ISO 45001/45002 7.5.3 문서화된 정보의 통제: 최신 정보가 현장에 있어야 한다
ISO 45001 · ISO 45002 · Clause 7.5.3
ISO 45001/45002 7.5.3 문서화된 정보의 통제: 최신 정보가 현장에 있어야 한다
ISO 45001을 운영하다 보면 많은 조직이 문서 작성에는 공을 들이지만, 정작 그 문서가 누가 쓰는지, 어디에 있는지, 최신본인지, 구버전이 현장에 남아 있지는 않은지까지는 충분히 관리하지 못하는 경우가 많습니다. 바로 이 지점을 다루는 조항이 7.5.3 문서화된 정보의 통제입니다. ISO 45001:2018은 2024년에 재확인된 현행판이며, Amendment 1:2024가 반영된 체계 안에서 운영되고 있습니다. 또 ISO 45002:2023은 ISO 45001 실행을 위한 일반 지침으로 공식 소개됩니다. 이런 흐름을 보면 7.5.3은 단순 행정 조항이 아니라, 시스템 신뢰성 조항이라고 보는 편이 맞습니다. 문서가 있다는 사실보다, 필요한 사람이 필요한 순간에 올바른 버전을 실제로 쓸 수 있는지가 더 중요하기 때문입니다.
- 7.5.3은 보관 조항이 아니라, 정확성·최신성·접근성·오용 방지를 다루는 조항입니다.
- 핵심은 문서가 적절히 식별되고, 정기적으로 검토·개정·승인되며, 필요한 장소에서 최신본으로 이용 가능해야 한다는 점입니다.
- 오래된 문서는 의도하지 않은 사용이 일어나지 않도록 구식 문서임이 명확히 식별되어야 합니다.
- 내부 문서뿐 아니라 SDS, 제조사 매뉴얼, 법규 자료, 계약서 같은 외부 출처 문서도 통제 대상입니다.
왜 7.5.3이 중요한가
최신 작업지침이 개정되었는데 현장에는 예전 인쇄본만 붙어 있고, 서버에는 새 버전이 있지만 필요한 사람이 로그인 문제 때문에 바로 열어보지 못하고, 오래된 비상대응 절차가 여전히 폴더 속에 섞여 있다면 문서는 존재해도 통제는 실패한 것입니다. 바로 이런 현실을 다루는 조항이 7.5.3입니다.
그래서 이번 글의 핵심 문장은 이렇게 잡는 편이 좋습니다. “7.5.3은 문서를 보관하는 조항이 아니라, 필요한 사람이 필요한 순간에 올바른 버전의 정보를 쓰고, 오래되거나 잘못된 정보의 오용을 막도록 만드는 조항이다.”
7.5.1, 7.5.2, 7.5.3은 어떻게 다를까
7.5.1은 무엇을 왜 문서화할 것인가를 다루고, 7.5.2는 그 문서를 어떤 형식과 언어, 어떤 작성·검토·승인 구조로 만들고 갱신할 것인가를 다룹니다. 반면 7.5.3은 그렇게 만들어진 문서를 어떻게 배포하고, 보호하고, 최신 상태로 유지하고, 구버전 오용을 막을 것인가를 다룹니다.
즉 7.5.3은 문서화된 정보 관리에서 가장 운영적인 조항입니다. 문서가 실제로 현장에 닿는 순간의 품질을 책임지는 조항이라고도 볼 수 있습니다. 문서가 잘 만들어졌더라도 통제가 안 되면 시스템은 쉽게 흔들립니다.
ISO 45002는 7.5.3을 어떻게 설명하나
업로드해주신 ISO 45002 번역본에 따르면, 문서화된 정보의 통제는 크게 네 가지를 보장해야 합니다. 첫째, 정보가 어느 조직·부서·기능·활동·담당자와 관련된 것인지 식별될 수 있어야 합니다. 둘째, 조직이 유지하는 정보가 정기적으로 검토되고 필요 시 개정되며 발행 전에 권한 있는 사람에게 승인되어야 합니다. 셋째, 효과적인 시스템 운영을 위해 필수적인 작업이 수행되는 장소에서 현재 버전이 이용 가능해야 합니다. 넷째, 오래된 정보는 의도하지 않은 사용이 일어나지 않도록 구식 문서임이 명확히 식별되어야 합니다.
이 네 가지를 보면 7.5.3의 핵심은 아주 분명합니다. 문서 통제는 보관이 아니라 정확성, 최신성, 접근성, 오용 방지를 다루는 조항입니다.
효과적인 통제를 위해 무엇이 필요할까
45002는 문서화된 정보를 효과적으로 통제하는 방법도 꽤 구체적으로 제시합니다. 예를 들어 고유한 제목, 번호, 날짜, 개정번호, 개정 이력, 승인권자를 포함하는 형식을 만들고, 충분한 기술적 능력과 조직적 권한을 가진 사람에게 검토와 승인 책임을 부여하며, 효과적인 배포 시스템을 유지하는 방식이 제시됩니다.
이건 아주 실무적입니다. 현장에서 문서가 혼란스러워지는 이유는 대개 “이게 최신본인가?”, “누가 바꿨지?”, “왜 바뀌었지?”가 불분명하기 때문입니다. 7.5.3은 바로 그런 혼란을 막기 위한 구조를 요구합니다.
| 통제 요소 | 실무에서 의미하는 것 |
|---|---|
| 식별 | 제목, 번호, 날짜, 개정번호, 개정이력으로 문서의 상태와 성격을 바로 알 수 있어야 함 |
| 검토·개정·승인 | 권한 있는 사람이 정기적으로 검토하고 필요 시 개정하며 발행 전 승인해야 함 |
| 배포와 이용 가능성 | 필요한 작업이 수행되는 장소에서 최신본을 실제로 볼 수 있어야 함 |
| 구버전 관리 | 오래된 정보가 의도치 않게 사용되지 않도록 구식 문서로 분명히 식별되어야 함 |
| 보호 | 종이와 전자문서 모두 가독성, 무결성, 기밀성, 복구 가능성을 유지해야 함 |
왜 최신본 관리가 핵심 중 핵심일까
45002는 효과적인 시스템 운영을 위해 필수적인 작업이 수행되는 장소에서 관련 문서화된 정보의 현재 버전이 이용 가능해야 한다고 설명합니다. 이 말은 단순하지만 매우 중요합니다. 예를 들어 최신 비상대응 절차는 서버 안에만 있으면 부족하고, 필요한 사람이 바로 확인할 수 있어야 합니다.
최신 작업지침이 개정되었는데 현장에는 예전 인쇄본만 붙어 있다면, 문서는 존재해도 통제는 실패한 것입니다. 그래서 7.5.3은 “문서가 있는가”보다 올바른 버전이 올바른 장소에 있는가를 묻는 조항입니다.
왜 구버전 오용 방지가 같은 만큼 중요할까
반대로, 구버전 오용 방지도 최신본 관리만큼 중요합니다. 45002는 오래된 정보가 의도하지 않게 사용되지 않도록 적절하게 식별되어야 한다고 설명합니다. 실무적으로는 “폐기”, “obsolete”, “구버전” 표시를 하거나 접근권한을 제한하는 방식이 있을 수 있습니다.
작업표준, 비상절차, 화학물질 취급지침, 설비 점검 기준 같은 문서에서 구버전이 남아 있으면, 그 자체가 OH&S 리스크가 될 수 있습니다. 7.5.3은 결국 문서의 존재 자체보다 문서의 상태를 관리하는 조항입니다.
접근성은 왜 저장보다 더 실무적인 문제일까
45002는 문서화된 정보가 필요할 때와 필요한 곳에서 이용 가능해야 한다고 설명합니다. 이 부분은 접근성의 문제입니다. 어떤 조직은 전자문서를 잘 관리하지만 현장에서는 로그인 문제 때문에 바로 접근하지 못하고, 어떤 조직은 인쇄본은 있지만 최신 개정이 반영되지 않습니다. 또 교대근무 현장, 외부 현장, 원격근무 환경에서는 접근 방식이 달라질 수 있습니다.
그래서 7.5.3은 단순 저장 규칙이 아니라, 실제 사용 환경을 고려한 접근성 통제를 요구합니다. 문서가 잘 보호되어도 정작 필요한 순간에 열리지 않으면 좋은 통제라고 보기 어렵습니다. 이 부분은 앞선 7.5.2 작성 및 업데이트와도 직접 연결됩니다.
7.5.3을 점검할 때는 “문서를 어디 저장했나?”보다 “필요한 사람이 필요한 순간에 최신본을 바로 꺼내 쓸 수 있는가, 그리고 구버전은 확실히 막혀 있는가?”를 먼저 물어야 합니다.
보호(protection)는 왜 무결성과 기밀성까지 포함할까
이 조항에서 특히 실무적인 부분은 보호(protection)입니다. 45002는 종이 문서의 경우 열, 습도, 먼지, 곤충 등으로부터 보호되어 가독성이 유지되어야 한다고 설명합니다. 전자 문서의 경우에는 주기적 백업, 정보 검색 가능성 확인을 위한 정기 테스트, 기밀성 유지를 위한 암호 관리, 해커 등 무단 접근 방지 조치가 필요하다고 봅니다.
이 설명이 좋은 이유는 7.5.3이 단지 문서관리부서의 형식 요건이 아니라 정보 무결성과 가용성을 함께 다루는 조항임을 보여주기 때문입니다. 특히 건강기록처럼 민감한 개인정보는 더 높은 수준의 보호가 필요합니다. 즉 7.5.3은 최신성 + 접근성 + 보호 + 기밀성을 함께 요구한다고 이해하는 편이 맞습니다.
외부 출처 문서도 왜 같은 원칙으로 통제해야 할까
또 하나 놓치기 쉬운 부분은 외부 출처의 문서화된 정보입니다. 45002는 공급업체의 물질안전보건자료(SDS), 장비 제조업체의 유지보수 매뉴얼, 법적 요구사항 자료, 근로자 보험 회사와의 계약 같은 외부 문서도 조직이 사용한다면 동일한 통제 원칙을 적용해야 한다고 설명합니다.
이건 매우 중요합니다. 많은 조직이 내부 문서만 버전 관리하고, 외부 매뉴얼이나 SDS는 받아 두기만 합니다. 하지만 실제 위험은 외부 문서가 구버전으로 남아 있거나, 최신 개정이 반영되지 않았을 때도 발생합니다. 그래서 7.5.3은 내부 문서만이 아니라 업무에 쓰는 모든 핵심 정보의 통제 조항이라고 보는 것이 맞습니다.
한 페이지 매트릭스는 왜 실무적으로 유용할까
45002의 실생활 사례에서 한 중규모 엔지니어링 회사는 문서화된 정보 통제 요구사항을 추적하는 것이 어렵다고 느껴, ISO 45001에서 요구되는 모든 문서화된 정보를 왼쪽에 나열하고 상단에는 문서 형식, 저장 위치, 문서 담당자, 접근 방법, 보유 기간, 처리 방법 같은 통제 요구사항을 적은 한 페이지 매트릭스를 만들었습니다.
이 사례가 좋은 이유는 7.5.3이 꼭 거대한 전산 시스템이나 복잡한 문서관리 규정으로만 구현되는 것은 아니라는 점을 보여주기 때문입니다. 오히려 어떤 문서가 어디에 있고, 누가 책임지고, 누가 접근하고, 얼마나 보유하며, 언제 폐기하는지를 한눈에 보는 구조가 있으면 통제가 훨씬 명확해질 수 있습니다.
실무에서는 이 방식이 특히 유용합니다. 문서 종류가 많아질수록 “무엇이 어디에 있는지”와 “누가 책임지는지”가 흐려지기 쉬운데, 매트릭스는 바로 그 혼선을 줄여주기 때문입니다. 결국 7.5.3의 핵심은 문서가 많든 적든, 통제 원칙을 한눈에 설명할 수 있는 구조를 갖추는 것입니다.
6.1.3, 8.2, 9.2, 10.2와는 어떻게 연결될까
이 관점에서 보면 7.5.3은 6.1.3 법적 요구사항 및 기타 요구사항의 결정과도 연결됩니다. 법규 정보나 계약상 요구사항이 최신 상태로 유지되지 않으면 준수 평가도 흔들리고, 외부 공급업체의 SDS가 최신이 아니면 화학물질 리스크 관리도 부정확해질 수 있습니다.
또 8.2 비상대응에서는 최신 비상계획이 현장에 있어야 하고, 9.2 내부감사와 10.2 사고·부적합·시정조치에서는 결과 기록이 통제된 상태로 남아 있어야 합니다. 즉 문서 통제는 7장 안에만 갇힌 조항이 아니라, 준수, 운영, 비상대응, 사고조사, 교육훈련을 전부 지탱하는 기반입니다.
ISO 45002 사례는 무엇을 보여줄까
45002의 실생활 사례에서 한 중규모 엔지니어링 회사는 7.5.3 요구사항을 추적하는 것이 어렵다고 느껴, ISO 45001에서 요구되는 모든 문서화된 정보를 왼쪽에 나열하고, 상단에는 문서 형식, 저장 위치, 문서 담당자, 접근 방법, 보유 기간, 처리 방법 같은 통제 요구사항을 적은 한 페이지 매트릭스를 만들었습니다.
이 사례는 아주 실용적입니다. 복잡한 문서관리 시스템이 없어도, 최소한 어떤 문서가 어디에 있고 누가 책임지며 언제까지 보유하고 어떻게 폐기할지를 한눈에 보이게 만들면 통제가 훨씬 쉬워진다는 뜻이기 때문입니다. 7.5.3이 잘되는 조직은 보통 문서 하나하나에 대해 “이 문서는 무엇인가, 누가 책임지는가, 어디 저장되는가, 누가 접근할 수 있는가, 최신본은 어떻게 확인하는가, 얼마나 보유하는가, 언제 어떻게 폐기하는가”를 말할 수 있습니다.
실무에서 많이 하는 실수
- 문서 번호와 개정 이력은 있지만 현장 배포가 늦어 최신본이 반영되지 않는 경우
- 전자문서 접근권한이 불명확해 필요한 사람이 못 보거나 민감 정보에 불필요한 사람이 접근하는 경우
- 구버전 인쇄물이 현장에 남아 오용되는 경우
- SDS나 제조사 매뉴얼 같은 외부 문서는 통제 대상이라고 생각하지 않는 경우
- 백업과 복구 시험이 없어 시스템 장애 시 문서 접근이 끊기는 경우
- 보유 기간과 폐기 방법이 모호해 필요 없는 문서가 계속 쌓이는 경우
45002의 취지를 따르면 7.5.3은 서류 보관 조항이 아니라 오류와 혼란을 예방하는 조항입니다. 문서가 틀리면 그 위에 있는 관리도 같이 흔들리기 때문입니다.
표 12와 7.5.3은 왜 함께 봐야 할까
문서화 요구와 관련해서는 45002의 표 12가 이미 7.4.1의 의사소통 증거, 8.2의 비상계획, 9.2의 감사 결과, 10.2의 사고·부적합·시정조치 결과 등 다양한 문서화된 정보를 유지·보유해야 한다고 정리하고 있습니다.
7.5.3은 이 많은 문서가 단지 존재하는 데서 끝나지 않고, 통제된 상태로 유지되게 만드는 상위 운영 원칙이라고 볼 수 있습니다. 즉 7.5.3은 특정 양식 하나를 요구하는 조항이 아니라, 문서화된 정보 전체를 믿고 쓸 수 있게 만드는 조항입니다.
다음 조항과는 어떻게 이어질까
다음은 흐름상 8.1.1 운영 기획 및 통제 일반사항으로 넘어가면 가장 자연스럽습니다. 7.5.3이 “올바른 정보를 올바르게 통제하는 법”이었다면, 8.1.1은 “그 정보를 바탕으로 실제 운영을 어떻게 계획하고 통제할 것인가”로 이어지기 때문입니다.
즉 7장은 정보와 지원의 기반을 정리하고, 8장에 들어가면 그 기반을 바탕으로 실제 작업과 운영을 통제하는 단계로 들어갑니다. 그래서 7.5.3은 7장의 마지막에서 8장 운영을 받쳐주는 문턱 역할을 합니다.
마무리
정리하면, ISO 45001/45002의 7.5.3 문서화된 정보의 통제는 문서 관리의 행정 절차가 아닙니다. 이 조항은 관련 문서가 적절히 식별되고, 정기적으로 검토·개정·승인되며, 필요한 곳에서 최신본으로 이용 가능하고, 오래된 정보의 오용이 방지되며, 종이와 전자문서 모두 무결성과 기밀성을 유지하도록 만드는 조항입니다.
외부 문서도 예외가 아니며, 결국 통제의 목적은 “문서를 잘 정리하는 것”이 아니라 안전보건경영시스템이 잘못된 정보 때문에 흔들리지 않게 하는 것입니다. 그래서 7.5.3은 7.5 전체의 마무리이자, 문서화된 정보가 실제로 현장에서 맞는 버전으로 사용되게 만드는 핵심 조항이라고 보는 것이 가장 정확합니다.
참고 링크
- ISO 45001 공식 페이지 : ISO 45001:2018이 2024년에 재확인된 현행판임을 확인할 수 있습니다.
- ISO 45002:2023 공식 페이지 : ISO 45001 실행을 돕는 일반 지침이라는 점을 확인할 수 있습니다.
- ISO 45001/45002 7.5.1 일반사항 : 무엇을 왜 문서화할 것인지에 대한 큰 원칙을 먼저 함께 보기 좋습니다.
- ISO 45001/45002 7.5.2 작성 및 업데이트 : 문서를 어떻게 만들고 갱신했는지와 통제의 차이를 연결해서 볼 수 있습니다.
- ISO 45001/45002 6.1.3 법적 요구사항 및 기타 요구사항 : 최신 법규 자료와 외부 문서를 왜 함께 통제해야 하는지 이해하는 데 도움이 됩니다.
- ISO 45001/45002 7.4.1 일반사항 : 관련 의사소통의 증거가 왜 통제된 문서 상태로 남아야 하는지 연결해서 볼 수 있습니다.
- ISO 45001/45002 8.2 비상대응 및 대응 : 최신 비상계획과 현장 가용성이 왜 중요한지 함께 보기 좋습니다.
- ISO 45001/45002 9.2 내부감사 : 감사 결과가 통제된 기록으로 유지되어야 하는 이유를 연결해서 볼 수 있습니다.
- ISO 45001/45002 10.2 사고·부적합·시정조치 : 사고·시정조치 결과가 왜 신뢰 가능한 문서화 정보로 남아야 하는지 이해하는 데 도움이 됩니다.
- ISO 45001/45002 8.1.1 운영 기획 및 통제 일반사항 : 올바른 정보를 통제한 뒤 실제 운영으로 어떻게 넘어가는지 다음 흐름으로 보기 좋습니다.
※ 이 글은 제공된 ISO 45002 번역본의 7.5.3 설명과 실생활 사례, ISO 공식 소개 페이지를 바탕으로 핵심 내용을 재서술한 실무 해설입니다. 표준 원문 전체를 복제하지 않고 이해를 돕는 방식으로 정리했습니다.