31-01-2014
Records Management og rammeverket rundt
5. Februar 2014, eDOCS Brukerforum, Stavanger
Tine Weirsøe, Scandinavian Information Audit
5. februar 2014
©Scandinavian Information Audit
www.information-audit.dk
Lidt om os…
Scandinavian Information Audit
•
•
•
•
•
•
Startet i 2004
Specialister i records management og håndtering af forretningskritisk dokumentation:
• Audits, revisioner og udarbejdelse af ”tilstandsrapporter”
• Governance, records retentionplaner, procedurer og politikker
• ”Tilskæring” af dokumenthåndteringsystemer
• Corporate Memory
• Kurser, undervisning og foredrag
Vores ramme er ISO 30300/15489-serien, men vi har et pragmatisk forhold til standarder og bruger det
bedste fra andre standarder
Vi er uafhængige af IT-leverandører og andre konsulenter, men vi har et godt netværk
Vi arbejder i Danmark, Norge, Sverige, Holland og USA
Vores kunder er regulerede virksomheder og organisationer indenfor:
• Olie, gas, vind energi
• Medicinalindustrien, medikoteknik, biotek, fødevare
• Byggeri og anlæg
• Den finansielle sektor
• Transport, shipping og luftfart
• Offentlige sektor
• IT-branchen (software)
• Advokater og revisorer
• Interesseorganisationer
5. februar 2014
©Scandinavian Information Audit
www.information-audit.dk
1
31-01-2014
Lidt om mig…
Uddannelse
• MBA, CBS, 2002
• Lead auditor ISO 9001 (ICRA)
• Bibliotekar, sektion 2, Danmarks Biblioteksskole, 1985
Siden 2012 Ekstern lektor ved Master i Informationsforvaltning og Records
Management, Aalborg Universitet og IVA/Købehavns Universitet
Siden 2004 konsulent og ejer af Scandinavian Information Audit
1994-2004 Novo Nordisk, Records Management Centre, afdelingsleder
1993-1994 CBS, Library
1987-1992 Børsens Forlag, produktchef og afdelingsleder for Greensredaktionen
1985-1987 Industrifagene (nu fusioneret ind i Dansk Industri), datakonsulent.
5. februar 2014
©Scandinavian Information Audit
www.information-audit.dk
Indhold
1. del
Kl 10.00-11.30
Records Management og rammeverket rundt
•
•
•
•
•
•
•
2. del
Kl 11.45-13.00
5. februar 2014
Introduktion til Records management
Overblik over standarder
ISO 30300/ISO 30301
ISO 15489
Øvrige standarder
Records Management programmet
Strategisk anvendelse af rammeverket
Workshop
©Scandinavian Information Audit
www.information-audit.dk
2
31-01-2014
Definition
RECORDS =
Kritisk dokumentation +
governance +
metadata +
transaktionsdata
Tine Weirsøe, Scandinavian Information Audit udarbejdet til FN, 2012
5. februar 2014
©Scandinavian Information Audit
www.information-audit.dk
Definition
RECORDS =
kritisk information
•
•
•
•
+
Identificeres på
baggrund af
forretningsprocesanalyse,
risikovurderinger og
lovgivningskrav
Records kan være i
form af alle medier,
genstande og
formater
Records skal
håndteres og
kontrolleres i
livscyklus,
versionsstyres og
sikres mod utilsigtede
ændringer
Adgangskontrol til
records
governance
•
•
•
•
+
Politik
Retentionplan
Kassations
procedure
Procedurer for
håndtering og
kontrol
metadata
+
Records
management
metadata
•
•
•
•
•
Indhold
Tid
Livscyklus
Kontekst
Records
management
processer
transaktionsdata
•
•
•
•
•
•
Logs
Revisionsspor
Konvertering
Migrering
Vedligehold og
bevaring
Brug
Metadata for
transaktionsprocesser
Tine Weirsøe, Scandinavian Information Audit udarbejdet til FN, 2012
5. februar 2014
©Scandinavian Information Audit
www.information-audit.dk
3
31-01-2014
Terminologi
Livscyklus
Records
Information created, received, and maintained as
evidence and /or as an asset by an organization or
person, in pursuance of legal obligations or in the
transaction of business or for its purposes,
regardless of medium, form or format.
Formål med records management
(Kilde: ISO 30300:2011, afsnit 3.1.7)
5. februar 2014
©Scandinavian Information Audit
www.information-audit.dk
Records er i form af alle medier og formater
og på utallige lokationer
USB, memory sticks,
Social netværk (Facebook, Twitter etc. )
løse drev og diske
Fysiske genstande
Kameraer
Mobiltelefoner
Arkiver, kontorer,
skabe, skuffer
Finans og
økonomisystemer
Harddiske
Records i
virksomheden,
hos kunder,
leverandører,
samarbejdspartenere
medarbejdere
myndigheder
SMS, Voice mails m.m.
Fælles- og netværksfolders
Outlook og andre
transitsystemer
Dokumenter, e-post
Skyen (Cloud)
EDH/ESDH
5. februar 2014
Intranet
Exchange servers
Drifts-, produktionsog fagsystemer
©Scandinavian Information Audit
www.information-audit.dk
4
31-01-2014
Mange discipliner samlet under Records
Management paraplyen
Records business analysis
Arkiv/arkivering
Document Control
Records arbejdsgangsanalyse
Records risk management
Records forretningsprocesanalyse
Bevaring:
• Papir
• Digitale medier
• Sociale netværk
• Genstande
Compliance
Virksomheds-/organisations- udvikling og historie
Information management
Business continuity
Metadata for records/records management
Auditering, monitorering
m. fl.
IT sikkerhed – informationssikkerhed - datasikkerhed
Jura
5. februar 2014
©Scandinavian Information Audit
www.information-audit.dk
Livscyklus for records og IT-systemer
Retention
Records
system
Retention
Migration
Records
system
Dispose?
Retention
Migration
Dispose?
Retention
Migration
Records
system
Records
system
Dispose?
∞
Migration
Dispose?
Livscyklus for records systemer
Tilblivelse/modtagelse
Aktiv
Passiv
Forsat bevaring eller
kassation
Livscyklus for records
5. februar 2014
©Scandinavian Information Audit
www.information-audit.dk
5
31-01-2014
Records management drivers
Forretningsbehov
Juridiske krav
Troværdighed
Lovgivningskrav
Videndeling
Etik
Kontraktuelle
forpligtelser
Standarder
Omdømme
Beskyttelse ved
retssager,
inspektioner, tilsyn
5. februar 2014
Virksomhedshistorie
©Scandinavian Information Audit
www.information-audit.dk
Lovgivningskrav
National lovgivning
• Bogføring og
regnskabsaflæggelse
• Persondata
• Produktansvar
• Skatteberegning og –
betaling
• Arbejdsmiljø
• Selskabslovgivning og
meget, meget mere
Specielt for statsejede
virksomheder og
offentlig forvaltning:
•Forvaltningsloven
•Offentlighedsloven
•Arkivloven
5. februar 2014
International lovgivning i de
lande, regioner og markeder,
hvor virksomheden er:
• USA
• Asien
• EU m.fl
• Specifikke lande, områder og
stater
Desuden:
•Overenskomster
©Scandinavian Information Audit
Branchelovgivning, fx:
•NORSOK
•Oliedirektivet
•GXP
www.information-audit.dk
6
31-01-2014
Legal risk
• Legal Hold og
eDiscovery
– Risiko ved ikke at
slette…
– Risiko ved at slette for
meget…
• Risiko ved ikke at
kunne
dokumenterer…
5. februar 2014
©Scandinavian Information Audit
www.information-audit.dk
Forretningsbehov
•
•
•
Videndeling
– Behovsbestemt
– Identificeres ved risikoanalyse
Standarder
– Ledelsen vælger til eller fra, fx ISO 9000, 14000, 27000,
fagstandarder
Virksomhedshistorie
– Indicuduelt
– Fokus og niveau er blandt andet afhængigt af ejerskab
(familieejerskab, fond, equity m.m.)
5. februar 2014
©Scandinavian Information Audit
www.information-audit.dk
7
31-01-2014
Troværdighed
• Omdømme
– Kan true en virksomheds eksistens
– Records til understøttelse af omdømme identificeres
ved risikoanalyse
• Etik eller ”business ethics”
– Ny driver – CSR next generation. Eksempler
• Markedsføring – fx medicinalindustriens påvirkning af læger
• Investeringer og salg – fx i diktaturstater
• Leverandører – leverandører er ”en del af virksomheden”,
derfor kontrol, kontrol, kontrol
• Medarbejdere – overholdelse af aftaler, overenskomster,
børnearbejde, hviletidsregler, sikkerhed
5. februar 2014
©Scandinavian Information Audit
www.information-audit.dk
Fair and accurate books and records are
essential for managing Chevron’s business
Our Shared Responsibility
Chevron’s books and records must be
prepared accurately and honestly, both
by our accountants who prepare records
of transactions and by any of us who
contribute to the creation of business
records, for example, by submitting
expense reports, job logs, measurements
and time sheets. All of our books and
records must be supported by enough
documentation to provide a complete,
accurate, valid and auditable
record of the transaction.
Fair and accurate books and records are
essential for managing Chevron’s
business …
Kilde: From Chevron Business Conduct
and Ethics Code, 2012, page 10-11
5. februar 2014
Questions & Answers
Q My supervisor told me to destroy
documents related to a project that we did last
year. Now, the internal auditors are asking
questions as though they are concerned. Since
my supervisor told me to do this, I should not be
in trouble, should I?
A The auditor is not investigating to get
anyone “in trouble.” The auditor’s role is to
ensure that our Company follows required
policies and processes. You are responsible for
understanding our document retention policies.
If your supervisor told you to destroy documents
that should have been retained, blindly following
orders was not the right course of action. The
best thing you can do now is to answer the
auditor’s questions completely and honestly.
©Scandinavian Information Audit
www.information-audit.dk
8
31-01-2014
Fair and accurate books and records are
essential for managing Chevron’s business
Retaining or Discarding Company Records
A Company record may serve one of many purposes. It may:
• satisfy operating requirements (for example, maintenance logs,
service contracts)
• document a Company holding (for example, a lease or deed)
• protect the Company’s interest in legal actions (for example, a
product quality test)
• show compliance with governmental regulations (for example,
financial and injury reports)
We must all follow Chevron’s retention policy for all records and
other forms of information. Company records must be kept for the
set period required by the Company’s retention schedule.
Documents and other forms of information that do not qualify as
Company records, however, should not be retained past the time
that they serve a business purpose.
Kilde: From Chevron Business Conduct and Ethics Code, 2012, page 26
5. februar 2014
©Scandinavian Information Audit
www.information-audit.dk
To tilgange til records management
1. Den proaktive eller
forebyggende
2. Den ”brændende platform”
- den korrigerende
5. februar 2014
©Scandinavian Information Audit
www.information-audit.dk
9
31-01-2014
Hvad fører til ”brændende platforme”?
•
•
•
•
•
•
Mangelfuld information governance - ingen implementerede politikker og procedurer
Records håndteres ikke som et aktiv (værdi)
Ingen retention plan eller kassationspolitik medfører at data, dokumenter, viden og
records ophobes tilfældigt i arkiver og IT-systemer og kasseres tilfældigt
Records management, IT, Arkivet, Juridisk Afdeling, Risk Management har ikke et
formaliseret samarbejde
Ingen klassifikation af information, records og data efter kritikalitet
Mange parallelsystemer, fx EDH, folderstrukture på drev, arkivering i Outlook og
hardcopies
5. februar 2014
©Scandinavian Information Audit
www.information-audit.dk
Typiske ”brændende platforme”
•
•
•
•
•
•
Fysiske uheld, ulykker, katastrofer
Dårlige (økonomiske) resultater
Myndighedsinspektioner, tilsyn
Retslige tvister
Fokus fra presse og medier
Aktindsigt og forespørgsler fra politikere, journalister,
borgere, naboer, medarbejdere og andre interessenter
• Tilsandede systemer og arkiver = lang genfindingstid og
ingen sikkerhed for at finde det rigtige dokument.
5. februar 2014
©Scandinavian Information Audit
www.information-audit.dk
10
31-01-2014
”Tvister vindes af dem, der har de bedste
beviser og ikke altid af dem, der har ret.”
Citat: Advokat Claus Sørensen, Dahl Advokatfirma, Danmark
5. februar 2014
©Scandinavian Information Audit
www.information-audit.dk
?
Spørgsmål
• Hvad driver Records Management i din virksomhed?
• Hvilke medier har I records på (papir, digitalt,
genstande)?
• Hvor findes records i din virksomhed?
5. februar 2014
©Scandinavian Information Audit
www.information-audit.dk
11
31-01-2014
Baggrund for udvikling af standarder om
records management fra 1990’erneEffektiv virksomhedsdrift
– i det daglige arbejde
– ved håndtering af store og komplekse
mængder dokumentation ved fx R&D,
anlægsprojekter, kontrakter
Knappe ressourcer
– prioritering af den kritiske
dokumentation
– videndeling
– omkostninger til bevaring
Legal risk
– ved at bevaring af alt
– ved tilfældig arkivering/bevaring
Sikkerhed – især efter 9/11 2001
– business continuity
– kontrol og adgang
Komplekse organisationer
– globalisering – internationalisering
– konstante forandringer og tilpasninger
5. februar 2014
©Scandinavian Information Audit
www.information-audit.dk
ISO 30300-serien overblik
Terminologi
Krav
ISO 30300 Management
systems for records –
Fundamentals and vocabulary
ISO 30301 Management
systems for records –
Requirements
Øvrige standarder og tekniske rapporter
ISO 15489-1&2
Information and
documentation –
Records
management
ISO 230811,2&3
Information and
documentation –
Metadata for
records
ISO 26122 TR
Information and
documentation Work process
analysis for
records
ISO 13028
Implementation
guidelines for
digitalization of
records
ISO 13008
Digital records
conversion and
migration
process
ISO 16175-1,2,3
Principles and
functional
requirements for
records in
electronic offiice
environment
ISO 30303 Management
systems for records –
Requirements for bodies
providing audit and
certification
Guidelines
ISO 30302 Management
systems for records –
Implementation guide
ISO 30304 Management
systems for records –
Assessment guide
5. februar 2014
©Scandinavian Information Audit
ISO 18128
Information and
documentation –
Risk assessment
for records
processes and
systems
?
www.information-audit.dk
12
31-01-2014
Fra ISO 15489 til ISO 30300…
Records
Information created, received, and maintained as evidence and /or as
an asset by an organization or person, in pursuance of legal obligations
or in the transaction of business or for its purposes, regardless of
medium, form or format.
(ISO 30300:2011, afsnit 3.1.7)
Records
Information created, received, and maintained as evidence and
information by an organization or person, in pursuance of legal
obligations or in the transaction of business.
(ISO 15489:2001, afsnit 3.15)
5. februar 2014
©Scandinavian Information Audit
www.information-audit.dk
Eksempler på standarder for
information- og records management
International
30300-serien
ISO 15489
EU
MoReq
Dublin Core
National
(offentlig sektor)
Norge: Noark
FDA Part 11
NORSOK
PD 5454
HIPAA
BASEL III
m.fl.
UK: PD 5454
USA: DoD 5015.02
ISO 15489
(national)
Danmark: OIO
5. februar 2014
©Scandinavian Information Audit
www.information-audit.dk
13
31-01-2014
ISO 30300 og ISO 30301
• ISO 30300 Information and documentation –
Management system for records –
Fundamentals and vocabulary
• ISO 30301 Information and documentation –
Management system for records –
Requirements
5. februar 2014
©Scandinavian Information Audit
www.information-audit.dk
ISO 30300
Structure of
the ISO 30300
series
ISO
30300
Terms and
definitions
5. februar 2014
©Scandinavian Information Audit
Fundamentals
of an MSR
www.information-audit.dk
14
31-01-2014
MSR = Management System for Records
Management systems for records
”Management system to direct and control an organasation with regard
to records”
Kilde: ISO 30300, 3.4.2
Management system
”Set of interrelated or interacting elements og an organisation to
establish policies and objectives, and processes to achieve those
objectives”
Kilde: ISO 30300, 3.4.1
Records system
”Information system which captures, manages and provides access to
records over time”
Kilde: ISO 30300, 3.4.4
5. februar 2014
©Scandinavian Information Audit
www.information-audit.dk
MSR principper
En succesfuld implementering af MSR er baseret på:
• Kundefokus
• Lederskab og troværdighed
• Fakta baseret beslutningstagen
• Involvering
• Procesorientering
• Systemorienteret ledelse
• Løbende forbedringer
5. februar 2014
©Scandinavian Information Audit
www.information-audit.dk
15
31-01-2014
MSR krav til records
Autentiske (Authentic)
En autentisk record, er en record, hvor det kan dokumenteres at den er:
a) hvad den foregiver at være,
b) genereret/oprettet eller sendt af den person, som formodes at have genereret eller
sendt den, og
c) genereret/oprettet eller sendt på det påståede tidspunkt.
Pålidelige (Reliable)
En pålidelig record er en record, hvis indhold man kan stole på som en fuldstændig
og nøjagtig gengivelse af de processer, aktiviteter eller faktiske omstændigheder,
som den er dokumentation for.
Integritet (Integrity)
Integriteten af en record henviser til at den er komplet og uændret. Det er nødvendigt,
at records beskyttes mod uautoriserede ændringer. Enhver autoriseret
tilføjelse eller rettelse skal være sporbar.
Anvendelige (Usable)
En anvendelig record er en record, der kan lokaliseres, genfindes,
præsenteres, som er læsbar og hvis indhold kan fortolkes.
5. februar 2014
©Scandinavian Information Audit
www.information-audit.dk
Terminologi
ISO 30300 afsnit 3, opdelt i:
• Terms relating to records
• Terms relation to management
• Terms relating to records management procsses
• Terms relation to MSR
5. februar 2014
©Scandinavian Information Audit
www.information-audit.dk
16
31-01-2014
ISO 30301
Context of the
opganization
Improvement
Leadership
ISO 30301
Performance
evaluation
Planning
Operation
5. februar 2014
©Scandinavian Information Audit
Support
www.information-audit.dk
En organisations interne kontekst
En organisations interne kontekst omfatter bl.a.:
• Governance og organisationsstruktur
• Politikker, mål og strategier
• Ressourcer og viden (værdier, tid, mennesker,
processer, systemer og teknologi)
• Informationssystemer, informations flows and
beslutnings processer (formelle og uformelle)
• Værdier og organisationskultur
• Standarder og guidelines
• Ejerskab og kontraktuelle strukturer.
5. februar 2014
©Scandinavian Information Audit
www.information-audit.dk
17
31-01-2014
At definere omfang af MSR
• En organisation skal definere og dokumentere
omfanget eller rækkevidden af dets MSR
• MSR kan omfatte en hel organisation eller
specifikke områder
• Når en organisation outsourcer opgaver, der har
effekt på dens MSR, skal organisationen sikre
sig kontrol over processerne. Kontrol med
leverandører og outsourcede opgaver skal
identificeres.
5. februar 2014
©Scandinavian Information Audit
www.information-audit.dk
Management commitment
Top management skal viser deres engagement
ved:
• At sikre at MSR er i overensstemmelse med de
strategiske beslutninger
• Integrere MSR in forretningsprocesserne
• Sikre ressourcer til at etablere, implementere,
vedligeholde og kontinuerligt forbedre MSR
• Kommunikere vigtigheden af en effektiv MSR
• Sikre, at der er mål for MSR
• Sikre at MSR giver den forventede nytteværdi.
5. februar 2014
©Scandinavian Information Audit
www.information-audit.dk
18
31-01-2014
Support
•
•
•
•
•
Ressourcer
Kompetencer
Opmærksomhed (awareness) og træning
Kommunikation
Dokumentation
5. februar 2014
©Scandinavian Information Audit
www.information-audit.dk
Evaluering af performance
• Monitorering, måling, analyse og evaluering
• Interne auditeringssystemer
• Management review
5. februar 2014
©Scandinavian Information Audit
www.information-audit.dk
19
31-01-2014
ISO 15489 part 1
Information
management
Teknologi
Governance
5. februar 2014
©Scandinavian Information Audit
www.information-audit.dk
ISO15489
Krav til Records management systemet
•Reliability (pålidelighed)
•Integrity (ubestikkelighed)
•Compliance (efterlevelse af krav)
•Comprehensiveness (rummelighed)
•Systematic (systematisk)
Auditering/
monitorering
Politik
Implementering
Træning
Ansvar
Krav til
RMsystemet
Procedurer
Forretnings
procesanalyse
Krav til
records
Krav til en record
•Authenticity (ægthed)
•Reliability (pålidelighed)
•Integrity (ubestikkelighed)
•Useability (brugbarhed)
Klassifikation
ISO
15489
Unik ident.
Records
retention
Versionsstyring
Kassation
Adgang
Genfinding
Sikkerhed
Konvertering
5. februar 2014
Metadata
Bevaring
©Scandinavian Information Audit
www.information-audit.dk
20
31-01-2014
Model for implementering (ISO 15489-2, afsnit 3)
DIRS= Design and Implementation of Records Systems
A:
Forundersøgelse
E:
B:
C:
Analyse af
forretningsprocesser
Identifikation
af regulatoriske krav
F:
Strategi til
at efterleve
regulatoriske
krav
Design af
et records
system
Politikker
Design
D:
Eksisterende
systemer
implementering
H:
G:
Post-implementation
review
Implementering
Primary path
Feedback path
5. februar 2014
©Scandinavian Information Audit
www.information-audit.dk
Records management program
Vision for records management
Improvement
Løbende monitorering og
auditring
Sikring og udvikling
af kompetencer
Træning
Strategi for records
management
Procedurer
Records
management
Optimering af systemer Systemer og
arkiver
og arkiver
5. februar 2014
Politik
©Scandinavian Information Audit
Records
retention
Vurdering af risiko
Identifikation af records
www.information-audit.dk
21
31-01-2014
Forskellige ledelsessystemer
• Kvalitetsledelse (ISO 9000-serien)
• Miljøledelse (ISO 14000-serien)
• CSR (ISO 26000)
• Informationssikkerhed (ISO 27000)
• Risk management (ISO 31000)
• Fødevaresikkerhed (ISO 22000) m.fl.
Flere og flere virksomheder integrerer
flere ledelsessystemer i eet, fx
• kvalitet, miljø, records management
• CSR, records management
• Informationssikkerhed, records
management
5. februar 2014
©Scandinavian Information Audit
www.information-audit.dk
Opsamling ISO 30300/30301 og ISO 15489
• ISO 30300/30301 er high level standarder
• Målet er at sætte en strategisk ramme for at
organisationer, der har behov for MSR
• ISO 15489 omfatter de operationelle aspekter –
med fokus på kontrol og processer for records
• En organisation vil have behov for at
implementere både MSR og ISO 15489
5. februar 2014
©Scandinavian Information Audit
www.information-audit.dk
22
31-01-2014
Erfaringer med ISO 30300/ISO 30301 fra de
første 2 år
Positivt
Negativt
•
•
•
•
•
•
Kan integreres i andre
ledelsessystemer
Et ledelsessystem for records
management er et løft for
”faget”
Nemmere at kommunikere om
records management på alle
niveauer i en organisation
En stor fordel, at
”organisationers kontekst” er
beskrevet
Lægger pres på leverandører
5. februar 2014
•
©Scandinavian Information Audit
MSR kan ses som en
konkurrent til andre
ledelsessystemer
ISO 30300/30301 er skrevet til
ledelse på alle niveauer – er
ikke formuleret med records
managers og
informationsspecialister som
målgruppe
www.information-audit.dk
Trends i Records Management
1.
2.
3.
Records Management governance top-down
Records Management og informationssikkerhed smelter sammen
Ny persondatalovgivning i EU influerer records management –
formentligt også i Norge
4. Digitale vs. fysiske records – hvad er billigst?
5. The data revolution… Data is the most valuable asset in any
company…
– Big Data vs. Small Data
– Data born companies (Google)
6. Oprydning og kassation af udgående data, records og dokumenter
5. februar 2014
©Scandinavian Information Audit
www.information-audit.dk
23
31-01-2014
Tine Weirsøe, Scandinavian Information Audit
Email tw@information-audit.dk – Telefon 70 23 14 04
5. februar 2014
©Scandinavian Information Audit
www.information-audit.dk
24