В настоящее время подкомитет SC27 Объединенного технического комитета ИСО/МЭК JTC1 проводит пересмотр ряда ключевых стандартов системы менеджмента информационной безопасности, СМИБ (серия ISO/IEC 27000). В начале декабря 2014 года экспертам был разослан первый «проект комитета» стандарта ISO/IEC 27003 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство» (Information technology — Security techniques — Information security management system — Guidance).
Напомню, что сейчас действует редакция ISO/IEC 27003:2010 Information technology - Security techniques - Information security management system implementation guidance (см. http://www.iso.org/iso/search.htm?qt=27003&sort=rel&type=simple&published=on&active_tab=standards ), адаптированная в России как ГОСТ Р ИСО/МЭК 27003-2012 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности», который был введен в действие года назад, в декабре 2013 года (см. http://protect.gost.ru/v.aspx?control=8&baseC=6&page=0&month=6&year=2014&search=27003&RegNum=1&DocOnPageCount=15&id=175703 , стр.47-49).
Если раньше управлению документами был посвящен подраздел 9.2.2 «Разработка системы документирования СМИБ» объемом менее 2 страниц, то в новом проекте тема поднята на уровень выше, и объём соответствующего раздела 7.5 «Документированная информация» (Documented information) составляет уже 3 страницы плотного текста.
В первую очередь бросается в глаза то, что. в соответствии с новой политикой ИСО/МЭК в отношении унификации структуры и терминологии систем менеджмента, практически перестал использоваться (хотя и не исчез совсем) спорный среди наших переводчиков термин «records» («документы» либо «записи», смотря к какому «лагерю» принадлежит переводчик). Основным стал термин «документированная информация» (documented information), и это вполне оправданное решение, поскольку сейчас в целом ряде стран любая зафиксированная на материальном носителе информация должна раскрываться в случае судебных споров и расследований, вне зависимости от того, считает организация эту информацию своими документами или нет. В таких условиях естественно управлять как документами (records), так и зафиксированной информацией, статуса документа не имеющей т.е. контентом (documents), по единым правилам.
Если это изменение будет транслировано в очередную редакцию отечественных ГОСТов, то, думаю, получившиеся тексты будут куда более приемлемы для спорящих сторон :)
В проекте управление документами описано теперь на более высоком уровне как вид деятельности, существенный для успешности СМИБ. Сравните:
ГОСТ Р ИСО/МЭК 27003-2012, п.9.2.2В секции «Рекомендаций» мне понравились следующие слова: «Содержание (контент) документированной информации более важно, чем её форма или формат. Документированная информация нужна лишь для использования по назначению, поэтому требуется фактическая, относящаяся к делу информация.»
Действия. Необходимо проконтролировать записи и документы в системе СМИБ путем определения требований и основы, позволяющей выполнить требования по текущему контролю записей и документов в системе СМИБ.
Проект ISO/IEC CD1 27003, п.7.5 (перевод мой):
Требуемые действия. Организация включает в СМИБ как ту документированную информацию, которую прямо требует стандарт ИСО/МЭК 27001, так и ту, которую организация сочла необходимой для обеспечения эффективности СМИБ.
Объяснение. Документированная информация необходима для установления и для информирования о целях, политике, руководствах, инструкциях, мерах контроля и управления, процессах, процедурах, а также о том, какие действия ожидаются от отдельных лиц и как они должны себя вести. Документированная информация необходима также для проведения (внутреннего) аудита СМИБ,
Специалистов в области управления документацией также может порадовать и прямая рекомендация о том, что если организация собирается управлять своей документированной информацией с использованием системы менеджмента документов, то стоит воспользоваться стандартом ISO 30300 (ГОСТ на основе которого сейчас готовит технический комитет СИБИД, см., например, http://rusrim.blogspot.ru/2014/12/blog-post_15.html ).
Согласно проекту, организация должна сформулировать подход к управлению документацией СМИБ (т.е. разработать руководство), определяющее обязательные реквизиты документов, требования к форматам, языку, носителям информации и к соответствующему программному обеспечению, а также порядок пересмотра документов. Обо всём этом сказано довольно подробно.
Появилась также прямая рекомендация об установлении документам сроков хранения и о продумывании порядка действий с документами по истечении сроков хранения.
В общем, как мне кажется, в тех организациях, в которых серьёзно относятся к информационной безопасности и к стандартам СМИБ, новые редакции этих стандартов могут помочь специалистам по управлению документами в их борьбе «за место под солнцем».
Комментариев нет:
Отправить комментарий