Título: Código: PROCEDIMIENTO PARA EL CONTROL DE REGISTROS 1. Versión: PR-OPP-DOC-001 Página: 04 2/11 OBJETIVO Establecer los lineamientos y el procedimiento a seguir para definir los controles necesarios para la identificación, almacenamiento, protección, recuperación, conservación y disposición de los registros establecidos para el SGC y el SGSI de PROMPERÚ, bajo las normas ISO 9001:2015 e ISO/IEC 27001:2013, respectivamente. 2. ALCANCE El presente procedimiento es administrado por la Unidad de Racionalización de la OPP y es fuente de consulta y aplicación para las áreas que generan y mantienen los registros establecidos para el SGC ISO 9001:2015 y del SGSI ISO/IEC 27001:2013 de PROMPERÚ. El procedimiento se inicia con el establecimiento o redefinición de los registros necesarios para el SGC/SGSI y finaliza con la actualización de la Lista Maestra de Registros. 3. DOCUMENTOS A CONSULTAR 3.1. Ley Nº 30075, Ley de Fortalecimiento de la Comisión de Promoción del Perú para la Exportación y el Turismo - PROMPERÚ. 3.2. Ley Nº 30114, Ley de Presupuesto del Sector Publico para el año fiscal 2014, Septuagésima Quinta Disposición Complementaria Final. 3.3. Reglamento de Organización y Funciones de la Comisión de Promoción del Perú para la Exportación y el Turismo - PROMPERÚ aprobado por Decreto Supremo Nº 013-2013-MINCETUR. 3.4. Manual de Perfiles de Puestos de PROMPERÚ, aprobado por Resolución de Secretaría General N° 028-2014PROMPERÚ/SG y modificatorias. 3.5. Manual de Funciones y Perfiles de PROMPERÚ, aprobado por Resolución de Secretaría General N° 102-2008PROMPERÚ/SG y modificatorias. 3.6. Manual de Calidad de la Comisión de Promoción del Perú para la Exportación y el Turismo vigente. 3.7. Manual del Sistema de Gestión de Seguridad de la Información vigente. 3.8. Política de Clasificación, Etiquetado y Tratamiento de la Información Administrada por PROMPERÚ. 3.9. Procedimiento para el Control de los Documentos Internos, PR-OPP-DOC-002. 3.10. Procedimiento de Transferencia Documental al Archivo Central de PROMPERÚ, UAAD-SGE-PR-01. 3.11. Procedimiento de Solicitud y Atención de Servicios Archivísticos, UAAD-SGE-PR-02. 3.12. Norma ISO 9000:2015. Sistemas de gestión de la calidad - Fundamentos y vocabulario. 3.13. Norma ISO 9001:2015. Sistemas de gestión de la calidad - Requisitos. 3.14. Norma ISO/IEC 27001:2013. Tecnología de la información. Técnicas de seguridad. Sistemas de gestión de seguridad de la información. Requisitos. 4. SIGLAS Y ACRÓNIMOS 4.1. OPP: Oficina de Planeamiento y Presupuesto. 4.2. OTI: Oficina de Tecnologías de la Información. 4.3. SGC: Sistema de Gestión de la Calidad. 4.4. SGSI: Sistema de Gestión de Seguridad de la Información. 4.5. URCN: Unidad de Racionalización. Título: Código: PROCEDIMIENTO PARA EL CONTROL DE REGISTROS 5. Versión: PR-OPP-DOC-001 Página: 04 3/11 DEFINICIONES Para efectos del presente procedimiento se consideran las siguientes definiciones, las mismas que se encuentran señaladas en la norma ISO 9000:2015: 5.1. Información: Datos que poseen significado. 5.2. Información documentada: Información que una organización tiene que controlar y mantener, y el medio que la contiene. 5.3. Registro: Documento que presenta resultados obtenidos o proporciona evidencias de actividades realizadas. Nota 1: Los registros pueden utilizarse, por ejemplo, para formalizar la trazabilidad y para proporcionar evidencia de verificaciones, acciones preventivas y acciones correctivas. Nota 2: En general los registros no necesitan estar sujetos al control del estado de revisión. Asimismo, para el caso específico del presente procedimiento se consideran las siguientes definiciones: 5.4. Acceso al registro: Decisión concerniente al permiso solamente para consultar el registro, o el permiso y la autoridad para consultarlo y modificarlo. 5.5. Almacenamiento del registro: Definición del lugar en el cual se archiva temporal o definitivamente un registro del SGC o SGSI. 5.6. Archivo: Conjunto ordenado de documentos que una persona, una sociedad, una institución, etc., producen en el ejercicio de sus funciones o actividades. 5.7. Archivo de gestión: Archivo establecido y organizado por cada uno de los órganos, unidades orgánicas o unidades funcionales de la entidad, en él se administra, custodia y conserva el acervo documentario de revisión o consulta frecuente de cada una de estas áreas. 5.8. Archivo Central: Archivo establecido y organizado por la Unidad de Asuntos Administrativos, en él se administra, custodia y conserva el acervo documentario transferido de los diversos archivos de gestión de PROMPERÚ. 5.9. Conservación de registros: Mantener la integridad física del medio de soporte y la información de los registros del SGC y SGSI, a través de la implementación de medidas de preservación y restauración. 5.10. Custodio del registro: Puesto responsable de la administración y protección de los registros del SGC/SGSI que le son asignados; se encarga de su almacenamiento, conservación, disposición y aplicación de los controles definidos en la Lista Maestra de Registros. La designación del custodio es realizada por el Propietario del registro, a través de la Lista Maestra de Registros. 5.11. Disposición de registros: Acción a tomar una vez que el registro ha superado su tiempo de retención. 5.12. Dueño del proceso: Puesto con la responsabilidad y autoridad para gestionar un proceso en términos de planificación, ejecución, seguimiento y mejora continua. Además, desempeña el rol de Propietario de los registros del SGC/SGSI identificados para su proceso. 5.13. Formato: Documento que indica la información que debe registrarse para mantener evidencia de la realización de un proceso, actividad o tarea. Cuando el formato contiene datos y/o información se convierte en registro. 5.14. Identificación del registro: Asignación de código y/o nombre único al registro, que permita diferenciarlo sin lugar a dudas de otro registro. 5.15. Propietario del registro: Rol asumido por el Dueño del proceso (Ver numeral 5.12). 5.16. Protección: Asegurar la integridad, disponibilidad y confidencialidad de los registros durante todo su periodo de retención. Título: Código: PROCEDIMIENTO PARA EL CONTROL DE REGISTROS PR-OPP-DOC-001 Versión: 04 Página: 4/11 5.17. Recuperación: Conjunto de actividades orientadas a facilitar la localización de determinados registros previamente almacenados. 6. CONDICIONES BÁSICAS 6.1. Los registros establecidos para proporcionar evidencia de la conformidad con los requisitos, así como de la operación eficaz del SGC/SGSI bajo las normas ISO 9001:2015 e ISO/IEC 27001:2013 respectivamente, deben controlarse. Estos registros serán establecidos por el Dueño del proceso con la asistencia técnica de un Especialista de la URCN, de ser necesaria. 6.2. La Lista Maestra de Registros, es el documento en el cual se establecen los controles para cada registro, tales como: su identificación, clasificación, almacenamiento, protección, tiempo de retención y disposición. 6.3. Los registros pueden encontrarse o estar soportados en papel, de manera electrónica (discos duros, disquetes, CD, DVD, etc.) u otro medio (aquellos que no pueden ser incluidos en las categorías anteriores, tales como videocintas, rollos fotográficos, cintas de audio, etc.). 6.4. Los registros deben permanecer legibles, en idioma español, fácilmente identificables y recuperables para su uso, dónde y cuándo se necesiten. 6.5. No debe borrarse, bajo ninguna circunstancia, la información registrada originalmente en un registro; las correcciones a la información plasmada en los registros físicos, deben realizarse trazando una línea sobre la información a corregir, garantizando que ésta quede legible, para luego consignar la nueva información al margen de la información original, en el caso de registros electrónicos se colocará un comentario sobre la información modificada. En ambos casos se precisará la justificación de la corrección efectuada ya sea en la parte posterior del registro (cuando sea físico) o en el comentario añadido (cuando sea electrónico). 6.6. Todas las correcciones a los registros físicos deben ser revisadas y firmadas por el Custodio del registro. 6.7. Los registros manuscritos, solo deben hacerse utilizando lapicero (no lápiz). 6.8. Los campos de los formatos que resulten no aplicables al momento de generar los registros, deben ser invalidados consignando el texto “No aplica” o “N/A”. 7. CONDICIONES ESPECÍFICAS 7.1. Cada registro del SGC/SGSI debe tener una identificación única, siendo estos de tres (3) tipos: los que provienen de un formato establecido para el SGC/SGSI, los libres de formato (sin una estandarización) y los externos (que provienen de otras entidades). 7.2. En el caso de formatos, estos se identifican por su nombre y el código del formato respectivo, definido de acuerdo con el Procedimiento para el Control de los Documentos Internos. El resto de los registros, se identifican únicamente por su nombre. Nota 1: Los correos electrónicos considerados como registros del SGC/SGSI se identifican a través del nombre que se encuentra en el campo “Asunto”. Nota 2: Eventualmente, para efecto de apoyo, se podrán conservar, manejar o administrar formatos u otro tipo de documentos impresos o en medios electrónicos que no estén controlados en el SGC o SGSI, siempre que los mismos no estén relacionados con el cumplimiento de requisitos o la operación eficaz de dichos sistemas. 7.3. Los registros físicos se almacenan en archivadores o cualquier otro elemento contenedor que garantice su conservación, y forman parte del Archivo de gestión del área que gestiona el proceso asociado al registro. 7.4. Los registros electrónicos deben almacenarse en la carpeta del SGC (SGC_ISO_9001) o del SGSI (respositorioSGSI) según corresponda, ubicadas en servidores administrados por la OTI, oficina responsable de realizar los respaldos (backup) correspondientes. Nota: Los correos electrónicos considerados como registros del SGC/SGSI deben almacenarse en formato de mensaje de Outlook (MSG) en las carpetas indicadas anteriormente. Título: Código: PROCEDIMIENTO PARA EL CONTROL DE REGISTROS PR-OPP-DOC-001 Versión: Página: 04 5/11 7.5. Los criterios de ordenamiento para asegurar la recuperación inmediata de los registros almacenados son los siguientes: a) Alfabéticamente b) Numéricamente c) Alfanuméricamente d) Cronológicamente 7.6. Los registros deben estar protegidos adecuadamente (por ejemplo, contra pérdida de la confidencialidad, uso inadecuado, o pérdida de integridad). En el caso de los registros físicos, estos se deben proteger a fin de asegurar que se mantengan legibles e identificables, y recuperables, por lo que estos deben ser almacenados en lugares apropiados y seguros a fin de evitar su deterioro; siendo responsable de ello el Custodio del registro. Así mismo, el Departamento de Servicios Generales es responsable de asegurar el control del acceso a las instalaciones de la entidad. En el caso de los registros electrónicos, estos se deben proteger contra su pérdida y/o modificación mediante controles tales como: a) Claves o contraseñas de acceso a computadores, claves o contraseñas de usuario, respaldos (backup) u otros, son administrados por la OTI. b) Claves o contraseñas de apertura de archivos, claves o contraseñas de protección de archivos contra escritura, son administrador por el Custodio del registro. 7.7. El tiempo de retención (mínimo) de los registros se define en la Lista Maestra de Registros (Ver Anexo 2), tomando en consideración los requisitos legales, contractuales y reglamentarios vigentes. Para los registros obligatorios del SGC/SGSI se deberá tener en cuenta los tiempos de retención establecidos en el Anexo 3: Registros obligatorios del SGC/SGSI, del presente procedimiento. 7.8. La disposición de los registros se define en la Lista Maestra de Registros, de acuerdo con lo siguiente: a) Los registros electrónicos deben ser eliminados en todos los casos. b) Los registros físicos pueden eliminarse o en su defecto ser transferidos al Archivo Central de PROMPERÚ por un periodo de tiempo definido antes de su eliminación. 7.9. Cuando se haya dispuesto que los registros del archivo de gestión sean transferidos al Archivo Central de PROMPERÚ, se aplicará el Procedimiento de Transferencia Documental al Archivo Central de PROMPERÚ. La consulta de estos registros, se realizará mediante el Procedimiento de Solicitud y Atención de Servicios Archivísticos. 7.10. El Custodio del registro, por lo menos una vez al año, debe realizar verificaciones para identificar los registros que ya cumplieron su tiempo de retención y coordinar su disposición con el Propietario del registro. 8. DESCRIPCIÓN DEL PROCEDIMIENTO Nº Actividad Responsable 1 Establece o redefine los registros necesarios para el SGC/SGSI dentro del alcance de su proceso, con la asistencia técnica de un Especialista de la URCN, de ser necesaria. Dueño del proceso Nota: Si se requiere crear, modificar o anular un formato, se debe seguir el Procedimiento para el Control de los Documentos Internos vigente. 2 Identifica el registro asignando el nombre y/o código, según lo señalado en el numeral 7.2 del presente documento y registra esta información en una versión preliminar de la Lista Maestra de Registros, en el campo correspondiente. Propietario del registro Título: Código: PROCEDIMIENTO PARA EL CONTROL DE REGISTROS Versión: PR-OPP-DOC-001 Página: 04 6/11 Nº Actividad Responsable 3 Determina que puesto desempeñará el rol de Custodio del registro y registra esta información en el borrador de Lista Maestra de Registros, en el campo correspondiente. Propietario del registro 4 Determina la clasificación de información que le corresponde al registro, de acuerdo con la “Política de Clasificación, Etiquetado y Tratamiento de la Información Administrada por PROMPERÚ” y registra esta información en la versión preliminar de Lista Maestra de Registros, en el campo correspondiente. Propietario del registro 5 Determina las condiciones de almacenamiento, el acceso y disposición del registro, según lo señalado en los numerales 7.2, 7.3, 7.4, 7.5, 7.6 y 7.7 del presente documento y tomando en consideración su medio de almacenamiento. Propietario del registro Esta información se registra en la versión preliminar de la Lista Maestra de Registros, en los campos correspondientes. Nota: El acceso a los registros almacenados del SGC/SGSI por parte del “Personal de PROMPERÚ”, es administrado por el Custodio del registro respectivo. 6 Remite vía correo electrónico la versión preliminar de la Lista Maestra de Registros al Especialista de la URCN para su revisión. Propietario del registro 7 Revisa que los campos de la versión preliminar de la Lista Maestra de Registros se hayan establecido correctamente y actualiza la Lista Maestra de Registros, incorporando y/o actualizando la información de dicho borrador. Fin del procedimiento. Especialista de la URCN Nota: En caso se requiera, el Especialista de la URCN coordinará con el Propietario del registro los ajustes que correspondan. 9. REGISTROS Código Nº de ejemplares FO-OPP-DOC-001 1 Descripción Lista Maestra de Registros Lugar de archivo Carpeta de red: SGC_ISO_9001 \1) Procesos del Sistema\Registros\1) Gestion Documental Tiempo de archivo (Años) Permanente 10. HOJA DE CONTROL DE CAMBIOS Nº de versión Nº de Párrafo/ Figura/ capítulo/ Ítem Tabla/ Nota Modificaciones 03 Todo el documento --- Se hace referencia a la versión de la norma ISO 9001:2015. 03 5 --- Se ajustan las definiciones en base a la norma ISO 9000:2015 y se añade la definición de propietario del registro. 03 6 6.4 Se precisa que el idioma debe ser el español. 03 6 6.5 Se añade que en caso de corrección de registros (físicos o electrónicos) se debe especificar el motivo. 03 7 7.3 Se precisa en la “Nota” que los correos se deben guardar en las carpetas del SGC o del SGSI, según aplique. Título: Código: PROCEDIMIENTO PARA EL CONTROL DE REGISTROS Nº de versión Nº de Párrafo/ Figura/ capítulo/ Ítem Tabla/ Nota Versión: PR-OPP-DOC-001 Página: 04 7/11 Modificaciones 03 7 7.5 Se precisa que los controles de protección de registros electrónicos está a cargo de la OTI y la URCN; y en el caso de registros físicos, a cargo del custodio del registro y Dpto. de Servicios Generales. 03 7 7.8 Se mejora la redacción. Se mantiene el fondo del lineamiento establecido en la versión anterior. 03 8 8.5, 8.6 Se incorpora en la actividad 8.5 lo referido a la “disposición” de los registros; y se elimina la sección 8.6. 03 11 Anexo Nº 3 Se modifica el Anexo Nº 3 con base a los registros obligatorios establecidos por la Norma ISO 9001:2015. 11. ANEXOS Descripción Anexo Diagrama de Flujo 1 Formato: Lista Maestra de Registros 2 Registros obligatorios del SGC/SGSI 3 Título: Código: PROCEDIMIENTO PARA EL CONTROL DE REGISTROS PR-OPP-DOC-001 Versión: Página: 04 8/11 ANEXO Nº 1 DIAGRAMA DE FLUJO Dueño del proceso Propietario del Registro Especialista de la URCN Inicio 1 Establece o redefine los registros necesarios para el SGC/SGSI, con la asistencia técnica de un Especialista de la URCN, de ser necesaria 2 Identifica el registro asignando el nombre y/o código y registra esta información en una versión preliminar de la Lista Maestra de Registros, en campo correspondiente 3 Determina que puesto desempeñará el rol de Custodio del registro y registra en la versión preliminar de la Lista Maestra de Registros, en campo correspondiente 4 Determina la clasificación de información del registro, de acuerdo con la “Política de Clasificación, Etiquetado y Tratamiento de la Información Administrada por PROMPERÚ” y registra en el borrador de Lista Maestra de Registros, en los campos correspondientes 5 Determina las condiciones de almacenamiento, el acceso y disposición del registro, y registra en la versión preliminar de la Lista Maestra de Registros, en los campos correspondientes 6 Remite vía correo electrónico la versión preliminar de la Lista Maestra de Registros al Especialista de la URCN para su revisión 7 Revisa que campos de la versión preliminar de la Lista Maestra de Registros y actualiza la Lista Maestra de Registros, incorporando y/o actualizando la información de dicho borrador Fin Título: Código: PROCEDIMIENTO PARA EL CONTROL DE REGISTROS ANEXO Nº 2 PR-OPP-DOC-001 Versión: 04 Página: 9/11 Título: Código: PROCEDIMIENTO PARA EL CONTROL DE REGISTROS PR-OPP-DOC-001 Versión: 04 Página: 10/11 Título: Código: PROCEDIMIENTO PARA EL CONTROL DE REGISTROS Versión: PR-OPP-DOC-001 Página: 04 11/11 ANEXO Nº 3 Registros obligatorios para el Sistema de Gestión de la Calidad – ISO 9001:2015 Tiempo de retención Nº Clausula Tipo de Registro 1 7.2 De competencia (educación, experiencia, formación y otras actividades) y evaluación de la eficacia de las capacitaciones. 2 8.2.3.2 Resultados de la revisión de los requisitos para los productos y servicios / Requisitos nuevos de los productos y servicios. 6 años 3 8.3.3 Información de entrada para el diseño y desarrollo 6 años 4 8.3.5 Salidas para el diseño y desarrollo 6 años 5 8.3.6 Cambios en el diseño y desarrollo (resultado de evaluación del cambio, autorización y acciones para evitar impactos negativos). 6 años 6 8.4 Evaluación, selección, seguimiento al desempeño y re-evaluación de proveedores externos; así como las acciones que surjan de dichas evaluaciones. X 7 8.4 Seguimiento al desempeño y re-evaluación de proveedores internos; así como las acciones que surjan de dichas evaluaciones. X 8 8.5.2 Identificación y trazabilidad de los productos y servicios ofrecidos. X 9 8.5.3 Propiedad perteneciente a clientes y proveedores externos 10 8.5.6 Cambios en la producción y prestación del servicio (resultado de evaluación del cambio, autorización y acciones para evitar impactos negativos). X 11 8.6 Liberación de productos y servicios (criterio de aceptación y responsables de liberación). X 12 8.7.2 Control de las salidas no conformes (descripción de no conformidad, acciones tomadas, concesiones, y autoridad que define el plan de acción frente a la no conformidad). X 13 9.1.1 Resultados del seguimiento y medición. 6 años 14 9.2.2 Programa de auditoría interna y resultados de auditorías internas 6 años 15 9.3.3 Resultados de la revisión por parte de la dirección. X 16 10.2.2 No conformidades, acciones tomadas y acciones correctivas. X Permanente No permanente (mínimo) X 6 años Registros obligatorios para el Sistema de Gestión de Seguridad de la Información – ISO 27001:2013 Tiempo de retención Nº Clausula Tipo de Registro 1 7.2 De capacitación, habilidades, experiencia y calificaciones. x 2 9.1 Resultados de supervisión y medición. x 3 9.2 De programa de auditoría interna. 6 años 4 9.2 De resultados de auditorías internas 6 años 5 9.3 De resultados de la revisión por parte de la dirección. x 6 10.1 Resultados de acciones correctivas. x 7 A.12.4.1, y A.12.4.3 Registros sobre actividades de los usuarios, excepciones y eventos de seguridad Permanente No permanente (mínimo) 3 años