ГОСТ Р 57551-2017/ISO/TR 18128:2014
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Информация и документация
ОЦЕНКА РИСКОВ ДЛЯ ДОКУМЕНТНЫХ ПРОЦЕССОВ И СИСТЕМ
Information and documentation. Risk assessment for records processes and systems
ОКС 37.080:25.040.40
Дата введения 2019-07-01
1 ПОДГОТОВЛЕН Обществом с ограниченной ответственностью "ЭОС Тех" на основе собственного перевода на русский язык англоязычной версии документа, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 459 "Информационная поддержка жизненного цикла изделий"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 20 июля 2017 г. N 731-ст
4 Настоящий стандарт идентичен международному стандарту ISO/TR 18128:2014* "Информация и документация. Оценка рисков для документных процессов и систем" (ISO/TR 18128:2014 "Information and documentation - Risk assessment for records processes and systems", IDT).
________________
* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении ДА
5 ВВЕДЕН ВПЕРВЫЕ
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
Международная организация по стандартизации ИСО (International Organization for Standardization, ISO) является всемирным объединением национальных органов по стандартизации - членов ИСО. Работа по подготовке международных стандартов обычно проводится техническими комитетами ИСО. Каждый член ИСО, заинтересованный в вопросе, для проработки которого был создан технический комитет, имеет право быть представленным в этом комитете. Международные правительственные и неправительственные организации, имеющие партнерские связи с ИСО, также принимают участие в этой работе. ИСО тесно сотрудничает с Международной электротехнической комиссией МЭК (International Electrotechnical Commission, IEC) по всем вопросам стандартизации в области электротехники.
Международные стандарты разрабатываются и в дальнейшем поддерживаются в соответствии с правилами, установленными в части 1 директив ИСО/МЭК. Следует, в частности, иметь в виду различные критерии, соответствие которым необходимо для утверждения документов ИСО разных типов. Технический отчет ИСО/ТО 18128:2014 был разработан в соответствии с правилами редакционной работы, установленными частью 2 директив ИСО/МЭК.
________________
См. www.iso.org/directives.
Следует принять во внимание, что некоторые элементы данного документа могут подпадать под действие патентного права. ИСО и МЭК не несут ответственность за идентификацию соответствующих патентных прав. Сведения о выявленных в ходе разработки технического отчета ИСО/ТО 18128:2014 патентных правах содержатся во введении и/или в перечне ИСО полученных патентных деклараций.
________________
См. www.iso.org/patents.
Все встречающиеся в данном документе торговые наименования представляют собой сведения, включенные для удобства пользователей, и их упоминание не означает официальной поддержки соответствующих продуктов со стороны ИСО.
Разъяснения принятых в ИСО трактовок специфических терминов и выражений, относящихся к оценке соответствия, а также информацию о приверженности ИСО принципам ВТО в части борьбы с техническими барьерами для торговли (Technical Barriers to Trade, ТВТ) можно найти на веб-сайте ИСО по адресу http://www.iso.org/iso/home/standards_development/resources-for-technical-work/foreword.htm.
Технический отчет ИСО/ТО 18128:2014 был разработан Техническим подкомитетом ПК 11 "Управление документами и архивами" Технического комитета ИСО/ТК 46 "Информация и документация" (ISO/ТС 46/SC 11 "Archives/records management", ISO/TC 46 "Information and documentation").
Все организации идентифицируют угрожающие их успешному функционированию риски и управляют ими. Специалисты организации по управлению документами несут ответственность за идентификацию и управление рисками, относящимися к документным процессам и системам.
Настоящий стандарт должен помочь специалистам по управлению документами и ответственным за документы в своих организациях сотрудникам оценивать риски, связанные с документными процессами и системами.
Примечание - Под "системой" понимается любое деловое программное приложение, в котором создаются и хранятся документы.
Данная задача отличается от более общей задачи идентификации и оценки деловых рисков организации, где создание и хранение адекватных документов является одним из стратегических способов реагирования. Решения о необходимости создания документов в качестве реакции на риски для основной деятельности являются деловыми решениями, которые должны приниматься с учетом результатов анализа требований и потребностей организации в документах, проводимого совместно специалистами по управлению документами и представителями деловых подразделений. Настоящий стандарт исходит из того, что организация создала отражающие ее деловую деятельность документы с тем, чтобы удовлетворить потребности оперативной деятельности и иные нужды, и, по крайней мере, внедрила минимальный набор мер, обеспечивающих систематическое управление документами и контроль над ними.
Настоящий стандарт должен помочь организациям в оценке рисков для документных процессов и систем, для обеспечения того, чтобы документы удовлетворяли выявленным потребностям деятельности до тех пор, пока в этом сохраняется необходимость.
Настоящий стандарт:
a) устанавливает метод анализа, проводимого с целью идентификации (выявления) рисков, связанных с документными процессами и системами;
b) описывает метод анализа потенциальных последствий неблагоприятных событий для документных процессов и систем;
c) содержит рекомендации по проведению оценки рисков, связанных с документными процессами и системами, а также
d) содержит рекомендации по документированию выявленных и оцененных рисков, в рамках подготовки к смягчению или устранению этих рисков.
В настоящем стандарте не рассматриваются риски для деятельности организации общего характера, которые могут быть смягчены, в том числе, путем создания документов.
Настоящий стандарт может быть использован любыми организациями, вне зависимости от их размера, характера деятельности и сложности их функций и структуры. Перечисленные факторы, а также предписывающий создание документов и контроль над ними режим законодательно-нормативного регулирования, в условиях которого организация осуществляет свою деятельность, принимаются во внимание при идентификации и оценке рисков, связанных с документами и документными системами.
При установлении границ ответственности организации следует учитывать сложную систему взаимоотношений с другими организациями и внешними и внутренними заинтересованными сторонами, в том числе партнерские отношения и договорные обязательства, касающиеся цепочек поставок и передачи на аутсорсинг ряда функций, которые являются характерной особенностью деятельности современных государственных и коммерческих организаций. Установление границ ответственности организации является первым шагом в определении объема и содержания проекта оценки связанных с документами рисков.
В настоящем стандарте вопрос воздействия на риски (смягчения рисков) непосредственно не рассматривается, поскольку соответствующие методы являются специфическими для каждой организации.
Стандарт может быть использован специалистами по управлению документами, лицами, несущими в своих организациях ответственность за документы, а также аудиторами и руководителями, отвечающими в организациях за программы менеджмента риска.
Настоящий стандарт содержит ссылки нормативного характера на перечисленные ниже документы*, которые (полностью или частично) необходимы для его применения. Для датированных ссылок применима только та версия, которая упомянута в тексте. В случае недатированных ссылок необходимо использовать последнюю редакцию документа (включая опубликованные поправки).
________________
* Таблицу соответствия международных стандартов национальным см. по ссылке. - Примечание изготовителя базы данных.
ISO 30300:2011 Information and documentation - Management systems for records - Fundamentals and vocabulary (Система стандартов по информации, библиотечному и издательскому делу. Информация и документация. Системы управления документами. Основные положения и словарь)
ISO Guide 73:2009 Risk management - Vocabulary (Менеджмент риска. Термины и определения)
В настоящем стандарте применены следующие термины с соответствующими определениями:
3.1.1 риск (risk): Следствие влияния неопределенности на достижение поставленных целей.
Примечание 1 - Под следствием влияния неопределенности необходимо понимать отклонение от ожидаемого результата или события (позитивное и/или негативное).
Примечание 2 - Неопределенность - это состояние полной или частичной нехватки информации, знаний и понимания события, его последствий и/или их вероятности.
Примечание 3 - Риск часто характеризуют путем описания возможного события (Руководство ИСО 73:2009, 3.5.1.3) и его последствий (Руководство ИСО 73:2009, 3.6.1.3) или их сочетания.
Примечание 4 - Риск часто описывают в виде комбинации последствий возможного события (в том числе изменения обстоятельств) и соответствующей вероятности наступления этого события (Руководство ИСО 73:2009, 3.6.1.1).
[Руководство ИСО 73:2009, 1.1]
3.2.1 документная система, система управления документами (records system): Информационная система, обеспечивающая захват документов, а также управление документами и доступ к ним во времени.
Примечание 1 - К числу документных систем могут быть отнесены создающие и хранящие документы деловые приложения и системы.
[ИСО 30300-2011, 3.4.4]
3.2.2 документные процессы, процессы управления документами (records processes): Совокупности взаимосвязанных или взаимодействующих видов деятельности, с использованием которых организация создает, контролирует, использует, уничтожает либо передает на архивное хранение свои документы.
Оценка рисков для документных процессов и систем должна включаться в общий процесс управления рисками организации, где таковой существует. В этом случае специалисты по управлению документами должны учитывать внешние и внутренние обстоятельства и условия, в которых организация осуществляет свою деятельность (контекст), а также контекст самого процесса менеджмента риска, в том числе следующие факторы:
a) роли и обязанности: Должна быть определена роль специалистов по управлению документами в оценке рисков, связанных с документными процессами и системами;
b) охват и масштабы деятельности по оценке рисков: Во избежание избыточности и конфликтов, а также для создания условий для применения комплексного подхода к оценке рисков, связанных, в том числе, с документами, следует явным образом определить взаимоотношения с другими областями оценки риска, такими как информационная безопасность;
c) методология: При использовании имеющихся инструментов для оценки рисков и при подготовке отчетов перед уполномоченным лицом или службой следует использовать стандартную методологию оценки риска;
d) критерии риска: В случае, когда в организации используются общие критерии риска, следует оценивать связанные с документными процессами и системами риски на основе этих критериев.
Если в организации отсутствует общий процесс управления рисками, то специалистам по управлению документами до начала процесса оценки следует установить критерии риска, применимые к документным процессам и системам.
Критерии должны быть основаны на нормативно-правовых требованиях юрисдикции, в рамках которой действует организация, и включать в себя следующее:
a) природу и типы принимаемых во внимание последствий и способы их измерения;
b) способы отражения вероятности событий;
c) подход к определению уровня риска;
d) критерии, на основе которых будет приниматься решение о необходимости воздействия на риск (т.е. об устранении или снижении риска);
e) критерии для принятия решения о приемлемости и/или допустимости риска;
f) будут ли учитываться возможные комбинации рисков, и если да, то каким образом.
Что касается природы и типов последствий, которые должны быть охвачены при оценке риска для документных процессов и систем, то существует общая отправная точка, применимая во всех организациях. Аутентичные, надежные, целостные документы, пригодные к использованию в течение всего периода времени, пока в них сохраняется необходимость, будут способны удовлетворить потребности организации. Риски идентифицируются, исходя из их возможности нанести ущерб этим общим свойствам документов, в результате чего документы могут уже не соответствовать тем целям, ради которых они были созданы.