GB∕T 34112-2022 信息与文献 文件（档案）管理体系 要求.pdf

1、ICS 01.140.20CCS A 14中华人民共和国国家标准GB/T 341122022/ISO 30301：2019代替 GB/T 341122017信息与文献 文件(档案)管理体系 要求Information and documentation-Management systems for records-Requirements(ISO 30301：2019,IDT)2022-07-11 发布2023-02-01 实施国家市场监督管理总局 国家标准化管理委员会GB/T 341122022/ISO 30301：2019目 次前言.m引言.IVi范围.12规范性引用文件.13术语和定义.

2、14组织环境.44.1 理解组织及其环境.44.1.1 总则.44.1.2 文件要求.44.2 了解利益相关方的需求和期望.44.3 确定文件管理体系的范围.54.4 文件管理体系.55领导作用.55.1 领导作用和承诺.55.2 方针.55.3 组织的岗位、职责和权限.66规划.66.1 应对风险与机遇的措施.66.2 文件目标与实现目标的规划.67支持.77.1 资源.77.2 能力.77.3 意识.77.4 沟通.77.5 证明性信息.87.5.1 总则.87.5.2 创建和更新.87.5.3 证明性信息的控制.88运行.88.1 运行计划与控制.88.2 确定创建的文件.98.3 文件

3、过程、文件控制和文件系统的设计和实施.99绩效评价.99.1 监控、测量、分析和评价.99.2 内部审核.9IGB/T 341122022/ISO 30301:20199.3 管理评审.910改进.1010.1 不符合及纠正措施.1010.2 持续改进.10附录A（规范性）文件过程、文件控制和文件系统的运行要求.11参考文献.13图1文件管理体系标准以及相关的国际标准和技术报告.V图2基于过程方法的文件管理体系结构示意图.VInGB/T 341122022/ISO 30301:2019刖 后本文件按照GB/T 1.12020标准化工作导则 第1部分:标准化文件的结构和起草规则的规定 起草。GB

4、/T 41207信息与文献 文件（档案）管理体系 实施指南、GB/T 34112信息与文献 文件（档案）管理体系要求与GB/T 34110信息与文献文件管理体系基础与术语共同构成支撑文 件管理的系列国家标准。d本文件代替GB/T 341122017信息与文献 文件管理体系 要求，与GB/T 34112-2017相 比，除结构调整和编辑性改动外，主要技术变化如下：更改了术语和定义（见第3章,2017年版的第3章）；增加了组织环境内部因素中的技术背景（见4.1.1）；增加了文件要求（见4.1.2）；增加了文件管理体系要求（见4.4）；更改了 5.1中最高管理者的两项承诺（见5.1,2017年版的5

5、.1）；更改了“文件过程的设计”，改为“确定创建的文件”（见8.2,2017年版的8.2）；-更改了“文件系统的实施”并增加了文件过程和文件控制的设计和实施的内容（见8.3,2017年 版的8.3）；更改“过程与控制”为“文件过程、文件控制和文件系统的运行要求”，并更改了部分内容（见 附录A,2017年版的附录A）；一删除了“GB/T 19001,GB/T 24001,GB/T 22080 和 GB/T 341122017 的对应关系”和“自评 估检查表”（见2017年版的附录B、附录C）o本文件等同采用ISO 3030L2019信息与文献 文件（档案）管理体系 要求。请注意本文件的某些内容可

6、能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国信息与文献标准化技术委员会（SAC/TC 4）提出并归口。本文件起草单位：中国人民大学、国家档案局、天津师范大学、高地知库（北京）信息咨询有限公司、中国科学技术信息研究所、山东省计算中心（国家超级计算济南中心）、中电科大数据研究院有限公司、郑州航富数波科技有限公司、上海信联信息发展股份有限公司、深圳市电子政务云计算应用技术国家工 程实验室有限公司、鲁能集团有限公司。本文件主要起草人;安小米、白文琳、聂曼影、加小双、刘春燕、蔡盈芳、高永超、王金祥、张静、孙舒亦 杨安荣、何芮、庞玲玲、张大鹏、胡菊芳、程序、连樟文、钱大龙。本文件及其所代

7、替文件的历次版本发布情况为：2017年首次发布为GB/T 341122017；本次为第一次修订。1）根据中国档案工作实际records”翻译成“文件”，等同于中文语境下的机关单位或组织的文件和档案（不包括 档案馆藏档案），标题上采用“文件（档案）”，便于检索，也便于维护文件（档案）管理系列国际标准中 records”的 本意，便于维护已经采标的国家标准使用的连贯性和更广泛推广应用.UIGB/T 341122022/ISO 30301：2019引 言0.1总则组织的成功主要依赖于管理体系的实施和维护，以持续改进绩效并满足所有利益相关方的需求。管理体系为实现组织目标提供了制定决策和管理资源的方法论

8、。文件的创建和管理是任何组织活动、业务过程和信息系统的有机组成，并能提高业务有效性，加强 问责、管控风险并保证业务连续性，促使组织将信息资源视为战略资产进行资本化管理，有利于保存集 体记忆，应对全球化和数字化环境带来的挑战。本文件所称“文件”等同于中文语境下的机关单位或组 织的文件和档案（不包括档案馆藏档案）。注：本文件提及的“业务”一词可广义地理解为对该组织的宗旨具有核心意义的活动。0.2管理体系在鼓励良好业务实践的组织环境中，管理体系标准（MSS）为最高管理者提供了系统的、可评测的 用以管控组织的工具。文件管理体系标准，旨在帮助各种类型、规模的组织，或者有共同业务活动的组织团体实施、运行和

9、 改进有效的文件管理体系（MSR）。文件管理体系对组织制定并实现文件方针和目标，进行指导和控 制，通过以下措施达到上述宗旨：明确岗位及其职责；系统化的过程；测量和评价；评审和改进。基于组织要求合理实施文件方针和目标，确保业务活动形成的证据和相关的权威、可靠的信息得以 创建和有效管理,并为有需要的人在需要的时候提供利用。文件方针及目标的成功实施能使文件和文 件系统适宜地满足组织的全部宗旨O在组织内实施文件管理体系也有助于保证决策的透明度和可追溯性,这些决策是通过责任化管理 和明确规定问责来实现的。0.3与其他文件标准的关系文件管理体系标准是在管理体系标准框架下完成的，与其他管理体系标准保持兼容,

10、并使用了相同 的要素和方法论。GB/T 26162.1以及其他文件管理标准和技术报告是设计、实施、监控和改进文件过 程及其控制最主要的工具,这些工具在组织决定实施管理体系标准方法论的情况下，以文件管理体系方 式运行。注：GB/T 26162.1是文件管理工作最佳实践的基础性标准。文件管理体系标准以及与实施文件过程和控制相关产品的结构如图1所示，部分已经发布,部分正 在制定。GB/T 341122022/ISO 30301:2019术语”GB/T34U0 文件管理体系基础与术语相关标准&技术报告 文件过程的实篇文件管理 基础文件系统GB/T 26162.1 文件管理 第1部分：通则GB/Z 32

11、002 文件管理 工作过程 分析GB/T 26163.1 文件元数据 第1部分：原则ISOTR 18128 文件过程与系统的 风险评估ISOTR 21946 文件管理 签定GB/T34840.1电子办公环境中 文件管理原则与功能要求 第1部分：概述和原则ISOTR 13028 文件 数字化 实能指南ISO 13008 数字文件 转换与 迁移过程ISOTR17068 可信第三 方数字文 件仓储定文1注：某些产品和技术报告的标题在修订时会改变。上图中的标题表示主题或领域，并不是已发布标准和技术报告的完整官方标题.新产品的最新图解可访问：https：/committee.iso.org/home/t

12、c46scl 1.图1文件管理体系标准以及相关的国际标准和技术报告0.4文件管理体系标准族文件管理体系标准族用于支持以下人员的工作：a）决定在组织内建立和实施管理体系的最高管理者；b）负责实施文件管理体系的人，例如风险管理、审核、文件管理、信息技术和信息安全领域的专业 人员。被纳入文件管理体系的过程方法强调以下工作的重要性：识别组织的文件要求，包括利益相关方的需求和期望，建立文件方针和目标；在整体业务风险的环境中，实施和运行与文件相关的组织风险管理的控制；监控和评审文件管理体系的绩效和成效；基于目标测量的持续改进。图2展示了基于过程方法的本文件结构示意图。GB/T 341122022/ISO

13、30301；2019图2基于过程方法的文件管理体系结构示意图0.5与其他管理体系标准的关系和兼容性本文件与ISO管理体系标准要求一致。这些要求包括高级结构、相同的核心文本、通用术语使用 相同定义，旨在帮助用户实施多种ISO管理体系标准。术语“证明性信息”是管理体系标准的核心术语之一。所有管理体系标准中与证明性信息相关的要 求在7.5中给出。本文件除了本身构成管理体系标准外，还可以支持组织实施其他管理体系的证明性 信息要求。更多信息见：https:committee.iso.org/home/tc46scll。VIGB/T 341122022/ISO 30301:2019信息与文献文件(档案)管

14、理体系要求1范围本文件规定了文件管理体系应满足的要求，以支持组织实现其职责、使命、战略和目标。本文件聚 焦文件方针和目标的建立和实施，并为文件管理绩效的测评和监控提供指南。文件管理体系可以由单个组织，也可以由拥有共同业务活动的多个组织建立。本文件所指“组织”，不局限于单个组织，还包括其他类型的组织结构。本文件适用于有下列需求的任意类型的组织：建立、实施、维护与改进文件管理体系以支持其业务；确保组织的文件管理体系与其规定的文件方针保持一致；一-通过以下方式来证明与本文件的一致性：开展自我评估和自我声明；通过第三方来证实自我声明；通过第三方来认证文件管理体系。2规范性引用文件下列文件中的内容通过文

15、中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 件，仅该日期对应的版本适用于本文件;不注日期的引用文件，其最新版本(包括所有修改单)适用于本 文件。ISO 30300 信息与文献 文件管理体系 基础与术语(Information and documentationManagement system for records-Fundamentals and vocabulary)注：GB/T 341102017信息与文献 文件管理体系 基础与术语(ISO 30300：2011,IDT)3术语和定义ISO 30300界定的以及下列术语和定义适用于本文件。本文件中的定义与任何管理体系

16、标准的通 用术语一致，并且出于兼容性原因，此处给出这些定义。它们与ISO 30300中的定义相同。ISO和IE C在以下地址维护用于标准化的术语数据库：ISO 在线浏览平台：https：/www.iso.org/obpIE C E lectropedia：http：/www.electropedia.org/3.1组织 organization为实现目标(3.8),明确了职责、权限和相互关系，具有自身职能的个人或群体。注：组织概念包括，但不限于专营商、公司、集团、商行、企事业单位、行政机构、合伙人、慈善机构或研究机构，上述 组织的部分或组合,无关是否为法人组织，公有还是私有。3.2利益相关方

17、interested party；stakeholder可影响决策或活动，被决策或活动所影响，或认为自己被决策或活动影响的个人或组织1GB/T 341122022/ISO 30301：20193.3要求 requirement明示的、通常隐含的或必须履行的需求或期望。注1：“通常隐含的”是指组织和利益相关方的惯例或一般做法。所考虑的需求或期望是不言而喻的。注2：规定要求是经明示的要求，如在证明性信息中阐明。3.4管理体系 management system组织（3.1）制定方针（3.7）和目标（3.8）以及实现这些目标的过程（3.12）的相互关联或相互作用的要 素集合。注1：一个管理体系可以针

18、对单一的领域或几个领域.注2：管理体系要素规定了组织的结构、岗位和职责、规划和运行.注3：管理体系的范围可能包括整个组织，组织中可被明确识别的职能或可被明确的部门，以及跨组织的单一职能 或多个职能.3.5最高管理者 top management在最高层指挥和控制组织（3.1）的一个人或一组人。注1：最高管理者在组织内有授权和提供资源的权力。注2：如果管理体系（3.4）的范围仅覆盖组织的一部分，在这种情况下，最高管理者是指管理和控制组织这部分的一 个人或群体.3.6有效性 effectiveness完成计划的活动并得到预期结果的程度。3.7方针policy由最高管理者（3.5）正式发布的组织（3

19、.1）的宗旨和方向。3.8目标 objective要实现的结果。注1：目标可以是战略性的、战术的或运行层面的。注2：目标可以涉及不同的领域（如财务的、职业健康与安全的和环境的目标），并可应用于不同的层次如战略层、组织整体层、项目层、产品层和过程（3.12）层.注3,目标还可以以其他方式表述，例如，预期的结果、活动的目的或运行准则，文件管理体系目标，或者使用其他类 似含意的词（如目的、终点或标的）。注4：在文件管理体系环境中，组织制定的文件管理体系目标与文件管理体系方针保持一致，以实现特定的结果3.9风险risk不确定性的影响。注1：影响是指偏离期望，可以是正面的或负面的。注2：不确定性是对某个

20、事件,甚至是局部结果或可能性缺乏理解或知识方面的信息的情形。注3：通常，风险是通过有关可能事件（GB/T 236942013的定义4.5.1.3）和后果（GB/T 236942013的定义4.6.1.3）,或者两者组合来描述其特性.注4：通常，风险是以某个事件的后果（包括情况的变化）及其发生的可能性（GB/T 23694-2013的定义4.6.1.1）的 组合来表述.3.10能力 competence应用知识和技能实现预期结果的本领。2GB/T 341122022/ISO 30301:20193.11证明性信息 documented information组织需要控制和维护的信息及其载体。注1

21、：证明性信息可以以任何格式和载体存在,并可来自任何来源。注2：证明性信息可涉及：管理体系（3.4）,包括相关过程（3.12）；为组织运行而创建的信息（证明性文档）；结果实现的证据（文件13.12过程 process利用输入实现预期结果的相互关联或相互作用的一组活动。3.13绩效 performance可测量的结果。注1：绩效可能涉及定量的或定性的结果。注2：绩效可以涉及活动、过程（3.12）、产品（包括服务）、体系或组织（3.1）的管理.3.14外包（动词）outsource（verb）安排外部组织（3.1）承担组织的部分职能或过程（3.12）。注：虽然外包的职能或过程是在组织的管理体系（3.

22、4）覆盖范围之内，但外部组织是处在覆盖范围之外。3.15监控 monitoring确定体系、过程或活动的状态。注：确定状态可能需要检查、监督或严密观察。3.16测 S measurement确定数值的过程（3.12）。3.17审核 audit为获得客观证据并对其进行客观评价，以确定满足准则的程度所进行的系统的、独立的并创建文件 的过程（3.12）。注1：审核可以是内部审核（第一方）,或外部（第二方或第三方）审核，可以是多体系审核（两个体系或多个体系审核）.注2：内部审核由组织自己或外方以组织的名义进行。注3：“审核证据”和“审核准贝IJ”在GB/T 190112021中有定义。3.18合格（符

23、合）conformity满足要求（3.3）。3.19不合格（不符合）nonconformity未满足要求（3.3）。3.20纠正措施 corrective action为消除不符合（3.19）的原因并以防再次发生所采取的措施。3GB/T 341122022/ISO 30301：20193.21持续改进 continual improvement提高绩效（3.13）的循环活动。4组织环境4.1 理解组织及其环境4.1.1 总则组织应确定与其宗旨相关并影响其实现文件管理体系预期结果的能力的各种外部因素和内部 因素。组织环境的外部因素包括但不局限于下列方面：一国际、国内、区域或地方的社会、文化、法律

24、、法规、财务、技术、经济、自然和竞争环境等各方面 因素；影响组织目标的关键驱动因素和趋势；与外部利益相关方的关系，以及他们的观念、价值观和期望（见4.2）。组织环境的内部因素包括但不局限于下列方面：a）治理、组织结构、岗位和职责；b）方针、目标和实现方针、目标的战略；c）能力，特指在资源和知识管理方面的能力（例如：资本、时间、人员、流程、系统和技术）；d）信息系统、信息流和决策过程（包括正式的与非正式的）；e）技术背景，包括组织机构单独维护的技术，也包括用于与其他利益相关方协同的技术；f）与内部利益相关方的关系，他们的观念、价值观，以及组织文化；g）组织已采用的标准、指南和模式；h）合同关系的

25、形式和范围。4.1.2 文件要求组织应识别和记录文件的业务需求，以理解宜创建、捕获和管理什么样的文件。组织应识别、评估和记录其应遵守并保留证据的影响经营活动的文件要求。这些要求可以是业务、法律法规及其他要求。业务上的要求包括组织运营或开展业务活动的全部要求，来源于组织当前的业务绩效、未来规划和 发展、风险管理以及业务连续性规划。法律上的要求包括文件创建、捕获和管理方面的规定，它来源于：法律、法规和规章，包括适用于特定行业及通用业务环境的法律法规；与证据、文件、档案、访问、隐私、数据和信息保护以及电子商务相关的法律法规；组织的监管规则或组织签订的章程或协议；组织在法律上需要遵守的其他条约。其他包

26、括组织自愿履行的、非法律义务的要求：a）最佳实践；b）道德和伦理。4.2 了解利益相关方的需求和期望组织应确定：4GB/T 341122022/ISO 30301.2019与文件管理体系相关的利益方；利益相关方的要求。就文件而言，利益相关方期望组织能够对其活动负责，并且留存文件,在有需要时可获得。利益相 关方的要求包括但不局限于下列方面：a）可识别的期望，为公众所接受的特定部门或组织的行为，包括良好的治理、对欺诈或恶意行为 的控制、决策过程透明,b）保护相关责任者或其他利益相关方的权利和权益；c）期望特定的社群或领域可获得满足其研究宗旨的文件中的信息；d）记录历史和文化传统重大事件的证明性文档

27、。4.3 确定文件管理体系的范围为了建立文件管理体系的范围，组织应确定文件管理体系的边界和适用性。在确定这一范围时,组织应考虑：4.1.1中提及的外部因素和内部因素；4.1.2和4.2中提及的要求。文件管理体系可应用于：a）组织内部一个或多个特定的业务过程；b）涵盖整个组织的所有业务过程；c）有共同业务过程的多个组织，例如跨特定部门、贸易伙伴或合作伙伴。当文件管理体系是为多组织协同的一个或多个特定职能部门而建立时，范围应涵盖每个部门实体 的岗位及其相互关系。这一范围应作为证明性信息可获得。4.4 文件管理体系组织应按本文件要求建立、实施、维护并持续改进文件管理体系，包括所需的过程及其相互作用。

28、5领导作用5.1 领导作用和承诺最高管理者应通过以下方面，证实其对文件管理体系的领导作用和承诺：确保建立文件方针和文件目标，并与组织的战略方向相一致；确保文件管理体系要求融入组织的业务过程；确保为文件管理体系所需的资源是可获得的；沟通有效的文件管理和符合文件管理体系要求的重要性；确保文件管理体系实现其预期结果；指导并支持为文件管理体系的有效性做出贡献的人员;推动持续改进;支持其他相关管理者展示其在其职责范围内发挥的领导作用。5.2 方针最高管理者应制定文件方针，文件方针应：a）适应组织的宗旨；b）为建立文件目标提供框架；GB/T 341122022/ISO 30301:2019c）包括满足适用

29、要求的承诺；d）包括持续改进文件管理体系的承诺。文件方针应：作为证明性信息可获得；在组织内得到沟通；适宜时，可为有关利益相关方所获得。文件方针应包含最高层级的战略即指创建、捕获和管理具有真实性、可靠性和可用性，能支持 组织职能和活动的文件，并能按要求保护好这些文件的完整性。5.3 组织的岗位、职责和权限最高管理者应确保组织内相关岗位的职责和权限得到分配和沟通。文件管理的职责应适宜地分配到相关的各个职能部门和层级，特别是组织的最高管理者、项目经 理、文件管理人员、信息管理人员、系统管理人员和日常工作中创建和控制文件是其工作组成部分的其 他所有人员。最高管理者应分配职责和权限，以：a）确保文件管理

30、体系符合本文件的要求；b）向最高管理者报告文件管理体系的绩效。组织最高管理者应任命专职的文件运行代表，并应明确其岗位、职责和权力，包括：在运行层面实施文件管理体系；向最高管理者报告文件管理体系的有效性以进行评审,包括提出改进建议；与文件管理体系事务相关的外部单位建立联络。6规划6.1 应对风险与机遇的措施在规划文件管理体系时，考虑到4.1所描述的因素以及4.2所提及的要求，组织应确定需要应对的 风险和机遇，以：确保文件管理体系能够实现其预期结果；-预防或减少不利影响；实现持续改进。组织应规划：a）应对这些风险和机遇的措施；b）如何：1）在文件管理体系过程中整合并实施这些措施；2）评价这些措施的

31、有效性。6.2 文件目标与实现目标的规划组织应在相关职能和层级建立文件目标。创建、捕获和管理可靠、真实、完整、可用的文件是成功实 现文件目标的保证。文件目标通过建立文件系统或通过系统捕获和控制可靠、安全、一致、全面、系统的 文件得以实现。文件目标应：a）与文件方针相一致；b）可测量（如可行）；6GB/T 341122022/ISO 30301：2019c）考虑适用的要求；d）予以监控；e）予以沟通；f）适时更新。组织应留存文件目标的证明性信息。在规划如何实现文件目标时，组织应确定：将做什么；需要什么资源；-由谁负责；何时完成；如何评价结果。7支持7.1 资源组织应确定并提供建立、实施、维护和持

32、续改进文件管理体系所需要的资源。资源管理包括：分配任务给有能力胜任文件管理体系岗位职责的人员；定期评审这些人员的能力及其培训；维护资源和技术设施的可持续性。7.2 能力组织应：一确定在其控制下工作、对文件过程和文件系统绩效具有影响的人员必要的能力；通过适当的教育、培训和经历等方式，确保这些人员有能力胜任工作；适用时，采取措施使员工获得必要的能力，并评价所采取措施的有效性；留存适当的证明性信息作为员工能力的证明。注：适用的措施可能包括：给现有员工提供培训、指导，或重新分配工作，或聘用或雇佣能胜任的人员。7.3 意识组织应确保在其控制下工作的人员意识到：文件方针；他们对文件管理体系有效性的贡献，包

33、括对提升文件过程和文件系统绩效的贡献;不符合文件管理体系要求的后果。7.4 沟通组织应确定与文件管理体系相关的内部沟通和外部沟通，包括：-沟通什么内容；-何时沟通；-与谁沟通；如何沟通。7GB/T 341122022/ISO 30301：20197.5 证明性信息7.5.1 总则组织的文件管理体系应包括：本文件要求的证明性信息；组织确定的实现文件管理体系有效性所必需的证明性信息。注：不同组织的文件管理体系证明性信息的复杂程度可能不同，取决于：a）组织的规模及其活动、过程、产品和服务的类型；b）过程的复杂性及其相互作用；c）人员的能力。7.5.2 创建和更新在创建和更新证明性信息时，组织应确保适

34、当的：a）标识和著录（例如:题名、日期、作者或参考文件编号）；b）形式（例如:语言文字、软件版本、图表）和载体（例如：纸质的、电子的）；c）评审和批准，以确保适宜性和充分性。7.5.3 证明性信息的控制文件管理体系及本文件要求的证明性信息应予以控制，以确保其：a）在需要的时间和场所均可获得并且适用；b）得到充分的保护（例如，防止失密、不当使用或完整性受损）。为了控制证明性信息，组织应进行以下适用的活动：分发、访问、检索和使用；注：访问可以指仅允许查阅证明性信息的决定或指允许并授权查阅和更改证明性信息的决定。一存储和维护，包括维护易读性；变更的控制（例如：版本控制）；留存和处置。组织为规划和运行

35、文件管理体系，对来自外部的证明性信息应适当地进行识别和控制。文件管理体系的证明性信息是组织文件的组成部分,应在文件系统中进行管理。文件管理体系的 证明性信息的创建和控制要求应与通用的文件创建、捕获、管理要求（第8章和附录A）保持一致。8运行8.1 运行计划与控制组织应规划、实施并控制文件过程,并满足6.1中确定的要求和实施其确定的措施，通过：建立文件过程的运行准则；按照运行准则实施文件过程控制；留存必要程度的证明性信息，以确信过程已按计划得到实施。组织应对计划内的变更进行控制，并对非预期变更的后果予以评审，必要时，应采取措施降低任何 不利影响。组织应确保外包文件过程在文件管理体系的控制范围内。

36、8GB/T 341122022/ISO 30301：20198.2 确定创建的文件组织应确定每一个业务过程应创建和捕获什么文件，何时及如何捕获文件。应通过下列方式予以实现：分析业务过程，以确定与连续运行相关的文件创建、捕获和管理要求，履行责任并满足其他利 益相关方的利益（见 GB/Z 320022015 和 ISO/TR 21946）；一评估风险，这些风险可能导致业务过程中对真实、可靠和可用文件的控制和对这些文件的完整 性保护的失败（见ISO/TR 18128）o这一分析结果应成文并由最高管理者授权。8.3 文件过程、文件控制和文件系统的设计和实施组织应在设计和实施文件过程、文件控制和文件系统

37、时考虑4.1.2和附录A中的文件要求。实施附录A中的文件过程和文件控制时，宜考虑组织资源和在文件创建、捕获和管理过程中识别 出来的能被管理的风险。组织应在文件系统中实施文件过程，管理文件系统的运行，并且建立文件系统绩效的常规监控。9绩效评价9.1 监控、测量、分析和评价组织应确定：a）需要监控和测量的内容；b）采用何种方法来适时监控、测量、分析和评价以确保有效的结果；c）何时实施监控和测量；d）何时分析和评价监控和测量的结果。组织应留存适当的证明性信息，作为监控、测量、分析和评价结果的证据。组织应评价文件过程和文件系统的绩效以及文件管理体系的有效性。9.2 内部审核9.2.1 组织应按计划的时

38、间间隔实施内部审核，以提供下列文件管理体系的信息。a）是否符合：1）组织自身对文件管理体系的要求；2）本文件的要求。b）是否得到有效的实施与维护。9.2.2 组织应：a）规划、建立、实施并维护一个或多个内部审核方案，包括审核的频次、方法、职责、预期要求和内 部审核报告机制。审核项目应将相关过程的重要性和先前的审核结果纳入其中。b）规定每次审核的准则和范围。c）选择审核员并实施审核,确保审核过程的客观性和公正性。d）确保向相关管理者报告审核结果。e）留存证明性信息，作为审核方案实施和审核结果的证据。9.3 管理评审最高管理层应按计划的时间间隔对组织的文件管理体系进行评审，以确保其持续的适宜性、充

39、分性 9GB/T 341122022/ISO 30301：2019和有效性。管理评审应包括对下列事项的考虑：a）以往管理评审所采取措施的状况；_ _ b占文件管理体系相关的外部因素和内部因素的变化；c）关于文件过程和文件系统绩效方面的信息，包括以下方面的趋势：1）不符合和纠正措施；2）监控和测量的结果；3）审核结果。d）持续改进的机会。管理评审的输出应包括持续改进机会相关的决策以及需求变更相关的决策。组织应留存证明性信息,作为管理评审结果的证据。10改进10.1不符合及纠正措施发生不符合时，组织应：a）对不符合做出适当反应：1）采取措施控制并纠正不符合；2）处理后果。b）通过以下活动评价消除不

40、符合原因,以防止不符合再次发生或在其他地方发生：1）评审不符合；2）确定不符合的原因；3）确定是否存在或可能发生类似的不符合。c）实施任何所需的措施。d）评审所采取的任何纠正措施的有效性。e）必要时，对文件管理体系进行变更。纠正措施应与所遇到的不符合造成的影响相适应。组织应留存证明性信息作为下列事项的证据：不符合的性质和所采取的任何后续措施,任何纠正措施的结果。10.2持续改进组织应持续改进文件管理体系的适宜性、充分性和有效性。10GB/T 341122022/ISO 30301：2019附录A（规范性）文件过程、文件控制和文件系统的运行要求表A.1规范了文件过程、文件控制和文件系统的具体要求

41、。它们的实施方式宜适用于组织特性。任何特定要求不实施的决策，均应以书面形式论证（如组织可能决定不实施A.1.11迁移和转换文件，原 因是未计划将其文件移交给另一组织）。表A.1文件过程、文件控制和文件系统的运行要求章条号类别运行要求旧版章条号(GB/T 341122017/ISO 30301:2011)A.1文件过程A.1.1创建文件事务或事件开始（或开始不久）时，文件应由经办人创建或由 组织运行事务的工具自动创建A.1.1.3A.1.2创建文件针对每个工作过程，作为其文件组成部分的信息的形式和结 构应得到标识并被记录A.1.3.1A.1.3捕获文件应确定并记录融入业务过程捕获文件的方法A.1

42、.1.6A.1.4捕获文件关于文件的背景信息应被增加到捕获环节中A.l.2.2A.1.5捕获文件当工作过程需要捕获证据时，应在捕获时实施特殊的标识符A.2.1.1A.1.6捕获文件当文件替代了现存的文件（更新时），如某些证明性信息，新 的版本应标识过期的版本及其变更A.1.7文件分类与标引文件应按照相关工作过程进行聚类（分类）A.2.1.2A.1.8存储文件维护和存储文件的方法，应符合文件载体、技术的相关标准，以确保文件可长期可访问和可使用A.2.3.2A.1.9利用与再利用数字文件应保持长期可访问和可使用A.2.3.3A.1.1O利用与再利用关于文件的元数据方案应确定并实施A.2.1.5A.

43、1.11迁移和转换文件文件受控迁移到另一组织或系统应得到批准并被记录A.2.4.3A.1.12迁移和转换文件文件格式的常规转换，包括从模拟态转换成数字格式（数字 化）应得到批准和记录A.2.4.4A.1.13迁移和转换文件在迁移和转换过程中，初始系统或格式应被留存直到过程结 束，同时最终格式或系统的完整性和可靠性已得到证实一A.1.14处置确定文件保管期限的准则，应按工作过程要求建立并被记录A.1.1.4A.1.15处置对文件进行转移、删除和销毁的决策，应经过批准，并得到 记录A.2.4.2A.1.16处置经过批准应销毁的文件应在监督下进行销毁，并得到记录A.2.4.5A.1.17处置业务的性

44、质和复杂性和正式的责任要求决定了被销毁文件 的控制信息（登记、标识和历史元数据）应被留存A.2.4.611GB/T 341122022/ISO 30301:2019表A.1文件过程、文件控制和文件系统的运行要求（续）注：旧版中的A.1.1.1和AJ.1.2的要求现在被包含在8.2中，旧版中A.2.5.7已从附录A中删除。章条号类别运行要求旧版章条号(GB/T 341122017/ISO 30301,2011)A.2文件控制A.2.1文件元数据方案应确定并记录每个工作过程中标识文件需要的信息，包括标 识对文件和工作过程负责的组织的工作领域A.1.2.1A2.2文件元数据方案创建和控制每个工作过程

45、文件要求的描述性信息和控制性 信息（元数据要素）应得到标识和记录A.2.1.4A.2.3文件元数据方案要求标识、管理和控制文件的元数据决策，应得到记录并予 以实施A.2.1.6A.2.4业务分类方案联系业务活动和文件的方案或分类应予以建立并得到记录A.2.1.3A.2.5访问和许可规则访问文件的规则应予以建立，并得到记录，同时按要求适时 维护A.2.2.1A.2.6访问和许可规则文件系统中的利用规则应通过给文件和人员分配利用状态 来予以实施A.2.2.2A.2.7访问和许可规则限制使用,包括加密使用，在规定的期限过后，应予以取消A.2.3.4A.2.8处置授权应按业务、法规和其他标识出的要求确

46、定文件的保管期限和 处置方式，在保管期限表中予以记录A.1.1.5A.2.9处置授权保管期限表和处置期限表及方案应得到批准并予以记录A.2.4.1A.3文件系统A.3.1完整性/安全性文件系统应确保文件的完整性、安全性，以防止未经授权就 对文件进行使用、修改、删除、分发、隐藏和/或销毁A.2.3.1A.3.2技术针对每个工作过程，要选择创建和捕获文件的技术（无论是 自动的还是手工的），选择的结果及其变更应得到记录A.1.4.1A.3.3目录文件系统应予以清楚地标识，分配给专人负责，予以记录在 文件系统目录中并定期更新A.2.5.1A.3.4证明性文档任何有关文件系统的实施决定都应予以记录、维护

47、，并应为 需要的人所获得A.2.5.2A3.5获得性文件系统的获得性应予以确保并予以记录A.2.5.4A.3.6完整性系统的任何故障发生、升级或常规维护不得影响文件的完 整性A.2.5.6A.3.7监控应对照业务要求和文件目标，定期实施并记录文件系统绩效 的监控A.2.5.5A3.8访问应在系统管理任务中，建立、记录并维护文件系统访问的 规则A.2.5.312GB/T 341122022/ISO 30301：2019参考文献E l GB/T 19001 质量管理体系 要求(GB/T 190012016,ISO 9001.2015,IDT)2 GB/T 190112021 管理体系审核指南(IS

48、O 19011：2018,IDT)3 GB/T 22080 信息技术 安全技术 信息安全管理体系 要求(GB/T 220802016,ISO/IE C 27001：2013,IDT)4 GB/T 236942013风险管理术语5 GB/T 24001 环境管理体系 要求及使用指南(GB/T 240012016,ISO 14001：2015,IDT)6 GB/T 26162.1 信息与文献 文件管理 第 1 部分:通则(GB/T 26162.12010,ISO 15489-1：2001,IDT)7 GB/T 26163.1信息与文献 文件管理过程 文件元数据 第1部分:原则(GB/T ZGIGI

49、I-ZOIOJSO 23081-1：2006,IDT)8 GB/Z 320022015信息与文献文件管理工作过程分析(ISO/TR 26122：2008,IDT)9 GB/T 34840.1信息与文献 电子办公环境中文件管理原则与功能要求 第1部分:概述 和原则(GB/T 34840.12017,ISO 16175-1：2010,MOD)10 ISO 13008 Information and documentationDigital records conversion and migration process11 ISO/TR 13028 Information and document

50、ationImplementation guidelines for digitization of records12 ISO 17068 Information and documentation一Trusted third part repository for digital records13 ISO/TR 18128 Information and documentation-Risk assessment for records processes and systems14 ISO/TR 21946 Information and documentation-Appraisal