信息与文献 文件管理体系要求
1范围
本标准规定了文件管理体系应满足的要求,以支持组织实现其职权、使命、战略和目标。本标准为建立、实施文件方针、目标,考评、监测文件管理的绩效提供指南。
建立文件管理体系的可以是单个组织,也可以是拥有共同业务活动的多个组织。本标准所指“组织”,不局限于单个组织,还包括其他类型的组织结构。
本标准适用于有下列需求的任意类型的组织:
a)建立、实施、维护与改进文件管理体系以支持其业务;
b)确保组织的文件管理体系与其规定的文件方针保持一致;
c)通过以下方式来证明与本标准的一致性:
1)开展自我评估和自我鉴定;
2)通过外部第三方来证实自我鉴定;
3)通过外部第三方来认证文件管理体系。
本标准可以与其他管理体系标准(MSS)同步实 施,且尤为有效地呈现了与其他管理体系标准的证明性文档和文件要求的一致性。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T34110-2017信息与文献文件管理体系 基础与术语(ISO30300:2011,IDT)
3术语和定义
GB/T34110-2017界定的术语和定义适用于本文件。
4组织背景
4.1了解组织及其背景
在建立或评估文件管理体系时,组织应全面考虑相关的外部因素和内部因素。
这些已识别并纳入考虑范围的外部因素和内部因素,应以书面形式予以记录。
组织的外部因素包括但不局限于下列方面:
a)国际、国内、区域或地方的社会、文化、法律、法规、金融、技术、经济、自然和竞争环境等各方面因素;
b)影响组织目标的关键驱动因素和趋势;
c)与外部利益相关方的关系,以及他们的观念价值观和期望。
组织的内部因素包括但不局限于以下几方面:
a)治理、组织结构、岗位和职责;
b)政策、目标和实现政策、目标的战略;
c)能力,特指在资源和知识管理方面的能力如:资本、时间、人员、流程、系统和技术);
d)信息系统、信息流和决策过程(包括正式的 与非正式的);
e)与内部利益相关方的关系,他们的观念、价 值观,以及组织文化;
f)组织已采用的标准、指南和模式;
g)合同关系的形式和范围。
4.2业务、法律和其他要求
组织在建立和评估文件目标时,应考虑到与文件形成和控制相关的业务、法律法规和其他要求。
组织应评估并记录其必须遵守并保留证据的业务、法律法规和其他影响经营活动的要求。
业务上的要求包括组织正常运营或开展业务活动的全部要求,来源于组织当前的业务绩效、未来规划和发展、风险管理以及业务连续性规划。
法律上的要求包括文件形成和控制方面的规定它来源于:
a)法律、法规和规章,包括适用于特定行业及 通用业务环境的法律法规;
b)与证据、文件、档案、获取、隐私、数据和信息保护以及电子商务相关的法律法规;
c)组织的监管规则或组织签订的章程或协议;
d)组织在法律上需要遵守的其他条约。
其他包括组织自愿履行的,非法律的义务的要求。
——最佳实践;
——道德和行为;
——为公众所接受或期待的特定部门或组织的行为,包括良好的治理、对欺诈或恶意行为的控制、决 策过程透明。
4.3界定文件管理体系的范围
组织应对文件管理体系的范围进行界定,并以书面形式记录。
文件管理体系的范围可以是整个组织、组织的特定职能部门、组织的特定部分,或者多组织协同的个或多个职能部门。
当文件管理体系是为多组织协同的一个或多个特定职能部门而建立时,范围应涵盖每个部门实体的岗位及其相互关系。
当组织外包的业务活动不符合文件管理体系的要求时,组织应确保对该流程的控制。承包商和外包业务流程应纳入文件管理体系范围之内予以管理。
5领导力
5.1管理承诺
最高管理者应履行以下承诺:
a)保证文件管理体系与组织的战略方向一致;
b)将文件管理体系的要求集成到组织的业务过程中;
c)为文件管理体系的建立、实施、维护和持续 改进提供资源;
d)宣传有效的文件管理体系的重要性并遵守文件管理体系的要求;
e)确保文件管理体系达到预期目标;
f)指导并支持文件管理体系持续改进。
注:本标准提及的“业务”应广义地理解为对组织的战略意图起核心作用的业务活动。
5.2方针
最高管理者应制定文件方针,该方针应:
a)与组织的目的相适应;
b)为设定文件管理体系目标提供框架;
c)承诺并满足组织内、外适用的要求;
d)确保文件管理体系能够得到持续改进;
e)可在组织内进行交流;
f)可供利益相关方查询利用。
组织应以书面形式记录并保留文件方针。
文件方针应包含最高层级的战略一一创建和控制具有真实性、可靠性、可用性并能支持组织职能活动的文件,在文件需要时能保护文件的完整性。
组织应确保文件方针在整个组织所有层级中得到传达和贯彻实施,并告知与组织存在业务关系的法人和自然人(例如,合伙人、承包商)。
5.3组织的岗位、职责和权限
5.3.1总则
最高管理者应合理定义、分配文件管理岗位职责和权限,并在整个组织范围内,向与组织存在业务关系的或代表本组织的法人或自然人进行沟通。
文件管理的职责应适当地分配到相应的各个职能部门和层级,特别是组织的高管、项目经理、文件管理人员、信息管理人员、系统管理人员和在日常工作中需要创建和控制文件的其他所有人员。
组织的最高管理者应指定文件工作的分管领导负责督促、指导文件管理体系的实施。当组织或文件管理流程达到一定的规模和复杂程度时,宜配备具有专业知识、能够适应文件管理工作需要的专职人员文件管理的各种职责的分配以及相互关系应列入岗位职责说明中。
5.3.2管理职责
最高管理者应任命专职管理者,不论其是否还有其他职责,对以下工作负有首要责任:
a)根据本标准的要求,建立、实施并维护文件管理体系;
b)确保组织对文件管理体系的认识不断提升;
c)根据文件管理体系中定义的岗位和职责配备相应的专兼职人员,并保证其有足够的专业能力。
注:根据组织的复杂程度,管理职责可以分配给特定岗位或者指定的团队。
5.3.3业务职责
组织最高管理者应任命专职的文件管理业务代表,并明确其岗位、职责和权力,包括:
a)在业务层面实施文件管理体系;
b)向最高管理者汇报文件管理体系的运行情况提出改进建议;
c)与文件管理体系涉及的外部单位建立良好的协调关系。
注:管理人员和文件管理业务代表可以由同一个人或同一个团队担任。
6规划
6.1应对风险和机遇的措施
组织应根据4.1中提到的组织背景因素以及4.2中提到的各种要求,分析需要应对的风险和机遇, 从而:
a)确保文件管理体系达到预期目标;
b)防止产生不良影响;
c)抓住改进的机会。
组织应适时对制定风险和机遇应对方案的必要性 进行评估:
——将方案整合到文件管理体系过程中予以实施 (见8.1);
——若方案行之有效,确保有足够的信息可用来 评估方案的有效性(见9.1)
6.2文件管理的目标和计划
最高管理者应建立文件管理目标,并在组织的相关职能、层级范围内进行宣传。
文件管理目标应:
a)与文件方针相一致;
b)可测评(如果可行);
c)考虑适当的需求;
d)可被监控并适时更新。
文件管理目标应来源于对组织业务活动的分析。应当确定在法律、法规、其他标准及最佳实践中最适用于规范业务活动过程中文件创建的领域。制定文件管理目标时要考虑组织的规模、业务性质、产品和服务、地理位置、条件、法律(行政制度)和文化环境。
组织应保留记录了文件管理目标的文档信息。
为了实现文件管理目标,组织应明确:
——相关的责任人有哪些;
——需要做哪些事情;
——需要提供哪些资源保障;
——何时完成;
——如何评估结果。
7支持
7.1资源
最高管理者应对文件管理体系分配并维持所需要的各种资源。资源管理包括:
a)指定适当的人员完成文件管理体系分配的任务;
b)定期检査这些人员的能力及其接受培训情况;
c)维护资源和技术设施的可持续性。
7.2能力
组织应当:
a)确定在组织控制下可能对文件管理过程和系统运行效能产生影响的业务人员必备的能力;
b)通过适当的教育、培训和经验传授等方式保证员工有能力胜任工作;
c)如果可行,采取措施使员工获得必要的能力,并对所采取的措施进行有效性评估;
d)保留适当的文档信息来证明员工的能力。注:适用的措施包括:给现有员工提供培训、指导,重新分配任务,雇佣或直接外包给称职的工作 人员。
7.3意识和培训
组织应确保员工意识到:
a)其个人活动与文件管理的相关性和重要性,员工能为实现文件管理体系目标做哪些事情;
b)遵守文件管理体系的方针、程序和要求的重要性;
c)员工的工作活动、行为对文件管理体系造成的实际或潜在的后果,以及提升个人绩效对文件管理体系带来的好处;
d)其在遵守文件管理体系要求时的岗位和需要承担的责任;
e)偏离规定程序的潜在后果。组织应设立一个可持续的项目,用于文件创建和控制的培训。文件管理需求与实践的培训项目应向组织所有层次的员工开放,包括承包商和其他相关组织的员工。培训项目应考虑到不同岗位对文件管理方面的能力和技能需求不同,应对需求进行评估、确定并纳入组织的培训计划。
7.4沟通
针对文件管理体系和文件的方针、目标,组织应建立、实施、记录并维持一种内部沟通程序。为了更好地实施文件管理体系,内部沟通应包括职责、运行机制以及文件利用。
组织应确定文件管理体系沟通工作是否需要拓展到相关的外部机构(例如,跨机构业务流程涉及的其他机构)。确有需要时,组织应建立沟通的渠道。根 据与外部机构关系的层次来定沟通的内容,例如,承包商、客户、供应商,可能需要介绍文件管理体系、文件目标等宏观信息,或者详细介绍某个工作程序相关的文件编制工作。
7.5证明性文档
7.5.1总则
组织应记录文件管理体系,通过授权的方式正式公布:
a)文件管理体系的范围;
b)方针和目标;
c)文件管理体系与本组织或多个组织的其他管理体系间的相互关系;
d)本标准要求的书面程序;
e)用于保障文件管理体系得以有效规划、运行和过程控制所需的文件。
注1:本标准出现的“书面程序”一词,意味着该程序已经建立、成文、实施并维护。
注2:不同组织的文件管理体系的证明性文档可能不同,导致差异的原因有:
——组织的规模和业务活动的种类不同;
——文件管理过程的范围和复杂度不同,以及文件管理体系被应用于共同开展业务活动的多组织间。
7.5.2证明性文档的控制
必须对文件管理体系所要求的文档进行控制,组织应将控制程序确立为书面程序,具体控制程序如下:
a)在文件发布前得到审批,确保其有效性;
b)文件可以被审核、更新并再次审批;
c)确保文件的变更、当前版次状态已标识;
d)保留历史修改版本并能提供利用;
e)确保文件清晰和易于识别;
f)确保能识别外来文件并控制其分发;
g)防止作废文件误用,无论因何故保留作废文件时,均要对这些文件赋予作废标识。
文件管理体系的证明性文档是文件的一种,必须通过文件系统进行管理。文件管理体系证明性文档的创建和控制程序应与一般文件的创建和控制程序保持致[见8.2c)]。
8运行
8.1运行计划和控制
组织应确定、规划、实施并控制用以应对6.1中已辨识的风险和机遇所需措施的过程,并通过以下方法满足文件管理的要求:
a)建立过程的标准;
b)根据本标准对过程实施控制;
c)保留文档信息,证明已经按照计划有效地实 施相应的过程。
组织应对可预期的变化进行控制,并对突发的变化可能带来的后果进行审查,必要时采取行动以减轻任何不良影响。
组织应对委托外单位或外包的过程进行控制。
8.2文件过程的设计
为了建立文件管理体系,组织应依据以下规则设计文件过程:
a)开展工作过程分析,确定文件创建和控制的要求,使文件支持业务连续性、满足问责要求和其他 相关方的利益(见GB/Z32002-2015)。
b)对在组织业务过程中所形成的真实、可靠、可用的文件失控后所带来的风险进行评估:
1)评估风险等级;
2)依据风险管理标准判断风险是否在可接受范围内,或是否需要对风险采取管理措施;
3)对风险管理的可选措施进行确认并评估;
c)详细设计文件形成和控制的过程(见附录A组织可部署的文件过程),该过程在信息系统中如何实现,如何选择恰当的技术工具。目的在于:
1)形成。
i)确定每项业务过程需要在何时、以何种方式形成并捕获哪些文件;
ii)确定文件应包含的内容、背景和控制信息 数据);
iii)确定文件应以何种形式与结构形成和捕获;
iv)确定形成和捕获文件的技术手段。
2)控制
i)确定在文件管理过程中需要形成哪些控制信息(元数据),这些元数据如何实现与文件的长期关 联和有效管理;
ii)建立文件长期利用的规则和条件
iii)保持文件的长期可用性;
iv)建立授权的文件处置方案;
v)建立文件系统的管理和维护机制。
为了实现这些目标,应实施附录A中所列的过 程和控制措施,同时应考虑到组织的资源、业务背景、已识别的风险以及监管和社会环境。
8.3文件系统的实施
组织应做到:
a)在文件系统中实施文件管理过程,实现文件管理目标;
b)对照业务要求和文件管理目标,定期监控文 件系统的运行情况;
c)管理文件系统的运营维抑。
注:在电子环境下(例如,电子政务、电子政府、电子治理、电子商务),文件处理将逐渐自动化并逐步得到自动化的文件系统的支持。功能要求的强制性标准将出现。自动化的文件系统的功能需求宜符合本标准的规定。
9绩效评估
9.1监控、测评、分析和评估
9.1.1组织应明确:
a)需要测评和监控的内容;
b)监控、测评、分析和评估采用何种方法来保证结果的有效性;
c)何时开展监控和测评;
d)何时进行监控和测评结果的分析和评估。
9.1.2组织应对文件管理过程和文件系统的运行情况以及文件管理体系的有效性进行评估 此外,组织还需要:
a)在不合格行为出现前采取行动应对不良的趋势或结果;
b)保留相关的文档信息作为结果的证据。
9.1.3为了评估文件管理体系的有效性,组织需要适时监控和测评以下内容:
a)文件方针,保证它能反映当前的业务需要在组织出现重大变更时得到及时更新;
b)确保与文件方针保持一致的文件管理目标,可实现、持续有效并且支持持续改进;
c)对文件管理体系会造成影响的业务、法律或其他要求的变更情况;
d)资源,例如经费、人员、设施、技术等的可获取性和充足性;
e)岗位、责任、权限的分配是否恰当;
f)被指定负责文件管理体系实施、汇报并宣传贯彻的工作人员的绩效;
g)对照文件管理目标,评估文件管理过程和文件系统的运行情况;
h)文档充足,且文件控制程序正确实施;
i)在文件系统实施过程中,采取的措施对于组织达到其战略、管理、经济目标所发挥的作用;
j)组织针对文件管理体系开展的培训、提高认识的项目和沟通战略的有效性;
k)用户和利益相关方的满意度。
附录C问题列表中提供了一些供组织自评估的 测评指标的范例。
监控和测评标准应根据组织的社会、经济、战略和法律背景的改变而发展更新。
9.2内部体系审计
组织应当按计划的时间间隔进行内部审计,以确定文件管理体系是否:
a)符合。
1)组织自身对文件管理体系的要求;
2)本标准的要求。
b)得到有效的实施与保持。
组织应当:
1)策划、建立、实施并维持一个审计项目,规定审计的频次、方法、职责、要求和报告机制,同时要考虑相关过程和上次审核结果的重要性;
2)确定每次审计的准则和范围;
3)审计员的选择和审计的实施应确保审计过程的客观性和公正性;
4)确保将审计结果告知相关管理人员;
5)保留审计结果的文档信息作为证据。
10改进
10.1不符合项控制和纠正措施
组织应:
a)识别不符合项。
b)对不符合项作出适当反应。
1)采取措施进行控制、遏制并纠正;
2)处理带来的后果。
组织还应评估是否需要采取措施,以消除潜在产生不符合项的原因,包括:
a)评审不合格的情况;
b)确定不合格的原因;
c)识别文件管理体系其他地方是否存在潜在的类似的不符合项;
d)评估是否需要采取措施以确保不符合项不发生或不出现在其他地方;
e)确定和实施必要的措施;
f)评估所采取的纠正措施的有效性;
g)如果需要,对文件管理体系进行修改。
纠正措施应适合于改善不符合项的影响。
组织应保留以下文档信息作为证据:
a)不符合项的性质和事后采取的措施;
b)纠正过后的结果。
10.2持续改进
组织应通过文件方针、文件目标、审计结果、数据分析、纠正和预防措施以及管理评审,来持续改进文件管理体系的有效性。
改进的措施应根据风险评估的结果(见6.1)进行优先排序。
欢迎投稿
扫描上方二维码添加‘微信’
了解更多城建档案相关内容
欢迎投稿
扫描上方二维码添加‘微信’
了解更多城建档案相关内容