В 1999 році Міжнародна організація стандартизації ISO прийняла стандарт «Загальні критерії безпеки інформаційних технологій». «ISO/IEC 15408: 1999. Інформаційна технологія -- Методи й засоби захисту інформації - Критерії оцінки безпеки ІТ». Прийняття цього стандарту відобразило зміни, що відбуваються в ідеології підходу до побудови захищених систем. На відміну від «Жовтогарячої книги» в новому стандарті відсутня концепція фіксованого набору класів захищеності. Основна ідея нового підходу - у поділі всіх вимог безпеки на дві категорії: функціональні, що забезпечують безпеку інформаційних технологій, і вимоги гарантії оцінки, що оцінюють правильність й ефективність реалізації функціональних вимог.
Успішне управління підприємством може бути досягнуте шляхом впровадження і підтримки відповідної системи управління якістю, яка розроблена для постійного поліпшення виконання робіт. Стандарти ISO серії 9000 формулюють комплекс вимог до інформаційних систем та їх складових.. Таким чином, процеси збереженням і захисту інформації АРМ повинні відповідати міжнародним системам управління якістю як невід’ємної частиною системи управління підприємства, яка орієнтована на досягнення високоякісних результатів діяльності, задоволенні потреб і очікувань замовників.
Основними розділами стандарту ISO 9001 (редакція 2001 року) є управління документацією, управління записами, а також проведення внутрішніх аудитів. Обов'язковою вимогою стандарту ISO 9001 є наявність процедури по управлінню документацією. Управління документацією – це планування, забезпечення і управління якістю документів (політика і цілі в сфери якості, керівництво за якістю, плани якості, документовані процедури, робочі і методологічні інструкції тощо).
Розділ 4.2.3 цього стандарту розглядає наступні вимоги по управлінню якістю документації: «Документами системи менеджменту якості необхідно управляти. Для визначення необхідних засобів управління повинна бути розроблена документована процедура». Розглянемо вимоги по кожному пункту цього розділу.
І. офіційне схвалення документів з погляду їх достатності до їх випуску. Процес життєвого циклу будь-якого документа починається з підготовки проекту. Відповідальний співробітник отримує завдання – до певного терміну підготувати проект документа. Наступним кроком є схвалення документа, тобто документ повинен бути узгоджений зі всіма зацікавленими сторонами. Далі, документ затверджується вищим керівництвом, реєструється у відповідній службі (документу привласнюється ідентифікаційний номер), документ вводиться в дію наказом і розсилається зацікавленим службам для використання. АРМ менеджера дозволяє найкращим чином організувати процес створення, узгодження і введення в дію документів. Менеджер завжди може створити запис про завдання з термінами на розробку та переліком виконавців - таким чином, доручення не загубиться в часі і завжди є можливість проконтролювати виконання. Застосування затверджених шаблонів допомагає уникати помилок при оформленні документів, а також швидко і зручно створити документ згідно встановленим в організації стандартам. Завдяки механізму завдань і наявності в АРМ різних звітів є можливість управляти рухом документа на будь-якому етапі його життєвого циклу (попереднє узгодження, розгляд, затвердження тощо). Використання АРМ при узгодженні і затвердженні документів дозволяє захистити узгоджену версію документа від несанкціонованих змін, крім того, підписи на документі відповідають повноваженням осіб, що підписали документ. Ведення номенклатури справ і журналів реєстрації забезпечує гнучку нумерацію документів в будь-яких розрізах, а також дозволяє задавати список розсилки.
ІІ. аналіз і актуалізація в міру необхідності і повторне офіційне схвалення документів. В процесі діяльності підприємства будь-який документ зазнає зміни. Підприємство періодично проводить перевірку, аналіз і розгляд документації, щоб гарантувати її постійну придатність, адекватність і ефективність. Вимоги цього пункту в АРМ вирішуються такими способами:
§ автоматичні повідомлення користувачів про зміни в переліку нормативної документації, а також сповіщення про наближення термінів перегляду документації забезпечується шляхом настройки агентів адміністрування;
§ служби за якістю дістають можливість збирати побажання по коректуванню документації в електронному вигляді, а також проводити процес перегляду і узгодження документів з використанням механізму завдань;
§ можливість зберігання версій документів, скріплення документів між собою і використання гіперпосилань в тексті документів спрощує процес аналізу документації.
в) забезпечення ідентифікації змін і статусу перегляду документів. Кожна внесена зміна ідентифікується і реєструється, тобто розробник документа повинен вести облік і фіксувати всі зміни, що вносяться. Ідентифікація змін в АРМ забезпечується створенням версій документа.
г) забезпечення наявності відповідних версій документів в місцях їх застосування. Після затвердження відповідна служба підприємства реєструє документ і розсилає його в зацікавлені підрозділи. У АРМ в рамках електронного офісу легко реєструвати документ, а також забезпечувати доступ до нього всіх зацікавлених підрозділів (розсилка документа в підрозділи і розміщення посилання на документ в структурі загальних тек). Впроваджена технологія розподілених баз даних Розподілена база даних дозволяє кожному співробітникові дістати доступ до необхідних документів з свого робочого місця. При цьому виключається несанкціонований перегляд і зміна документів за рахунок обмеження прав доступу користувачів. Крім того, можливість застосування електронного-цифрового підпису гарантує авторство і незмінність документа після підписання.
д) забезпечення збереження документів чіткими і такими, що легко ідентифікуються. Кожен документ системи менеджменту якості повинен бути оформлений відповідно до вимог до текстових документів, прийнятих в підприємстві. Кожен документ містить чіткий перелік полів, що допомагає розробникові документу визначити склад необхідних даних які повинні бути занесені при створенні документа для його подальшої ідентифікації. Застосування готових шаблонів дозволяє створювати документи відповідно до стандартів, прийнятих в організації.
е) забезпечення ідентифікації документів зовнішнього походження і управління їх розсилкою. До документів зовнішнього походження відносяться державні стандарти, стандарти галузей, керівні документи, конструкторська, технологічна і інша нормативно-технічна документація, отримана ззовні. Документи зовнішнього походження в АРМ можуть автоматично реєструватися в електронних журналах, де заповнюються всі обов'язкові реквізити і забезпечується гнучка нумерація документів в будь-яких розрізах.
ж) запобігання ненавмисному використанню застарілих документів. АРМ вирішує проблему вилучення застарілих документів за рахунок підтримки їх життєвого циклу, підказуючи користувачу терміни дії документів.
Пункт 4.2.4 ISO 9001стандарту вказує, що записи повинні вестися і підтримуватися в робочому стані для надання відомостей відповідно вимогам і результативності функціонування системи менеджменту якості. Записи повинні залишатися чіткими, легко ідентифікованими і відновлюваними. В документообігу під поняттям записи розуміють документи, що містять досягнуті результати або свідоцтва здійсненої діяльності, якими можна підтвердити виконання вимог стандарту. В рамках АРМ можна автоматизувати бізнес-процеси будь-якої складності. Для визначення процесів, що підлягають жорсткій регламентації настроюються жорсткі типові механізми оброблення документів.
Впровадження АРМ дозволяє ефективно та ненав’язливо проводити відповідно до пункту 8.2.2 стандарту проводити внутрішні аудити (перевірки) через заплановані інтервали для конролю якості документообігу. АРМ дозволяє спростити процес підготовки і проведення нарад за підсумками аудиту. Так, всі виявлені невідповідності фіксуються в АРМ, з вказівкою терміну і відповідальних осіб за їх виправлення.
Таким чином, АРМ є зручним засобом для управління якістю документообігу на підприємстві та дає такі результати:
§ скорочення часу на створення документів за якістю, за рахунок наявності готових шаблонів;
§ зменшення часу на узгодження і перегляд документів, за рахунок автоматизації механізмів виконання завдань;
§ скорочення часу на пошук документів, за рахунок зберігання документів в єдиному сховищі і розвинених механізмів пошуку;
§ скорочення трудомісткості ведення записів за якістю і проведення аудитів, за рахунок прозорості процесів документообігу та спрощеного доступу до документації..