14. Sự tuân thủ
14.1.3. Bảo vệ các hồ sơ của tổ chức
Biện pháp quản lý
Các hồ sơ quan trọng cần được bảo vệ khỏi sự mất mát, phá hủy hoặc làm sai lệch, phù hợp với pháp luật, quy định, các nghĩa vụ trong hợp đồng đã ký.
Hướng dẫn triển khai
Các hồ sơ cần được phân loại theo loại hồ sơ, ví dụ hồ sơ kế toán, hồ sơ cơ sở dữ liệu, nhật ký giao dịch, nhật ký đánh giá, và các thủ tục điều hành, mỗi hồ sơ đều có các thông tin chi tiết về các giai đoạn sử dụng và loại phương tiện lưu trữ, ví dụ giấy, phim, từ, quang. Mọi tài liệu có khóa mã hóa liên quan và các chương trình liên quan đến các văn bản được mã hóa hoặc chữ ký số (xem 11.3), cần được lưu trữ để có thể giải mã các hồ sơ.
Cần xem xét khả năng hư hỏng thiết bị được sử dụng để lưu trữ các hồ sơ. Các thủ tục lưu trữ và xử lý cần được triển khai theo các hướng dẫn của nhà sản xuất. Nếu cần lưu trữ trong thời gian dài thì nên xem xét sử dụng giấy hoặc tấm vi phim.
Trường hợp thiết bị lưu trữ điện tử được lựa chọn thì các thủ tục nhằm đảm bảo khả năng truy cập dữ liệu (cả khả năng đọc phương tiện và định dạng) trong toàn bộ quá trình lưu trữ cũng cần được đưa ra nhằm bảo vệ an toàn trước những mất mát do sự thay đổi công nghệ trong tương lai.
Các hệ thống lưu trữ dữ liệu cần được chọn lựa sao cho dữ liệu được yêu cầu có thể lấy lại định dạng và khung thời gian trong mức có thể chấp nhận được, tùy theo các yêu cầu phải thỏa mãn.
Nếu thích hợp thì hệ thống lưu trữ và xử lý cần đảm bảo định danh rõ các hồ sơ và thời gian lưu trữ chúng như đã được xác định bởi các yêu cầu pháp lý, quy định của quốc gia hoặc khu vực. Hệ thống này phải cho phép hủy bỏ các hồ sơ một cách phù hợp sau thời gian lưu trữ đó nếu chúng không cần thiết cho tổ chức nữa.
Để thỏa mãn các mục tiêu bảo vệ hồ sơ, các bước sau đây cần được thực hiện trong nội bộ tổ chức: a) đưa ra các hướng dẫn về việc sử dụng, lưu trữ, xử lý và loại bỏ các hồ sơ và thông tin;
b) kế hoạch lưu trữ cần được phác thảo nhằm xác định các hồ sơ và khoảng thời gian lưu trữ chúng: c) việc kiểm kê các nguồn tài nguyên của các thông tin quan trọng cần được duy trì;
d) các biện pháp quản lý phù hợp cần được triển khai nhằm bảo vệ các hồ sơ và thông tin khỏi bị mất, phá hủy và làm giả.
Thông tin khác
Một số hồ sơ có thể cần được lưu giữ an toàn để tuân thủ các yêu cầu pháp lý, quy định hoặc giao kèo, cũng như để hỗ trợ các hoạt động nghiệp vụ cần thiết. Ví dụ các hồ sơ có thể được yêu cầu là chứng cứ cho thấy tổ chức hoạt động tuân theo các quy định hoặc các yêu cầu pháp lý, nhằm đảm bảo sự phòng thủ thích đáng trước các hành động dân sự hoặc hình sự tiềm ẩn, hoặc để xác nhận tình trạng tài chính của một tổ chức trước các cổ đông, các bên liên quan, và các đánh giá viên. Khoảng thời gian và nội dung dữ liệu cần lưu trữ thông tin có thể được quy định bởi các điều luật hoặc quy tắc quốc gia.
Thông tin sâu hơn về việc quản lý các hồ sơ của tổ chức có thể tìm thấy trong ISO 15489-1.