ISO 16363 Audit and Certification of Trustworthy Digital Repositories Olivier Rouchon (CINES) olivier.rouchon@cines.fr

Documents pareils
Les normes de certification des archives numériques En préparation. C. Huc. La Pérennisation des Informations numériques

Plan. Un modèle d organisation. Pour les Archives numériques. Présentation Groupe PIN. Claude HUC (CNES)

Université de Lausanne

CERTIFICATION LA CERTIFICATION

L archivage pérenne des documents numériques

THEORIE ET CAS PRATIQUES

CIMAIL SOLUTION: EASYFOLDER SAE

CATALOGUE DE LA GAMME EASYFOLDER OFFRE GESTION DE CONTENUS NUMERIQUES

L archivage pérenne du document numérique au CINES. CINES (O.Rouchon) JRES Novembre 2007

L archivage pérenne du document numérique au CINES. CINES (O.Rouchon) Rencontres RNBM 3 Octobre 2007

Catalogue de Formations

Table des matières détaillée

Conservation des données à long terme

Conférence EDIFICAS. Le document électronique et sa valeur probante

Présentation aux entreprises du numérique

ISO/IEC TR Première édition Numéro de référence ISO/IEC TR 90006:2013(F) ISO/IEC 2013

ISO/CEI Technologies de l information Techniques de sécurité Systèmes de management de la sécurité de l information Exigences

ITSMby Diademys. Business plan. Présentation

Angela Repanovici Université Transilvania de Brasov Brasov, Roumanie

RECUEIL DE LEGISLATION. S o m m a i r e. ARCHIVAGE électronique

LA VERSION ELECTRONIQUE FAIT FOI

Archivage à long terme des données de la recherche scientifique

Introduction à ITIL. Un guide d'initiation à ITIL. Tana Guindeba, ing. jr Mars Guintech Informatique. Passer à la première page

Glossaire. Arborescence : structure hiérarchisée et logique qui permet d organiser les données dans un système informatique.

ISO/CEI Technologies de l information Gestion des actifs logiciels. Partie 1: Procédés et évaluation progressive de la conformité

Validation des processus de production et de préparation du service (incluant le logiciel)

L innovation technologique au quotidien dans nos bibliothèques

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

Introduction à l ISO/IEC 17025:2005

Tremplins de la Qualité. Tome 2

Passez au bulletin de salaire électronique grâce à la solution Novapost RH

CobiT. Implémentation ISO 270. Pour une meilleure gouvernance des systèmes d'information. 2 e édition D O M I N I Q U E M O I S A N D

Data Governance et. Optim / FileNet. La synergie entre le structuré et le non structuré IBM Corporation

Dossier de presse L'archivage électronique

AUDIT ÉNERGÉTIQUE ET SYSTÈMES DE MANAGEMENT DE L ÉNERGIE ISO 50001: Quels sont les liens et comment évoluer de l un à l autre?

La méthodologie ITIL : que faut-il retenir? réunion du 14 septembre 2004

Cycle de vie, processus de gestion

2012 / Excellence. Technicité. Sagesse

METIERS DE L INFORMATIQUE

Présentation du cadre technique de mise en œuvre d un Service d Archivage Electronique

Comment assurer la conformité des systèmes informatiques avec les référentiels et normes en vigueur

Les orientations de la politique de l information du gouvernement du Canada

ISO 2700x : une famille de normes pour la gouvernance sécurité

Ministère de la Culture et de la Communication

PROGRAMME DE FORMATION

Professeur superviseur Alain April

Génie Logiciel LA QUALITE 1/5 LA QUALITE 3/5 LA QUALITE 2/5 LA QUALITE 4/5 LA QUALITE 5/5

DEMATERIALISATION & ARCHIVAGE ELECTRONIQUE

ACCOMPAGNEMENT A LA CERTIFICATION ISO 9001 DE L AGENCE POUR LA RECHERCHE ET L INNOVATION EN CHAMPAGNE-ARDENNE - CARINNA

Documentation du système de management de la qualité

FLEGT Note d Information

Administration canadienne de la sûreté du transport aérien

J'ai un patrimoine électronique à protéger

Le COBIT : L état de l Art

CobiT une expérience pratique

ACCREDITATION CERTIFICATE. N rév ETOILES DE FRANCE 11 rue des carrières SAINT JEAN DE VEDAS SIREN :

TUV Certification Maroc

Rencontres ERFA Records Management

DIAGNOSTIQUEUR IMMOBILIER

ITIL et les outils. À l ordre du jour. senté par Johanne L HeureuxL. Consultante. Mise en contexte Quelques exemples.

Check-List : Les 10 principales raisons de passer au Cloud

POLITIQUE ET LIGNES DIRECTRICES EN MATIERE DE TRACABILITE DES RESULTATS DE MESURE

ITIL nouvelle version et état de situation des démarches dans le réseau

Organisme luxembourgeois de normalisation (OLN)

Management des systèmes d information. Gouvernance des SI ESIEA Jour & 12 Octobre 2007

ATTESTATION D ACCREDITATION. N rév. 10

Programme de formation " ITIL Foundation "

Systématiser la gouvernance de l entreprise. un livre blanc

GESTION DE PROJET SÉANCE 2 : LES CYCLE DE VIE D'UN PROJET

FedISA Congrès 2013 Table ronde du 17 mai "Certification d'un SAE*, normes et référentiels"

Archivage intermédiaire de données Scientifiques ISAAC Information Scientifique Archivée Au Cines

Colloque Du contrôle permanent à la maîtrise globale des SI. Jean-Louis Bleicher Banque Fédérale des Banques Populaires

ComplianceSP TM sur SharePoint 2010 CONTRÔLE CONFORMITÉ PERFORMANCES

curité des TI : Comment accroître votre niveau de curité

I partie : diagnostic et proposition de solutions

ISTEX, vers des services innovants d accès à la connaissance

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

Vector Security Consulting S.A

Table des matières. Intro SQF BRC. Conclusion. - Introduction et historique du référentiel - Différence version 6 et 7

Processus de certification

Archivage de documents électroniques dans le réseau des Archives de France

Formation «Système de gestion des documents d activité (SGDA)»

HP Formation Description de cours

Les bonnes pratiques d un PMO

ITIL 2011 Fondamentaux avec certification - 3 jours (français et anglais)

Excellence. Technicité. Sagesse

Audit interne. Audit interne

ICA Congress, Brisbane 2012 Thème général : Les temps qui changent. La confiance et les archives*

Modèle Cobit

ITIL V3 : QU EST CE QUE ÇA VA CHANGER POUR VOUS? LIVRES BLANCS SÉRIE RÉFÉRENCE EXPERT INTRODUCTION LES QUATRE APPORTS MAJEURS D ITIL V3

Remerciements. de Nantes et Corvinus University of Budapest (Hongrie), d avoir accepté de rapporter cette thèse

IFT3913 Qualité du logiciel et métriques. Chapitre 2 Modèles de processus du développement du logiciel. Plan du cours

Club ISO Juin 2009

Elaborer un «Référentiel d Organisation 2.0»

EXCHANGE 2010 VS ARCHIVAGE

L'ILM pour donner une valeur «temps» à la donnée

Table des matières. Partie I CobiT et la gouvernance TI

Les archives de l entreprise à l ère du numérique. Présentée par: HAMMA Mustapha

THE OUAGADOUGOU RECOMMENDATIONS INTERNET INFRASTRUCTURE FOR AN AFRICAN DIGITAL ECONOMY 5-7 MARCH 2012

Transcription:

ISO 16363 Audit and Certification of Trustworthy Digital Repositories Olivier Rouchon (CINES) olivier.rouchon@cines.fr Réunion plénière PIN 27 Septembre 2012

Objectifs et Plan I. Le CCSDS et les initiatives de normalisation dans le domaine de la préservation numérique II. Le projet de bonnes pratiques pour l audit et la certification de systèmes d archivage pérenne III. Le projet de normalisation par l ISO IV. La certification des auditeurs V. Le projet européen APARSEN et les perspectives au niveau international 27/09/2012 Réunion plénière PIN 2

Le CCSDS Consultative Committee for Space Data Systems Fondé en 1982, regroupe la plupart des agences spatiales mondiales ESA, NASA, CNES, etc. 26 Nations représentées Développe des standards pour la communication et la gestion de données numériques Améliore l interopérabilité gouvernementale et commerciale et réduit les risques et les coûts de projets spatiaux http://www.ccsds.org/ 27/09/2012 Réunion plénière PIN 3

Le CCSDS et la préservation numérique 1996 : Task Force on Archiving Digital Information Un élément critique d une infrastructure pour la préservation numérique est l existence d un nombre suffisant d institutions de confiance capables de stocker, migrer et fournir l accès à des collections électroniques groupe de travail MOIMS (Mission Operations and Information Management Services) 2002 : Open Archival Information System reference model Modèle de référence proposant un cadre normatif pour définir les concepts, permettre la comparaison entre archives, constituer un guide pour la production d autres normes normalisé par l ISO (ISO 14721), version 2 publiée en 2012. 2004 : Producer-Archive Interface Methodology Standard Guide pratique visant à identifier les phases du projet d archives, en définir les objectifs, et obtenir un protocole de versement. 2012 : Producer-Archive Interface Specification Méthode pour la définition des objets numériques à transférer entre les producteurs de données et l archive. 27/09/2012 Réunion plénière PIN 4

Le projet pour l audit et la certification de SAE Le constat : Les institutions de confiance en charge de la préservation numérique ne sont pas aisément identifiables ; Les institutions d archivage pérenne revendiquent le respect de l OAIS sans que cela puisse être démontré au-delà de l application de la terminologie OAIS à leur infrastructure ; L OAIS inclut une feuille de route pour des standards à venir parmi lesquels un standard pour l accréditation des archives, basé sur le projet TRAC (Trustworthy Repositories Audit and Certification) publié en 2007; Les objectifs : Définir et recommander des bonnes pratiques sur lesquelles baser un processus d audit et de certification et évaluer le niveau de confiance d un système d archivage électronique. Définir les conditions d accréditation des auditeurs amenés à évaluer les institutions d archivage. 27/09/2012 Réunion plénière PIN 5

Les concepts et critères Définition d un SAE de confiance A minima : institution ayant une mission de fournir un accès fiable et à long-terme aux informations numérique qu elle gère pour sa communauté d utilisateurs ; Plus largement : institution prenant en compte les menaces et les risques liés à sa mission de préservation numérique, par une supervision, planification et maintenance constantes de plan d actions. Les standards concernés, les bonnes pratiques et les contrôles ISO 900x pour l assurance qualité au sein de l institution et l infrastructure ; ISO 17799 pour la sécurité des données au sein des systèmes d information ; ISO 15489 pour la gestion des documents des organisations publiques ou privées ; ISO 14721 pour la préservation numérique à long terme. Les preuves Pour chaque bonne pratique, métrique ou critère demandés, des exemples de preuves devront être fournis pour évaluer le degré de complétude. 27/09/2012 Réunion plénière PIN 6

Le support méthodologique Un guide de bonnes pratiques CCSDS 652.0-M-1, septembre 2011 Magenta book (recommandation de bonnes pratiques) Les 91 critères d évaluation sont répartis en trois sections : L organisation d un point de vue administratif de l institution La gestion opérationnelle des objets numériques La prise en compte des risques liés à l archivage Structure organisationnelle (24) Gouvernance et viabilité organisationnelle. Organigramme et dotation en personnel. Responsabilité. Cadre et politique de préservation. Durabilité financière. Contrats, licences et engagements. Gestion des objets numériques (43) Entrée : acquisition des contenus. Entrée : création des AIP. Planification de la préservation. Préservation des AIP. Gestion des informations. Gestion des accès. Gestion des risques sur l infrastructure et la sécurité (24) Gestion des risques liés à l infrastructure technique, aux changements. Gestion des risques liés à la sécurité. 27/09/2012 Réunion plénière PIN 7

La description d un critère Existence au sein de l institution d un mandat pour la préservation numérique Texte justificatif, descriptif du critère (Support text) Suggestion de moyens de démonter que le critère est satisfait (preuves à fournir) Texte explicatif mettant en évidence les diverses situations pouvant être rencontrées (Discussion) Pas de consignes pour la documentation des réponses/preuves apportées à chaque critère Exemple du document utilisé dans le cadre du projet APARSEN : III. Organizational infrastructure III.1 Governance and organizational viability III.1.1 The repository shall have a mission statement that reflects a commitment to the preservation of, long term retention of, management of, and access to digital information a/ Evidence examined (including name used by the repository and name used in evidence section if possible)? b/ Additional evidence required but not found c/ Description of tests performed for that evidence d/ Suggestion for improvement e/ Comments 27/09/2012 Réunion plénière PIN 8

Le projet de certification par l ISO Les projets de norme sont préparés par le groupe de travail MOIMS-RAC (Repositories Audit and Certification) du CCSDS Groupe élargi avec des représentants d archives nationales, de grandes bibliothèques, d universités Le CCSDS est aussi le Technical Committee 20/SC 13 (space data and information transfer systems) de l ISO Approbation du standard et publication Mars 2012 http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumb er=56510 Renouvellement périodique de la certification Surveillance des changements par un audit interne Nouvelle certification tous les 2-3 ans Pas de certification possible tant que les auditeurs ne sont pas accrédités Etude de marché? 27/09/2012 Réunion plénière PIN 9

La certification des auditeurs ISO 16919 : Requirements for bodies providing audit and certification of candidate trustworthy digital repositories Définitions des critères pour l habilitation des organisations appelées à mener les audits en vue de la certification des systèmes d archivage électronique sur plusieurs aspects : Contractuels et légaux, Confidentialité, impartialité, Compétence du personnel, Processus, Sécurité et communication. Magenta book CCSDS 652.1-M-1, Novembre 2011 Basé sur la norme ISO 17021 - Requirements for bodies providing audit and certification of management systems (2012) 27/09/2012 Réunion plénière PIN 10

Le projet européen APARSEN Projet financé par la Commission Européenne Objectifs : Mise en place d une réseau virtuel d excellence composé des acteurs de la préservation numériques (institutions, autres projets, communautés) Test des futures normes ISO 16363 et ISO 16919 (3 institutions en Europe : CINES, DANS, UKDA, 3 institutions aux USA) Deux phases : Audit interne (Février/Avril 2011) Audit externe (Juin 2011) Les résultats ont été publiés dernièrement http://www.alliancepermanentaccess.org/wp- content/uploads/downloads/2012/09/aparsen-trust-brochure-low- Res-Web-Version.pdf 27/09/2012 Réunion plénière PIN 11

Un cadre européen pour l audit/certification des SAE MoU signé le 8 Juillet 2010 dans le cadre d une série d initiatives soutenues par la Commission Européenne sur l audit et la certification de systèmes d archivage pérenne de confiance. Ce cadre consiste en trois niveaux de certification, avec un niveau croissant de confiance : Basic Certification, accordée aux SAE ayant obtenu la certification DSA; Extended Certification, accordée aux SAE ayant déjà obtenu la Basic Certification et effectué une auto-évaluation structurée, revue en externe, et publiquement accessible basée sur les normes ISO 16363 ou DIN 31644; Formal Certification, accordée aux SAE qui obtiennent en plus de la Basic Certiciation, un audit externe complet et une certification basée sur la norme ISO 16363 ou son équivalent DIN 31644. La Commission Européenne s est montrée très impliquée dans ce projet et examinera les résultats des audits menés dans le cadre d APARSEN http://trusteddigitalrepository.eu/site/trusted%20digital%20repository.html 27/09/2012 Réunion plénière PIN 12

Questions & Réponses 27/09/2012 Réunion plénière PIN 13

Annexes

Le panorama des certifications Il existe plusieurs normes généralistes ou spécifiques à l archivage électronique, mais toutes ne sont pas susceptibles d aboutir à une certification (ex. ISO 14721, ISO 19503) Certifications généralistes : ISO 900x : certification des systèmes de gestion de la qualité ; ISO 27001 : certification des systèmes de gestion de la sécurité de l'information ; COBIT (Control Objectives for Information and related Technology) : certification de la gouvernance des systèmes d information; ITIL (Information Technology Infrastructure Library) : certification des processus de gestion des systèmes d information ; CMMI (Capability Maturity Model) : certification des activités d'ingénierie, de développement informatique. 27/09/2012 Réunion plénière PIN 15

Le panorama des certifications Certifications spécifiques à l archivage : NF Z42-013 : certification des procédures techniques et organisationnelles permettant de garantir l'intégrité des documents lors de leur enregistrement, de leur stockage et de leur restitution ; ISO 16363 : certification d un système d archivage électronique de confiance ; DIN31644 : certification de la gestion d archives électroniques; Data Seal of Approval : accréditation d un service d archive de confiance ; MoReq2 : certification de l organisation de l archivage électronique ; DRAMBORA : certification d un système d archivage électronique par la gestion des risques. 27/09/2012 Réunion plénière PIN 16

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back