BS 10008-1: a autenticidade e a integridade das informações

Essa norma, publicada pelo BSI em 2020, estabelece a autenticidade e as integridade das informações que são cada vez mais importante no mundo dos negócios de hoje – especialmente onde as informações eletrônicas são usadas na resolução de disputas ou para demonstrar conformidade. Portanto, detalha o que os usuários precisam fazer para gerenciar informações armazenadas eletronicamente (electronically stored information – ESI) de forma que retenha sua autenticidade e integridade.

A BS 10008-1:2020 – Evidential weight and legal admissibility of electronically stored information (ESI) – Specification estabelece a autenticidade e as integridade das informações que são cada vez mais importante no mundo dos negócios de hoje – especialmente onde as informações eletrônicas são usadas na resolução de disputas ou para demonstrar conformidade. Portanto, detalha o que os usuários precisam fazer para gerenciar informações armazenadas eletronicamente (electronically stored information – ESI) de forma que retenha sua autenticidade e integridade.

Essa norma se destina a organizações de usuários finais que desejam garantir que o ESI criado, inserido, armazenado e/ou transmitido em seus sistemas de gerenciamento de informações possa ser usado com confiança como evidência em qualquer disputa, dentro ou fora de um tribunal. Ou que desejam garantir que os sistemas de gerenciamento de identidade eletrônica possam ser usados com confiança como evidência em qualquer disputa, dentro ou fora de um tribunal. Ela também pode ser usada por integradores e desenvolvedores de sistemas de gestão de informações que fornecem recursos para atender aos requisitos do usuário.

Os usuários específicos podem ser os gerentes de negócios, registradores ou gerentes de TI, responsáveis pela conformidade da empresa, assessores jurídicos em instituições financeiras, seguradoras e departamentos governamentais locais. Essa norma britânica especifica os requisitos para a implementação e a operação de sistemas eletrônicos de gestão de informações. Isso inclui o armazenamento e a transferência de informações armazenadas eletronicamente (ESI). O objetivo é permitir que os usuários mantenham a autenticidade e integridade do ESI, para que seja confiável e seja aceito sem contestação ou resista a desafios com sucesso.

Tudo isso é importante em circunstâncias em que o ESI possa ser usado como evidência – seja para fins comerciais, de conformidade, legais ou de resolução de disputas. A norma abrange a gestão da disponibilidade de ESI ao longo do tempo, a transferência eletrônica ou comunicação de ESI, a vinculação de identidade eletrônica a um ESI específico, incluindo o uso de assinaturas eletrônicas e sistemas eletrônicos de direitos autorais, bem como a verificação de identidade eletrônica, maneiras de autenticar informações criptografadas e assinaturas eletrônicas e como migrar os registros em papel para microforma ou formato digital sem comprometer a qualidade.

A norma também inclui requisitos para a administração e responsabilidade da gestão de ESI ao longo de seu ciclo de vida. Aplica-se ao ESI em qualquer forma, incluindo documentos gerais de escritório, imagens eletrônicas e informações mantidas em bancos de dados e outros sistemas eletrônicos. O ESI pode ser alfanumérico, baseado em imagem e/ou gravações de voz/vídeo, capturadas de dispositivos estáticos e móveis.

Os benefícios de usar essa norma incluem maior eficiência, maior confiança e melhor gerenciamento de risco, bem como os melhores processos implementados para lidar com problemas de direitos autorais, rastreamento e verificação, o uso reduzido de papel que contribui para credenciais ambientais e custos reduzidos de armazenamento de papel, melhor alinhamento das políticas de segurança da informação da organização, gestão das informações de longo prazo mais direta, incluindo migrações mais fáceis durante as atualizações de tecnologia, continuidade e resiliência dos negócios mais fortes – as informações eletrônicas podem ter backup e proteção mais eficaz do que registros em papel com risco de danos físicos.

Esta norma não cobre os processos usados para avaliar a autenticidade e integridade do ESI antes de ser capturado ou criado no sistema. Mas, a norma contribui para o Objetivo 15 de Desenvolvimento Sustentável das Nações Unidas sobre a proteção, restauração e promoção do uso sustentável de ecossistemas terrestres, incluindo o manejo sustentável de florestas e a redução da perda de biodiversidade, porque apoia o uso de menos papel.

Esta edição é uma revisão completa da BS 10008:2014, introduzindo algumas mudanças. Foi adicionada orientação sobre informações relacionadas à Internet das Coisas. Foram adicionados requisitos relacionados às informações gerenciadas pela tecnologia de blockchain/livro digital distribuído (DLT) e todos os aspectos técnicos deste documento foram atualizados, incluindo o armazenamento na nuvem e onde as informações são armazenadas em objetos digitais.

Conteúdo da norma

Introdução 1

1 Escopo 2

2 Referências normativas 2

3 Termos e definições 3

4 Contexto da organização 6

4.1 Geral 6

4.2 Questões 6

4.3 Requisitos 6

4.4 Limites e aplicabilidade 6

5 Liderança 6

5.1 Liderança e comprometimento 6

5.2 Declarações de política 7

5.3 Funções e responsabilidades dos trabalhadores 10

5.4 Ambiente legal e regulatório 11

6 Planejamento 11

6.1 Ações para abordar os riscos e as oportunidades 11

6.2 Objetivos e realizações 12

7 Suporte 12

7.1 Recursos 12

7.2 Competência 12

7.3 Conscientização 13

7.4 Relatórios e comunicação 13

7.5 Informações documentadas 13

8 Operação 15

8.1 Geral 15

8.2 Criação 15

8.3 Importando 16

8.4 Gestão de processos de negócios, automação de processos robóticos e sistemas de fluxo de trabalho 16

8.5 Digitalização de documentos 16

8.6 Extração de dados 17

8.7 Captura de metadados 17

8.8 Arquivos automodificáveis 17

8.9 Documentos compostos 17

8.10 ESI em bancos de dados estruturados 17

8.11 Blockchain e tecnologias de razão distribuída 18

8.12 Controle de versão 19

8.13 Sistemas de armazenamento 19

8,14 Transferência de ESI 20

8,15 Indexação e outros metadados 21

8.16 Procedimentos de saída autenticados 21

8,17 Identidade 21

8,18 Retenção, redação e descarte de ESI 22

8,19 Procedimentos de segurança da informação 23

8.20 Manutenção do sistema 24

8,21 Prestação de serviço externo 24

8.22 Teste do sistema de gerenciamento de informações 25

9 Avaliação de desempenho 25

9.1 Monitoramento, medição, análise e avaliação 25

9.2 Auditoria interna 26

9.3 Análise crítica da gestão 26

10 Melhoria 27

10.1 Não conformidade e ações corretivas 27

10.2 Melhoria contínua 27

Bibliografia 28

A informação é um ativo organizacional que precisa ser gerenciado ao longo de seu ciclo de vida, sendo freqüentemente necessária para ser usada dentro e fora de uma organização para demonstrar conformidade e/ou resolução de disputas. Se a autenticidade e/ou integridade das informações não puderem ser confiáveis, as conclusões baseadas nelas podem ser desacreditadas. Esta norma britânica especifica como as informações armazenadas eletronicamente (ESI) devem ser gerenciadas por uma organização, em um sistema de gestão das informações, para permitir que tenham um forte peso probatório e sejam comprovadamente confiáveis no que diz respeito à sua autenticidade e integridade sempre que durante seu ciclo de vida for necessário a ser usado – seja para fins comerciais, de conformidade, legais ou de resolução de disputas.

Se o sistema de gestão eletrônico de informações de uma organização estiver em conformidade com esta norma, prevê-se que o peso da evidência do ESI gerenciado pela organização será maximizado, garantindo sua confiabilidade e confiabilidade. Isso provavelmente reduzirá o esforço e o custo envolvidos na resolução de disputas, pois o foco do processo de resolução estará menos preocupado com a autenticidade ou integridade do ESI divulgado do que seria o caso se o sistema de gestão não estivesse em conformidade com esta norma. Também se prevê que a conformidade com esta norma minimizará os riscos envolvidos na retenção de ESI a longo prazo.

O BSI publicou inicialmente o PD 0008, Código de Prática para Peso de Prova e Admissibilidade Legal, em 1996. Este código de prática foi amplamente adotado e é referenciado, por exemplo, pelo Código de Prática Lord Chancellor sobre a gestão de registros [3] publicado sob a Seção 46 da Lei de Liberdade de Informação de 2000 e no equivalente escocês, o Código de Prática sobre a gestão de registros emitido [5] sob a Seção 61 da Liberdade de Informação (Escócia) Lei de 2002 [6]. A edição de 2004 foi emitida como BIP 0008 de acordo com as alterações de procedimento do BSI. Em 2008, para refletir as solicitações dos adotantes do Código de Prática do BIP 0008, foi publicada uma especificação padrão formal, BS 10008: 2008, Peso da prova e admissibilidade legal da informação eletrônica – Especificação. Foi substituído pela edição de 2014, que agora é substituída por esta edição.

Esta norma é complementada por recomendações e orientações na BS 10008-2. Sua publicação reflete as solicitações dos adotantes do BIP 0008 para um padrão formal de conformidade. As recomendações detalhadas e orientações fornecidas na BS 10008-2 destinam-se a auxiliar na implementação bem-sucedida desta parte da BS 10008. A BS 10008-2 substitui o BIP 0008 (agora retirado), que consistia em três partes que tratavam separadamente de armazenamento, transferência e vinculação de identidade para ESI; BS 10008-2 consolida essas três partes em um único código de prática. A Lista de Verificação de Conformidade BIP 0009 fornece uma ferramenta que permite a demonstração da conformidade com esta norma britânica juntamente com as partes apropriadas da BS 10008-2.

A edição anterior do BS 10008 e código de prática associado, BIP 0008, concentrou-se nas coleções estáticas do ESI de uma maneira muito controlada; no entanto, ESI agora está sendo criado usando dispositivos móveis, que incluem os telefones celulares, câmeras usadas no corpo (por exemplo, por ciclistas, polícia, oficiais de justiça, guardas de trânsito), câmeras do painel (frontal e traseira), drones, sistemas de CFTV (públicos e privados), radares (estáticos e portáteis), cobertura de televisão e campainhas com sensores de movimento. Este documento se aplica a todos esses métodos de captura, mas requer procedimentos adicionais para impor controles sobre como este ESI será gerenciado.

Deixe uma Resposta

Preencha os seus detalhes abaixo ou clique num ícone para iniciar sessão:

Logótipo da WordPress.com

Está a comentar usando a sua conta WordPress.com Terminar Sessão /  Alterar )

Google photo

Está a comentar usando a sua conta Google Terminar Sessão /  Alterar )

Imagem do Twitter

Está a comentar usando a sua conta Twitter Terminar Sessão /  Alterar )

Facebook photo

Está a comentar usando a sua conta Facebook Terminar Sessão /  Alterar )

Connecting to %s

%d bloggers like this: