пятница, 7 июля 2017 г.

Австралия: Подход к управлению документами на основе анализа рисков


Заметка Эммы Харрис (Emma Harris – на фото) была опубликована 26 июня 2017 года на сайте Управления государственных документов австралийского штата Новый Южный Уэльс, посвящённом инициативе «Выдержать проверку временем – защитить наше электронное будущее» (Future Proof – Protecting our digital future).

Архивно-документационная служба австралийского штата Новый Южный Уэльс (State Archives and Records NSW) советует (см. https://www.records.nsw.gov.au/recordkeeping/advice/identifying-high-risk-business-impacts ), рассматривать направления деловой деятельности с высоким уровнем риска в любой организации как приоритетные с точки зрения управления информацией. Определив направления деловой деятельности с высоким уровнем риска, организация может выявить и смягчить связанные с информацией риски, с которыми эти направления могут сталкиваться.

На прошедшей на прошлой неделе встрече членов группы по внедрению электронных технологий (Digital Implementers Group), её участники рассказали о том, как они выявляют, оценивают и смягчают информационные риски. Дискуссия позволила увидеть практические способы рассмотрения организациями вопросов управления документами сквозь призму менеджмента риска.

Проведение оценки риска для решения вопроса о том, оправданы ли «героические меры»

Один из участников дискуссии рассказал о планах его организации мигрировать документы из существующих деловых и документных систем во вводимую в ближайшее время в эксплуатацию новую систему управления документами. В рамках этой работы они идентифицировали типы документов, которые по разным причинам очень трудно успешно извлечь из существующих систем.

Их ИТ-специалисты сказали, что они могут продолжить разработку и совершенствование решений для извлечения документов этих типов и уверены в конечном успехе. Это, однако, неизбежно оттянет ресурсы от других работ, выполняемых в рамках проекта. Организация тогда решила принимать решения о том, какие из документов требуют принятия подобных «героических мер» на основе результатов оценки риска и ценности.

В отношении некоторых типов документов, организация сочла подобные меры неоправданными. Вместо этого решено поддерживать такие документы в унаследованной системе до истечения срока их хранения.

Выявление направлений деловой деятельности с высоким уровнем риска, в качестве приоритетных для принятия мер в плане управления документами

Ещё один коллега рассказал о работе, которую их организация выполняет с целью выявления направлений деловой деятельности с высоким уровнем риска. Идея заключается в том, чтобы установить все подобные виды деятельности в масштабе организации, а затем выявить все связанные с ними информационные риски (например, риски того, что документы отсутствуют или недоступны, не подходят для выполнения поставленных задач, хранятся дольше, чем требуется и т.д.).

Результаты этой работы будут затем использованы при разработке новых и совершенствовании существующих систем. Например, планируется выявить SharePoint-сайты, которые используются для ведения деловой деятельности с высоким уровнем риска, и связать их с системой управления документами организации – с тем, чтобы всё, что было создано на этих сайтах и управлялось ими, было захвачено в качестве документов.

Управление унаследованной электронной почтой на основе подхода, опирающегося на оценку риска

Ряд членов группы рассказал о том, как их организации используют подход на основе оценки риска для управления унаследованной электронной почтой. Многие организации используют хранилища электронной почты, но при этом они могут не иметь политик в отношении сроков хранения сообщений электронной почты в хранилище. Неопределенно длительное хранение сообщений создает для организации ряд рисков (например, с точки зрения исполнения законодательно-нормативных требований в отношении персональных данных, согласно которым хранить информацию следует не дольше, чем в ней сохраняется потребность; а также с точки зрения способности отыскать нужную информацию при исполнении запросов на доступ к ней, таким, как GIPA-запросы на основании закона о свободе доступа к государственной информации штата).

Один из коллег описал ориентированный на оценку риска подход, который его организация использует для управления сообщениями в своем хранилище электронной почты. Политика организации предусматривает, что все связанные с деловой деятельностью сообщения должны захватываться в систему управления документами. Тем временем все сообщения сохраняются в хранилище электронной почты. Через определенный промежуток времени сообщения, поступившие из оперативных почтовых ящиков входящей почты сотрудников, удаляются, в то время, как переписка руководителей и ряда других высокопоставленных должностных лиц будет храниться постоянно (по сути, это американский подход Capstone, разработанный Национальными Архивами США – Н.Х.). Это решение основывалось на оценке риска, которая показала, что рядовые сотрудники лучше справляются с вводом сообщений электронной почты в систему управления документами, в то время, как у руководителей старшего и высшего звена с большой вероятностью в почтовых ящиках будут лежать важные деловые документы.

Риски бывают разными по виду и величине

Очень активно обсуждалась важность принятия во внимание репутационного риска. На него не всегда обращают внимание, однако для определенных видов организаций с высоким общественным статусом, которые очень активно взаимодействуют с общественностью, такой риск имеет критически-важное значение.

Оценивать информационные риски сложно!

Участники встречи рассказали о том, как трудно специалистам по управлению документами оценивать риски, связанные с конкретным видом деловой деятельности, если они не принимают непосредственного участия в этой деятельности. Сложно точно оценить соответствующие риски в отсутствие практических, прикладных знаний о том, что из себя представляет и что включает конкретный вид деловой деятельности.

Некоторые коллеги столкнулись с тем, что многие сотрудники в их организациях рассматривают практически каждый вид деятельности как связанный с высоким риском. Один из участников встречи отметил, что отвечающий за менеджмент риска сотрудник их организации очень ловко разбирается с подобными заявлениями, оспаривая те предположения, на которых они строятся.

Что дальше?

В настоящее время архивно-документационная служба готовит для государственных органов штата семинар по оценке информационных рисков. Если такой семинар мог бы быть полезен для Вас и Вашей команды, следите за объявлениями о времени его проведения, которые появятся на данном сайте и в нашем новостном бюллетене «Задокументировать для памяти» (For the Record, https://www.records.nsw.gov.au/recordkeeping/for-the-record ).

Группа по внедрению электронных технологий (Digital Implementers Group) проводит встречи несколько раз в год. Если данная дискуссия об информационном риске Вас заинтересовала, и Вы хотели бы присоединиться к этой группе, пожалуйста, свяжитесь с нами по адресу govrec@recordkeeping.nsw.gov.au .

Эмма Харрис (Emma Harris)

Источник: сайт архивно-документационной службы штата Новый Южный Уэльс, Австралия
https://futureproof.records.nsw.gov.au/taking-a-risk-based-approach-to-recordkeeping/ 

Комментариев нет:

Отправить комментарий