ГОСТ Р 54471-2011/ISO/TR 15801:2009

     

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Системы электронного документооборота

УПРАВЛЕНИЕ ДОКУМЕНТАЦИЕЙ. ИНФОРМАЦИЯ, СОХРАНЯЕМАЯ В ЭЛЕКТРОННОМ ВИДЕ

Рекомендации по обеспечению достоверности и надежности

Electronic records management systems. Document management. Information stored electronically. Recommendations for trustworthiness and reliability

ОКС 37.080:25.040.40

Дата введения 2012-08-01

     

Предисловие

Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании", а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 "Стандартизация в Российской Федерации. Основные положения"

Сведения о стандарте

1 ПОДГОТОВЛЕН Обществом с ограниченной ответственностью "Электронные Офисные Системы (проектирование и внедрение)" на основе собственного аутентичного перевода на русский язык стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 459 "Информационная поддержка жизненного цикла изделий"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 18 октября 2011 г. N 466-ст

4 Настоящий стандарт идентичен техническому отчету ИСО/ТО 15801-2009* "Управление документацией. Информация, сохраняемая в электронном виде. Рекомендации по обеспечению достоверности и надежности" (ISO/TR 15801-2009 "Document management - Information stored electronically - Recommendations for trustworthiness and reliability").

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5 (пункт 3.5).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении ДА

5 ВВЕДЕН ВПЕРВЫЕ

Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе "Национальные стандарты", а текст изменений и поправок - в ежемесячно издаваемых информационных указателях "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет

Введение

Настоящий стандарт содержит описание рекомендуемой практики электронного хранения деловой и иной информации в электронной форме. Выполнение приведенных рекомендаций полезно для организации даже когда достоверность хранимой информации не оспаривается.

Информация в виде цифровых объектов берет свое начало из многих источников. Настоящий стандарт применим к электронным объектам в любой форме, от традиционных отсканированных графических образов, электронных таблиц и подготовленных в текстовых редакторах документов и до более "современных" форм, таких как электронная почта, веб-контент, мгновенные сообщения, файлы чертежей, подготовленных в системах автоматизированного проектирования, блоги, вики и т.д.

Пользователи настоящего стандарта должны понимать, что реализация данных рекомендаций не обеспечивает автоматической приемлемости электронной информации в качестве доказательств. В тех случаях, когда электронная информация может потребоваться в суде, применяющим настоящий стандарт лицам и организациям рекомендуется обратиться за юридической консультацией, чтобы уточнить, какие именно законодательные и нормативные требования на них распространяются.

В стандарте описаны меры и средства, с помощью которых в любое время можно продемонстрировать, что контент конкретного электронного объекта, созданного или существующего в компьютерной системе, не изменился с момента его создания в этой системе или с момента импорта в нее.

Независимо от того, каким был оригинальный формат информации, можно будет доказать, что сохраненная в надежной системе информация надежно и устойчиво воспроизводится и что она точно, без каких-либо существенных изменений, отражает то, что было первоначально сохранено.

В тех случаях, когда на законных основаниях возможна подготовка других версий информации (например, новой редакции договора), новые версии рассматриваются как новые электронные объекты. Такой же подход может применяться и тогда, когда в среде автоматизации деловых процессов (workflow-среде) в документ вносятся существенные изменения.

Системы управления информацией могут хранить в электронном виде как информацию, так и документы (в соответствии с определением, приведенным в ГОСТ Р ИСО 15489-1). Настоящий стандарт описывает меры и средства, позволяющие сохранять все виды электронной информации надежным и заслуживающим доверия образом. В случае хранения документов требования настоящего стандарта могут использоваться совместно с требованиями ГОСТ Р ИСО 15489-1 с тем, чтобы обеспечить согласованность использования описанных в стандарте политик и процедур с предусмотренными в стандарте ГОСТ Р ИСО 15489-1.

Пользователям следует применять настоящий стандарт совместно с законами, нормативными правовыми актами и иными документами, устанавливающими обязательные для исполнения требования на федеральном, региональном, муниципальном и отраслевом уровнях.

     1 Область применения

Настоящий стандарт описывает порядок внедрения и эксплуатации систем управления информацией и документами, которые могут рассматриваться как надежно, заслуживающим доверия образом, хранящие электронную информацию.

Настоящий стандарт может применяться в любой организации, которая использует систему управления информацией для сохранения во времени аутентичной, надежной и пригодной к использованию/читаемой электронной информации. Такие системы включают в себя политики, процедуры, технологии и требования к аудиту, обеспечивающие поддержание целостности электронной информации при хранении.

Настоящий стандарт не охватывает процессы, используемые для оценки аутентичности информации до ее сохранения либо импорта в систему. Настоящий стандарт, однако, может использоваться для доказательства того, что с момента сохранения информации в системе выдаваемая системой информация будет верным и точным воспроизведением оригинала.

В рамках настоящего стандарта термин "система", если явно не указано иное, означает оцениваемую систему управления информацией.

     2 Термины и определения

В настоящем стандарте применены термины по ИСО 12651, а также следующие термины с соответствующими определениями:

2.1 тип информации (information type): Группы взаимосвязанных информационных материалов.

Примечание - В конкретных приложениях "группы" могут обозначаться терминами "наборы", "дела", "коллекции" и т.п.

Пример - Инвойсы, финансовые документы, сводки, переписка.

2.2 доверенная система (trusted system): Система <управления информацией>, используемая для сохранения электронной информации и обеспечивающая ее точность, надежность, пригодность к использованию/читаемость, а также целостность во времени.

     3 Политика управления информацией

     3.1 Общие положения

Информация является одним из наиболее важных активов, имеющихся в распоряжении любой организации. Все виды деятельности организации включают в себя то или иное использование информации. Количество информации может быть огромным, и существует множество различных способов ее представления и хранения. Ценность используемой информации и то, каким образом она применяется и перемещается как внутри, так и между организациями, может стать решающим фактором успеха или провала этих организаций.

Информацию, подобно любым другим активам, необходимо классифицировать, структурировать, проверять, оценивать, защищать, контролировать, измерять и ею нужно эффективно и продуктивно управлять.

Настоящий подраздел содержит описание документации, в которой сформулирована политика организации в области управления информацией. Кроме того, настоящий подраздел содержит рекомендации для организаций относительно уровня документирования, необходимого для того, чтобы они смогли ясно и четко регламентировать, каким образом обеспечиваются надежность, точность и достоверность информации, содержащейся в доверенных системах управления информацией. Наличие такой документации также может служить доказательством того, что управление информацией и документами является частью нормальных процедур деловой деятельности.

Если в системе хранится информация, которая может быть использована в качестве доказательств в ходе каких-либо судебных разбирательств или деловых процессов, то организации необходимо проконсультироваться с юристами (см. 4.4), чтобы обеспечить исполнение соответствующих законодательно-нормативных требований. Поскольку законодательно-нормативные требования в различных странах, регионах и отраслях могут различаться, то правовой анализ должен охватывать все юрисдикции, в которых действует организация, и все сферы ее деятельности.

     3.2 Документ, определяющий политику управления информацией

3.2.1 Содержание

Должен быть разработан внутренний нормативный документ (далее - "политика"), документирующий политику организации в области управления и хранения информации применительно к доверенным системам управления информацией.

Политика должна содержать разделы, в которых:

- указывается, какая информация подпадает под действие данной политики (см. 3.2.2);

- сформулирована политика в отношении носителей информации (см. 3.2.3);

- сформулирована политика в отношении файловых форматов электронных объектов и контроля версий (см. 3.2.4);

- сформулирована политика в отношении соответствующих стандартов управления информацией (см. 3.2.5);

- определены политики в области сохранения в течение установленных сроков хранения и уничтожения информации (см. 3.2.6);

- определена ответственность за управление информацией (см. 3.2.7);

- определены обязанности за контроль исполнения этой политики (см. 3.2.8).

Политика должна быть утверждена высшим руководством организации и регулярно пересматриваться.

С точки зрения настоящего стандарта ключевым элементом является утверждение и применение на практике перечня видов документов и информации, образующихся в деятельности организации, с указанием сроков хранения и действий по их истечении (далее - "перечень"). Везде, где в остальной части стандарта делается ссылка на политику, также подразумевается и перечень.

3.2.2 Информация, подпадающая под действие политики

Для того чтобы можно было сформулировать политику, информацию следует сгруппировать по типам так, чтобы политика в отношении всей информации одного типа была согласованной. Например, тип информации может определяться путем указания на ее применение (например, финансовые прогнозы, счета, список адресов клиентов) или по связи с определенными бизнес-процессами (например, заявления, жалобы, просьбы о продлении оказания услуг), либо ссылкой на родовые группы (например, на данные бухгалтерского учета, документы о клиентах, производственную документацию).

В ходе подготовки проекта политики, возможно, определенную информацию потребуется перегруппировать с тем, чтобы обеспечить согласованность политики в отношении информации, относящейся к одному типу.

В политике следует перечислить все подлежащие хранению типы информации. В их числе следует упомянуть документы, разработанные во исполнение положений политики (например, внутренние нормативные документы по отдельным вопросам).

3.2.3 Носители информации

Разные типы носителей информации имеют различные характеристики в плане их долговременного хранения. Большинство организаций использует для хранения информации различные типы носителей: бумагу, микроформы, электронные (как носители однократной записи, так и перезаписываемые/стираемые) или оптические (как носители однократной записи, так и перезаписываемые/стираемые) носители. В некоторых приложениях определенная информация может в течение своего срока хранения в разные периоды времени храниться на носителях различных типов.

Организации следует регламентировать использования конкретных типов носителей информации для удовлетворения различающихся требований к хранению информации (таких, например, как требования к доступности информации, сроки хранения и требования по безопасности). Соответствующие положения должны быть детализированы в политике.

Для каждого типа информации (см. 3.2.2) должны быть указаны типы носителей, на которых эту информацию следует сохранять.

При наличии копий (экземпляров) электронных объектов может быть важно иметь возможность доказать, что никакие изменения в них не вносились. Если электронные объекты существуют в различных версиях, то для целей настоящего стандарта каждая версия должна рассматриваться как новый первоисточник или оригинальный объект.

Положения, регламентирующие управление копиями электронных объектов, должны быть детализированы в политике.

3.2.4 Файловые форматы и сжатие данных

Политика должна содержать сведения о допустимых файловых форматах, которые могут быть использованы для каждого типа информации (см. 3.2.2).

Для извлечения и отображения любой сохраняемой в компьютерной системе информации требуется программное обеспечение. Это программное обеспечение подвержено изменениям либо из-за выпуска новых версий, либо вследствие изменений в операционных системах и/или аппаратном обеспечении. Благодаря реализации на практике политики использования утвержденных файловых форматов и (если таковые применяются) технологий сжатия данных могут быть успешно выполнены необходимая миграция данных или альтернативные процедуры, обеспечивающие долговременное использование хранимой информации.

В случае использования методов сжатия политика их применения должна быть задокументирована.

Если возможно сохранение нескольких версий информации или документов, то необходимо разработать порядок и правила, обеспечивающие сохранение всех подлежащих хранению версий, а также поддержание взаимосвязей между ними. Положения, регламентирующие хранения версий информации и документов, должны быть включены в политику.

Дополнительную информацию по этому вопросу см. 5.5.2, 5.10, 6.10 и 7.2.3.

3.2.5 Стандарты, относящиеся к управлению информацией

Если в организации действует система менеджмента качества (например, на основе стандартов ИСО серии 9000), полностью или частично охватывающая доверенную систему управления информацией, то вся соответствующая документация о процедурах должна быть включена в системы менеджмента качества.

При наличии обязательных национальных или международных требований или в тех случаях, когда применимы национальные или международные стандарты, следует исполнять соответствующие требования и положения стандартов.

3.2.6 Указания по срокам хранения и действиям по их истечении (retention and disposal schedules)