Статус документа
Статус документа

ГОСТ Р ИСО 18829-2024

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Управление документооборотом

ОЦЕНКА ВНЕДРЕНИЙ ECM/EDRM

Достоверность

Document management. Assessing ECM/EDRM implementations. Trustworthiness



ОКС 01.140.20

Дата введения 2025-07-01

Предисловие

1 ПОДГОТОВЛЕН Федеральным государственным бюджетным учреждением "Российский институт стандартизации" (ФГБУ "Институт стандартизации") и Обществом с ограниченной ответственностью "ЭОС Тех" (ООО "ЭОС Тех") на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 459 "Информационная поддержка жизненного цикла изделий"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 24 октября 2024 г. № 1489-ст

4 Настоящий стандарт идентичен международному стандарту ИСО 18829:2017* "Управление документооборотом. Оценка внедрений ECM/EDRM. Достоверность" (ISO 18829:2017 "Document management - Assessing ECM/EDRM implementations - Trustworthiness", IDT).

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей.- Примечание изготовителя базы данных.

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА

5 ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. № 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.rst.gov.ru)

Введение


Настоящий стандарт описывает методологию для организаций, стремящихся оценить, соответствует ли их ECM-среда ключевым концепциям доверенности и надежности информации, определенным в ISO/TR 15801 и ISO/TR 22957.

В настоящее время от многих организаций требуется обеспечить безопасное и защищенное создание, хранение и в конечном итоге уничтожение относящейся к деловой деятельности, сохраняемой в электронном виде информации (ESI) с целью обеспечения аутентичности и точности электронной информации, а также безопасности и надежности организации.

Данный стандарт определяет виды деятельности и операции, которые организация должна выполнить:

- для обеспечения того, чтобы вся сохраняемая в электронном виде информация (ESI) создавалась и поддерживалась надежным и доверенным образом на всем протяжении ее жизненного цикла, и

- проведения оценки имеющихся ECM-систем управления корпоративным контентом и/или EDRM-систем управления электронными документами и контентом на соответствие применимым стандартам ИСО.

Стандарты ИСО 15489-1, ISO/TR 15801 и ISO/TR 22957 содержат рекомендации для организаций по проектированию их ECM-систем управления корпоративным контентом, однако от организаций может также потребоваться представление проверяемых доказательств того, что эти системы обеспечивают безопасную среду для сохраняемой в электронном виде информации, соответствующую всем юридическим, техническим и политическим обязательствам организации и применимым стандартам ИСО.

Любое надежное и доверенное ECM/EDRM-решение должно быть способно проходить аудит с воспроизводимыми результатами. Также необходим метод независимой проверки заявлений поставщиков программного и аппаратного обеспечения о том, что информация защищена и хранится надежным образом. Организациям необходимо позаботиться о том, чтобы соответствующая поддерживающая документация отражала эти требования.

Если стандартизированные ECM-решения с большой вероятностью поддаются аудиту и могут быть легко проверены, то нестандартные и/или проприетарные решения для хранения информации могут не обеспечивать наличия всей необходимой контрольной информации в журналах аудита, и провести независимую проверку заявлений поставщиков о безопасности ECM/EDRM-решений может быть сложно. Независимо от того, является ли технология хранения стандартизированной или проприетарной, организация сталкивается с необходимостью быть в состоянии провести проверку соответствия ECM/EDRM-решения всем применимым требованиям.

     1 Область применения

В настоящем стандарте описаны действия и операции, которые организация должна выполнить для того, чтобы оценить, поддерживается ли в настоящее время и поддерживалась ли ранее сохраняемая в электронном виде информация (electronically stored information, ESI) в надежной и доверенной среде(ах). В этих средах используются технологии управления контентом и документами, обычно известные как "системы управления корпоративным контентом" (ECM-системы - enterprise content management, ECM) или как "электронные системы управления документами и информацией" (electronic document and records management, EDRM), обеспечивающие исполнение утвержденных организациями политик управления документами и указаний по срокам их хранения.

Хорошие практики, связанные с внедрением доверенных сред управления документами и контентом, описаны в таких документах, как ISO/TR 15801 и ИСО 15489. Тем не менее, необходим также стандарт, описывающий методологию для оценки данных типов сред управления документами и контентом независимо от того, какие технологии в настоящее время используются организацией. Настоящий стандарт устанавливает методологию оценки, которой следует придерживаться для определения уровня соответствия организации указанным выше стандартам в плане обеспечения надежности и достоверности информации, хранящейся в этих средах.

Настоящий стандарт применим в отношении уже существующих или планируемых ECM-систем. Установление факта наличия надежной доверенной системы является важным шагом в документировании надежности сохраняемой в электронном виде информации, поддерживаемой в рамках этой системы или среды. Данный стандарт предназначен для использования организациями, оценивающими степень доверия к существующим средам управления документами и контентом. В нем указаны все обязательные виды деятельности и области, которые необходимо изучить с привлечением лиц, имеющих детальные технические и эксплуатационные знания о конкретных изучаемых технологиях и методологиях, а также понимание процессов и действий в области управления документами.

     2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты [для датированных ссылок применяют только указанное издание ссылочного стандарта, для недатированных - последнее издание (включая все изменения)]:

ISO 12651-1, Electronic document management - Vocabulary - Part 1: Electronic document imaging (Управление электронным контентом. Словарь. Часть 1. Управление электронными графическими образами документов)

ISO 15489-1, System of standards on information, librarianship and publishing - Information and documentation - Records management - Part 1: Concepts and principles (Система стандартов по информации, библиотечному и издательскому делу. Информация и документация. Управление документами. Часть 1. Понятия и принципы)

     3 Термины и определения

В настоящем стандарте применены термины по ИСО 12651-1 и ИСО 15489-1, а также следующие термины с соответствующими определениями.

ИСО и МЭК поддерживают терминологические базы данных для использования в области стандартизации, которые доступны по следующим адресам:

- платформа онлайн-просмотра ИСО: доступна по адресу http://www.iso.org/obp;

- Электропедия МЭК: доступна по адресу http://www.electropedia.org/.

3.1 аутентичный документ (authentic record): Документ, в отношении которого может быть доказано, что он:

a) является именно тем, чем претендует быть;

b) был создан или послан именно тем действующим лицом, которое указано в качестве его создателя или отправителя;

c) был создан или послан именно в то время, которое в нем указано.

3.2 документация по деловой практике; BPD-документация (business practice documentation, BPD): Подробная документация по деловым процессам, описывающая процессы, политики и процедуры, которым следует организация, и в том числе то, как информация поступает, хранится и управляется.

Примечания

1 Документация по деловой практике содержит достаточные сведения, позволяющие организации установить или удостоверить, что содержащаяся в электронной системе управления документами/контентом электронная информация является точной, надежной и заслуживающей доверия.

2 В некоторых прикладных областях данную документацию называют мастер-руководством по процедурам (master procedure manual).

3.3 сохраняемая в электронном виде информация; ESI (electronically stored information, ESI): Информация, которая создается, используется и хранится в электронной форме, и для доступа к которой требуется компьютер или иное устройство.

Примечание - Для целей настоящего стандарта понятие сохраняемой в электронном виде информации охватывает документы и контент, созданные и/или управляемые организацией в ходе ее деловой деятельности. Электронные данные, содержащиеся в реляционных базах данных, и специализированные прикладные наборы данных не считаются частью изучаемой в процессе проведения данной оценки сохраняемой в электронном виде информации.

3.4 читаемость (readability): Способность системы с течением времени точно, согласованным образом воспроизводить сохраненную информацию без каких-либо изменений в первоначальном контенте, которые бы существенно изменяли то, что было изначально сохранено.

3.5 надежный (reliable): Свойство документа/контента, отражающее доверие к тому, что он является полным и точным представлением подтверждаемых им операций, действий или фактов, и возможность положиться на него в ходе последующих операций или действий.

3.6 заслуживающий доверия, достоверный (trustworthy): Документ/контент, сохраняемый в электронном виде таким образом, который поддерживает во времени его целостность, точность, надежность и пригодность к использованию/читаемость.

Примечание - См. ISO/TR 15801.

     4 Оценка доверенных ECM-систем

4.1 Общие положения

4.1.1 Результаты оценки

Доверенные ECM-системы должны обеспечивать возможность надежного воспроизведения управляемой ими информации и предотвращать несанкционированные модификации и изменения контента и взаимосвязанных с ним метаданных. Это касается любой сохраняемой в электронном виде информации (ESI), созданной в разнообразных офисных приложениях, использующих внешние источники для "пополнения" контента/документа, когда тот создается и/или распечатывается/сохраняется, как это сочтет уместным организация.

Результаты такой стандартизированной оценки должны включать подробный отчет, содержащий достаточную информацию, позволяющую организации определить, как лучше всего корректировать те аспекты, в которых, как было установлено, не было полного соответствия требованиям. Данный отчет также должен включать, наряду с подробным описанием технологии (где это уместно), рекомендации и связанные с управлением контентом/документами политики и процедуры, которые необходимы для достижения полного соответствия требованиям.

Ключевым элементом настоящего стандарта оценки является предоставление организации подробной информации, касающейся общей надежности и доверенности их ECM-среды, вместе с рекомендациями о том, как исправлять те аспекты, которые, согласно результатам оценки, не соответствуют требованиям стандартов, относящихся к управлению корпоративным контентом (ECM) и документами.

По завершении любой оценки, соответствующей ИСО 18829, проводившая оценку группа специалистов (далее - группа оценки) должна подготовить подробный отчет, содержащий, как минимум, следующее:

- деловые потребности и/или деловое обоснование. Данный раздел отчета должен включать описание использованных процессов оценки документов, краткое изложение установленных фактов и результатов анализа в отношении физических и электронных документов, а также выявленные в ходе оценки проблемные вопросы, имеющие отношение к деловой деятельности;

- аналитический раздел, содержащий подробные сведения, увязанные с четко определенным набором объективных принципов управления документами и информацией, нацеленных на формирование для документации измеримой, последовательной информационной структуры, полностью лишенной индивидуальной и организационной предвзятости. Данные принципы, ранее известные как "общепринятые принципы делопроизводства" (Generally Accepted Recordkeeping Principles, GARP), сейчас рассматриваются в отрасли управления документами как те принципы, которые определяют очень конкретные уровни зрелости программы управления документами;

- раздел анализа пробелов в технологиях, содержащий описание всех используемых в настоящее время организацией соответствующих технологий управления корпоративным контентом и документами, и иных технологий хранения и создания, имеющих отношение к контенту/документам;

- раздел с техническими и касающимися документов рекомендациями. Данный раздел должен включать рекомендации, связанные с изменением существующего положения дел в управлении документами с целью создания надежной и доверенной ECM-среды.

4.1.2 Анализ процессов

Любая оценка доверенных ECM-систем должна начинаться с анализа процессов и процедур, имеющих отношение ко всей среде, в рамках которой осуществляется управление сохраняемой в электронном виде информацией. Сюда входит анализ не только фактических процессов и процедур, но и документации по деловой практике (BPD-документации). Следует провести оценку следующего:

Доступ к полной версии документа ограничен
Этот документ или информация о нем доступны в системах «Техэксперт» и «Кодекс».