ГОСТ Р 57551-2017/ISO/TR 18128:2014 Информация и документация. Оценка рисков для документных процессов и систем

     4.1 Оценка риска

Оценка рисков для документных процессов и систем должна включаться в общий процесс управления рисками организации, где таковой существует. В этом случае специалисты по управлению документами должны учитывать внешние и внутренние обстоятельства и условия, в которых организация осуществляет свою деятельность (контекст), а также контекст самого процесса менеджмента риска, в том числе следующие факторы:

a) роли и обязанности: Должна быть определена роль специалистов по управлению документами в оценке рисков, связанных с документными процессами и системами;

b) охват и масштабы деятельности по оценке рисков: Во избежание избыточности и конфликтов, а также для создания условий для применения комплексного подхода к оценке рисков, связанных, в том числе, с документами, следует явным образом определить взаимоотношения с другими областями оценки риска, такими как информационная безопасность;

c) методология: При использовании имеющихся инструментов для оценки рисков и при подготовке отчетов перед уполномоченным лицом или службой следует использовать стандартную методологию оценки риска;

d) критерии риска: В случае, когда в организации используются общие критерии риска, следует оценивать связанные с документными процессами и системами риски на основе этих критериев.

Если в организации отсутствует общий процесс управления рисками, то специалистам по управлению документами до начала процесса оценки следует установить критерии риска, применимые к документным процессам и системам.