Процессы и средства управления

2020-03-17

196

Обсуждений (0)

0.00 из 5.00 0 оценок

1 2 345 6

Настоящее приложение дает представление о процессах и средствах управления записями, которые должны быть реализованы. Реализация может осуществляться дифференцированно в соответствии с характеристиками организации. Решение о неприменении какого-либо процесса должно быть обосновано (например, организация может решить не применять процесс А.2.4.3 "Передача", приведенный в Таблице А.1, поскольку не планируется передача ее записей другой организации).

Процессы и средства управления записями были сгруппированы и пронумерованы в Таблице А.1 согласно целям, приведенным в 8.2, перечисление с) 1) "Формирование" и 8.2, перечисление с) 2) "Управление". По каждому процессу управления записями предлагается одно или несколько средств управления.

Таблица А.1 - Процессы и средства управления записями

NN	Процесс управления	Средства управления
А.1	Формирование
А.1.1	Определение того, какие записи, когда и как должны быть сформированы и обобщены для каждого бизнес-процесса
А.1.1.1	Определение потребности в информации	Все операционные, отчетные, аудиторские и прочие потребности участвующих сторон в информации (обобщенной в качестве записей с соответствующими метаданными) о процессах организации должны систематически выявляться и документироваться
А.1.1.2	Определение требований	Требования к формированию, обобщению и менеджменту записей и решения не накапливать записи для конкретных процессов должны определяться на основании бизнес-требований, законодательных и иных требований, документально оформленных и санкционированных
А.1.1.3	Формирование достоверных записей	Записи должны формироваться на момент (или вскоре после) транзакции или особой ситуации, к которой они относятся частными лицами, обладающими непосредственным знанием фактов или средствами, повседневно используемыми организацией для проведения транзакции
А.1.1.4	Определение сроков хранения	Должна быть разработана процедура для определения сроков хранения записей согласно требованиям каждого рабочего процесса
А.1.1.5	Разработка графика изъятия из обращения	Решения относительно сохранения и изъятия записей из обращения, основанные на бизнес-требованиях, законодательных и иных требованиях, должны быть документально оформлены в графике изъятия из обращения
А.1.1.6	Определение методов интегрированного обобщения	Должны быть выбраны и документированы методы интеграции обобщенных записей с бизнес-процессами
А.1.2	Определение контентной, контекстной и управляющей информации (метаданных), которая подлежит включению в записи
А.1.2.1	Идентификация контекстуальной и описательной информации	Должна быть определена и документирована как часть требований к записям информация, необходимая для идентификации записей каждого рабочего процесса, включая идентификацию подразделения организации, ответственного за эти записи и рабочие процессы
А.1.2.2	Идентификация точек извлечения информации	Точки, в которых происходит извлечение контекстуальной информации или ее добавление в записи, а также источники такой информации должны быть идентифицированы в процедурах по каждому рабочему процессу
А.1.3	Принятие решения о том, в какой форме и структуре должны формироваться и накапливаться записи
А.1.3.1	Определение конкретных требований	Должна быть идентифицирована и документирована информация, а также форма и структура информации, требуемой в качестве записей для каждого рабочего процесса
А.1.4	Определение подходящих технических средств формирования и обобщения записей
А.1.4.1	Выбор технических средств	Для каждого рабочего процесса должны быть выбраны технические средства формирования и обобщения записей (автоматизированные или ручные). Выбор и любое изменение технических средств подлежат документированию
А.2	Управление
А.2.1	Определение того, какая управляющая информация (метаданные) должна быть сформирована на основе процессов записей и как она будет увязана с записями и управляться с течением времени
А.2.1.1	Регистрация	Для рабочих процессов, требующих свидетельство сбора данных, должна применяться процедура регистрации записей путем присвоения им индивидуального идентификатора на момент обобщения записей. Данная процедура должна обеспечивать отсутствие каких-либо транзакций с участием записей до завершения регистрации
А.2.1.2	Классификация	Записи должны быть сгруппированы (классифицированы) согласно рабочим процессам, к которым они относятся
А.2.1.3	Классификация	Схема группирования (классифицирования) записей, отражающая природу, количество и сложность рабочих процессов организации, должна быть документирована (включая изменения во времени) и реализована как часть процедур этих рабочих процессов
А.2.1.4	Отбор управляющей информации (элементов метаданных)	Описательная и управляющая информация (элементы метаданных), требуемая для формирования записей по каждому рабочему процессу и управления ими, должна быть идентифицирована и документирована
А.2.1.5	Определение хронологии событий	Должны быть определены процессы управления записями, которые должны быть зафиксированы в метаданных и увязаны с хронологией событий. Должны быть разработаны процедуры для увязки хронологии событий с записями и сохранены в течение того же времени, что и записи
А.2.1.6	Управление записями в рамках организации	Решения относительно того, какие метаданные требуются для идентификации, контролирования и управления записями на всех уровнях организации и вне ее, должны быть документированы и реализованы
А.2.2	Установление правил и условий для использования записей с течением времени
А.2.2.1	Разработка правил доступа	Должны быть разработаны правила для регулирования доступа к записям на основе требований к рабочим процессам, соответствующего законодательства и, если это целесообразно, коммерческих соображений. Правила должны быть документированы и должны действовать так долго, как требуются записи
А.2.2.2	Реализация правил доступа	Правила доступа должны реализовываться в системах записей путем присвоения статуса доступа как записям, так и исполнителям
А.2.3	Сохранение применимости записей с течением времени
А.2.3.1	Сохранение целостности и аутентичности	Должны быть реализованы процедуры, обеспечивающие целостность и защиту записей и предотвращающие несанкционированное использование, внесение изменений, изъятия, сокрытие и (или) уничтожение
А.2.3.2	Сохранение применимости	Средства ведения/хранения записей должны отвечать соответствующим стандартам для используемых носителей и технологий, чтобы обеспечивать их дальнейшую применимость в течение требуемого срока
А.2.3.3	Сохранение применимости	Должны быть разработаны и внедрены процедуры для обеспечения доступности и полноценности цифровых записей с течением времени, также вне контекста их формирования
А.2.3.4	Пределы и ограничения	Ограничения, включая использование кодирования, должны быть сняты по истечению указанного периода времени
А.2.4	Осуществление санкционированного изъятия записей из обращения
А.2.4.1	Осуществление изъятия из обращения	Должны быть разработаны процедуры для анализа, санкционирования и реализации решений относительно сохранения и изъятия записей из обращения по каждому рабочему процессу
А.2.4.2	Санкционирование изъятия из обращения	Решения относительно передачи, изъятия или уничтожения записей должны быть санкционированы и документированы
А.2.4.3	Передача	Должны быть разработаны и реализованы процедуры для санкционированной и контролируемой передачи записей другой организации или системе
А.2.4.4	Изъятия	Должны быть разработаны и реализованы процедуры для санкционированного, регулярного изъятия записей, которые больше не требуются, включая их перенос в удаленное хранилище или в автономное хранилище данных
А.2.4.5	Сохранение информации об уничтоженных записях	В тех случаях, когда характер и сложность деятельности и официальное ведение учета требуют этого, должна сохраняться управляющая информация (регистрация, идентификация и хронологические метаданные) о записях, которые были уничтожены
А.2.5	Создание условий для ведения и поддержания в работоспособном состоянии систем записей
А.2.5.1	Идентификация систем записей	Все системы записей (включая бизнес-системы, хранящие записи) должны быть четко обозначены, закреплены за ответственным владельцем и документированы в описи, которая регулярно актуализируется
А.2.5.2	Документирование внедренческих решений	Внедренческие решения по системам записей должны документироваться, должно обеспечиваться их выполнение, и они должны предоставляться всем пользователям, которым они требуются
А.2.5.3	Доступ к системам записей	Должны быть разработаны, документированы и соблюдаться правила для регулирования доступа к системам записей с целью выполнения задач по системному администрированию
А.2.5.4	Обеспечение доступности	Должны быть разработаны процедуры по текущему техническому обслуживанию для обеспечения доступности систем записей
А.2.5.5	Обеспечение результативности	Должен осуществляться и документироваться регулярный мониторинг результативности систем записей на соответствие бизнес-требованиям и целям
А.2.5.6	Обеспечение целостности	Должны быть предусмотрены процедуры для обеспечения и подтверждения того, что любой отказ, любая модернизация или регулярное обслуживание системы не влияют на целостность записей
А.2.5.7	Управление изменениями	Изменения в системах записей, в частности, особые операции (такие как миграция, интегрирование новых требований, изменение или прерывание компьютерных технологий) должны анализироваться, планироваться и реализовываться. Все принимаемые решения должны документироваться

В Приложении В рассматривается взаимосвязь между настоящим стандартом и ИСО 9001, ИСО 14001 и ИСО/МЭК 27001 и сопоставляются общие разделы, касающиеся управления документами и записями в этих международных стандартах со средствами управления записями, приведенными в Таблице А.1.

Приложение В

(справочное)

2020-03-17

196

Обсуждений (0)

0.00 из 5.00 0 оценок

1 2 345 6

Обсуждение в статье: Процессы и средства управления

Обсуждений еще не было, будьте первым... ↓↓↓