Приложение В (справочное). Контрольные вопросы для выявления областей неопределенности. Национальный стандарт РФ ГОСТ Р 57551-2017/ISO/TR 18128:2014 "Информация и документация. Оценка рисков для документных процессов и систем" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 20.07.2017 N 731-ст)

Приложение В
(справочное)

Контрольные вопросы
для выявления областей неопределенности

Примечание - Данное приложение представляет собой пример списка контрольных вопросов (контрольного списка), который организация может использовать на регулярной основе для выявления изменений и областей неопределенности, появившихся в течение установленного периода времени (например, ежегодно).

В.1 Внешние факторы

В.1.1 Общественно-политический контекст

Внедрен ли в организации процесс мониторинга изменений во внешних условиях ее деятельности?

Фиксируются ли в ходе проводимого организацией мониторинга изменения в следующих областях:

a) изменения в законодательно-нормативной базе, влияющие на требования к документам?

b) изменения в государственной политике, затрагивающие требования к документам, документные процессы и системы?

c) новые кодексы практики или изменения в стандартах, касающихся документных процессов и систем?

d) изменения потребностей в связанных с документами услугах?

e) изменения ожиданий заинтересованных сторон в отношении документов?

Имели ли место в прошедшем году какие-либо события или изменения внешних обстоятельств, которые повлияли на репутацию организации или общественный статус?

В.1.2 Макроэкономическая и технологическая среда

Имели ли место в прошедшем году какие-либо изменения в форме собственности, структуре или функциях организации?

Имели ли место изменения в выручке, клиентской базе, иные изменения деловой среды, которые повлияли на требования к документам?

Были ли изменения в нормативном регулировании или в частоте и характере судебных споров?

Имело ли место технологическое развитие общества в целом, потенциально способное повлиять на организацию?

В.1.3 Физическая среда и инфраструктура

Учтены ли при планировании действий по обеспечению готовности к чрезвычайным ситуациям региональные и местные экстремальные погодные явления и другие стихийные бедствия?

Учтены ли при планировании действий по обеспечению готовности к чрезвычайным ситуациям техногенные катастрофические события (акты войны или терроризма, крупные аварии)?

Готова ли организация на случай перебоев с оказанием услуг, способных повлиять на документные системы и на хранения документов?

В.1.4 Внешние угрозы безопасности

Являются ли адекватными меры информационной безопасности, используемые для защиты документных систем от несанкционированного доступа и/или намеренного причинения вреда?

Является ли адекватной система физической безопасности мест и систем хранения документов организации (как в бумажном, так и в электронном виде) и проводятся ли регулярные проверки ее состояния?

Ведется ли надлежащий мониторинг и регулярная проверка безопасности ИТ-систем организации?

Есть ли у организации планы на случай возможных перебоев с получением необходимых для документных систем услуг и сервисов третьих сторон?

В.2 Внутренние факторы

В.2.1 Организационные изменения

Установлена ли во всех подразделениях организации задокументированная ответственность за документы (например, назначены их владельцы)?

Внедрены ли процедуры для управления передачей и миграцией документов, а также объединением систем вслед за изменениями в структуре организации?

В случаях передачи документов или смены их владельца, были ли затем права доступа согласованы соответствующими сторонами и задокументированы?

Есть ли возможность легко объединить документные системы с другими системами в случае, если произойдут крупные изменения в структуре организации и характере ее деятельности?

Имеется ли адекватная документация на документные системы (включая унаследованные), и является ли она доступной?

Включены ли надлежащие договорные условия относительно права собственности на документы, контроля над ними и отслеживания сроков их хранения в контракты и соглашения об использовании аутсорсинга, облачных услуг и перевода в офшоры (офшоринга)?

Как отразится на организации изменение условий в контрактах на оказание третьими сторонами услуг по поддержке/управлению документными системами?

Внедрен ли процесс регулярного пересмотра и обновления политик и процедур, относящихся к документным системам?

Были ли при планировании предусмотрены резервы на случай решения проблем, связанных с потерей ключевых сотрудников, отвечавших за документные системы и процессы?

Внедрены ли для документных систем процедуры реагирования на связанные с персоналом изменения (т.е. на обучение, изменение оплаты труда и сокращение численности)?

Имеется ли процедура пересмотра и обновления планов обеспечения готовности к действиям в нештатных ситуациях вслед за проведением организационных изменений?

В.2.2 Технологические изменения

Могут ли технологические изменения повлиять на функциональную совместимость (интероперабельность) документных систем с другими системами?

Совместимы ли меняющиеся технологии с используемыми в данный момент платформами документных систем и операционными системами?

Является ли процедура проведения миграции документов/систем актуальной, документированной и адекватной?

Имеются ли процессы, обеспечивающие полноту миграции метаданных документов при внедрении новых технологий, и проводится ли проверка на предмет порчи или утраты информации при миграции?

Внедрены ли процессы, предотвращающие как несанкционированное уничтожение, так и избыточно длительное хранение переставших быть нужными документов в случаях, когда проводится миграция или обновление систем?

Внедрена ли процедура для управления изменениями конфигурации документных систем и процессов?

Является ли актуальным и задокументированным распределение ответственности за изменения конфигурации документных систем, процессов и мер и средств контроля и управления?

Обеспечивается ли надлежащее управление проектом внедрения изменений в технологии, влияющие на документные системы?

Адекватно ли текущие политики отражают новые технологии по мере их внедрения организацией?

Осознают ли ИТ-специалисты и руководители, когда внедряют новые технологии, какие последствия те повлекут для документных систем и системной документации?

Способна ли существующая технологическая инфраструктура организации обеспечить поддержку технологических изменений в документных системах?

В.2.3 Ресурсы: люди и компетенции

Является ли текущая численность персонала достаточной для выполнения документных процессов и управления документными системами?

Адекватно ли информирован персонал организации о политиках и процессах, связанных с документами?

Поддерживает ли высшее руководство деятельность по управлению документами?

Рассматривает ли высшее руководство риски для документных процессов и систем как риски для всей организации, которые необходимо снижать или устранять?

Включаются ли в должностные инструкции, где это уместно, обязанности и ответственность за работу с документами?

Влияет ли текущая или достижимая способность реагировать на изменения во внешней нормативно-правовой среде на политику и процедуры организации по управлению документами?

Являются ли обязанности системных администраторов документных систем по отношению к пользователям этих систем четко определенными и задокументированными?

Обеспечивают ли существующие процессы передачу важнейших знаний, навыков и умений вести оперативную деятельность среди ответственного за документы персонала?

Доступна ли для ответственного за документы персонала программа непрерывного обучения?

Ведется ли мониторинг уровня знаний, навыков и компетенций ответственного за документы персонала?

В.2.4 Ресурсы: финансовые и материальные ресурсы

Адекватно ли финансируется управление документами для достижения целей соответствующей политики и для выполнения в организации процедур управления документами?

Обеспечиваются ли адекватное финансирование и поддержка документных систем, в том числе их обновление и техническое обслуживание?

В.3 Документные системы

В.3.1 Архитектура систем

Включает ли системная документация определение того, что представляют собой все элементы документов?

Имеется ли адекватная документация на метаданные и процессы в системе?

Обеспечено ли адекватное управление в документной системе и документирование всех требований в отношении сроков хранения?

Все ли документные процессы, которыми управляет система, идентифицированы и документированы?

Соответствует ли выбранная технология размеру, сложности и характеру деятельности организации?

Обеспечивает ли технология адекватную поддержку функциональных возможностей документной системы?

Зависит ли система от поддержки поставщика, является ли договор об оказании услуг действующим, и достаточно ли четко определены эти услуги?

Является ли адекватной документация поставщика, охватывает ли она все необходимые элементы и схемы кодирования?

В.3.2 Техническое обслуживание и поддержка

Часто ли происходят изменения в конструкции систем и иных их аспектах, таких как безопасность?

Существуют ли в организации адекватные процедуры управления изменениями, обеспечивающие авторизованность, плановость и контролируемость изменений в системах?

Являются ли уровень квалификации системных администраторов и их понимание требований к документам в системах надлежащими и актуальными?

Проводится ли регулярный анализ способности поставщиков систем поддерживать их в актуальном состоянии?

Является ли документация на процедуры технического обслуживания и поддержки документных систем доступной, регулярно пересматриваемой и обновляемой?

Осуществляется ли мониторинг и документирование отказов и ненормального функционирования технологий, влияющих на работу документных систем?

Является ли документация на технические системы доступной и актуальной?

Проводится ли регулярное тестирование и пересмотр процессов резервного копирования и восстановления для документных систем?

Являются ли эти процессы документированными?

В.3.3 Жизнестойкость и непрерывность функционирования

Проводится ли регулярный мониторинг и анализ функционирования документных систем в увязке с изменениями во внешнем и внутреннем контексте, влияющими на требования организации к документам?

Анализируются ли данные мониторинга качества функционирования документных систем с целью обновления требований к документам или внесения в них иных изменений?

Проводилась ли оценка финансовых ресурсов, требующихся для адекватного внедрения и поддержания документных систем, и для привлечения соответственно компетентного персонала к управлению этими системами?

Выявила ли организация все системы, которые создают документы, хранят их и управляют ими?

Документируются ли надлежащим образом спецификации документных систем, и являются ли они доступными?

Установлены ли и задокументированы ли процедуры оперативного технического обслуживания?

Документируются ли решения, принимаемые в ходе внедрения документных систем, обеспечивается ли их сохранность и доступность всем тем пользователям, которым они нужны?

Проводится ли регулярное тестирование способности документных систем поддерживать пригодность документов к использованию?

Ведется ли регулярный мониторинг и подготовка отчетности об эксплуатационных показателях документных систем, в сопоставлении с поставленными перед ними целями?

Существует ли установленная процедура управления миграцией документов в новую документную систему?

Имеется ли у документных систем проверенная возможность импорта документов из унаследованных систем или из иных деловых систем?

Ведется ли мониторинг и управление изменениями в других системах, от которых данная документная система зависит либо с которыми она связана иным образом?

В случае использования услуг внешних поставщиков, таких как услуги облачного хранения, проводилось ли тестирование возможности экспорта документов и их обратного включения в собственные документные системы организации?

Проводится ли регулярный анализ истории событий в документных системах, и обеспечивается ли надлежащее управление их зависимостями от других систем?

Охватывает ли планирование обеспечения непрерывности деятельности конкретно документные системы?

Способствуют ли документные системы обеспечению непрерывности деятельности путем предоставления доступа к документам в случае чрезвычайных ситуаций?

Имеются ли планы действий в чрезвычайных ситуациях, предусматривающие управление случаями перебоев в работе сервисов, обслуживающих документные системы?

В.3.4 Интероперабельность

Выявила ли организация требования к интероперабельности (функциональной совместимости) между деловыми системами и системами, в которых хранятся документы; были ли подготовлены соответствующие спецификации?

Обеспечено ли выявление, документирование и надлежащее управление зависимостями документных систем от внешних источников данных или от иных систем, включая внешние услуги и сервисы, такие как услуги облачного хранения?

Использует ли организация, в целях выполнения выявленных требований к интероперабельности, совместимые стандарты или спецификации, чтобы обеспечить устойчивый обмен документами между соответствующими системами?

Организован ли мониторинг и надлежащее управление изменениями (такими как обновления программного обеспечения) в системах, от которых документные системы зависят или с которыми им необходимо взаимодействовать?

Адекватно ли документируется обмен документами между системами в метаданных обеих систем, управляется ли он надлежащим образом?

В.3.5 Безопасность

Соответствие мер и средств обеспечения информационной безопасности, описанных в ИСО/МЭК 27001, и положений настоящего стандарта, установлено в приложении С.

Примечание - Приложения B-D в ИСО/МЭК 27005 также содержат примеры областей неопределенности, применимые в отношении любой информационной системы.

Адекватно ли в политике безопасности (информационной безопасности) организации отражены вопросы безопасности документов, документных процессов и систем?

Обеспечивается ли на практике соблюдение и документирование ограничений прав пользователей на доступ, создание и модификацию документов?

Внедрены ли процедуры безопасности, обеспечив