Un nuovo standard internazionale per la conservazione : si fa davvero sul serio!
E’ uscito un nuovo standard sulla conservazione digitale! Tranquilli, non cambia di certo il DPCM del 3 Dicembre 2013 sulle nuove regole tecniche di conservazione e che come sapete, non fa altro che recepire quanto affermato dall’ISO 14721:2012 , ovvero l’OAIS, sul quale ho scritto praticamente una collana:).
Anzi, direi che oltre a stare tranquilli, dobbiamo essere contenti di questo nuovo standard. Lo standard in questione si chiama ISO 16919:2014 “Space data and information transfer systems — Requirements for bodies providing audit and certification of candidate trustworthy digital repositories”. Detto in poche parole : definisce le caratteristiche ed i requisiti per le strutture incaricate delle attività di audit e certificazione dei sistemi di conservazione digitale. Quindi è un altro pezzo del puzzle digitale che a livello internazionale si sta costruendo. Lo scopo principale di questo standard è quello di definire una prassi raccomandata (e ISO standard dunque) su cui basare le operazioni delle organizzazioni che valutano l’affidabilità e la robustezza degli archivi digitali. Anche per fornire certificazioni appropriate. Ovvero si valuta anche la capacità di conservare nel lungo termine, il valore probatorio e la fruibilità delle informazioni digitali conservate.
Lo standard affronta dunque i problemi derivanti dall’applicazione di buone prassi e la revisione e il controllo attestante, se e in che misura, i repository digitali (i nostri sistemi di conservazione) possono essere attendibili ed affidabili per prendersi cura digitalmente delle informazioni sia per un lungo termine sia per il periodo della loro custodia. Lo standard si basa sulla copertura dei principi necessari per garantire : Imparzialità, Competenza, Responsabilità, Integrità, Riservatezza e Efficienza oltre che Efficacia dei sistemi documentali.
La cosa interessante di questo nuovo standard, è che si definiscono dei criteri certi e affidabili per le competenze necessarie e sufficienti per tutte le risorse e tutti gli stakeholder che fanno parte dei processi di dematerializzazione o di conservazione digitale. Ma non solo , perchè vengono elencate anche le competenze richieste all’azienda che fornisce il servizio di conservazione sostitutiva o, come meglio dovrebbe essere dichiarato, il servizio di conservazione digitale. Ecco un esempio di criteri valutabili :
Valutare l’impegno di un organizzazione per la conservazione; Valutare i piani aziendali per la conservazione a lungo termine; Valutare i piani di sostenibilità per garantire la reperibilità delle informazioni digitali; Valutare se i livelli di personale sono adeguati e competenti; Valutare i requisiti di formazione per il personale e per il responsabile della conservazione; Valutare i piani di sviluppo professionali e di formazione; Valutare la Stabilità finanziaria: Valutare la gestione dei Rischi e altri rischi finanziari; Valutare i piani aziendali, bilanci e piani di emergenza; Valutare i contratti, le autorizzazioni e le licenze; Valutare sei i flussi documentali rispondono all’OAIS e quindi alla ISO di riferimento; Valutare la gestione Privacy e la Sicurezza delle Informazioni (e quindi integrità, accesso ai dati, verifiche preliminari per i rischi informatici, disponibilità delle risorse e risposte a degli scenari di attacco, etc…)
E vi garantisco che la lista è molto più lunga e le verifiche e le validazioni sono davvero importanti ed imponenti dal punto di vista del processo. Di fondamentale importanza, sono dunque le liste di competenze specifiche sia tecniche sia di organizzazione sia di cultura digitale e di cui tutti i sistemi di conservazione dovrebbero disporre per svolgere queste attività. Non dimentichiamoci infatti che, l’affidabilità, l’imparzialità, la responsabilità, l’esperienza nel campo della conservazione digitale e la formazione necessaria per acquisire queste competenze, sono di fondamentale importanza per garantire che i documenti conservati siano davvero al sicuro e che rispondano in termini di validità e di efficacia.
Proprio per questo, ho appena lanciato un servizio consulenziale riferito ad un modello di controllo in grado di valutare ed attestare la conformità fiscale, tecnica e gestionale dei processi di conservazione sostitutiva e di fatturazione elettronica, con le seguenti attività : -Audit e verifica del processo di gestione documentale e di conservazione implementato nel software relativamente a tutti gli aspetti fiscali, tecnici, giuridici e gestionali del software; -Audit normativo tecnico e procedurale della conservazione secondo le Nuove Regole Tecniche in materia di sistema di conservazione relativamente al software; Audit per verifica requisiti e disposizioni fornite dal D.LGS 196/2003 e successive modificazioni puntualizzati più volte all’interno delle nuove regole tecniche, come indicato dall’articolo 12 e dall’articolo 7 del DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI del 3 dicembre 2013 ; Audit sull’analisi della documentazione raccolta con predisposizione relazione tecnica e procedurale contenente un modello di controllo in grado di valutare ed attestare la conformità.
Insomma si fa davvero sul serio, e voi che ne pensate ? Si stanno complicando troppo le cose ? oppure è giusto che, come tutti i servizi IT di livello Enterprise, ci siano regole ben precise ? (e non dimentichiamoci che si tratta di conservare documenti nel tempo….roba mica da poco insomma..)
Come sempre, buon digitale a tutti:)
Nicola.
