SIST ISO 15489-1:2017

INTERNATIONAL ISO
STANDARD 15489-1
Second edition
2016-04-15
Information and documentation —
Records management —
Part 1:
Concepts and principles
Information et documentation — Gestion des documents d’activité —
Partie 1: Concepts et principes
Reference number
©
ISO 2016
© ISO 2016, Published in Switzerland
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized otherwise in any form
or by any means, electronic or mechanical, including photocopying, or posting on the internet or an intranet, without prior
written permission. Permission can be requested from either ISO at the address below or ISO’s member body in the country of
the requester.
ISO copyright office
Ch. de Blandonnet 8 • CP 401
CH-1214 Vernier, Geneva, Switzerland
Tel. +41 22 749 01 11
Fax +41 22 749 09 47
copyright@iso.org
www.iso.org
ii © ISO 2016 – All rights reserved

Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Principles for managing records . 3
5 Records and records systems . 4
5.1 General . 4
5.2 Records . 4
5.2.1 General. 4
5.2.2 Characteristics of authoritative records . 4
5.2.3 Metadata for records . 5
5.3 Records systems . 6
5.3.1 General. 6
5.3.2 Characteristics of records systems . 6
6 Policies and responsibilities . 8
6.1 General . 8
6.2 Policies . 8
6.3 Responsibilities . 8
6.4 Monitoring and evaluation . 9
6.5 Competence and training .10
7 Appraisal .10
7.1 General .10
7.2 Scope of appraisal .11
7.3 Understanding the business .11
7.4 Determining records requirements .12
7.5 Implementing records requirements .12
8 Records controls .13
8.1 General .13
8.2 Metadata schemas for records .13
8.3 Business classification schemes .14
8.4 Access and permissions rules .15
8.5 Disposition authorities .15
9 Processes for creating, capturing and managing records .16
9.1 General .16
9.2 Creating records .16
9.3 Capturing records .16
9.4 Records classification and indexing .17
9.5 Access control .17
9.6 Storing records .17
9.7 Use and reuse .18
9.8 Migrating and converting records .18
9.9 Disposition .18
Bibliography .20
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of
any patent rights identified during the development of the document will be in the Introduction and/or
on the ISO list of patent declarations received (see www.iso.org/patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation on the meaning of ISO specific terms and expressions related to conformity
assessment, as well as information about ISO’s adherence to the WTO principles in the Technical
Barriers to Trade (TBT) see the following URL: Foreword - Supplementary information
The committee responsible for this document is ISO/TC 46, Information and documentation,
Subcommittee SC 11, Archives/records management.
This second edition cancels and replaces the first edition (ISO 15489-1:2001), which has been
technically revised.
ISO 15489 consists of the following parts, under the general title Information and documentation —
Records management:
— Part 1: Concepts and principles
— Part 2: Guidelines [Technical Report]
iv © ISO 2016 – All rights reserved

Introduction
This part of ISO 15489 establishes the core concepts and principles for the creation, capture and
management of records. It sits at the heart of a number of International Standards and Technical
Reports that provide further guidance and instruction on the concepts, techniques and practices for
creating, capturing and managing records.
About records and managing records
Records are both evidence of business activity and information assets. They can be distinguished from
other information assets by their role as evidence in the transaction of business and by their reliance on
metadata. Metadata for records is used to indicate and preserve context and apply appropriate rules for
managing records.
Managing records encompasses the following:
a) creating and capturing records to meet requirements for evidence of business activity;
b) taking appropriate action to protect their authenticity, reliability, integrity and useability as their
business context and requirements for their management change over time.
NOTE 1 Reference to “business activity” or “business activities” in this part of ISO 15489 is interpreted
broadly to mean those activities that support the purposes of the organization’s existence. Functions, activities,
transactions and work processes are representations of particular forms of “business activity” and are defined
in Clause 3.
Increasingly, records are made and kept in digital environments, offering a range of opportunities for
new kinds of use and reuse. Digital environments also allow greater flexibility in the implementation of
records controls, within and between systems that manage records.
Changing models of business are extending responsibilities for records beyond traditional
organizational and jurisdictional boundaries. This requires records professionals to understand
and meet a diverse range of internal and external stakeholder needs. These can include increased
expectations of transparency of decision-making from business and government, the general public,
customers, users of services, records’ subjects, and others with an interest in how records are created,
captured and managed.
NOTE 2 In this International Standard (all parts), the phrase “creation, capture and management” is used to
summarize the management of records as a whole. It is inclusive of the act of receipt of a record and of the range
of records processes described in this part of ISO 15489.
With these environmental factors in mind, this part of ISO 15489 has been developed with an
acknowledgement of the following:
a) the roles of records as enablers of business activity and information assets;
b) increased opportunities for records use and reuse in the digital environment;
c) systems and rules for the creation, capture and management of records that need to extend beyond
traditional organizational boundaries, such as in collaborative and multi-jurisdictional work
environments;
d) records controls that can be independent of other components of records systems;
e) the importance of recurrent analysis of business activity and context to identify what records need
to be created and captured, and how they should be managed over time;
f) the importance of risk management in devising strategies for managing records and the
management of records as a risk management strategy in itself.
While the concepts and principles of this part of ISO 15489 apply across varied business and
technological environments, these environments can require different approaches to the
implementation of records controls, processes and systems. This part of ISO 15489 is not intended
to provide detailed implementation advice for specific environments in which records are created,
captured and managed. Rather, it defines key concepts and establishes high-level principles from which
records controls, processes and systems for managing records in any environment may be developed.
Advice on the design and implementation of controls, processes and systems for managing records in
these different environments is addressed in subsequent part(s) and in other International Standards
and Technical Reports.
Benefits
Approaches to the creation, capture and management of records based on the concepts and principles
in this part of ISO 15489 ensure that authoritative evidence of business is created, captured, managed
and made accessible to those who need it, for as long as it is required. This enables the following:
a) improved transparency and accountability;
b) effective policy formation;
c) informed decision-making;
d) management of business risks;
e) continuity in the event of disaster;
f) the protection of rights and obligations of organizations and individuals;
g) protection and support in litigation;
h) compliance with legislation and regulations;
i) improved ability to demonstrate corporate responsibility, including meeting sustainability goals;
j) reduction of costs through greater business efficiency;
k) protection of intellectual property;
l) evidence-based research and development activities;
m) the formation of business, personal and cultural identity;
n) the protection of corporate, personal and collective memory.
Policies, assigned responsibilities and procedures for the creation, capture and management of records
support organizational information governance programs.
Relationship to other standards
This part of ISO 15489 is designed as a self-contained resource. However, it is also part of a family
of International Standards and Technical Reports on a range of aspects of the creation, capture and
management of records. These are listed in the Bibliography and may be consulted for more detailed
advice on particular aspects of managing records.
The management of records in line with this International Standard (all parts) is fundamental to a
successful Management System for Records (MSR), the management system defined by the ISO 30300
series of International Standards. An MSR links the management of records to organizational success
and accountability by establishing a framework comprising policy, objectives and directives for records.
It establishes requirements for the following:
a) defined roles and responsibilities;
b) systematic processes;
c) monitoring and evaluation;
vi © ISO 2016 – All rights reserved

d) review and improvement.
Managers and others seeking to implement, operate and improve an MSR are advised to use this part of
ISO 15489 in conjunction with the ISO 30300 series of International Standards.
INTERNATIONAL STANDARD ISO 15489-1:2016(E)
Information and documentation — Records
management —
Part 1:
Concepts and principles
1 Scope
This part of ISO 15489 defines the concepts and principles from which approaches to the creation,
capture and management of records are developed. This part of ISO 15489 describes concepts and
principles relating to the following:
a) records, metadata for records and records systems;
b) policies, assigned responsibilities, monitoring and training supporting the effective management of
records;
c) recurrent analysis of business context and the identification of records requirements;
d) records controls;
e) processes for creating, capturing and managing records.
This part of ISO 15489 applies to the creation, capture and management of records regardless of
structure or form, in all types of business and technological environments, over time.
2 Normative references
There are no normative references.
NOTE This part of ISO 15489 is designed as a self-contained resource, meaning there are no documents
which are indispensable for its application.
3 Terms and definitions
For the purposes of this document, the following terms and definitions apply.
3.1
access
right, opportunity, means of finding, using or retrieving information
3.2
activity
major task performed by a business entity as part of a function (3.11)
3.3
agent
individual, workgroup or organization responsible for, or involved in, record creation, capture and/or
records management processes
[SOURCE: ISO 23081-1:2006, 3.1]
Note 1 to entry: Technological tools such as software applications can be considered agents if they routinely
perform records processes.
3.4
business classification scheme
tool for linking records to the context of their creation
3.5
classification
systematic identification and/or arrangement of business activities and/or records into categories
according to logically structured conventions, methods, and procedural rules
3.6
conversion
process of changing records from one format to another
3.7
destruction
process of eliminating or deleting a record, beyond any possible reconstruction
3.8
disposition
range of processes associated with implementing records retention, destruction (3.7) or transfer
decisions which are documented in disposition authorities (3.9) or other instruments
3.9
disposition authority
instrument that defines the disposition (3.8) actions that are authorized for specified records
3.10
evidence
documentation of a transaction (3.18)
[SOURCE: ISO 30300:2011, 3.1.5]
Note 1 to entry: This is proof of a business transaction which can be shown to have been created in the normal
course of business activity and which is inviolate and complete. It is not limited to the legal sense of the term.
3.11
function
group of activities that fulfils the major responsibilities for achieving the strategic goals of a
business entity
3.12
metadata for records
structured or semi-structured information, which enables the creation, management, and use of
records through time and within and across domains
[SOURCE: ISO 23081-2:2007, 3.7]
3.13
migration
process of moving records from one hardware or software configuration to another without changing
the format
[SOURCE: ISO 30300:2011, 3.3.8]
3.14
record(s)
information created, received and maintained as evidence (3.10) and as an asset by an organization or
person, in pursuit of legal obligations or in the transaction (3.18) of business
2 © ISO 2016 – All rights reserved

3.15
records management
field of management responsible for the efficient and systematic control of the creation, receipt,
maintenance, use and disposition (3.8) of records, including processes for capturing and maintaining
evidence (3.10) of and information about business activities and transactions (3.18) in the form of records
3.16
records system
information system which captures, manages and provides access (3.1) to records over time
Note 1 to entry: A records system can consist of technical elements such as software, which may be designed
specifically for managing records or for some other business purpose, and non-technical elements including
policy, procedures, people and other agents, and assigned responsibilities.
3.17
schema
logical plan showing the relationships between metadata elements, normally through establishing
rules for the use and management of metadata specifically as regards the semantics, the syntax and the
optionality (obligation level) of values
[SOURCE: ISO 23081-1:2006, 3.3]
3.18
transaction
smallest unit of a work process (3.19) consisting of an exchange between two or more participants
or systems
[SOURCE: ISO/TR 26122:2012, 3.5]
3.19
work process
one or more sequences of actions required to produce an outcome that complies with governing rules
[SOURCE: ISO/TR 26122:2012, 3.6]
4 Principles for managing records
Managing records is based on the following principles:
a) the creation, capture and management of records are integral parts of conducting business, in any
context (see 5.1);
b) records, regardless of form or structure, are authoritative evidence of business when they possess
the characteristics of authenticity, reliability, integrity and useability (see 5.2.2);
c) records consist of content and metadata, which describes the context, content and structure of the
records, as well as their management through time (see 5.2.3);
d) decisions regarding the creation, capture and management of records are based on the analysis
and risk assessment of business activities, in their business, legal, regulatory and societal contexts
(see Clause 7);
e) systems for managing records, regardless of their degree of automation, enable the application of
records controls and the execution of processes for creating, capturing and managing records (see
5.3). They depend on defined policies, responsibilities, monitoring and evaluation, and training in
order to meet identified records requirements (see Clause 6).
These principles are expanded on in the concepts, controls and processes for managing records that are
described in the following sections of this part of ISO 15489.
5 Records and records systems
5.1 General
Records are both evidence of business activity and information assets. Any set of information,
regardless of its structure or form, can be managed as a record. This includes information in the form
of a document, a collection of data or other types of digital or analogue information which are created,
captured and managed in the course of business.
Managing records encompasses the following:
a) creating and capturing records to meet requirements for evidence of business activity;
b) taking appropriate action to protect their authenticity, reliability, integrity and useability as their
business context and requirements for their management change over time.
In the management of records, metadata is data describing the context, content and structure of records,
as well as their management over time. Metadata is an essential component of any record (see 5.2.3).
The management of records is supported by records systems (see 5.3).
5.2 Records
5.2.1 General
Records document individual events or transactions, or may form aggregations that have been designed
to document work processes, activities or functions.
Records, regardless of form or structure, should possess the characteristics of authenticity, reliability,
integrity and useability (see 5.2.2) to be considered authoritative evidence of business events or
transactions and to fully meet the requirements of the business.
5.2.2 Characteristics of authoritative records
5.2.2.1 Authenticity
An authentic record is one that can be proven to:
a) be what it purports to be;
b) have been created or sent by the agent purported to have created or sent it; and
c) have been created or sent when purported.
Business rules, processes, policies and procedures which control the creation, capture and management
of records (see 6.2) should be implemented and documented to ensure the authenticity of records.
Records creators should be authorized and identified (see 6.3).
5.2.2.2 Reliability
A reliable record is one:
a) whose contents can be trusted as a full and accurate representation of the transactions, activities
or facts to which they attest; and
b) which can be depended upon in the course of subsequent transactions or activities.
Records should be created at the time of the event to which they relate, or soon afterwards, by individuals
who have direct knowledge of the facts, or by systems routinely used to conduct the transaction.
4 © ISO 2016 – All rights reserved

5.2.2.3 Integrity
A record that has integrity is one that is complete and unaltered.
A record should be protected against unauthorized alteration. Policies and procedures for managing
records should specify what additions or annotations may be made to a record after it is created, under
what circumstances such additions or annotations may be authorized, and who is authorized to make
them (see 6.2). Any authorized annotation, addition or deletion to a record should be explicitly indicated
and traceable.
5.2.2.4 Useability
A useable record is one that can be located, retrieved, presented and interpreted within a time period
deemed reasonable by stakeholders.
A useable record should be connected to the business process or transaction that produced it. Linkages
between records that document related business transactions should be maintained.
Metadata for records should support useability by providing information that may be needed to retrieve
and present them, such as identifiers, format or storage information (see 5.2.3).
5.2.3 Metadata for records
Metadata for records should depict the following:
a) business context;
b) dependencies and relationships among records and records systems;
c) relationships to legal and social contexts;
d) relationships to agents who create, manage and use records.
Some of a record’s metadata is derived or attributed at the time the record is created or captured and
does not change. This is point of capture metadata for records.
Metadata about actions on the record and other events in the record’s existence, including the
participating agents, continues to accrue over time as the record is used and managed. This is process
metadata for records.
As metadata accumulates over time, it collectively documents, amongst other things, a record’s
provenance.
The metadata of a record itself should be managed as a record, in that it should be protected from
loss or unauthorized deletion, and retained or destroyed (see 9.9) in accordance with requirements
identified in appraisal (see Clause 7). Access to metadata should be controlled using authorized access
and permissions rules (see 8.4).
A record’s content and its associated metadata may be managed either in multiple coexistent locations
and systems, or in a single location and system. Logical relationships, or linkages, between a record’s
content and its associated metadata should be created and maintained using automated or manual
processes.
Metadata for records should consist of information recording the following:
a) a description of the content of the record;
b) the structure of the record (e.g. its form, format and the relationships between the components
comprising the record);
c) the business context in which the record was created or received and used;
d) relationships with other records and other metadata;
e) identifiers and other information needed to retrieve and present the record, such as format or
storage information;
f) the business actions and events involving the record throughout its existence (including date and
time of the actions, changes to the metadata and the agents undertaking the actions).
Records that do not possess such metadata lack the characteristics of authoritative records (see 5.2.2).
Additional metadata may be required depending on jurisdictional and industry standards as well as the
specific requirements of the business as determined during appraisal (see Clause 7).
Metadata for records should be described and documented in metadata schemas (see 8.2). The
development of metadata schemas should be informed by the results of appraisal for the area(s) of
business to which they apply (see Clause 7).
5.3 Records systems
5.3.1 General
Records systems comprise a number of elements that are combined so that identified records
requirements (see 7.4) can be met within a given business environment. Records systems should:
a) apply records controls (see Clause 8);
b) carry out processes for creating, capturing and managing records (see Clause 9); and
c) support the creation and maintenance of logical relationships between records content and
metadata for records (see 5.2.3).
The design and implementation of records systems should take account of the business context (see 7.3)
and identified records requirements (see 7.4), and should be carried out with the following objectives:
a) conformance with the characteristics of records systems listed in 5.3.2;
b) interoperability to support interaction with other systems and a flexible approach to the use of
records controls;
c) ease of records use and reuse;
d) readiness for technological or business change, such as system upgrades or administrative
restructuring;
e) readiness for business interruptions and business continuity in the event of unexpected disruptions.
Records systems may be designed specifically to manage records, or may be systems designed for other
business processes that are adapted so that they also support the creation, capture and management of
records.
The authoritativeness of records is supported by their being managed by records systems that are
reliable, secure, compliant, comprehensive and systematic (see 5.3.2).
5.3.2 Characteristics of records systems
5.3.2.1 Reliable
Records systems should be capable of continuous and regular operation in accordance with authorized
policy and procedures. Records systems should:
a) routinely capture records within the scope of the business activity they support;
6 © ISO 2016 – All rights reserved

b) routinely function as the primary source of authoritative information about actions documented in
the records;
c) enable the participation of any authorized agents;
d) present records in useable form;
e) support timely access to records;
f) protect records from unauthorized use, alteration, concealment or destruction;
g) store records for as long as they are needed;
h) provide mechanisms, where necessary, for importing (or otherwise incorporating) records and
metadata for records into the system or exporting them from one system to another; and
i) allow for disposition actions to be carried out on records.
The reliability of records systems should be documented by creating and maintaining records of their
operational, procedural and, where applicable, technological routines. Process metadata for records
(see 5.2.3) should also demonstrate the reliability of system(s) in which they have been managed.
5.3.2.2 Secure
Measures such as access controls, monitoring, agent validation and authorized destruction should
be implemented to prevent unauthorized access, alteration, concealment or destruction of records.
Information about the controls that were applied to a record and when they were applied should be
recorded in the record’s process metadata (see 5.2.3).
Depending on the risk associated with the business documented by records, any security incidents
affecting records should be documented as process metadata.
Organizational information security and business continuity measures should include measures for
records systems.
5.3.2.3 Compliant
Records systems should be managed in compliance with requirements arising from business,
community or societal expectations and the legal and regulatory environment (see 7.4). Records
systems’ compliance with such requirements should be regularly assessed (see 6.4). The records of
these assessments should be retained.
5.3.2.4 Comprehensive
Records systems should be capable of managing all required records of the range of business activities
to which they relate (see 7.4).
Records systems should be capable of managing records created using the range of technologies used
in the area of business activity to which they relate.
5.3.2.5 Systematic
The creation, capture and management of records should be systematized through the design and
routine operation of records systems (see 5.3), and by adherence to authorized policies and procedures
(see Clause 6).
6 Policies and responsibilities
6.1 General
Policies and responsibilities should support the fulfilment of requirements for the creation, capture and
management of records and the design, use and management of records systems.
In order to ensure that records systems meet identified records requirements (see 7.4), policies and
responsibilities should specify responsibilities and authorizations for the following:
a) records creators;
b) those involved in the management of the records;
c) other users of records systems.
Policies should be supported by procedures that provide more specific instructions on the creation,
capture and management of records.
Monitoring and evaluation measures should be put in place to determine whether or not identified
records requirements are being met, and, if not, where corrective action is required (see 6.4).
Policies, procedures and the operation of records systems should be supported by training (see 6.5).
6.2 Policies
Policies on the management of records should be developed, documented and implemented. Policies
should be derived from business objectives and supported by business rules or procedures for managing
records.
The development of policies should be informed by an understanding of business context (see 7.3), as
well as requirements for records relevant to the scope of the policy (see 7.4).
The objective in issuing and implementing policies on managing records should be the creation, capture
and management of authentic, reliable and useable records that possess integrity and support and
enable business activity for as long as they are required.
Policies should include a statement about scope, such as which aspect(s) of managing records they
cover, applicable standards and auditing requirements, and should also indicate the business activities
to which the policy pertains.
Policies should address required actions in the event of the termination of business processes. These
may include decommissioning of records systems and allocation of resources to enable migration (see
9.8) and disposition of records (see 9.9) as appropriate.
Policies should define where legislation, regulations, standards, other mandates and best practices
affect the creation, capture or management of records.
Policies should be authorized and endorsed at an appropriate decision-making level and should be
promulgated internally and externally as appropriate. Responsibility for policies and for ensuring
compliance with policies should be assigned (see 6.3).
Policies should be regularly reviewed to ensure they reflect current business needs. Policies should
state the interval at which they should be reviewed, and who is responsible for the review. Superseded
policies are records and should be retained and managed as such.
6.3 Responsibilities
Responsibilities and authorizations for the creation, capture and management of records should be
defined, assigned and promulgated.
8 © ISO 2016 – All rights reserved

Decisions about creating, capturing and managing records are business decisions informed by identified
records requirements and an assessment of risk (see Clause 7). Decisions should be authorized by the
relevant business manager and documented.
Responsibilities should be designated to all personnel who create and use records as part of their work,
and be reflected in job descriptions and similar statements, where appropriate.
Designation of the responsible individuals may be assigned by law. Specific leadership responsibility
for the management of records should be assigned to a person with appropriate authority, such as a
senior manager.
Designations of responsibilities may include the following:
a) records professionals are wholly or partly responsible for aspects of managing records including
the design, implementation and maintenance of records systems and their operations, and for
training users on their responsibilities and records systems operations as they affect individual
practices;
b) records professionals or others responsible for managing records are responsible for developing,
implementing and maintaining metadata schemas and other controls, in association with
other personnel, such as information technology professionals, business managers and legal
professionals;
c) senior managers are responsible for ensuring support for the development and implementation of
policies on the management of records;
d) managers are responsible for ensuring that requirements for records of work processes conducted
in their business areas are met;
e) systems administrators are responsible for ensuring continuous and reliable operation of records
systems under their control and for ensuring that all systems documentation is complete and up
to date;
f) all personnel are responsible and accountable for creating and keeping accurate and complete
records of their business activities.
6.4 Monitoring and evaluation
Criteria should be established to monitor and evaluate records policies, systems, procedures and
processes.
The creation, capture and management of records should be regularly monitored and evaluated with
the involvement and support of records professionals, information technology professionals, legal
professionals, auditors, business managers and senior managers as appropriate.
Monitoring and evaluation should be designed to ensure that:
a) records systems and processes are implemented according to authorized policies and business
requirements;
b) records systems and processes operate as defined and designed;
c) changes to records requirements are met; and
d) there is continuous improvement in the management of records.
Systems and processes provided by third party providers should also be monitored and evaluated,
using contractual requirements relating to the management of records as evaluation criteria.
The design of a monitoring and evaluation program should:
a) assign responsibility for monitoring and evaluation activities;
b) determine what needs to be monitored and evaluated;
c) define methods for measuring, monitoring, analysis and evaluation to ensure valid results;
d) determine when monitoring and evaluation should be performed;
e) determine when monitoring results should be analysed and evaluated; and
f) assign responsibilities for devising appropriate corrective actions.
Monitoring and evaluation of the creation, capture and management of records may be integrated into
existing monitoring cycles or carried out separately. Monitoring and evaluation may be undertaken,
wholly or in part, by external bodies.
Modifications to records policies, systems and processes should be made if these are found to be
unsuitable or ineffective.
Records of monitoring and evaluation activities should be created, captured and managed.
6.5 Competence and training
People with assigned responsibilities relating to the creation, capture and management of records
should be competent to perform these tasks. Competence should be regularly evaluated and training
programs to develop and improve such competencies and skills should be designed and implemented
where required.
The training program should be ongoing and include training on requirements, policies, practices, roles
and responsibilities for managing records, and should be addressed to all members of management and
personnel, as well as any other individuals responsible for any part of business activity involving the
creation, capture and management of records.
To maintain necessary competence of records professionals and others responsible for managing
records, there should be training and other professional development on the core competencies for
managing records.
Training on the creation, capture and management of records should be built into existing training
programs where possible.
The training program should include contractors, volunteers and personnel of other organizations
where relevant.
The training program should be supported and promoted by senior managers.
7 Appraisal
7.1 General
Appraisal is the process of evaluating business activities to determine which records need to be created
and captured and how long the records need to be kept.
NOTE This International Sta
...

INTERNATIONAL ISO
STANDARD 15489-1
Redline version
compares Second edition to
First edition
Information and documentation —
Records management —
Part 1:
Concepts and principles
Information et documentation — Gestion des documents d’activité —
Partie 1: Concepts et principes
Reference number
ISO 15489-1:redline:2016(E)
©
ISO 2016
ISO 15489-1:redline:2016(E)
IMPORTANT — PLEASE NOTE
This is a mark-up copy and uses the following colour coding:
Text example 1 — indicates added text (in green)
Text example 2 — indicates removed text (in red)
— indicates added graphic figure
— indicates removed graphic figure
1.x . — Heading numbers containg modifications are highlighted in yellow in
the Table of Contents
DISCLAIMER
This Redline version provides you with a quick and easy way to compare the main changes
between this edition of the standard and its previous edition. It doesn’t capture all single
changes such as punctuation but highlights the modifications providing customers with
the most valuable information. Therefore it is important to note that this Redline version is
not the official ISO standard and that the users must consult with the clean version of the
standard, which is the official standard, for implementation purposes.
© ISO 2016, Published in Switzerland
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized otherwise in any form
or by any means, electronic or mechanical, including photocopying, or posting on the internet or an intranet, without prior
written permission. Permission can be requested from either ISO at the address below or ISO’s member body in the country of
the requester.
ISO copyright office
Ch. de Blandonnet 8 • CP 401
CH-1214 Vernier, Geneva, Switzerland
Tel. +41 22 749 01 11
Fax +41 22 749 09 47
copyright@iso.org
www.iso.org
ii © ISO 2016 – All rights reserved

ISO 15489-1:redline:2016(E)
Contents Page
Foreword .v
Introduction .vi
1 Scope . 1
2 Normative references . 2
3 Terms and definitions . 2
4 Benefits of records management Principles for managing records.4
5 Regulatory environment . 5
6 Policy and responsibilities . 6
6.1 General . 6
6.2 Policy . 6
6.3 Responsibilities . 6
7 5 Records management requirements and records systems . 7
7.1 5.1 Principles of records management programmes General . 7
7.2 5.2 Characteristics of a record Records . 8
7.2.1 5.2.1 .
General. 8
7.2.2 Authenticity . 8
7.2.3 5.2.2 .
Reliability Characteristics of authoritative records . 8
7.2.4 Integrity . 9
7.2.5 5.2.3 .
Useability Metadata for records .10
5.3 Records systems .11
5.3.1 General.11
5.3.2 Characteristics of records systems .11
8 Design and implementation of a records system.12
8.1 General .12
8.2 Records systems characteristics .13
8.2.1 Introduction .13
8.2.2 Reliability .13
8.2.3 Integrity .13
8.2.4 Compliance .13
8.2.5 Comprehensiveness .14
8.2.6 Systematic .14
8.3 Designing and implementing records systems .14
8.3.1 General.14
8.3.2 Documenting records transactions .14
8.3.3 Physical storage medium and protection .14
8.3.4 Distributed management .14
8.3.5 Conversion and migration .14
8.3.6 Access, retrieval and use .15
8.3.7 Retention and disposition .15
8.4 Design and implementation methodology .15
8.5 Discontinuing records systems .16
9 6 Records management processes and controls Policies and responsibilities .16
9.1 Determining documents to be captured into a records system .16
9.2 Determining how long to retain records .16
9.3 Records capture .17
9.4 Registration .18
9.5 6.1 Classification General .18
9.5.1 Classification of business activities .18
ISO 15489-1:redline:2016(E)
9.5.2 Classification systems .19
9.5.3 Vocabulary controls . .19
9.5.4 Indexing .19
9.5.5 Allocation of numbers and codes .19
9.6 6.2 Storage and handling Policies .19
9.7 Access .20
9.8 6.3 Tracking Responsibilities .21
9.8.1 General.21
9.8.2 Action tracking .21
9.8.3 Location tracking .21
9.9 6.4 Implementing disposition Monitoring and evaluation .22
9.10 6.5 .
Documenting records management processes Competence and training .23
10 7 Monitoring and auditing Appraisal .24
7.1 General .24
7.2 Scope of appraisal .25
7.3 Understanding the business .25
7.4 Determining records requirements .26
7.5 Implementing records requirements .26
8 Records controls .27
8.1 General .27
8.2 Metadata schemas for records .27
8.3 Business classification schemes .28
8.4 Access and permissions rules .29
8.5 Disposition authorities .29
11 9 Training Processes for creating, capturing and managing records .30
9.1 Index General .30
9.2 Creating records .36
9.3 Capturing records .36
9.4 Records classification and indexing .36
9.5 Access control .36
9.6 Storing records .37
9.7 Use and reuse .37
9.8 Migrating and converting records .38
9.9 Disposition .38
Bibliography .39
iv © ISO 2016 – All rights reserved

ISO 15489-1:redline:2016(E)
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
International Standards areThe procedures used to develop this document and those intended for its
further maintenance are described in the ISO/IEC Directives, Part 1. In particular the different approval
criteria needed for the different types of ISO documents should be noted. This document was drafted
in accordance with the rules given ineditorial rules of the ISO/IEC Directives, Part 32 (see www.iso.
org/directives).
The main task of technical committees is to prepare International Standards. Draft International
Standards adopted by the technical committees are circulated to the member bodies for voting.
Publication as an International Standard requires approval by at least 75 % of the member bodies
casting a vote.
Attention is drawn to the possibility that some of the elements of thispart of ISO 15489this document
may be the subject of patent rights. ISO shall not be held responsible for identifying any or all such
patent rights. Details of any patent rights identified during the development of the document will be in
the Introduction and/or on the ISO list of patent declarations received (see www.iso.org/patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation on the meaning of ISO specific terms and expressions related to conformity
assessment, as well as information about ISO’s adherence to the WTO principles in the Technical
Barriers to Trade (TBT) see the following URL: Foreword - Supplementary information
ISO 15489-1 was prepared by Technical CommitteeThe committee responsible for this document is
ISO/TC 46, Information and documentation, Subcommittee SC 11, Archives/records management.
This second edition cancels and replaces the first edition (ISO 15489-1:2001), which has been
technically revised.
ISO 15489 consists of the following parts, under the general title Information and documentation —
Records management:
— Part 1: GeneralConcepts and principles
— Part 2: Guidelines [Technical Report]
ISO 15489-1:redline:2016(E)
Introduction
The standardization of records management policiesThis part of ISO 15489and procedures ensures
that appropriate attention and protection is given to all records, and that the evidence and information
they contain can be retrieved more efficiently and effectively, using standard practices and procedures
establishes the core concepts and principles for the creation, capture and management of records. It
sits at the heart of a number of International Standards and Technical Reports that provide further
guidance and instruction on the concepts, techniques and practices for creating, capturing and
managing records.
About records and managing records
Records are both evidence of business activity and information assets. They can be distinguished from
other information assets by their role as evidence in the transaction of business and by their reliance on
metadata. Metadata for records is used to indicate and preserve context and apply appropriate rules for
managing records.
Managing records encompasses the following:
a) creating and capturing records to meet requirements for evidence of business activity;
b) taking appropriate action to protect their authenticity, reliability, integrity and useability as their
business context and requirements for their management change over time.
NOTE 1 Reference to “business activity” or “business activities” in this part of ISO 15489 is interpreted
broadly to mean those activities that support the purposes of the organization’s existence. Functions, activities,
transactions and work processes are representations of particular forms of “business activity” and are defined
in Clause 3.
Increasingly, records are made and kept in digital environments, offering a range of opportunities for
new kinds of use and reuse. Digital environments also allow greater flexibility in the implementation of
records controls, within and between systems that manage records.
Changing models of business are extending responsibilities for records beyond traditional
organizational and jurisdictional boundaries. This requires records professionals to understand
and meet a diverse range of internal and external stakeholder needs. These can include increased
expectations of transparency of decision-making from business and government, the general public,
customers, users of services, records’ subjects, and others with an interest in how records are created,
captured and managed.
NOTE 2 In this International Standard (all parts), the phrase “creation, capture and management” is used to
summarize the management of records as a whole. It is inclusive of the act of receipt of a record and of the range
of records processes described in this part of ISO 15489.
With these environmental factors in mind, this part of ISO 15489 has been developed with an
acknowledgement of the following:
a) the roles of records as enablers of business activity and information assets;
b) increased opportunities for records use and reuse in the digital environment;
c) systems and rules for the creation, capture and management of records that need to extend beyond
traditional organizational boundaries, such as in collaborative and multi-jurisdictional work
environments;
d) records controls that can be independent of other components of records systems;
e) the importance of recurrent analysis of business activity and context to identify what records need
to be created and captured, and how they should be managed over time;
f) the importance of risk management in devising strategies for managing records and the
management of records as a risk management strategy in itself.
vi © ISO 2016 – All rights reserved

ISO 15489-1:redline:2016(E)
While the concepts and principles of this part of ISO 15489 apply across varied business and
technological environments, these environments can require different approaches to the
implementation of records controls, processes and systems. This part of ISO 15489 is not intended
to provide detailed implementation advice for specific environments in which records are created,
captured and managed. Rather, it defines key concepts and establishes high-level principles from which
records controls, processes and systems for managing records in any environment may be developed.
Advice on the design and implementation of controls, processes and systems for managing records in
these different environments is addressed in subsequent part(s) and in other International Standards
and Technical Reports.
Benefits
Approaches to the creation, capture and management of records based on the concepts and principles
in this part of ISO 15489 ensure that authoritative evidence of business is created, captured, managed
and made accessible to those who need it, for as long as it is required. This enables the following:
a) improved transparency and accountability;
b) effective policy formation;
c) informed decision-making;
d) management of business risks;
e) continuity in the event of disaster;
f) the protection of rights and obligations of organizations and individuals;
g) protection and support in litigation;
h) compliance with legislation and regulations;
i) improved ability to demonstrate corporate responsibility, including meeting sustainability goals;
j) reduction of costs through greater business efficiency;
k) protection of intellectual property;
l) evidence-based research and development activities;
m) the formation of business, personal and cultural identity;
n) the protection of corporate, personal and collective memory.
Policies, assigned responsibilities and procedures for the creation, capture and management of records
support organizational information governance programs.
Relationship to other standards
This part of ISO 15489 was developed in response to consensus among participating ISO member
countries to standardize international best practice in records management using the Australian
Standards AS 4390,is designed as a self-contained resource. However, it is also part of a family of
International Standards and Technical Reports on a range of aspects of the creation, capture and
management of records. These are listed in the Records management as its starting pointBibliography
and may be consulted for more detailed advice on particular aspects of managing records.
The management of records in line with this International Standard (all parts) is fundamental to a
successful Management System for Records (MSR), the management system defined by the ISO 30300
series of International Standards. An MSR links the management of records to organizational success
and accountability by establishing a framework comprising policy, objectives and directives for records.
It establishes requirements for the following:
a) defined roles and responsibilities;
ISO 15489-1:redline:2016(E)
b) systematic processes;
c) monitoring and evaluation;
d) review and improvement.
This International Standard is accompanied by a Technical Report (ISO/TR 15489-2) that is
recommended for use with it.Managers and others seeking to implement, operate and improve an
MSR are advised to use this part of ISO/TR 15489-2 provides further explanation and implementation
options for achieving the outcomesin conjunction with the ISO 30300 series of this International
Standard. It also includes a bibliography.Standards.
viii © ISO 2016 – All rights reserved

INTERNATIONAL STANDARD ISO 15489-1:redline:2016(E)
Information and documentation — Records
management —
Part 1:
Concepts and principles
1 Scope
1)
This part of ISO 15489 provides guidance on managing records of originating organizations, public or
private, for internal and external clients.
All the elements outlined in thisThis part of ISO 15489 are recommended to ensure that adequate
records are created, captured and managed. Procedures that help to ensure thedefines the concepts
and principles from which approaches to the creation, capture and management of records according
to the principles and elements outlined in thisare developed. This part of ISO 15489 are provided in
ISO/TR 15489-2 (Guidelines).describes concepts and principles relating to the following:
This part of ISO 15489
— applies to the management of records, in all formats or media, created or received by any public
or private organization in the conduct of its activities, or any individual with a duty to create and
maintain records,
— a) provides guidance on determining the responsibilities of organizationsrecords, metadata for
records and records policies, procedures, systems and processes,systems;
— b) provides guidance on records management in support of a quality process framework to
comply withpolicies, assigned responsibilities, monitoring and training supporting the effective
management of ISO 9001 and ISO 14001,records;
— c) provides guidance on the design and implementation of a records system, butrecurrent analysis of
business context and the identification of records requirements;
— d) does not include the management of archival records within archival institutions.records
controls;
e) processes for creating, capturing and managing records.
This part of ISO 15489 is intended for use byapplies to the creation, capture and management of records
regardless of structure or form, in all types of business and technological environments, over time.
— managers of organizations,
— records, information and technology management professionals,
— all other personnel in organizations, and
— other individuals with a duty to create and maintain records.
1) In some countries, the management of records also applies to archives management. Archives management is
not covered in this part of ISO 15489.
ISO 15489-1:redline:2016(E)
2 Normative references
The following normative documents contain provisions which, through reference in this text, constitute
provisions of this part of ISO 15489. For dated references, subsequent amendments to, or revisions of,
any of these publications do not apply. However, parties to agreements based on this part of ISO 15489
are encouraged to investigate the possibility of applying the most recent editions of the normative
documents indicated below. For undated references, the latest edition of the normative document
referred to applies. Members of ISO and IEC maintain registers of currently valid International
Standards.There are no normative references.
2)
ISO 5127:— , Information and documentation — Vocabulary
ISO 9001, Quality management systems — Requirements
ISO 14001, Environmental management systems — Specification with guidance for use
NOTE This part of ISO 15489 is designed as a self-contained resource, meaning there are no documents
which are indispensable for its application.
3 Terms and definitions
For the purposes of this part of ISO 15489document, the following terms and definitions apply. For
terms not included here, see ISO 5127.
3.1
access
right, opportunity, means of finding, using or retrieving information
3.2
accountability activity
principle that individuals, organizations, and the community are responsible for their actions and may be
required to explain them to others major task performed by a business entity as part of a function (3.11)
3.3
action tracking agent
process in which time limits for actions are monitored and imposed upon those conducting the
business individual, workgroup or organization responsible for, or involved in, record creation, capture
and/or records management processes
[SOURCE: ISO 23081-1:2006, 3.1]
Note 1 to entry: Technological tools such as software applications can be considered agents if they routinely
perform records processes.
3.4
archival authority business classification scheme
archival agency
archival institution
archival programme
agency or programme responsible for selecting, acquiring and preserving archives, making them
available, and approving destruction of other records tool for linking records to the context of their
creation
3.5
classification
systematic identification and/or arrangement of business activities and/or records into categories
according to logically structured conventions, methods, and procedural rules represented in a
classification system
2) To be published. (Revision of all previous parts of ISO 5127)
2 © ISO 2016 – All rights reserved

ISO 15489-1:redline:2016(E)
3.6
classification system
SEE:
3.7 3.6
conversion
process of changing records from one medium to another or from one  format to another
SEE:
3.8 3.7
destruction
process of eliminating or deleting records a record, beyond any possible reconstruction
3.9 3.8
disposition
range of processes associated with implementing records retention, destruction destruction (3.7) or
transfer decisions which are documented in disposition authorities  disposition authorities (3.9) or other
instruments
3.9
disposition authority
instrument that defines the disposition (3.8) actions that are authorized for specified records
3.10
document evidence
recorded information or object which can be treated as a unit documentation of a transaction (3.18)
[SOURCE: ISO 30300:2011, 3.1.5]
Note 1 to entry: This is proof of a business transaction which can be shown to have been created in the normal
course of business activity and which is inviolate and complete. It is not limited to the legal sense of the term.
3.11
indexing function
process of establishing access points to facilitate retrieval of records and/or information group of
activities that fulfils the major responsibilities for achieving the strategic goals of a business entity
3.12
metadata for records
data describing context, content and structure of records and their management through time structured
or semi-structured information, which enables the creation, management, and use of records through
time and within and across domains
[SOURCE: ISO 23081-2:2007, 3.7]
3.13
migration
act process of moving records from one system to another, while maintaining the records’ authenticity,
integrity, reliability and useability hardware or software configuration to another without changing
the format
SEE:
[SOURCE: ISO 30300:2011, 3.3.8]
3.14
preservation
processes and operations involved in ensuring the technical and intellectual survival of authentic
records through time
ISO 15489-1:redline:2016(E)
3.15 3.14
records record(s)
information created, received and maintained as evidence evidence (3.10) and information as an asset
by an organization or person, in pursuance pursuit of legal obligations or in the transaction transaction
(3.18) of business
3.16 3.15
records management
field of management responsible for the efficient and systematic control of the creation, receipt,
maintenance, use and disposition disposition (3.8) of records, including processes for capturing
and maintaining evidence evidence (3.10) of and information about business activities and
transactions transactions (3.18) in the form of records
3.17 3.16
records system
information system which captures, manages and provides access access (3.1) to records
through over time
Note 1 to entry: A records system can consist of technical elements such as software, which may be designed
specifically for managing records or for some other business purpose, and non-technical elements including
policy, procedures, people and other agents, and assigned responsibilities.
3.17
schema
logical plan showing the relationships between metadata elements, normally through establishing
rules for the use and management of metadata specifically as regards the semantics, the syntax and the
optionality (obligation level) of values
[SOURCE: ISO 23081-1:2006, 3.3]
3.18
registration transaction
act of giving a record a unique identifier on its entry into a system smallest unit of a work process (3.19)
consisting of an exchange between two or more participants or systems
[SOURCE: ISO/TR 26122:2012, 3.5]
3.19
tracking work process
creating, capturing and maintaining information about the movement and use of records one or more
sequences of actions required to produce an outcome that complies with governing rules
[SOURCE: ISO/TR 26122:2012, 3.6]
3.20
transfer
〈custody〉 change of custody, ownership and/or responsibility for records
3.21
transfer
〈movement〉 moving records from one location to another
4 Benefits of records management Principles for managing records
Records management governs the practice both of records managers and of any person who creates
or uses records in the course of their business activities. Records management in an organization
includesManaging records is based on the following principles:
a) setting policies and standards,the creation, capture and management of records are integral parts
of conducting business, in any context (see 5.1);
4 © ISO 2016 – All rights reserved

ISO 15489-1:redline:2016(E)
b) assigning responsibilities and authorities,records, regardless of form or structure, are authoritative
evidence of business when they possess the characteristics of authenticity, reliability, integrity and
useability (see 5.2.2);
c) establishing and promulgating procedures and guidelines,records consist of content and metadata,
which describes the context, content and structure of the records, as well as their management
through time (see 5.2.3);
d) providing a range of services relating to the management and use of records,decisions regarding
the creation, capture and management of records are based on the analysis and risk assessment of
business activities, in their business, legal, regulatory and societal contexts (see Clause 7);
e) designing, implementing and administering specialized systems for managing recordssystems
for managing records, regardless of their degree of automation, enable the application of records
controls and the execution of processes for creating, capturing and managing records (see 5.3,
and). They depend on defined policies, responsibilities, monitoring and evaluation, and training in
order to meet identified records requirements (see Clause 6).
f) integrating records management into business systems and processes.
Records contain information that is a valuable resource and an important business asset. A systematic
approach to the management of records is essential for organizations and society to protect and preserve
records as evidence of actions. A records management system results in a source of information about
business activities that can support subsequent activities and business decisions, as well as ensuring
accountability to present and future stakeholdersThese principles are expanded on in the concepts,
controls and processes for managing records that are described in the following sections of this part of
ISO 15489. Records enable organizations to
— conduct business in an orderly, efficient and accountable manner,
— deliver services in a consistent and equitable manner,
— support and document policy formation and managerial decision making,
— provide consistency, continuity and productivity in management and administration,
— facilitate the effective performance of activities throughout an organization,
— provide continuity in the event of a disaster,
— meet legislative and regulatory requirements including archival, audit and oversight activities,
— provide protection and support in litigation including the management of risks associated with the
existence of, or lack of, evidence of organizational activity,
— protect the interests of the organization and the rights of employees, clients and present and future
stakeholders,
— support and document current and future research and development activities, developments and
achievements, as well as historical research,
— provide evidence of business, personal and cultural activity,
— establish business, personal and cultural identity, and
— maintain corporate, personal or collective memory.
5 Regulatory environment
All organizations need to identify the regulatory environment that affects their activities and
requirements to document their activities. The policies and procedures of organizations should reflect
the application of the regulatory environment to their business processes. An organization should
ISO 15489-1:redline:2016(E)
provide adequate evidence of its compliance with the regulatory environment in the records of its
activities.
The regulatory environment consists of
a) statute and case laws, and regulations governing the sector-specific and general business
environment, including laws and regulations relating specifically to records, archives, access,
privacy, evidence, electronic commerce, data protection and information,
b) mandatory standards of practice,
c) voluntary codes of best practice,
d) voluntary codes of conduct and ethics, and
e) identifiable expectations of the community about what is acceptable behaviour for the specific
sector or organization.
The nature of the organization and the sector to which it belongs will determine which of these
regulatory elements (individually or in combination) are most applicable to that organization’s records
management requirements.
6 Policy and responsibilities
6.1 General
An organization seeking to conform to this part of ISO 15489 should establish, document, maintain and
promulgate policies, procedures and practices for records management to ensure that its business need
for evidence, accountability and information about its activities is met.
6.2 Policy
Organizations should define and document a policy for records management. The objective of the policy
should be the creation and management of authentic, reliable and useable records, capable of supporting
business functions and activities for as long as they are required. Organizations should ensure that the
policy is communicated and implemented at all levels in the organization.
The policy should be adopted and endorsed at the highest decision-making level and promulgated
throughout the organization. Responsibility for compliance should be assigned.
The policy should be derived from an analysis of business activities. It should define the areas where
legislation, regulations, other standards and best practices have the greatest application in the creation
of records connected to business activities. In doing so, organizations should take into account their
organizational environment and economic considerations. Policies should be regularly reviewed to
ensure that they reflect current business needs.
6.3 Responsibilities
Records management responsibilities and authorities should be defined and assigned, and promulgated
throughout the organization so that, where a specific need to create and capture records is identified,
it should be clear who is responsible for taking the necessary action. These responsibilities should
be assigned to all employees of the organization, including records managers, allied information
professionals, executives, business unit managers, systems administrators and others who create
records as part of their work, and should be reflected in job descriptions and similar statements.
Specific leadership responsibility and accountability for records management should be assigned to a
person with appropr
...

PROJET
NORME ISO/FDIS
FINAL
INTERNATIONALE 15489-1
ISO/TC 46/SC 11
Information et documentation —
Secrétariat: SA
Gestion des documents d’activité —
Début de vote:
2015-12-07
Partie 1:
Vote clos le:
Concepts et principes
2016-02-07
Information and documentation — Records management —
Part 1: Concepts and principles
LES DESTINATAIRES DU PRÉSENT PROJET SONT
INVITÉS À PRÉSENTER, AVEC LEURS OBSER-
VATIONS, NOTIFICATION DES DROITS DE PRO-
PRIÉTÉ DONT ILS AURAIENT ÉVENTUELLEMENT
CONNAISSANCE ET À FOURNIR UNE DOCUMEN-
TATION EXPLICATIVE.
OUTRE LE FAIT D’ÊTRE EXAMINÉS POUR
ÉTABLIR S’ILS SONT ACCEPTABLES À DES FINS
INDUSTRIELLES, TECHNOLOGIQUES ET COM-
Numéro de référence
MERCIALES, AINSI QUE DU POINT DE VUE
ISO/FDIS 15489-1:2015(F)
DES UTILISATEURS, LES PROJETS DE NORMES
INTERNATIONALES DOIVENT PARFOIS ÊTRE
CONSIDÉRÉS DU POINT DE VUE DE LEUR POSSI-
BILITÉ DE DEVENIR DES NORMES POUVANT
SERVIR DE RÉFÉRENCE DANS LA RÉGLEMENTA-
©
TION NATIONALE. ISO 2015
ISO/FDIS 15489-1:2015(F)
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2015, Publié en Suisse
Droits de reproduction réservés. Sauf indication contraire, aucune partie de cette publication ne peut être reproduite ni utilisée
sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie, l’affichage sur
l’internet ou sur un Intranet, sans autorisation écrite préalable. Les demandes d’autorisation peuvent être adressées à l’ISO à
l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Ch. de Blandonnet 8 • CP 401
CH-1214 Vernier, Geneva, Switzerland
Tel. +41 22 749 01 11
Fax +41 22 749 09 47
copyright@iso.org
www.iso.org
ii © ISO 2015 – Tous droits réservés

ISO/FDIS 15489-1:2015(F)
Sommaire Page
Avant-propos .iv
Introduction .v
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Principes de gestion des documents d’activité . 3
5 Documents d’activité et systèmes documentaires . 4
5.1 Généralités . 4
5.2 Documents d’activité . 4
5.2.1 Généralités . 4
5.2.2 Caractéristiques des documents d’activité probants . 5
5.2.3 Métadonnées pour la gestion des documents d’activité . 5
5.3 Systèmes documentaires . 7
5.3.1 Généralités . 7
5.3.2 Caractéristiques des systèmes documentaires . 7
6 Politiques et responsabilités . 8
6.1 Généralités . 8
6.2 Politiques . 9
6.3 Responsabilités . 9
6.4 Surveillance et évaluation .10
6.5 Compétences et formation .11
7 Évaluation .12
7.1 Généralités .12
7.2 Périmètre de l’évaluation .12
7.3 Compréhension de l’activité .13
7.4 Détermination des exigences liées aux documents d’activité .13
7.5 Mise en œuvre des exigences liées aux documents d’activité .14
8 Mesures de contrôle pour la gestion des documents d’activité .14
8.1 Généralités .14
8.2 Référentiel de métadonnées pour la gestion des documents d’activité .15
8.3 Plans de classement fonctionnels .16
8.4 Règles d’accès et d’habilitation .16
8.5 Référentiel de gestion des documents d’activité .17
9 Processus de création, de capture et de gestion des documents d’activité .18
9.1 Généralités .18
9.2 Création de documents d’activité .18
9.3 Capture des documents d’activité .18
9.4 Classement et indexation des documents d’activité .19
9.5 Contrôle d’accès .19
9.6 Stockage des documents d’activité .20
9.7 Utilisation et réutilisation.20
9.8 Migration et conversion des documents d’activité .20
9.9 Sort final .21
Bibliographie .22
ISO/FDIS 15489-1:2015(F)
Avant-propos
L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes
nationaux de normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est
en général confiée aux comités techniques de l’ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l’ISO, participent également aux travaux.
L’ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour l’élaboration du présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents
critères d’approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www.
iso.org/directives).
L’attention est appelée sur le fait que certains des éléments du présent document peuvent faire l’objet de
droits de propriété intellectuelle ou de droits analogues. L’ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l’élaboration du document sont indiqués dans l’Introduction et/ou dans la liste des déclarations de
brevets reçues par l’ISO (voir www.iso.org/patents).
Les éventuelles appellations commerciales utilisées dans le présent document sont données pour
information à l’attention des utilisateurs et ne constituent pas une approbation ou une recommandation.
Pour une explication de la signification des termes et expressions spécifiques de l’ISO liés à l’évaluation
de la conformité et pour toute information au sujet de l’adhésion de l’ISO aux principes de l’OMC
concernant les obstacles techniques au commerce (OTC), voir le lien suivant: Avant-propos —
Informations supplémentaires
Le Comité responsable du présent document est le Comité technique ISO/TC 46, Information et
documentation, Sous-comité SC 11, Archives/Gestion des documents d’activité.
Cette deuxième édition annule et remplace la première édition (ISO 15489-1:2001), qui a fait l’objet
d’une révision technique.
L’ISO 15489 comprend les parties suivantes, présentées sous le titre général Information et
documentation — Gestion des documents d’activité:
— Partie 1: Concepts et principes
— Partie 2: Lignes directrices [Rapport technique]
iv © ISO 2015 – Tous droits réservés

ISO/FDIS 15489-1:2015(F)
Introduction
La présente partie de l’ISO 15489 définit les concepts et les principes fondamentaux présidant à la
création, la capture et la gestion des documents d’activité. Elle occupe une position centrale parmi un
ensemble de Normes et de Rapports techniques internationaux qui fournissent des lignes directrices
complémentaires et des instructions en matière de concepts, de techniques et de pratiques de création,
de capture et de gestion des documents d’activité.
Les documents d’activité et leur gestion
Les documents d’activité constituent à la fois des preuves des activités opérationnelles et des actifs
informationnels. Ils se distinguent des autres actifs informationnels par leur caractère opérationnel et le
fait qu’ils sont étayés par des métadonnées. Les métadonnées des documents d’activité servent à indiquer
et conserver le contexte, ainsi qu’à appliquer des règles appropriées à la gestion des documents d’activité.
La gestion des documents d’activité englobe les actions suivantes:
a) créer et capturer les documents d’activité en vue de répondre aux exigences de preuve de l’activité
opérationnelle;
b) prendre des mesures appropriées pour protéger leur authenticité, leur fiabilité, leur intégrité et
leur exploitabilité, le contexte opérationnel et les exigences de gestion évoluant dans le temps.
NOTE Les expressions «activité opérationnelle» ou «activités opérationnelles» dans la présente partie de
l’ISO 15489 s’entendent au sens large pour désigner les activités qui concourent aux objectifs justifiant l’existence
de l’organisme. Les fonctions, les activités, les opérations et les processus représentent des types particuliers
d’«activité opérationnelle», qui sont définis à l’Article 3.
Les documents d’activité sont de plus en plus souvent créés et conservés dans des environnements
numériques, offrant un éventail de possibilités nouvelles d’utilisation et de réutilisation. Les
environnements numériques offrent aussi une plus grande flexibilité de mise en œuvre des mesures de
contrôle au sein des systèmes et entre les systèmes de gestion des documents d’activité.
L’évolution des modèles économiques entraîne l’élargissement des responsabilités en matière de
documents d’activité au-delà des limites organisationnelles et juridictionnelles traditionnelles. Ceci
demande que les professionnels de la gestion documentaire appréhendent et répondent à un ensemble
diversifié de besoins émanant de parties prenantes internes et externes. Ces besoins peuvent englober
des attentes plus grandes en matière de transparence des processus décisionnels exprimées par des
entreprises et des gouvernements, des citoyens, des consommateurs, des utilisateurs de services, des
personnes visées dans les documents d’activité et d’autres parties intéressées par la façon dont les
documents d’activité sont créés, capturés et gérés.
NOTE Dans la présente partie de l’ISO 15489, la formulation «création, capture et gestion» est utilisée pour
résumer la gestion des documents d’activité dans sa globalité. Elle inclut l’acte consistant à recevoir un document
d’activité et l’ensemble des processus liés aux documents d’activité décrits dans la présente partie de l’ISO 15489.
Tout en ne perdant pas de vue ces facteurs liés au contexte, la présente partie de l’ISO 15489 a été
élaborée en tenant compte:
a) des rôles joués par les documents d’activité comme support de l’activité opérationnelle et en tant
qu’actifs informationnels;
b) des possibilités accrues d’utilisation et de réutilisation des documents d’activité dans
l’environnement numérique;
c) des systèmes et des règles de création, de capture et de gestion des documents d’activité qui doivent
dépasser les limites organisationnelles traditionnelles, comme dans les environnements de travail
collaboratifs et multi-juridictionnels;
d) des mesures de contrôle des documents d’activité, qui peuvent être indépendantes des autres
composantes des systèmes documentaires;
ISO/FDIS 15489-1:2015(F)
e) de l’importance de l’analyse récurrente de l’activité opérationnelle et du contexte pour identifier
les documents d’activité à créer et capturer, ainsi que de la façon dont il convient de les gérer
dans le temps;
f) de l’importance de la gestion des risques lors de l’élaboration des stratégies de gestion des documents
d’activité, et du fait que cette dernière est elle-même une stratégie de gestion des risques.
Alors que les concepts et les principes de la présente partie de l’ISO 15489 s’appliquent à divers
environnements opérationnels et technologiques, ces environnements peuvent nécessiter différentes
méthodes de mise en œuvre des contrôles, des processus et des systèmes relatifs aux documents
d’activité. La présente partie de l’ISO 15489 n’a pas pour objet de fournir des conseils détaillés de
mise en œuvre dans le cadre d’environnements spécifiques de création, de capture et de gestion de
documents d’activité. Elle définit plutôt des concepts-clés et détermine des principes de niveau élevé
à partir desquels il s’avère possible d’élaborer des mesures de contrôle des documents d’activité, des
systèmes et des processus de gestion de ces documents d’activité dans tout environnement. Des conseils
portant sur la conception et la mise en œuvre des mesures de contrôle, de systèmes et de processus
de gestion des documents d’activité dans ces différents environnements sont fournis dans la ou les
partie(s) suivante(s) de la norme ainsi que dans d’autres normes et rapports techniques internationaux.
Avantages
Les méthodes de création, de capture et de gestion de documents d’activité s’appuyant sur les concepts
et les principes de la présente partie de l’ISO 15489 garantissent la création, la capture et la gestion des
preuves de l’activité faisant autorité, ainsi que leur mise à disposition de ceux qui en ont besoin, aussi
longtemps que nécessaire. Ceci permet notamment:
a) une amélioration de la transparence et de la capacité à rendre compte;
b) la création d’une politique efficace;
c) un processus décisionnel argumenté;
d) la gestion des risques opérationnels;
e) la continuité des activités en cas de sinistre;
f) la protection des droits et des obligations des organismes et des personnes;
g) une protection et un soutien en cas de litige;
h) la conformité à la législation et aux réglementations;
i) une meilleure capacité à démontrer la responsabilité de l’entreprise, notamment l’atteinte des
objectifs de durabilité;
j) une réduction des coûts grâce à une plus grande efficacité opérationnelle;
k) la protection de la propriété intellectuelle;
l) des activités de recherche et de développement basées sur des preuves;
m) la création d’une identité professionnelle, personnelle et culturelle;
n) la protection de la mémoire de l’organisme, des personnes et de la collectivité.
Les politiques, la répartition des responsabilités et les procédures de création, de capture et de gestion
des documents d’activité soutiennent les programmes de gouvernance de l’information des organismes.
Relations avec d’autres normes
La présente partie de l’ISO 15489 a été élaborée comme une ressource qui se suffit à elle-même.
Cependant, elle fait aussi partie intégrante d’une famille de normes et de rapports techniques
internationaux ouvrant tout un éventail d’aspects se rapportant à la création, la capture et la gestion
vi © ISO 2015 – Tous droits réservés

ISO/FDIS 15489-1:2015(F)
des documents d’activité. Ceux-ci sont énumérés dans la Bibliographie et peuvent être consultés pour
des conseils plus détaillés sur des aspects particuliers de la gestion des documents d’activité.
La gestion des documents d’activité conformément à la présente partie de l’ISO 15489 est essentielle à
la réussite d’un système de gestion des documents d’activité (SGDA), c’est-à-dire le système de gestion
défini par la série de normes internationales ISO 30300. Un SGDA associe la gestion des documents
d’activité à la réussite de l’organisme et à la capacité de rendre compte en établissant un cadre de travail
comportant une politique, des objectifs et des directives qui concernent les documents d’activité. Il
détermine les exigences en matière de:
a) définition des rôles et des responsabilités;
b) processus systématiques;
c) surveillance et évaluation;
d) revue et amélioration.
Il est conseillé aux dirigeants et autres personnes souhaitant mettre en œuvre, exploiter et
améliorer un SGDA d’utiliser la présente partie de l’ISO 15489 en liaison avec la série de normes
internationales ISO 30300.
PROJET FINAL DE NORME INTERNATIONALE ISO/FDIS 15489-1:2015(F)
Information et documentation — Gestion des documents
d’activité —
Partie 1:
Concepts et principes
1 Domaine d’application
La présente partie de l’ISO 15489 détermine les concepts et les principes à partir desquels sont
élaborées les méthodes de création, de capture et de gestion des documents d’activité. La présente
partie de l’ISO 15489 décrit les concepts et les principes relatifs:
a) aux documents d’activité, à leurs métadonnées et aux systèmes documentaires;
b) aux politiques, à la répartition des responsabilités, à la surveillance et la formation nécessaires à la
gestion efficace des documents d’activité;
c) à l’analyse récurrente du contexte opérationnel et de la définition des exigences en matière de
documents d’activité;
d) au contrôle des documents d’activité;
e) aux processus de création, de capture et de gestion des documents d’activité.
La présente partie de l’ISO 15489 s’applique à la création, à la capture et à la gestion des documents
d’activité, indépendamment de leur structure ou de leur forme, dans tous les types d’environnements
opérationnels et technologiques, et dans le temps.
2 Références normatives
Aucune référence normative n’est citée dans le présent document.
NOTE Aucune référence normative n’est citée, car la présente partie de l’ISO 15489.a été élaborée comme
une ressource qui se suffit à elle-même, c’est-à-dire qu’aucun document n’est indispensable à son application.
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions suivants s’appliquent.
3.1
accès
droit, modalités et moyens de recherche, d’exploitation ou de récupération de l’information
3.2
activité
tâche principale exécutée par une entité organisationnelle dans le cadre d’une fonction (3.11)
ISO/FDIS 15489-1:2015(F)
3.3
acteur
personne, groupe de travail ou organisme responsable ou impliqué dans la création d’un document
d’activité, sa capture et/ou dans les processus liés à la gestion des documents d’activité
[SOURCE: ISO 23081-1:2006, 3.1]
Note 1 à l’article: Des outils technologiques tels que des applications logicielles peuvent être considérés comme
des acteurs s’ils exécutent régulièrement des processus liés aux documents d’activité.
3.4
plan de classement fonctionnel
outil permettant de relier les documents d’activité à leur contexte de création
3.5
classement
identification systématique et/ou classement des activités et/ou des documents d’activité en catégories
suivant des conventions et méthodes structurées logiquement, ainsi que des règles de procédures
3.6
conversion
processus consistant à changer le format des documents d’activité
3.7
destruction
action d’éliminer ou de supprimer un document d’activité de façon irréversible
3.8
sort final
série de processus associés à la mise en œuvre des décisions de conservation, de destruction (3.7) ou
de transfert des documents d’activité, telles qu’explicitées dans le référentiel de gestion des documents
d’activité (3.9) ou tout autre outil de référence
3.9
référentiel de gestion des documents d’activité
règles de conservation
outil définissant les sorts finaux (3.8) autorisées pour les documents d’activité indiqués
3.10
preuve
information ou document prouvant une opération(3.18)
[SOURCE: ISO 30300:2011, 3.1.5]
Note 1 à l’article: Preuve d’une opération dont il peut être démontré qu’elle a été créée dans le cadre normal de
la conduite de l’activité de l’organisme et qu’elle est intacte et complète. Ne se limite pas au sens légal du terme.
3.11
fonction
ensemble d’activités qui assure les principales responsabilités en vue d’atteindre les objectifs
stratégiques d’une entité organisationnelle
3.12
métadonnées de gestion des documents d’activité
informations structurées ou semi-structurées, qui permettent la création, la gestion et l’utilisation de
documents d’activités dans le temps, au sein de divers domaines et entre ces domaines
[SOURCE: ISO 23081-2:2007, 3.7]
2 © ISO 2015 – Tous droits réservés

ISO/FDIS 15489-1:2015(F)
3.13
migration
processus de déplacement de documents d’activité d’une configuration matérielle ou logicielle à une
autre sans en modifier le format
[SOURCE: ISO 30300:2011, 3.3.8]
3.14
document(s) d’activité
informations créées, reçues et préservées comme preuve (3.10) et actif par une personne physique ou
morale dans l’exercice de ses obligations légales ou la conduite des opérations (3.18) liées à son activité
3.15
gestion des documents d’activité
champ de l’organisation et de la gestion en charge d’un contrôle efficace et systématique de la création,
de la réception, de la conservation, de l’utilisation et du sort final (3.8) des documents d’activité, y
compris des processus de capture et de préservation de la preuve (3.10) et de l’information liées aux
activités et aux opérations (3.18) sous la forme de documents d’activité
3.16
système documentaire
système d’information qui intègre, organise, gère et rend possible l’accès (3.1) aux documents d’activité
dans le temps
Note 1 à l’article: Un système documentaire peut comporter des éléments techniques tels que des logiciels, qui
peuvent être conçus spécifiquement pour la gestion des documents d’activité ou pour répondre à un autre objectif
organisationnel, et d’éléments non techniques, notamment une politique, des modes opératoires, des personnes
et d’autres acteurs, ainsi que d’une répartition des responsabilités.
3.17
Référentiel de métadonnées
plan logique qui montre les relations entre les éléments de métadonnées, habituellement par
l’établissement de règles d’utilisation et de gestion des métadonnées qui portent en particulier sur la
sémantique, la syntaxe et la condition des valeurs (niveau d’obligation)
[SOURCE: ISO 23081-1:2006, 3.3]
3.18
transaction
opération
la plus petite unité d’un processus (3.19), qui consiste en un échange entre deux ou plusieurs
participants ou systèmes
[SOURCE: ISO/TR 26122:2012, 3.5]
3.19
processus
une ou plusieurs séquences d’activités requises pour produire un résultat conforme aux règles de
gouvernance
[SOURCE: ISO/TR 26122:2012, 3.6]
4 Principes de gestion des documents d’activité
La gestion des documents d’activité s’appuie sur les principes suivants:
a) la création, la capture et la gestion de documents d’activité font partie intégrante de toute activité,
quel qu’en soit le contexte (voir 5.1);
ISO/FDIS 15489-1:2015(F)
b) quelles que soient leur forme ou leur structure, les documents d’activité constituent des preuves
de l’activité faisant autorité lorsqu’elles possèdent les caractéristiques d’authenticité, de fiabilité,
d’intégrité et d’exploitabilité (voir 5.2.2);
c) les documents d’activité comportent un contenu et des métadonnées décrivant le contexte, le
contenu et la structure des documents d’activité, ainsi que leur gestion dans le temps (voir 5.2.3);
d) les décisions concernant la création, la capture et la gestion des documents d’activité s’appuient sur
l’analyse et l’évaluation des risques des activités, dans leurs contextes opérationnel, juridique et
social (voir Article 7);
e) indépendamment de leur degré d’automatisation, les systèmes de gestion des documents d’activité
permettent l’application des contrôles de documents d’activité et l’exécution des processus de
création, de capture et de gestion des documents d’activité (voir 5.3). Ils sont subordonnés aux
politiques, aux responsabilités, à la surveillance/l’évaluation et la formation définies en vue de
répondre aux exigences identifiées propres aux documents d’activité (voir Article 6).
Ces principes trouvent leur prolongement dans les concepts, les contrôles et les processus de gestion
des documents d’activité décrits dans les sections ci-après de la présente partie de l’ISO 15489.
5 Documents d’activité et systèmes documentaires
5.1 Généralités
Les documents d’activité constituent à la fois des preuves de l’activité opérationnelle et des actifs
informationnels. Tout ensemble d’information, indépendamment de sa structure et de sa forme, peut
être géré en tant que document d’activité. Ceci inclut l’information sous la forme de document, de
collection de données ou d’autres types d’information numérique ou analogique qui sont créés, capturés
et gérés dans le cadre d’une activité.
La gestion des documents d’activité englobe les actions suivantes:
a) créer et capturer les documents d’activité en vue de répondre aux exigences de preuve de l’activité
opérationnelle;
b) prendre des mesures appropriées pour protéger leur authenticité, leur fiabilité, leur intégrité et leur
exploitabilité ainsi que leur contexte opérationnel et les exigences de gestion évoluant dans le temps.
Dans la gestion des documents d’activité, les métadonnées sont les données décrivant le contexte, le
contenu et la structure des documents d’activité, ainsi que leur gestion dans le temps. Les métadonnées
constituent une composante essentielle de tout document d’activité (voir 5.2.3).
La gestion des documents d’activité est assurée par des systèmes documentaires (voir 5.3).
5.2 Documents d’activité
5.2.1 Généralités
Les documents d’activité peuvent documenter des événements ou des opérations isolés, ou peuvent
constituer des agrégations conçues pour documenter des processus, des activités ou des fonctions.
Il convient qu’indépendamment de leur forme ou de leur structure, les documents d’activité
possèdent des caractéristiques d’authenticité, de fiabilité, d’intégrité et d’exploitabilité (voir 5.2.2)
afin de constituer une preuve des événements de l’activité ou des opérations probants et de satisfaire
entièrement aux exigences professionnelles.
4 © ISO 2015 – Tous droits réservés

ISO/FDIS 15489-1:2015(F)
5.2.2 Caractéristiques des documents d’activité probants
5.2.2.1 Authenticité
Un document d’activité authentique est un document dont on peut prouver
a) qu’il est bien ce qu’il prétend être,
b) qu’il a été créé ou envoyé par l’acteur qui prétend l’avoir créé ou envoyé, et
c) qu’il a été créé ou envoyé au moment prétendu.
Il convient que les règles, les processus, les politiques et les procédures qui contrôlent la création,
la capture et la gestion des documents d’activité (voir 6.2) soient mis en œuvre et documentés pour
garantir l’authenticité des documents d’activité. Il convient que les créateurs des documents d’activité
soient autorisés et identifiés, (voir 6.3).
5.2.2.2 Fiabilité
Un document d’activité fiable est un document
a) dont le contenu peut être considéré comme la représentation complète et exacte des opérations,
activités ou faits qu’il atteste,
b) sur lequel on peut s’appuyer lors d’opérations ou d’activités ultérieures.
Il convient que les documents d’activité soient créés au moment de l’événement auquel ils se rapportent
ou juste après, par des personnes qui ont une connaissance directe des faits ou par des systèmes utilisés
systématiquement pour réaliser l’opération.
5.2.2.3 Intégrité
L’intégrité d’un document d’activité renvoie au caractère complet et non altéré de son état.
Il convient de protéger un document d’activité contre toute altération non autorisée. Il convient que les
politiques et les procédures de gestion des documents d’activité précisent quels ajouts ou annotations
peuvent être apportés à un document d’activité après sa création, dans quelles circonstances ces ajouts
ou ces annotations peuvent être autorisés et qui est habilité à les appliquer (voir 6.2). Il convient que
toute annotation, tout ajout ou suppression autorisé apporté à un document d’activité soit explicitement
indiqué et traçable.
5.2.2.4 Exploitabilité
Un document d’activité exploitable est un document qui peut être localisé, récupéré, communiqué et
interprété dans une période de temps jugée raisonnable par les parties prenantes.
Il convient qu’un document d’activité exploitable soit relié au processus ou à l’opération à l’origine de
sa création. Il convient que les liens entre les documents d’activité et les opérations associées qu’ils
documentent soient maintenus.
Il convient que les métadonnées d’un document d’activité contribuent à son exploitabilité en fournissant
toute l’information qui peut être nécessaire à sa récupération et sa communication, par exemple des
identifiants, des informations de format ou de stockage (voir 5.2.3).
5.2.3 Métadonnées pour la gestion des documents d’activité
Il convient que les métadonnées pour la gestion des documents d’activité décrivent:
a) le contexte opérationnel;
b) les dépendances et les relations entre documents d’activité et systèmes documentaires;
ISO/FDIS 15489-1:2015(F)
c) les relations avec les contextes légal et social;
d) les relations avec les acteurs qui créent, gèrent et utilisent les documents d’activité.
Certaines des métadonnées d’un document d’activité proviennent de ou sont attribuées au moment où
le document d’activité est créé ou capturé et ne changent pas. Il s’agit de métadonnées de documents
d’activité dites «du point de capture».
Les métadonnées relatives à des actions réalisées sur le document d’activité et à d’autres événements
de la vie du document, y compris les acteurs qui y participent, continuent de croître dans le temps au fur
et à mesure de l’utilisation et de la gestion du document d’activité. Il s’agit de métadonnées de processus
liées aux documents d’activité.
Puisque les métadonnées s’accumulent dans le temps, elles documentent collectivement, entre autres
choses, la provenance d’un document d’activité.
Il convient que les métadonnées d’un document d’activité soient elles-mêmes gérées comme un
document d’activité, en ce qu’il convient de les protéger contre toute perte ou suppression non
autorisée et de les conserver ou de les détruire (voir 9.9) conformément aux exigences identifiées dans
le processus d’évaluation (voir Article 7). Il convient de contrôler l’accès aux métadonnées en utilisant
les règles d’accès et d’habilitation en vigueur (voir 8.4).
Le contenu d’un document d’activité et les métadonnées qui lui sont associées peuvent être gérés
soit dans des emplacements et des systèmes multiples, mais coexistants, soit dans un emplacement
et un système uniques. Les relations logiques, ou liens, entre le contenu d’un document d’activité et
les métadonnées qui lui sont associées peuvent être créées et préservées en utilisant des processus
automatisés ou manuels.
Il convient que les métadonnées des documents d’activité consistent en un enregistrement des
informations portant sur:
a) la description du contenu du document d’activité;
b) la structure du document d’activité (par exemple, sa forme, son format et les relations entre ses
composantes constitutives);
c) le contexte opérationnel dans lequel le document d’activité a été créé ou reçu et utilisé;
d) les relations avec d’autres documents d’activité et d’autres métadonnées;
e) les identifiants et autres informations nécessaires à sa récupération et à sa communication, comme
les informations de format ou de stockage;
f) les actions et les événements affectant le document d’activité tout au long de son existence (en
incluant la date et l’heure des actions, les changements apportés aux métadonnées et les acteurs
entreprenant ces actions).
Les documents d’activité qui ne possèdent pas de telles métadonnées ne peuvent pas être considérés
comme des documents d’activité probants (voir 5.2.2).
Des métadonnées supplémentaires peuvent être nécessaires en fonction des exigences juridiques et des
normes du secteur d’activité, ainsi que des exigences spécifiques à l’activité définies durant l’évaluation
(voir Article 7).
Il convient de décrire et de documenter les métadonnées des documents d’activité, dans des référentiels
de métadonnées (voir 8.2). Il convient que l’élaboration des référentiels de métadonnées tienne compte
des résultats de l’évaluation du ou des secteurs d’activité auxquels ils s’appliquent (voir Article 7).
6 © ISO 2015 – Tous droits réservés

ISO/FDIS 15489-1:2015(F)
5.3 Systèmes documentaires
5.3.1 Généralités
Les systèmes documentaires comprennent un certain nombre d’éléments qui sont combinés de manière
à pouvoir satisfaire, dans un environnement opérationnel donné, aux exigences (voir 7.4) concernant les
documents d’activité qui ont été identifiées . Il convient que les systèmes documentaires
a) contrôlent les documents d’activité (voir Article 8),
b) exécutent des processus de création, de capture et de gestion des documents d’activité (voir
Article 9), et
c) assurent la création et la préservation des relations logiques entre le contenu des documents
d’activité et les métadonnées de ces documents d’activité. (voir 5.2.3).
Il convient que la conception et la mise en œuvre des systèmes documentaires prennent en compte
le contexte opérationnel (voir 7.3) et les exigences relatives aux documents d’activité qui ont été
identifiées (voir 7.4), et qu’elles répondent aux objectifs suivants:
a) conformité aux caractéristiques des systèmes documentaires énumérées en 5.3.2;
b) interopérabilité pour favoriser l’interaction avec d’autres systèmes et la souplesse dans l’utilisation
des contrôles de documents d’activité;
c) facilité d’utilisation et de réutilisation des documents d’activité;
d) capacité à supporter les changements technologiques ou opérationnels, tels que ceux entraînés par
l’actualisation des systèmes ou une restructuration administrative;
e) capacité à gérer les interruptions opérationnelles et la continuité de l’activité en cas de
perturbations inopinées.
Les systèmes documentaires peuvent être conçus spécifiquement pour la gestion des documents
d’activité ou peuvent être des systèmes conçus pour d’autres processus opérationnels et qui sont adaptés
en vue de leur permettre de concourir à la création, à la capture et à la gestion des documents d’activité.
Le caractère probant des documents d’activité repose sur le fait qu’ils sont gérés par des systèmes
documentaires fiables, sûrs, conformes, exhaustifs et systématiques (voir 5.3.2).
5.3.2 Caractéristiques des systèmes documentaires
5.3.2.1 Fiabilité
Il convient que les systèmes documentaires soient capables d’assurer un fonctionnement continu et
régulier conforme à la politique et aux procédures validées. Il convient que les systèmes documentaires
a) intègrent automatiquement les documents d’activité relevant du champ d’activité qu’ils doivent
couvrir,
b) soient systématiquement la source d’information principale probante concernant les activités
décrites dans les documents d’activité,
c) permettent la participation de tous les acteurs autorisés,
d) présentent les documents d’activité sous une forme exploitable,
e) permettent l’accès en temps voulu aux documents d’activité,
f) protègent les documents d’activité de toute utilisation, altération, dissimulation ou suppression
non autorisées,
ISO/FDIS 15489-1:2015(F)
g) stockent les documents d’activité aussi longtemps que nécessaire,
h) fournissent, si besoin, des mécanismes d’importation (ou autre forme d’incorporation) des documents
d’activité et des métadonnées dans le système ou leur exportation d’un système à un autre, et
i) autorisent la mise en œuvre du sort final prévu pour les documents d’activité.
Il convient de documenter la fiabilité des systèmes documentaires en créant et en conservant
des documents d’activité de leurs opérations et procédures et, le cas échéant, de leurs procédés
technologiques. Il convient que les métadonnées de processus liées aux documents d’activité (voir 5.2.3)
démontrent également la fiabilité du ou des systèmes dans lesquels elles sont gérées.
5.3.2.2 Sécurité
Il convient de mettre en œuvre des mesures telles que des contrôles, une surveillance des accès, la
validation des acteurs et des autorisations de destruction afin d’empêcher tout accès, toute altération,
dissimulation ou destruction non autorisés des documents d’activité. Il convient d’enregistrer dans les
métadonnées de processus du document d’activité les informations relatives aux contrôles qui ont été
appliqués au document d’activité, ainsi que la date et l’heure de leur application (voir 5.2.3).
En fonction du risque associé à l’activité concernée par les documents d’activité, il convient d’enregistrer
en tant que métadonnées de processus tout incident de sécurité affectant les documents d’activité.
Il convient que les mesures organisationnelles de sécurité de l’information et de continuité de l’activité
incluent les mesures liées aux systèmes documentaires.
5.3.2.3 Conformité
Il convient de gérer les systèmes documentaires conformément aux exigences liées aux besoins
opérationnels de l’organisme, aux attentes de la communauté ou de la société et à l’environnement
juridique et réglementaire (voir 7.4). Il convient d’évaluer régulièrement la conformité des systèmes
documentaires à ces exigences. (Voir 6.4). Il convient de conserver les documents d’activité associés à
ces évaluations.
5.3.2.4 Exhaustivité
Il convient que les systèmes documentaires soient à même de gérer tous les documents d’activité requis
de l’ensemble des activités opérationnelles auxquels ils se rapportent (voir 7.4).
Il convient que les systèmes documentaires soient à même de gérer les documents d’activité créés, avec
l’ensemble des technologies utilisées dans le domaine d’activité auquel ils se rapportent.
5.3.2.5 Caractère systématique
Il convient de systématiser la création, la capture et la gestion des documents d’activités par le biais
de la conception et du fonctionnement automatique des systèmes documentaires (voir 5.3), et par le
respect des politiques et des procédures validées (voir Article 6).
6 Politiques et responsabilités
6.1 Généralités
Il convient que les politiques et les responsabilités permettent de répondre aux exigences de création,
de capture et de gestion des documents d’activité, ainsi que de conception, d’utilisation et de gestion
des systèmes documentaires.
8 © ISO 2015 – Tous droits réservés

ISO/FDIS 15489-1:2015(F)
Afin de garantir que les systèmes documentaires répondent aux exigences identifiées en matière de
gestion des documents d’activité (voir 7.4), il convient que les politiques et les responsabilités prévoient
des instructions et des autorisations pour:
a) les créateurs de documents d’activité;
b) les personnes impliquées dans la gestion des documents d’activité;
c) les autres utilisateurs des systèmes documentaires.
Il convient que les politiques soient étayées par des procédures fournissant des instructions plus
spécifiques quant à la création, la capture et la gestion des documents d’activité.
Il convient de mettre en place des mesures de surveillance et d’évaluati
...

NORME ISO
INTERNATIONALE 15489-1
Deuxième édition
2016-04-15
Information et documentation —
Gestion des documents d’activité —
Partie 1:
Concepts et principes
Information and documentation — Records management —
Part 1: Concepts and principles
Numéro de référence
©
ISO 2016
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2016, Publié en Suisse
Droits de reproduction réservés. Sauf indication contraire, aucune partie de cette publication ne peut être reproduite ni utilisée
sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie, l’affichage sur
l’internet ou sur un Intranet, sans autorisation écrite préalable. Les demandes d’autorisation peuvent être adressées à l’ISO à
l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Ch. de Blandonnet 8 • CP 401
CH-1214 Vernier, Geneva, Switzerland
Tel. +41 22 749 01 11
Fax +41 22 749 09 47
copyright@iso.org
www.iso.org
ii © ISO 2016 – Tous droits réservés

Sommaire Page
Avant-propos .iv
Introduction .v
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Principes de gestion des documents d’activité . 3
5 Documents d’activité et systèmes documentaires . 4
5.1 Généralités . 4
5.2 Documents d’activité . 4
5.2.1 Généralités . 4
5.2.2 Caractéristiques des documents d’activité probants . 5
5.2.3 Métadonnées pour la gestion des documents d’activité . 5
5.3 Systèmes documentaires . 7
5.3.1 Généralités . 7
5.3.2 Caractéristiques des systèmes documentaires . 7
6 Politiques et responsabilités . 8
6.1 Généralités . 8
6.2 Politiques . 9
6.3 Responsabilités .10
6.4 Surveillance et évaluation .10
6.5 Compétences et formation .11
7 Évaluation .12
7.1 Généralités .12
7.2 Périmètre de l’évaluation .12
7.3 Compréhension de l’activité .13
7.4 Détermination des exigences liées aux documents d’activité .13
7.5 Mise en œuvre des exigences liées aux documents d’activité .14
8 Mesures de contrôle pour la gestion des documents d’activité .14
8.1 Généralités .14
8.2 Référentiel de métadonnées pour la gestion des documents d’activité .15
8.3 Plans de classement fonctionnels .16
8.4 Règles d’accès et d’habilitation .16
8.5 Référentiel de gestion des documents d’activité .17
9 Processus de création, de capture et de gestion des documents d’activité .18
9.1 Généralités .18
9.2 Création de documents d’activité .18
9.3 Capture des documents d’activité .18
9.4 Classement et indexation des documents d’activité .19
9.5 Contrôle d’accès .19
9.6 Stockage des documents d’activité .20
9.7 Utilisation et réutilisation.20
9.8 Migration et conversion des documents d’activité .20
9.9 Sort final .21
Bibliographie .22
Avant-propos
L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes
nationaux de normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est
en général confiée aux comités techniques de l’ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l’ISO, participent également aux travaux.
L’ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour l’élaboration du présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents
critères d’approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www.
iso.org/directives).
L’attention est appelée sur le fait que certains des éléments du présent document peuvent faire l’objet de
droits de propriété intellectuelle ou de droits analogues. L’ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l’élaboration du document sont indiqués dans l’Introduction et/ou dans la liste des déclarations de
brevets reçues par l’ISO (voir www.iso.org/patents).
Les éventuelles appellations commerciales utilisées dans le présent document sont données pour
information à l’attention des utilisateurs et ne constituent pas une approbation ou une recommandation.
Pour une explication de la signification des termes et expressions spécifiques de l’ISO liés à l’évaluation
de la conformité et pour toute information au sujet de l’adhésion de l’ISO aux principes de l’OMC
concernant les obstacles techniques au commerce (OTC), voir le lien suivant: Avant-propos —
Informations supplémentaires
Le Comité responsable du présent document est le Comité technique ISO/TC 46, Information et
documentation, Sous-comité SC 11, Archives/Gestion des documents d’activité.
Cette deuxième édition annule et remplace la première édition (ISO 15489-1:2001), qui a fait l’objet
d’une révision technique.
L’ISO 15489 comprend les parties suivantes, présentées sous le titre général Information et
documentation — Gestion des documents d’activité:
— Partie 1: Concepts et principes
— Partie 2: Lignes directrices [Rapport technique]
iv © ISO 2016 – Tous droits réservés

Introduction
La présente partie de l’ISO 15489 définit les concepts et les principes fondamentaux présidant à la
création, la capture et la gestion des documents d’activité. Elle occupe une position centrale parmi un
ensemble de Normes et de Rapports techniques internationaux qui fournissent des lignes directrices
complémentaires et des instructions en matière de concepts, de techniques et de pratiques de création,
de capture et de gestion des documents d’activité.
Les documents d’activité et leur gestion
Les documents d’activité constituent à la fois des preuves des activités opérationnelles et des actifs
informationnels. Ils se distinguent des autres actifs informationnels par leur caractère opérationnel
et le fait qu’ils sont étayés par des métadonnées. Les métadonnées des documents d’activité servent à
indiquer et conserver le contexte, ainsi qu’à appliquer des règles appropriées à la gestion des documents
d’activité.
La gestion des documents d’activité englobe les actions suivantes:
a) créer et capturer les documents d’activité en vue de répondre aux exigences de preuve de l’activité
opérationnelle;
b) prendre des mesures appropriées pour protéger leur authenticité, leur fiabilité, leur intégrité et
leur exploitabilité, le contexte opérationnel et les exigences de gestion évoluant dans le temps.
NOTE 1 Les expressions «activité opérationnelle» ou «activités opérationnelles» dans la présente partie de
l’ISO 15489 s’entendent au sens large pour désigner les activités qui concourent aux objectifs justifiant l’existence
de l’organisme. Les fonctions, les activités, les opérations et les processus représentent des types particuliers
d’«activité opérationnelle», qui sont définis à l’Article 3.
Les documents d’activité sont de plus en plus souvent créés et conservés dans des environnements
numériques, offrant un éventail de possibilités nouvelles d’utilisation et de réutilisation. Les
environnements numériques offrent aussi une plus grande flexibilité de mise en œuvre des mesures de
contrôle au sein des systèmes et entre les systèmes de gestion des documents d’activité.
L’évolution des modèles économiques entraîne l’élargissement des responsabilités en matière de
documents d’activité au-delà des limites organisationnelles et juridictionnelles traditionnelles. Ceci
demande que les professionnels de la gestion documentaire appréhendent et répondent à un ensemble
diversifié de besoins émanant de parties prenantes internes et externes. Ces besoins peuvent englober
des attentes plus grandes en matière de transparence des processus décisionnels exprimées par des
entreprises et des gouvernements, des citoyens, des consommateurs, des utilisateurs de services, des
personnes visées dans les documents d’activité et d’autres parties intéressées par la façon dont les
documents d’activité sont créés, capturés et gérés.
NOTE 2 Dans la présente Norme internationale (toutes les parties), la formulation «création, capture et
gestion» est utilisée pour résumer la gestion des documents d’activité dans sa globalité. Elle inclut l’acte
consistant à recevoir un document d’activité et l’ensemble des processus liés aux documents d’activité décrits
dans la présente partie de l’ISO 15489.
Tout en ne perdant pas de vue ces facteurs liés au contexte, la présente partie de l’ISO 15489 a été
élaborée en tenant compte:
a) des rôles joués par les documents d’activité comme support de l’activité opérationnelle et en tant
qu’actifs informationnels;
b) des possibilités accrues d’utilisation et de réutilisation des documents d’activité dans
l’environnement numérique;
c) des systèmes et des règles de création, de capture et de gestion des documents d’activité qui doivent
dépasser les limites organisationnelles traditionnelles, comme dans les environnements de travail
collaboratifs et multi-juridictionnels;
d) des mesures de contrôle des documents d’activité, qui peuvent être indépendantes des autres
composantes des systèmes documentaires;
e) de l’importance de l’analyse récurrente de l’activité opérationnelle et du contexte pour identifier
les documents d’activité à créer et capturer, ainsi que de la façon dont il convient de les gérer dans
le temps;
f) de l’importance de la gestion des risques lors de l’élaboration des stratégies de gestion des
documents d’activité, et du fait que cette dernière est elle-même une stratégie de gestion des
risques.
Alors que les concepts et les principes de la présente partie de l’ISO 15489 s’appliquent à divers
environnements opérationnels et technologiques, ces environnements peuvent nécessiter différentes
méthodes de mise en œuvre des contrôles, des processus et des systèmes relatifs aux documents
d’activité. La présente partie de l’ISO 15489 n’a pas pour objet de fournir des conseils détaillés de
mise en œuvre dans le cadre d’environnements spécifiques de création, de capture et de gestion de
documents d’activité. Elle définit plutôt des concepts-clés et détermine des principes de niveau élevé
à partir desquels il s’avère possible d’élaborer des mesures de contrôle des documents d’activité, des
systèmes et des processus de gestion de ces documents d’activité dans tout environnement. Des conseils
portant sur la conception et la mise en œuvre des mesures de contrôle, de systèmes et de processus
de gestion des documents d’activité dans ces différents environnements sont fournis dans la ou les
partie(s) suivante(s) de la norme ainsi que dans d’autres normes et rapports techniques internationaux.
Avantages
Les méthodes de création, de capture et de gestion de documents d’activité s’appuyant sur les concepts
et les principes de la présente partie de l’ISO 15489 garantissent la création, la capture et la gestion des
preuves de l’activité faisant autorité, ainsi que leur mise à disposition de ceux qui en ont besoin, aussi
longtemps que nécessaire. Ceci permet notamment:
a) une amélioration de la transparence et de la capacité à rendre compte;
b) la création d’une politique efficace;
c) un processus décisionnel argumenté;
d) la gestion des risques opérationnels;
e) la continuité des activités en cas de sinistre;
f) la protection des droits et des obligations des organismes et des personnes;
g) une protection et un soutien en cas de litige;
h) la conformité à la législation et aux réglementations;
i) une meilleure capacité à démontrer la responsabilité de l’entreprise, notamment l’atteinte des
objectifs de durabilité;
j) une réduction des coûts grâce à une plus grande efficacité opérationnelle;
k) la protection de la propriété intellectuelle;
l) des activités de recherche et de développement basées sur des preuves;
m) la création d’une identité professionnelle, personnelle et culturelle;
n) la protection de la mémoire de l’organisme, des personnes et de la collectivité.
Les politiques, la répartition des responsabilités et les procédures de création, de capture et de gestion
des documents d’activité soutiennent les programmes de gouvernance de l’information des organismes.
vi © ISO 2016 – Tous droits réservés

Relations avec d’autres normes
La présente partie de l’ISO 15489 a été élaborée comme une ressource qui se suffit à elle-même.
Cependant, elle fait aussi partie intégrante d’une famille de normes et de rapports techniques
internationaux ouvrant tout un éventail d’aspects se rapportant à la création, la capture et la gestion
des documents d’activité. Ceux-ci sont énumérés dans la Bibliographie et peuvent être consultés pour
des conseils plus détaillés sur des aspects particuliers de la gestion des documents d’activité.
La gestion des documents d’activité conformément à la présente Norme internationale (toutes les
parties) est essentielle à la réussite d’un système de gestion des documents d’activité (SGDA), c’est-à-
dire le système de gestion défini par la série de normes internationales ISO 30300. Un SGDA associe
la gestion des documents d’activité à la réussite de l’organisme et à la capacité de rendre compte en
établissant un cadre de travail comportant une politique, des objectifs et des directives qui concernent
les documents d’activité. Il détermine les exigences en matière de:
a) définition des rôles et des responsabilités;
b) processus systématiques;
c) surveillance et évaluation;
d) revue et amélioration.
Il est conseillé aux dirigeants et autres personnes souhaitant mettre en œuvre, exploiter et améliorer
un SGDA d’utiliser la présente partie de l’ISO 15489 en liaison avec la série de Normes internationales
ISO 30300.
NORME INTERNATIONALE ISO 15489-1:2016(F)
Information et documentation — Gestion des documents
d’activité —
Partie 1:
Concepts et principes
1 Domaine d’application
La présente partie de l’ISO 15489 détermine les concepts et les principes à partir desquels sont
élaborées les méthodes de création, de capture et de gestion des documents d’activité. La présente
partie de l’ISO 15489 décrit les concepts et les principes relatifs:
a) aux documents d’activité, à leurs métadonnées et aux systèmes documentaires;
b) aux politiques, à la répartition des responsabilités, à la surveillance et la formation nécessaires à la
gestion efficace des documents d’activité;
c) à l’analyse récurrente du contexte opérationnel et de la définition des exigences en matière de
documents d’activité;
d) au contrôle des documents d’activité;
e) aux processus de création, de capture et de gestion des documents d’activité.
La présente partie de l’ISO 15489 s’applique à la création, à la capture et à la gestion des documents
d’activité, indépendamment de leur structure ou de leur forme, dans tous les types d’environnements
opérationnels et technologiques, et dans le temps.
2 Références normatives
Il n’y a aucune référence normative.
NOTE La présente partie de l’ISO 15489 a été élaborée comme une ressource qui se suffit à elle-même, c’est-
à-dire qu’aucun document n’est indispensable à son application.
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions suivants s’appliquent.
3.1
accès
droit, modalités et moyens de recherche, d’exploitation ou de récupération de l’information
3.2
activité
tâche principale exécutée par une entité organisationnelle dans le cadre d’une fonction (3.11)
3.3
acteur
personne, groupe de travail ou organisme responsable ou impliqué dans la création d’un document
d’activité, sa capture et/ou dans les processus liés à la gestion des documents d’activité
[SOURCE: ISO 23081-1:2006, 3.1]
Note 1 à l’article: Des outils technologiques tels que des applications logicielles peuvent être considérés comme
des acteurs s’ils exécutent régulièrement des processus liés aux documents d’activité.
3.4
plan de classement fonctionnel
outil permettant de relier les documents d’activité à leur contexte de création
3.5
classement
identification systématique et/ou classement des activités et/ou des documents d’activité en catégories
suivant des conventions et méthodes structurées logiquement, ainsi que des règles de procédures
3.6
conversion
processus consistant à changer le format des documents d’activité
3.7
destruction
action d’éliminer ou de supprimer un document d’activité de façon irréversible
3.8
sort final
série de processus associés à la mise en œuvre des décisions de conservation, de destruction (3.7) ou
de transfert des documents d’activité, telles qu’explicitées dans le référentiel de gestion des documents
d’activité (3.9) ou tout autre outil de référence
3.9
référentiel de gestion des documents d’activité
règles de conservation
outil définissant les sorts finaux (3.8) autorisées pour les documents d’activité indiqués
3.10
preuve
information ou document prouvant une opération (3.18)
[SOURCE: ISO 30300:2011, 3.1.5]
Note 1 à l’article: Preuve d’une opération dont il peut être démontré qu’elle a été créée dans le cadre normal de
la conduite de l’activité de l’organisme et qu’elle est intacte et complète. Ne se limite pas au sens légal du terme.
3.11
fonction
ensemble d’activités qui assure les principales responsabilités en vue d’atteindre les objectifs
stratégiques d’une entité organisationnelle
3.12
métadonnées de gestion des documents d’activité
informations structurées ou semi-structurées, qui permettent la création, la gestion et l’utilisation de
documents d’activités dans le temps, au sein de divers domaines et entre ces domaines
[SOURCE: ISO 23081-2:2007, 3.7]
2 © ISO 2016 – Tous droits réservés

3.13
migration
processus de déplacement de documents d’activité d’une configuration matérielle ou logicielle à une
autre sans en modifier le format
[SOURCE: ISO 30300:2011, 3.3.8]
3.14
document(s) d’activité
informations créées, reçues et préservées comme preuve (3.10) et actif par une personne physique ou
morale dans l’exercice de ses obligations légales ou la conduite des opérations (3.18) liées à son activité
3.15
gestion des documents d’activité
champ de l’organisation et de la gestion en charge d’un contrôle efficace et systématique de la création,
de la réception, de la conservation, de l’utilisation et du sort final (3.8) des documents d’activité, y
compris des processus de capture et de préservation de la preuve (3.10) et de l’information liées aux
activités et aux opérations (3.18) sous la forme de documents d’activité
3.16
système documentaire
système d’information qui intègre, organise, gère et rend possible l’accès (3.1) aux documents d’activité
dans le temps
Note 1 à l’article: Un système documentaire peut comporter des éléments techniques tels que des logiciels, qui
peuvent être conçus spécifiquement pour la gestion des documents d’activité ou pour répondre à un autre objectif
organisationnel, et d’éléments non techniques, notamment une politique, des modes opératoires, des personnes
et d’autres acteurs, ainsi que d’une répartition des responsabilités.
3.17
Référentiel de métadonnées
plan logique qui montre les relations entre les éléments de métadonnées, habituellement par
l’établissement de règles d’utilisation et de gestion des métadonnées qui portent en particulier sur la
sémantique, la syntaxe et la condition des valeurs (niveau d’obligation)
[SOURCE: ISO 23081-1:2006, 3.3]
3.18
transaction
opération
la plus petite unité d’un processus (3.19), qui consiste en un échange entre deux ou plusieurs participants
ou systèmes
[SOURCE: ISO/TR 26122:2012, 3.5]
3.19
processus
une ou plusieurs séquences d’activités requises pour produire un résultat conforme aux règles de
gouvernance
[SOURCE: ISO/TR 26122:2012, 3.6]
4 Principes de gestion des documents d’activité
La gestion des documents d’activité s’appuie sur les principes suivants:
a) la création, la capture et la gestion de documents d’activité font partie intégrante de toute activité,
quel qu’en soit le contexte (voir 5.1);
b) quelles que soient leur forme ou leur structure, les documents d’activité constituent des preuves
de l’activité faisant autorité lorsqu’elles possèdent les caractéristiques d’authenticité, de fiabilité,
d’intégrité et d’exploitabilité (voir 5.2.2);
c) les documents d’activité comportent un contenu et des métadonnées décrivant le contexte, le
contenu et la structure des documents d’activité, ainsi que leur gestion dans le temps (voir 5.2.3);
d) les décisions concernant la création, la capture et la gestion des documents d’activité s’appuient sur
l’analyse et l’évaluation des risques des activités, dans leurs contextes opérationnel, juridique et
social (voir Article 7);
e) indépendamment de leur degré d’automatisation, les systèmes de gestion des documents d’activité
permettent l’application des contrôles de documents d’activité et l’exécution des processus de
création, de capture et de gestion des documents d’activité (voir 5.3). Ils sont subordonnés aux
politiques, aux responsabilités, à la surveillance et l’évaluation, et la formation définies en vue de
répondre aux exigences identifiées propres aux documents d’activité (voir Article 6).
Ces principes trouvent leur prolongement dans les concepts, les contrôles et les processus de gestion
des documents d’activité décrits dans les sections ci-après de la présente partie de l’ISO 15489.
5 Documents d’activité et systèmes documentaires
5.1 Généralités
Les documents d’activité constituent à la fois des preuves de l’activité opérationnelle et des actifs
informationnels. Tout ensemble d’information, indépendamment de sa structure et de sa forme, peut
être géré en tant que document d’activité. Ceci inclut l’information sous la forme de document, de
collection de données ou d’autres types d’information numérique ou analogique qui sont créés, capturés
et gérés dans le cadre d’une activité.
La gestion des documents d’activité englobe les actions suivantes:
a) créer et capturer les documents d’activité en vue de répondre aux exigences de preuve de l’activité
opérationnelle;
b) prendre des mesures appropriées pour protéger leur authenticité, leur fiabilité, leur intégrité et leur
exploitabilité ainsi que leur contexte opérationnel et les exigences de gestion évoluant dans le temps.
Dans la gestion des documents d’activité, les métadonnées sont les données décrivant le contexte, le
contenu et la structure des documents d’activité, ainsi que leur gestion dans le temps. Les métadonnées
constituent une composante essentielle de tout document d’activité (voir 5.2.3).
La gestion des documents d’activité est assurée par des systèmes documentaires (voir 5.3).
5.2 Documents d’activité
5.2.1 Généralités
Les documents d’activité peuvent documenter des événements ou des opérations isolés, ou peuvent
constituer des agrégations conçues pour documenter des processus, des activités ou des fonctions.
Il convient qu’indépendamment de leur forme ou de leur structure, les documents d’activité
possèdent des caractéristiques d’authenticité, de fiabilité, d’intégrité et d’exploitabilité (voir 5.2.2)
afin de constituer une preuve des événements de l’activité ou des opérations probants et de satisfaire
entièrement aux exigences professionnelles.
4 © ISO 2016 – Tous droits réservés

5.2.2 Caractéristiques des documents d’activité probants
5.2.2.1 Authenticité
Un document d’activité authentique est un document dont on peut prouver
a) qu’il est bien ce qu’il prétend être,
b) qu’il a été créé ou envoyé par l’acteur qui prétend l’avoir créé ou envoyé, et
c) qu’il a été créé ou envoyé au moment prétendu.
Il convient que les règles, les processus, les politiques et les procédures qui contrôlent la création,
la capture et la gestion des documents d’activité (voir 6.2) soient mis en œuvre et documentés pour
garantir l’authenticité des documents d’activité. Il convient que les créateurs des documents d’activité
soient autorisés et identifiés, (voir 6.3).
5.2.2.2 Fiabilité
Un document d’activité fiable est un document
a) dont le contenu peut être considéré comme la représentation complète et exacte des opérations,
activités ou faits qu’il atteste,
b) sur lequel on peut s’appuyer lors d’opérations ou d’activités ultérieures.
Il convient que les documents d’activité soient créés au moment de l’événement auquel ils se rapportent
ou juste après, par des personnes qui ont une connaissance directe des faits ou par des systèmes utilisés
systématiquement pour réaliser l’opération.
5.2.2.3 Intégrité
L’intégrité d’un document d’activité renvoie au caractère complet et non altéré de son état.
Il convient de protéger un document d’activité contre toute altération non autorisée. Il convient que les
politiques et les procédures de gestion des documents d’activité précisent quels ajouts ou annotations
peuvent être apportés à un document d’activité après sa création, dans quelles circonstances ces ajouts
ou ces annotations peuvent être autorisés et qui est habilité à les appliquer (voir 6.2). Il convient que
toute annotation, tout ajout ou suppression autorisé apporté à un document d’activité soit explicitement
indiqué et traçable.
5.2.2.4 Exploitabilité
Un document d’activité exploitable est un document qui peut être localisé, récupéré, communiqué et
interprété dans une période de temps jugée raisonnable par les parties prenantes.
Il convient qu’un document d’activité exploitable soit relié au processus ou à l’opération à l’origine de
sa création. Il convient que les liens entre les documents d’activité et les opérations associées qu’ils
documentent soient maintenus.
Il convient que les métadonnées d’un document d’activité contribuent à son exploitabilité en fournissant
toute l’information qui peut être nécessaire à sa récupération et sa communication, par exemple des
identifiants, des informations de format ou de stockage (voir 5.2.3).
5.2.3 Métadonnées pour la gestion des documents d’activité
Il convient que les métadonnées pour la gestion des documents d’activité décrivent:
a) le contexte opérationnel;
b) les dépendances et les relations entre documents d’activité et systèmes documentaires;
c) les relations avec les contextes légal et social;
d) les relations avec les acteurs qui créent, gèrent et utilisent les documents d’activité.
Certaines des métadonnées d’un document d’activité proviennent de ou sont attribuées au moment où
le document d’activité est créé ou capturé et ne changent pas. Il s’agit de métadonnées de documents
d’activité dites «du point de capture».
Les métadonnées relatives à des actions réalisées sur le document d’activité et à d’autres événements
de la vie du document, y compris les acteurs qui y participent, continuent de croître dans le temps au fur
et à mesure de l’utilisation et de la gestion du document d’activité. Il s’agit de métadonnées de processus
liées aux documents d’activité.
Puisque les métadonnées s’accumulent dans le temps, elles documentent collectivement, entre autres
choses, la provenance d’un document d’activité.
Il convient que les métadonnées d’un document d’activité soient elles-mêmes gérées comme un
document d’activité, en ce qu’il convient de les protéger contre toute perte ou suppression non
autorisée et de les conserver ou de les détruire (voir 9.9) conformément aux exigences identifiées dans
le processus d’évaluation (voir Article 7). Il convient de contrôler l’accès aux métadonnées en utilisant
les règles d’accès et d’habilitation en vigueur (voir 8.4).
Le contenu d’un document d’activité et les métadonnées qui lui sont associées peuvent être gérés
soit dans des emplacements et des systèmes multiples, mais coexistants, soit dans un emplacement
et un système uniques. Les relations logiques, ou liens, entre le contenu d’un document d’activité et
les métadonnées qui lui sont associées peuvent être créées et préservées en utilisant des processus
automatisés ou manuels.
Il convient que les métadonnées des documents d’activité consistent en un enregistrement des
informations portant sur:
a) la description du contenu du document d’activité;
b) la structure du document d’activité (par exemple, sa forme, son format et les relations entre ses
composantes constitutives);
c) le contexte opérationnel dans lequel le document d’activité a été créé ou reçu et utilisé;
d) les relations avec d’autres documents d’activité et d’autres métadonnées;
e) les identifiants et autres informations nécessaires à sa récupération et à sa communication, comme
les informations de format ou de stockage;
f) les actions et les événements affectant le document d’activité tout au long de son existence (en
incluant la date et l’heure des actions, les changements apportés aux métadonnées et les acteurs
entreprenant ces actions).
Les documents d’activité qui ne possèdent pas de telles métadonnées ne peuvent pas être considérés
comme des documents d’activité probants (voir 5.2.2).
Des métadonnées supplémentaires peuvent être nécessaires en fonction des exigences juridiques et des
normes du secteur d’activité, ainsi que des exigences spécifiques à l’activité définies durant l’évaluation
(voir Article 7).
Il convient de décrire et de documenter les métadonnées des documents d’activité, dans des référentiels
de métadonnées (voir 8.2). Il convient que l’élaboration des référentiels de métadonnées tienne compte
des résultats de l’évaluation du ou des secteurs d’activité auxquels ils s’appliquent (voir Article 7).
6 © ISO 2016 – Tous droits réservés

5.3 Systèmes documentaires
5.3.1 Généralités
Les systèmes documentaires comprennent un certain nombre d’éléments qui sont combinés de manière
à pouvoir satisfaire, dans un environnement opérationnel donné, aux exigences (voir 7.4) concernant les
documents d’activité qui ont été identifiées . Il convient que les systèmes documentaires
a) contrôlent les documents d’activité (voir Article 8),
b) exécutent des processus de création, de capture et de gestion des documents d’activité (voir
Article 9), et
c) assurent la création et la préservation des relations logiques entre le contenu des documents
d’activité et les métadonnées de ces documents d’activité. (voir 5.2.3).
Il convient que la conception et la mise en œuvre des systèmes documentaires prennent en compte
le contexte opérationnel (voir 7.3) et les exigences relatives aux documents d’activité qui ont été
identifiées (voir 7.4), et qu’elles répondent aux objectifs suivants:
a) conformité aux caractéristiques des systèmes documentaires énumérées en 5.3.2;
b) interopérabilité pour favoriser l’interaction avec d’autres systèmes et la souplesse dans l’utilisation
des contrôles de documents d’activité;
c) facilité d’utilisation et de réutilisation des documents d’activité;
d) capacité à supporter les changements technologiques ou opérationnels, tels que ceux entraînés par
l’actualisation des systèmes ou une restructuration administrative;
e) capacité à gérer les interruptions opérationnelles et la continuité de l’activité en cas de perturbations
inopinées.
Les systèmes documentaires peuvent être conçus spécifiquement pour la gestion des documents
d’activité ou peuvent être des systèmes conçus pour d’autres processus opérationnels et qui sont
adaptés en vue de leur permettre de concourir à la création, à la capture et à la gestion des documents
d’activité.
Le caractère probant des documents d’activité repose sur le fait qu’ils sont gérés par des systèmes
documentaires fiables, sûrs, conformes, exhaustifs et systématiques (voir 5.3.2).
5.3.2 Caractéristiques des systèmes documentaires
5.3.2.1 Fiabilité
Il convient que les systèmes documentaires soient capables d’assurer un fonctionnement continu et
régulier conforme à la politique et aux procédures validées. Il convient que les systèmes documentaires
a) intègrent automatiquement les documents d’activité relevant du champ d’activité qu’ils doivent
couvrir,
b) soient systématiquement la source d’information principale probante concernant les activités
décrites dans les documents d’activité,
c) permettent la participation de tous les acteurs autorisés,
d) présentent les documents d’activité sous une forme exploitable,
e) permettent l’accès en temps voulu aux documents d’activité,
f) protègent les documents d’activité de toute utilisation, altération, dissimulation ou suppression
non autorisées,
g) stockent les documents d’activité aussi longtemps que nécessaire,
h) fournissent, si besoin, des mécanismes d’importation (ou autre forme d’incorporation) des
documents d’activité et des métadonnées dans le système ou leur exportation d’un système à un
autre, et
i) autorisent la mise en œuvre du sort final prévu pour les documents d’activité.
Il convient de documenter la fiabilité des systèmes documentaires en créant et en conservant
des documents d’activité de leurs opérations et procédures et, le cas échéant, de leurs procédés
technologiques. Il convient que les métadonnées de processus liées aux documents d’activité (voir 5.2.3)
démontrent également la fiabilité du ou des systèmes dans lesquels elles sont gérées.
5.3.2.2 Sécurité
Il convient de mettre en œuvre des mesures telles que des contrôles, une surveillance des accès, la
validation des acteurs et des autorisations de destruction afin d’empêcher tout accès, toute altération,
dissimulation ou destruction non autorisés des documents d’activité. Il convient d’enregistrer dans les
métadonnées de processus du document d’activité les informations relatives aux contrôles qui ont été
appliqués au document d’activité, ainsi que la date et l’heure de leur application (voir 5.2.3).
En fonction du risque associé à l’activité concernée par les documents d’activité, il convient d’enregistrer
en tant que métadonnées de processus tout incident de sécurité affectant les documents d’activité.
Il convient que les mesures organisationnelles de sécurité de l’information et de continuité de l’activité
incluent les mesures liées aux systèmes documentaires.
5.3.2.3 Conformité
Il convient de gérer les systèmes documentaires conformément aux exigences liées aux besoins
opérationnels de l’organisme, aux attentes de la communauté ou de la société et à l’environnement
juridique et réglementaire (voir 7.4). Il convient d’évaluer régulièrement la conformité des systèmes
documentaires à ces exigences. (Voir 6.4). Il convient de conserver les documents d’activité associés à
ces évaluations.
5.3.2.4 Exhaustivité
Il convient que les systèmes documentaires soient à même de gérer tous les documents d’activité requis
de l’ensemble des activités opérationnelles auxquels ils se rapportent (voir 7.4).
Il convient que les systèmes documentaires soient à même de gérer les documents d’activité créés, avec
l’ensemble des technologies utilisées dans le domaine d’activité auquel ils se rapportent.
5.3.2.5 Caractère systématique
Il convient de systématiser la création, la capture et la gestion des documents d’activités par le biais
de la conception et du fonctionnement automatique des systèmes documentaires (voir 5.3), et par le
respect des politiques et des procédures validées (voir Article 6).
6 Politiques et responsabilités
6.1 Généralités
Il convient que les politiques et les responsabilités permettent de répondre aux exigences de création,
de capture et de gestion des documents d’activité, ainsi que de conception, d’utilisation et de gestion
des systèmes documentaires.
8 © ISO 2016 – Tous droits réservés

Afin de garantir que les systèmes documentaires répondent aux exigences identifiées en matière de
gestion des documents d’activité (voir 7.4), il convient que les politiques et les responsabilités prévoient
des instructions et des autorisations pour:
a) les créateurs de documents d’activité;
b) les personnes impliquées dans la gestion des documents d’activité;
c) les autres utilisateurs des systèmes documentaires.
Il convient que les politiques soient étayées par des procédures fournissant des instructions plus
spécifiques quant à la création, la capture et la gestion des documents d’activité.
Il convient de mettre en place des mesures de surveillance et d’évaluation de la performance pour
déterminer si les exigences identifiées en matière de gestion des documents d’activité sont satisfaites
et, si ce n’est pas le cas, à quel niveau il est nécessaire d’entreprendre un travail de correction (voir 6.4).
Il convient que les politiques, les procédures et le fonctionnement des systèmes documentaires soient
soutenus par une formation (voir 6.5).
6.2 Politiques
Il convient d’élaborer, de documenter et de mettre en œuvre des politiques sur la gestion des documents
d’activité. Il convient que les politiques découlent des objectifs de l’activité et qu’elles soient étayées par
les règles ou les procédures opérationnelles de gestion des documents d’activité.
Il convient que l’élaboration des politiques repose sur la compréhension du contexte
...