12 Sự hợp pháp
12.1.3Bảo vệ những tài liệu của cơ quan.
Những bản ghi quan trọng của tổ chức nên được bảo vệ khỏi bị mất, phá hoại và làm giả. Một số bản ghi có thể cần được giữ lại để đáp ứng những yêu cầu luật định hoặc quy định, cũng như để cung cấp những hoạt động kinh doanh cần thiết. Những ví dụ cho điều này là các bản ghi có thể được yêu cầu như chứng cứ rằng tổ chức hoạt động trong khuôn khổ những điều lệ luật định hoặc quy định, hoặc để đảm bảo những biện hộ đầy đủ chống lại hành động vi phạm, hoặc để chứng thực tình trạng tài chính của tổ chức trước các cổ đông, những đối tác và các kiểm toán
viên. Khoảng thời gian và nội dung dữ liệu cho việc lưu giữ thông tin có thể được luật quốc gia hoặc điều lệ đặt ra. Các bản ghi nên được phân loại thành các kiểu bản ghi, ví dụ, các bản ghi tài khoản, các bản ghi cơ sở dữ liệu, các bản ghi giao tác, các bản ghi kiểm toán và những thủ tục hoạt động, mỗi loại với những chi tiết về những khoảng thời gian lưu giữ và loại phương tiện lưu trữ, ví dụ, giấy tờ, tấm vi phim, quang học. Bất kì khoá mã liên quan nào kết hợp với những kho trữ mã hoá hoặc các chữ kí số hoá (xem 10.3.2 và 10.3.3) nên được giữ bảo mật và được làm cho sẵn dùng đối với những người được cấp quyền khi cần.
Chú ý đến khả năng giảm chất lượng của phương tiện dùng cho kho chứa các bản ghi. Kho chứa và các thủ tục trình bày nên được thực hiện phù hợp với những giới thiệu của hãng sản xuất.
Nơi nào phương tiện kho chứa điện tử được chọn, các thủ tục để đảm bảo khả năng truy cập dữ liệu (cả phương tiện vật lí và định dạng có thể đọc được) trong suốt khoảng thời gian lưu trữ nên được tính đến, để bảo vệ chống lại việc bị mất do bởi sự thay đổi công nghệ.
Những hệ thống kho chứa dữ liệu nên được chọn để dữ liệu cần thiết có thể được lấy theo cách có thể chấp nhận đối với luật, ví dụ, tất cả các bản ghi cần thiết có thể được lấy trong khoảng thời gian có thể chấp nhận và ở định dạng có thể chấp nhận. Hệ thống kho chứa và việc trình bày sẽ đảm bảo sự xác nhận rõ ràng các bản ghi và khoảng thời gian lưu trữ theo luật định hoặc theo quy định. Nó sẽ cho phép việc huỷ các bản ghi sau khi khoảng thời gian đó nếu chúng không cần cho tổ chức nữa. Để thoả mãn những nghĩa vụ trên, các bước sau nên được thực hiện bên trong tổ chức:
a) các hướng dẫn nên được đưa ra về việc lưu trữ, chứa, trình bày và huỷ bỏ các bản ghi và thông tin;
b) kế hoạch lưu trữ nên được phác thảo việc xác định những loại bản ghi cần thiết và khoảng thời gian mà chúng được giữ lại;
c) bản kiểm kê các nguồn tài nguyên thông tin quan trọng nên được duy trì; d) những kiểm soát thích hợp nên được thực hiện để bảo vệ các bản ghi và thông tin cần thiết không bị mất, phá hoại và làm giả;