Resurse profesionale

DRAMBORA - Digital Repository Audit Method Based on Risk Assessment

Tipărire
Detalii
Părinte: Resurse Profesionale
Categorie: Know-How
Accesări: 10919
View Comments
Stimaţi colegi,
 
Sper că prezentarea instrumentului PLATTER v-a făcut îndeajuns de curioşi să răbdaţi următoarea prezentare ceva mai lungă a unui alt instrument de evaluare foarte important şi el în economia unui depozit digital.
 
DRAMBORA este dezvoltat din cooperarea DCC – Digital Curation Centre şi DPE – DigitalPreservationEurope, constituind rezultatul unei perioade de auditare a unui depozit pilot defăşurate între 2006 şi 2007. Rezultatul s-a concretizat într-o metodologie de autoevaluare, încurajând organizaţiile să conştientizeze pe deplin obiectivele, activităţile şi resursele înainte de a identifica, evalua şi gestiona ririmg0021.jpgscurile în cadrul organizaţiei.

 În cazul DRAMBORA, prelucrarea digitală se caracterizează ca o activitate de evaluare a riscului iar rolul curatorului de date fiind acela de a raţionaliza incertitudinile şi a pericolelor care împiedică operaţiunile de menţinere a autenticităţii şi a inteligibilităţii, transformându-le în riscuri care pot fi gestionate.

  

În cadrul procesului sunt descrise şase etape. Etapele iniţiale necesită din partea auditorilor dezvoltarea unui profil organizaţional în care sunt descrise şi documentate mandatul depozitului, obiectivele, activităţile şi resursele. Ulterior riscurile sunt derivate pe baza acestora şi sunt evaluate în termenii impactului potenţial şi al probabilităţilor. În final, auditorii sunt încurajaţi să conceapă răspunsuri conforme gestionării riscurilor care au fost identificate. Procesul permite alocarea eficientă a resurselor, permiţând administratorilor să identifice şi să categorisească zonele unde neajunsurile sunt cel mai evidente sau care au mare potenţial pentru a fi disruptive. Procesul în sine este unul iterativ.

Scopul setului de instrumente DRAMBORA este acela de a uşura munca auditorului în:

  • definirea sferei funcţiilor şi a mandatului depozitului

  • identificarea activităţilor şi a resurselor depozitului

  • identificarea riscurilor şi a vulnerabilităţilor asociate mandatului, a activităţilor şi a resurselor

  • evaluarea şi calcularea riscurilor

  • definirea măsurilor de gestionare a riscului

  • raportarea în cazul auto-auditării

DCC and DPE Digital Repository Audit Method Based on Risk Assessment1 se deschide cu câteva precizări privind conceptul de depozit digital. Unii îl utilizează pentru a desemna orice colecţie de material digital pe când alţii îl folosesc pentru a se referi la colecţii digitale care se folosesc de un anume protocol.

Aflăm că OAIS este „o arhivă care constă din persoane şi sisteme care au acceptat responsabilitatea de a prezerva informaţia şi de a o face disponibilă unei Comunităţi Desemnate”2. De interes este atribuirea descriptivă „de încredere” ce implică de fapt un nivel al auditării. Poate că o mai bună prezentare este cea prezentată în DPE Repository Planning Checklist and Guidance DPE-D3.23 al cărui scop este cel de a prezenta un Instrument de Proiectare pentru Depozitele de Încredere (PLATTER4). Propriu-zis scopul acestui document este acela de a prezenta un instrument care acoperă planificarea strategică cu tot ce împlică aceasta pentru un depozit digital. Poate fi considerat un prim instrument de lucru. Conţinutul documentului se axează în principal pe procesele prin care o organizaţie care iniţiază un depozit digital le are în vederea gestionării obiectelor conţinute. Procesele descrise sunt concentrate în jurul unui grup de Planuri Obiective Strategice (POS) prin care un depozit îşi specifică obiectivele, scopurile şi indicatorii cheie ai performanţei.

În contextul DRAMBORA, documentul referitor la PLATTER aduce lămuriri mai desluşite privind accepţiunea termenului de Depozit Digital, care este asociat mai multor tipuri şi sisteme. Astfel, se precizează faptul că unele implementări urmăresc modelul propus de OAIS iar altele asociază conceptul după protocolul de comunicare folosit, de cele mai multe ori acesta fiind OAI-PMH.

Totuşi, sensul larg al termenului se regăseşte în accepţiunea comună cum că reprezintă oricare organizaţie care are responsabilitatea de a gestiona materialele digitale destinate unei comunităţi de utilizatori. Uneori, se referă la un corp de servicii ce reflectă natura federativă a unui angrenaj de mai multe instituţii.

 

1Digital Curation Centre and DigitalPreservationEurope, (February 2007), “DCC and DPE Digital Repository Audit Method Based on Risk Assessment, v1.0., descărcat 28.02.2007, de la http://www.repositoryaudit.eu/download

2ISO 14721:2003 Space data and information transfer systems ‐‐ Open archival information system ‐‐ Reference model,

http://public.ccsds.org/publications/archive/650x0b1.pdf, (1.1 Purpose and Scope1‐1)

3DigitalPreservationEurope, (April 2008), “DPE Repository Planning Checklist and Guidance DPE-D3.2", de la: http://www.digitalpreservationeurope.eu/publications/reports/Repository_Planning_Checklist_and_Guidance.pdf

4Planning Tool for Trusted Electronic Repositories


„Un depozit este «De Încredere» dacă demonstrează capacitatea de a îndeplini funcţiile sale specifice şi dacă acele funcţii specificate satisfac un set agreat de criterii minime pe care toate Depozitele de Încredere se presupune că le cer. Necesitatea ca această conformnitate să poată fi demonstrabilă este vitală, rezultând faptul că obţinerea Încrederii se presupune că este sinonimă în cea mai mare măsură cu procesele de audit şi certificare.”

Un cadru acceptat al cerinţelor de bază pentru toate depozitele de încredere a fost stabilit de Center for Research Libraries (CRL), Digital Curation Centre (DCC), DigitalPreservationEurope (DPE) şi Reţeaua Germană de Experţi în pezervarea digitală pe termen lung (nestor) în Ianuarie 2007. Astfel, un depozit se:

  1. Angajează în menţinerea continuă a obiectelor digitale pentru comunitatea/comunităţile identificate

  2. Demonstrează pregătirea organizatorică (incluzând finanţele, structura personalului şi a proceselor) pentru împlinirea angajamentelor

  3. Achiziţionează şi menţine drepturile contractuale şi legale necesare şi îndeplineşte responsabilităţile

  4. Are un cadru de politici eficient şi efectiv.

  5. Achiziţionează şi asimilează obiecte digitale pe baza unor criterii anunţate care corespund angajamentelor şi capabilităţilor sale.

  6. Menţine/asigură integritatea, autenticitatea şi utilizarea obiectelor digitale pe care le stocheză în timp

  7. Creează şi menţine metadate necesare privind acţiunile asupra obiectelor digitale în timpul prezervării precum şi pe cele privitoare la contextele proceselor relevante pentru producerea, susţinerea accesului şi al utilizării care se desfăşoară înainte de momentul prezervării.

  8. Îndeplineşte cerinţele necesare pentru diseminare

  9. Are un program strategic pentru planificarea şi acţiunea în direcţia prezervării

  10. Are o infrastructură tehnică adecvată pentru păstrare continuă şi securizare a obiectelor sale digitale1

grafic_ciclul_de_management_risc.png

Revenind la DRAMBORA putem spune că ceea ce face este să pună la dispoziţie un instrument de auditare pentru depozitele digitale elaborat în comun de Digital Curation Centre (DCC) şi DigitalPreservatioEurope (DPE). Administratorilor depozitelor digitale li se pune la îndemână instrumentele pentru a putea face o evaluare a capacităţilor, de a-şi identifica slăbiciunile dar şi punctele tari.

Dezvoltarea instrumentului de auditare a urmat unei perioade de auditări pilot întreprinsă de DCC în cooperare cu diverse instituţii pornind de la biblioteci naţionale, centre de date ştiinţifice şi culturale şi arhive de date ce reflectă patrimoniul cultural.

Locul central îl ocupă obiectul digital în contextul auditării bazate pe evaluarea riscurilor. Documentul de bază al auditării oferă şi caracterizarea procesului de prelucrare a datelor (data curation): un proces de transformare a incertitudinilor din incontrolabile în controlabile într-un cadru de riscuri gestionabile şi clasificabile în funcţie de activităţile unui depozit, de resurse şi contextul reglementărilor.

Documentul de bază – Metoda de Auditare a Depozitelor Digitale este constituit din şapte componente: trei părţi principale şi patru anexe. Partea I este o introducere la conceptele depozitelor şi raţiunea pe care se bazează abordările auditării bazate pe analiza riscurilor. Partea a II-a înfăţişează procesele de auditare şi cele şase etape de auditare. Partea a III-a indică liniile de dezvoltare pe mai departe a instrumentului. Anexa I indică cum lucrează diferite tipuri de depozite digitale în contextul diferitelor medii şi procese necesare utilizării lor. Anexa a II-a oferă câteva şabloane necesare auto-auditării. Anexa a III-a introduce administratorii depozitelor în gândirea şi calcularea riscurilor. Anexa a IV-a este un exemplu de raportare utilă.

În primul rând se face o distincţie clară între depozitele digitale care au un mandat clar de a prelua, prelucra, stoca, disemina şi prezerva conţinutul digital, ele însele fiind instituţii cu această misiune şi depozitele instituţionale care activează în cadrul unei alte instituţii ce are scopuri diferite. Această categorisire devine foarte importantă în contextul managementului şi analizei riscului iar cele din urmă chiar pot transfera o parte din riscuri instituţiilor care le patronează.

Astfel, pentru a veni în întâmpinarea acestor situaţii diferite, kitul de auto-auditare a definit opt clase funcţionale.

„Conceptul de risc este deseori interpretat în termenul ameninţărilor, hazardului, pierderilor şi ale altor situaţii cu impact negativ. În contextul organizaţional general este mult mai bine să consideri riscul ca o expunere la consecinţele neprevăzutului sau ca potenţiale deviaţii de la ce este planificat sau este aşteptat.”

Managementul riscului chiar este prezentat precum un ciclu care constă din parcurgerea unor etape individuale, care pot fi ordonate ierarhic.

Orice analiză a riscurilor va include aceste etape:

  • identificarea contextului în care riscurile trebuie gestionate;

  • identificarea riscurilor;

  • evaluarea şi cumpănirea riscurilor;

  • definirea măsurilor dedicate managementului riscurilor.

În zilele noastre prezervarea digitală este definită adeseori ca fiind un exerciţiu de management al riscurilor al cărui ţintă este convertirea incertitudinii privind menţinerea uşurinţei de utilizare pentru obiectele digitale autentice în riscuri cuantificabile. Scopul unui depozit digital este de a face totul pentru a balansa riscurile care împiedică abilitatea de a furniza acces la informaţia digitală autentică.

 

 

 

 

 

 

Nu este lipsit de importanţă de a vedea evolutiv cum s-a ajuns la Drambora. Astfel, este menţionat faptul că DRAMBORA are cătreva instrumente care au fost dezvoltate anterior şi care i-au stat la bază prin studiul şi expertiza pe care acestea le-au adus.

Iniţial au fost eforturile celor de la RLG – Research Libraries Group, NARA – National Archives and Record Administration şi nestor. Diferenţa este că acest document s-a concentrat pe stabilirea listelor de control pentru a documenta principalele criterii care ar trebui să fie identificabile în cadrul unui depozit de încredere încununat de succes. Activităţile desfăşurate de NARA (echipa dedicată depozitelor digitale şi pentru certificare) şi RLG, cunoscute mai bine specialiştilor sub denumirea de TRAC, au condus la elaborarea unor metode de evaluare a depozitelor digitale. Lucrul la acestea a mai fost sprijinit şi de Fundaţia Andrew W. Mellon în cadrul unui proiect cundus de CRL – Center for Research Libraries privind certificarea depozitelor digitale. Digital Curation Centre şi-a elaborat propriile-i abordări de auditare iniţial în conexiune cu CRL.

DRAMBORA are la bază o serie de studii de audit pilot întreprinse între Aprilie 2006 şi Ianuarie 2007 pe un set de 5 depozite digitale, cu scopul de a determina o metodă optimă pentru evaluarea depozitelor pentru prezervare, dar şi pentru a testa metodele dezvoltate de RLG-NARA şi nestor. Depozitele digitale care şi-au dat acordul de a participa în procesul de auditare au fost:

  • British Atmospheric Data Centre al Council for the Central Laboratory of the Research Councils;

  • Beazley Archive de la Universitatea Oxford;

  • National Digital Archive of Datasets;

  • National Digital Heritage Archive – New Zeeland;

  • Florida Digital Archive de la Florida Centre for Library Automation.

Concluzia a fost că în forma lor curentă, acestor instrumente (n.n. modelele de auditare dezvoltate anterior şi care au fost folosite direct pentru auditările întreprinse de DCC) nu le sunt ataşate metrici pentru determinarea efectivităţii şi al gradului de conformitate organizaţională, iar ca rezultat rămâne dificilă conceperea unor instrumente de bază pentru a compara şi evalua depozitele care prezintă heterogenitate în termenii dimensiunii, scopului sau al dimensiunii. Un rezultat esenţial este consensul realizat la nivel internaţional privind metodologia şi criteriile pentru auditarea depozitelor digitale. În loc să reprezinte o alternativă directă (şi astfel competitivă) a mijloacelor pentru evaluarea depozitelor, activităţile desfăşurate de DCC/DPE, au ca ţintă furnizarea unei abordări complementare care poate fi utilizată în asociere cu eforturile depuse de TRAC şi nestor.

DRAMBORA se doreşte a fi un instrument care să încurajeze evaluarea potenţialelor riscuri care conduc la cele mai adânci implicaţii referitor la continuitatea funcţionării organizaţiei. O altă concluzie clară este aceea că DRAMBORA nu se contituie ca o baterie de teste pe care orice tip de depozit digital trebuie să o treacă, ci fiecare dintre depozite trebuie să-ţi constituie o metrică proprie. De asemenea, acest kit doar sugerează problemele care sunt relevante pentru o anume organizaţie care-şi face auditarea. Acest kit doar asistă auditorul în dezvoltarea unei suite de răspunsuri complete şi pentru a dezvolta o perspectivă organizaţională bogată. Este menţionat faptul că indiferent de faptul că auto-auditarea se poate face şi offline, este recomandabilă folosirea instrumentului online de la: http://www.repositoryaudit.eu .

Scopul primar al acestui intrument este acela de a fi utilizat în procesul de auditare internă a unui depozit digital.

La momentul încheierii cu succes a exerciţiului de auto-auditare, organizaţiile vor avea:

  • bine stabilită o completă cunoştere de sine şi a misiunii lor, ţintele şi obiectivele şi activităţile şi resursele intrinsece acestora;

  • construit un catalog detaliat al riscurilor pertinente, categorisite după tipul acestora şi al relaţiilor care se stabilesc între diferitele riscuri şi vor avea descrise pe deplin riscurile individuale în termenii asumării, probabilităţii şi al potenţialului impact pe care-l pot avea fiecare;

  • creată o înţelegere la nivel intern al succeselor şi al neajunsurilor organizaţiei, permiţându-i-se să aloce sau să redirecteze eficient resursele pentru a răspunde celor mai presante probleme;

  • organizaţia pregătită pentru un audit extern succesiv, fie că acel audit se va baza pe TRAC, nestor sau viitoarele criterii de evaluare pentru auditarea depozitelor digitale CCSDS.

Un lucru esenţial pentru desfăşurarea produrilor şi a rezultatelor auditării, îl constituie alegerea cu multă atenţie a individului sau indivizilor care fac auditarea. Un alt punct foarte important este acela pe care-l reprezintă necesitatea clară ca auditorului sau auditorilor să le fie puse la dispoziţie toate informaţiile necesare.

Bineînţeles că trebuie ca auditorul să se încadreze unui profil corespunzător, care în DRAMBORA este contras din ISO 19011: Indicaţii pentru auditarea calitativă şi/sau al sistemelor de management al mediului:

  • standarde morale înalte,

  • cu o perspectivă deschisă,

  • diplomat,

  • abilităţi de observator,

  • versabilitate,

  • tenacitate,

  • hotărâre,

  • încredere în sine.

Un alt punct pe care se pune accentul este necesitatea ca auditorul să aibe o poziţie centrală în cadrul organizaţiei, să fie el însuşi un factor de decizie în asociere cu cât mai multe aspecte ale modului în care se desfăşoară modelul de business al depozitului.

Un pasaj important al textului spune că singura metodă serioasă de evitare a riscurilor şi de aplicare a corectivelor este aceea a acordării unei atenţii deosebite documentaţiei formale. Aceasta, de fapt stă la baza deciziilor şi evitării sau intervenţiei în cazurile speciale care apar de-a lungul funcţionării depozitului digital. Chiar sunt puse în evidenţă aceste documente pentru a da o dimensiune cât mai completă asupra bazei de pornire. DRAMBORA împarte aceste surse în două categorii din care derivă toate: mandatul organizaţional şi declararea misiunii. Le vom enumera după cum urmează:

  • acorduri de depozitare;

  • fişele posturilor;

  • organigrama şi curriculum vitae al tuturor angajaţilor;

  • planurile de business;

  • rapoartele financiare anuale;

  • documentele politicilor şi manualele de procedură;

  • documentarea fluxului intern;

  • planurile arhitecturii tehnice;

  • rapoartele de întreţinere şi

  • rezultatele publicate ale altor audituri.

 

 

Această listă are la bază un articol foarte interesant publicat de Seamus Ross şi Andrew McHugh în D-Lib Magazine în 2006 intitulat Rolul dovezilor în Stabilirea Depozitelor de Încredere1. Ca o paranteză utilă studiului nostru trebuie spus faptul că cei doi autori în contextul studierii şi conceperii unor instrumente de auditare şi certificare pentru depozitele digitale din Marea Britanie, au realizat că documentul de la care au pornit (TRAC de la RLG-NARA) se concentra pe determinarea caracteristicilor unui depozit de încredere, dar nu şi pe atributele demonstrabile şi calităţile măsurabile ale acestora. În acest articol se afirmă faptul că orice instrument care omite descrierea evidenţei care-şi aduce aportul la procesul de auditare, este incomplet. Dacă o listă de verificarea pentru auditare are aspiraţia aplicabilităţii practice, criteriile sale nu numai că trebuie să detalieze standardele cerute şi cele aşteptate, ci, de asemenea şi mijloacele prin care atingerea acestora poate fi demonstrată şi evaluată [...] Cu toate că punctul iniţial de pornire este dovada în sine; acceptăm faptul că formatul de rigoare este lista, propunem ca în oricare moment cerinţele privind dovezile trebuie să fie detaliate în paralel cu, criteriile de certificare. Dovezile sunt clasificate, mai departe pe trei categorii:

  • evidenţă documentară;

  • observarea rezultatelor practicii şi

  • dovezi testimoniale.

Astfel, la categoria evidenţei documentare se regăseşte documentaţia formală menţinată mai sus în corpul DRAMBOREI descrise punctual fiecare.

 

 

 

1S. Ross and A. McHugh, 2006, ‘The Role of Evidence in Establishing Trust in Repositories’, DLib Magazine, July/August, vol. 12, nos 7/8 (Also published in Archivi e Computer, 2006),http://www.dlib.org/dlib/july06/ross/07ross.html

 


Vom încheia aici recapitulând câteva aspecte care ţin de DRAMBORA şi anexând două secţiuni fosrte importante pentru cei care doresc să-şi facă o idee şi mai de aproape în ceea ce priveşte acest instrument.

DRAMBORA este o metodologie de autoevaluare.

Depozitele trebuie să-şi expună modul de organizare, politicile şi infrastructura către o analiză atentă.

DRAMBORA este rezultatul a 18 evaluări pilot întreprinse pe diferite tipuri de colecţii şi moduri de organizare. Pentru anvergura studiului şi soliditatea cercetării, merită menţionate Arhiva Naţională Digitală pentru Seturi de Date din Marea britanie, Arhiva Naţională a Scoţiei, Colecţia Gallica de la biblioteca Naţională a Franţei şi Serverul de Documente al CERN.

DRAMBORA construieşte şi pe experinţa altor două instrumente la fel de importante: Trustworthy Repositores Audit and Certification (TRAC), emis în 2007 de Centrul pentru Biblioteci de Cercetare şi RLG OCLC şi nestor – Catalogul Criteriilor pentru Depozitele de Încredere, emis de Grupul de Lucru nestor (Germania) în 2006. Aceste două seturi de analiză criterială au o abordare tip top-down (de sus în jos) indicând cum ar trebui să fie anumite lucruri, pe când DRAMBORA are o abordare bottom-up (de jos în sus) preferându-se culegerea atentă şi analiza tuturor aspectelor care ar putea influienţa viaţa unui depozit.

Procesul de auditare prin intermediul DRAMBORA a fost formalizat în martie 2007. La începutul lui aprilie 2008, a fost emisă o a doua versiune a metodologiei sub numele de DRAMBORA Interactive, care este un instrument online prezentând o interfaţă bazată pe formulare, instrumente de analiză comparativă, mecnisme sofisticate de raportare şi mecanisme de evaluare a maturităţii unui depozit.

Scopul primar al analizei DRAMBORA este acela de a ajuta la formare unui şi mai bun proces managerial al depozitului digital.

 

 

 

Definiţii şi Glosar Terminologic



Activity: Activitate

Sarcini importante desfăşurate de o organizaţie în contextul şi pentru a împlini o funcţie.

Asset: Resursă

Orice care are valoare pentru organizaţie (ISO/IEC 13335-1:2004).

Digital repository: Depozit digital

O organizaţie sau parte a acesteia care are responsabilitatea pentru menţinerea pe termen lung a resurselor digitale lizibile şi autentice. Este de aşteptat ca un depozit digital să adere la următoarele zece criterii:

  1. Se angajează în menţinerea continuă a obiectelor digitale pentru comunitatea/comunităţile identificate

  2. Demonstrează pregătirea organizatorică (incluzând finanţele, structura personalului şi a proceselor) pentru împlinirea angajamentelor

  3. Achiziţionează şi menţine drepturile contractuale şi legale necesare şi îndeplineşte responsabilităţile .

  4. Are un cadru de politici eficient şi efectiv.

  5. Achiziţionează şi asimilează obiecte digitale pe baza unor criterii anunţate care corespund angajamentelor şi capabilităţilor sale.

  6. Menţine/asigură integritatea, autenticitatea şi utilizarea obiectelor digitale pe care le stocheză în timp .

  7. Creează şi menţine metadate necesare privind acţiunile asupra obiectelor digitale în timpul prezervării precum şi pe cele privitoare la contextele proceselor relevante pentru producerea, susţinerea accesului şi al utilizării care se desfăşoară înainte de momentul prezervării.

  8. Îndeplineşte cerinţele necesare pentru diseminare .

  9. Are un program strategic pentru planificarea şi acţiunea în direcţia prezervării .

  10. Are o infrastructură tehnică adecvată pentru păstrare continuă şi securizare a obiectelor sale digitale.

Instrumentul de auto-auditare nu presupune aplicarea asupra unui anumit tip de resurse digitale sau ca depozitul să aibă o structură organizaţională anume – autoevaluarea bazată pe risc se va efectua în limitele mandatului depozitului, fie că acesta este o arhivă, o bibliotecă digitală, o arhivă de date sau o colecţie ştiinţifică electronică.

Functional class: Clasă funcţională

Un grup discret de activităţi interrelaţionate pentru un depozit digital. Trăinicia legăturilor dintre activităţi variază de la cele slab legate până la cele strâns legate. În cadrul acestui instrument de autoevaluare, clasele funcţionale sunt divizate în categorii „operaţionale” şi de „sprijin” pentru reprezentarea funcţiilor nucleu al unui depozit digital: achiziţionarea şi asimilarea, prezervarea şi stocarea, descrierea şi managementul metadatelor, accesul şi diseminarea şi funcţiile care se regăsesc în oricare altă organizaţie: organizare şi management, personal, management financiar, sprijin tehnologic şi securitate.

Clasele funcţionale sunt definite în primul rând pentru a furniza o structură procesului de auditare şi a registrului riscurilor rezultate. Aceste clase funcţionale nu sunt derivate dintr-o analiză funcţională sistematică a unui depozit şi nici nu sunt un substitut pentru o schemă de clasificare a modului cum sunt desfăşurate activităţile. Dacă depozitul are o schemă de clasificare a activităţilor sau a înregistrărilor, ar putea fi benficiul interpretării rezultatelor de auditare dacă este folosită în locul celor opt clase funcţionale oferite implicit de instrumentul de auto-auditare.

Likelihood: Probabilitate

Folosit ca un descriptor general al probabilităţii sau frecvenţei. (AS/NZS 4360:2004)

Mandate: Mandat

Baze legale sau o intenţie exprimată formal emisă de o organizaţie sau de organizaţia tutelară pentru a atinge un anumit scop sau scopuri.

Owner: Deţinător

Individ sau entitate care a aprobat responsabilitatea managerială pentru controlul producţiei, dezvoltării, întreţinerii utilizării şi securizării resurselor. (ISO 27001:20051)

Risk: Risc

Riscul se referă la incertitudinea care înconjoară evenimentele şi rezultatele viitoare. Reprezintă expresia posibilităţii şi a impactului unui eveniment care are potenţialul de a influienţa atingerea obiectivelor organizaţiei2

Risk assessment: Evaluarea riscului

Procesul sistematic de evaluare a magnitudinii riscurilor ca o combinaţie a probabilităţii şi a efectelor impactului.

Risk avoidance: Evitarea riscului

Dicizia de neimplicare sau de retragere dintr-o situaţie de risc. (ISO/IEC Guide 73:2002)

Risk identification: Identificarea riscului

Procesul de identificare a riscurilor în contextul obiectivelor, activităţilor şi a resurselor, precum şi ameninţările şi vulnerabilităţilor ca baze pentru analiza pe mai departe.

Risk management: Managementul riscului

Activităţi coordonate pentru a conduce şi controla o organizaţie în contextul riscurilor. (ISO/IEC Guide 73:2002)

Stakeholders: Părţi

Acele persoane şi organizaţii care pot afecta, pot fi afectate sau se percep a fi afectate de o decizie, activitate sau risc.(AS/NZS 4360:2004)

Threat: Ameninţare

O potenţială cauză pentru un accident care poate avea ca rezultat lezarea unei organizaţii, a resurselor sau sistemelor acesteia.

Vulnerability: Vulnerabilitate

O slăbiciune a unei resurse sau activităţi care poate fi exploatată de una sau mai multe ameninţări.

 

 

 

1Certification of Information Security Management

2Consiliul Trezoreriei Canadei, Cadrul Integrat de Management al Riscului (2001)

 

 

 

Principiile de evaluare a riscurilor

Atunci când evaluezi riscurile, trebuie să cuantifici probabilitatea şi impactul pe care acestea le au. Probabilitatea constă în posibilitatea ca acel risc să apară. Instrumentul de autoevaluare ia în considerare probabilitatea riscurilor după următoarea scară:

Nota probabilităţii

riscului

Interpretare

1

Probabilitate minimă, apare o dată la 100 de ani sau mai mult

2

Probabilitate foarte scăzută, apare o dată la 10 ani

3

Probabilitate scăzută, apare la fiecare 5 ani

4

Probabilitate medie, apare odată la an

5

Probabilitate mare, apare o dată la lună

6

Probabilitate foarte înaltă, apare mai mult de o dată pe lună



Impactul potenţial al riscurilor se clasifică după următoarea scară:

Nota impactului

riscurilor

Interpretare

0

Impact zero, rezultă în pierderi zero a autenticităţii şi lizibilităţii1 obiectului digital

1

Impact neglijabil, rezultând în pierderi izolate dar integral recuperabile ale autenticităţii şi lizibilităţii

2

Impact superficial, rezultând în pierderi extinse dar recuperabile integral ale autenticităţii şi lizibilităţii

3

Impact mediu, rezultând o pierdere totală, dar integral recuperabilă a autenticităţii şi lizibilităţii

4

Impact mare rezultând în pierderi izolate, incluzând pierderile nerecuperabile ale autenticităţii şi lizibilităţii

5

Impact considerabil, rezultând în pierderi extinse, incluzând pierderi nerecuperabile sau pierderi care sunt recuperabile doar cu ajutorul unei părţi terţe ale autenticităţii şi lizibilităţii

6

Impact cataclismic,rezultând în pierderi toatale şi nerecuperabile ale autenticităţii şi lizibilităţii



Completa descriere a riscurilor de care se foloseşte instrumentul de autoauditare este după cum urmează iar auditorii sunt constrânşi la acestea şi pot alege să utilizeze un set mai extins de atribute pentru a caracteriza riscurile în propriul registru al riscurilor:

Etichetarea riscurilor

Descrierea riscurilor

Identificator al riscului:

Un şir text furnizat de depozit pentru a identifica unic riscul şi de a uşura referenţierea acestuia în cadrul expresiilor de relaţionare dintre riscuri

Numele riscului:

Un scurt şir text care descrie riscul

Descrierea riscului:

Un şir text mai lung care oferă o descriere mai largă a riscului

Exemplu de manifestare(ri) a riscului:

Exemplificarea circumstanţelor în care riscul ar putea sau se manifestă

Data identificării riscului:

Data la care a fost identificat riscul pentru prima dată

Natura riscului:

Mediul fizic

Proceduri privind managementul, administrarea şi personalul

Operaţiunile privind furnizarea serviciilor

Posibilităţile şi echipamentul hardware, software şi de comunicaţii

Deţinător:

Numele deţinătorului de risc – de obicei acelaşi nume precum cel al deţinătorului activităţii

Deţinător superior:

Numele individului care îşi asumă responsabilitatea finală pentru risc în eventualitatea în care deţinătorul menţionat pierde controlul

Părţi implicate:

Părţi contribuitoare la investiţie sau cu resurse ameninţate de executarea riscurilor sau care au responsabilitatea pentru managementul acestora

Relaţiile dintre riscuri:

O descriere a fiecăruia dintre riscurile cu care acest risc are o relaţie

Probabilitatea riscului:

Indică asemănarea percepută a executării acestui risc particular

Impactul potenţial al riscului:

Indică impactul perceput al acestor riscuri în termenii pierderii autenticităţii şi lizibilităţii obiectelor digitale

Severitatea riscurilor:

O valoare derivată reprezentând produsul notelor probabilităţii şi al impactului potenţial

Strategia(ile) de management al riscurilor

Descrierea politicilor şi a procedurilor urmărite pentru a gestiona riscurile (eliminarea şi/sau tratarea)

Activitatea(ţile) de management al riscurilor

Activităţile practice definite din politicile şi procedurile definite

Deţinătorul activităţii de management al riscului

Individ(zi) responsabile pentru performanţa activităţilor de management al riscurilor

Ţinta activităţilor de management al riscurilor

O categorisire ţintită a severităţii riscurilor plus data de reevaluare a riscurilor



Relaţiile care se stabilesc între riscuri pot fi caracterizate ca una sau mai multe dintre următoarele:

Relaţia riscului

Definirea relaţiei riscului

Explozivă

Unde execuţia simultană a n riscuri are un impact peste suma fiecăruia dintre riscurile care ar apărea izolat

Contagioasă

Unde executarea unui singur risc va creşte potenţialul pentru altul

Complementară

Unde evitarea unui risc sau mecanismele de tratare asociate ale acestuia beneficiază, de asemenea de managementul altuia

Domino

Unde evitarea unui risc sau mecanismele de tratare asociate ale acestuia porneşte evitarea sau tratarea unui altul mai puţin eficient

Atomic

Unde riscurile coexistă în izolare, neavând relaţii cu alte riscuri.


1Trebuie remarcat că se foloseşte termenul de „lizibilitate” în sensul cel mai larg pentru a incorpora lizibilitatea, inteligibilitatea din punct de vedere tehnic, contextual, sintactic şi semantic.