Subido por Thais Perez

Procedimiento-de-Control-de-Registros

Anuncio
Título:
Código:
PROCEDIMIENTO PARA EL CONTROL DE REGISTROS
1.
Versión:
PR-OPP-DOC-001
Página:
04
2/11
OBJETIVO
Establecer los lineamientos y el procedimiento a seguir para definir los controles necesarios para la identificación,
almacenamiento, protección, recuperación, conservación y disposición de los registros establecidos para el SGC y
el SGSI de PROMPERÚ, bajo las normas ISO 9001:2015 e ISO/IEC 27001:2013, respectivamente.
2.
ALCANCE
El presente procedimiento es administrado por la Unidad de Racionalización de la OPP y es fuente de consulta y
aplicación para las áreas que generan y mantienen los registros establecidos para el SGC ISO 9001:2015 y del SGSI
ISO/IEC 27001:2013 de PROMPERÚ. El procedimiento se inicia con el establecimiento o redefinición de los registros
necesarios para el SGC/SGSI y finaliza con la actualización de la Lista Maestra de Registros.
3.
DOCUMENTOS A CONSULTAR
3.1. Ley Nº 30075, Ley de Fortalecimiento de la Comisión de Promoción del Perú para la Exportación y el Turismo
- PROMPERÚ.
3.2. Ley Nº 30114, Ley de Presupuesto del Sector Publico para el año fiscal 2014, Septuagésima Quinta Disposición
Complementaria Final.
3.3. Reglamento de Organización y Funciones de la Comisión de Promoción del Perú para la Exportación y el
Turismo - PROMPERÚ aprobado por Decreto Supremo Nº 013-2013-MINCETUR.
3.4. Manual de Perfiles de Puestos de PROMPERÚ, aprobado por Resolución de Secretaría General N° 028-2014PROMPERÚ/SG y modificatorias.
3.5. Manual de Funciones y Perfiles de PROMPERÚ, aprobado por Resolución de Secretaría General N° 102-2008PROMPERÚ/SG y modificatorias.
3.6. Manual de Calidad de la Comisión de Promoción del Perú para la Exportación y el Turismo vigente.
3.7. Manual del Sistema de Gestión de Seguridad de la Información vigente.
3.8. Política de Clasificación, Etiquetado y Tratamiento de la Información Administrada por PROMPERÚ.
3.9. Procedimiento para el Control de los Documentos Internos, PR-OPP-DOC-002.
3.10. Procedimiento de Transferencia Documental al Archivo Central de PROMPERÚ, UAAD-SGE-PR-01.
3.11. Procedimiento de Solicitud y Atención de Servicios Archivísticos, UAAD-SGE-PR-02.
3.12. Norma ISO 9000:2015. Sistemas de gestión de la calidad - Fundamentos y vocabulario.
3.13. Norma ISO 9001:2015. Sistemas de gestión de la calidad - Requisitos.
3.14. Norma ISO/IEC 27001:2013. Tecnología de la información. Técnicas de seguridad. Sistemas de gestión de
seguridad de la información. Requisitos.
4.
SIGLAS Y ACRÓNIMOS
4.1. OPP: Oficina de Planeamiento y Presupuesto.
4.2. OTI: Oficina de Tecnologías de la Información.
4.3. SGC: Sistema de Gestión de la Calidad.
4.4. SGSI: Sistema de Gestión de Seguridad de la Información.
4.5. URCN: Unidad de Racionalización.
Título:
Código:
PROCEDIMIENTO PARA EL CONTROL DE REGISTROS
5.
Versión:
PR-OPP-DOC-001
Página:
04
3/11
DEFINICIONES
Para efectos del presente procedimiento se consideran las siguientes definiciones, las mismas que se encuentran
señaladas en la norma ISO 9000:2015:
5.1. Información: Datos que poseen significado.
5.2. Información documentada: Información que una organización tiene que controlar y mantener, y el medio
que la contiene.
5.3. Registro: Documento que presenta resultados obtenidos o proporciona evidencias de actividades realizadas.
Nota 1: Los registros pueden utilizarse, por ejemplo, para formalizar la trazabilidad y para proporcionar evidencia de verificaciones,
acciones preventivas y acciones correctivas.
Nota 2: En general los registros no necesitan estar sujetos al control del estado de revisión.
Asimismo, para el caso específico del presente procedimiento se consideran las siguientes definiciones:
5.4. Acceso al registro: Decisión concerniente al permiso solamente para consultar el registro, o el permiso y la
autoridad para consultarlo y modificarlo.
5.5. Almacenamiento del registro: Definición del lugar en el cual se archiva temporal o definitivamente un
registro del SGC o SGSI.
5.6. Archivo: Conjunto ordenado de documentos que una persona, una sociedad, una institución, etc., producen
en el ejercicio de sus funciones o actividades.
5.7. Archivo de gestión: Archivo establecido y organizado por cada uno de los órganos, unidades orgánicas o
unidades funcionales de la entidad, en él se administra, custodia y conserva el acervo documentario de
revisión o consulta frecuente de cada una de estas áreas.
5.8. Archivo Central: Archivo establecido y organizado por la Unidad de Asuntos Administrativos, en él se
administra, custodia y conserva el acervo documentario transferido de los diversos archivos de gestión de
PROMPERÚ.
5.9. Conservación de registros: Mantener la integridad física del medio de soporte y la información de los
registros del SGC y SGSI, a través de la implementación de medidas de preservación y restauración.
5.10. Custodio del registro: Puesto responsable de la administración y protección de los registros del SGC/SGSI que
le son asignados; se encarga de su almacenamiento, conservación, disposición y aplicación de los controles
definidos en la Lista Maestra de Registros. La designación del custodio es realizada por el Propietario del
registro, a través de la Lista Maestra de Registros.
5.11. Disposición de registros: Acción a tomar una vez que el registro ha superado su tiempo de retención.
5.12. Dueño del proceso: Puesto con la responsabilidad y autoridad para gestionar un proceso en términos de
planificación, ejecución, seguimiento y mejora continua. Además, desempeña el rol de Propietario de los
registros del SGC/SGSI identificados para su proceso.
5.13. Formato: Documento que indica la información que debe registrarse para mantener evidencia de la
realización de un proceso, actividad o tarea. Cuando el formato contiene datos y/o información se convierte
en registro.
5.14. Identificación del registro: Asignación de código y/o nombre único al registro, que permita diferenciarlo sin
lugar a dudas de otro registro.
5.15. Propietario del registro: Rol asumido por el Dueño del proceso (Ver numeral 5.12).
5.16. Protección: Asegurar la integridad, disponibilidad y confidencialidad de los registros durante todo su periodo
de retención.
Título:
Código:
PROCEDIMIENTO PARA EL CONTROL DE REGISTROS
PR-OPP-DOC-001
Versión:
04
Página:
4/11
5.17. Recuperación: Conjunto de actividades orientadas a facilitar la localización de determinados registros
previamente almacenados.
6.
CONDICIONES BÁSICAS
6.1. Los registros establecidos para proporcionar evidencia de la conformidad con los requisitos, así como de la
operación eficaz del SGC/SGSI bajo las normas ISO 9001:2015 e ISO/IEC 27001:2013 respectivamente, deben
controlarse. Estos registros serán establecidos por el Dueño del proceso con la asistencia técnica de un
Especialista de la URCN, de ser necesaria.
6.2. La Lista Maestra de Registros, es el documento en el cual se establecen los controles para cada registro, tales
como: su identificación, clasificación, almacenamiento, protección, tiempo de retención y disposición.
6.3. Los registros pueden encontrarse o estar soportados en papel, de manera electrónica (discos duros,
disquetes, CD, DVD, etc.) u otro medio (aquellos que no pueden ser incluidos en las categorías anteriores,
tales como videocintas, rollos fotográficos, cintas de audio, etc.).
6.4. Los registros deben permanecer legibles, en idioma español, fácilmente identificables y recuperables para su
uso, dónde y cuándo se necesiten.
6.5. No debe borrarse, bajo ninguna circunstancia, la información registrada originalmente en un registro; las
correcciones a la información plasmada en los registros físicos, deben realizarse trazando una línea sobre la
información a corregir, garantizando que ésta quede legible, para luego consignar la nueva información al
margen de la información original, en el caso de registros electrónicos se colocará un comentario sobre la
información modificada. En ambos casos se precisará la justificación de la corrección efectuada ya sea en la
parte posterior del registro (cuando sea físico) o en el comentario añadido (cuando sea electrónico).
6.6. Todas las correcciones a los registros físicos deben ser revisadas y firmadas por el Custodio del registro.
6.7. Los registros manuscritos, solo deben hacerse utilizando lapicero (no lápiz).
6.8. Los campos de los formatos que resulten no aplicables al momento de generar los registros, deben ser
invalidados consignando el texto “No aplica” o “N/A”.
7.
CONDICIONES ESPECÍFICAS
7.1. Cada registro del SGC/SGSI debe tener una identificación única, siendo estos de tres (3) tipos: los que
provienen de un formato establecido para el SGC/SGSI, los libres de formato (sin una estandarización) y los
externos (que provienen de otras entidades).
7.2. En el caso de formatos, estos se identifican por su nombre y el código del formato respectivo, definido de
acuerdo con el Procedimiento para el Control de los Documentos Internos. El resto de los registros, se
identifican únicamente por su nombre.
Nota 1: Los correos electrónicos considerados como registros del SGC/SGSI se identifican a través del nombre que se encuentra en el
campo “Asunto”.
Nota 2: Eventualmente, para efecto de apoyo, se podrán conservar, manejar o administrar formatos u otro tipo de documentos impresos
o en medios electrónicos que no estén controlados en el SGC o SGSI, siempre que los mismos no estén relacionados con el cumplimiento
de requisitos o la operación eficaz de dichos sistemas.
7.3. Los registros físicos se almacenan en archivadores o cualquier otro elemento contenedor que garantice su
conservación, y forman parte del Archivo de gestión del área que gestiona el proceso asociado al registro.
7.4. Los registros electrónicos deben almacenarse en la carpeta del SGC (SGC_ISO_9001) o del SGSI
(respositorioSGSI) según corresponda, ubicadas en servidores administrados por la OTI, oficina responsable
de realizar los respaldos (backup) correspondientes.
Nota: Los correos electrónicos considerados como registros del SGC/SGSI deben almacenarse en formato de mensaje de Outlook (MSG)
en las carpetas indicadas anteriormente.
Título:
Código:
PROCEDIMIENTO PARA EL CONTROL DE REGISTROS
PR-OPP-DOC-001
Versión:
Página:
04
5/11
7.5. Los criterios de ordenamiento para asegurar la recuperación inmediata de los registros almacenados son los
siguientes:
a) Alfabéticamente
b) Numéricamente
c) Alfanuméricamente
d) Cronológicamente
7.6. Los registros deben estar protegidos adecuadamente (por ejemplo, contra pérdida de la confidencialidad,
uso inadecuado, o pérdida de integridad).
En el caso de los registros físicos, estos se deben proteger a fin de asegurar que se mantengan legibles e
identificables, y recuperables, por lo que estos deben ser almacenados en lugares apropiados y seguros a fin
de evitar su deterioro; siendo responsable de ello el Custodio del registro. Así mismo, el Departamento de
Servicios Generales es responsable de asegurar el control del acceso a las instalaciones de la entidad.
En el caso de los registros electrónicos, estos se deben proteger contra su pérdida y/o modificación mediante
controles tales como:
a) Claves o contraseñas de acceso a computadores, claves o contraseñas de usuario, respaldos (backup) u
otros, son administrados por la OTI.
b) Claves o contraseñas de apertura de archivos, claves o contraseñas de protección de archivos contra
escritura, son administrador por el Custodio del registro.
7.7. El tiempo de retención (mínimo) de los registros se define en la Lista Maestra de Registros (Ver Anexo 2),
tomando en consideración los requisitos legales, contractuales y reglamentarios vigentes. Para los registros
obligatorios del SGC/SGSI se deberá tener en cuenta los tiempos de retención establecidos en el Anexo 3:
Registros obligatorios del SGC/SGSI, del presente procedimiento.
7.8. La disposición de los registros se define en la Lista Maestra de Registros, de acuerdo con lo siguiente:
a) Los registros electrónicos deben ser eliminados en todos los casos.
b) Los registros físicos pueden eliminarse o en su defecto ser transferidos al Archivo Central de PROMPERÚ
por un periodo de tiempo definido antes de su eliminación.
7.9. Cuando se haya dispuesto que los registros del archivo de gestión sean transferidos al Archivo Central de
PROMPERÚ, se aplicará el Procedimiento de Transferencia Documental al Archivo Central de PROMPERÚ. La
consulta de estos registros, se realizará mediante el Procedimiento de Solicitud y Atención de Servicios
Archivísticos.
7.10. El Custodio del registro, por lo menos una vez al año, debe realizar verificaciones para identificar los registros
que ya cumplieron su tiempo de retención y coordinar su disposición con el Propietario del registro.
8.
DESCRIPCIÓN DEL PROCEDIMIENTO
Nº
Actividad
Responsable
1
Establece o redefine los registros necesarios para el SGC/SGSI dentro
del alcance de su proceso, con la asistencia técnica de un Especialista
de la URCN, de ser necesaria.
Dueño del proceso
Nota: Si se requiere crear, modificar o anular un formato, se debe seguir el
Procedimiento para el Control de los Documentos Internos vigente.
2
Identifica el registro asignando el nombre y/o código, según lo
señalado en el numeral 7.2 del presente documento y registra esta
información en una versión preliminar de la Lista Maestra de Registros,
en el campo correspondiente.
Propietario del registro
Título:
Código:
PROCEDIMIENTO PARA EL CONTROL DE REGISTROS
Versión:
PR-OPP-DOC-001
Página:
04
6/11
Nº
Actividad
Responsable
3
Determina que puesto desempeñará el rol de Custodio del registro y
registra esta información en el borrador de Lista Maestra de Registros,
en el campo correspondiente.
Propietario del registro
4
Determina la clasificación de información que le corresponde al
registro, de acuerdo con la “Política de Clasificación, Etiquetado y
Tratamiento de la Información Administrada por PROMPERÚ” y
registra esta información en la versión preliminar de Lista Maestra de
Registros, en el campo correspondiente.
Propietario del registro
5
Determina las condiciones de almacenamiento, el acceso y disposición
del registro, según lo señalado en los numerales 7.2, 7.3, 7.4, 7.5, 7.6 y
7.7 del presente documento y tomando en consideración su medio de
almacenamiento.
Propietario del registro
Esta información se registra en la versión preliminar de la Lista Maestra
de Registros, en los campos correspondientes.
Nota: El acceso a los registros almacenados del SGC/SGSI por parte del “Personal de
PROMPERÚ”, es administrado por el Custodio del registro respectivo.
6
Remite vía correo electrónico la versión preliminar de la Lista Maestra
de Registros al Especialista de la URCN para su revisión.
Propietario del registro
7
Revisa que los campos de la versión preliminar de la Lista Maestra de
Registros se hayan establecido correctamente y actualiza la Lista
Maestra de Registros, incorporando y/o actualizando la información de
dicho borrador. Fin del procedimiento.
Especialista de la URCN
Nota: En caso se requiera, el Especialista de la URCN coordinará con el Propietario del
registro los ajustes que correspondan.
9.
REGISTROS
Código
Nº de
ejemplares
FO-OPP-DOC-001
1
Descripción
Lista Maestra de Registros
Lugar de archivo
Carpeta de red:
SGC_ISO_9001 \1)
Procesos del
Sistema\Registros\1)
Gestion Documental
Tiempo de
archivo (Años)
Permanente
10. HOJA DE CONTROL DE CAMBIOS
Nº de
versión
Nº de
Párrafo/ Figura/
capítulo/ Ítem
Tabla/ Nota
Modificaciones
03
Todo el
documento
---
Se hace referencia a la versión de la norma ISO 9001:2015.
03
5
---
Se ajustan las definiciones en base a la norma ISO 9000:2015 y se
añade la definición de propietario del registro.
03
6
6.4
Se precisa que el idioma debe ser el español.
03
6
6.5
Se añade que en caso de corrección de registros (físicos o
electrónicos) se debe especificar el motivo.
03
7
7.3
Se precisa en la “Nota” que los correos se deben guardar en las
carpetas del SGC o del SGSI, según aplique.
Título:
Código:
PROCEDIMIENTO PARA EL CONTROL DE REGISTROS
Nº de
versión
Nº de
Párrafo/ Figura/
capítulo/ Ítem
Tabla/ Nota
Versión:
PR-OPP-DOC-001
Página:
04
7/11
Modificaciones
03
7
7.5
Se precisa que los controles de protección de registros electrónicos
está a cargo de la OTI y la URCN; y en el caso de registros físicos, a
cargo del custodio del registro y Dpto. de Servicios Generales.
03
7
7.8
Se mejora la redacción. Se mantiene el fondo del lineamiento
establecido en la versión anterior.
03
8
8.5, 8.6
Se incorpora en la actividad 8.5 lo referido a la “disposición” de los
registros; y se elimina la sección 8.6.
03
11
Anexo Nº 3
Se modifica el Anexo Nº 3 con base a los registros obligatorios
establecidos por la Norma ISO 9001:2015.
11. ANEXOS
Descripción
Anexo
Diagrama de Flujo
1
Formato: Lista Maestra de Registros
2
Registros obligatorios del SGC/SGSI
3
Título:
Código:
PROCEDIMIENTO PARA EL CONTROL DE REGISTROS
PR-OPP-DOC-001
Versión:
Página:
04
8/11
ANEXO Nº 1
DIAGRAMA DE FLUJO
Dueño del proceso
Propietario del Registro
Especialista de la URCN
Inicio
1
Establece o redefine los
registros necesarios para el
SGC/SGSI, con la asistencia
técnica de un Especialista de la
URCN, de ser necesaria
2
Identifica el registro asignando
el nombre y/o código y
registra esta información en
una versión preliminar de la
Lista Maestra de Registros, en
campo correspondiente
3
Determina que puesto
desempeñará el rol de
Custodio del registro y registra
en la versión preliminar de la
Lista Maestra de Registros, en
campo correspondiente
4
Determina la clasificación de
información del registro, de
acuerdo con la “Política de
Clasificación, Etiquetado y
Tratamiento de la Información
Administrada por PROMPERÚ”
y registra en el borrador de
Lista Maestra de Registros, en
los campos correspondientes
5
Determina las condiciones de
almacenamiento, el acceso y
disposición del registro, y
registra en la versión
preliminar de la Lista Maestra
de Registros, en los campos
correspondientes
6
Remite vía correo electrónico
la versión preliminar de la Lista
Maestra de Registros al
Especialista de la URCN para su
revisión
7
Revisa que campos de la
versión preliminar de la Lista
Maestra de Registros y
actualiza la Lista Maestra de
Registros, incorporando y/o
actualizando la información de
dicho borrador
Fin
Título:
Código:
PROCEDIMIENTO PARA EL CONTROL DE REGISTROS
ANEXO Nº 2
PR-OPP-DOC-001
Versión:
04
Página:
9/11
Título:
Código:
PROCEDIMIENTO PARA EL CONTROL DE REGISTROS
PR-OPP-DOC-001
Versión:
04
Página:
10/11
Título:
Código:
PROCEDIMIENTO PARA EL CONTROL DE REGISTROS
Versión:
PR-OPP-DOC-001
Página:
04
11/11
ANEXO Nº 3
Registros obligatorios para el Sistema de Gestión de la Calidad – ISO 9001:2015
Tiempo de retención
Nº
Clausula
Tipo de Registro
1
7.2
De competencia (educación, experiencia, formación y otras actividades) y
evaluación de la eficacia de las capacitaciones.
2
8.2.3.2
Resultados de la revisión de los requisitos para los productos y servicios /
Requisitos nuevos de los productos y servicios.
6 años
3
8.3.3
Información de entrada para el diseño y desarrollo
6 años
4
8.3.5
Salidas para el diseño y desarrollo
6 años
5
8.3.6
Cambios en el diseño y desarrollo (resultado de evaluación del cambio,
autorización y acciones para evitar impactos negativos).
6 años
6
8.4
Evaluación, selección, seguimiento al desempeño y re-evaluación de
proveedores externos; así como las acciones que surjan de dichas evaluaciones.
X
7
8.4
Seguimiento al desempeño y re-evaluación de proveedores internos; así como
las acciones que surjan de dichas evaluaciones.
X
8
8.5.2
Identificación y trazabilidad de los productos y servicios ofrecidos.
X
9
8.5.3
Propiedad perteneciente a clientes y proveedores externos
10
8.5.6
Cambios en la producción y prestación del servicio (resultado de evaluación del
cambio, autorización y acciones para evitar impactos negativos).
X
11
8.6
Liberación de productos y servicios (criterio de aceptación y responsables de
liberación).
X
12
8.7.2
Control de las salidas no conformes (descripción de no conformidad, acciones
tomadas, concesiones, y autoridad que define el plan de acción frente a la no
conformidad).
X
13
9.1.1
Resultados del seguimiento y medición.
6 años
14
9.2.2
Programa de auditoría interna y resultados de auditorías internas
6 años
15
9.3.3
Resultados de la revisión por parte de la dirección.
X
16
10.2.2
No conformidades, acciones tomadas y acciones correctivas.
X
Permanente
No permanente
(mínimo)
X
6 años
Registros obligatorios para el Sistema de Gestión de Seguridad de la Información – ISO 27001:2013
Tiempo de retención
Nº
Clausula
Tipo de Registro
1
7.2
De capacitación, habilidades, experiencia y calificaciones.
x
2
9.1
Resultados de supervisión y medición.
x
3
9.2
De programa de auditoría interna.
6 años
4
9.2
De resultados de auditorías internas
6 años
5
9.3
De resultados de la revisión por parte de la dirección.
x
6
10.1
Resultados de acciones correctivas.
x
7
A.12.4.1, y
A.12.4.3
Registros sobre actividades de los usuarios, excepciones y eventos de seguridad
Permanente
No permanente
(mínimo)
3 años
Descargar