Предисловие

1    ПОДГОТОВЛЕН Открытым акционерным обществом «Всероссийский научно-исследовательский институт сертификации» (ОАО «ВНИИС») на основе собственного аутентичного перевода на русский язык международного стандарта, указанного в пункте 4

2    ВНЕСЕН Техническим комитетом по стандартизации ТК 076 «Системы менеджмента»

3    УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 28 мая 2014 г. № 460-ст

4    Настоящий стандарт идентичен международному стандарту ИСО 30301:2011 «Информация и документация. Системы менеджмента записей. Требования» (ISO 30301:2011 «Information and documentation — Management systems for records — Requirements»).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в справочном Приложении ДА

5    ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в ГОСТ Р 1.0-2012 (Раздел 8). Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе «Национальные стандарты», а текст изменений и поправок — в ежемесячно издаваемых информационных указателях «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (gost.ru).

© Стандартинформ, 2015

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

ГОСТ Р ИСО 30301-2014

-    когда это будет завершено;

-    как будут оцениваться результаты.

7 Обеспечение

7.1    Ресурсы

Высшее руководство должно выделять и обеспечивать наличие ресурсов, необходимых для функционирования СМ3.

Управление ресурсами включает:

a)    наделение ответственностью персонала, способного выполнять функции, определенные в

СМ3;

b)    периодическую проверку компетентности и уровня подготовки такого персонала;

c)    поддержание и устойчивость ресурсов и технической инфраструктуры.

7.2    Компетентность

Организация должна:

a)    определять необходимую компетентность персонала, выполняющего работу под ее управлением, которая влияет на эффективность ее процессов и систем управления записями;

b)    гарантировать наличие у персонала достаточной квалификации как результата полученного образования, подготовки и опыта;

c)    при необходимости принимать меры для приобретения необходимой компетентности и оценивать результативность принимаемых мер;

d)    сохранять соответствующую документированную информацию как свидетельство компетентности.

Примечание — К принимаемым мерам может, в частности, относиться организация подготовки, обучение или назначение на новые должности работников организации или прием на работу, или привлечение для выполнения работ компетентных специалистов.

7.3    Информированность и подготовка

Организация должна обеспечивать осведомленность работников:

a)    о необходимости и значимости их персональной деятельности и о том, как они способствуют достижению целей СМ3;

b)    о важности соответствия политике и процедурам СМ3, а также требованиям системы менеджмента;

c)    о важных аспектах СМ3 и связанных с ними фактических или потенциальных воздействиях на их работу и о преимуществах качественного выполнения рабочих заданий;

d)    об их функциях и обязанностях по выполнению требований СМ3;

e)    о потенциальных последствиях отклонения от установленных процедур.

Организация должна разработать постоянно действующую программу обучения процессу формирования и управления записями. Программы обучения требованиям и методам управления записями должны охватывать весь персонал организации, включая подрядчиков и персонал других организаций в случае необходимости. Требуемая компетенция и квалификация различных специалистов в отношении управления записями должны оцениваться, идентифицироваться и включаться в программы подготовки, разрабатываемые и предоставляемые организацией.

7.4    Обмен информацией

Организация должна разрабатывать, внедрять, документировать и поддерживать в рабочем состоянии процедуры внутреннего обмена информацией о СМ3 и своей политике и целях ведения записей. Внутренний обмен информацией для обеспечения результативности СМ3 должен включать распределение обязанностей, операционные процедуры и доступ к документации.

Организация должна принимать решения о необходимости передачи информации о своей СМ3 другим субъектам (например, при наличии совместных бизнес-процессов). Если принимается решение о передаче информации, организация должна разработать средства передачи информации. В зависимости от уровня взаимодействия с внешними сторонами, такими как подрядчики, заказчики и поставщики, речь может идти о передачи информации о СМ3 и ее целях на высоком уровне или передаче документации о конкретных процедурах.

7.5 Документация

7.5.1    Общие положения

Организация должна документировать свою СМ3. Это включает наличие санкционированных заявлений:

a)    об области применения СМ3;

b)    о политике и целях;

c)    о взаимозависимости и взаимосвязях между СМ3 и другими системами менеджмента организации или между организациями;

d)    о документированных процедурах согласно требованиям настоящего стандарта;

e) о документации, которую организация считает необходимой для обеспечения результативного планирования, функционирования и управления процессами.

Примечания

1    Термин «документированная процедура», который встречается в настоящем стандарте, означает, что процедура была разработана, документирована, внедрена и поддерживается в рабочем состоянии.

2    Объем документации СМ3 может отличаться в зависимости от организации вследствие:

-    масштабов организации и видов деятельности, которой она занимается;

-    границ и сложности внедренных и реализуемых процессов управления записями и систем учетных документов, в том числе в тех случаях, когда в предпринимательской деятельности участвуют несколько организаций.

7.5.2    Управление документацией

Необходимо управлять документацией, которая требуется для функционирования СМ3. Документированная процедура должна определять средства управления, необходимые для:

a)    одобрения документации на предмет адекватности до ее выпуска;

b)    анализа, актуализации и повторного утверждения документации;

c)    обеспечения идентификации изменений и текущего статуса пересмотра документации;

d)    обеспечения наличия в местах использования соответствующих версий действующих документов;

e)    обеспечения удобочитаемости и идентифицируемости документации;

f)    обеспечения идентификации документации внешнего происхождения и управления ее распространением;

д) предотвращения непреднамеренного использования устаревшей документации и идентификации ее как таковой, если она будет использоваться в каких-либо целях.

К документации СМ3 относят записи, ведение которых осуществляется в системе записей. Процедуры формирования и управления документацией СМ3 должны соответствовать общим процедурам формирования и ведения записей (см. 8.2, перечисление с).

8 Функционирование

8.1    Оперативное планирование и контроль

Организация должна определять, планировать и контролировать те процессы, которые необходимы для рассмотрения рисков и возможностей, определяемых в 6.1, и удовлетворения требований, установленных в 6.1, путем:

-    установления критериев для этих процессов;

-    осуществления управления этими процессами в соответствии с заданными критериями;

-    сохранения документально оформленной информации для подтверждения того, что процессы реализуются, как запланировано.

Организация должна контролировать запланированные изменения и анализировать последствия непредусмотренных изменений, принимая меры по снижению любых отрицательных эффектов по мере необходимости.

Организация должна управлять процессами, которые отданы на субподряд или выполняются сторонними организациями.

8.2    Проектирование процессов менеджмента записями

Для создания СМ3 организация должна спроектировать процессы менеджмента записями в соответствии со следующим планом.

6

ГОСТ Р ИСО 30301-2014

a)    Проведение анализа рабочих процессов с целью определения требований к формированию и управлению записей в отношении непрерывных процессов и удовлетворения интересов участвующих сторон, включая отчетность (см. ИСО/ТО 26122).

b)    Оценивание рисков, которые могут возникнуть в связи с невозможностью контролировать подлинные, достоверные и пригодные для использования записи о бизнес-процессах организации:

1)    для оценки уровней рисков;

2)    определения приемлемости рисков на основе установленных критериев или

необходимости управления рисками;

3)    выявления и оценивания возможностей управления рисками.

c)    Определение процессов (см. Приложение А, касающееся процессов управления записями, которые должна использовать организация), способствующих формированию и управлению записями, и порядка их реализации в системах, а также выбор технических средств, подлежащих использованию.

1)    Формирование:

i) установление того, какие записи, когда и как должны быть сформированы и обобщены для каждого бизнес-процесса;

N) определение контентной, контекстной и управляющей информации (метаданных), которая должна быть включена в записи;

Ш) принятие решения о том, в какой форме и структуре должны формироваться и накапливаться записи;

iv) определение подходящих методов формирования и накапливания записей.

2)    Управление:

i) определение того, какая управляющая информация (метаданные) должна формироваться на основании процессов управления записями и как она будет связана с записями и контролироваться стечением времени;

N) установление правил и условий использования записей стечением времени;

iii)    обеспечение пригодности использования записей стечением времени;

iv)    установление порядка санкционированного изъятия записей из обращения;

v)    установление условий, которые должны применяться для ведения и поддержания в рабочем состоянии систем менеджмента записями.

Для достижения этих целей должны применяться процессы и средства управления, приведенные в Приложении А, с учетом ресурсов организации, бизнес-среды и выявленных рисков, а также нормативной и социальной среды.

8.3 Внедрение систем записей

Организация должна осуществлять следующие действия:

a)    внедрять процессы записей в системах записей для достижения установленных целей;

b)    проводить регулярный мониторинг за результативностью функционирования систем записей на основании бизнес-требований и целей ведения записей;

c)    регулировать функционирование систем записей.

Примечание — В условиях электронного обмена данными (например, при администрировании, в государственном и корпоративном управлении, торговле) процессы управления записями будут в большей степени автоматизироваться и обеспечиваться автоматизированными системами ведения записей. Существуют процессуальные нормы определения функциональных требований. Автоматизированные системы ведения записей должны соответствовать функциональным требованиям, совместимым с требованиями настоящего стандарта.

9 Оценка результативности деятельности

9.1    Мониторинг, измерение, анализ и оценивание

9.1.1    Организация должна определять:

-    что подлежит измерению и мониторингу;

-    методы проведения мониторинга, измерения, анализа и оценивания, исходя из реальной ситуации, для получения обоснованных результатов;

-    когда должны проводиться мониторинг и измерение;

-    когда должен проводиться анализ результатов мониторинга и измерения.

9.1.2    Организация должна оценивать результативность процессов и систем записей и результативность СМ3.

7

Помимо этого организация должна:

a)    в случае необходимости принимать меры в отношении негативных тенденций или результатов до возникновения несоответствия;

b)    сохранять соответствующую документально оформленную информацию как свидетельство полученных результатов.

9.1.3 Для оценки результативности СМ3 организация должна проводить мониторинг и, в зависимости от обстоятельств, измерение следующих составляющих по мере необходимости:

a)    политики ведения записей, чтобы убедиться в том, что она отражает текущие деловые потребности и актуализируется в случае любых значимых перемен в организации;

b)    целей ведения записей, чтобы убедиться в том, что они согласуются с политикой ведения записей, являются достижимыми, действующими и способствуют постоянному совершенствованию;

c)    изменений в бизнес-требованиях, законодательных и прочих требованиях, влияющих на СМ3;

d)    наличия и достаточности ресурсов, включая финансовые, человеческие, инфраструктурные, научно-технические и др.;

e)    адекватности назначений и распределения функций, обязанностей и полномочий;

f) результативности деятельности лиц, несущих ответственность за внедрение СМ3, представление отчетов по СМ3 и расширение информированности о СМ3;

д) результативности    выполнения    процессов и    функционирования систем согласно

поставленным целям;

h)    достаточности документации и должной реализации процедур управления записями;

i)    результативности систем записей для достижения стратегических, управленческих и финансовых целей организации с использованием мер, определяемых при внедрении систем

записей;

j)    результативности программ подготовки и расширения информированности о СМ3 и стратегии обмена информацией;

k)    удовлетворенности пользователей и основных партнеров.

В Приложении С приведены примеры оценки и измерения показателей в виде перечня контрольных вопросов для проведения самооценки.

Критерии мониторинга и измерения должны формироваться согласно изменениям в социальном, экономическом, стратегическом или правовом контексте организации.

9.2    Внутренние проверки системы

Организация должна проводить внутренние проверки через запланированные промежутки времени для получения информации, помогающей определить, насколько СМ3:

a)    отвечает:

1)    собственным требованиям организации к СМ3,

2)    требованиям настоящего стандарта;

b)    результативно используется и поддерживается в работоспособном состоянии.

Организация должна:

-    планировать, реализовывать и поддерживать в рабочем состоянии программы проведения проверок с учетом их периодичности, методов проведения, обязанностей, требований к планированию и отчетности, а также принимать во внимание важность используемых процессов и результатов предыдущих проверок;

-    устанавливать критерии проведения проверок и область каждой проверки;

-    выбирать аудиторов и проводить проверки для обеспечения объективности и беспристрастности процесса аудита;

-    обеспечивать доведение результатов проверок до соответствующих руководителей;

-    сохранять документально оформленную информацию как свидетельство полученных результатов.

9.3    Анализ со стороны руководства

Высшее руководство должно проверять функционирование СМ3 организации через запланированные промежутки времени для обеспечения ее постоянной пригодности, адекватности и результативности.

Анализ со стороны руководства должен касаться:

a)    реализации мер, принятых по результатам предыдущих анализов со стороны руководства;

b)    изменений во внешних и внутренних аспектах, относящихся к СМ3;

8

ГОСТ Р ИСО 30301-2014

c)    информации о результативности функционирования процессов и систем записей, включая тенденции в:

1)    несоответствиях и корректирующих действиях;

2)    результатах оценивания мониторинга и измерения;

3)    результатах проверок;

d)    возможностей для постоянного совершенствования.

В результате анализа со стороны руководства должны приниматься решения, касающиеся возможностей для постоянного совершенствования и возможной необходимости внесения изменений в СМ3.

Организация должна сохранять документально оформленную информацию как свидетельство результатов анализов со стороны руководства.

10 Улучшение

10.1    Управление несоответствиями и корректирующие действия

Организация должна:

-    выявлять несоответствия;

-    реагировать на несоответствия и, в случае необходимости:

-    принимать меры по управлению несоответствиями, их сдерживанию и исправлению;

-    устранять последствия.

Организация также должна оценивать необходимость в принятии мер по устранению причин несоответствий, включая:

a)    анализ несоответствий;

b)    определение причин несоответствий;

c)    выявление наличия потенциальных аналогичных несоответствий где-либо еще в СМ3;

d)    оценивание потребности в принятии мер по предотвращению повторного возникновения несоответствий или их возникновения где-либо еще;

e)    определение и реализация требуемых мер;

f)    проверка результативности принятых корректирующих мер;

д) внесение изменений в СМ3 в случае необходимости.

Корректирующие действия должны соответствовать последствиям возникающих несоответствий.

Организация должна сохранять документированную информацию как свидетельство:

1)    характера несоответствий и любых принимаемых последующих мер;

2)    результатов корректирующих действий.

10.2    Постоянное улучшение

Организация должна постоянно улучшать результативность СМ3 путем использования политики ведения записей, целей, результатов проверок, анализа данных, корректирующих и предупреждающих действий и оценивания, проводимого руководством.

Очередность мер по улучшению должна устанавливаться согласно результатам оценки рисков (см. 6.1).

9

Приложение А

(обязательное)

Процессы и средства управления

Настоящее приложение дает представление о процессах и средствах управления записями, которые должны быть реализованы. Реализация может осуществляться дифференцировано в соответствии с характеристиками организации. Решение о неприменении какого-либо процесса должно быть обосновано (например, организация может решить не применять процесс А.2.4.3 «Передача», приведенный в Таблице А.1, поскольку не планируется передача ее записей другой организации).

Процессы и средства управления записями были сгруппированы и пронумерованы в Таблице А.1 согласно целям, приведенным в 8.2, перечисление с) 1) «Формирование» и 8.2, перечисление с) 2) «Управление». По каждому процессу управления записями предлагается одно или несколько средств управления.

Таблица А.1 — Процессы и средства управления записями

№№ Процесс управления Средства управления А.1 Формирование А. 1.1 Определение того, какие записи, когда и как должны быть сформированы и обобщены для каждого бизнес-процесса А.1.1.1 Определение потребности в информации Все операционные, отчетные, аудиторские и прочие потребности участвующих сторон в информации (обобщенной в качестве записей с соответствующими метаданными) о процессах организации должны систематически выявляться и документироваться А.1.1.2 Определение требований Требования к формированию, обобщению и менеджменту записей и решения не накапливать записи для конкретных процессов должны определяться на основании бизнес-требований, законодательных и иных требований, документально оформленных и санкционированных А.1.1.3 Формирование достоверных записей Записи должны формироваться на момент (или вскоре после) транзакции или особой ситуации, к которой они относятся частными лицами, обладающими непосредственным знанием фактов или средствами, повседневно используемыми организацией для проведения транзакции А.1.1.4 Определение сроков хранения Должна быть разработана процедура для определения сроков хранения записей согласно требованиям каждого рабочего процесса А.1.1.5 Разработка графика изъятия из обращения Решения относительно сохранения и изъятия записей из обращения, основанные на бизнес-требованиях, законодательных и иных требованиях, должны быть документально оформлены в графике изъятия из обращения А.1.1.6 Определение методов интегрированного обобщения Должны быть выбраны и документированы методы интеграции обобщенных записей с бизнес-процессами А. 1.2 Определение контентной, контекстной и управляющей информации (метаданных), которая подлежит включению в записи А.1.2.1 Идентификация контекстуальной и описательной информации Должна быть определена и документирована как часть требований к записям информация, необходимая для идентификации записей каждого рабочего процесса, включая идентификацию подразделения организации, ответственного за эти записи и рабочие процессы А.1.2.2 Идентификация точек извлечения информации Точки, в которых происходит извлечение контекстуальной информации или ее добавление в записи, а также источники такой информации должны быть идентифицированы в процедурах по каждому рабочему процессу

Продолжение Таблицы А. 1

№№ Процесс управления Средства управления А.1.3 Принятие решения о том, в какой форме и структуре должны формироваться и накапливаться записи А.1.3.1 Определение конкретных требований Должна быть идентифицирована и документирована информация, а также форма и структура информации, требуемой в качестве записей для каждого рабочего процесса А.1.4 Определение подходящих технических средств формирования и обобщения записей А.1.4.1 Выбор технических средств Для каждого рабочего процесса должны быть выбраны технические средства формирования и обобщения записей (автоматизированные или ручные). Выбор и любое изменение технических средств подлежат документированию А.2 Управление А.2.1 Определение того, какая управляющая информация (метаданные) должна быть сформирована на основе процессов записей и как она будет увязана с записями и управляться с течением времени А.2.1.1 Регистрация Для рабочих процессов, требующих свидетельство сбора данных, должна применяться процедура регистрации записей путем присвоения им индивидуального идентификатора на момент обобщения записей. Данная процедура должна обеспечивать отсутствие каких-либо транзакций с участием записей до завершения регистрации А.2.1.2 Классификация Записи должны быть сгруппированы (классифицированы) согласно рабочим процессам, к которым они относятся А.2.1.3 Классификация Схема группирования (классифицирования) записей, отражающая природу, количество и сложность рабочих процессов организации, должна быть документирована (включая изменения во времени) и реализована как часть процедур этих рабочих процессов А.2.1.4 Отбор управляющей информации (элементов метаданных) Описательная и управляющая информация (элементы метаданных), требуемая для формирования записей по каждому рабочему процессу и управления ими, должна быть идентифицирована и документирована А.2.1.5 Определение хронологии событий Должны быть определены процессы управления записями, которые должны быть зафиксированы в метаданных и увязаны с хронологией событий. Должны быть разработаны процедуры для увязки хронологии событий с записями и сохранены в течение того же времени, что и записи А.2.1.6 Управление записями в рамках организации Решения относительно того, какие метаданные требуются для идентификации, контролирования и управления записями на всех уровнях организации и вне ее, должны быть документированы и реализованы А.2.2 Установление правил и условий для использования записей стечением времени А.2.2.1 Разработка правил доступа Должны быть разработаны правила для регулирования доступа к записям на основе требований к рабочим процессам, соответствующего законодательства и, если это целесообразно, коммерческих соображений. Правила должны быть документированы и должны действовать так долго, как требуются записи А.2.2.2 Реализация правил доступа Правила доступа должны реализовываться в системах записей путем присвоения статуса доступа как записям, так и исполнителям А.2.3 Сохранение применимости записей стечением времени А.2.3.1 Сохранение целостности и аутентичности Должны быть реализованы процедуры, обеспечивающие целостность и защиту записей и предотвращающие несанкционированное использование, внесение изменений, изъятия, сокрытие и (или) уничтожение

Окончание Таблицы А. 1

№№ Процесс управления Средства управления А.2.3.2 Сохранение применимости Средства ведения/хранения записей должны отвечать соответствующим стандартам для используемых носителей и технологий, чтобы обеспечивать их дальнейшую применимость в течение требуемого срока А.2.3.3 Сохранение применимости Должны быть разработаны и внедрены процедуры для обеспечения доступности и полноценности цифровых записей с течением времени, также вне контекста их формирования А.2.3.4 Пределы и ограничения Ограничения, включая использование кодирования, должны быть сняты по истечению указанного периода времени А.2.4 Осуществление санкционированного изъятия записей из обращения А.2.4.1 Осуществление изъятия из обращения Должны быть разработаны процедуры для анализа, санкционирования и реализации решений относительно сохранения и изъятия записей из обращения по каждому рабочему процессу А.2.4.2 Санкционирование изъятия из обращения Решения относительно передачи, изъятия или уничтожения записей должны быть санкционированы и документированы А.2.4.3 Передача Должны быть разработаны и реализованы процедуры для санкционированной и контролируемой передачи записей другой организации или системе А.2.4.4 Изъятия Должны быть разработаны и реализованы процедуры для санкционированного, регулярного изъятия записей, которые больше не требуются, включая их перенос в удаленное хранилище или в автономное хранилище данных А.2.4.5 Сохранение информации об уничтоженных записях В тех случаях, когда характер и сложность деятельности и официальное ведение учета требуют этого, должна сохраняться управляющая информация (регистрация, идентификация и хронологические метаданные) о записях, которые были уничтожены А.2.5 Создание условий для ведения и поддержания в работоспособном состоянии систем записей А.2.5.1 Идентификация систем записей Все системы записей (включая бизнес-системы, хранящие записи) должны быть четко обозначены, закреплены за ответственным владельцем и документированы в описи, которая регулярно актуализируется А.2.5.2 Документирование внедренческих решений Внедренческие решения по системам записей должны документироваться, должно обеспечиваться их выполнение, и они должны предоставляться всем пользователям, которым они требуются А.2.5.3 Доступ к системам записей Должны быть разработаны, документированы и соблюдаться правила для регулирования доступа к системам записей с целью выполнения задач по системному администрированию А.2.5.4 Обеспечение доступности Должны быть разработаны процедуры по текущему техническому обслуживанию для обеспечения доступности систем записей А.2.5.5 Обеспечение результативности Должен осуществляться и документироваться регулярный мониторинг результативности систем записей на соответствие бизнес-требованиям и целям А.2.5.6 Обеспечение целостности Должны быть предусмотрены процедуры для обеспечения и подтверждения того, что любой отказ, любая модернизация или регулярное обслуживание системы не влияют на целостность записей А.2.5.7 Управление изменениями Изменения в системах записей, в частности, особые операции (такие как миграция, интегрирование новых требований, изменение или прерывание компьютерных технологий) должны анализироваться, планироваться и реализовываться. Все принимаемые решения должны документироваться

В Приложении В рассматривается взаимосвязь между настоящим стандартом и ИСО 9001, ИС014001 и ИСО/МЭК 27001 и сопоставляются общие разделы, касающиеся управления документами и записями в этих международных стандартах со средствами управления записями, приведенными в Таблице А.1.

ГОСТ Р ИСО 30301-2014

Приложение В

(справочное)

Взаимосвязь между ИСО 9001, ИСО 14001, ИСО/МЭК 27001 и настоящим стандартом

В стандартах на системы менеджмента, таких как ИСО 9001, ИСО 14001 или ИСО/МЭК 27001, имеется раздел по документации, состоящий из подразделов, касающихся общего порядка управления документацией и записями, а именно:

a)    Общая часть оговаривает перечень документов, включая записи, которые должны быть включены в систему менеджмента.

b)    Подраздел по управлению документацией устанавливает требования к подготовке документов, их анализу, утверждению, управлению статусом пересмотра, распространению и наличию, обозначению и предотвращению неправильного использования.

c)    Подраздел по управлению записями устанавливает процедуры для подготовки записей, их идентификации, архивации, защиты, поиска, сроков хранения и изъятия из обращения.

Хотя записи представляют собой особый вид документов, определяемый в стандартах системы менеджмента, документы, идентифицируемые или рассматриваемые как записи в каждой системе менеджмента, должны быть управляемыми для удовлетворения требований как к управлению документацией, так и к управлению записями на протяжении всего цикла от подготовки, распространения, использования до изъятия из обращения.

Требования, установленные для управления записями в каждом стандарте на системы менеджмента, являются недостаточными сами по себе для применения и управления записями и документами. Настоящий стандарт дает рекомендации относительно того, как должным образом управлять записями и документами, требуемыми в других системах менеджмента.

Для правильного формирования и управления записями настоящий стандарт определяет процессы управления записями и их назначение, как они должны осуществляться в рамках систем и как выбирать используемые технические средства.

В Таблице В.1 показана взаимосвязь между процессами СМ3 и средствами управления, содержащимися в Приложении А настоящего стандарта и разделах других стандартов на системы менеджмента, касающихся документации.

13

ГОСТ Р ИСО 30301-2014

Содержание

1    Область применения.....................................................................................................................................1

2    Нормативные ссылки.....................................................................................................................................1

3    Термины и определения...............................................................................................................................1

4    Среда организации........................................................................................................................................1

4.1    Понимание внешней и внутренней среды организации...............................................................................1

4.2    Бизнес-требования, законодательные и другие требования......................................................................2

4.3    Определение области применения системы менеджмента записей.........................................................2

5    Лидирующая роль руководства....................................................................................................................3

5.1    Обязательства руководства.............................................................................................................................3

5.2    Политика.............................................................................................................................................................3

5.3    Функции, обязанности и полномочия организации.......................................................................................3

6    Планирование................................................................................................................................................4

6.1    Меры по изучению рисков и возможностей...................................................................................................4

6.2    Цели управления записями и планы по их достижению..............................................................................4

7    Обеспечение..................................................................................................................................................5

7.1    Ресурсы...............................................................................................................................................................5

7.2    Компетентность.................................................................................................................................................5

7.3    Информированность и подготовка..................................................................................................................5

7.4    Обмен информацией........................................................................................................................................5

7.5    Документация.....................................................................................................................................................6

8    Функционирование.........................................................................................................................................6

8.1    Оперативное планирование и контроль.........................................................................................................6

8.2    Проектирование процессов менеджмента записями...................................................................................6

8.3    Внедрение систем записей..............................................................................................................................7

9    Оценка результативности деятельности.....................................................................................................7

9.1    Мониторинг, измерение, анализ и оценивание.............................................................................................7

9.2    Внутренние проверки системы........................................................................................................................8

9.3    Анализ со стороны руководства......................................................................................................................8

10    Улучшение....................................................................................................................................................9

10.1    Управление несоответствиями и корректирующие действия...................................................................9

10.2    Постоянное улучшение...................................................................................................................................9

Приложение А (обязательное)    Процессы    и средства управления........................................................10

Приложение В (справочное) Взаимосвязь между ИСО 9001, ИСО 14001, ИСО/МЭК 27001

и настоящим стандартом....................................................................................................................13

Приложение С (справочное)    Перечень контрольных вопросов для проведения самооценки.............22

Приложение ДА (справочное) Сведения о соответствии ссылочных международных стандартов ссылочным национальным стандартам Российской Федерации

(и действующим в этом качестве межгосударственным стандартам)............................................25

Библиография................................................................................................................................................26

Введение

Успех функционирования организации в существенной степени зависит от внедрения и поддержания в работоспособном состоянии системы менеджмента, которая предназначена для постоянного улучшения эффективности деятельности и одновременного удовлетворения нужд всех заинтересованных сторон. Системы менеджмента основаны на методологиях, помогающих в принятии решений и в управлении ресурсами для достижения целей организации.

Формирование и ведение записей являются неотъемлемой частью деятельности, процессов и систем любой организации. Они обеспечивают эффективность деятельности, возможность ведения учета, менеджмент рисков и устойчивость функционирования организации. Они также дают возможность организациям извлекать выгоду из ценности своих информационных ресурсов как производственных, коммерческих и интеллектуальных активов и содействовать сохранению коллективной памяти в условиях глобальной и цифровой среды.

Стандарты на системы менеджмента (ССМ) предоставляют возможность высшему руководству применять системный и надежный подход к управлению организацией в условиях, стимулирующих надежную деловую практику.

Стандарты на системы менеджмента записей, разрабатываемые ИСО/ТК 46/ПК 11, призваны помогать организациям всех видов и масштабов или группам организаций, осуществляющих совместную предпринимательскую деятельность, во внедрении, использовании и совершенствовании результативных систем менеджмента записей (далее — СМ3). СМ3 направляет и контролирует организацию с целью выработки политики и определения задач, связанных с ведением записей, и решения этих задач. Это осуществляется за счет использования:

a)    строго определенных функций и обязанностей;

b)    систематизированных процессов;

c)    измерений и оценивания;

d)    анализа и совершенствования.

Осуществление политики ведения записей и решение задач, полностью основанных на требованиях организации, будут способствовать формированию достоверной и надежной информации и получению подтверждений о предпринимательской деятельности, ведению такой информации и предоставлению ее тем, кто в ней нуждается, в течение необходимого периода времени. Успешная реализация надежной политики ведения записей и решение соответствующих задач способствуют формированию записей и созданию систем управления записями, отвечающих всем целям организации.

Внедрение СМ3 в организации также гарантирует прозрачность и прослеживаемость решений, принимаемых ответственными руководителями, и осознание общественных интересов.

Стандарты на СМ3 разрабатываются ИСО/ТК 46/ПК 11 в рамках стандартов на системы менеджмента (ССМ) для обеспечения совместимости с другими ССМ и использования общих элементов и методологии. ИСО 15489 и другие международные стандарты и технические отчеты, также разработанные ИСО/ТК 46/ПК 11, служат основными инструментами проектирования, внедрения, мониторинга и совершенствования документооборота и управления записями, осуществляемых в рамках СМ3, когда организации принимают решение о внедрении методологии ССМ.

Примечание — ИСО 15489 является основополагающим стандартом, систематизирующим оптимальные методы ведения записей.

На Рисунке 1 показана структура стандартов на СМ3, разрабатываемых ИСО/ТК 46/ПК 11, которые либо уже опубликованы, либо находятся в стадии подготовки.

Эти стандарты предназначены для использования:

-    высшим руководством, принимающим решения о формировании и внедрении систем менеджмента в рамках своей организации;

-    персоналом, отвечающим за внедрение СМ3, в частности, специалистами по менеджменту рисков, аудитам, документообороту, информационным технологиям и информационной безопасности.

СМ3 определяет требования и ожидания заинтересованных сторон (потребителей и основных участников) к ведению записей и путем использования необходимых процессов формирует записи, удовлетворяющие этим требованиям и ожиданиям.

На Рисунке 2 показаны структура СМ3 и связи с потребителями и основными партнерами.

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

ИНФОРМАЦИЯ И ДОКУМЕНТАЦИЯ Системы менеджмента записей. Требования

Information and documentation — Management systems for records — Requirements

Дата введения — 2015—03—01

1    Область применения

Настоящий стандарт устанавливает требования, которым должна отвечать СМ3, чтобы помочь организации в выполнении своих обязательств, назначения, стратегии и достижении целей. Настоящий стандарт касается разработки и реализации политики и целей ведения записей и предоставляет сведения о результатах измерений и мониторинга.

СМ3 может создаваться организацией или группой организаций, осуществляющих совместную предпринимательскую деятельность. Используемый в настоящем стандарте термин «организация» не ограничивается одной организацией, а включает и другие организационные структуры.

Настоящий стандарт применим к любой организации, желающей:

a)    сформировать, внедрить, поддерживать в работоспособном состоянии и совершенствовать СМ3 в поддержку своей основной деятельности;

b)    удостовериться в правильности проведения своей заявленной политики ведения записей;

c)    продемонстрировать соответствие настоящему стандарту путем:

1)    проведения самооценки и самодекпарирования;

2)    запрашивания подтверждения своего самодекпарирования у сторонней организации;

3)    обращения к сторонней организации на предмет проведения сертификации своей СМ3.

Настоящий стандарт может применяться наряду с другими стандартами на системы

менеджмента (ССМ). Он особенно полезен для демонстрации выполнения требований других ССМ к документации и записям.

2    Нормативные ссылки

Приведенный ниже ссылочный документ необходим для использования настоящего стандарта. Для датированных ссылок применяют только ту версию, которая была упомянута в тексте. Для недатированных ссылок необходимо использовать самое последнее издание документа (включая любые поправки).

ИСО 30300 Информация и документация. Системы менеджмента записей. Основные положения и словарь (ISO 30300:2011 Information and documentation. Management systems for records. Fundamentals and vocabulary).

3    Термины и определения

В настоящем стандарте применены термины и определения по ИСО 30300.

4    Среда организации

4.1 Понимание внешней и внутренней среды организации

При формировании и доработке СМ3 организация должна принимать во внимание соответствующие внешние и внутренние факторы.

Следует документировать внешние и внутренние факторы, выявленные и принимаемые во внимание при формировании и доработке СМ3.

Издание официальное

Понимание внешней среды организации включает в себя помимо прочего:

a)    понимание социальных и культурных, правовых, нормативных, финансовых, научно-технических, экономических, природных и конкурентных условий, будь то международные, национальные, региональные или местные;

b)    понимание ключевых движущих сил и тенденций, которые могут оказывать влияние на цели организации;

c)    понимание взаимосвязей с внешними заинтересованными сторонами и восприятие их ценностей и ожиданий.

Понимание внутренней среды организации включает в себя помимо прочего:

1)    методы корпоративного управления, организационную структуру, функции и обязанности;

2)    политику, цели, задачи и стратегии, реально действующие и требующие реализации и достижения;

3)    возможности с точки зрения ресурсов и знаний (например, капитал, время, персонал, процессы, системы и технологии);

4)    информационные системы, информационные потоки и процессы принятия решений (как официальные, так и неофициальные);

5)    взаимосвязи с внутренними заинтересованными сторонами, восприятие ими ценностей и культуры организации;

6)    стандарты, руководящие положения и модели, принятые в организации;

7)    форма и масштабы договорных взаимоотношений.

4.2    Бизнес-требования, законодательные и другие требования

При установлении и пересмотре своих целей в области ведения записей организация должна принимать во внимание бизнес-требования, законодательные, нормативные и другие требования, относящиеся к формированию записей и управлению ими.

Организация должна оценивать и документировать бизнес-требования, законодательные, нормативные и другие требования, влияющие на ее деятельность, которую она должна выполнять и для выполнения которой требуется свидетельство соответствия.

Бизнес-требования включают все требования к должному выполнению работ или деятельности организации. Требования возникают в связи с текущими показателями деятельности, будущими планами и развитием, управлением рисками и планированием устойчивости функционирования организации.

Законодательные требования включают требования, относящиеся к формированию и ведению записей. Источниками законодательных требований являются:

a)    статутное и прецедентное право, включая законы и регламенты, определяющие отраслевую и общую деловую среду;

b)    законы и регламенты, относящиеся непосредственно к свидетельствам, записям и архивам, доступу, конфиденциальности, защите данных и информации, а также к электронной торговле;

c)    конституционно-правовой статус организаций, уставы или соглашения, стороной в которых является организация;

d)    условия договоров и других инструментов, которые организация юридически обязана выполнять.

К другим требованиям относятся неузаконенные добровольные обязательства, которые на себя принимает организация:

-    добровольные кодексы лучшей практики;

-    добровольные кодексы поведения и корпоративной этики;

-    идентифицируемые ожидания сообщества относительно того, что является допустимым поведением для определенной отрасли или организации, включая надлежащее управление, должный контроль за мошенническим или злонамеренным поведением и прозрачность принятия решений.

4.3    Определение области применения системы менеджмента записей

Организация должна определить и документировать область применения своей системы менеджмента записей.

Область применения СМ3 может охватывать всю организацию, конкретные функциональные подразделения организации, конкретные участки организации или одно, или несколько функциональных подразделений в рамках группы организаций.

2

ГОСТ Р ИСО 30301-2014

При создании СМ3 для одного или нескольких конкретных функциональных подразделений в рамках группы организаций, область применения СМ3 должна включать взаимоотношения между субъектами и роль каждого субъекта.

В том случае, когда организация передает стороннему исполнителю любой процесс, влияющий на соответствие требованиям к СМ3, организация должна обеспечить контроль за такими процессами. Управление исполнителями и процессами, переданными сторонним исполнителям, должно быть определено в рамках области применения СМ3.

5 Лидирующая роль руководства

5.1    Обязательства руководства

Высшее руководство должно демонстрировать свои обязательства путем:

-    обеспечения совместимости СМ3 со стратегическим направлением организации;

-    включения требований к СМ3 в бизнес-процессы организации;

-    предоставления ресурсов для создания, внедрения, поддержания в работоспособном состоянии и постоянного улучшения СМ3;

-    информирования о значимости результативной СМ3 и выполнения требований к СМ3;

-    обеспечения достижения СМ3 намеченных результатов;

-    направления и поддержки постоянного совершенствования.

Примечание — Ссылка на «бизнес» в настоящем стандарте имеет широкое толкование и означает ту деятельность, которая является ключевой для обеспечения существования организации.

5.2    Политика

Высшее руководство должно разрабатывать политику ведения записей. Такая политика должна:

-    соответствовать целям организации;

-    обеспечивать основу для установления целей управления записями;

-    включать обязательство по выполнению действующих требований;

-    доводиться до сведения всех работников организации;

-    предоставляться заинтересованным сторонам по мере необходимости.

Организация должна сохранять документально оформленную информацию о политике ведения

записей.

Политика ведения записей должна включать стратегические планы высшего уровня в отношении создания и управления достоверными, надежными и пригодными для использования записями, способными обеспечивать выполнение функций и операций организации и защищать целостность этих записей до тех пор, пока они могут потребоваться.

Организация должна обеспечивать доведение политики ведения записей до всех уровней организации и внедрение ее на всех уровнях, а также доведение ее до сведения всех субъектов или лиц (таких как партнеры или подрядчики), работающих с ней или действующих от ее лица.

5.3    Функции, обязанности и полномочия организации

5.3.1 Общие положения

Высшее руководство должно обеспечить определение, распределение и доведение до всех работников организации, а также до субъектов или отдельных лиц, взаимодействующих с организацией или действующих от ее имени, функций, обязанностей и полномочий, связанных с менеджментом записей.

Обязанности должны распределяться соответствующим образом среди всего персонала в соответствующих подразделениях и на соответствующих уровнях в рамках организации, в частности, среди высшего руководства, руководителей программ, специалистов по ведению записей, специалистов по информационным технологиям, системных администраторов и всех других в соответствии со своими обязанностями, которые формируют записи и управляют ими как частью своей работы.

Лидирующая роль во внедрении СМ3 должна принадлежать конкретному представителю высшего руководства. В тех случаях, когда этого требуют масштабы и сложность организации, а также ее процессы управления записями, конкретная роль должна быть отведена представителю руководства по работе с записями, имеющему специальную подготовку и компетентность. Распределение обязанностей и их взаимосвязи должны быть документированы.

5.3.2    Обязанности руководства

Из состава высшего руководства должен быть назначен конкретный представитель, который, независимо от других обязанностей, должен нести ответственность за:

a)    принятие мер по формированию, внедрению и поддержанию в должном состоянии в соответствии с требованиями настоящего стандарта;

b)    содействие осведомленности о СМ3 по всей организации;

c)    должное распределение функций и обязанностей, определенных в СМ3, и обеспечение компетентности персонала, выполняющего эти функции.

Примечание — В зависимости от сложности структуры организации обязанности могут предоставляться конкретному должностному лицу или группе лиц.

5.3.3    Оперативные обязанности

Высшее руководство организации должно назначить конкретного представителя руководства по работе с записями, который должен выполнять определенную роль, иметь определенные обязанности и полномочия, в том числе:

a)    внедрение СМ3 на оперативном уровне;

b)    представление отчетов высшему руководству по результативности СМ3 для проведения анализа, включая рекомендации по совершенствованию;

c)    установление связей с внешними сторонами по вопросам, касающимся СМ3.

Примечание — Функции представителя руководства и представителя оперативного отдела по работе с записями могут выполняться одним и тем же лицом или группой лиц.

6 Планирование

6.1    Меры по изучению рисков и возможностей

Организация должна анализировать вопросы, приведенные в 4.1, и требования, приведенные в 4.2, и определять риски и возможности, которые должны быть изучены, с целью:

a)    обеспечения достижения СМ3 намеченных результатов;

b)    предотвращения нежелательных последствий;

c)    реализации возможностей для совершенствования.

Организация должна оценивать потребность в планировании мер по изучению таких рисков и возможностей и в соответствующих случаях:

-    включать и реализовывать эти меры в процессах СМ3 (см. 8.1);

-    обеспечивать наличие информации для оценивания результативности таких мер (см. 9.1).

6.2    Цели управления записями и планы по их достижению

Высшее руководство должно обеспечивать установление целей управления записями и доведение их до сведения соответствующих функциональных подразделений и уровней в рамках организации.

Цели управления записями должны:

a)    соответствовать политике ведения записей;

b)    быть измеримыми (при наличии возможности);

c)    принимать во внимание действующие требования;

d)    подвергаться мониторингу и актуализации по мере необходимости.

Цели управления записями должны определяться на основе анализа деятельности организации. Они должны определять участки, на которых в наибольшей степени возможно применение законодательства, регламентов, других стандартов и оптимальных методов для формирования записей, относящихся к деятельности организации.

Цели управления записями должны учитывать масштабы организации, характер ее деятельности, ее продукцию и услуги, а также местоположение, правовую/административную систему и культурную среду, в которой она функционирует.

Организация должна сохранять документально оформленную информацию, касающуюся целей управления записями.

Для достижения своих целей управления записями организация должна определить:

-    кто будет нести ответственность;

-    какие шаги будут предприняты;

-    какие ресурсы потребуются;