ISO 30301:2011

SLOVENSKI STANDARD
01-julij-2013
Informatika in dokumentacija - Sistemi upravljanja zapisov - Zahteve
Information and documentation -- Management systems for records -- Requirements
Information et documentation -- Systèmes de gestion des documents d'activité --
Exigences
Ta slovenski standard je istoveten z: ISO 30301:2011
ICS:
01.140.20 Informacijske vede Information sciences
2003-01.Slovenski inštitut za standardizacijo. Razmnoževanje celote ali delov tega standarda ni dovoljeno.

INTERNATIONAL ISO
STANDARD 30301
First edition
2011-11-15
Information and documentation —
Management systems for records —
Requirements
Information et documentation — Systèmes de gestion des documents
d'activité — Exigences
Reference number
©
ISO 2011
©  ISO 2011
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means,
electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or
ISO's member body in the country of the requester.
ISO copyright office
Case postale 56  CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO 2011 – All rights reserved

Contents Page
Foreword . iv
Introduction . v
1  Scope . 1
2  Normative references . 1
3  Terms and definitions . 1
4  Context of the organization . 2
4.1  Understanding of the organization and its context . 2
4.2  Business, legal and other requirements . 2
4.3  Defining the scope of the MSR . 3
5  Leadership . 3
5.1  Management commitment . 3
5.2  Policy . 3
5.3  Organizational roles, responsibilities and authorities . 4
6  Planning . 5
6.1  Actions to address risks and opportunities . 5
6.2  Records objectives and plans to achieve them . 5
7  Support . 6
7.1  Resources . 6
7.2  Competence . 6
7.3  Awareness and training . 6
7.4  Communication . 7
7.5  Documentation . 7
8  Operation . 8
8.1  Operational planning and control . 8
8.2  Design of records processes . 8
8.3  Implementation of records systems . 9
9  Performance evaluation . 9
9.1  Monitoring, measurement, analysis and evaluation . 9
9.2  Internal system audit . 11
9.3  Management review . 11
10  Improvement . 12
10.1  Nonconformity control and corrective actions . 12
10.2  Continual improvement . 12
Annex A (normative) Processes and controls . 13
Annex B (informative) Interrelationships between ISO 9001, ISO 14001, ISO/IEC 27001 and
ISO 30301 . 16
Annex C (informative) Checklist for self-assessment . 20
Bibliography . 22

Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards bodies
(ISO member bodies). The work of preparing International Standards is normally carried out through ISO
technical committees. Each member body interested in a subject for which a technical committee has been
established has the right to be represented on that committee. International organizations, governmental and
non-governmental, in liaison with ISO, also take part in the work. ISO collaborates closely with the
International Electrotechnical Commission (IEC) on all matters of electrotechnical standardization.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of technical committees is to prepare International Standards. Draft International Standards
adopted by the technical committees are circulated to the member bodies for voting. Publication as an
International Standard requires approval by at least 75 % of the member bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. ISO shall not be held responsible for identifying any or all such patent rights.
ISO 30301 was prepared by Technical Committee ISO/TC 46, Information and documentation, Subcommittee
SC 11, Archives/records management.
ISO 30301 is part of a series of International Standards under the general title Information and
documentation — Management systems for records:
 ISO 30300, Information and documentation — Management systems for records — Fundamentals and
vocabulary
 ISO 30301, Information and documentation — Management systems for records — Requirements
ISO 30300 specifies the terminology for the Management systems for records (MSR) series of standards, and
the objectives and benefits of a MSR; ISO 30301 specifies requirements for a MSR where an organization
needs to demonstrate its ability to create and control records from its business activities for as long as they
are required.
iv © ISO 2011 – All rights reserved

Introduction
Organizational success largely depends upon implementing and maintaining a management system that is
designed to continually improve performance while addressing the needs of all stakeholders. Management
systems offer methodologies to make decisions and manage resources in order to achieve the organization's
goals.
Creation and management of records are integral to any organization's activities, processes and systems.
They enable business efficiency, accountability, risk management and business continuity. They also enable
organizations to capitalize on the value of their information resources as business, commercial and knowledge
assets, and to contribute to the preservation of collective memory, in response to the challenges of the global
and digital environment.
Management System Standards (MSS) provide tools for top management to implement a systematic and
verifiable approach to organizational control in an environment that encourages good business practices.
The standards on management systems for records prepared by ISO/TC 46/SC 11 are designed to assist
organizations of all types and sizes, or groups of organizations with shared business activities, to implement,
operate and improve an effective management system for records (hereafter referred to as a MSR). The MSR
directs and controls an organization for the purposes of establishing a policy and objectives with regard to
records and achieving those objectives. This is done through the use of:
a) defined roles and responsibilities;
b) systematic processes;
c) measurement and evaluation;
d) review and improvement.
Implementation of a records policy and objectives soundly based on the organization's requirements will
ensure that authoritative and reliable information about, and evidence of, business activities is created,
managed and made accessible to those who need it for as long as required. Successful implementation of
good records policy and objectives results in records and records systems adequate for all of an
organization's purposes.
Implementing a MSR in an organization also guarantees the transparency and traceability of decisions made
by responsible management and the recognition of public interest.
The standards on MSR prepared by ISO/TC 46/SC 11 are developed within the MSS framework to be
compatible and to share elements and methodology with other MSS. ISO 15489, and other International
Standards and Technical Reports also developed by ISO/TC 46/SC 11, are the principal tools for designing,
implementing, monitoring and improving records processes and controls, which operate under the governance
of the MSR where organizations decide to implement MSS methodology.
NOTE ISO 15489 is the foundation standard which codifies best practice for records management operations.
The structure of standards on MSR prepared by ISO/TC 46/SC 11, either published or under preparation, is
shown in Figure 1.
Management systems for records
Related International Standards
standards
and Technical Reports
Governance framework for records
Implementation of records processes
ISO 30300
ISO 15489
ISO 23081 ISO/TR
Fundamentals
Management systems for
Records
Metadata for 26122
records - Fundamentals
& terminology
management
records. Work
and vocabulary
Part 1 -
Part 1 - Principles process
General
analysis for
Part 2 - Conceptual
records
Part 2 -
ISO 30301
and implementation
Guidelines
Management systems for
Requirements
issues
records - Requirements
Part 3 - Self
ISO 30303 assessment method
Management systems for
records - Requirements for
bodies providing audit and
ISO 13008 ISO 16175
ISO/TR
certification
Digital records Principles and
conversion and functional
Implement-
migration requirements for
ation
ISO 30302
Guidelines
process records in
guidelines
Management systems for
Support high level
electronic office
for
records - Guidelines for
structure elements environments
digitization
implementation
Part 1 - Overview
of records
and statement of
ISO 30304
Management systems for principles
records - Assessment
guide
Part 2 - Guidelines
and functional
requirements for
digital records
management
systems
Part 3 -
Guidelines
and functional
requirements
for records in
business
systems
Figure 1 — Standards on MSR prepared by ISO/TC 46/SC 11
and related International Standards and Technical Reports
These standards are intended to be used by:
 top management who make decisions regarding the establishment and implementation of management
systems within their organization;
 people responsible for implementation of MSR, such as professionals in the areas of risk management,
auditing, records, information technology and information security.
The MSR determines the records management requirements and expectations of the interested parties
(customers and stakeholders) and, through the necessary processes, produces records that meet those
requirements and expectations.
Figure 2 shows the structure of the MSR and the relationship with customers and stakeholders.
vi © ISO 2011 – All rights reserved

Records Customers
Context of the organization
Input
management and
requirements stakeholders
and
expectations
Leadership
Planning Improvement
Performance
Support
evaluation
Operation
Right
managerial
Quality records
decisions to
Customers achieve policy
and and
Output
stakeholders expectations
Figure 2 — Structure of MSR
INTERNATIONAL STANDARD ISO 30301:2011(E)

Information and documentation — Management systems for
records — Requirements
1 Scope
This International Standard specifies requirements to be met by a MSR in order to support an organization in
the achievement of its mandate, mission, strategy and goals. It addresses the development and
implementation of a records policy and objectives and gives information on measuring and monitoring
performance.
A MSR can be established by an organization or across organizations that share business activities.
Throughout this International Standard, the term “organization” is not limited to one organization but also
includes other organizational structures.
This International Standard is applicable to any organization that wishes to:
a) establish, implement, maintain and improve a MSR to support its business;
b) assure itself of conformity with its stated records policy;
c) demonstrate conformity with this International Standard by
1) undertaking a self-assessment and self-declaration, or
2) seeking confirmation of its self-declaration by a party external to the organization, or
3) seeking certification of its MSR by an external party.
This International Standard can be implemented with other Management System Standards (MSS). It is
especially useful to demonstrate compliance with the documentation and records requirements of other MSS.
2 Normative references
The following referenced documents are indispensable for the application of this document. For dated
references, only the edition cited applies. For undated references, the latest edition of the referenced
document (including any amendments) applies.
ISO 30300, Information and documentation — Management systems for records — Fundamentals and
vocabulary
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO 30300 apply.
4 Context of the organization
4.1 Understanding of the organization and its context
When establishing and reviewing its MSR, an organization shall take into account all external and internal
factors that are relevant.
The external and internal factors identified and taken into account when establishing and reviewing the MSR
shall be documented.
Understanding the organization's external context may include, but is not limited to:
a) the social and cultural, legal, regulatory, financial, technological, economic, natural and competitive
environment, whether international, national, regional or local;
b) key drivers and trends which can have an impact on the objectives of the organization;
c) relationships with, and perceptions, values and expectations of, external stakeholders.
Understanding the organization's internal context may include, but is not limited to:
1) governance, organizational structure, roles and accountabilities;
2) policies, objectives and the strategies that are in place to achieve them;
3) capabilities, understood in terms of resources and knowledge (e.g. capital, time, people, processes,
systems and technologies);
4) information systems, information flows and decision making processes (both formal and informal);
5) relationships with, and perceptions and values of, internal stakeholders and the organization's
culture;
6) standards, guidelines and models adopted by the organization;
7) the form and extent of contractual relationships.
4.2 Business, legal and other requirements
When establishing and reviewing its records objectives, an organization shall take into account the business,
legal, regulatory and other requirements related to the creation and control of records.
The organization shall assess and document business, legal, regulatory and other requirements affecting its
business operations with which it shall comply and for which it requires evidence of compliance.
Business requirements include all the requirements for the proper performance of the operations or business
of the organization. Requirements arise from current business performance, future planning and development,
risk management and business continuity planning.
Legal requirements include requirements related to the creation and control of records. Sources of legal
requirements are:
a) statute and case law, including law and regulations governing the sector-specific and general business
environment;
b) laws and regulations relating specifically to evidence, records and archives, access, privacy, data and
information protection, and electronic commerce;
2 © ISO 2011 – All rights reserved

c) the constitutional rules of organizations, charters or agreements to which the organization is a party;
d) treaties and other instruments the organization is legally bound to uphold.
Other requirements include non-legal voluntary commitments made by the organization:
 voluntary codes of best practice;
 voluntary codes of conduct and ethics;
 identifiable expectations of the community about what is acceptable behaviour for the specific sector or
organization, including good governance, the proper control of fraudulent or malicious behaviour and
transparency in decision making.
4.3 Defining the scope of the MSR
The organization shall define and document the scope of its MSR.
The scope of the MSR may include the whole of the organization, specific functions of the organization,
specific sections of the organization, or one or more functions across a group of organizations.
When a MSR is established for one or more specific functions across a group of organizations, the scope shall
include relationships between, and roles of, each entity.
Where an organization outsources any process that affects conformity with MSR requirements, the
organization shall ensure control over such processes. Control of contractors and outsourced processes shall
be identified as within the scope of the MSR.
5 Leadership
5.1 Management commitment
Top management shall demonstrate its commitment by
 ensuring the MSR is compatible with the strategic direction of the organization,
 integrating the MSR requirements into the organization's business processes,
 providing the resources to establish, implement, maintain and continually improve the MSR,
 communicating the importance of an effective MSR and conforming to the MSR requirements,
 ensuring that the MSR achieves its intended outcomes, and
 directing and supporting continual improvement.
NOTE Reference to “business” in this International Standard is interpreted broadly to mean those activities that are
core to the purposes of the organization's existence.
5.2 Policy
Top management shall establish a records policy. The policy shall
 be appropriate to the purpose of the organization,
 provide the framework for setting records objectives,
 include a commitment to satisfy applicable requirements,
 include a commitment to continual improvement of the MSR,
 be communicated within the organization, and
 be available to interested parties, as appropriate.
The organization shall retain documented information about the records policy.
The records policy shall include the high-level strategies with regard to the creation and control of authentic,
reliable and useable records capable of supporting the organization's functions and activities and protecting
the integrity of those records for as long as they are required.
The organization shall ensure that the records policy is communicated and implemented at all levels in the
organization, and to entities or individuals (such as partners or contractors) working with it, or on its behalf.
5.3 Organizational roles, responsibilities and authorities
5.3.1 General
Top management shall ensure that records management roles, responsibilities and authorities are defined,
assigned and communicated throughout the organization and to entities or individuals working with the
organization, or on its behalf.
The assignment of responsibilities shall be appropriately allocated to all personnel at relevant functions and
levels within the organization, in particular top management, programme managers, records professionals,
information technology professionals, system administrators and all others who create and control records as
part of their work.
Leadership to implement the MSR shall be allocated to a specific representative of top management. Where
the size and complexity of the organization and its records processes require it, a records operational
representative with specific training and competences shall be appointed to a specific role. The assignment of
responsibilities and their interrelationships shall be documented.
5.3.2 Management responsibilities
A specific management representative shall be designated from the top management who, irrespective of
other responsibilities, shall be accountable and responsible for ensuring
a) that the MSR is established, implemented and maintained in accordance with the requirements of this
International Standard,
b) the promotion of awareness of the MSR throughout the organization, and
c) that the roles and responsibilities defined in the MSR are properly assigned and that the personnel
performing these roles are competent to perform them.
NOTE Responsibilities could be assigned to a specific position or to a designated group as appropriate to the
complexity of the organization.
4 © ISO 2011 – All rights reserved

5.3.3 Operational responsibilities
The organization's top management shall appoint a specific records operational representative who shall have
a defined role, responsibility and authority, which includes
a) implementing the MSR at the operational level,
b) reporting to the top management on the effectiveness of the MSR for review, including recommendations
for improvement, and
c) establishing liaison with external parties on matters relating to the MSR.
NOTE The roles of management representative and records operational representative could be performed by the
same person or group.
6 Planning
6.1 Actions to address risks and opportunities
The organization shall consider the issues referred to in 4.1 and the requirements referred to in 4.2 and
determine the risks and opportunities that need to be addressed in order to
a) assure the MSR can achieve its intended outcome(s),
b) prevent undesired effects, and
c) realize opportunities for improvement.
The organization shall evaluate the need to plan actions to address these risks and opportunities and, where
applicable,
 integrate and implement these actions into its MSR processes (see 8.1),
 ensure information will be available to evaluate whether the actions have been effective (see 9.1).
6.2 Records objectives and plans to achieve them
Top management shall ensure that records objectives are established and communicated for relevant
functions and levels within the organization.
The records objectives shall
a) be consistent with the records policy,
b) be measurable (if practicable),
c) take into account applicable requirements, and
d) be monitored and updated as appropriate.
The records objectives shall be derived from an analysis of the organization's activities. They shall define the
areas where legislation, regulations, other standards and best practices have the greatest application to the
creation of records connected to activities.
The records objectives shall take into account the size of the organization, the nature of its activities, products
and services and the location, conditions, juridical/administrative system and cultural environment in which it
functions.
The organization shall retain documented information about the records objectives.
To achieve its records objectives, the organization shall determine
 who will be responsible,
 what will be done,
 what resources will be required,
 when it will be completed,
 how the results will be evaluated.
7 Support
7.1 Resources
Top management shall allocate and maintain the resources needed for the MSR.
Resources management includes
a) assigning responsibility to personnel competent to perform the roles assigned in the MSR,
b) periodic review of the competencies and training of those personnel, and
c) maintenance and sustainability of resources and technical infrastructure.
7.2 Competence
The organization shall
a) determine the necessary competence of person(s) doing work under its control that affects the
performance of its records processes and systems,
b) ensure these persons are competent on the basis of appropriate education, training, and experience,
c) where applicable, take actions to acquire the necessary competence and evaluate the effectiveness of
the actions taken, and
d) retain appropriate documented information as evidence of competence.
NOTE Applicable actions can include, for instance, the provision of training to, the mentoring of, or the re-assignment
of current employees, or the hiring or contracting of competent persons.
7.3 Awareness and training
The organization shall ensure that its personnel are aware of
a) the relevance and importance of their individual activities and how they contribute to the achievement of
the MSR objectives,
b) the importance of conformity with the MSR policy and procedures and with the requirements of the
management system,
6 © ISO 2011 – All rights reserved

c) the significant MSR issues and related actual or potential impacts associated with their work and the
benefits of improved personal performance,
d) their roles and responsibilities in achieving conformity with the requirements of the MSR, and
e) the potential consequences of departure from specified procedures.
The organization shall establish an ongoing programme for training in records creation and control.
Programmes for training in the requirements and practices for managing records shall be provided to all levels
of staff in the organization, including contractors and staff of other organizations where relevant. The required
competencies and skills of these different roles, with respect to managing records, shall be assessed and
identified and built into the training programmes developed and provided by the organization.
7.4 Communication
The organization shall establish, implement, document and maintain procedures for internal communication
about the MSR and its records policy and objectives. Internal communication for the effective implementation
of the MSR shall include responsibilities, operational procedures and access to documentation.
The organization shall decide whether or not to communicate to other entities (e.g. where there are shared
business processes) about its MSR. If the decision is to communicate, the organization shall establish means
for this communication. Depending on the level of interaction with external parties such as contractors,
customers and suppliers, communication may be in the form of high-level information about the MSR and its
objectives or documentation of specific procedures.
7.5 Documentation
7.5.1 General
The organization shall document its MSR. This shall include authorized statements of:
a) the scope of the MSR;
b) the policy and objectives;
c) the interdependence and relationships between the MSR and the other management systems in the
organization or between organizations;
d) documented procedures as required by this International Standard;
e) documentation determined by the organization to be necessary to ensure the effective planning,
operation and control of its processes.
NOTE 1 Where the term “documented procedure” appears in this International Standard, this means that the procedure
is established, documented, implemented and maintained.
NOTE 2 The extent of the MSR documentation can differ from one organization to another owing to
 the size of the organization and the type of activities in which it is involved, and
 the scope and complexity of the records management processes and the records system(s) being implemented and
managed, including where business activities operate across more than one entity.
7.5.2 Control of documentation
Documentation required by the MSR shall be controlled. A documented procedure shall define the controls
needed to
a) approve documentation for adequacy prior to issue,
b) review, update and re-approve documentation,
c) ensure that changes and the current revision status of documentation are identified,
d) ensure that relevant versions of applicable documentation are available at points of use,
e) ensure that documentation remains legible and readily identifiable,
f) ensure that documentation of external origin is identified and its distribution controlled, and
g) prevent the unintended use of obsolete documentation, and classify it as obsolete if it is retained for any
purpose.
The documentation of the MSR is classified as records, which shall be managed in a records system. The
MSR documentation creation and control procedures shall be consistent with the general records creation and
control procedures [see 8.2 c)].
8 Operation
8.1 Operational planning and control
The organization shall determine, plan, implement and control those processes needed to address the risks
and opportunities determined in 6.1 and to meet the requirements in 6.1 by
 establishing criteria for those processes,
 implementing the control of these processes in accordance with the criteria, and
 keeping documented information to demonstrate that the processes have been carried out as planned.
The organization shall control planned changes and review the consequences of unintended changes, taking
action to mitigate any adverse effects, as necessary.
The organization shall control processes that are contracted out or outsourced.
8.2 Design of records processes
To establish the MSR, the organization shall design the records processes according to the following outline.
a) Analyse work processes in order to determine the requirements for records creation and control in
relation to continuing operations, and to satisfy accountability and other stakeholders' interests (see
ISO/TR 26122).
b) Assess the risks that might be incurred through failure to control authentic, reliable and useable records
of the organization's business processes:
1) to estimate the levels of risks;
2) to determine whether the risks are acceptable against defined criteria, or whether the risks require
management;
3) to identify and evaluate options for the management of risks.
8 © ISO 2011 – All rights reserved

c) Specify the processes (see Annex A for records processes to be deployed by the organization) for
creating and controlling records and how they are to be performed in systems, and choose the
technological tools to be used. The aims of these processes shall include the following.
1) Creation:
i) determine what, when and how records shall be created and captured for each business
process;
ii) determine the content, context and control information (metadata) that shall be included in the
records;
iii) decide in what form and structure the records shall be created and captured;
iv) determine the appropriate technologies for creating and capturing records.
2) Control:
i) determine what control information (metadata) shall be created through the records processes
and how it will be linked to the records and managed over time;
ii) establish rules and conditions for use of records over time;
iii) maintain the usability of the records over time;
iv) establish authorized disposition of the records;
v) establish conditions that shall be used for administration and maintenance of records systems.
To achieve these aims, the processes and controls given in Annex A shall be implemented, taking into
account the resources of the organization, the business context and the identified risks, as well as the
regulatory and societal environment.
8.3 Implementation of records systems
The organization shall do the following:
a) implement the records processes in records systems to meet the records objectives;
b) establish regular monitoring of the performance of the records systems against business requirements
and records objectives;
c) manage the operation of the records systems.
NOTE In the electronic environment (e.g. e-administration, e-government, e-governance, e-commerce), records
processes will increasingly be automated and supported by an automated records system. Jurisdictional standards on
functional requirements exist. Automated records systems should comply with functional requirements that are compatible
with the requirements in this International Standard.
9 Performance evaluation
9.1 Monitoring, measurement, analysis and evaluation
9.1.1 The organization shall determine:
 what needs to be measured and monitored;
 the methods for monitoring, measurement, analysis and evaluation, as applicable, to ensure valid results;
 when the monitoring and measuring shall be performed;
 when the analysis and evaluation of monitoring and measurement results shall be performed.
9.1.2 The organization shall evaluate the performance of records processes and systems and the
effectiveness of the MSR.
Additionally, the organization shall:
a) take action when necessary to address adverse trends or results before a nonconformity occurs;
b) retain relevant documented information as evidence of the results.
9.1.3 To assess the effectiveness of the MSR, the organization shall monitor and, when applicable,
measure the following as appropriate:
a) the records policy to ensure that it reflects current business needs and is updated following any significant
change in the organization;
b) the records objectives to ensure that they are consistent with the records policy, achievable, still valid and
support continual improvement;
c) changes in business, legal and other requirements which affect the MSR;
d) availability and adequacy of resources, such as financial, human, infrastructure, technology, etc.;
e) adequacy of assignment and allocation of roles, responsibilities and authorities;
f) the performance of the person with designated responsibility for the implementation, reporting and
promotion of awareness of the MSR;
g) the performance of records processes and systems against objectives;
h) the adequacy of the documentation and proper implementation of document control procedures;
i) the effectiveness of the records systems to achieve the strategic, managerial and financial objectives of
the organization using measures selected in implementation of records systems;
j) the effectiveness of the organization's MSR training and awareness programme and communication
strategy;
k) users' and stakeholders' satisfaction.
Annex C provides examples of assessing and measuring indicators in the form of a checklist for self-
assessment.
The monitoring and measuring criteria shall evolve according to the changes in the organization's societal,
economic, strategic or legal context.
10 © ISO 2011 – All rights reserved

9.2 Internal system audit
The organization shall conduct internal audits at planned intervals in order to provide information to assist in
the determination of whether the MSR:
a) conforms to
1) the organization's own requirements for its MSR,
2) the requirements of this International Standard;
b) is effectively implemented and maintained.
The organization shall:
 plan, establish, implement and maintain audit programme(s), taking into account the frequency, methods,
responsibilities, planning requirements and reporting, while also taking into consideration the importance
of the processes concerned and the results of previous audits;
 define the audit criteria and scope for each audit;
 select auditors and conduct audits to ensure objectivity and the impartiality of the audit process;
 ensure that the results of the audits are reported to relevant management;
 retain documented information as evidence of the results.
9.3 Management review
Top management shall review the organization's MSR, at planned intervals, to ensure its continuing suitability,
adequacy and effectiveness.
The management review shall consider:
a) the status of actions from previous management reviews;
b) changes in external and internal issues that are relevant to the MSR;
c) information on the performance of records processes and systems, including trends in
1) nonconformities and corrective actions,
2) monitoring and measurement evaluation results, and
3) audit results;
d) opportunities for continual improvement.
The outputs of the management review shall include decisions related to continual improvement opportunities
and the possible need for changes to the MSR.
The organization shall retain documented information as evidence of the results of management reviews.
10 Improvement
10.1 Nonconformity control and corrective actions
The organization shall:
 identify nonconformities,
 react to the nonconformities and, as applicable,
 take action to control, contain and correct them,
 deal with the consequences.
The organization shall also evaluate the need for action to eliminate the causes of nonconformities, including:
a) reviewing nonconformities,
b) determining the causes of nonconformities,
c) identifying whether potential similar nonconformities exist elsewhere in the MSR,
d) evaluating the need for action to ensure that nonconformities do not recur or occur elsewhere,
e) determining and implementing action needed,
f) reviewing the effectiveness of any corrective action taken, and
g) making changes to the MSR, if necessary.
Corrective actions shall be appropriate to the effects of the nonconformities encountered.
The organization shall retain documented information as evidence of
1) the nature of the nonconformities and any subsequent actions taken, and
2) the results of any corrective action.
10.2 Continual improvement
The organization shall continually improve the effectiveness of the MSR through the use of the records policy,
records objectives, audit results, analysis of data, corrective and preventive actions and management
evaluation.
Actions for improvement shall be prioritized according to the results of the risk assessment (see 6.1).
12 © ISO 2011 – All rights reserved

Annex A
(normative)
Processes and controls
This annex presents records processes and controls which shall be implemented. The implementation can be
applied in a scaled way to suit the characteristics of the organization. The decision not to implement any
process shall be justified (e.g. an organization might decide not to implement A.2.4.3, Transfer, because the
transfer of its records to another organization is not planned).
The records processes and controls have been grouped and numbered in Table A.1 to follow the aims
described in 8.2 c) 1) Creation and 8.2 c) 2) Control. Records processes are listed in the left column. For each
records process, one or more controls are provided.
Table A.1
No Process Controls
A.1 Creation
A.1.1 Determining what, when and how records shall be created and captured for each business process
A.1.1.1 Determine the need for information All operational, reporting, audit and other stakeholders' needs for
information (captured as records with appropriate metadata)
about the organization's processes shall be identified and
documented systematically.
A.1.1.2 Determine requirements Requirements for creating, capturing and managing records, and
decisions not to capture records for specific processes, shall be
determined based on business, legal and other requirements,
documented and authorized.
A.1.1.3 Create reliable records Records shall be created at the time of (or soon af
...

NORME ISO
INTERNATIONALE 30301
Première édition
2011-11-15
Information et documentation —
Systèmes de gestion des documents
d'activité — Exigences
Information and documentation — Management systems for records —
Requirements
Numéro de référence
©
ISO 2011
DOCUMENT PROTÉGÉ PAR COPYRIGHT

©  ISO 2011
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication ne peut être reproduite ni utilisée sous
quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l'accord écrit
de l'ISO à l'adresse ci-après ou du comité membre de l'ISO dans le pays du demandeur.
ISO copyright office
Case postale 56  CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Publié en Suisse
ii © ISO 2011 – Tous droits réservés

Sommaire Page
Avant-propos . iv
Introduction . v
1  Domaine d'application . 1
2  Références normatives . 1
3  Termes et définitions . 1
4  Contexte de l'organisme . 2
4.1  Compréhension de l'organisme et de son contexte . 2
4.2  Exigences opérationnelles, exigences légales et autres exigences . 2
4.3  Détermination du domaine d'application du SGDA . 3
5  Leadership . 3
5.1  Engagement de la direction . 3
5.2  Politique . 4
5.3  Rôles, responsabilités et habilitations au sein de l'organisme . 4
6  Planification . 5
6.1  Actions à mener pour prendre en compte les risques et opportunités . 5
6.2  Objectifs à atteindre pour les documents d'activité et moyens à mettre en œuvre . 5
7  Support . 6
7.1  Ressources . 6
7.2  Compétences . 6
7.3  Sensibilisation et formation . 7
7.4  Communication . 7
7.5  Documentation . 7
8  Réalisation . 8
8.1  Planification et contrôle de la réalisation . 8
8.2  Conception des processus liés aux documents d'activité . 9
8.3  Mise en œuvre des systèmes documentaires . 10
9  Évaluation des performances . 10
9.1  Surveillance, mesurage, analyse et évaluation des performances . 10
9.2  Audit interne du système. 11
9.3  Revue de direction . 12
10  Amélioration . 12
10.1  Contrôle des non-conformités et actions correctives . 12
10.2  Amélioration continue . 13
Annexe A (informative) Processus et contrôles . 14
Annexe B (informative) Relations entre l'ISO 9001, l'ISO 14001, ISO 27001 et l'ISO 30301 . 18
Annexe C (informative) Liste de contrôle pour une auto-évaluation . 22
Bibliographie . 24

Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes nationaux de
normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est en général confiée
aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude a le droit de faire partie du
comité technique créé à cet effet. Les organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l'ISO participent également aux travaux. L'ISO collabore étroitement avec
la Commission électrotechnique internationale (CEI) en ce qui concerne la normalisation électrotechnique.
Les Normes internationales sont rédigées conformément aux règles données dans les Directives ISO/CEI,
Partie 2.
La tâche principale des comités techniques est d'élaborer les Normes internationales. Les projets de Normes
internationales adoptés par les comités techniques sont soumis aux comités membres pour vote. Leur
publication comme Normes internationales requiert l'approbation de 75 % au moins des comités membres
votants.
L'attention est appelée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable de ne
pas avoir identifié de tels droits de propriété et averti de leur existence.
L'ISO 30301 a été élaborée par le comité technique ISO/TC 46, Information et documentation, sous-comité
SC 11, Gestion des archives courantes et intermédiaires.
L'ISO 30301 fait partie d'une série de Normes internationale, présentée sous le titre général Information et
documentation — Systèmes de gestion des documents d'activité:
 ISO 30300, Information et documentation — Systèmes de gestion des documents d'activité — Principes
essentiels et vocabulaire
 ISO 30301, Information et documentation — Systèmes de gestion des documents d'activité — Exigences
L'ISO 30300 spécifie la terminologie employée dans la série de normes relatives aux systèmes de gestion des
documents d'activité, ainsi que les objectifs et les avantages d'un tel système; l'ISO 30301 spécifie les
exigences relatives à un système de gestion des documents d'activité lorsqu'un organisme démontre son
aptitude à créer et à contrôler les documents de ses activités aussi longtemps que ces documents sont
nécessaires.
iv © ISO 2011 – Tous droits réservés

Introduction
Le succès organisationnel dépend dans une large mesure de la mise en œuvre et du maintien d'un système
de management conçu dans l'optique d'une amélioration continue des performances tout en répondant aux
besoins de toutes les parties prenantes. Les systèmes de management offrent des méthodologies pour
prendre des décisions et gérer les ressources en vue d'atteindre les objectifs de l'organisme.
La création et la gestion des documents d'activité font partie intégrante de toutes les activités, processus et
systèmes d'un organisme. Les documents d'activité contribuent à la performance, à la responsabilité, à la
gestion des risques et à la continuité des opérations. Ils permettent également aux organismes de tirer profit
de la valeur de leurs ressources documentaires comme actifs opérationnels, commerciaux et informationnels,
tout en contribuant à la conservation de la mémoire collective et en répondant aux défis de l'environnement
mondial et numérique.
Les normes de systèmes de management (MSS) fournissent des outils à la direction pour développer une
approche systématique et vérifiable du contrôle organisationnel dans un environnement qui favorise les
bonnes pratiques opérationnelles.
Les normes relatives aux systèmes de gestion des documents d'activité préparées par l'ISO/TC 46/SC 11
sont conçues pour aider les organismes de tous types et de toutes tailles, ou les groupements d'organismes
partageant des activités opérationnelles, à mettre en œuvre, exploiter et améliorer un système de gestion des
documents d'activité efficace (que l'on désignera par la suite par SGDA). Le SGDA oriente et contrôle les
actions d'un organisme visant à établir une politique et des objectifs de gestion des documents d'activité et à
atteindre ces objectifs, au moyen de:
a) rôles et responsabilités définis;
b) processus systématiques;
c) mesure et évaluation;
d) revue et amélioration.
La mise en œuvre d'une politique et d'objectifs relatifs aux documents d'activité, solidement fondés sur les
exigences de l'organisme assurera que des informations fiables et qui font autorité concernant les activités
opérationnelles de l'organisme, ainsi que les preuves associées, sont créées, gérées et mises à disposition
de ceux qui en ont besoin, aussi longtemps que nécessaire. Des processus et des systèmes adéquats de
gestion des documents d'activité adéquats sont nécessaires à la mise en œuvre réussie de la politique et des
objectifs relatifs aux documents d'activité.
La mise en œuvre d'un SGDA au sein d'un organisme garantit également la transparence et la traçabilité des
décisions prises par les autorités responsables, ainsi qu'au respect de l'obligation de rendre compte.
Les normes relatives aux SGDA préparées par l'ISO/TC 46/SC 11 sont développées dans le cadre des
normes de systèmes de management afin d'être compatibles et de partager des éléments et une
méthodologie avec d'autres normes de systèmes de management. L'ISO 15489 et les autres Normes
internationales et Rapports techniques également élaborés par l'ISO TC 46/SC 11 sont les principaux outils
pour concevoir, mettre en œuvre, gérer et améliorer les processus de gestion des documents d'activité et
leurs contrôles, ce qui permet d'agir dans le cadre de la gouvernance du SGDA quand les organismes
décident de déployer une méthodologie normée de système de management.
NOTE L'ISO 15489 est la norme de base qui définit les bonnes pratiques en matière d'opérations de gestion des
documents d'activité.
La structure des normes de système de management préparées par l'ISO/TC 46/SC 11 est indiquée à la
Figure 1, les normes étant publiées ou en préparation.
Normes de systèmes de gestion des Normes internationales et
documents d’activité Rapports techniques connexes
Cadre pour la gouvernance des documents d’activité Mise en œuvre des processus liés aux documents
d’activité
ISO 23081
ISO/TR
ISO 15489
Métadonnées 26122
Records
ISO 30300
pour les
management Analyse du
Principes
Systèmes de gestion des
enregistrements
processus
essentiels et documents d'activité -
Partie 1 -
Partie 1 - des «records»
Principes essentiels et
terminologie Principes
Principes
vocabulaire
directeurs
Partie 2 -
Partie 2 -
Concepts et mise
Guide pratique
en œuvre
Partie 3 -
ISO 30301
Méthode d’auto-
Systèmes de gestion des
Exigences
évaluation
documents d'activité –
Exigences
ISO 30303
ISO 16175
Systèmes de gestion des ISO 13008
ISO/TR 13028
documents d’activité – Processus de Principes et
Mise en œuvre
conversion et exigences
Exigences relatives aux
des lignes
migration fonctionnelles
organismes d’audit et de
directrices
des documents pour les
certification
pour la
enregistrements
d’activité
numérisation
numériques dans les
des
environnements
enregistrements
électroniques
Lignes
de bureau
ISO 30302
directrices
Partie 1 - Aperçu
Systèmes de gestion des
Éléments à l'appui
et déclaration de
documents d’activité - Guide
d'une structure de
principes
de mise en œuvre
haut niveau
Partie 2 - Lignes
directrices et
exigences
fonctionnelles
ISO 30304
pour les
Systèmes de gestion des
systèmes de
documents d’activité - Guide
management
d’évaluation
des
enregistrements
numériques
Partie 3 - Lignes
directrices et
exigences
fonctionnelles
pour les
enregistrements
dans les
systèmes
d'entreprise
Figure 1 — Normes de système de management préparées par l'ISO/TC 46/SC 11,
et Normes internationales et Rapports techniques associés
vi © ISO 2011 – Tous droits réservés

Ces normes sont destinées à être utilisées par
 les dirigeants des organismes qui prennent des décisions pour établir et mettre en œuvre des systèmes
de management dans leur organisme, et
 les responsables de la mise en œuvre du SGDA, tels que les professionnels de la gestion des risques, de
l'audit, des documents d'activité, des systèmes d'informations et de la sécurité de l'information.
Le SGDA détermine les exigences de management des informations et des documents et les attentes des
parties intéressées (clients et parties intéressées) et, par les processus nécessaires, produit des informations
et des documents satisfaisants en tant que résultats satisfaisant aux exigences et répondant aux attentes.
La Figure 2 montre le modèle du SGDA et les relations avec les clients et les parties prenantes.
Exigences et
attentes en Informations
Clients et
Contexte de l’organisme
matière de
entrantes
parties
gestion des
intéressées
documents
d’activité
Direction
(de projet)
Amélioration
Planification
Évaluation des
performances
Support
Décisions
appropriées
Fonctionnement
de la direction
pour se
conformer à
Enregistrements
la politique et
Clients et
qualité
répondre aux
parties
attentes
intéressées
Résultats
Figure 2 — Structure du SGDA
NORME INTERNATIONALE ISO 30301:2011(F)

Information et documentation — Systèmes de gestion des
documents d'activité — Exigences
1 Domaine d'application
La présente Norme internationale spécifie les exigences relatives à un système de gestion des documents
d'activité (SGDA) visant à soutenir un organisme dans la réalisation de son mandat, de sa mission, de sa
stratégie et de ses objectifs par le développement et la mise en œuvre d'une politique et d'objectifs relatifs aux
documents des activités et donne des informations sur le mesurage et la surveillance des performances.
Un SGDA peut être établi par un organisme ou plusieurs organismes lorsque ceux-ci partagent des activités.
Tout au long de la présente Norme internationale, le terme «organisme» ne se limite pas à un seul organisme,
mais inclut également d'autres structures organisationnelles.
La présente Norme internationale s'applique à tout organisme souhaitant
a) établir, mettre en œuvre, maintenir et améliorer un SGDA venant à l'appui de ses activités,
b) s'assurer lui-même de la conformité à sa politique déclarée en matière de documents d'activité, et
c) démontrer sa conformité à la présente Norme internationale en
1) réalisant une auto-évaluation et une auto-déclaration, ou
2) demandant une confirmation de son auto-déclaration par un organisme extérieur, ou
3) demandant une certification de son SGDA par un organisme extérieur.
La présente Norme internationale peut être mise en œuvre avec d'autres normes de systèmes de
management (MSS). Il est particulièrement utile de démontrer la conformité aux exigences relatives aux
documents des activités des autres MSS.
2 Références normatives
Les documents de référence suivants sont indispensables pour l'application du présent document. Pour les
références datées, seule l'édition citée s'applique. Pour les références non datées, la dernière édition du
document de référence s'applique (y compris les éventuels amendements).
ISO 30300, Information et documentation — Systèmes de gestion des documents d'activités — Principes
essentiels et vocabulaire
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions donnés dans l'ISO 30300 s'appliquent.
4 Contexte de l'organisme
4.1 Compréhension de l'organisme et de son contexte
Lors de l'établissement et de la revue de son système de gestion des documents d'activité, un organisme doit
tenir compte de tous les facteurs externes et internes pertinents.
Les facteurs externes et internes identifiés et pris en compte lors de l'établissement et de la revue du SGDA
doivent être documentés.
La compréhension du contexte externe de l'organisme peut inclure, sans toutefois s'y limiter,
a) l'environnement socioculturel, juridique, réglementaire, financier, technologique, économique, naturel et
concurrentiel, qu'il soit international, national, régional ou local,
b) les indicateurs clés et les principales tendances ayant un impact sur les objectifs de l'organisme, et
c) les relations avec les parties prenantes externes, ainsi que leurs perceptions, leurs valeurs et leurs
attentes.
La compréhension du contexte interne de l'organisme peut inclure, sans toutefois s'y limiter,
1) gouvernance, structure organisationnelle, rôles et responsabilités,
2) politiques, objectifs et stratégies mises en place pour les réaliser,
3) capacités, en termes de ressources et de connaissances (par exemple capital, temps, personnes,
processus, systèmes et technologies),
4) systèmes d'information, flux d'information et processus décisionnels (aussi bien formels qu'informels),
5) relations avec les parties prenantes internes, ainsi que leurs perceptions et valeurs, et culture de
l'organisme,
6) normes, lignes directrices et modèles adoptés par l'organisme, et
7) forme et étendue des relations contractuelles.
4.2 Exigences opérationnelles, exigences légales et autres exigences
Lors de l'établissement et de la revue de ses objectifs en matière de documents d'activité, un organisme doit
tenir compte des besoins opérationnels, des exigences légales, réglementaires, et d'autres exigences
relatives à la création et à la maîtrise des documents d'activité.
L'organisme doit évaluer et documenter les exigences opérationnelles, légales, réglementaires et les autres
exigences affectant ses activités auxquelles il doit se conformer et pour lesquelles des preuves de conformité
sont exigées.
Les besoins opérationnels comprennent toutes les exigences relatives à la bonne réalisation des opérations
ou des activités de l'organisme. Les exigences sont liées aux performances actuelles de l'entreprise, à la
planification et au développement futurs, à la gestion des risques et au plan de continuité des activités.
Les exigences légales comprennent les exigences liées à la création et à la maîtrise des documents d'activité.
Les sources d'exigences légales sont:
a) la législation et la jurisprudence, y compris les lois et réglementations propres à l'activité en général et au
secteur d'activité concerné;
2 © ISO 2011 – Tous droits réservés

b) les lois et réglementations relatives à la notion de preuve, aux documents d'activité et aux archives, à
l'accès, au respect de la vie privée, à la protection des données et des informations et au commerce
électronique;
c) les règles constitutionnelles des organismes, les chartes ou les conventions auxquelles adhère
l'organisme;
d) les traités et autres instruments que l'organisme est légalement tenu d'observer.
Les autres exigences comprennent les engagements volontaires juridiquement non contraignants pris par
l'organisme:
 les codes de bonnes pratiques adoptés volontairement;
 les codes de conduite et d'éthique adoptés volontairement;
 les attentes identifiées de la société en matière de comportement acceptable dans le secteur d'activité ou
l'organisme spécifique, y compris une bonne gouvernance, un contrôle approprié des comportements
frauduleux ou malveillants et une transparence dans la prise de décision.
4.3 Détermination du domaine d'application du SGDA
L'organisme doit définir et documenter le domaine d'application de son SGDA.
Le domaine d'application du SGDA peut inclure la totalité de l'organisme, des fonctions spécifiques et
identifiées de l'organisme, des sections spécifiques et identifiées de l'organisme ou une ou plusieurs fonctions
dans un groupe d'organismes.
Lorsqu'un SGDA est établi pour une ou plusieurs fonctions spécifiques dans un groupe d'organismes, le
domaine d'application doit indiquer les relations entre eux et les rôles de chaque entité.
Lorsqu'un organisme externalise des processus affectant la conformité aux exigences du SGDA, l'organisme
doit assurer un contrôle de ces processus. Le contrôle des sous-traitants et des processus externalisés doit
être identifié comme dans le domaine d'application du SGDA.
5 Leadership
5.1 Engagement de la direction
La direction doit prouver son implication en
 assurant la compatibilité du SGDA avec l'orientation stratégique de l'entreprise,
 intégrant les exigences du SGDA dans les processus métier de l'entreprise,
 s'assurant de la disponibilité des ressources nécessaires à la mise en œuvre, à l'implémentation, au
maintien et au développement continu du SGDA,
 sensibilisant, par des actions de communication, à l'importance d'avoir un SGDA performant et de se
conformer aux exigences du SGDA,
 s'assurant que les objectifs relatifs aux documents d'activité sont atteints,
 soutenant une politique d'amélioration continue.
NOTE La référence à «métier» dans la présente Norme internationale est largement interprétée pour signifier ces
activités qui sont primordiales pour les besoins de l'existence de l'entreprise.
5.2 Politique
La direction doit établir une politique concernant les documents d'activité. Cette politique doit
 correspondre à la finalité de l'entreprise,
 fournir un cadre pour la définition des objectifs et des cibles du SGDA,
 inclure un engagement à satisfaire les exigences en vigueur,
 inclure un engagement à œuvrer dans le sens d'une amélioration continue du SGDA,
 faire l'objet d'une communication à l'ensemble de l'organisme,
 être mise à la disposition des parties intéressées, si nécessaire.
L'organisme doit conserver une information documentée sur la politique relative aux documents d'activité.
Cette politique doit inclure les stratégies de haut niveau en ce qui concerne la création et le contrôle de
documents authentiques, fiables et exploitables, capables de servir d'appui aux fonctions et aux activités de
l'organisme, et en ce qui concerne la protection de l'intégrité de ces documents aussi longtemps que
nécessaire.
Les organismes doivent s'assurer que la politique relative aux documents d'activité fait l'objet d'une
communication et d'une mise en œuvre à tous les niveaux de l'organisme ainsi qu'aux entités ou individus
(tels que partenaires ou sous-traitants) travaillant avec lui ou pour son compte.
5.3 Rôles, responsabilités et habilitations au sein de l'organisme
5.3.1 Aspects généraux
La direction doit s'assurer que les rôles, les responsabilités et les habilitations en matière de SGDA sont
définis et assignés et qu'ils font l'objet d'une communication à l'ensemble de l'organisme ainsi qu'aux entités
ou individus travaillant avec lui ou pour son compte.
Les responsabilités doivent être affectées de manière appropriée à l'ensemble du personnel occupant les
fonctions et niveaux pertinents au sein de l'organisme, en particulier aux cadres supérieurs, aux responsables
de programmes, aux responsables des documents d'activité, aux professionnels de l'information, aux
administrateurs système ainsi qu'à toute autre personne amenée à créer des documents dans le cadre de son
activité.
Le leadership pour mettre en œuvre le SGDA doit être attribué à un représentant spécifique issu de la
direction. Lorsque la taille et la complexité de l'organisme et ses processus liés aux documents d'activité
l'exigent, un responsable d'exploitation des documents d'activité, ayant une formation et des compétences
spécifiques doit être désigné pour assumer ce rôle. L'attribution des responsabilités et leurs interrelations
doivent être documentées.
5.3.2 Responsabilités de la direction
Un représentant de la direction doit être spécifiquement désigné par celle-ci afin de rendre compte et
d'assumer la responsabilité des opérations suivantes, quelles que soient par ailleurs ses autres
responsabilités:
a) s'assurer que le SGDA est établi, mis en œuvre et maintenu conformément aux exigences de la présente
Norme internationale;
b) assurer la promotion du SGDA dans tout l'organisme à travers des actions de sensibilisation;
4 © ISO 2011 – Tous droits réservés

c) s'assurer que les rôles et les responsabilités définis dans le SGDA sont convenablement attribués et que
le personnel assumant ces rôles possède les compétences requises.
NOTE Des responsabilités pourraient être attribuées à un poste spécifique ou à un groupe désigné comme approprié
selon la complexité de l'organisme.
5.3.3 Responsabilités opérationnelles
La direction doit désigner un représentant opérationnel dédié aux documents d'activité. Ses rôle,
responsabilité et habilitation doivent être définis. Ceux-ci incluent:
a) la mise en œuvre du SGDA au niveau opérationnel;
b) l'établissement de rapports sur les performances du SGDA pour examen, y compris des propositions
d'amélioration;
c) l'établissement d'une liaison avec les parties extérieures sur les sujets en rapport avec le SGDA.
NOTE Les rôles du représentant de la direction et du représentant opérationnel pour les documents d'activité
peuvent être assumés par la même personne ou le même groupe.
6 Planification
6.1 Actions à mener pour prendre en compte les risques et opportunités
L'organisme doit prendre en considération les points listés en 4.1 et les exigences mentionnées en 4.2 et
déterminer les risques et opportunités qui nécessitent qu'une réponse soit apportée, afin de
a) s'assurer que les objectifs visés par le SGDA sont bien atteints,
b) prévenir d'effets indésirables, et
c) offrir des opportunités d'améliorations.
L'organisme doit évaluer le besoin de planifier des actions pour permettre de faire face à ces risques et
opportunités, là où ces actions sont applicables:
 intégrer et mettre en œuvre ces actions dans leurs procédures de SGDA (voir 8.1);
 s'assurer que les informations permettront d'évaluer si les actions ont été efficaces (voir 9.1).
6.2 Objectifs à atteindre pour les documents d'activité et moyens à mettre en œuvre
La direction doit s'assurer que les objectifs à attendre pour les documents d'activité sont établis et
communiqués auprès des personnes occupant des fonctions et niveaux hiérarchiques pertinents au sein de
l'organisme.
Ces objectifs doivent
a) être en cohérence avec la politique relative aux documents d'activité,
b) être mesurables (si cela est réalisable),
c) prendre en considération les exigences en vigueur, et
d) être surveillés et mis à jour si nécessaire.
Les objectifs concernant les documents d'activité doivent découler d'une analyse des activités de l'organisme.
Ils doivent définir le périmètre dans lequel la législation, les réglementations, les autres normes et les
meilleures pratiques trouvent une application optimale pour la création de documents en lien avec les activités.
Les objectifs concernant les documents d'activité doivent prendre en considération la taille de l'organisme, la
nature de ses activités, de ses produits et services ainsi que la localisation, les conditions, le système
juridique/administratif et l'environnement culturel dans lequel il fonctionne.
L'organisme doit conserver des informations documentées sur les cibles.
Pour atteindre ses objectifs, l'organisme doit déterminer
 les personnes à désigner comme responsables,
 ce qui sera réalisé,
 les ressources nécessaires,
 la date de fin de réalisation, et
 le mode opératoire d'évaluation des résultats.
7 Support
7.1 Ressources
La direction doit allouer et maintenir les ressources nécessaires à la mise en œuvre du SGDA.
La gestion des ressources comprend
a) l'attribution des responsabilités aux personnes ayant les compétences nécessaires pour assumer le rôle
qui leur est affecté,
b) une revue périodique des compétences et de la formation du personnel assumant des responsabilités au
sein du SGDA, et
c) la maintenance et la durabilité des ressources et de l'infrastructure technique.
7.2 Compétences
L'organisme doit
a) déterminer les compétences nécessaires à la (aux) personne(s) réalisant des tâches pouvant avoir un
impact significatif sur les processus liés aux documents d'activité et les systèmes documentaires,
b) s'assurer que cette (ces) personne(s) détienne(nt) les compétences requises, sur la base d'une formation
initiale et professionnelle appropriée et de son (leur) expérience,
c) le cas échéant, assurer une formation ou prendre d'autres mesures pour permettre l'acquisition des
compétences nécessaires, et
d) conserver les informations documentées appropriées comme preuve des compétences.
NOTE Les actions applicables doivent inclure, par exemple, la prestation de formation, le mentorat ou la réaffectation
d'employés, ou encore le recrutement ou la contractualisation avec des personnes compétentes.
6 © ISO 2011 – Tous droits réservés

7.3 Sensibilisation et formation
L'organisme doit s'assurer que son personnel a conscience
a) de la pertinence et de l'importance des activités individuelles qui lui incombent et de la manière dont elles
contribuent à la réalisation des objectifs du SGDA,
b) de l'importance de se conformer à la politique et aux procédures du SGDA ainsi qu'aux exigences du
système de management,
c) des points critiques du SGDA et de ses impacts réels ou potentiels sur le travail des employés; de même
que des avantages du SGDA, vecteurs d'une amélioration des performances individuelles,
d) de son rôle et de sa responsabilité dans la satisfaction des exigences du SGDA, et
e) des conséquences possibles de tout écart par rapport aux procédures spécifiées.
L'organisme doit établir un programme continu de formation concernant la création et le contrôle de
documents d'activité. Des programmes de formation sur les exigences et les pratiques de gestion des
documents d'activité doivent être par ailleurs prévus à l'attention du personnel de l'organisme, à tous les
niveaux, y compris à l'attention des sous-traitants et du personnel d'autres organismes le cas échéant. Les
compétences et les qualifications requises pour ces différents rôles, en matière de gestion des documents
d'activité, doivent être évaluées, identifiées et intégrées dans les programmes de formation élaborés et mis en
œuvre par l'organisme.
7.4 Communication
L'organisme doit établir, mettre en œuvre, documenter et maintenir des procédures entre les différents
niveaux et fonctions de l'organisme, à des fins de communication interne, sur le SGDA, ainsi que sur la
politique et les objectifs de l'organisme concernant les documents d'activité. La communication interne relative
à la mise en œuvre efficace du SGDA doit inclure la mention des responsabilités, des procédures
opérationnelles et de l'accès à la documentation.
L'organisme doit décider de communiquer ou non avec d'autres entités (par exemple lorsque celles-ci
partagent avec l'organisme des processus opérationnels) sur son SGDA. S'il décide de communiquer,
l'organisme doit établir et mettre en œuvre une (des) méthode(s) de communication. Selon le niveau
d'interaction avec les parties extérieures, telles que les sous-traitants, les clients et les fournisseurs, la
communication peut prendre la forme d'une information de haut niveau sur le SGDA et ses objectifs ou d'une
documentation relative à des procédures spécifiques.
7.5 Documentation
7.5.1 Généralités
L'organisme doit documenter son SGDA. La documentation relative à ce dernier doit comprendre des relevés
de décision concernant
a) le domaine d'application du SGDA,
b) la politique, les objectifs et les cibles,
c) l'interdépendance et les relations entre le SGDA et les autres systèmes de management de l'organisme
ou entre les organismes,
d) les procédures documentées, telles que requises par la présente Norme internationale, et
e) la documentation jugée nécessaire par l'organisme pour assurer la planification, la réalisation et le
contrôle efficace de ses processus.
NOTE 1 Lorsque l'expression «procédure documentée» apparaît dans la présente Norme internationale, cela signifie
que la procédure est établie, documentée, mise en œuvre et maintenue.
NOTE 2 L'étendue de la documentation relative au SGDA peut varier d'un organisme à l'autre en raison de
 la taille de l'organisme et son type d'activités, et
 le domaine d'application et la complexité des processus du système documentaire, y compris les activités réalisées
par plus d'une entité.
7.5.2 Contrôle de la documentation
La documentation requise par le SGDA doit être contrôlée. Une procédure documentée doit définir les
contrôles nécessaires pour
a) confirmer que la documentation est adéquate avant sa diffusion,
b) revoir, mettre à jour et approuver à nouveau la documentation,
c) s'assurer que les modifications et le statut de la révision en vigueur de la documentation sont identifiés,
d) s'assurer que des versions adéquates de la documentation applicable sont disponibles au niveau des
points d'utilisation,
e) s'assurer que la documentation reste lisible et aisément identifiable,
f) s'assurer que la documentation d'origine extérieure est identifiée et que sa diffusion est contrôlée, et
g) empêcher toute utilisation fortuite d'une documentation périmée, et classer cette dernière comme
obsolète si elle doit être conservée pour une raison quelconque.
La documentation du SGDA est classée en tant que document d'activité devant être géré dans un système
documentaire. Les procédures de création et de contrôle de la documentation du SGDA doivent être
cohérentes avec les procédures générales de création et de contrôle de documents d'activité [voir 8.2 c)].
8 Réalisation
8.1 Planification et contrôle de la réalisation
L'organisme doit déterminer, planifier, mettre en œuvre et contrôler les processus nécessaires pour faire face
aux risques et atteindre les objectifs définis en 6.1 et pour répondre aux spécifications de 6.1 en
 établissant des critères pour ces processus,
 mettant en œuvre le contrôle de ces processus selon ces critères, et
 conservant la documentation nécessaire afin de démontrer que le processus a été mené comme convenu.
L'organisme doit contrôler les changements planifiés et passer en revue les conséquences des changements
imprévus en agissant, autant que nécessaire, pour en atténuer les effets néfastes.
L'organisme doit contrôler les processus qui sont sous-traités ou externalisés.
8 © ISO 2011 – Tous droits réservés

8.2 Conception des processus liés aux documents d'activité
Pour établir le SGDA, l'organisme doit concevoir les processus liés aux documents d'activité conformément à
la description suivante:
a) analyser les processus de travail afin de déterminer les exigences relatives à la création et au contrôle
des documents d'activité afin d'assurer la continuité de l'activité et afin de satisfaire à l'obligation de
rendre des comptes et de répondre aux intérêts des parties prenantes (voir l'ISO/TR 26122);
b) évaluer les risques associés aux défauts de contrôle de l'authenticité, de la fiabilité et de l'exploitabilité
des documents d'activités dans le cadre des processus opérationnels de l'organisme:
1) estimer les niveaux de risques;
2) déterminer si les risques sont acceptables au regard des critères définis ou si les risques réclament
une gestion particulière;
3) identifier et évaluer les différentes options pour la gestion des risques.
c) spécifier les processus (voir l'Annexe A pour la conception des processus liés aux documents d'activité)
permettant de créer et de contrôler les documents d'activité ainsi que la manière dont ils doivent être
exécutés dans les systèmes, puis choisir les outils technologiques à utiliser. Les objectifs de ces
processus doivent comprendre les points suivants.
1) Création:
i) déterminer quelle est la typologie des documents d'activité ainsi qu'à quel moment et de quelle
manière ils doivent être créés et capturés pour chaque processus opérationnel;
ii) déterminer le contenu, le contexte et les informations de contrôle (métadonnées) devant être
inclus dans les documents d'activité;
iii) déterminer sous quelle forme et selon quelle structure les documents d'activité doivent être
créés et capturés;
iv) déterminer les technologies appropriées pour la création et l'enregistrement des documents
d'activité.
2) Contrôle:
i) déterminer quelles informations de contrôle (métadonnées) doivent être créées par les
processus liés aux documents d'activité et la manière dont elles seront liées aux documents
d'activité et gérées dans le temps;
ii) fixer les règles et les conditions d'utilisation des documents d'activité dans le temps;
iii) maintenir l'exploitabilité des documents d'activité dans le temps;
iv) déterminer les habilitations à détruire des documents d'activité;
v) fixer les conditions qui doivent être respectées pour l'administration et la maintenance des
systèmes documentaires.
Pour atteindre ces objectifs, les processus et les contrôles énumérés dans l'Annexe A doivent être mis en
œuvre en tenant compte des ressources de l'organisme, du contexte de l'activité, des risques identifiés ainsi
que de l'environnement réglementaire et sociétal.
8.3 Mise en œuvre des systèmes documentaires
L'organisme doit réaliser les opérations suivantes:
a) mettre en œuvre les processus liés aux documents d'activité dans les systèmes documentaires, afin
d'atteindre les objectifs en la matière;
b) établir une surveillance régulière des performances des systèmes documentaires par rapport aux
exigences opérationnelles et aux objectifs relatifs aux documents d'activité;
c) gérer le fonctionnement des systèmes documentaires.
NOTE Dans l'environnement électronique (par exemple e-administration, e-gouvernement, e-gouvernance,
e-commerce, etc.), les processus liés aux documents d'activité seront de plus en plus automatisés et supportés par des
systèmes documentaires. Il existe des exigences juridiques et fonctionnelles et il convient que les systèmes
documentaires automatisés respectent les exigences fonctionnelles qui sont compatibles avec les exigences de la
présente Norme internationale.
9 Évaluation des performances
9.1 Surveillance, mesurage, analyse et évaluation des performances
9.1.1 L'organisme doit déterminer
 quels sont les besoins de mesure et de surveillance,
 quelles sont les méthodes de surveillance, de mesure, d'analyse et d'évaluation à appliquer pour
s'assurer d'obtenir des résultats valides,
 à quel moment les opérations de surveillance et de mesure doivent être effectuées,
 à quel moment l'analyse et l'évaluation des résultats des opérations de surveillance et de mesure doivent
être effectuées.
9.1.2 L'organisme doit évaluer la performance des processus et des systèmes documentaires ainsi que de
l'efficacité du SGDA.
En outre, l'organisme doit
a) prendre des mesures, autant que nécessaire, pour parer à l'apparition de défauts, avant que ne se
produisent des cas de non-conformité,
b) conserver une information documentée et pertinente comme preuve des résultats.
9.1.3 Pour évaluer l'efficacité du SGDA, l'organisme doit surveiller et, le cas échéant, mesurer les points
suivants:
a) la politique relative aux documents d'activité, afin de s'assurer qu'elle reflète les besoins actuels de
l'organisme et qu'elle est actualisée après toute modification significative dans l'organisme;
b) les objectifs en matière de documents d'activité afin de s'assurer qu'ils sont cohérents avec la politique
relative aux documents d'activité, réalisables, encore valables et qu'ils soutiennent une amélioration
continue;
c) les modifications des exigences opérationnelles, légales ou d'autres exigences ayant un impact sur le
SGDA;
10 © ISO 2011 – Tous droits réservés

d) la disponibilité et l'adéquation des ressources, par exemple financières, humaines, en infrastructures,
technologiques, etc.;
e) l'adéquation de l'attribution des rôles, des responsabilités et des habilitations;
f) les performances du responsable de la mise en œuvre du système, du compte rendu de son
fonctionnement et de la sensibilisation à celui-ci;
g) les performances des processus et des systèmes de gestion liés aux documents d'activité par rapport
aux objectifs;
h) l'adéquation de la documentation et la mise en œuvre appropriée des procédures de maîtrise des
documents;
i) l'efficacité des systèmes documentaires à atteindre les objectifs stratégiques, administratifs et financiers
de l'organisme par l'utilisation d'indicateurs choisis lors de leur mise en œuvre;
j) l'efficacité du programme de formation et de sensibilisation au SGDA et de la stratégie de
communication;
k) la satisfaction des utilisateurs et des parties prenantes.
L'Annexe C donne des exemples d'indicateurs d'évaluation et de mesure sous la forme d'une liste de contrôle
constituée de questions.
Les critères de surveillance et de mesure doivent évoluer en fonction des modifications du contexte sociétal,
économique, stratégique ou réglementaire de l'organisme.
9.2 Audit interne du système
L'organisme doit mener des audits internes à intervalles programmés pour fournir des informations permettant
de déterminer si le SGDA
a)
...

МЕЖДУНАРОДНЫЙ ISO
СТАНДАРТ 30301
Первое издание
2011-11-15
Информация и документация. Системы
управления документами. Требования
Information and documentation — Management systems for records —
Requirements
Ответственность за подготовку русской версии несёт GOST R
(Российская Федерация) в соответствии со статьёй 18.1 Устава ISO

Ссылочный номер
©
ISO 2011
Отказ от ответственности при работе в PDF
Настоящий файл PDF может содержать интегрированные шрифты. В соответствии с условиями лицензирования, принятыми
фирмой Adobe, этот файл можно распечатать или смотреть на экране, но его нельзя изменить, пока не будет получена
лицензия на установку интегрированных шрифтов в компьютере, на котором ведется редактирование. В случае загрузки
настоящего файла заинтересованные стороны принимают на себя ответственность за соблюдение лицензионных условий
фирмы Adobe. Центральный секретариат ISO не несет никакой ответственности в этом отношении.
Adobe - торговый знак Adobe Systems Incorporated.
Подробности, относящиеся к программным продуктам, использованным для создания настоящего файла PDF, можно найти в
рубрике General Info файла; параметры создания PDF оптимизированы для печати. Были приняты во внимание все меры
предосторожности с тем, чтобы обеспечить пригодность настоящего файла для использования комитетами – членами ISO. В
редких случаях возникновения проблемы, связанной со сказанным выше, просим информировать Центральный секретариат
по адресу, приведенному ниже.
ДОКУМЕНТ ЗАЩИЩЕН АВТОРСКИМ ПРАВОМ

Все права сохраняются. Если не указано иное, никакую часть настоящей публикации нельзя копировать или использовать в
какой-либо форме или каким-либо электронным или механическим способом, включая фотокопии и микрофильмы, без
предварительного письменного согласия ISO или IDF, которое должно быть получено после запроса о разрешении,
направленного по адресу, приведенному ниже.

ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Опубликовано в Швейцарии
ii © ISO 2011 – Все права сохраняются

Содержание Страница
Предисловие . iv
Введение . v
1 Область применения . 1
2 Нормативные ссылки . 1
3 Термины и определения . 1
4 Организационная среда . 2
4.1 Понимание организации и ее среды . 2
4.2 Деловые, нормативно-правовые и иные требования . 2
4.3 Определение области применения СУД . 3
5 Руководство . 3
5.1 Обязательства руководства . 3
5.2 Политика . 4
6 Планирование . 5
6.1 Действия в отношении рисков . 5
6.2 Цели в области документов и пути их достижения . 5
7 Обеспечение . 6
7.1 Ресурсы . 6
7.2 Компетентность . 6
7.3 Осведомление и обучение . 6
7.4 Обмен информацией . 7
7.5 Документация . 7
8 Осуществление . 8
8.1 Оперативное планирование и контроль . 8
8.2 Проектирование документных процессов . 8
8.3 Внедрение документных систем . 9
9 Оценка работы . 10
9.1 Мониторинг и обследование, анализ и оценка . 10
9.2 Внутренний аудит системы . 11
9.3 Анализ управления . 11
10 Улучшение . 12
10.1 Контроль за несоответствиями и корректирующие действия . 12
Приложение А (нормативное) Процессы и средства управления документами . 13
Приложение В (информативное) Взаимосвязь между ISO 9001, ISO 14001, ISO/IEC 27001 и
ISO 30301 . 16
Приложение С (информативное) Анкета для самооценки . 20
Библиография . 22

Предисловие
Международная организация по стандартизации (ISO) является всемирной федерацией национальных
органов по стандартизации (органов-членов ISO). Разработка международных стандартов
осуществляется техническими комитетами ISO. Каждый национальный орган-член ISO,
заинтересованный в деятельности, для которой создан технический комитет, имеет право быть
представленным в этом комитете. Международные правительственные и неправительственные
организации, взаимодействуя с ISO, также принимают участие в этой работе. По всем вопросам
стандартизации в области электротехники ISO тесно сотрудничает с Международной
электротехнической комиссией (IEC).
Международные стандарты разрабатываются в соответствии с правилами, приведенными в
директивах ISO/IEC, Часть 2.
Основной задачей технических комитетов является подготовка международных стандартов. Проекты
международных стандартов, одобренные техническими комитетами, рассылаются национальным
органам-членам ISO для голосования. Опубликование в качестве международного стандарта требует
одобрения по меньшей мере 75 % национальных органов-членов ISO, принимающих участие в
голосовании.
Необходимо обратить внимание на то, что некоторые элементы настоящего документа могут являться
объектом патентных прав. ISO не несет ответственность за идентификацию указанных патентных прав.
ISO 30301 подготовлен подкомитетом SC 11 «Управление архивами/документами» технического
комитета ISO TC 46 «Информация и документация».
ISO 30301 является частью серии стандартов под общим названием «Информация и документация.
Системы управления документами»:
— ISO 30300, Информация и документация. Системы управления документами. Основные
положения и словарь
— ISO 30301, Информация и документация. Системы управления документами. Требования
ISO 30300 определяет терминологию серии стандартов на системы управления документами (СУД),
цели и преимущества СУД; ISO 30301 определяет требования к СУД, если организации необходимо
продемонстрировать способность создавать и управлять документами, образующимися в процессе ее
деловой деятельности, в течение необходимого периода времени.
iv © ISO 2011 – Все права сохраняются

Введение
Успех организации во многом зависит от внедрения и сохранения системы управления, которая
разработана для постоянного улучшения деятельности организации и в то же время отвечает
потребностям всех заинтересованных сторон. Системы управления предлагают методологии принятия
решений и управления ресурсами для достижения целей организации.
Создание и управление документами является неотъемлемой частью видов деятельности, процессов
и систем любой организации. Оно приводит к деловой результативности, подотчетности, управлению
риском и непрерывности ведения деловой деятельности. Оно также дает возможность организациям
извлекать выгоду из ценности информационных ресурсов, таких как деловые, коммерческие активы и
активы знаний, а также делать вклад в обеспечение сохранности коллективной памяти в ответ на
вызов глобальной и цифровой среды.
Стандарты на системы управления (ССУ) предоставляют инструментарий для высшего руководства по
применению системного и контролируемого подхода к организационному руководству в среде, которая
способствует применению хорошей деловой практики.
Стандарты на системы управления документами, подготовленные ISO TC 46/SC 11, разработаны для
оказания помощи организациям всех видов и размеров, а также группам организаций с совместной
деловой деятельностью по внедрению, функционированию и улучшению деятельности результативной
системы управления документами (здесь и далее по тексту — СУД). Она направляет и осуществляет
управление в организации с целью установления политики и целей в области документов, а также
достижения этих целей. Это происходит в результате:
a) распределения функций и ответственности;
b) систематизации процессов;
c) обследования и оценки;
d) анализа и улучшения.
Применение политики и целей в области документов, базирующихся на соответствующих требованиях
организации, будет гарантировать, что официальная и достоверная информация, а также
доказательства деловой деятельности создаются, управляемы и доступны для тех, кому она
необходима, в течение установленного периода времени. Результатом успешного применения
грамотно разработанных политики и целей в области документов являются документы и документные
системы, соответствующие всем целям организации.
Внедрение в организации СУД также гарантирует прозрачность и прослеживаемость решений,
принятых ответственным руководством, и признание общественных интересов.
Стандарты на СУД, подготовленные ISO TC 46/SC 11, разработаны в рамках ССУ с целью
совместимости и применения общих элементов и методологии с иными ССУ. ISO15489, а также иные
международные стандарты и технические отчеты, разработанные ISO TC 46/SC 11, являются
основными средствами по проектированию, применению, мониторингу и улучшению документных
процессов и средства управления документами (включая управленческие действия в отношении
документов), которые могут быть выполнены под руководством СУД в случае, если организации
решают применять методологию ССУ.
ПРИМЕЧАНИЕ ISO 15489 является основополагающим стандартом, который закрепляет лучшую практику по
управлению документами.
Структура стандартов на СУД, подготовленных ISO TC 46/SC 11, как опубликованных, так и
находящихся в процессе разработки, представлена на Рисунке 1.
Рисунок 1 — Стандарты на СУД, подготовленные ISO/ТC 46/SC 11
и взаимосвязанные международные стандарты и технические отчеты
Настоящие стандарты предназначены для:
 высшего руководства, которое принимает решения по установлению и внедрению систем
управления в организации;
 людей, ответственных за внедрение СУД, таких как специалистов в областях управления риском,
аудитом, документами, информационными технологиями и защиты информации.
СУД определяет требования и ожидания заинтересованных сторон (потребителей и учредителей) в
отношении управления документами и через необходимые процессы представляет документы,

которые отвечают этим требованиям и ожиданиям.
Рисунок 2 показывает структуру СУД во взаимоотношении с потребителями и заинтересованными
сторонами.
vi © ISO 2011 – Все права сохраняются

Рисунок 2 — Структура СУД
МЕЖДУНАРОДНЫЙ СТАНДАРТ ISO 30301:2011(R)

Информация и документация. Системы управления
документами. Требования
1 Область применения
Настоящий стандарт определяет требования к СУД для оказания помощи организации в выполнении ее
обязательств, направлений деятельности, миссии, стратегии и целей. Он устанавливает требования к
разработке и применению политики и целей в области документов, а также содержит информацию о
процессах обследования и мониторинга деятельности.
СУД может быть разработана для организации или нескольких организаций, если они ведут совместную
деловую деятельность. В тексте настоящего международного стандарта применение термина
«организация» не ограничено одной организацией и также распространяется на иные организационные
структуры.
Настоящий международный стандарт применим в любой организации, которая желает:
a) установить, внедрить, сохранять и улучшать СУД для обеспечения своей деловой деятельности;
b) обеспечить соответствие установленной документной политике;
c) продемонстрировать соответствие настоящему международному стандарту путем
1) выполнения обязательств по оценке и декларированию соответствия самой организацией, или
2) подтверждения декларирования, осуществленного организацией, у сторонней организации, или
3) сертификации СУД сторонней организацией.
Настоящий международный стандарт может быть внедрен вместе с иными стандартами на системы
управления (ССУ). Такое внедрение является особенно целесообразным для предоставления
свидетельств совместимости требований к документации и документам, закрепленных в иных ССУ.
2 Нормативные ссылки
Для применения настоящего документа необходимы следующие ссылочные стандарты. Для
датированных ссылок применяют только указанное издание ссылочного стандарта. Для недатированных
ссылок применяют последнее издание ссылочного документа (включая все его изменения).
ISO 30300, Информация и документация. Системы управления документами. Основные положения и
словарь.
3 Термины и определения
Для целей настоящего документа применяются термины и определения, приведенные в ISO 30300.
4 Организационная среда
4.1 Понимание организации и ее среды
При применении и анализе СУД организация должна принимать во внимание соответствующие внешние
и внутренние факторы.
Выявленные и принятые в расчет при применении и анализе СУД соответствующие внешние и
внутренние факторы должны быть документально зафиксированы.
Понимание внешней организационной среды может включать, но не ограничивается:
a) социальной и культурной, правовой, регулирующей, финансовой, технологической, экономической,
естественной и конкурентной средой, которая может быть международной, национальной,
региональной или локальной;
b) ключевыми нововведениями и направлениями, которые оказывают влияние на цели организации;
c) взаимосвязью и восприятием ценностей и ожиданий внешних заинтересованных сторон.
Понимание внутренней организационной среды может включать, но не ограничивается:
1) руководством, организационной структурой, функциями и подотчетностью;
2) политиками, целями, а также стратегиями, которые разрабатываются для их достижения;
3) способностями, под которыми понимаются ресурсы и знания (например, деньги, время, люди,
процессы, системы и технологии);
4) информационными системами, информационными потоками и процессами принятия решений
(как официальными, так и неофициальными);
5) взаимосвязью и восприятием ценностей внутренних заинтересованных сторон и
организационной культурой;
6) стандартами, инструкциями и иными моделями, принятыми в организации;
7) формой и широтой договорных отношений.
4.2 Деловые, нормативно-правовые и иные требования
При разработке и анализе целей в области документов организация должна принимать во внимание
деловые, нормативно-правовые, регулирующие и иные требования, связанные с созданием и
управлением документами.
Организации необходимо оценить и документально зафиксировать деловые, правовые, нормативные и
иные требования, оказывающие влияние на деловые операции. Организация должна соответствовать
им и подтвердить это соответствие.
Деловые требования включают все требования для надлежащего осуществления операций или деловой
деятельности организации. Они возникают в процессе осуществления текущей деловой деятельности,
будущего планирования и развития, управления риском и планирования непрерывности осуществления
деловой деятельности.
Нормативно-правовые требования включают требования, которые связаны с созданием и управлением
документами. Источниками нормативно-правовых требований являются:
a) право, выражающееся в законах и прецедентное право, включая законы и нормативные акты,
регулирующие сферу деловой деятельности в целом и в определенных отраслях;
2 © ISO 2011 – Все права сохраняются

b) законы и нормативные акты, относящиеся непосредственно к доказательству, документам и
архивам, доступу, конфиденциальности, защите данных и информации, а также электронной
коммерции;
c) основополагающие нормы организаций, уставы или соглашения, в которых организация является
участником;
d) договоры и иные соглашения, которые организация нормативно обязуется выполнять.
Иные требования включают ненормативные добровольные обязательства, выполняемые организацией:
 правила рекомендательного характера, отражающие передовой опыт;
 добровольно применяемые кодексы поведения и этики;
 идентифицируемые общественные ожидания, касающиеся приемлемого поведения в
специфической отрасли или организации, включая хорошее управление, надлежащий контроль за
мошенничеством или злонамеренным поведением, а также прозрачностью принятия решений.
4.3 Определение области применения СУД
Организация должна определить и документально зафиксировать область применения СУД.
Область применения СУД может включать всю организацию, определенные функции организации,
определенные подразделения организации, одну и более функций группы организаций.
Если СУД установлена для одной и более определенных функций группы организаций, область
применения должна включать взаимосвязи и функции каждой организации.
Если организация выбирает аутсорсинг любого процесса, который влияет на согласованность с
требованиями СУД, то она должна обеспечить контроль над такими процессами. Управление
договорными и аутсорсинговыми процессами должно быть регламентировано в рамках области
применения СУД.
5 Руководство
5.1 Обязательства руководства
Высшее руководство должно демонстрировать приверженность выбранному пути для:
 обеспечения соответствия СУД стратегическому направлению развития организации,
 интеграции требований СУД и деловых процессов организации,
 обеспечения ресурсами для установления, внедрения, сохранения и постоянного улучшения СУД,
 распространения информации о важности функционирования результативной СУД и ее
соответствия определенным требованиям;
 обеспечения достижения СУД намеченных результатов, и
 определения и обеспечения постоянного улучшения.
ПРИМЕЧАНИЕ Понятие «деловая деятельность» в настоящем международном стандарте применяется в
широком смысле для обозначения таких видов деятельности, которые являются основными для функционирования
организации.
5.2 Политика
Высшему руководству следует определить документную политику. Она должна
 соответствовать намерениям организации,
 обеспечивать основу для определения целей в области документов,
 включать обязательства по выполнению применяемых требований,
 включать обязательства по постоянному улучшению СУД,
 быть распространена в организации, и
 быть доступна заинтересованным сторонам в необходимых случаях.
В организации следует сохранять документально зафиксированную информацию о политике в области
документов.
Документная политика должна включать разработанные на высшем уровне стратегии в области
создания и управления аутентичными, надежными и пригодными для использования документами,
которые способны поддерживать функции и деятельность организации в течение установленного
периода времени.
Организации должны обеспечить информирование о документной политике и ее применение на всех
организационных уровнях, а также во всех подразделениях или для всех лиц (таких как партнеры или
внештатные сотрудники), работающих на организацию, либо от ее имени.
5.3 Организационные функции, ответственность и полномочия
5.3.1 Общие положения
Руководство должно гарантировать, что функции, ответственность и полномочия в области управления
документами определены, распределены и доведены до сотрудников всей организации и ее структурных
подразделений или до лиц, работающих на организацию либо от ее имени.
Ответственность должна быть надлежащим образом распределена между всеми сотрудниками согласно
соответствующим функциям и уровням в пределах организации, в частности, между высшим
руководством, управляющими по разработкам, специалистами в области документов, информационных
технологий, системными администраторами и иными должностными лицами, в обязанности которых
входит создание и управление документами.
Инициатива о внедрении СУД должна исходить от определенного представителя высшего руководства.
Там, где требуют размер организации и сложность ее документных процессов, может быть назначен
отдельный специалист по текущему управлению документами со специальной подготовкой и
обладающий соответствующей компетенцией. Распределение ответственности и ее иерархия должны
быть документально зафиксированы.
5.3.2 Ответственность руководства
Из состава высшего руководства необходимо назначить специального представителя, который,
независимо от наличия иных обязанностей, должен быть подотчетен и ответственен за обеспечение:
a) разработки, внедрения и сохранения СУД в соответствии с требованиями настоящего
международного стандарта,
b) содействия ознакомления с СУД сотрудников всей организации, и
c) распределения надлежащим образом определенных функций и ответственности и гарантирование
того, что сотрудники, осуществляющие функции, обладают необходимой квалификацией.
4 © ISO 2011 – Все права сохраняются

ПРИМЕЧАНИЕ Ответственность может быть возложена на конкретное должностное лицо или группу лиц в
зависимости от сложности структуры организации.
5.3.3 Текущая ответственность
Высшее руководство организации должно назначить отдельного представителя в сфере текущей работы
с документами, который будет наделен определенными функциями, ответственностью и полномочиями,
включающими:
a) внедрение СУД на организационном уровне,
b) анализ и подготовку отчетности о работе СУД для высшего руководства, включая рекомендации по
улучшению, и
c) сотрудничество со сторонними организациями по вопросам, относящимся к СУД.
ПРИМЕЧАНИЕ Функции представителя руководства и уполномоченного по работе с документами может
выполнять один и тот же человек или группа лиц.
6 Планирование
6.1 Действия в отношении рисков
Организация должна рассмотреть вопросы, содержащиеся в 4.1, и требования 4.2 и определить
потенциальные риски, на которые необходимо обратить внимание для того, чтобы
a) гарантировать, что СУД может достичь намеченного(ых) результата(ов),
b) предотвратить нежелательные последствия, и
c) реализовать возможности по улучшению.
Организации следует оценить необходимость разработки плана действий в отношении потенциальных
рисков и возможности их избежать,
 интегрировать и внедрять эти действия в процессы СУД (см. 8.1),
 обеспечить доступность информации для оценки того, являются ли действия результативными
(см. 9.1).
6.2 Цели в области документов и пути их достижения
Высшее руководство должно определить цели в области документов и обеспечить распространение
информации о них на всех уровнях организации для выполнения соответствующих функций.
Цели в области документов должны
a) соответствовать документной политике,
b) быть измеримы/обследуемы (если на практике это возможно),
c) учитывать применяемые требования, и
d) контролироваться (отслеживаться) и в случае необходимости обновляться.
Цели в области документов должны разрабатываться на основе анализа деловой деятельности
организации. Они должны определять области, в которых законодательство, нормативные акты,
стандарты и практические рекомендации в наибольшей степени применимы к созданию документов,
связанных с деятельностью организации.
Цели в области документов должны учитывать размер организации, вид ее деятельности, продукции и
услуг, а также месторасположение, условия, юридическую/административную систему и культурную
среду ее деятельности.
Организации следует сохранять документально зафиксированную информацию о целях в области
документов.
Для достижения этих целей организация должна определить
 кто будет ответственным,
 что будет сделано,
 какие необходимы ресурсы,
 когда они будут достигнуты,
 каким образом будет происходить оценка результатов.
7 Обеспечение
7.1 Ресурсы
Руководство должно распределять и сохранять ресурсы, необходимые для СУД.
Управление ресурсами включает:
a) распределение ответственности между сотрудниками, компетентными выполнять функции в СУД,
b) регулярный анализ компетентности и уровня образования таких сотрудников,
c) сохранение и устойчивость ресурсов и технической инфраструктуры.
7.2 Компетентность
Организация должна:
a) установить необходимую компетентность ее сотрудника(ов), которая влияет на функционирование
документных процессов и систем,
b) обеспечить компетентность этих сотрудников на основе соответствующего образования, обучения и
опыта,
c) там, где возможно, предпринять меры для приобретения ее сотрудниками необходимого уровня
компетентности и оценить результативность предпринятых мер, и
d) сохранять соответствующую документально зафиксированную информацию в качестве
подтверждения компетентности.
ПРИМЕЧАНИЕ Применяемые меры могут, например, включать обучение, консультирование или
перераспределение уже имеющихся сотрудников, прием на постоянную работу или по контракту новых
компетентных сотрудников.
7.3 Осведомление и обучение
Организация должна гарантировать, что ее сотрудники осознают:
a) значимость и важность своей индивидуальной деятельности, а также их вклад в достижение целей в
отношении СУД,
6 © ISO 2011 – Все права сохраняются

b) важность выполнения политики и процедур СУД, а также требований системы управления,
c) важность вопросов СУД и относящихся к ним реальных и потенциальных воздействий, связанных с
их работой, а также преимуществ улучшенной работы сотрудников,
d) свои функции и ответственность по достижению соответствия требованиям СУД, и
e) потенциальные последствия отклонений от определенных процедур.
Организация должна установить постоянно действующую программу по обучению в сфере создания и
управления документами. Программы по обучению требованиям и практике управления документами
должны быть разработаны для всех уровней сотрудников в организации, включая, в случае
необходимости, временных сотрудников и сотрудников иных организаций. Необходимый набор знаний и
навыков различных функций в отношении управления документами должен быть определен, оценен и
включен в программы по обучению, разработанные в организации.
7.4 Обмен информацией
Организация должна установить, внедрить, документально зафиксировать и сохранять процедуры для
внутреннего информирования о СУД, а также о политике и целях в области документов. Внутренний
обмен информацией для результативного внедрения СУД должен включать ответственность, текущие
процедуры и доступ к документации.
Организации необходимо решить, информировать ли иные организационные структуры о СУД (например,
при наличии совместных деловых процессов). Если принято решение об информировании, организация
должна определить (выбрать) способы для такого информирования. В зависимости от уровня
взаимодействия со сторонними организациями, такими как деловые партнеры, потребители и
поставщики, информирование может быть представлено в обобщенной форме — о СУД и ее целях,
либо в форме документации на определенные процедуры.
7.5 Документация
7.5.1 Общие положения
Организации следует документально зафиксировать СУД. Документация СУД должна включать
следующие установленные положения:
a) область применения СУД;
b) политику и задачи;
c) взаимозависимость и взаимосвязь между СУД и иными системами управления в организации или
между организациями;
d) документально зафиксированные процедуры, которые предусмотрены настоящим стандартом;
e) документацию, определенную организацией в качестве необходимой для обеспечения
эффективного планирования, функционирования и управления ее процессами.
ПРИМЕЧАНИЕ 1 Там, где в настоящем стандарте встречается термин «документированная процедура», это
означает, что процедура разработана, документально зафиксирована, внедрена и поддерживается в рабочем
состоянии.
ПРИМЕЧАНИЕ 2 Объем документации СУД может отличаться в различных организациях в зависимости от:
— размера организации и вида ее деятельности, и
— области применения и сложности процессов управления документами и документной системы
(систем), которые внедрены и управляемы, в том числе там, где деловая деятельность
осуществляется более чем в одном подразделении.
7.5.2 Управление документацией
Документация, требуемая СУД, должна быть управляема и контролируема. Документально
зафиксированная процедура должна определять управленческие действия, необходимые для:
a) согласования документации,
b) анализа и актуализации, а также повторного согласования документации,
c) обеспечения определения изменений и текущего статуса действия документации,
d) обеспечения наличия действующих документов,
e) обеспечения сохранности документации удобной для восприятия и легко идентифицируемой,
f) обеспечения идентификации входящей документации (документации внешнего происхождения) и
контроля за ее распределением, и
g) предотвращения непреднамеренного применения недействующей документации, а также
проставление на ней соответствующих реквизитов, если она подлежит хранению в каких-либо целях.
Документация СУД представляет собой документы, которыми необходимо управлять в документной
системе. Процедуры создания и управления документацией СУД должны быть согласованы с общими
процедурами по созданию и управлению документами [см. 8.2 c)].
8 Осуществление
8.1 Оперативное планирование и контроль
Организация должна определять, планировать, внедрять и контролировать процессы, связанные с
возможными рисками согласно 6.1, а также выполнять требования, закрепленные в 6.1 путем
 определения критериев для данных процессов,
 внедрения средств управления данными процессами в соответствии с выделенными критериями, и
 сохранения документально зафиксированной информации для подтверждения того, что процессы
осуществляются согласно запланированным действиям.
Организации следует управлять запланированными изменениями и пересматривать последствия
непреднамеренных изменений, предпринимая в случае необходимости действия по смягчению
неблагоприятных последствий.
Организация должна осуществлять контроль за процессами, выполняемыми по договору или
посредством аутсорсинга.
8.2 Проектирование документных процессов
Для создания СУД организация должна разработать документные процессы, учитывая приведенные
ниже положения.
a) Проанализируйте рабочие процессы для определения требований по созданию документов и
контролю для обеспечения непрерывности выполнения операций, а также удовлетворения
требований отчетности и иных требований заинтересованных сторон (см. ISO TR 26122).
b) Оцените риски, которые могут произойти в результате утраты управления аутентичными,
надежными и пригодными для использования документами, используемыми в деловых процессах
организации:
8 © ISO 2011 – Все права сохраняются

1) оцените уровни рисков;
2) определите, насколько риски допустимы согласно определенным критериям, либо ими
необходимо управлять;
3) определите и оцените параметры управления рисками.
c) Определите процессы (см. Приложение A в отношении документных процессов, которые должны
быть установлены в организации) по созданию и управлению документами, и то, каким образом
необходимо осуществлять и контролировать эти процессы в системах, а также выберите
необходимые технологические средства. Цели указанных процессов должны включать следующее.
1) Создание:
i) определите какие, когда и каким образом документы для каждого делового процесса
должны быть созданы и введены в систему.
ii) определите содержание, контекст и контрольную информацию (метаданные), которые
должны являться частью документов.
iii) решите, в какой форме и какую структуру должны иметь документы, которые должны быть
созданы и введены в систему.
iv) определите соответствующие технологии для создания и введения документов в систему.
2) Управление и контроль:
i) определите, какие метаданные должны быть созданы в рамках документных процессов, а
также каким образом они будут связаны с документами и управляемы.
ii) установите правила и условия для использования документов.
iii) обеспечьте пригодность документов для пользования.
iv) установите правила отбора и передачи документов на хранение или уничтожение.
v) определите условия, которые должны быть использованы для администрирования и
обеспечения сохранности документных систем.
Для достижения указанных целей должны быть внедрены процессы и средства управления документами,
приведенные в Приложении А, которые должны быть реализованы с учетом ресурсов организации,
делового контекста, выявленных рисков, а также нормативной и социальной среды.
8.3 Внедрение документных систем
Организация должна осуществить следующее:
a) применять документные процессы в рамках документных систем для достижения целей,
поставленных в области документов;
b) установить регулярный мониторинг работы документных систем согласно деловым требованиям и
целям в области документов;
c) управлять работой документных систем.
ПРИМЕЧАНИЕ С расширением электронного пространства (электронная администрация, электронное
правительство, электронная коммерция и т.д.) документные процессы становятся все более автоматизированными в
рамках документных систем. Существуют стандарты, закрепляющие функциональные требования в определенной
сфере. Автоматизированные документные системы должны быть совместимы с функциональными требованиями,
которые соответствуют требованиям настоящего международного стандарта.
9 Оценка работы
9.1 Мониторинг и обследование, анализ и оценка
9.1.1 Организация должна определить:
 что подлежит обследованию и мониторингу;
 методы применяемых мониторинга, обследования, анализа и оценки для достижения обоснованных
результатов;
 когда необходимо осуществлять мониторинг и обследование;
 когда следует выполнять анализ и оценку результатов мониторинга и обследования.
9.1.2 Организации следует оценить работу документных процессов и систем, а также
результативность СУД.
Дополнительно организация должна:
a) в случае необходимости предпринимать действия, касающихся неблагоприятных тенденций или
результатов, до того момента, когда произойдет несоответствие;
b) сохранять соответствующую документально зафиксированную информацию в качестве
доказательства достигнутых результатов.
9.1.3 Для оценки работы СУД организации необходимо провести мониторинг и, при наличии
возможности, следующие обследования:
a) документной политики для обеспечения отражения ею текущих деловых потребностей и учета
любых значимых изменений в организации;
b) целей в области документов для обеспечения их соответствия документной политике, их
достижения, сохранения их действенности, а также содействия постоянному улучшению;
c) изменений в деловых, нормативно-правовых и иных требованиях, которые оказывают влияние на
СУД;
d) доступности и достаточности ресурсов: финансовых, человеческих, инфраструктурных,
технологических и т.д;
e) соответствия распределенных и выделенных функций, ответственности и полномочий;
f) работы должностного лица, ответственного за внедрение, информирование и продвижение СУД;
g) осуществления документных процессов и управленческих действий согласно поставленным целям;
h) полноты документации и надлежащего внедрения процедур управления документами;
i) результативности документных систем по достижению стратегических, управленческих и
финансовых целей организации, используя средства, применяемые в рамках внедрения
документных систем;
j) результативности программы по обучению и информированию СУД, а также коммуникационной
стратегии;
k) удовлетворенности пользователей и заинтересованных сторон.
В Приложении С приведены примеры оценки и измерений показателей (обследования) в форме перечня
вопросов для самооценки.
10 © ISO 2011 – Все права сохраняются

Критерии мониторинга и обследования должны быть усовершенствованы в условиях изменения
социального, экономического, стратегического или правового контекста деятельности организации.
9.2 Внутренний аудит системы
С запланированной периодичностью организация должна осуществлять внутренние аудиты для того,
чтобы предоставить информацию о том, насколько СУД:
a) соответствует
1) собственным требованиям организации к СУД,
2) требованиям настоящего международного стандарта;
b) результативно внедрена и работает.
Организация должна:
 планировать, устанавливать, внедрять и сохранять программу(ы) аудита, принимая во внимание
требования и отчетность к периодичности, методам, ответственности, планированию, а также
важность рассматриваемых процессов и результатов предыдущих аудитов;
 определить критерии и области действия каждого аудита;
 выбрать аудиторов и проводить аудиты для обеспечения объективности и беспристрастности
процесса аудита;
 обеспечить информирование руководства о результатах аудитов;
 сохранять документированную информацию как доказательство достигнутых результатов.
9.3 Анализ управления
В запланированные сроки высшее руководство должно регулярно анализировать СУД организации для
обеспечения ее постоянной пригодности (работоспособности), соответствия установленным
требованиям и результативности.
При анализе управления необходимо учитывать:
a) результаты предыдущих анализов управления;
b) изменения внутренних и внешних вопросов, относящихся к СУД;
c) информацию о работе документных процессов и систем, включая тенденции в области:
1) несоответствий и корректирующих действий,
2) результаты оценки мониторинга и обследования, и
3) результаты аудита;
d) возможности непрерывного улучшения.
Результаты анализа управления должны включать решения, относящиеся к постоянному улучшению
возможностей и возможной необходимости изменений СУД.
Организации следует сохранять документально зафиксированную информацию в подтверждение
результатов анализа управления.
10 Улучшение
10.1 Контроль за несоответствиями и корректирующие действия
Организация должна:
 идентифицировать несоответствия,
 реагировать на несоответствия, когда возможно,
 предпринимать действия по контролю за ними, их локализации и исправлению,
 учитывать последствия.
Организация также должна оценить необходимость выполнения действий по устранению причин
несоответствия, включая:
a) анализ несоответствий,
b) определение причин несоответствий,
c) определение того, где еще в СУД могут существовать потенциально схожие несоответствия;
d) оценку необходимости действий для обеспечения того, что несоответствия не повторятся вновь или
не произойдут где-либо еще,
e) определение и осуществление необходимых действий,
f) анализ результативности любых предпринятых корректирующих действий, и
g) внесение при необходимости изменений в СУД
Корректирующие действия должны быть соизмеримы с воздействиями выявленных несоответствий.
Организации следует сохранять документально зафиксированную информацию в подтверждение
 природы несоответствий и любых впоследствии предпринятых действий, и
 результатов любых корректирующих действий.
10.2 Постоянное улучшение
Организация должна постоянно улучшать результативность СУД путем применения документной
политики, целей, анализа результатов аудита, анализа данных, корректирующих и предупреждающих
действий, а также оценки управления.
Согласно результатам оценки риска (на основании этой оценки) действия по улучшению должны
являться приоритетными (см. 6.1)
12 © ISO 2011 – Все права сохраняются

Приложение А
(нормативное)
Процессы и средства управления документами
В настоящем приложении представлены документные процессы и средства управления документами
(включая управленческие действия в отношении документов), которые следует внедрить. Они могут быть
осуществлены в порядке, который наилучшим образом отражает характеристики организации. Решение
не внедрять какой-либо процесс должно быть оправдано (например, организация может решить не
внедрять А.2.4.3 Передача, потому что передача документов в другую организацию не запланирована).
Документные процессы и средства управления документами сгруппированы и пронумерованы в
Таблице А. 1 согласно целям, перечисленным в 8.2 с)1) Создание и 8.2 с) 2) Управление и контроль.
Документные процессы перечислены в левой колонке. Для каждого документного процесса
предусмотрено одно либо более управленческое действие, которое следует предпринять в отношении
документов.
Таблица А.1
№ Процесс Средства управления документами
A.1 Создание
A.1.1 Определение того, какие, когда и каким образом должны быть созданы и введены в систему
документы для каждого делового процесса
A.1.1.1 Определите потребность Все текущие потребности в информации, необходимость в предоставлении
в информации отчетности, информации по аудитам и иные потребности заи
...