ИСО: Опубликован технический отчет ISO TR 18128-2014 по оценке рисков для документных процессов и систем

10 марта 2014 года Международная организация по стандартизации (ИСО) сообщила о публикации технического отчета ISO TR 18128-2014 «Информация и документация – Определение и оценка рисков для документных систем» (Information and documentation - Risk assessment for records processes and systems).

О работе над этим документом я уже писала (см. http://rusrim.blogspot.ru/2012/03/blog-post_3525.html ); за прошедшие два года он был существенно улучшен и, как мне кажется, мог бы быть полезен отечественным специалистам.

Как отмечается в размещённой на сайте ИСО аннотации (см. http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=61521 ), технический отчет ISO/TR 18128:2014 объёмом 37 страниц должен помочь организациям оценивать риски для документных процессов и систем, с тем, чтобы те могли обеспечить соответствие своих документов деловым потребностям до тех пор, пока сохраняется нужда в этих документах. Документ опирается на базовый стандарт анализа рисков ISO 31000 (имеется национальная адаптация ГОСТ Р ИСО 31000-2010 «Менеджмент риска. Принципы и руководство»).

Технический отчет ISO/TR 18128:2014:

• Описывает метод анализа, используемого для выявления рисков, связанных с документными процессами и системами;


• Предлагает метод анализа потенциальных последствий неблагоприятных событий на документные процессы и системы;


• Содержит рекомендации по проведению оценки рисков, связанных с документными процессами и системами; и


• Содержит рекомендации по документированию выявленных и оцененных рисков при подготовке к действиям по смягчению рисков.

Технический отчет может использоваться любыми организациями, независимо от их размера, характера их деятельности и сложности их функций и структуры. Эти факторы, а также законодательно-нормативная среда, в условиях которой организация осуществляет свою деятельность и которая определяет требования к созданию документов и контролю над ними, учитываются при идентификации и оценке рисков, связанных с документными процессами и системами.

Технический отчет может быть использован профессиональными специалистами по управлению документами, а также лицами, ответственными за документы в своих организациях, аудиторами и руководителями, отвечающими в организациях за программы менеджмента риска.

Вводная часть стандарта на английском языке доступна по адресу https://www.iso.org/obp/ui/#iso:std:iso:tr:18128:ed-1:v1:en

Содержание документа следующее:

Предисловие

Введение

1. Область применения

2. Нормативные ссылки

3. Термины и определения

4. Используемые организацией критерии оценки риска (Risk assessment criteria for the organization)

5. Выявление (идентификация) рисков (Risk identification)

6. Анализ выявленных рисков

7. Оценка величины рисков (Evaluating risks)

8. Осведомление о выявленных рисках (Communicating the identified risks)

Приложение A. Пример записи о документированном риске в реестре рисков

Приложение B. Пример контрольных листов для выявления областей неопределенности

Приложение C. Руководство по применению мер, перечисленных в приложении А стандарта ISO/IEC 27001

Библиография

Источник: сайт ИСО
http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=61521
https://www.iso.org/obp/ui/#iso:std:iso:tr:18128:ed-1:v1:en