенствованию;
c) изменений в бизнес-требованиях, законодательных и прочих требованиях, влияющих на СМ3;
d) наличия и достаточности ресурсов, включая финансовые, человеческие, инфраструктурные, научно-технические и др.;
e) адекватности назначений и распределения функций, обязанностей и полномочий;
f) результативности деятельности лиц, несущих ответственность за внедрение СМ3, представление отчетов по СМ3 и расширение информированности о СМ3;
д) результативности выполнения процессов и функционирования систем согласно
поставленным целям;
h) достаточности документации и должной реализации процедур управления записями;
i) результативности систем записей для достижения стратегических, управленческих и финансовых целей организации с использованием мер, определяемых при внедрении систем
записей;
j) результативности программ подготовки и расширения информированности о СМ3 и стратегии обмена информацией;
k) удовлетворенности пользователей и основных партнеров.
В Приложении С приведены примеры оценки и измерения показателей в виде перечня контрольных вопросов для проведения самооценки.
Критерии мониторинга и измерения должны формироваться согласно изменениям в социальном, экономическом, стратегическом или правовом контексте организации.
Организация должна проводить внутренние проверки через запланированные промежутки времени для получения информации, помогающей определить, насколько СМ3:
a) отвечает:
1) собственным требованиям организации к СМ3,
2) требованиям настоящего стандарта;
b) результативно используется и поддерживается в работоспособном состоянии.
Организация должна:
- планировать, реализовывать и поддерживать в рабочем состоянии программы проведения проверок с учетом их периодичности, методов проведения, обязанностей, требований к планированию и отчетности, а также принимать во внимание важность используемых процессов и результатов предыдущих проверок;
- устанавливать критерии проведения проверок и область каждой проверки;
- выбирать аудиторов и проводить проверки для обеспечения объективности и беспристрастности процесса аудита;
- обеспечивать доведение результатов проверок до соответствующих руководителей;
- сохранять документально оформленную информацию как свидетельство полученных результатов.
Высшее руководство должно проверять функционирование СМ3 организации через запланированные промежутки времени для обеспечения ее постоянной пригодности, адекватности и результативности.
Анализ со стороны руководства должен касаться:
a) реализации мер, принятых по результатам предыдущих анализов со стороны руководства;
b) изменений во внешних и внутренних аспектах, относящихся к СМ3;
8
c) информации о результативности функционирования процессов и систем записей, включая тенденции в:
1) несоответствиях и корректирующих действиях;
2) результатах оценивания мониторинга и измерения;
3) результатах проверок;
d) возможностей для постоянного совершенствования.
В результате анализа со стороны руководства должны приниматься решения, касающиеся возможностей для постоянного совершенствования и возможной необходимости внесения изменений в СМ3.
Организация должна сохранять документально оформленную информацию как свидетельство результатов анализов со стороны руководства.
Организация должна:
- выявлять несоответствия;
- реагировать на несоответствия и, в случае необходимости:
- принимать меры по управлению несоответствиями, их сдерживанию и исправлению;
- устранять последствия.
Организация также должна оценивать необходимость в принятии мер по устранению причин несоответствий, включая:
a) анализ несоответствий;
b) определение причин несоответствий;
c) выявление наличия потенциальных аналогичных несоответствий где-либо еще в СМ3;
d) оценивание потребности в принятии мер по предотвращению повторного возникновения несоответствий или их возникновения где-либо еще;
e) определение и реализация требуемых мер;
f) проверка результативности принятых корректирующих мер;
д) внесение изменений в СМ3 в случае необходимости.
Корректирующие действия должны соответствовать последствиям возникающих несоответствий.
Организация должна сохранять документированную информацию как свидетельство:
1) характера несоответствий и любых принимаемых последующих мер;
2) результатов корректирующих действий.
Организация должна постоянно улучшать результативность СМ3 путем использования политики ведения записей, целей, результатов проверок, анализа данных, корректирующих и предупреждающих действий и оценивания, проводимого руководством.
Очередность мер по улучшению должна устанавливаться согласно результатам оценки рисков (см. 6.1).
9
Приложение А
(обязательное)
Настоящее приложение дает представление о процессах и средствах управления записями, которые должны быть реализованы. Реализация может осуществляться дифференцировано в соответствии с характеристиками организации. Решение о неприменении какого-либо процесса должно быть обосновано (например, организация может решить не применять процесс А.2.4.3 «Передача», приведенный в Таблице А.1, поскольку не планируется передача ее записей другой организации).
Процессы и средства управления записями были сгруппированы и пронумерованы в Таблице А.1 согласно целям, приведенным в 8.2, перечисление с) 1) «Формирование» и 8.2, перечисление с) 2) «Управление». По каждому процессу управления записями предлагается одно или несколько средств управления.
Таблица А.1 — Процессы и средства управления записями | ||||||||||||||||||||||||||||||||||||
|
Продолжение Таблицы А. 1 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Окончание Таблицы А. 1 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
В Приложении В рассматривается взаимосвязь между настоящим стандартом и ИСО 9001, ИС014001 и ИСО/МЭК 27001 и сопоставляются общие разделы, касающиеся управления документами и записями в этих международных стандартах со средствами управления записями, приведенными в Таблице А.1.
Приложение В
(справочное)
Взаимосвязь между ИСО 9001, ИСО 14001, ИСО/МЭК 27001 и настоящим стандартом
В стандартах на системы менеджмента, таких как ИСО 9001, ИСО 14001 или ИСО/МЭК 27001, имеется раздел по документации, состоящий из подразделов, касающихся общего порядка управления документацией и записями, а именно:
a) Общая часть оговаривает перечень документов, включая записи, которые должны быть включены в систему менеджмента.
b) Подраздел по управлению документацией устанавливает требования к подготовке документов, их анализу, утверждению, управлению статусом пересмотра, распространению и наличию, обозначению и предотвращению неправильного использования.
c) Подраздел по управлению записями устанавливает процедуры для подготовки записей, их идентификации, архивации, защиты, поиска, сроков хранения и изъятия из обращения.
Хотя записи представляют собой особый вид документов, определяемый в стандартах системы менеджмента, документы, идентифицируемые или рассматриваемые как записи в каждой системе менеджмента, должны быть управляемыми для удовлетворения требований как к управлению документацией, так и к управлению записями на протяжении всего цикла от подготовки, распространения, использования до изъятия из обращения.
Требования, установленные для управления записями в каждом стандарте на системы менеджмента, являются недостаточными сами по себе для применения и управления записями и документами. Настоящий стандарт дает рекомендации относительно того, как должным образом управлять записями и документами, требуемыми в других системах менеджмента.
Для правильного формирования и управления записями настоящий стандарт определяет процессы управления записями и их назначение, как они должны осуществляться в рамках систем и как выбирать используемые технические средства.
В Таблице В.1 показана взаимосвязь между процессами СМ3 и средствами управления, содержащимися в Приложении А настоящего стандарта и разделах других стандартов на системы менеджмента, касающихся документации.
13
-(Ь
Таблица В.1 — Взаимосвязь между процессами СМ3 и средствами управления | |||||||||||||||||||||||||||||||||||||||||||||||
|
1 Область применения.....................................................................................................................................1
2 Нормативные ссылки.....................................................................................................................................1
3 Термины и определения...............................................................................................................................1
4 Среда организации........................................................................................................................................1
4.1 Понимание внешней и внутренней среды организации...............................................................................1
4.2 Бизнес-требования, законодательные и другие требования......................................................................2
4.3 Определение области применения системы менеджмента записей.........................................................2
5 Лидирующая роль руководства....................................................................................................................3
5.1 Обязательства руководства.............................................................................................................................3
5.2 Политика.............................................................................................................................................................3
5.3 Функции, обязанности и полномочия организации.......................................................................................3
6 Планирование................................................................................................................................................4
6.1 Меры по изучению рисков и возможностей...................................................................................................4
6.2 Цели управления записями и планы по их достижению..............................................................................4
7 Обеспечение..................................................................................................................................................5
7.1 Ресурсы...............................................................................................................................................................5
7.2 Компетентность.................................................................................................................................................5
7.3 Информированность и подготовка..................................................................................................................5
7.4 Обмен информацией........................................................................................................................................5
7.5 Документация.....................................................................................................................................................6
8 Функционирование.........................................................................................................................................6
8.1 Оперативное планирование и контроль.........................................................................................................6
8.2 Проектирование процессов менеджмента записями...................................................................................6
8.3 Внедрение систем записей..............................................................................................................................7
9 Оценка результативности деятельности.....................................................................................................7
9.1 Мониторинг, измерение, анализ и оценивание.............................................................................................7
9.2 Внутренние проверки системы........................................................................................................................8
9.3 Анализ со стороны руководства......................................................................................................................8
10 Улучшение....................................................................................................................................................9
10.1 Управление несоответствиями и корректирующие действия...................................................................9
10.2 Постоянное улучшение...................................................................................................................................9
Приложение А (обязательное) Процессы и средства управления........................................................10
Приложение В (справочное) Взаимосвязь между ИСО 9001, ИСО 14001, ИСО/МЭК 27001
и настоящим стандартом....................................................................................................................13
Приложение С (справочное) Перечень контрольных вопросов для проведения самооценки.............22
Приложение ДА (справочное) Сведения о соответствии ссылочных международных стандартов ссылочным национальным стандартам Российской Федерации
(и действующим в этом качестве межгосударственным стандартам)............................................25
Библиография................................................................................................................................................26
сл
Взаимосвязь между ИСО 9001:2008, ИСО 14001:2004, ИСО/МЭК 27001:2005 |
Процессы управления записями, приведенные в Приложении А настоящего стандарта | |||||||||||
ИСО 9001:2008 |
ИСО 14001:2004 |
ИСО/МЭК 27001:2005 |
Формирование |
Управление | ||||||||
А.1.1 |
А.1.2 |
А.1.3 |
А.1.4 |
А.2.1 |
А.2.2 |
А.2.3 |
А.2.4 |
А.2.5 | ||||
Общее |
е) документы, включая записи, определенные организацией как необходимые для обеспечения результативного планирования, функционирования и управления процессами, которые связаны со значимыми экологическими аспектами |
д)документированные процедуры, необходимые организации для того, чтобы гарантировать результативное планирование, работу и управление ее процессами защиты информации, а также для того, чтобы описать, как измерять результативность средств управления (см. 4.2.3с)); h) записи, требуемые настоящим международным стандартом (см. 4.3.3); i) заявление о применимости Документация должна содержать записи об управленческих решениях, обеспечивать прослеживаемость действия до управленческих решений и принципов деятельности и обеспечивать воспроизводимость зарегистрированных результатов. Важно иметь возможность продемонстрировать зависимость результатов оценки рисков и процесса обработки рисков от выбранных средств управления и, соответственно, политики и целей СМИБ |
Успех функционирования организации в существенной степени зависит от внедрения и поддержания в работоспособном состоянии системы менеджмента, которая предназначена для постоянного улучшения эффективности деятельности и одновременного удовлетворения нужд всех заинтересованных сторон. Системы менеджмента основаны на методологиях, помогающих в принятии решений и в управлении ресурсами для достижения целей организации.
Формирование и ведение записей являются неотъемлемой частью деятельности, процессов и систем любой организации. Они обеспечивают эффективность деятельности, возможность ведения учета, менеджмент рисков и устойчивость функционирования организации. Они также дают возможность организациям извлекать выгоду из ценности своих информационных ресурсов как производственных, коммерческих и интеллектуальных активов и содействовать сохранению коллективной памяти в условиях глобальной и цифровой среды.
Стандарты на системы менеджмента (ССМ) предоставляют возможность высшему руководству применять системный и надежный подход к управлению организацией в условиях, стимулирующих надежную деловую практику.
Стандарты на системы менеджмента записей, разрабатываемые ИСО/ТК 46/ПК 11, призваны помогать организациям всех видов и масштабов или группам организаций, осуществляющих совместную предпринимательскую деятельность, во внедрении, использовании и совершенствовании результативных систем менеджмента записей (далее — СМ3). СМ3 направляет и контролирует организацию с целью выработки политики и определения задач, связанных с ведением записей, и решения этих задач. Это осуществляется за счет использования:
a) строго определенных функций и обязанностей;
b) систематизированных процессов;
c) измерений и оценивания;
d) анализа и совершенствования.
Осуществление политики ведения записей и решение задач, полностью основанных на требованиях организации, будут способствовать формированию достоверной и надежной информации и получению подтверждений о предпринимательской деятельности, ведению такой информации и предоставлению ее тем, кто в ней нуждается, в течение необходимого периода времени. Успешная реализация надежной политики ведения записей и решение соответствующих задач способствуют формированию записей и созданию систем управления записями, отвечающих всем целям организации.
Внедрение СМ3 в организации также гарантирует прозрачность и прослеживаемость решений, принимаемых ответственными руководителями, и осознание общественных интересов.
Стандарты на СМ3 разрабатываются ИСО/ТК 46/ПК 11 в рамках стандартов на системы менеджмента (ССМ) для обеспечения совместимости с другими ССМ и использования общих элементов и методологии. ИСО 15489 и другие международные стандарты и технические отчеты, также разработанные ИСО/ТК 46/ПК 11, служат основными инструментами проектирования, внедрения, мониторинга и совершенствования документооборота и управления записями, осуществляемых в рамках СМ3, когда организации принимают решение о внедрении методологии ССМ.
Примечание — ИСО 15489 является основополагающим стандартом, систематизирующим оптимальные методы ведения записей.
На Рисунке 1 показана структура стандартов на СМ3, разрабатываемых ИСО/ТК 46/ПК 11, которые либо уже опубликованы, либо находятся в стадии подготовки.
Эти стандарты предназначены для использования:
- высшим руководством, принимающим решения о формировании и внедрении систем менеджмента в рамках своей организации;
- персоналом, отвечающим за внедрение СМ3, в частности, специалистами по менеджменту рисков, аудитам, документообороту, информационным технологиям и информационной безопасности.
СМ3 определяет требования и ожидания заинтересованных сторон (потребителей и основных участников) к ведению записей и путем использования необходимых процессов формирует записи, удовлетворяющие этим требованиям и ожиданиям.
На Рисунке 2 показаны структура СМ3 и связи с потребителями и основными партнерами.
Стандарты на системы менеджмента записей Основа корпоративного управления записями
Родственные международные стандарты и технические отчеты Внедрение процессов управления записями
Основные положения |
ИСО 30300 | |||
Системы менеджмента | ||||
и терминология |
записей Основные | |||
положения и словарь | ||||
ИСО 30301 | ||||
Требования |
Системы менеджмента | |||
записей. Требования |
ИСО 15489 Менеджмент записей.
Часть 1 Общие положения
Часть 2. Руководящие указания
| |||||||||||||||
Часть 2. Концепции и вопросы реализации |
исо зозоз
Системы менеджмента записей Требования к органам, проводящим аудит и сертификацию
Часть 3. Метод самооценки
Руководящие указания Опорные структурные элементы высокого уровня
ИСО 30302 Системы менеджмента записей. Руководящие указания по применению
(
ИСОЯО |
ИСО 13008 | |
13028 |
Процесс | |
Руководство |
конверсии | |
по |
и миграции | |
оцифрованию |
цифровых | |
записей |
записей |
ИСО 30304 Системы менеджмента записей. Руководство по оценке
ИСО 16175 Принципы и функциональные требования к записям в электронной офисной среде Часть 1. Обзор и основные принципы
Часть 2. Руководящие указания и функциональные требования к системам менеджмента цифровых записей
Часть 3. Руководящие указания и функциональные требования к записям в бизнес-системах
Требования и ожидания, связанные с менеджментом записей Потребители и основные партнеры |
Потребители и основные партнеры | |
Рисунок 2 — Структура СМ3 |
Верные управленческие решения для достижения политических целей и удовлетворения ожиданий
VI
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
ИНФОРМАЦИЯ И ДОКУМЕНТАЦИЯ Системы менеджмента записей. Требования
Information and documentation — Management systems for records — Requirements
Дата введения — 2015—03—01
Настоящий стандарт устанавливает требования, которым должна отвечать СМ3, чтобы помочь организации в выполнении своих обязательств, назначения, стратегии и достижении целей. Настоящий стандарт касается разработки и реализации политики и целей ведения записей и предоставляет сведения о результатах измерений и мониторинга.
СМ3 может создаваться организацией или группой организаций, осуществляющих совместную предпринимательскую деятельность. Используемый в настоящем стандарте термин «организация» не ограничивается одной организацией, а включает и другие организационные структуры.
Настоящий стандарт применим к любой организации, желающей:
a) сформировать, внедрить, поддерживать в работоспособном состоянии и совершенствовать СМ3 в поддержку своей основной деятельности;
b) удостовериться в правильности проведения своей заявленной политики ведения записей;
c) продемонстрировать соответствие настоящему стандарту путем:
1) проведения самооценки и самодекпарирования;
2) запрашивания подтверждения своего самодекпарирования у сторонней организации;
3) обращения к сторонней организации на предмет проведения сертификации своей СМ3.
Настоящий стандарт может применяться наряду с другими стандартами на системы
менеджмента (ССМ). Он особенно полезен для демонстрации выполнения требований других ССМ к документации и записям.
Приведенный ниже ссылочный документ необходим для использования настоящего стандарта. Для датированных ссылок применяют только ту версию, которая была упомянута в тексте. Для недатированных ссылок необходимо использовать самое последнее издание документа (включая любые поправки).
ИСО 30300 Информация и документация. Системы менеджмента записей. Основные положения и словарь (ISO 30300:2011 Information and documentation. Management systems for records. Fundamentals and vocabulary).
В настоящем стандарте применены термины и определения по ИСО 30300.
При формировании и доработке СМ3 организация должна принимать во внимание соответствующие внешние и внутренние факторы.
Следует документировать внешние и внутренние факторы, выявленные и принимаемые во внимание при формировании и доработке СМ3.
Издание официальное
Понимание внешней среды организации включает в себя помимо прочего:
a) понимание социальных и культурных, правовых, нормативных, финансовых, научно-технических, экономических, природных и конкурентных условий, будь то международные, национальные, региональные или местные;
b) понимание ключевых движущих сил и тенденций, которые могут оказывать влияние на цели организации;
c) понимание взаимосвязей с внешними заинтересованными сторонами и восприятие их ценностей и ожиданий.
Понимание внутренней среды организации включает в себя помимо прочего:
1) методы корпоративного управления, организационную структуру, функции и обязанности;
2) политику, цели, задачи и стратегии, реально действующие и требующие реализации и достижения;
3) возможности с точки зрения ресурсов и знаний (например, капитал, время, персонал, процессы, системы и технологии);
4) информационные системы, информационные потоки и процессы принятия решений (как официальные, так и неофициальные);
5) взаимосвязи с внутренними заинтересованными сторонами, восприятие ими ценностей и культуры организации;
6) стандарты, руководящие положения и модели, принятые в организации;
7) форма и масштабы договорных взаимоотношений.
При установлении и пересмотре своих целей в области ведения записей организация должна принимать во внимание бизнес-требования, законодательные, нормативные и другие требования, относящиеся к формированию записей и управлению ими.
Организация должна оценивать и документировать бизнес-требования, законодательные, нормативные и другие требования, влияющие на ее деятельность, которую она должна выполнять и для выполнения которой требуется свидетельство соответствия.
Бизнес-требования включают все требования к должному выполнению работ или деятельности организации. Требования возникают в связи с текущими показателями деятельности, будущими планами и развитием, управлением рисками и планированием устойчивости функционирования организации.
Законодательные требования включают требования, относящиеся к формированию и ведению записей. Источниками законодательных требований являются:
a) статутное и прецедентное право, включая законы и регламенты, определяющие отраслевую и общую деловую среду;
b) законы и регламенты, относящиеся непосредственно к свидетельствам, записям и архивам, доступу, конфиденциальности, защите данных и информации, а также к электронной торговле;
c) конституционно-правовой статус организаций, уставы или соглашения, стороной в которых является организация;
d) условия договоров и других инструментов, которые организация юридически обязана выполнять.
К другим требованиям относятся неузаконенные добровольные обязательства, которые на себя принимает организация:
- добровольные кодексы лучшей практики;
- добровольные кодексы поведения и корпоративной этики;
- идентифицируемые ожидания сообщества относительно того, что является допустимым поведением для определенной отрасли или организации, включая надлежащее управление, должный контроль за мошенническим или злонамеренным поведением и прозрачность принятия решений.
Организация должна определить и документировать область применения своей системы менеджмента записей.
Область применения СМ3 может охватывать всю организацию, конкретные функциональные подразделения организации, конкретные участки организации или одно, или несколько функциональных подразделений в рамках группы организаций.
2
При создании СМ3 для одного или нескольких конкретных функциональных подразделений в рамках группы организаций, область применения СМ3 должна включать взаимоотношения между субъектами и роль каждого субъекта.
В том случае, когда организация передает стороннему исполнителю любой процесс, влияющий на соответствие требованиям к СМ3, организация должна обеспечить контроль за такими процессами. Управление исполнителями и процессами, переданными сторонним исполнителям, должно быть определено в рамках области применения СМ3.
Высшее руководство должно демонстрировать свои обязательства путем:
- обеспечения совместимости СМ3 со стратегическим направлением организации;
- включения требований к СМ3 в бизнес-процессы организации;
- предоставления ресурсов для создания, внедрения, поддержания в работоспособном состоянии и постоянного улучшения СМ3;
- информирования о значимости результативной СМ3 и выполнения требований к СМ3;
- обеспечения достижения СМ3 намеченных результатов;
- направления и поддержки постоянного совершенствования.
Примечание — Ссылка на «бизнес» в настоящем стандарте имеет широкое толкование и означает ту деятельность, которая является ключевой для обеспечения существования организации.
Высшее руководство должно разрабатывать политику ведения записей. Такая политика должна:
- соответствовать целям организации;
- обеспечивать основу для установления целей управления записями;
- включать обязательство по выполнению действующих требований;
- доводиться до сведения всех работников организации;
- предоставляться заинтересованным сторонам по мере необходимости.
Организация должна сохранять документально оформленную информацию о политике ведения
записей.
Политика ведения записей должна включать стратегические планы высшего уровня в отношении создания и управления достоверными, надежными и пригодными для использования записями, способными обеспечивать выполнение функций и операций организации и защищать целостность этих записей до тех пор, пока они могут потребоваться.
Организация должна обеспечивать доведение политики ведения записей до всех уровней организации и внедрение ее на всех уровнях, а также доведение ее до сведения всех субъектов или лиц (таких как партнеры или подрядчики), работающих с ней или действующих от ее лица.
5.3.1 Общие положения
Высшее руководство должно обеспечить определение, распределение и доведение до всех работников организации, а также до субъектов или отдельных лиц, взаимодействующих с организацией или действующих от ее имени, функций, обязанностей и полномочий, связанных с менеджментом записей.
Обязанности должны распределяться соответствующим образом среди всего персонала в соответствующих подразделениях и на соответствующих уровнях в рамках организации, в частности, среди высшего руководства, руководителей программ, специалистов по ведению записей, специалистов по информационным технологиям, системных администраторов и всех других в соответствии со своими обязанностями, которые формируют записи и управляют ими как частью своей работы.
Лидирующая роль во внедрении СМ3 должна принадлежать конкретному представителю высшего руководства. В тех случаях, когда этого требуют масштабы и сложность организации, а также ее процессы управления записями, конкретная роль должна быть отведена представителю руководства по работе с записями, имеющему специальную подготовку и компетентность. Распределение обязанностей и их взаимосвязи должны быть документированы.
5.3.2 Обязанности руководства
Из состава высшего руководства должен быть назначен конкретный представитель, который, независимо от других обязанностей, должен нести ответственность за:
a) принятие мер по формированию, внедрению и поддержанию в должном состоянии в соответствии с требованиями настоящего стандарта;
b) содействие осведомленности о СМ3 по всей организации;
c) должное распределение функций и обязанностей, определенных в СМ3, и обеспечение компетентности персонала, выполняющего эти функции.
Примечание — В зависимости от сложности структуры организации обязанности могут предоставляться конкретному должностному лицу или группе лиц.
5.3.3 Оперативные обязанности
Высшее руководство организации должно назначить конкретного представителя руководства по работе с записями, который должен выполнять определенную роль, иметь определенные обязанности и полномочия, в том числе:
a) внедрение СМ3 на оперативном уровне;
b) представление отчетов высшему руководству по результативности СМ3 для проведения анализа, включая рекомендации по совершенствованию;
c) установление связей с внешними сторонами по вопросам, касающимся СМ3.
Примечание — Функции представителя руководства и представителя оперативного отдела по работе с записями могут выполняться одним и тем же лицом или группой лиц.
Организация должна анализировать вопросы, приведенные в 4.1, и требования, приведенные в 4.2, и определять риски и возможности, которые должны быть изучены, с целью:
a) обеспечения достижения СМ3 намеченных результатов;
b) предотвращения нежелательных последствий;
c) реализации возможностей для совершенствования.
Организация должна оценивать потребность в планировании мер по изучению таких рисков и возможностей и в соответствующих случаях:
- включать и реализовывать эти меры в процессах СМ3 (см. 8.1);
- обеспечивать наличие информации для оценивания результативности таких мер (см. 9.1).
Высшее руководство должно обеспечивать установление целей управления записями и доведение их до сведения соответствующих функциональных подразделений и уровней в рамках организации.
Цели управления записями должны:
a) соответствовать политике ведения записей;
b) быть измеримыми (при наличии возможности);
c) принимать во внимание действующие требования;
d) подвергаться мониторингу и актуализации по мере необходимости.
Цели управления записями должны определяться на основе анализа деятельности организации. Они должны определять участки, на которых в наибольшей степени возможно применение законодательства, регламентов, других стандартов и оптимальных методов для формирования записей, относящихся к деятельности организации.
Цели управления записями должны учитывать масштабы организации, характер ее деятельности, ее продукцию и услуги, а также местоположение, правовую/административную систему и культурную среду, в которой она функционирует.
Организация должна сохранять документально оформленную информацию, касающуюся целей управления записями.
Для достижения своих целей управления записями организация должна определить:
- кто будет нести ответственность;
- какие шаги будут предприняты;
- какие ресурсы потребуются;