Приложение В (справочное). Взаимосвязь между ИСО 9001, ИСО 14001, ИСО/МЭК 27001 и ИСО 30301. Национальный стандарт РФ ГОСТ Р 7.0.101-2018/ИСО 30301:2011 "Система стандартов по информации, библиотечному и издательскому делу. Информация и документация. Системы управления документами. Требования" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 30.01.2018 N 34-ст)

Приложение В
(справочное)

Взаимосвязь между ИСО 9001, ИСО 14001, ИСО/МЭК 27001 и ИСО 30301

Каждый стандарт на системы управления (ССУ), такой как ИСО 9001, 14001 ИСО/МЭК 27001 имеет раздел, посвященный документации. Он состоит из подразделов, содержащих общие положения по управлению документированной информацией и управлению документами, как приведено ниже.

a) Раздел, содержащий общие положения, определяет перечень объектов документированной информации, включая документы, которые должны быть включены в систему управления.

b) Раздел, посвященный управлению документированной информацией, содержит требования к ее подготовке, рассмотрению, согласованию, управлению статусом, распределению и доступности, идентификации и предотвращению неправомерного использования.

c) Раздел, посвященный управлению документами, определяет необходимость подготовки процедур по подготовке, идентификации, хранению, защите, поиску, определению сроков хранения, отбору и передаче документов на последующее хранение или уничтожение.

Поскольку документы представляют собой особый тип документированной информации, как определено в рамках ССУ документированная информация, которая идентифицирована или определена как документы каждой системы управления, должна быть управляема и контролируема для удовлетворения требований, предъявляемых как к документированной информации, так и документам, начиная с подготовки, распределения, использования до экспертизы ценности и передачи на последующее хранение или уничтожение.

Требования к управлению документами, содержащиеся в каждом ССУ, недостаточны для внедрения и управления документами и документированной информацией. Настоящий стандарт содержит руководство по управлению документами и документируемой информацией, требуемыми иными соответствующими системами управления.

Для надлежащего создания и управления документами настоящий стандарт определяет процессы управления документами и их цели, их действие в системах, а также выбор технологических средств для их использования.

В таблице В.1, приведенной ниже, показаны взаимосвязи между процессами СУД и элементами управления, описанными в приложении А, и разделами, закрепляющими требования к документации в иных стандартах на системы управления (ССУ).

Таблица В.1

N

Взаимосвязь между ИСО 9001, ИСО 14001, ИСО/МЭК 27001 и ИСО 30301

Документные процессы согласно приложению А ИСО 30300

ИСО 9001

ИСО 14001

ИСО/МЭК 27001

Создание

Управление (контроль)

А.1.1

А.1.2

А.1.3

А.1.4

А.2.1

А.2.2

А.2.3

А.2.4

А.2.5

Общие положения

4.2 Требования к документации 4.2.1 Общие положения Документация системы управления качеством должна включать: a) документально зафиксированные положения политики и целей в области качества; b) руководство по качеству; c) документально зафиксированные процедуры, предусмотренные настоящим стандартом; d) документированную информацию, включая документы, необходимые организации для обеспечения эффективного планирования, функционирования и контроля за ее процессами

4.4.4 Документация Документация системы управления окружающей средой должна включать: a) политику, цели и задачи в области экологии; b) описание области применения системы экологического менеджмента; c) описание основных элементов системы экологического менеджмента и ее взаимодействия, а также ссылки на связанные документы; d) документированную информацию, включая документы, предусмотренные настоящим стандартом; e) документированную информацию, включая документы, определенные организацией для обеспечения эффективного планирования, функционирования и контроля за ее процессами, которые относятся к значимым экологическим аспектам

4.3 Требования к документации 4.3.1 Общие положения Документация СМИБ должна включать: a) документально зафиксированные положения политики и целей СМИБ [см. 4.2.1b)]; b) область применения СМИБ [см. 4.2.1а)]; c) процедуры и средства управления для обеспечения функционирования СМИБ; d) описание методологии оценки риска [см. 4.2.1с)]; e) отчет об оценке риска [см. 4.2.1с-4.2.1g)]; f) план по работе с рисками [см. 4.2.2b)]; g) документально зафиксированные процедуры, необходимые организации для обеспечения эффективного планирования, функционирования и контроля за ее процессами информационной безопасности, а также для описания измерения эффективности средств управления [см. 4.2.3с)]; h) документы, предусмотренные настоящим стандартом (см. 4.3.3); i) положение о применении

*

Управление документацией

Документация должна включать документы, фиксирующие управленческие решения, гарантируя соответствие действий управленческим решениям и политике, а также воспроизводимость записанных результатов. Важно продемонстрировать связь между выбранными средствами управления, результатами оценки риска и процесса работы с рисками, а также политикой и целями СМИБ

*

*

*

Управление документацией

4.2.3 Управление документированной информацией Документированная информация, предусмотренная системой управления качеством, должна быть управляема и контролируема. Документы представляют собой особый тип документированной информации, и ими необходимо управлять согласно требованиям, приведенным в п. 4.2.4. Должна быть разработана и документально зафиксирована процедура для определения средств управления, необходимых для согласования документированной информации до ее применения [4.2.3.а)]

4.4.5 Управление документированной информацией Документированная информация, предусмотренная системой управления окружающей средой и настоящим стандартом, должна быть управляема и контролируема. Документы представляют собой особый тип документированной информации, которым необходимо управлять согласно требованиям, приведенным в п. 4.5.4. Организация должна разработать, внедрить, сохранить процедуру(ы) для согласования документированной информации до ее применения [4.4.5.а)]

4.3.2 Управление документированной информацией Для документированной информации, предусмотренной СМИБ, необходимо управлять, обеспечить защиту и контролировать ее. Должна быть разработана и документально зафиксирована процедура для определения средств управления, необходимых для согласования документированной информации до момента ее применения [4.3.2.а)]

*

*

Управление документацией

Для анализа и актуализации документированной информации, а также в случае необходимости ее повторного согласования [4.2.3.b)]. Для обеспечения определения изменений и текущего статуса действия документированной информации [4.2.3.c)]

Должна анализировать и актуализировать документированную информацию в случае необходимости, а также ее повторного согласования [4.4.5.b)]. Должна обеспечивать определение изменений и текущего статуса действия документированной информации [4.4.5.c)]

Анализ и актуализация документированной информации в случае необходимости, а также ее повторного согласования [4.3.2.b)]. Обеспечение определения изменений и текущего статуса действия документированной информации [4.3.2.c)]

*

*

*

Для обеспечения актуальной документированной информации на момент ее применения [4.2.3.d)]

Должна обеспечивать действие актуальной документированной информации на момент применения [4.4.5.d)]

Обеспечение применения актуальной документированной информации [4.3.2.d)]

*

*

Для обеспечения сохранности документированной информации, удобной для восприятия и легко идентифицируемой [4.2.3.е)]

Должна обеспечивать сохранность документированной информации, удобной для восприятия и легко идентифицируемой [4.4.5.е)]

Обеспечение сохранности документированной информации, удобной для восприятия и легко идентифицируемой [4.3.2.е)]

*

*

*

Для обеспечения идентификации входящей документированной информации (документированной информации внешнего происхождения) и контроля за ее распределением [4.2.3.f)]

Должна обеспечивать определение для организации входящей документированной информации (документированной информации внешнего происхождения), необходимой для планирования и функционирования системы управления окружающей средой, а также обеспечения контроля за распределением документированной информации [4.4.5.f)]

Обеспечение определения необходимой для организации входящей документированной информации (документированной информации внешнего происхождения) [4.3.2.g)] Обеспечение контроля за распределением документированной информации [4.3.2.h)]

*

*

*

Управление документацией

Для предотвращения непреднамеренного применения недействующей документированной информации, а также указания соответствующих реквизитов, если она подлежит хранению в каких-либо целях [4.2.3.g)]

Должна предотвратить непреднамеренное применение недействующей документированной информации, а также указать соответствующие реквизиты хранения в определенных целях [(4.4.5.g)]

Предотвращение непреднамеренного применения недействующей документированной информации [4.3.2.i)]. Указание соответствующих реквизитов, хранение в определенных целях [4.3.2.j)]

*

*

*

Обеспечение доступности документированной информации для тех, кому она необходима, а также ее перемещение (передача), обеспечение сохранности и последующего хранения в соответствии с предусмотренными процедурами согласно классификации документированной информации (4.3.2.f)]

*

*

4.2.4 Управление документами Необходимо создавать и обеспечивать сохранность документов для подтверждения соответствия требованиям и осуществления эффективного функционирования системы управления качеством

4.5.4 Управление документами Организация должна создавать и обеспечивать сохранность документов в случаях необходимости предоставления подтверждения требованиям ее системы управления окружающей средой и настоящему стандарту, а также достигнутых результатов (4.5.4)

4.3.3 Управление документами Необходимо создавать и обеспечивать сохранность документов для подтверждения соответствия установленным требованиям и осуществления эффективного функционирования СМИБ. Документы должны быть защищены и контролируемы (4.3.3)

*

*

*

Документы должны оставаться удобными для восприятия, легко идентифицируемыми и доступными в результате поиска (4.2.4)

Документы должны оставаться удобными для восприятия, легко идентифицируемыми и доступными в результате поиска (4.5.4)

Документы должны оставаться удобными для восприятия, легко идентифицируемыми и доступными в результате поиска (4.3.3)

*

*

*

*

Управление документацией

Следует разработать и документально зафиксировать процедуру по определению средств управления, необходимых для идентификации, хранения, защиты, поиска, определения сроков хранения, отбора на дельнейшее хранение или уничтожение документов (4.2.4)

Организация должна разработать, внедрить и сохранить процедуру(ы), регламентирующую(ие) вопросы идентификации, хранения, защиты, поиска, определения сроков хранения, отбора на дельнейшее хранение или уничтожение документов (4.5.4)

Необходимо документально зафиксировать и внедрить средства управления, необходимые для идентификации, хранения, защиты, поиска, определения сроков хранения, отбора на дельнейшее хранение или уничтожения документов (4.3.3)

*

*

*

*

*

*

СМИБ должна принимать во внимание законодательные и нормативные требования, а также контрактные обязательства (4.3.3)

*

Документы о функционировании процесса согласно 4.2, а также обо всех случаях, связанных со значимыми инцидентами безопасности, относящимися к СМИБ (4.3.3), должны быть сохранены

*

*