В настоящем приложении представлены документные процессы и средства управления документами (включая управленческие действия в отношении документов), которые следует внедрить. Они могут быть осуществлены в порядке, который наилучшим образом отражает характеристики организации. Решение не внедрять какой-либо процесс должно быть оправдано (например, организация может решить не внедрять А.2.4.3, потому что передача документов в другую организацию не запланирована).
Документные процессы и средства управления документами сгруппированы и пронумерованы в таблице А.1 согласно целям, перечисленным в 8.2 с), 1) и 8.2 с), 2).
Документные процессы перечислены в левой колонке. Для каждого документного процесса предусмотрено одно либо более управленческое действие, которое следует предпринять в отношении документов.
|
N
|
Процесс
|
Средства управления документами
|
|
А.1
|
Создание
|
|
А.1.1
|
Определение того, какие, когда и каким образом должны быть созданы и введены в систему документы для каждого делового процесса
|
|
А.1.1.1
|
Определение потребности в информации
|
Все текущие потребности в информации, необходимость в предоставлении отчетности, информации по аудитам и иные потребности заинтересованных сторон в информации о процессах организации (введенные в систему в качестве документов и соответствующих им метаданным) должны быть идентифицированы и документированы
|
|
А.1.1.2
|
Определение требования
|
Требования по созданию, введению в систему и управлению документами, а также решения не вводить в систему документы для особых процессов должны быть определены, задокументированы и основаны на деловых, правовых и иных нормах
|
|
А.1.1.3
|
Создание достоверных документов
|
Документы должны быть созданы во время совершения операции (либо сразу после нее) или события, к которому они относятся, лицами, которые обладают непосредственными знаниями о фактах или инструментах, регулярно применяемых организацией для совершения этих операций
|
|
А.1.1.4
|
Определение сроков хранения
|
Должна быть установлена процедура по определению сроков хранения документов в соответствии с требованиями каждого рабочего процесса
|
|
А.1.1.5
|
Разработка номенклатуры дел
|
Сроки хранения документов, основанные на деловых, правовых и иных идентифицированных требованиях, должны быть документально зафиксированы в номенклатуре дел
|
|
А.1.1.6
|
Определение методов совместного включения в систему
|
Методы интеграции процессов введения документов в систему с деловыми процессами должны быть задокументированы
|
|
А.1.2
|
Определение содержания, контекста и информации об управлении (метаданных), которые должны являться частью документов
|
|
А.1.2.1
|
Идентификация контекстуальной и описательной информации
|
Информация, необходимая для идентификации документов каждого рабочего процесса, включая идентификацию структурного подразделения организации, ответственного за указанные документы и соответствующий рабочий процесс, должна быть определена и документально зафиксирована как часть требований к документам
|
|
А.1.2.2
|
Идентификация точек ввода
|
Точки (моменты), в которых контекстуальная информация вводится или добавляется в документы, а также ресурсы, которые для этого применяются, должны быть идентифицированы в процедурах для каждого рабочего процесса в отдельности
|
|
А.1.3
|
Решите в какой форме и структуре документы должны быть созданы и введены в систему
|
|
А.1.3.1
|
Идентификация особых требований
|
Информация, а также форма и структура информации, требуемая как документ для каждого рабочего процесса, должна быть идентифицирована и задокументирована
|
|
А.1.4
|
Определение соответствующих технологий для создания и введения документов в систему
|
|
А.1.4.1
|
Выбор технологии
|
Технологии для создания и введения документов в систему должны быть отобраны для каждого рабочего процесса (ручного либо автоматизированного). Выбор и все изменения технологий должны быть задокументированы
|
|
А.2
|
Управление и контроль
|
|
А.2.1
|
Определение, какая контрольная информация (метаданные) должна быть создана в рамках документных процессов и каким образом она будет связана с документами и управляема в течение времени
|
|
А.2.1.1
|
Регистрация
|
Для рабочих процессов, которые требуют подтверждения введения в систему, должна быть внедрена процедура регистрации документов путем присвоения уникального идентификатора в момент введения в систему. Процедура должна гарантировать, что документ не будет применяться в работе до завершения его регистрации
|
|
А.2.1.2
|
Систематизация
|
Документы должны быть систематизированы согласно рабочим процессам, к которым они относятся
|
|
А.2.1.3
|
Классификация
|
Схемы группирования (классификации) документов, отражающие природу, количество и сложность рабочих процессов организации, должны быть документированы (включая изменения, происходящие с течением времени) и внедрены как часть процедур этих рабочих процессов
|
|
А.2.1.4
|
Выбор контрольной информации (элементов метаданных)
|
Описательная и контрольная информация (элементов метаданных), необходимая для создания и управления документами, должна быть идентифицирована и документирована для каждого рабочего процесса
|
|
А.2.1.5
|
Определение истории события
|
Должны быть определены документные процессы, которые необходимо зафиксировать в метаданных, связанных с историей событий документа. Должны быть разработаны процедуры для того, чтобы связать историю событий и документы, а также обеспечить ее сохранность в течение времени хранения документов, с которыми она связана
|
|
А.2.1.6
|
Управление документами в организации
|
Решения о том, какие метаданные необходимы для идентификации, управления и контроля за документами внутри организации или вне ее, необходимо документально зафиксировать и внедрить
|
|
А.2.2
|
Установление правил и условий для использования документов в течение времени
|
|
А.2.2.1
|
Разработка правил доступа
|
Для регулирования доступа к документам должны быть установлены правила, основанные на требованиях рабочего процесса, соответствующего законодательства и, в случае необходимости, коммерческих соображений. Их следует документально зафиксировать и соблюдать в течение срока хранения документов
|
|
А.2.2.2
|
Внедрение правил доступа
|
Должны быть внедрены правила доступа к документным системам с определением прав доступа как к самим документам, так и для сотрудников
|
|
А.2.3
|
Обеспечение сохранности документов, пригодных для пользования
|
|
А.2.3.1
|
Сохранение целостности и аутентичности
|
Должны быть внедрены процедуры, обеспечивающие целостность/безопасность документов, а также предотвращение их несанкционированного использования, модификации, перемещения, сокрытия и/или уничтожения
|
|
А.2.3.2
|
Сохранение пригодности для использования
|
Средства обеспечения сохранности/хранения документов должны соответствовать установленным стандартам для носителей информации и технологий, применяемых для обеспечения сохранности документов, их пригодности для использования в течение установленного периода времени
|
|
А.2.3.3
|
Сохранение удобства и простоты для использования
|
Должны быть разработаны и внедрены процедуры для обеспечения доступности и (информационной) значимости цифровых документов в течение времени, в том числе вне контекста их создания
|
|
А.2.3.4
|
Снятие ограничения
|
После установленного периода времени ограничения должны быть сняты, включая снятие кодировок (снятие грифа секретности или ограничения использования)
|
|
А.2.4
|
Установление правил официального отбора и передачи документов на хранение или уничтожение
|
|
А.2.4.1
|
Внедрение отбора и передачи
|
Должны быть разработаны процедуры для проведения анализа документов и принятия решений об отборе и передаче на последующее хранение или уничтожение документов каждого рабочего процесса в отдельности
|
|
А.2.4.2
|
Придание официального статуса отбору и передаче
|
Решения о передаче, перемещении или уничтожении документов должны быть авторизованы (иметь официальный статус) и документально зафиксированы
|
|
А.2.4.3
|
Передача
|
Процедуры по официальной и контролируемой передаче документов в иную организацию или по их перемещению в иную систему должны быть разработаны и внедрены
|
|
А.2.4.4
|
Перемещение
|
Необходимо разработать и внедрить процедуры по официальному регулярному изъятию документов, которые не требуются в оперативной деятельности, включающие их перенос в удаленное хранилище или в автономное хранилище данных
|
|
А.2.4.5
|
Уничтожение (удаление)
|
Документы, официально выделенные к уничтожению, должны быть уничтожены под соответствующим руководством. Уничтожение документов должно быть документально зафиксировано
|
|
А.2.4.6
|
Сохранение информации об удаленных документах
|
Если в соответствии с характером, сложностью деятельности и обязанностью необходимо предоставлять отчетность, то информация об управлении уничтоженным документом (метаданные о регистрации, идентификации и истории) подлежит сохранению
|
|
А.2.5
|
Установление условий для администрирования и обеспечения сохранности документных систем
|
|
А.2.5.1
|
Идентификация документных систем
|
Все документные системы (включая бизнес-системы, которые хранят документы) должны быть четко идентифицированы, подчинены ответственному лицу и быть документально зафиксированными в описи дел (номенклатуре дел, табеле форм), которую необходимо постоянно обновлять
|
|
А.2.5.2
|
Документирование решения о внедрении
|
Решения о внедрении документных систем должны быть документально зафиксированы, их необходимо хранить и обеспечить доступ к ним для заинтересованных пользователей
|
|
А.2.5.3
|
Оценка документных систем
|
Должны быть разработаны, документально зафиксированы и сохранены правила по распределению доступа к документным системам для выполнения задач по администрированию системы
|
|
А.2.5.4
|
Обеспечение доступности
|
Для обеспечения доступности документных систем должны быть разработаны процедуры для обеспечения их текущей сохранности
|
|
А.2.5.5
|
Обеспечение результативности
|
Должен быть внедрен и документирован регулярный мониторинг работы документных систем согласно требованиям деловой деятельности, а также целям в области документов
|
|
А.2.5.6
|
Обеспечение целостности
|
Существующие процедуры должны гарантировать и демонстрировать, что любые неисправности, обновления или регулярные действия по сохранению системы не отразятся на целостности документов
|
|
А.2.5.7
|
Управление изменениями
|
Изменения в документных системах, особенно исключительные мероприятия (такие как миграция, интеграция новых требований, изменение компьютерных технологий либо приостановка действия системы) должны быть проанализированы, запланированы, внедрены. Решения об этом должны быть документально зафиксированы
|
В приложении В отражена взаимосвязь между СУД и ИСО 9001, ИСО 14001 и ИСО/МЭК 27001. В нем приведено сравнение основных положений по управлению документами, указанных стандартов и инструментов управления документами, представленных в таблице А.1.
