Настоящее приложение дает представление о процессах и средствах управления записями, которые должны быть реализованы. Реализация может осуществляться дифференцированно в соответствии с характеристиками организации. Решение о неприменении какого-либо процесса должно быть обосновано (например, организация может решить не применять процесс А.2.4.3 "Передача", приведенный в Таблице А.1, поскольку не планируется передача ее записей другой организации).
Процессы и средства управления записями были сгруппированы и пронумерованы в Таблице А.1 согласно целям, приведенным в 8.2, перечисление с) 1) "Формирование" и 8.2, перечисление с) 2) "Управление". По каждому процессу управления записями предлагается одно или несколько средств управления.
NN
| Процесс управления
| Средства управления
|
А.1
| Формирование
|
А.1.1
| Определение того, какие записи, когда и как должны быть сформированы и обобщены для каждого бизнес-процесса
|
А.1.1.1
| Определение потребности в информации
| Все операционные, отчетные, аудиторские и прочие потребности участвующих сторон в информации (обобщенной в качестве записей с соответствующими метаданными) о процессах организации должны систематически выявляться и документироваться
|
А.1.1.2
| Определение требований
| Требования к формированию, обобщению и менеджменту записей и решения не накапливать записи для конкретных процессов должны определяться на основании бизнес-требований, законодательных и иных требований, документально оформленных и санкционированных
|
А.1.1.3
| Формирование достоверных записей
| Записи должны формироваться на момент (или вскоре после) транзакции или особой ситуации, к которой они относятся частными лицами, обладающими непосредственным знанием фактов или средствами, повседневно используемыми организацией для проведения транзакции
|
А.1.1.4
| Определение сроков хранения
| Должна быть разработана процедура для определения сроков хранения записей согласно требованиям каждого рабочего процесса
|
А.1.1.5
| Разработка графика изъятия из обращения
| Решения относительно сохранения и изъятия записей из обращения, основанные на бизнес-требованиях, законодательных и иных требованиях, должны быть документально оформлены в графике изъятия из обращения
|
А.1.1.6
| Определение методов интегрированного обобщения
| Должны быть выбраны и документированы методы интеграции обобщенных записей с бизнес-процессами
|
А.1.2
| Определение контентной, контекстной и управляющей информации (метаданных), которая подлежит включению в записи
|
А.1.2.1
| Идентификация контекстуальной и описательной информации
| Должна быть определена и документирована как часть требований к записям информация, необходимая для идентификации записей каждого рабочего процесса, включая идентификацию подразделения организации, ответственного за эти записи и рабочие процессы
|
А.1.2.2
| Идентификация точек извлечения информации
| Точки, в которых происходит извлечение контекстуальной информации или ее добавление в записи, а также источники такой информации должны быть идентифицированы в процедурах по каждому рабочему процессу
|
А.1.3
| Принятие решения о том, в какой форме и структуре должны формироваться и накапливаться записи
|
А.1.3.1
| Определение конкретных требований
| Должна быть идентифицирована и документирована информация, а также форма и структура информации, требуемой в качестве записей для каждого рабочего процесса
|
А.1.4
| Определение подходящих технических средств формирования и обобщения записей
|
А.1.4.1
| Выбор технических средств
| Для каждого рабочего процесса должны быть выбраны технические средства формирования и обобщения записей (автоматизированные или ручные). Выбор и любое изменение технических средств подлежат документированию
|
А.2
| Управление
|
А.2.1
| Определение того, какая управляющая информация (метаданные) должна быть сформирована на основе процессов записей и как она будет увязана с записями и управляться с течением времени
|
А.2.1.1
| Регистрация
| Для рабочих процессов, требующих свидетельство сбора данных, должна применяться процедура регистрации записей путем присвоения им индивидуального идентификатора на момент обобщения записей. Данная процедура должна обеспечивать отсутствие каких-либо транзакций с участием записей до завершения регистрации
|
А.2.1.2
| Классификация
| Записи должны быть сгруппированы (классифицированы) согласно рабочим процессам, к которым они относятся
|
А.2.1.3
| Классификация
| Схема группирования (классифицирования) записей, отражающая природу, количество и сложность рабочих процессов организации, должна быть документирована (включая изменения во времени) и реализована как часть процедур этих рабочих процессов
|
А.2.1.4
| Отбор управляющей информации (элементов метаданных)
| Описательная и управляющая информация (элементы метаданных), требуемая для формирования записей по каждому рабочему процессу и управления ими, должна быть идентифицирована и документирована
|
А.2.1.5
| Определение хронологии событий
| Должны быть определены процессы управления записями, которые должны быть зафиксированы в метаданных и увязаны с хронологией событий. Должны быть разработаны процедуры для увязки хронологии событий с записями и сохранены в течение того же времени, что и записи
|
А.2.1.6
| Управление записями в рамках организации
| Решения относительно того, какие метаданные требуются для идентификации, контролирования и управления записями на всех уровнях организации и вне ее, должны быть документированы и реализованы
|
А.2.2
| Установление правил и условий для использования записей с течением времени
|
А.2.2.1
| Разработка правил доступа
| Должны быть разработаны правила для регулирования доступа к записям на основе требований к рабочим процессам, соответствующего законодательства и, если это целесообразно, коммерческих соображений. Правила должны быть документированы и должны действовать так долго, как требуются записи
|
А.2.2.2
| Реализация правил доступа
| Правила доступа должны реализовываться в системах записей путем присвоения статуса доступа как записям, так и исполнителям
|
А.2.3
| Сохранение применимости записей с течением времени
|
А.2.3.1
| Сохранение целостности и аутентичности
| Должны быть реализованы процедуры, обеспечивающие целостность и защиту записей и предотвращающие несанкционированное использование, внесение изменений, изъятия, сокрытие и (или) уничтожение
|
А.2.3.2
| Сохранение применимости
| Средства ведения/хранения записей должны отвечать соответствующим стандартам для используемых носителей и технологий, чтобы обеспечивать их дальнейшую применимость в течение требуемого срока
|
А.2.3.3
| Сохранение применимости
| Должны быть разработаны и внедрены процедуры для обеспечения доступности и полноценности цифровых записей с течением времени, также вне контекста их формирования
|
А.2.3.4
| Пределы и ограничения
| Ограничения, включая использование кодирования, должны быть сняты по истечению указанного периода времени
|
А.2.4
| Осуществление санкционированного изъятия записей из обращения
|
А.2.4.1
| Осуществление изъятия из обращения
| Должны быть разработаны процедуры для анализа, санкционирования и реализации решений относительно сохранения и изъятия записей из обращения по каждому рабочему процессу
|
А.2.4.2
| Санкционирование изъятия из обращения
| Решения относительно передачи, изъятия или уничтожения записей должны быть санкционированы и документированы
|
А.2.4.3
| Передача
| Должны быть разработаны и реализованы процедуры для санкционированной и контролируемой передачи записей другой организации или системе
|
А.2.4.4
| Изъятия
| Должны быть разработаны и реализованы процедуры для санкционированного, регулярного изъятия записей, которые больше не требуются, включая их перенос в удаленное хранилище или в автономное хранилище данных
|
А.2.4.5
| Сохранение информации об уничтоженных записях
| В тех случаях, когда характер и сложность деятельности и официальное ведение учета требуют этого, должна сохраняться управляющая информация (регистрация, идентификация и хронологические метаданные) о записях, которые были уничтожены
|
А.2.5
| Создание условий для ведения и поддержания в работоспособном состоянии систем записей
|
А.2.5.1
| Идентификация систем записей
| Все системы записей (включая бизнес-системы, хранящие записи) должны быть четко обозначены, закреплены за ответственным владельцем и документированы в описи, которая регулярно актуализируется
|
А.2.5.2
| Документирование внедренческих решений
| Внедренческие решения по системам записей должны документироваться, должно обеспечиваться их выполнение, и они должны предоставляться всем пользователям, которым они требуются
|
А.2.5.3
| Доступ к системам записей
| Должны быть разработаны, документированы и соблюдаться правила для регулирования доступа к системам записей с целью выполнения задач по системному администрированию
|
А.2.5.4
| Обеспечение доступности
| Должны быть разработаны процедуры по текущему техническому обслуживанию для обеспечения доступности систем записей
|
А.2.5.5
| Обеспечение результативности
| Должен осуществляться и документироваться регулярный мониторинг результативности систем записей на соответствие бизнес-требованиям и целям
|
А.2.5.6
| Обеспечение целостности
| Должны быть предусмотрены процедуры для обеспечения и подтверждения того, что любой отказ, любая модернизация или регулярное обслуживание системы не влияют на целостность записей
|
А.2.5.7
| Управление изменениями
| Изменения в системах записей, в частности, особые операции (такие как миграция, интегрирование новых требований, изменение или прерывание компьютерных технологий) должны анализироваться, планироваться и реализовываться. Все принимаемые решения должны документироваться
|
В Приложении В рассматривается взаимосвязь между настоящим стандартом и ИСО 9001, ИСО 14001 и ИСО/МЭК 27001 и сопоставляются общие разделы, касающиеся управления документами и записями в этих международных стандартах со средствами управления записями, приведенными в Таблице А.1.