SIST ISO 30302:2023
(Main)Information and documentation -- Management systems for records -- Guidelines for implementation
Information and documentation -- Management systems for records -- Guidelines for implementation
This document gives guidance for the implementation of an MSR in accordance with ISO 30301. This document is intended to be used in conjunction with ISO 30301. It describes the activities to be undertaken when designing, implementing and monitoring an MSR.
This document is intended to be used by any organization, or across organizations, implementing an MSR. It is applicable to all types of organization (e.g. commercial enterprises, government agencies, non-profit organizations) of all sizes. This document is intended to be used by those responsible for leading the implementation and maintenance of the MSR. It can also help top management in making decisions on the establishment, scope and implementation of management systems in their organization.
Information et documentation -- Systèmes de gestion des documents d'activité -- Lignes directrices de mise en oeuvre
Le présent document fournit des recommandations pour la mise en œuvre d'un Système de Gestion des Documents d'Activité (SGDA) conforme à l'ISO 30301. Le présent document est destiné à être utilisé conjointement avec l'ISO 30301. Il décrit les activités à entreprendre pour concevoir, mettre en œuvre et contrôler un SGDA.
Le présent document est destiné à être utilisé par un organisme ou plusieurs organismes mettant en œuvre un SGDA. Il est applicable à tous les types d'organismes (par exemple, entreprises commerciales, organismes publics, organismes à but non lucratif) de toutes tailles. Le présent document est destiné à être utilisé par les personnes responsables de la mise en œuvre et de la maintenance des SGDA de l'organisme. Il aide également la direction à prendre des décisions en matière d'instauration, de définition du domaine d'application et de mise en œuvre des systèmes de gestion de l'organisme.
Informatika in dokumentacija - Sistemi za upravljanje zapisov - Smernice za uvedbo
Ta dokument podaja smernice za uvedbo sistemov za upravljanje zapisov v skladu s standardom ISO 30301. Uporabljati ga je treba v povezavi s standardom ISO 30301. Opisuje dejavnosti, ki jih je treba izvesti pri načrtovanju, uvajanju in spremljanju sistema za upravljanje zapisov.
Dokument naj bi uporabljala katera koli organizacija ali več organizacij, ki uvajajo sistem za upravljanje zapisov. Uporablja se za vse vrste organizacij (npr. komercialna podjetja, vladne agencije, neprofitne organizacije) vseh velikosti. Namenjen je tistim, ki so odgovorni za vodenje izvajanja in vzdrževanja sistemov za upravljanje zapisov. Pomaga lahko tudi najvišjemu vodstvu pri sprejemanju odločitev o vzpostavitvi, obsegu in uvedbi sistemov upravljanja v njihovi organizaciji.
General Information
Relations
Buy Standard
Standards Content (Sample)
SLOVENSKI STANDARD
SIST ISO 30302:2023
01-januar-2023
Nadomešča:
SIST ISO 30302:2017
Informatika in dokumentacija - Sistemi za upravljanje zapisov - Smernice za
uvedbo
Information and documentation -- Management systems for records -- Guidelines for
implementation
Information et documentation -- Systèmes de gestion des documents d'activité -- Lignes
directrices de mise en oeuvre
Ta slovenski standard je istoveten z: ISO 30302:2022
ICS:
01.140.20 Informacijske vede Information sciences
03.100.70 Sistemi vodenja Management systems
SIST ISO 30302:2023 en,fr
2003-01.Slovenski inštitut za standardizacijo. Razmnoževanje celote ali delov tega standarda ni dovoljeno.
---------------------- Page: 1 ----------------------
SIST ISO 30302:2023
---------------------- Page: 2 ----------------------
SIST ISO 30302:2023
INTERNATIONAL ISO
STANDARD 30302
Second edition
2022-05
Information and documentation —
Management systems for records —
Guidelines for implementation
Information et documentation — Systèmes de gestion des documents
d'activité — Lignes directrices de mise en oeuvre
Reference number
ISO 30302:2022(E)
© ISO 2022
---------------------- Page: 3 ----------------------
SIST ISO 30302:2023
ISO 30302:2022(E)
COPYRIGHT PROTECTED DOCUMENT
© ISO 2022
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting on
the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address below
or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii
© ISO 2022 – All rights reserved
---------------------- Page: 4 ----------------------
SIST ISO 30302:2023
ISO 30302:2022(E)
Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Context of the organization .1
4.1 Understanding the organization and its context . 1
4.1.1 General . 1
4.1.2 Records requirements . 3
4.2 Understanding the needs and expectations of interested parties . 5
4.3 Determining the scope of the MSR . 6
4.4 Management system for records . 6
5 Leadership . 7
5.1 Leadership and commitment . 7
5.2 Policy . 8
5.3 Organizational roles, responsibilities and authorities . 9
6 Planning .10
6.1 Actions to address risks and opportunities . 10
6.2 Records objectives and planning to achieve them .12
7 Support .13
7.1 Resources . 13
7.2 Competence . 14
7.3 Awareness . 15
7.4 Communication . 16
7.5 Documented information . 17
7.5.1 General . 17
7.5.2 Creating and updating . 19
7.5.3 Control of documented information . 19
8 Operation .20
8.1 Operational planning and control . 20
8.2 Determining records to be created . 20
8.3 Designing and implementing records processes, controls and systems . 21
9 Performance evaluation .23
9.1 Monitoring, measurement, analysis and evaluation . . 23
9.2 Internal audit . 24
9.3 Management review .25
10 Improvement .26
10.1 Nonconformity and corrective actions . 26
10.2 Continual improvement . 27
Annex A (informative) Example of implementation of ISO 30301:2019, Annex A
requirements .29
Bibliography .33
iii
© ISO 2022 – All rights reserved
---------------------- Page: 5 ----------------------
SIST ISO 30302:2023
ISO 30302:2022(E)
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of
any patent rights identified during the development of the document will be in the Introduction and/or
on the ISO list of patent declarations received (see www.iso.org/patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO's adherence to
the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT), see
www.iso.org/iso/foreword.html.
This document was prepared by Technical Committee ISO/TC 46, Information and documentation,
Subcommittee SC 11, Archives/records management.
This second edition cancels and replaces the first edition (ISO 30302:2015), which has been technically
revised.
The main changes are as follows:
— alignment with the new edition of ISO 30301 (ISO 30301:2019);
— modification of Annex A.
Any feedback or questions on this document should be directed to the user’s national standards body. A
complete listing of these bodies can be found at www.iso.org/members.html.
iv
© ISO 2022 – All rights reserved
---------------------- Page: 6 ----------------------
SIST ISO 30302:2023
ISO 30302:2022(E)
Introduction
This document has been developed to assist users to apply the management system for records
requirements of ISO 30301. ISO 30301 specifies the requirements for a management system for records
(MSR) where an organization needs to demonstrate its ability to create and control information created,
received and maintained as evidence and as an asset by an organization, in pursuit of legal obligations
or in the course of conducting business.
The purpose of this document is to provide practical guidance on how to implement a management
system for records (MSR) within an organization in accordance with ISO 30301. This document covers
what is needed to establish and maintain an MSR. This document does not modify and/or reduce the
requirements specified in ISO 30301. An activity or documenting an activity is considered mandatory
only when it is required in ISO 30301.
The implementation of an MSR is generally executed as a project. An MSR can be implemented in
organizations with existing records systems or programmes to review and improve the management
of those systems or programmes or in organizations planning to implement a systematic and verifiable
approach to records creation and control for the first time. Guidance described in this document can
be used in both situations. An MSR can be an advisable option for addressing legal or technological
uncertainty in some cases.
It is assumed that organizations that decide to implement an MSR have made a preliminary assessment of
their existing records and records systems and have identified risks to be addressed and opportunities
for major improvements. For example, the decision to implement an MSR can be taken as a risk-
reduction measure for undertaking a major information technology platform change or outsourcing
business processes identified as high risk. Alternatively, the MSR can provide a standardized
management framework for major improvements such as integrating records processes with specific
business processes or improving control and management of records of online transactions or business
use of social media.
The use of this document is necessarily flexible. It depends on the size, nature and complexity of the
organization and the level of maturity of the MSR, if one is already in place. Each organization's context
and complexity are unique and its specific contextual requirements will drive the MSR implementation.
Smaller organizations will find that the activities described in this document can be simplified. Large or
complex organizations can find that a layered management system is needed to implement and manage
the activities in this document effectively.
Guidance in this document follows the same structure as ISO 30301, describing the activities to be
undertaken to meet the requirements of ISO 30301 and how to document those activities.
Clause 4 deals with how to perform the context analysis needed to implement an MSR. From this
analysis, the scope of the MSR is defined and the relationship between implementing an MSR and other
management systems is identified.
Clause 5 explains leadership and how to gain the commitment of top management. The commitment is
expressed in a records policy and the assignment of responsibilities and authorities.
Clause 6 deals with planning the implementation of the MSR and adopting records objectives, which is
informed by high-level risk analysis, the contextual analysis (see Clause 4), and the resources available
(see Clause 7).
Clause 7 outlines the support needed for the MSR, such as resources, competence, awareness,
communication, and documented information.
Clause 8 deals with defining or reviewing and planning the operational level. It includes the analysis
to determine records to be created (see 8.2) and the design and implementation of records processes,
controls and systems. It draws on the contextual requirements and scope (see Clause 4) and is based on
the records policy (see 5.2), the risk analysis (see 6.1) and resources needed (see 7.1) to meet the records
objectives (see 6.2) in the planned implementation. Clause 8 explains how to implement requirements
in ISO 30301:2019, Annex A.
v
© ISO 2022 – All rights reserved
---------------------- Page: 7 ----------------------
SIST ISO 30302:2023
ISO 30302:2022(E)
Clauses 9 and 10 deal with performance evaluation and improvement against planning, objectives and
requirements defined in ISO 30301.
For each of the Clauses 4 to 10 of ISO 30301:2019, this document provides the following:
a) the activities necessary to meet the requirements of ISO 30301 – activities can be done sequentially,
while some will need to be done simultaneously;
b) inputs to the activities – these are the starting points and can be outputs from previous activities;
c) outputs of the activities – these are the results or deliverables, with special mention to mandatory
documented information, on completion of the activities.
The concepts of how to design the operational records processes are based on the principles established
by ISO 15489-1. Other documents developed by ISO/TC 46/SC 11 are the principal tools for designing,
implementing, monitoring and improving records processes, controls and systems, and can be used in
conjunction with this document for implementing the detailed operational elements of the MSR.
Organizations that have already implemented ISO 15489-1 can use this document to develop an
organizational infrastructure for managing records under the systematic and verifiable approach of
the MSR.
vi
© ISO 2022 – All rights reserved
---------------------- Page: 8 ----------------------
SIST ISO 30302:2023
INTERNATIONAL STANDARD ISO 30302:2022(E)
Information and documentation — Management systems
for records — Guidelines for implementation
1 Scope
This document gives guidance for the implementation of an MSR in accordance with ISO 30301.
This document is intended to be used in conjunction with ISO 30301. It describes the activities to be
undertaken when designing, implementing and monitoring an MSR.
This document is intended to be used by any organization, or across organizations, implementing an
MSR. It is applicable to all types of organization (e.g. commercial enterprises, government agencies, non-
profit organizations) of all sizes. This document is intended to be used by those responsible for leading
the implementation and maintenance of the MSR. It can also help top management in making decisions
on the establishment, scope and implementation of management systems in their organization.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content
constitutes requirements of this document. For dated references, only the edition cited applies. For
undated references, the latest edition of the referenced document (including any amendments) applies.
ISO 30300, Information and documentation — Records management — Core concepts and vocabulary
ISO 30301, Information and documentation — Management systems for records — Requirements
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO 30300 and ISO 30301 apply.
ISO and IEC maintain terminology databases for use in standardization at the following addresses:
— ISO Online browsing platform: available at https:// www .iso .org/ obp
— IEC Electropedia: available at https:// www .electropedia .org/
4 Context of the organization
4.1 Understanding the organization and its context
4.1.1 General
The context of the organization should determine and drive the implementation and improvement of
an MSR. The requirements of this clause are intended to ensure the organization has considered its
context and needs as part of the implementation of an MSR. The first part of this analysis is to determine
internal and external issues relevant to the purpose of the MSR and how they affect its ability to achieve
the intended outcome.
The contextual analysis can be used to define the scope of the MSR (see 4.3). However, if the top
management determines the scope of the MSR as the starting point, before identifying contextual
issues, then the extent of the contextual analysis is defined by the scope.
1
© ISO 2022 – All rights reserved
---------------------- Page: 9 ----------------------
SIST ISO 30302:2023
ISO 30302:2022(E)
Contextual information should be from a reliable source that is accurate, up-to-date and complete.
Regular review of the sources of this information ensures the accuracy and reliability of the contextual
analysis.
Examples of important issues in identifying how the external context affects the MSR are:
a) how the complexity of the organization’s structure, business and legislative environment will affect
records policy, processes, systems and controls;
b) how a competitive market affects the need to demonstrate efficient processes.
Examples of internal issues effecting the MSR are:
1) how laws, regulations, policies, standards and codes affect the design of records processes, systems
and controls;
2) how the skills and competencies within the organization can affect the need for training or external
assistance;
3) how the organizational culture can affect compliance with the requirements of the MSR;
4) how the information technology infrastructure and information architecture can affect the
availability of records systems or records;
5) how rules already implemented can affect the design of the MSR; and
6) how contractual relationships affect records retention decisions or information access decisions.
Sources of information about the organization’s external context can include the following:
— laws, regulations, standards, codes of practice, rules of industry regulators, corporate governance
rules, and directives;
— the litigation profile of the organization and regulatory action affecting the organization;
— economic, financial or environmental analyses from government or industry analysts; and
— media reports.
Sources of information about the organization’s internal context can include the following:
— key corporate documents such as policies, strategies, business plans, annual reports;
— audit reports;
— organizational structure, definition of roles, responsibilities and delegations;
— internal standards, guidelines, codes;
— business process maps or descriptions;
— skills assessments;
— information systems inventories;
— information or data models;
— risk analyses;
— information security framework;
— contextual analyses from implementation of other management systems standards;
— project management methodologies;
2
© ISO 2022 – All rights reserved
---------------------- Page: 10 ----------------------
SIST ISO 30302:2023
ISO 30302:2022(E)
— procurement and contracting models; and
— an understanding of organizational culture (which may not be documented).
Depending on the organization, the identification of internal and external issues can have been
performed for other purposes, including the implementation of other management system standards.
In such cases, a new analysis will possibly not be needed, and an adaptation will suffice.
The contextual analysis is a continual process. It informs the establishment and systematic evaluation
of the MSR (see Clause 9) and supports the cycle of continuous improvement (see Clause 10).
Output
There is no specific requirement to document the results of the analysis, but the organization can
decide to include this in a:
— list of internal and external issues affecting the MSR;
— chapter in a manual or project plan for implementing the MSR;
— chapter in a manual of an integrated management system (including more than one standard);
— formal report on the analysis of the organization’s internal and external context and how it affects
and is affected by the MSR; and
— series of documents about the context of the organization.
4.1.2 Records requirements
Based on the analysis described in 4.1.1 as the starting point, the business needs for records and the
requirements for their creation, capture and management are assessed in relation to the business
functions. ISO 30301 requires documenting both business needs and records requirements.
NOTE This MSS approach for context analysis and identification of requirements is compatible with the
analysis process (appraisal) proposed by ISO 15489-1 and ISO/TR 21946, which also includes elements of
planning (see Clause 6) and identification of the needs for records (see 8.2).
The records requirements affecting the business operation can be business, legal, regulatory or other
requirements.
Identifying business requirements should take the following into account:
a) the nature of the activities of the organization (e.g. mining, finance, public services, manufacturing,
pharmaceutical, personal services or community services);
b) the particular form or ownership of the organization (e.g. a trust, company, non-profit or
government organization);
c) the particular sector to which the organization belongs (i.e. public or private sector, non-profit);
d) the jurisdiction(s) in which the organization operates;
e) planning of future accomplishments and development of business; and
f) risk management and continuity planning.
Examples of business needs for records are as follows:
— requirements to create records to execute or complete specific processes (including web-based
transactions, as well as, but not restricted to, business transaction in emerging technologies such as
social media, mobile computing and cloud computing);
— requirements to create records for financial/operational reporting and control;
3
© ISO 2022 – All rights reserved
---------------------- Page: 11 ----------------------
SIST ISO 30302:2023
ISO 30302:2022(E)
— requirements to create records for internal and external reporting;
— requirements to create records to control and monitor outsourced services or processes;
— requirements to create records for analysis and planning;
— requirements to create records to provide information about the organization’s activities to specific
stakeholders, such as shareholders or clients; and
— requirements to create records that explain the conclusions and decisions made automatically by
artificial intelligence, machine learning, big data or similar algorithms.
Business requirements should be identified from the performance of current business processes and
also from the perspective of future planning and development. Special attention is needed when the
organization is implementing:
— automated processes,
— new and emerging technologies [e.g. cloud, mobile, artificial intelligence (AI), machine learning, big
data, internet of things (IoT), blockchain and distributed ledger technologies (DLT), etc.],
— freedom of information (FOI) and government transparency programs, and
— personal identifiable information (PII) protection measures.
In these cases, requirements can change and need to be discussed with the people responsible for the
development and implementation of the proposed new processes.
Examples of the business requirements are as follows:
— requirements to control and access records required in different locations and over specified
periods of time;
— requirements as to what evidence is needed of access to, and use of records (e.g. personal data); and
— requirements to share and re-use information contained in records.
Determining all of the mandatory legal and regulatory requirements applicable to the organization
includes reviewing:
1) general statute and case law;
2) sector-related laws and regulations;
3) privacy and other records and data management legislation;
4) regulation of information security; and
5) legislation for electronic commerce.
Other requirements can come from voluntary standards, codes of best practice, conduct and ethics, and
other sources For example, the documented information requirements of other management systems
standards.
Output
Documentation of the identification of the business needs of records, and the identification of records
requirements is mandatory in order to conform with ISO 30301. Requirements can be documented all
together or in separate documents by type of requirement. Examples of the kind of documentation are
as follows:
— a list of requirements identified by type (e.g. business, legislative);
— a chapter in a manual or project plan for implementing the MSR;
4
© ISO 2022 – All rights reserved
---------------------- Page: 12 ----------------------
SIST ISO 30302:2023
ISO 30302:2022(E)
— a formal report on identification of requirements for the MSR;
— a list of all applicable laws and regulations related to the creation and control of records; and
— a set of legal precedents on particular subject matters relevant to the organization.
4.2 Understanding the needs and expectations of interested parties
The results of the analysis described in 4.1 should help to determine the interested parties that are
relevant to the MSR as well as their requirements.
Examples of interested parties are as follows:
— employees;
— customers;
— investors;
— suppliers;
— regulators;
— competitors;
— trade and professional associations;
— aca
...
INTERNATIONAL ISO
STANDARD 30302
Second edition
2022-05
Information and documentation —
Management systems for records —
Guidelines for implementation
Information et documentation — Systèmes de gestion des documents
d'activité — Lignes directrices de mise en oeuvre
Reference number
ISO 30302:2022(E)
© ISO 2022
---------------------- Page: 1 ----------------------
ISO 30302:2022(E)
COPYRIGHT PROTECTED DOCUMENT
© ISO 2022
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting on
the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address below
or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii
© ISO 2022 – All rights reserved
---------------------- Page: 2 ----------------------
ISO 30302:2022(E)
Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Context of the organization .1
4.1 Understanding the organization and its context . 1
4.1.1 General . 1
4.1.2 Records requirements . 3
4.2 Understanding the needs and expectations of interested parties . 5
4.3 Determining the scope of the MSR . 6
4.4 Management system for records . 6
5 Leadership . 7
5.1 Leadership and commitment . 7
5.2 Policy . 8
5.3 Organizational roles, responsibilities and authorities . 9
6 Planning .10
6.1 Actions to address risks and opportunities . 10
6.2 Records objectives and planning to achieve them .12
7 Support .13
7.1 Resources . 13
7.2 Competence . 14
7.3 Awareness . 15
7.4 Communication . 16
7.5 Documented information . 17
7.5.1 General . 17
7.5.2 Creating and updating . 19
7.5.3 Control of documented information . 19
8 Operation .20
8.1 Operational planning and control . 20
8.2 Determining records to be created . 20
8.3 Designing and implementing records processes, controls and systems . 21
9 Performance evaluation .23
9.1 Monitoring, measurement, analysis and evaluation . . 23
9.2 Internal audit . 24
9.3 Management review .25
10 Improvement .26
10.1 Nonconformity and corrective actions . 26
10.2 Continual improvement . 27
Annex A (informative) Example of implementation of ISO 30301:2019, Annex A
requirements .29
Bibliography .33
iii
© ISO 2022 – All rights reserved
---------------------- Page: 3 ----------------------
ISO 30302:2022(E)
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of
any patent rights identified during the development of the document will be in the Introduction and/or
on the ISO list of patent declarations received (see www.iso.org/patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO's adherence to
the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT), see
www.iso.org/iso/foreword.html.
This document was prepared by Technical Committee ISO/TC 46, Information and documentation,
Subcommittee SC 11, Archives/records management.
This second edition cancels and replaces the first edition (ISO 30302:2015), which has been technically
revised.
The main changes are as follows:
— alignment with the new edition of ISO 30301 (ISO 30301:2019);
— modification of Annex A.
Any feedback or questions on this document should be directed to the user’s national standards body. A
complete listing of these bodies can be found at www.iso.org/members.html.
iv
© ISO 2022 – All rights reserved
---------------------- Page: 4 ----------------------
ISO 30302:2022(E)
Introduction
This document has been developed to assist users to apply the management system for records
requirements of ISO 30301. ISO 30301 specifies the requirements for a management system for records
(MSR) where an organization needs to demonstrate its ability to create and control information created,
received and maintained as evidence and as an asset by an organization, in pursuit of legal obligations
or in the course of conducting business.
The purpose of this document is to provide practical guidance on how to implement a management
system for records (MSR) within an organization in accordance with ISO 30301. This document covers
what is needed to establish and maintain an MSR. This document does not modify and/or reduce the
requirements specified in ISO 30301. An activity or documenting an activity is considered mandatory
only when it is required in ISO 30301.
The implementation of an MSR is generally executed as a project. An MSR can be implemented in
organizations with existing records systems or programmes to review and improve the management
of those systems or programmes or in organizations planning to implement a systematic and verifiable
approach to records creation and control for the first time. Guidance described in this document can
be used in both situations. An MSR can be an advisable option for addressing legal or technological
uncertainty in some cases.
It is assumed that organizations that decide to implement an MSR have made a preliminary assessment of
their existing records and records systems and have identified risks to be addressed and opportunities
for major improvements. For example, the decision to implement an MSR can be taken as a risk-
reduction measure for undertaking a major information technology platform change or outsourcing
business processes identified as high risk. Alternatively, the MSR can provide a standardized
management framework for major improvements such as integrating records processes with specific
business processes or improving control and management of records of online transactions or business
use of social media.
The use of this document is necessarily flexible. It depends on the size, nature and complexity of the
organization and the level of maturity of the MSR, if one is already in place. Each organization's context
and complexity are unique and its specific contextual requirements will drive the MSR implementation.
Smaller organizations will find that the activities described in this document can be simplified. Large or
complex organizations can find that a layered management system is needed to implement and manage
the activities in this document effectively.
Guidance in this document follows the same structure as ISO 30301, describing the activities to be
undertaken to meet the requirements of ISO 30301 and how to document those activities.
Clause 4 deals with how to perform the context analysis needed to implement an MSR. From this
analysis, the scope of the MSR is defined and the relationship between implementing an MSR and other
management systems is identified.
Clause 5 explains leadership and how to gain the commitment of top management. The commitment is
expressed in a records policy and the assignment of responsibilities and authorities.
Clause 6 deals with planning the implementation of the MSR and adopting records objectives, which is
informed by high-level risk analysis, the contextual analysis (see Clause 4), and the resources available
(see Clause 7).
Clause 7 outlines the support needed for the MSR, such as resources, competence, awareness,
communication, and documented information.
Clause 8 deals with defining or reviewing and planning the operational level. It includes the analysis
to determine records to be created (see 8.2) and the design and implementation of records processes,
controls and systems. It draws on the contextual requirements and scope (see Clause 4) and is based on
the records policy (see 5.2), the risk analysis (see 6.1) and resources needed (see 7.1) to meet the records
objectives (see 6.2) in the planned implementation. Clause 8 explains how to implement requirements
in ISO 30301:2019, Annex A.
v
© ISO 2022 – All rights reserved
---------------------- Page: 5 ----------------------
ISO 30302:2022(E)
Clauses 9 and 10 deal with performance evaluation and improvement against planning, objectives and
requirements defined in ISO 30301.
For each of the Clauses 4 to 10 of ISO 30301:2019, this document provides the following:
a) the activities necessary to meet the requirements of ISO 30301 – activities can be done sequentially,
while some will need to be done simultaneously;
b) inputs to the activities – these are the starting points and can be outputs from previous activities;
c) outputs of the activities – these are the results or deliverables, with special mention to mandatory
documented information, on completion of the activities.
The concepts of how to design the operational records processes are based on the principles established
by ISO 15489-1. Other documents developed by ISO/TC 46/SC 11 are the principal tools for designing,
implementing, monitoring and improving records processes, controls and systems, and can be used in
conjunction with this document for implementing the detailed operational elements of the MSR.
Organizations that have already implemented ISO 15489-1 can use this document to develop an
organizational infrastructure for managing records under the systematic and verifiable approach of
the MSR.
vi
© ISO 2022 – All rights reserved
---------------------- Page: 6 ----------------------
INTERNATIONAL STANDARD ISO 30302:2022(E)
Information and documentation — Management systems
for records — Guidelines for implementation
1 Scope
This document gives guidance for the implementation of an MSR in accordance with ISO 30301.
This document is intended to be used in conjunction with ISO 30301. It describes the activities to be
undertaken when designing, implementing and monitoring an MSR.
This document is intended to be used by any organization, or across organizations, implementing an
MSR. It is applicable to all types of organization (e.g. commercial enterprises, government agencies, non-
profit organizations) of all sizes. This document is intended to be used by those responsible for leading
the implementation and maintenance of the MSR. It can also help top management in making decisions
on the establishment, scope and implementation of management systems in their organization.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content
constitutes requirements of this document. For dated references, only the edition cited applies. For
undated references, the latest edition of the referenced document (including any amendments) applies.
ISO 30300, Information and documentation — Records management — Core concepts and vocabulary
ISO 30301, Information and documentation — Management systems for records — Requirements
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO 30300 and ISO 30301 apply.
ISO and IEC maintain terminology databases for use in standardization at the following addresses:
— ISO Online browsing platform: available at https:// www .iso .org/ obp
— IEC Electropedia: available at https:// www .electropedia .org/
4 Context of the organization
4.1 Understanding the organization and its context
4.1.1 General
The context of the organization should determine and drive the implementation and improvement of
an MSR. The requirements of this clause are intended to ensure the organization has considered its
context and needs as part of the implementation of an MSR. The first part of this analysis is to determine
internal and external issues relevant to the purpose of the MSR and how they affect its ability to achieve
the intended outcome.
The contextual analysis can be used to define the scope of the MSR (see 4.3). However, if the top
management determines the scope of the MSR as the starting point, before identifying contextual
issues, then the extent of the contextual analysis is defined by the scope.
1
© ISO 2022 – All rights reserved
---------------------- Page: 7 ----------------------
ISO 30302:2022(E)
Contextual information should be from a reliable source that is accurate, up-to-date and complete.
Regular review of the sources of this information ensures the accuracy and reliability of the contextual
analysis.
Examples of important issues in identifying how the external context affects the MSR are:
a) how the complexity of the organization’s structure, business and legislative environment will affect
records policy, processes, systems and controls;
b) how a competitive market affects the need to demonstrate efficient processes.
Examples of internal issues effecting the MSR are:
1) how laws, regulations, policies, standards and codes affect the design of records processes, systems
and controls;
2) how the skills and competencies within the organization can affect the need for training or external
assistance;
3) how the organizational culture can affect compliance with the requirements of the MSR;
4) how the information technology infrastructure and information architecture can affect the
availability of records systems or records;
5) how rules already implemented can affect the design of the MSR; and
6) how contractual relationships affect records retention decisions or information access decisions.
Sources of information about the organization’s external context can include the following:
— laws, regulations, standards, codes of practice, rules of industry regulators, corporate governance
rules, and directives;
— the litigation profile of the organization and regulatory action affecting the organization;
— economic, financial or environmental analyses from government or industry analysts; and
— media reports.
Sources of information about the organization’s internal context can include the following:
— key corporate documents such as policies, strategies, business plans, annual reports;
— audit reports;
— organizational structure, definition of roles, responsibilities and delegations;
— internal standards, guidelines, codes;
— business process maps or descriptions;
— skills assessments;
— information systems inventories;
— information or data models;
— risk analyses;
— information security framework;
— contextual analyses from implementation of other management systems standards;
— project management methodologies;
2
© ISO 2022 – All rights reserved
---------------------- Page: 8 ----------------------
ISO 30302:2022(E)
— procurement and contracting models; and
— an understanding of organizational culture (which may not be documented).
Depending on the organization, the identification of internal and external issues can have been
performed for other purposes, including the implementation of other management system standards.
In such cases, a new analysis will possibly not be needed, and an adaptation will suffice.
The contextual analysis is a continual process. It informs the establishment and systematic evaluation
of the MSR (see Clause 9) and supports the cycle of continuous improvement (see Clause 10).
Output
There is no specific requirement to document the results of the analysis, but the organization can
decide to include this in a:
— list of internal and external issues affecting the MSR;
— chapter in a manual or project plan for implementing the MSR;
— chapter in a manual of an integrated management system (including more than one standard);
— formal report on the analysis of the organization’s internal and external context and how it affects
and is affected by the MSR; and
— series of documents about the context of the organization.
4.1.2 Records requirements
Based on the analysis described in 4.1.1 as the starting point, the business needs for records and the
requirements for their creation, capture and management are assessed in relation to the business
functions. ISO 30301 requires documenting both business needs and records requirements.
NOTE This MSS approach for context analysis and identification of requirements is compatible with the
analysis process (appraisal) proposed by ISO 15489-1 and ISO/TR 21946, which also includes elements of
planning (see Clause 6) and identification of the needs for records (see 8.2).
The records requirements affecting the business operation can be business, legal, regulatory or other
requirements.
Identifying business requirements should take the following into account:
a) the nature of the activities of the organization (e.g. mining, finance, public services, manufacturing,
pharmaceutical, personal services or community services);
b) the particular form or ownership of the organization (e.g. a trust, company, non-profit or
government organization);
c) the particular sector to which the organization belongs (i.e. public or private sector, non-profit);
d) the jurisdiction(s) in which the organization operates;
e) planning of future accomplishments and development of business; and
f) risk management and continuity planning.
Examples of business needs for records are as follows:
— requirements to create records to execute or complete specific processes (including web-based
transactions, as well as, but not restricted to, business transaction in emerging technologies such as
social media, mobile computing and cloud computing);
— requirements to create records for financial/operational reporting and control;
3
© ISO 2022 – All rights reserved
---------------------- Page: 9 ----------------------
ISO 30302:2022(E)
— requirements to create records for internal and external reporting;
— requirements to create records to control and monitor outsourced services or processes;
— requirements to create records for analysis and planning;
— requirements to create records to provide information about the organization’s activities to specific
stakeholders, such as shareholders or clients; and
— requirements to create records that explain the conclusions and decisions made automatically by
artificial intelligence, machine learning, big data or similar algorithms.
Business requirements should be identified from the performance of current business processes and
also from the perspective of future planning and development. Special attention is needed when the
organization is implementing:
— automated processes,
— new and emerging technologies [e.g. cloud, mobile, artificial intelligence (AI), machine learning, big
data, internet of things (IoT), blockchain and distributed ledger technologies (DLT), etc.],
— freedom of information (FOI) and government transparency programs, and
— personal identifiable information (PII) protection measures.
In these cases, requirements can change and need to be discussed with the people responsible for the
development and implementation of the proposed new processes.
Examples of the business requirements are as follows:
— requirements to control and access records required in different locations and over specified
periods of time;
— requirements as to what evidence is needed of access to, and use of records (e.g. personal data); and
— requirements to share and re-use information contained in records.
Determining all of the mandatory legal and regulatory requirements applicable to the organization
includes reviewing:
1) general statute and case law;
2) sector-related laws and regulations;
3) privacy and other records and data management legislation;
4) regulation of information security; and
5) legislation for electronic commerce.
Other requirements can come from voluntary standards, codes of best practice, conduct and ethics, and
other sources For example, the documented information requirements of other management systems
standards.
Output
Documentation of the identification of the business needs of records, and the identification of records
requirements is mandatory in order to conform with ISO 30301. Requirements can be documented all
together or in separate documents by type of requirement. Examples of the kind of documentation are
as follows:
— a list of requirements identified by type (e.g. business, legislative);
— a chapter in a manual or project plan for implementing the MSR;
4
© ISO 2022 – All rights reserved
---------------------- Page: 10 ----------------------
ISO 30302:2022(E)
— a formal report on identification of requirements for the MSR;
— a list of all applicable laws and regulations related to the creation and control of records; and
— a set of legal precedents on particular subject matters relevant to the organization.
4.2 Understanding the needs and expectations of interested parties
The results of the analysis described in 4.1 should help to determine the interested parties that are
relevant to the MSR as well as their requirements.
Examples of interested parties are as follows:
— employees;
— customers;
— investors;
— suppliers;
— regulators;
— competitors;
— trade and professional associations;
— academia and researchers;
— communities; and
— nongovernmental organizations.
Each type of interested parties can have different needs and expectations in relation with records.
ISO 30301 provides some general examples which include good governance, transparency, protection
of the legal rights and entitlements, availability of records for research, and the records documenting
significant historical and cultural events. Each organization should make its own analysis and
determine if some or all of them apply.
When addressing the needs and expectations of interested parties, the organization should take into
account:
1) how external interested parties' values or perceptions affect records retention and disposition
decisions or information access decisions;
2) how relationships with internal interested parties, values or perceptions affect the way records
are managed; and
3) how records are made available to interested parties.
Assistance in identifying needs and expectations of interested parties can be obtained f
...
ISO/TC 46/SC 11
Date : 2022-04-01
ISO 30302:2022 (F)
ISO/TC 46/SC 11
2022-05
Secrétariat: SA
Information et documentation — Systèmes de gestion des documents d'activité — Lignes
directrices de mise en œuvre
Information and documentation — Management systems for records — Guidelines for
implementation
ICS : 01.140.20 ; 03.100.70
Type du document: Norme internationale
Sous-type du document:
Stade du document: (60) Publication
Langue du document: F
---------------------- Page: 1 ----------------------
DOCUMENT PROTÉGÉ PAR COPYRIGHT
©
Type du document: Norme internationale
Sous-type du document:
Stade du document: (60) Publication
Langue du document: F
---------------------- Page: 2 ----------------------
ISO 30302:2022(F)
© ISO 2022
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune
partie de cette publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun
procédé, électronique ou mécanique, y compris la photocopie, l’affichageou la diffusion sur l’internetl'internet
ou sur un Intranetintranet, sans autorisation écrite préalable. Les demandes d’autorisation peuventUne
autorisation peut être adresséesdemandée à l’ISOl'ISO à l’adressel'adresse ci-après ou au comité membre de
l’ISOl'ISO dans le pays du demandeur.
ISO copyright officeCopyright Office
CPCase postale 401 • Ch. de Blandonnet 8
• CH-1214 Vernier, Genève
Tél. : : + 41 22 749 01 11
Fax : + 41 22 749 09 47
E-mail : copyright@iso.org
E-mail : copyright@iso.org
Web : www.iso.org
: www.iso.org
Publié en Suisse.
© ISO 2022 – Tous droits réservés
iv
---------------------- Page: 3 ----------------------
ISO 30302:2022(F)
Sommaire Page
Avant-propos . 7
Introduction . 8
1 Domaine d'application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Contexte de l'organisme . 1
4.1 Compréhension de l'organisme et de son contexte . 1
4.2 Compréhension des besoins et attentes des parties intéressées . 5
4.3 Détermination du domaine d'application du SGDA . 7
4.4 Système de gestion des documents d'activité . 7
5 Leadership . 8
5.1 Leadership et engagement . 8
5.2 Politique . 9
5.3 Rôles, responsabilités et autorités au sein de l'organisme . 10
6 Planification . 12
6.1 Actions vis-à-vis des risques et opportunités . 12
6.2 Objectifs concernant les documents d'activité et planification des actions pour les
atteindre . 14
7 Support . 16
7.1 Ressources . 16
7.2 Compétences . 17
7.3 Sensibilisation . 19
7.4 Communication . 19
7.5 Informations documentées . 21
8 Exploitation . 25
8.1 Planification et contrôle opérationnels . 25
8.2 Détermination des documents d'activité devant être créés . 25
8.3 Conception et mise en œuvre des processus, des contrôles et des systèmes
documentaires. 26
9 Évaluation des performances . 29
9.1 Surveillance, mesure, analyse et évaluation . 29
9.2 Audit interne . 30
9.3 Revue de direction . 31
10 Amélioration . 33
10.1 Non-conformité et actions correctives . 33
10.2 Amélioration continue . 34
Annexe A (informative) Exemple d'application des exigences de l'ISO 30301:2019, Annexe A . 36
Bibliographie . 41
Avant-propos . v
Introduction . vi
© ISO 2022 – Tous droits réservés
v
---------------------- Page: 4 ----------------------
ISO 30302:2022(F)
1 Domaine d'application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Contexte de l'organisme . 1
4.1 Compréhension de l'organisme et de son contexte . 1
4.1.1 Généralités . 1
4.1.2 Exigences relatives aux documents d'activité . 3
4.2 Compréhension des besoins et attentes des parties intéressées . 5
4.3 Détermination du domaine d'application du SGDA . 7
4.4 Système de gestion des documents d'activité . 7
5 Leadership . 8
5.1 Leadership et engagement . 8
5.2 Politique . 9
5.3 Rôles, responsabilités et autorités au sein de l'organisme . 10
6 Planification . 12
6.1 Actions vis-à-vis des risques et opportunités . 12
6.2 Objectifs concernant les documents d'activité et planification des actions pour les
atteindre . 14
7 Support . 16
7.1 Ressources . 16
7.2 Compétences . 17
7.3 Sensibilisation . 19
7.4 Communication . 19
7.5 Informations documentées . 21
7.5.1 Généralités . 21
7.5.2 Création et mise à jour . 24
7.5.3 Maîtrise des informations documentées . 24
8 Exploitation . 25
8.1 Planification et contrôle opérationnels . 25
8.2 Détermination des documents d'activité devant être créés . 25
8.3 Conception et mise en œuvre des processus, des contrôles et des systèmes
documentaires . 26
9 Évaluation des performances. 29
9.1 Surveillance, mesure, analyse et évaluation. 29
9.2 Audit interne . 30
9.3 Revue de direction . 31
10 Amélioration . 33
10.1 Non-conformité et actions correctives . 33
10.2 Amélioration continue . 34
Annexe A (informative) Exemple d'application des exigences de l'ISO 30301:2019, Annexe A . 36
Bibliographie . 41
© ISO 2022 – Tous droits réservés
vi
---------------------- Page: 5 ----------------------
ISO 30302:2022(F)
Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes nationaux
de normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est en général
confiée aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude a le droit de faire
partie du comité technique créé à cet effet. Les organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l'ISO participent également aux travaux. L'ISO collabore étroitement avec
la Commission électrotechnique internationale (IEC) en ce qui concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont décrites
dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents critères
d'approbation requis pour les différents types de documents ISO. Le présent document a été rédigé
conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2
(voir www.iso.org/directives www.iso.org/directives).
L'attention est attirée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable de ne
pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant les références
aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de l'élaboration du document
sont indiqués dans l'Introduction et/ou dans la liste des déclarations de brevets reçues par l'ISO
(voir www.iso.org/brevets www.iso.org/brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données pour
information, par souci de commodité, à l'intentionl’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion de
l'ISO aux principes de l'Organisationl’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir le lien suivant : www.iso.org/iso/fr/avant-proposwww.iso.org/avant-
propos.
Le présent document a été élaboré par le comité technique ISO/TC 46, Information et documentation, sous--
comité SC 11, Archives/Gestion des documents d'activité.
Cette deuxième édition annule et remplace la première édition (ISO 30302:2015), qui a fait l'objet d'une
révision technique.
Les principales modifications sont les suivantes :
— harmonisation par rapport à la nouvelle édition de l'ISO 30301 (ISO 30301:2019) ;
— modification de l'Annexe A.
Il convient que l'utilisateurl’utilisateur adresse tout retour d'informationd’information ou toute question
concernant le présent document à l'organismel’organisme national de normalisation de son pays. Une liste
exhaustive desdits organismes se trouve à l'adresse www.iso.org/fr/members.htmll’adresse
www.iso.org/fr/members.html.
© ISO 2022 – Tous droits réservés
vii
---------------------- Page: 6 ----------------------
ISO 30302:2022(F)
Introduction
Le présent document a été élaboré pour aider les utilisateurs à appliquer les exigences d'un système de
gestion des documents d'activité, telles que décrites dans l'ISO 30301. L'ISO 30301 spécifie les exigences
relatives à un système de gestion des documents d'activité (SGDA), lorsqu'un organisme doit démontrer son
aptitude à créer et à contrôler les informations créées, reçues et conservées comme preuves et comme actifs
par un organisme, dans le cadre de ses obligations légales ou de la conduite de ses activités.
Le présent document a pour objet de fournir des recommandations pratiques sur la manière de mettre en
œuvre, au sein d'un organisme, un système de gestion des documents d'activité (SGDA) conforme aux
exigences de l'ISO 30301. Le présent document traite des aspects nécessaires à l'élaboration et à la
maintenance d'un SGDA. Le présent document ne modifie pas et/ou ne restreint pas les exigences spécifiées
dans l'ISO 30301. Une activité ou la documentation d'une activité n'est considérée comme obligatoire que
lorsqu'elle est requise par l'ISO 30301.
La mise en œuvre d'un SGDA est généralement réalisée sous forme de projet. Un SGDA peut être mis en
œuvre dans des organismes possédant déjà des systèmes ou des programmes documentaires pour revoir et
améliorer la gestion de ces systèmes ou de ces programmes, ou bien dans des organismes qui entendent
mettre en œuvre pour la première fois une méthode systématique et vérifiable de création et de contrôle de
documents d'activité. Les recommandations décrites dans le présent document peuvent être utilisées dans
ces deux cas. Dans certains cas, un SGDA peut être une option recommandée pour faire face à l'incertitude
juridique ou technologique.
Il est tenu pour acquis que les organismes qui décident de mettre en œuvre un SGDA ont procédé à une
évaluation préliminaire de leurs documents d'activité et de leurs systèmes documentaires existants et qu'ils
ont identifié les risques devant être traités et les opportunités d'améliorations significatives. Par exemple,
la décision de mettre en œuvre un SGDA peut constituer une mesure de réduction d'un risque engendré par
la modification significative d'une plateforme informatique ou par l'externalisation de processus
opérationnels identifiés comme présentant un risque élevé. Le SGDA peut également fournir un cadre de
gestion normalisé pour la mise en œuvre d'améliorations significatives comme l'intégration des processus
documentaires à des processus opérationnels spécifiques ou l'amélioration du contrôle et de la gestion des
documents d'activité liés aux transactions en ligne ou à l'utilisation des médias sociaux.
L'utilisation du présent document laisse nécessairement place à une certaine souplesse. Elle est fonction de
la taille, de la nature et de la complexité de l'organisme, ainsi que du degré de maturité du SGDA
éventuellement déjà en place. Le contexte et la complexité de chaque organisme sont uniques et les
exigences contextuelles spécifiques de l'organisme conditionneront la mise en œuvre du SGDA. Les
organismes de petite taille s'apercevront que les activités décrites dans le présent document peuvent être
simplifiées. Les organismes de grande taille ou complexes peuvent être amenés à constater qu'un système
de gestion à couches multiples s'avère nécessaire pour mettre en œuvre et gérer efficacement les activités
prévues dans le présent document.
Les recommandations du présent document suivent la même structure que celle de l'ISO 30301 pour décrire
les activités à entreprendre en vue de répondre aux exigences de l'ISO 30301 et la façon de documenter ces
activités.
L'Article 4 explique comment réaliser l'analyse du contexte nécessaire à toute mise en œuvre d'un SGDA.
Cette analyse permet de définir le domaine d'application du SGDA et de déterminer les relations entre la
mise en œuvre d'un SGDA et les autres systèmes de management.
© ISO 2022 – Tous droits réservés
viii
---------------------- Page: 7 ----------------------
ISO 30302:2022(F)
L'Article 5 explique le leadership et comment obtenir l'engagement de la direction. Cet engagement
s'exprime par une politique concernant les documents d'activité et par l'attribution de responsabilités et
d'autorités.
L'Article 6 traite de la planification de la mise en œuvre du SGDA et de l'adoption des objectifs relatifs aux
documents d'activité, qui prend en compte l'analyse du risque de niveau élevé, l'analyse contextuelle (voir
l'Article 4) et les ressources disponibles (voir l'Article 7).
L'Article 7 décrit le support dont doit disposer un SGDA, par exemple, les ressources, les compétences, la
sensibilisation, la communication et les informations documentées.
L'Article 8 traite de la définition ou de la revue et de la planification du niveau opérationnel. Il comprend
l'analyse pour déterminer les documents à créer (voir 8.2) et la conception et la mise en œuvre des
processus, contrôles et systèmes documentaires. Il respecte les exigences contextuelles et le domaine
d'application (voir l'Article 4) et repose sur la politique concernant les documents d'activité (voir 5.2),
l'analyse du risque (voir 6.1) et les ressources nécessaires (voir 7.1) pour répondre aux objectifs associés
aux documents d'activité (voir 6.2) dans le cadre de la mise en œuvre planifiée. L'Article 8 explique comment
mettre en œuvre les exigences de l'ISO 30301:2019, Annexe A.
Les Articles 9 et 10 traitent de l'évaluation et de l'amélioration de la performance par rapport à la
planification, aux objectifs et aux exigences définis dans l'ISO 30301.
Pour chacun des Articles 4 à 10 de l'ISO 30301:2019, le présent document décrit les éléments suivants :
a) les activités nécessaires pour répondre aux exigences de l'ISO 30301 — ces activités peuvent être
réalisées l'une après l'autre, tandis que certaines nécessiteront d'être menées simultanément ;
b) les éléments d'entrée des activités — ils constituent les points de départ et peuvent correspondre aux
éléments de sortie d'activités antérieures ;
c) les éléments de sortie des activités — il s'agit des résultats ou des livrables obtenus une fois les activités
terminées, avec une attention particulière pour les informations documentées obligatoires.
Les éléments de conception des processus opérationnels liés aux documents d'activité reposent sur les
principes établis par l'ISO 15489-1. Les autres documents rédigés par l'ISO/TC 46/SC 11 constituent les
principaux outils de conception, de mise en œuvre, de surveillance et d'amélioration des processus, des
contrôles et des systèmes documentaires, et peuvent être utilisés conjointement avec le présent document
pour la mise en œuvre des éléments opérationnels précis du SGDA.
Les organismes ayant déjà mis en œuvre l'ISO 15489-1 peuvent utiliser le présent document pour élaborer
une infrastructure organisationnelle de gestion des documents d'activité dans le cadre de la méthode
systématique et vérifiable du SGDA.
© ISO 2022 – Tous droits réservés
ix
---------------------- Page: 8 ----------------------
NORME INTERNATIONALE ISO 30302:2022(F)
Information et documentation — Systèmes de gestion des
documents d'activité — Lignes directrices de mise en œuvre
1 Domaine d'application
Le présent document fournit des recommandations pour la mise en œuvre d'un Système de Gestion des
Documents d'Activité (SGDA) conforme à l'ISO 30301. Le présent document est destiné à être utilisé
conjointement avec l'ISO 30301. Il décrit les activités à entreprendre pour concevoir, mettre en œuvre et
contrôler un SGDA.
Le présent document est destiné à être utilisé par un organisme ou plusieurs organismes mettant en
œuvre un SGDA. Il est applicable à tous les types d'organismes (par exemple, entreprises commerciales,
organismes publics, organismes à but non lucratif) de toutes tailles. Le présent document est destiné à
être utilisé par les personnes responsables de la mise en œuvre et de la maintenance des SGDA de
l'organisme. Il aide également la direction à prendre des décisions en matière d'instauration, de définition
du domaine d'application et de mise en œuvre des systèmes de gestion de l'organisme.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu'ilsqu’ils constituent, pour tout ou partie de
leur contenu, des exigences du présent document. Pour les références datées, seule l'éditionl’édition citée
s'appliques’applique. Pour les références non datées, la dernière édition du document de référence
s'applique (y compris les éventuels amendements).
ISO 30300, Information et documentation — Systèmes de gestion des documents d'activité — Principes
essentiels et vocabulaire
ISO 30301, Information et documentation — Systèmes de gestion des documents d'activité — Exigences
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions de l'ISO 30300 et
l'ISO 30301 s'appliquent.
L'ISO et l'IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes :
— ISO Online browsing platform : disponible à l'adresse
https://www.iso.org/obphttps://www.iso.org/obp
— IEC Electropedia : disponible à l'adresse https://www.electropedia.org/
© ISO 2022 – Tous droits réservés
1
---------------------- Page: 9 ----------------------
NORME INTERNATIONALE ISO 30302:2022(F)
https://www.electropedia.org/
4 Contexte de l'organisme
4.1 Compréhension de l'organisme et de son contexte
4.1.1 Généralités
Il convient que le contexte de l'organisme détermine et conditionne la mise en œuvre et l'amélioration
d'un SGDA. Les exigences du présent article visent à vérifier que l'organisme prend en compte le contexte
et les besoins qui lui sont propres dans le cadre de la mise en œuvre d'un SGDA. La première partie de
cette analyse consiste à déterminer les enjeux internes et externes pertinents pour l'objectif du SGDA et
la manière dont ils affectent sa capacité à atteindre le résultat attendu.
L'analyse contextuelle peut être utilisée pour définir le domaine d'application du SGDA (voir 4.3).
Toutefois, si la direction détermine le champ d'application du SGDA comme point de départ, avant
d'identifier les enjeux contextuels, l'étendue de l'analyse contextuelle est alors définie par le domaine
d'application.
Il convient que les informations contextuelles proviennent d'une source fiable, qu'elles soient exactes, à
jour et exhaustives. Une revue régulière des sources de ces informations garantit l'exactitude et la fiabilité
de l'analyse contextuelle.
Voici des exemples de points importants pour identifier comment le contexte externe affecte le SGDA, à
savoir :
a) la façon dont la complexité de la structure de l'organisme, de son environnement opérationnel et
législatif peut influer sur la politique, les processus, les systèmes et les contrôles ;
b) la façon dont un marché concurrentiel influe sur la nécessité de démontrer l'efficacité de ses
processus.
Voici des exemples d'enjeux internes affectant le SGDA :
1) la façon dont les lois, les règlements, les politiques, les normes et les codes influent sur la conception
des processus, des systèmes et des contrôles documentaires ;
2) la façon dont les qualifications et les compétences au sein de l'organisme peuvent influer sur les
besoins en formation ou en assistance externe ;
3) la façon dont la culture organisationnelle peut influer sur la conformité aux exigences du SGDA ;
4) la façon dont l'infrastructure informatique et l'architecture de l'information peuvent influer sur la
disponibilité des systèmes documentaires ou des documents d'activité ;
5) la façon dont les règles déjà mises en œuvre peuvent affecter la conception du SGDA ; et
© ISO 2022 – Tous droits réservés 1
---------------------- Page: 10 ----------------------
ISO 30302:2022(F)
6) la façon dont les relations contractuelles influent sur les décisions de conservation des documents
d'activité ou sur les décisions d'accès à l'information.
Les sources d'information sur le contexte externe de l'organisme peuvent inclure les sources suivantes :
— les lois, les réglementations, les normes, les codes de bonnes pratiques, les règles des organismes de
régulation, les règles en matière de gouvernance d'entreprise et les directives ;
— les types de contentieux de l'organism
...
NORME ISO
INTERNATIONALE 30302
Deuxième édition
2022-05
Information et documentation —
Systèmes de gestion des documents
d'activité — Lignes directrices de mise
en oeuvre
Information and documentation — Management systems for records
— Guidelines for implementation
Numéro de référence
ISO 30302:2022(F)
© ISO 2022
---------------------- Page: 1 ----------------------
ISO 30302:2022(F)
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2022
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii
© ISO 2022 – Tous droits réservés
---------------------- Page: 2 ----------------------
ISO 30302:2022(F)
Sommaire Page
Avant-propos .iv
Introduction .v
1 Domaine d'application .1
2 Références normatives .1
3 Termes et définitions . 1
4 Contexte de l'organisme . 1
4.1 Compréhension de l'organisme et de son contexte . 1
4.1.1 Généralités . 1
4.1.2 Exigences relatives aux documents d'activité . 3
4.2 Compréhension des besoins et attentes des parties intéressées . 5
4.3 Détermination du domaine d'application du SGDA . 6
4.4 Système de gestion des documents d'activité . . 7
5 Leadership . 7
5.1 Leadership et engagement . 7
5.2 Politique . 8
5.3 Rôles, responsabilités et autorités au sein de l'organisme . 9
6 Planification.11
6.1 Actions vis-à-vis des risques et opportunités. 11
6.2 Objectifs concernant les documents d'activité et planification des actions pour les
atteindre .13
7 Support .15
7.1 Ressources . 15
7.2 Compétences . . . 15
7.3 Sensibilisation . 17
7.4 Communication . 17
7.5 Informations documentées . 18
7.5.1 Généralités . 18
7.5.2 Création et mise à jour . 21
7.5.3 Maîtrise des informations documentées . 21
8 Exploitation .22
8.1 Planification et contrôle opérationnels . 22
8.2 Détermination des documents d'activité devant être créés .22
8.3 Conception et mise en œuvre des processus, des contrôles et des systèmes
documentaires .23
9 Évaluation des performances .25
9.1 Surveillance, mesure, analyse et évaluation . 25
9.2 Audit interne . . 27
9.3 Revue de direction . 27
10 Amélioration .29
10.1 Non-conformité et actions correctives .29
10.2 Amélioration continue . 30
Annexe A (informative) Exemple d'application des exigences de l'ISO 30301:2019, Annexe A .31
Bibliographie .36
iii
© ISO 2022 – Tous droits réservés
---------------------- Page: 3 ----------------------
ISO 30302:2022(F)
Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes
nationaux de normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est
en général confiée aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l'ISO participent également aux travaux.
L'ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents
critères d'approbation requis pour les différents types de documents ISO. Le présent document a
été rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir
www.iso.org/directives).
L'attention est attirée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l'élaboration du document sont indiqués dans l'Introduction et/ou dans la liste des déclarations de
brevets reçues par l'ISO (voir www.iso.org/brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion
de l'ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir www.iso.org/avant-propos.
Le présent document a été élaboré par le comité technique ISO/TC 46, Information et documentation,
sous-comité SC 11, Archives/Gestion des documents d'activité.
Cette deuxième édition annule et remplace la première édition (ISO 30302:2015), qui a fait l'objet d'une
révision technique.
Les principales modifications sont les suivantes :
— harmonisation par rapport à la nouvelle édition de l'ISO 30301 (ISO 30301:2019) ;
— modification de l'Annexe A.
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l’adresse www.iso.org/fr/members.html.
iv
© ISO 2022 – Tous droits réservés
---------------------- Page: 4 ----------------------
ISO 30302:2022(F)
Introduction
Le présent document a été élaboré pour aider les utilisateurs à appliquer les exigences d'un système
de gestion des documents d'activité, telles que décrites dans l'ISO 30301. L'ISO 30301 spécifie les
exigences relatives à un système de gestion des documents d'activité (SGDA), lorsqu'un organisme doit
démontrer son aptitude à créer et à contrôler les informations créées, reçues et conservées comme
preuves et comme actifs par un organisme, dans le cadre de ses obligations légales ou de la conduite de
ses activités.
Le présent document a pour objet de fournir des recommandations pratiques sur la manière de mettre
en œuvre, au sein d'un organisme, un système de gestion des documents d'activité (SGDA) conforme
aux exigences de l'ISO 30301. Le présent document traite des aspects nécessaires à l'élaboration et à
la maintenance d'un SGDA. Le présent document ne modifie pas et/ou ne restreint pas les exigences
spécifiées dans l'ISO 30301. Une activité ou la documentation d'une activité n'est considérée comme
obligatoire que lorsqu'elle est requise par l'ISO 30301.
La mise en œuvre d'un SGDA est généralement réalisée sous forme de projet. Un SGDA peut être mis
en œuvre dans des organismes possédant déjà des systèmes ou des programmes documentaires pour
revoir et améliorer la gestion de ces systèmes ou de ces programmes, ou bien dans des organismes qui
entendent mettre en œuvre pour la première fois une méthode systématique et vérifiable de création et
de contrôle de documents d'activité. Les recommandations décrites dans le présent document peuvent
être utilisées dans ces deux cas. Dans certains cas, un SGDA peut être une option recommandée pour
faire face à l'incertitude juridique ou technologique.
Il est tenu pour acquis que les organismes qui décident de mettre en œuvre un SGDA ont procédé à une
évaluation préliminaire de leurs documents d'activité et de leurs systèmes documentaires existants et
qu'ils ont identifié les risques devant être traités et les opportunités d'améliorations significatives. Par
exemple, la décision de mettre en œuvre un SGDA peut constituer une mesure de réduction d'un risque
engendré par la modification significative d'une plateforme informatique ou par l'externalisation de
processus opérationnels identifiés comme présentant un risque élevé. Le SGDA peut également fournir
un cadre de gestion normalisé pour la mise en œuvre d'améliorations significatives comme l'intégration
des processus documentaires à des processus opérationnels spécifiques ou l'amélioration du contrôle
et de la gestion des documents d'activité liés aux transactions en ligne ou à l'utilisation des médias
sociaux.
L'utilisation du présent document laisse nécessairement place à une certaine souplesse. Elle est
fonction de la taille, de la nature et de la complexité de l'organisme, ainsi que du degré de maturité du
SGDA éventuellement déjà en place. Le contexte et la complexité de chaque organisme sont uniques et
les exigences contextuelles spécifiques de l'organisme conditionneront la mise en œuvre du SGDA. Les
organismes de petite taille s'apercevront que les activités décrites dans le présent document peuvent
être simplifiées. Les organismes de grande taille ou complexes peuvent être amenés à constater qu'un
système de gestion à couches multiples s'avère nécessaire pour mettre en œuvre et gérer efficacement
les activités prévues dans le présent document.
Les recommandations du présent document suivent la même structure que celle de l'ISO 30301 pour
décrire les activités à entreprendre en vue de répondre aux exigences de l'ISO 30301 et la façon de
documenter ces activités.
L'Article 4 explique comment réaliser l'analyse du contexte nécessaire à toute mise en œuvre d'un SGDA.
Cette analyse permet de définir le domaine d'application du SGDA et de déterminer les relations entre la
mise en œuvre d'un SGDA et les autres systèmes de management.
L'Article 5 explique le leadership et comment obtenir l'engagement de la direction. Cet engagement
s'exprime par une politique concernant les documents d'activité et par l'attribution de responsabilités
et d'autorités.
L'Article 6 traite de la planification de la mise en œuvre du SGDA et de l'adoption des objectifs relatifs
aux documents d'activité, qui prend en compte l'analyse du risque de niveau élevé, l'analyse contextuelle
(voir l'Article 4) et les ressources disponibles (voir l'Article 7).
v
© ISO 2022 – Tous droits réservés
---------------------- Page: 5 ----------------------
ISO 30302:2022(F)
L'Article 7 décrit le support dont doit disposer un SGDA, par exemple, les ressources, les compétences, la
sensibilisation, la communication et les informations documentées.
L'Article 8 traite de la définition ou de la revue et de la planification du niveau opérationnel. Il comprend
l'analyse pour déterminer les documents à créer (voir 8.2) et la conception et la mise en œuvre des
processus, contrôles et systèmes documentaires. Il respecte les exigences contextuelles et le domaine
d'application (voir l'Article 4) et repose sur la politique concernant les documents d'activité (voir 5.2),
l'analyse du risque (voir 6.1) et les ressources nécessaires (voir 7.1) pour répondre aux objectifs associés
aux documents d'activité (voir 6.2) dans le cadre de la mise en œuvre planifiée. L'Article 8 explique
comment mettre en œuvre les exigences de l'ISO 30301:2019, Annexe A.
Les Articles 9 et 10 traitent de l'évaluation et de l'amélioration de la performance par rapport à la
planification, aux objectifs et aux exigences définis dans l'ISO 30301.
Pour chacun des Articles 4 à 10 de l'ISO 30301:2019, le présent document décrit les éléments suivants :
a) les activités nécessaires pour répondre aux exigences de l'ISO 30301 — ces activités peuvent être
réalisées l'une après l'autre, tandis que certaines nécessiteront d'être menées simultanément ;
b) les éléments d'entrée des activités — ils constituent les points de départ et peuvent correspondre
aux éléments de sortie d'activités antérieures ;
c) les éléments de sortie des activités — il s'agit des résultats ou des livrables obtenus une fois
les activités terminées, avec une attention particulière pour les informations documentées
obligatoires.
Les éléments de conception des processus opérationnels liés aux documents d'activité reposent sur les
principes établis par l'ISO 15489-1. Les autres documents rédigés par l'ISO/TC 46/SC 11 constituent
les principaux outils de conception, de mise en œuvre, de surveillance et d'amélioration des processus,
des contrôles et des systèmes documentaires, et peuvent être utilisés conjointement avec le présent
document pour la mise en œuvre des éléments opérationnels précis du SGDA.
Les organismes ayant déjà mis en œuvre l'ISO 15489-1 peuvent utiliser le présent document pour
élaborer une infrastructure organisationnelle de gestion des documents d'activité dans le cadre de la
méthode systématique et vérifiable du SGDA.
vi
© ISO 2022 – Tous droits réservés
---------------------- Page: 6 ----------------------
NORME INTERNATIONALE ISO 30302:2022(F)
Information et documentation — Systèmes de gestion
des documents d'activité — Lignes directrices de mise en
oeuvre
1 Domaine d'application
Le présent document fournit des recommandations pour la mise en œuvre d'un Système de Gestion des
Documents d'Activité (SGDA) conforme à l'ISO 30301. Le présent document est destiné à être utilisé
conjointement avec l'ISO 30301. Il décrit les activités à entreprendre pour concevoir, mettre en œuvre
et contrôler un SGDA.
Le présent document est destiné à être utilisé par un organisme ou plusieurs organismes mettant en
œuvre un SGDA. Il est applicable à tous les types d'organismes (par exemple, entreprises commerciales,
organismes publics, organismes à but non lucratif) de toutes tailles. Le présent document est destiné
à être utilisé par les personnes responsables de la mise en œuvre et de la maintenance des SGDA de
l'organisme. Il aide également la direction à prendre des décisions en matière d'instauration, de
définition du domaine d'application et de mise en œuvre des systèmes de gestion de l'organisme.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu’ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l’édition citée s’applique.
Pour les références non datées, la dernière édition du document de référence s'applique (y compris les
éventuels amendements).
ISO 30300, Information et documentation — Systèmes de gestion des documents d'activité — Principes
essentiels et vocabulaire
ISO 30301, Information et documentation — Systèmes de gestion des documents d'activité — Exigences
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions de l'ISO 30300 et l'ISO 30301 s'appliquent.
L'ISO et l'IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes :
— ISO Online browsing platform : disponible à l'adresse https:// www .iso .org/ obp
— IEC Electropedia : disponible à l'adresse https:// www .electropedia .org/
4 Contexte de l'organisme
4.1 Compréhension de l'organisme et de son contexte
4.1.1 Généralités
Il convient que le contexte de l'organisme détermine et conditionne la mise en œuvre et l'amélioration
d'un SGDA. Les exigences du présent article visent à vérifier que l'organisme prend en compte le
contexte et les besoins qui lui sont propres dans le cadre de la mise en œuvre d'un SGDA. La première
partie de cette analyse consiste à déterminer les enjeux internes et externes pertinents pour l'objectif
du SGDA et la manière dont ils affectent sa capacité à atteindre le résultat attendu.
1
© ISO 2022 – Tous droits réservés
---------------------- Page: 7 ----------------------
ISO 30302:2022(F)
L'analyse contextuelle peut être utilisée pour définir le domaine d'application du SGDA (voir 4.3).
Toutefois, si la direction détermine le champ d'application du SGDA comme point de départ, avant
d'identifier les enjeux contextuels, l'étendue de l'analyse contextuelle est alors définie par le domaine
d'application.
Il convient que les informations contextuelles proviennent d'une source fiable, qu'elles soient exactes,
à jour et exhaustives. Une revue régulière des sources de ces informations garantit l'exactitude et la
fiabilité de l'analyse contextuelle.
Voici des exemples de points importants pour identifier comment le contexte externe affecte le SGDA, à
savoir :
a) la façon dont la complexité de la structure de l'organisme, de son environnement opérationnel et
législatif peut influer sur la politique, les processus, les systèmes et les contrôles ;
b) la façon dont un marché concurrentiel influe sur la nécessité de démontrer l'efficacité de ses
processus.
Voici des exemples d'enjeux internes affectant le SGDA :
1) la façon dont les lois, les règlements, les politiques, les normes et les codes influent sur la conception
des processus, des systèmes et des contrôles documentaires ;
2) la façon dont les qualifications et les compétences au sein de l'organisme peuvent influer sur les
besoins en formation ou en assistance externe ;
3) la façon dont la culture organisationnelle peut influer sur la conformité aux exigences du SGDA ;
4) la façon dont l'infrastructure informatique et l'architecture de l'information peuvent influer sur la
disponibilité des systèmes documentaires ou des documents d'activité ;
5) la façon dont les règles déjà mises en œuvre peuvent affecter la conception du SGDA ; et
6) la façon dont les relations contractuelles influent sur les décisions de conservation des documents
d'activité ou sur les décisions d'accès à l'information.
Les sources d'information sur le contexte externe de l'organisme peuvent inclure les sources suivantes :
— les lois, les réglementations, les normes, les codes de bonnes pratiques, les règles des organismes de
régulation, les règles en matière de gouvernance d'entreprise et les directives ;
— les types de contentieux de l'organisme et les mesures réglementaires ayant une incidence sur
l'organisme ;
— les analyses économiques, financières ou environnementales des analystes gouvernementaux ou
industriels ; et
— les rapports de médias.
Les sources d'information sur le contexte interne de l'organisme peuvent inclure les sources suivantes :
— les documents clés de l'entreprise, tels que les politiques, les stratégies, les plans d'activité, les
rapports annuels ;
— les rapports d'audit ;
— la structure organisationnelle, la définition des rôles, les responsabilités et les délégations ;
— les normes, les lignes directrices, les codes internes ;
— la cartographie ou la description des processus opérationnels ;
— les évaluations des qualifications ;
2
© ISO 2022 – Tous droits réservés
---------------------- Page: 8 ----------------------
ISO 30302:2022(F)
— les inventaires des systèmes documentaires ;
— les modèles d'information ou de données ;
— les analyses des risques ;
— le cadre pour la sécurité des informations ;
— les analyses contextuelles provenant de la mise en œuvre d'autres normes de systèmes de
management ;
— les méthodologies de gestion de projet ;
— les modèles d'approvisionnement et de sous-traitance ; et
— une connaissance de la culture organisationnelle (qui peut ne pas être documentée).
En fonction de l'organisme, l'identification des enjeux internes et externes peut avoir été réalisée à
d'autres fins, notamment pour la mise en œuvre d'autres normes de systèmes de management. Dans ces
cas-là, une nouvelle analyse ne sera peut-être pas nécessaire et une adaptation suffira.
L'analyse contextuelle est un processus continu. Elle influence l'établissement et l'évaluation
systématique du SGDA (voir l'Article 9) et étaye le cycle d'amélioration continue (voir l'Article 10).
Éléments de sortie
Aucune exigence spécifique n'impose de documenter les résultats de l'analyse, mais l'organisme peut
décider de les inclure dans :
— une liste des enjeux internes et externes affectant le SGDA ;
— un chapitre d'un manuel ou d'un plan de projet consacré à la mise en œuvre du SGDA ;
— un chapitre d'un manuel d'un système de gestion intégré (comprenant plusieurs normes) ;
— un rapport formel sur l'analyse du contexte interne et externe de l'organisme et sur la façon dont il
influe sur le SGDA et dont il est influencé par celui-ci ; et
— un ensemble de documents sur le contexte de l'organisme.
4.1.2 Exigences relatives aux documents d'activité
À partir de l'analyse décrite en 4.1.1 comme point de départ, les besoins opérationnels relatifs aux
documents d'activité et les exigences relatives à leur création, leur capture et leur gestion sont évalués
en tenant compte des fonctions opérationnelles. L'ISO 30301 exige de documenter à la fois les besoins
opérationnels et les exigences relatives aux documents d'activité.
NOTE L'approche des NSM (normes de systèmes de management) en matière d'analyse contextuelle et
d'identification des exigences est compatible avec le processus d'analyse (évaluation) proposé par l'ISO 15489-1
et l'ISO/TR 21946, qui intègre également des éléments de planification (voir l'Article 6) et d'identification de
besoins en documents d'activité (voir 8.2).
Les exigences relatives aux documents d'activité qui influent sur les activités opérationnelles peuvent
être d'ordre commercial, juridique, réglementaire ou autre.
Il convient que l'identification des exigences opérationnelles prenne en compte les éléments suivants :
a) la nature des activités de l'organisme (par exemple, exploitation minière, finance, services collectifs,
fabrication, industrie pharmaceutique, services à la personne ou services d'intérêt général) ;
b) la forme particulière de l'organisme ou sa propriété (par exemple, société fiduciaire, entreprise ou
organisme sans but lucratif ou gouvernemental) ;
3
© ISO 2022 – Tous droits réservés
---------------------- Page: 9 ----------------------
ISO 30302:2022(F)
c) le secteur particulier dont relève l'organisme (c'est-à-dire secteur public ou privé, à but non
lucratif) ;
d) la ou les juridictions dans le cadre desquelles l'organisme exerce son activité ;
e) la planification des réalisations futures et du développement des activités ; et
f) la gestion des risques et la planification de la continuité.
À titre d'exemples de besoins opérationnels en matière de documents d'activité, on peut citer :
— les exigences de création de documents d'activité pour exécuter ou mener à leur terme des processus
spécifiques (y compris des transactions sur le web ainsi que, sans toutefois s'y limiter, des opérations
commerciales dans les technologies émergentes comme les médias sociaux, l'informatique mobile
et l'informatique en nuage) ;
— les exigences de création de documents d'activité relatives aux rapports et aux contrôles financiers
et opérationnels ;
— les exigences de création de documents d'activité relatives à l'établissement de rapports internes et
externes ;
— les exigences de création de documents d'activité pour contrôler et surveiller les services ou les
processus externalisés ;
— les exigences de création de documents d'activité relatives à l'analyse et à la planification ;
— les exigences de création de documents d'activité afin de fournir des informations sur les activités
de l'organisme à des parties prenantes spécifiques, comme des actionnaires ou des clients ; et
— les exigences de création de documents d'activité expliquant les conclusions et les décisions prises
auto
...
SLOVENSKI STANDARD
oSIST ISO/DIS 30302:2021
01-december-2021
Informatika in dokumentacija - Sistemi za upravljanje zapisov - Smernice za
uvedbo
Information and documentation -- Management systems for records -- Guidelines for
implementation
Information et documentation -- Systèmes de gestion des documents d'activité -- Lignes
directrices de mise en oeuvre
Ta slovenski standard je istoveten z: ISO/DIS 30302
ICS:
01.140.20 Informacijske vede Information sciences
03.100.70 Sistemi vodenja Management systems
oSIST ISO/DIS 30302:2021 en,fr
2003-01.Slovenski inštitut za standardizacijo. Razmnoževanje celote ali delov tega standarda ni dovoljeno.
---------------------- Page: 1 ----------------------
oSIST ISO/DIS 30302:2021
---------------------- Page: 2 ----------------------
oSIST ISO/DIS 30302:2021
DRAFT INTERNATIONAL STANDARD
ISO/DIS 30302
ISO/TC 46/SC 11 Secretariat: SA
Voting begins on: Voting terminates on:
2021-08-30 2021-11-22
Information and documentation — Management systems
for records — Guidelines for implementation
Information et documentation — Système de gestion des documents d'activité — Lignes directrices de mise
en oeuvre
ICS: 01.140.20; 03.100.70
THIS DOCUMENT IS A DRAFT CIRCULATED
FOR COMMENT AND APPROVAL. IT IS
THEREFORE SUBJECT TO CHANGE AND MAY
NOT BE REFERRED TO AS AN INTERNATIONAL
STANDARD UNTIL PUBLISHED AS SUCH.
IN ADDITION TO THEIR EVALUATION AS
BEING ACCEPTABLE FOR INDUSTRIAL,
This document is circulated as received from the committee secretariat.
TECHNOLOGICAL, COMMERCIAL AND
USER PURPOSES, DRAFT INTERNATIONAL
STANDARDS MAY ON OCCASION HAVE TO
BE CONSIDERED IN THE LIGHT OF THEIR
POTENTIAL TO BECOME STANDARDS TO
WHICH REFERENCE MAY BE MADE IN
Reference number
NATIONAL REGULATIONS.
ISO/DIS 30302:2021(E)
RECIPIENTS OF THIS DRAFT ARE INVITED
TO SUBMIT, WITH THEIR COMMENTS,
NOTIFICATION OF ANY RELEVANT PATENT
RIGHTS OF WHICH THEY ARE AWARE AND TO
©
PROVIDE SUPPORTING DOCUMENTATION. ISO 2021
---------------------- Page: 3 ----------------------
oSIST ISO/DIS 30302:2021
ISO/DIS 30302:2021(E)
COPYRIGHT PROTECTED DOCUMENT
© ISO 2021
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting
on the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address
below or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii © ISO 2021 – All rights reserved
---------------------- Page: 4 ----------------------
oSIST ISO/DIS 30302:2021
ISO/DIS 30302:2021(E)
Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Context of the organization . 1
4.1 Understanding the organization and its context . 1
4.1.1 General. 1
4.1.2 Records requirements . 3
4.2 Understanding the needs and expectations of interested parties . 5
4.3 Determining the scope of the MSR . 6
4.4 Management s ystem for records . 6
5 Leadership . 7
5.1 Leadership and commitment . 7
5.2 P olicy . 7
5.3 Organizational roles, responsibilities and authorities. 8
6 Planning .10
6.1 Actions to address risks and opportunities .10
6.2 Records objectives and planning to achieve them .12
7 Support .13
7.1 Resources .13
7.2 Competence .14
7.3 Awareness .15
7.4 Communication .15
7.5 Documented information .16
7.5.1 General.16
7.5.2 Creating and updating .18
7.5.3 Control of documented information .19
8 Operation .19
8.1 Operational planning and control .19
8.2 Determining records to be created .20
8.3 Designing and implementing records processes, controls and systems .20
9 Performance evaluation .26
9.1 Monit oring, measurement, analysis and evaluation .26
9.2 Internal audit .27
9.3 Management review .28
10 Improvement .29
10.1 Nonconformity and corrective actions .29
10.2 Continual improvement .30
Bibliography .31
© ISO 2021 – All rights reserved iii
---------------------- Page: 5 ----------------------
oSIST ISO/DIS 30302:2021
ISO/DIS 30302:2021(E)
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www .iso .org/ directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of
any patent rights identified during the development of the document will be in the Introduction and/or
on the ISO list of patent declarations received (see www .iso .org/ patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation on the meaning of ISO specific terms and expressions related to conformity
assessment, as well as information about ISO's adherence to the WTO principles in the Technical
Barriers to Trade (TBT) see the following URL: Foreword - Supplementary information
The committee responsible for this document is ISO/TC 46, Information and documentation,
Subcommittee SC 11, Archives/records management.
iv © ISO 2021 – All rights reserved
---------------------- Page: 6 ----------------------
oSIST ISO/DIS 30302:2021
ISO/DIS 30302:2021(E)
Introduction
ISO 30302 is part of a series of International Standards, under the general title Information and
documentation — Management systems for records:
— ISO 30301, Information and documentation — Management systems for records — Requirements
— ISO 30302, Information and documentation — Management systems for records — Guidelines for
implementation
ISO 30301 specifies the requirements for an Management system for Records (MSR) where an
organization needs to demonstrate its ability to create and control information created, received and
maintained as evidence and as an asset by an organization, in pursuit of legal obligations or in the
course of conducting business. “
The purpose of this document is to provide practical guidance on how to implement a management
system for records (MSR) within an organization in accordance with ISO 30301. This International
Standard covers what is needed to establish and maintain an MSR.
The implementation of an MSR is generally executed as a project. An MSR can be implemented in
organizations with existing records systems or programmes to review and improve the management
of those systems or programmes or in organizations planning to implement a systematic and verifiable
approach to records creation and control for the first time. Guidance described in this International
Standard can be used in both situations. An MSR can be an advisable option for addressing legal or
technological uncertainty in some cases.
It is assumed that organizations that decide to implement an MSR have made a preliminary assessment of
their existing records and records systems and have identified risks to be addressed and opportunities
for major improvements. For example, the decision to implement an MSR can be taken as a risk-
reduction measure for undertaking a major information technology platform change or outsourcing
business processes identified as high risk. Alternatively, the MSR can provide a standardized
management framework for major improvements such as integrating records processes with specific
business processes or improving control and management of records of online transactions or business
use of social media.
The use of this guidance is necessarily flexible. It depends on the size, nature and complexity of the
organization and the level of maturity of the MSR if one is already in place. Each organization's context
and complexity is unique and its specific contextual requirements will drive the MSR implementation.
Smaller organizations will find that the activities described in this International Standard can be
simplified. Large or complex organizations can find that a layered management system is needed to
implement and manage the activities in this International Standard effectively.
Guidance in this document follows the same structure as ISO 30301, describing the activities to be
undertaken to meet the requirements of ISO 30301 and how to document those activities.
Clause 4 deals with how to perform the context analysis needed to implement an MSR. From this
analysis, the scope of the MSR is defined and the relationship between implementing an MSR and other
management systems is identified.
Clause 5 explains leadership and how to gain the commitment of top management. The commitment is
expressed in a records policy and the assignment of responsibilities and authorities.
Clause 6 deals with planning the implementation of the MSR and adopting records objectives., which is
informed by high-level risk analysis, the contextual analysis (see Clause 4), and the resources available
(see Clause 7).
Clause 7 outlines the support needed for the MSR, such as resources, competence, awareness, and
communication, and documented information.
© ISO 2021 – All rights reserved v
---------------------- Page: 7 ----------------------
oSIST ISO/DIS 30302:2021
ISO/DIS 30302:2021(E)
Clause 8 deals with defining or reviewing and planning the operational level. It includes the analysis
to determine records to be created (see 8.2) and the design and implementation of records processes,
controls and systems. It draws on the contextual requirements and scope (see Clause 4) and is based on
the records policy (see 5.2), the risk analysis (see 6.1) and resources needed (see 7.1) to meet the records
objectives (see 6.2) in the planned implementation. Clause 8 explains how to implement requirements
in Annex A of ISO 30301.
Clauses 9 and 10 deal with performance evaluation and improvement against planning, objectives and
requirements defined in ISO 30301.
For each of the Clauses 4 to 10 of ISO 30301:2019, this document provides the following:
a) the activities necessary to meet the requirements of ISO 30301 – activities can be done sequentially,
while some will need to be done simultaneously;
b) inputs to the activities – these are the starting points and can be outputs from previous activities;
c) outputs of the activities – these are the results or deliverables, with special mention to mandatory
documented information, on completion of the activities.
This document is intended to be used by those responsible for leading the implementation and
maintenance of the MSR. It can also help top management in making decisions on the establishment,
scope and implementation of management systems in their organization. It is to be used by people
responsible for leading the implementation and maintenance of the MSR. The concepts of how to
design the operational records processes are based on the principles established by ISO 15489-1. Other
International Standards and Technical Reports developed by ISO/TC 46/SC 11 are the principal tools
for designing, implementing, monitoring and improving records processes, controls and systems, and
can be used in conjunction with this document for implementing the detailed operational elements of
the MSR.
Organizations that have already implemented ISO 15489-1 can use this International Standard to
develop an organizational infrastructure for managing records under the systematic and verifiable
approach of the MSR.
vi © ISO 2021 – All rights reserved
---------------------- Page: 8 ----------------------
oSIST ISO/DIS 30302:2021
DRAFT INTERNATIONAL STANDARD ISO/DIS 30302:2021(E)
Information and documentation — Management systems
for records — Guidelines for implementation
1 Scope
This document gives guidance for the implementation of an MSR in accordance with ISO 30301. This
document is intended to be used in conjunction with ISO 30300 and ISO 30301. This document does
not modify and/or reduce the requirements specified in ISO 30301. It describes the activities to be
undertaken when designing, implementing and monitoring an MSR.
This document is intended to be used by any organization or across organizations implementing an
MSR. It is applicable to all types of organization (e.g. commercial enterprises, government agencies,
non-profit organizations) of all sizes.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content
constitutes requirements of this document. For dated references, only the edition cited applies. For
undated references, the latest edition of the referenced document (including any amendments) applies.
ISO 30300:2020, Information and documentation — Records management — Core concepts and vocabulary
ISO 30301:2019, Information and documentation — Management systems for records — Requirements
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO 30300 apply.
ISO and IEC maintain terminological databases for use in standardization at the following addresses:
— ISO Online browsing platform: available at https:// www .iso .org/ obp
— IEC Electropedia: available at https:// www .electropedia .org/
4 Context of the organization
4.1 Understanding the organization and its context
4.1.1 General
The context of the organization should determine and drive the implementation and improvement of
an MSR. The requirements of this Clause are intended to ensure the organization has considered its
context and needs as part of the implementation of an MSR. The first part of this analysis is to determine
internal and external issues relevant to the purpose of the MSR and how they affect its ability to achieve
the intended outcome.
The contextual analysis can be used to define the scope of the MSR (see Clause 4.3). However if the
top management determines the scope of the MSR as the starting point, before identifying contextual
issues, then the extent of the contextual analysis is defined by the scope.
Contextual information should be from a reliable source that is accurate, up-to-date and complete.
Regular review of the sources of this information ensures the accuracy and reliability of the contextual
analysis.
© ISO 2021 – All rights reserved 1
---------------------- Page: 9 ----------------------
oSIST ISO/DIS 30302:2021
ISO/DIS 30302:2021(E)
Examples of important issues in identifying how the external context affects the MSR are:
1) how the complexity of the organization’s structure, business and legislative environment will affect
records policy, processes, systems and controls,
2) how a competitive market affects the need to demonstrate efficient processes.
Examples of internal issues effecting the MSR are:
1) how legislative instruments, policies, standards and codes affect the design of records processes,
systems and controls;
2) how the skills and competencies within the organization can affect the need for training or external
assistance;
3) how the organizational culture can affect compliance with the requirements of the MSR;
4) how the information technology infrastructure and information architecture can affect the
availability of records systems or records;
6) how rules already implemented can affect the design of the MSR; and
7) how contractual relationships affect records retention decisions or information access decisions.
Sources of information about the organization’s external context can include the following:
— laws, regulations, standards, codes of practice, rules of industry regulators, corporate governance
rules, and directives;
— the litigation profile of the organization and regulatory action affecting the organization;
— economic, financial or environmental analyses from government or industry analysts; and
— media reports.
Sources of information about the organization’s internal context can include the following:
— key corporate documents such as policies, strategies, business plans, annual reports;
— audit reports;
— organizational structure, definition of roles, responsibilities and delegations;
— internal standards, guidelines, codes;
— business process maps or descriptions;
— skills assessments;
— information systems inventories;
— information or data models;
— risk analyses;
— information security framework;
— contextual analyses from implementation of other management systems standards;
— project management methodologies;
— procurement and contracting models; and
— an understanding of organizational culture (which may not be documented).
2 © ISO 2021 – All rights reserved
---------------------- Page: 10 ----------------------
oSIST ISO/DIS 30302:2021
ISO/DIS 30302:2021(E)
Depending on the organization, the identification of internal and external issues can have been
performed for other purposes, including the implementation of other management system standards.
In such cases, a new analysis will possibly not be needed, and an adaptation will suffice.
The contextual analysis is a continual process. It informs the establishment and systematic evaluation
of the MSR (see Clause 9) and supports the cycle of continuous improvement (see Clause 10).
Output
There is no specific requirement to document the results of the analysis, but the organization can
decide to include this in a:
— list of internal and external issues affecting the MSR;
— chapter in a manual or project plan for implementing the MSR;
— chapter in a manual of an integrated management system (including more than one standard);
— formal report on the analysis of the organization’s internal and external context and how it affects
and is affected by the MSR; and
— series of documents about the context of the organization.
4.1.2 Records requirements
Based on the analysis described in 4.1.1 as the starting point, the business needs for records and the
requirements for their creation, capture and management are assessed in relation to the business
functions. ISO 30301 requires to document both business needs and records requirements.
NOTE This MSS approach for context analysis and identification of requirements is compatible with the
analysis process (appraisal) proposed by ISO 15489-1, which also includes elements of planning (see Clause 6)
and identification of the needs for records (see Clause 8.2).
The records requirements affecting the business operation can be business, legal, regulatory or other
requirements.
Identifying business requirements should take the following into account:
a) the nature of the activities of the organization (e.g. mining, finance, public services, manufacturing,
pharmaceutical, personal services,, community services);
b) the particular form or ownership of the organization (e.g. a trust, company, non-profit or
government organization);
c) the particular sector to which the organization belongs (i.e. public or private sector, non-profit);
d) the jurisdiction(s) in which the organization operates;
e) planning of future accomplishments and development of business; and
f) risk management and continuity planning.
Examples of business needs for records are as follows:
— requirements to create records to execute or complete specific processes (including web-based
transactions, as well as, but not restricted to, business transaction in emerging technologies such as
social media, mobile computing and cloud computing);
— requirements to create records for financial/operational reporting and control;
— requirements to create records for internal and external reporting;
— requirements to create records to control and monitor outsourced services or processes;
© ISO 2021 – All rights reserved 3
---------------------- Page: 11 ----------------------
oSIST ISO/DIS 30302:2021
ISO/DIS 30302:2021(E)
— requirements to create records for analysis and planning;
— requirements to create records to provide information about the organization’s activities to specific
stakeholders, such as shareholders or clients; and
— requirements to create records that explain the conclusions and decisions made automatically by
artificial intelligence, machine learning, big data or similar algorithms.
Business requirements should be identified from the performance of current business processes and
also from the perspective of future planning and development. Special attention is needed when the
organization is implementing:
— automated processes,
— new and emerging technologies (e.g. cloud, mobile, AI, machine learning, bid data, IoT, blockchain
and DLT, smart everything etc.),
— freedom of information (FOI) requests and government transparency programs, and
— personal identifiable information (PII) protection measures.
In these cases, requirements can change and need to be discussed with the people responsible for the
development and implementation of the proposed new processes.
Determining all of the mandatory legal and regulatory instruments applicable to the organization
includes reviewing:
1) compliance requirements for statute and case law;
2) compliance requirements for sector-related and business legislation;
3) compliance for privacy and other records and data management legislation;
4) regulation of information security; and
5) legislation for electronic commerce.
Examples of the business requirements are as follows:
— requirements to control and access records required in different locations and over specified
periods of time;
— requirements as to what evidence is needed of access to, and use of records (e.g. personal data); and
— requirements to share and re-use information contained in records.
Other requirements can include voluntary standards, codes of best practice, conduct and ethics. For
example, the documented information requirements of other management systems standards.
Output
Documentation of the identification of the business needs of records, and the identification of records
requirements is mandatory in order to comply with ISO 30301. Requirements can be documented all
together or in separate documents by type of requirement. Examples of the kind of documentation are
as follows:
— a list of requirements identified by type (e.g. business, legislative);
— a chapter in a manual or project plan for implementing the MSR;
— A formal report on identification of requirements for the MSR;
— a list of all laws and other codified regulatory or mandatory instruments that apply to the
organization relating to the creation and control of records; and
4 © ISO 2021 – All
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.