Leis e NormasSegurança patrimonial e eletrônica

A confiabilidade das informações armazenadas eletronicamente (IAE)

19/09/2018 – Equipe Target

NBR ISO 18829 de 08/2018: a avaliação da confiabilidade da informação armazenada eletronicamente (IAE)

A NBR ISO 18829 de 08/2018 – Gerenciamento de documentos – Avaliação das implementações de GCC/GEDDA – Confiabilidade identifica as atividades e operações que uma organização precisa executar ou ter executado para avaliar se a informação armazenada eletronicamente (IAE) é ou foi mantida em um (uns) ambiente (s) fidedigno (s) e confiável (is). Estes ambientes utilizam tecnologias de gerenciamento de conteúdo ou tecnologias de gerenciamento de documentos de arquivo comumente designados como Gestão de Conteúdo Corporativo (GCC) ou Gestão Eletrônica de Documentos e Documentos de Arquivo (GEDDA), aplicando políticas e programas de gerenciamento de documentos de arquivo organizacionais.

O ISO/TR 15801 e a ISO 15489 (todas as partes) estabeleceram os padrões e as melhores práticas associadas à implementação de ambientes confiáveis de gestão de documentos de arquivo/ambientes de gestão de documentos. No entanto, uma norma é necessária para especificar a metodologia utilizada para avaliar estes tipos de ambientes de gestão de documentos de arquivo/gestão de documentos, independentemente das tecnologias atualmente empregadas pela organização. Este documento estabelece a metodologia de avaliação a ser seguida para identificar o nível de conformidade organizacional com essas normas em relação à confiabilidade das informações armazenadas nestes ambientes.

Este documento é aplicável aos sistemas GCC existentes ou planejados. Estabelecer a existência de um sistema confiável é um passo importante para documentar a fidedignidade da IAE mantida neste sistema ou ambiente. Este documento é desenvolvido para ser utilizado por organizações que avaliam confiabilidade dos ambientes existentes de gestão de documentos de arquivo/gestão de documentos. Este documento identifica todas as atividades obrigatórias e as áreas que precisam ser examinadas por um profissional, ou profissionais, com conhecimento técnico e operacional completo das tecnologias e metodologias específicas que estão sendo examinadas, além de entender os processos e atividades de gestão de documentos de arquivo.

Este documento fornece uma metodologia para organizações que procuram avaliar se o ambiente da GCC está em conformidade com os conceitos-chave de confiabilidade e fidedignidade da informação, como identificado nos ISO/TR 15801 e ISO/TR 22957. Atualmente muitas organizações são requisitadas para assegurar que a informação armazenada eletronicamente, relacionada ao negócio delas (IAE), é produzida, armazenada e eventualmente eliminada de forma segura, a fim de estabelecer a autenticidade, a acurácia da IAE, a segurança e a confiabilidade da organização.

Este documento identifica atividades e operações que uma organização precisa seguir, a fim de: assegurar que qualquer informação armazenada eletronicamente (IAE) seja produzida e mantida de forma fidedigna e confiável durante todo o ciclo de vida da IAE, e avaliar sistemas existentes de Gestão de Conteúdo Corporativo (GCC) ou de Gestão Eletrônica de Documentos e Documentos de Arquivo (GEDDA) para conformidade com as normas ISO aplicáveis.

A ISO 15489, o ISO/TR 15801 e o ISO/TR 22957 fornecem às organizações orientação para o desenvolvimento de seus sistemas de Gestão de Conteúdo Corporativo (GCC). No entanto, pode também ser necessário que as organizações forneçam provas auditáveis de que estes sistemas oferecem um ambiente seguro para a IAE, que atenda a quaisquer obrigações legais, técnicas e políticas da organização e que cumpra os padrões ISO aplicáveis. Qualquer solução confiável de GCC/GEDDA precisa estar apta a ser auditada, com resultados reprodutíveis. Há também a necessidade de ser um método verificável, de forma independente, das reivindicações dos fornecedores de software e hardware, de que a informação está segura, protegida e armazenada de forma confiável.

As organizações precisarão assegurar que sua documentação de suporte reflita estes requisitos. Embora as soluções padronizadas da GCC sejam suscetíveis de serem auditadas e possam ser facilmente verificadas, as soluções de armazenamento não padronizadas ou proprietárias podem não fornecer uma trilha de auditoria completa, dificultando a verificação de forma independentemente dos requisitos de segurança em soluções GCC/GEDDA desenvolvidas por fornecedores. Independente da tecnologia de armazenamento ser padronizada ou proprietária, a organização enfrenta a mesma necessidade de verificar se a solução GCC/GEDDA está em conformidade com todos os requisitos aplicáveis.

Os sistemas GCC confiáveis devem assegurar que as informações gerenciadas possam ser reproduzidas de forma fidedigna e impedir modificações ou alterações não autorizadas no conteúdo ou nos metadados a elas associados. Isso inclui qualquer IAE gerada a partir de vários aplicativos de escritório que utilizem fontes externas para “completar” o documento/documentos de arquivo, então produzido (s) e/ou impresso (s)/salvo (s), conforme determinado pela organização.

O resultado desta avaliação padronizada deve incluir um relatório detalhado abrangendo informações suficientes que permitam que a organização determine como melhor abordar quaisquer áreas identificadas como não estando em total conformidade. Recomenda-se que o relatório também inclua, detalhando tecnologia (se apropriado), recomendações, políticas e procedimentos relacionados à gestão de documentos/documentos de arquivo necessário (s) para prover plena conformidade.

Um elemento-chave deste padrão de avaliação é fornecer informações detalhadas à organização, relacionadas à confiabilidade geral do seu ambiente GCC, juntamente com recomendações sobre como abordar as áreas avaliadas que não estejam em conformidade com os padrões associados à GCC e às normas relacionadas à gestão de documentos de arquivo. Após a conclusão de qualquer avaliação de conformidade com a NBR ISO 18829, a equipe de avaliação deve elaborar um relatório detalhado, contendo no mínimo alguns tópicos.

Uma necessidade de negócio e/ou um caso de negócio. Esta seção deve incluir uma descrição do processo de avaliação de documentos de arquivo realizado, uma lista dos resultados para documentos de arquivo físicos e eletrônicos, e questões relacionadas aos negócios que foram identificadas ao longo da avaliação. Uma seção de análise que forneça informações detalhadas associadas a um conjunto claro de registros objetivos e princípios relativos a documentos de arquivo e gerenciamento de informação, para alcançar uma estrutura de informação de documentos de arquivo mensurável e consistente, totalmente isolada do viés individual e organizacional.

Anteriormente referido como PGDAGA (“Princípios de Gestão de Documentos de Arquivo Geralmente Aceitos”), agora é referido no setor de gestão de documentos de arquivo como os “Princípios” que especificam níveis muito específicos de maturidade do programa de gestão de documentos de arquivo. Uma seção de análise de gap tecnológicos, que fornece uma descrição de todas tecnologias relevantes atualmente em uso pela organização relativa à GCC, gestão de documentos de arquivo, armazenamento ou produção de documento/documento de arquivo.

Uma seção de recomendações técnicas e relacionadas a documentos de arquivo. Esta seção deve incluir recomendações associadas à alteração do estado atual de gestão de documentos de arquivo para estabelecer um ambiente GCC confiável. Qualquer avaliação confiável do sistema GCC deve começar com uma revisão dos processos e procedimentos associados a todo o ambiente em que a IAE é gerenciada.

Isso inclui revisar não apenas os processos e procedimentos vigentes, mas também a documentação das práticas do negócio (DPN). Uma avaliação deve ser feita considerando: como é feita a captura de documentos de arquivo, documentos ou informações (ou seja, como a cópia em papel é convertida em formato eletrônico, como a IAE existente é recebida e processada etc.); como o sistema gerencia, audita e assegura a informação eletrônica; e como o sistema (incluindo o hardware) assegura que o armazenamento das informações esteja seguro, impedindo alterações, modificações e/ou eliminações não autorizadas.

Se o DPN estiver disponível, os processos e procedimentos existentes devem ser comparados à documentação, para determinar a conformidade e/ou áreas que precisam ser melhoradas, incluindo revisão de como: todos os procedimentos GCC serão seguidos, a informação é ou foi importada/digitalizada, indexada e verificada, o sistema é e foi protegido contra acesso não autorizado, os documentos são e foram protegidos contra modificações ou alterações não autorizadas, a modificação autorizada dos documentos tem sido/foi e é gerenciada, incluindo informações de trilha de auditoria e a capacidade de recuperar qualquer versão anterior do documento que requer ser preservada, notas e anotações (se houver) foram armazenadas e gerenciadas, se forem parte do documento de arquivo de negócio, e o sistema estabelece controles sobre todas as informações eletrônicas armazenadas de forma aderente à tabela de temporalidade e destinação de documentos de arquivo em vigor.

Se uma solução hospedada ou componentes externos fora do controle de custódia direto da organização que estão sendo utilizados, a equipe de avaliação deve incluir a revisão do nível de conformidade com a ISO 17068 – Trusted Third Party Repositories. A ISO 17068 fornece informações detalhadas e recomendações associadas de requisitos, procedimentos e acordos relativos a fornecedor externo, as quais convém que sejam consideradas, antes de armazenar o conteúdo em um ambiente externo que não esteja completamente sob o controle da organização.

Se o DPN estiver insuficiente ou for inexistente, a avaliação pode ser realizada na elaboração da documentação. A DPN é um componente necessário de qualquer ambiente confiável. Embora a produção do documento tenha sido após o ambiente ter sido colocado em “produção”, podendo tornar a informação disponível no sistema vulnerável às alegações de que não é confiável, as informações posteriormente adicionadas devem ter um processo claramente documentado.

As organizações que estão sujeitas a demandas jurídicas, governamentais e regulatórias para a IAE podem ser requisitadas para verificar a integridade e autenticidade da IAE sob juramento. Manter políticas e procedimentos claramente definidos e a documentação de práticas de negócio, bem como fornecer trilhas de auditoria autenticadas detalhando como a IAE foi coletada e composta, serão fundamentais para estabelecer a autenticidade da IAE.

Em algumas organizações e para alguns tipos de documentos/documentos de arquivo, recomenda-se que as notas e/ou anotações sejam mantidas com o mesmo nível de proteção fornecido no documento/documento de arquivo original. Separar a nota/anotação do documento/documento de arquivo ao qual foi associado, como por meio do processo em camadas, pode não permitir proteções suficientes para considerar que a nota/anotação foi armazenada em um sistema confiável.

É necessária uma avaliação cuidadosa dos métodos para armazenar a informação em “camadas” no contexto das necessidades do negócio. É necessário associar a nota/anotação com o documento/documento de arquivo original de maneira rastreável. Se a organização incorporar notas e/ou anotações como parte de um processo de negócio, a equipe de avaliação deve avaliar os procedimentos seguidos pela organização para automatizar processos por meio do uso de tecnologias de workflow.

Os processos e procedimentos de avaliação devem contemplar as notas e/ou anotações conforme a organização: controla a segurança associada a como as notas e/ou anotações são gerenciadas e armazenadas; se essa informação está sob diferentes controles de retenção; assegura o gerenciamento pela GCC de trilhas de auditoria e de informações históricas por meio da identificação e registro de todas as mudanças em quaisquer notas e/ou anotações, independentemente de estar armazenada como parte de um documento ou de um processo de controle de fluxo de trabalho.

Na ausência de qualquer documentação organizacional formal, a equipe de avaliação deve avaliar como o ambiente GCC atual gerencia e assegura esse tipo de dado por meio do exame da arquitetura do sistema GCC e de seus níveis de controles, e fornece recomendações para proporcionar os níveis necessários de controles. A equipe de avaliação deve avaliar como a organização gerencia notas e/ou anotações, se utilizadas pela solução GCC.

FONTE: Equipe Target

Artigos Relacionados

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Close