ГОСТ Р 53661—2009
e) архивные документы, данные и информация, оставленные на хранение по юридическим
соображениям или для сохранения знаний, были должным образом идентифицированы и системати
зированы;
f) документы, данные и информация сохранялись и обеспечивалась актуализация и возмож
ность их восстановления при хранении в электронном виде.
[ГОСТ Р 53663—2009)
________________________________________________________________________
b
) Намерение
Вся документация и данные, содержащие информацию о функционировании системы менедж
мента безопасности и действиях организации по обеспечению безопасности и охраны, должны быть
идентифицированы. Должно быть обеспечено управление ими.
c) Типовые входные данные
Типовые входные данные включают в себя:
- подробные сведения о документации и информационных системах, используемых организа
цией для обеспечения функционирования своей системы менеджмента безопасности, деятельности
по обеспечению безопасности и охраны, а также соответствия требованиям ГОСТ Р 53663:
- подробные сведения об ответственности и полномочиях.
d) Процесс
Процедурыдолжны предусматриватьсредства управлениядокументацией иданными пообеспе
чению безопасности и охраны в части их идентификации, одобрения, доступа, выдачи, пересмотра и
замены. Эти процедуры должны четко определять степень доступа к документации и данным, содер
жащим конфиденциальную информацию в зависимости от ее значимости.
Должно обеспечиваться наличие идоступ кдокументации иданным уполномоченному на то пер
соналу в случае необходимости как в условиях повседневной деятельности организации, так и в чрез
вычайных ситуациях.
e) Тиловыо выходные данные
Типовые выходные данные включают в себя:
- процедуру управления документацией, включая распределение ответственности и предостав
ления доступа к работе сдокументацией иданными, содержащими конфиденциальную информацию:
- номенклатуру дел;
- перечень управляемой документации с ее местонахождением;
- хранение записей.
4.4.6 Управление операциями
а) Требования
Организация должна идентифицировать операции и действия, необходимые для:
a) достижения собственной политики в области менеджмента безопасности;
b
) управления идентифицированными угрозами и рисками безопасности;
c) соответствия нормативным и иным требованиям, регламентирующим безопасность;
d) решения собственных задач в области менеджмента безопасности.
e) выполнения собственных программ в области менеджмента безопасности;
f) достижения требуемого уровня безопасности цепи поставок.
Организация должна обеспечивать реализацию этих операций и действий в особых условиях
путем:
a) разработки, внедрения и поддержания в рабочем состоянии документированных процедур
поуправлению ситуациями, когда отсутствие таких процедур может привести ксбою восуществлении
операций идеятельности (см. вышеприведенные перечисления);
b
) оценки любых угроз, возникающих в результате деятельности на фазе «предконтроля» в
цепи поставок, и использования рычагов управлениядля смягчения их воздействия наорганизацию и
других операторов цепи на фазе «постконтроля»;
c) разработки и внедрения требований в отношении товаров или услуг, которые влияют на
безопасность, и доведения их до сведения поставщиков и подрядчиков.
Эти процедуры должны включать в себя управление проектированием, установкой, функцио
нированием. восстановлением и модификацией элементов оборудования, средств и т.д., которые
имеют отношение к безопасности. Если пересматриваются существующиедоговоренности или вво
дятся новые, то это может повлиять на функционирование и действия менеджмента безопасности.
Поэтому организация должна заранее учитывать все связанные с этим угрозы и риски в отношении
22