LVI - Ledningssystem för verksamhetsinformation Vad är LVI - och hur ska man införa LVI i en organisation?

Transkript

1 LVI - Ledningssystem för verksamhetsinformation Vad är LVI - och hur ska man införa LVI i en organisation? Tine Weirsøe, Scandinavian Information Audit tw@information-audit.dk 1 1 Indhold 1. Introduktion til records management 2. Vad är LVI? 3. Hur ska man införa LVI i en organisation? 4. Udfordringer og muligheder med LVI 2 2 1

2 Lidt om os Scandinavian Information Audit v Etableret i 2004 v Specialiseret i records-/document management, arkivering, information governance, håndtering af persondata og informationssikkerhed v Uafhængig af andre konsuleneter og leverandører, men vi har et godt netværk v Arbejder i de nordiske lande, Tyskland, Holland, Schweiz, Italien, USA v Vores kunder er virksomheder indenfor: Pharma og lifescience Offshore og energi Transport, shipping og luftfart Fødevarer Den finansielle sektor Statsejede virksomheder og den offentlige sektor Interesseorganisationer Tilmeld dig vores nyhedsbrev på Bliv medlem af vores LinkedIn-gruppe Forum for Records Management & Documentation 3 3 Lidt om mig Baggrund vdpo (Data Protection Officer) Bech-Bruun, 2017 vexecutive MBA, CBS, 2002 vleadauditor ISO 9001 (ICRA) vbibliotekar (Sektion2), 1985 Erfaring v records manager, afdelingsleder, datakonsulent hos Novo Nordisk, Børsen, Industrifagene (nu DI) vetablering af Scandinavian Information Audit, konsulent, underviser og iværksætter siden 2004 vekstern lektor og fagansvarlig ved Master i Informationsforvaltning og Records Management (MIR), Aalborg Universitet/Københavns Universitet, Desuden vdiverse bestyrelses- og foreningsarbejde, blandt andet formand for det danske nationale udvalg bag ISO fra 1999 til 2009 m.m

3 1. Introduktion til records management 5 5 Hvad er records? Records Livscyklus Information created, received, and maintained as evidence and /or as an asset by an organization or person, in pursuance of legal obligations or in the transaction of business or for its purposes, regardless of medium, form or format. (Kilde: ISO 30300:2011, afsnit 3.1.7) Formål med records management 6 6 3

4 Hvad er records management? Records management Field of management responsible for the efficient and systematic control of the creation, receipt, maintenance, use and disposition of records, including processes for capturing and maintaining evidence of and information about business activities and transactions in the form of records. Livscyklus (Kilde: ISO 30300:2011, afsnit 3.4.3) 7 7 Hvad er en record? What is a record? "Records" is an English word that is difficult to translate to other languages. Even in English it is used in different contexts with different meanings. An easyexplanation: 1.Record = information 2. Not all information is a record > information created, received and maintained as evidence and as an asset by an organization or person 3. When does an organization create records? > In pursuit of legal obligations or in the transaction of business Kilde: ISO s hjemmeside:

5 Alternativ definition RECORDS = Kritisk dokumentation + governance + metadata + transaktionsdata Tine Weirsøe, Scandinavian Information Audit udarbejdet til FN, Alternativ definition med detaljer RECORDS = kritisk information + governance + metadata + transaktionsdata Identificeres på baggrund af forretningsprocesanalyse, risikovurderinger og lovgivningskrav Records kan være i form af alle medier, genstande og formater Records skal håndteres og kontrolleres i livscyklus, versionsstyres og sikres mod utilsigtede ændringer Adgangskontrol til records Politik Retention Kassations procedure Procedurer for håndtering og kontrol Records management metadata: Indhold(content) Tid Livscyklus Kontekst Records management processer Metadata for transaktions-processer Logs Revisionsspor Konvertering Migrering Vedligehold og bevaring Brug Kilde: Tine Weirsøe, Scandinavian Information Audit udarbejdet til FN,

6 Records er i form af alle medier og formater og på utallige lokationer USB, memory sticks, løse drev og diske Fysiske genstande Mobiltelefoner Sociale netværk Kameraer Intranet Arkiver, kontorer, skabe, skuffer Finans og økonomisystemer Records i virksomheden, hos kunder, leverandører, samarbejdspartenere medarbejdere myndigheder Harddiske SMS, Voice mails m.m. Fælles- og netværksfolders Outlook og andre transitsystemer Dokumenter, e-post Cloud DropBox, OneDrive, Google Drive EDH/ESDH Drifts-, produktions- og fagsystemer Exchange servers 17. oktober 2019 Scandinavian SCANDINAVIAN Information Audit INFORMATION AUDIT Vad är LVI?

7 Management system for records i de nordiske lande I de originale standarder = Management system for records (MSR) Sverige: Management system for records = Ledningssystem för verksamhetsinformation (LVI) Norge: Management system for records = Ledelsessystemer for dokumentasjon Danmark: ikke oversat og vi brurger begreberne: Management system for records eller Records Management Programmet Hvad er et Management System/ledelsessystem? Rygraden i en velfungerende virksomhed er ledelsessystemet. Det indeholder virksomhedens processer og arbejdsgange og sørger sammen med medarbejderne for, at målene nås, og at der opnås tilfredshed hos virksomhedens kunder og øvrige interessenter. Eksempler på kendte ledelsessystemer: ISO 9000 (kvalitetsledelse) ISO (miljøledelse) ISO (fødevaresikkerhed) ISO (informationssikkerhed) Management system Set of interrelated or interacting elements og an organisation to establish policies and objectives, and processes to achieve those objectives Kilde: ISO 30300, Management systems for records Management system to direct and control an organisation with regard to records Kilde: ISO 30300,

8 ISO serien Terminologi ISO Overview and Vocabulary Generelle krav Guidance og Tekniske rapporter GRUNDLÆGGENDE ISO Code of Practice ISO Requirements ISO Metadata ISO Guidelines for implemetation ANALYSEMETODER ISO Process Analysis ISO Risk Assessment ISO Appraisal SYSTEMS AND ENTERPRICE ARCHITECTURE ISO 16175, part 1,2,3 Processes and functional requirements for designing and implementing ISO Enterprise Architechture SPECIFIC PROCESSES AND ENABLERS ISO Digitalisation ISO Conversion and migration ISO Third party repository ISO serien tidslinje og baggrund NOARK DOD MoReq ISO 15489: /11 ISO serien, ISO serien: Metadata Procesanalyse Fagsystemer Dokumenthåndteringssystemer Migrering konvertering Digitalisering MSR management system for records Risikoanalyse 2010 ISO 15489:2016 GDPR ISO i ny udgave Ny standard om appraisal Theodor Schellenberg Fokus on security Hacking and leaking information: Snowdon WikiLeaks Anonymous Panama Papers SCANDINAVIAN INFORMATION AUDIT

9 Eksempler på standarder for information- og records management International serien ISO Forskellige typer af standarder: Internationale standarder (ISO) Fagstandarder Nationale standarder EU MoReq Defacto standarder (MoReq) National (offentlig sektor) Norge: Noark Danmark: OIO Dublin Core USA: DoD ISO (national) FDA Part 11 NORSOK PD 5454 HIPAA BASEL III m.fl. Fag standarder (ICA) Standarder på vej i ISO serien Opdatering af eksisterende standarder ISO Information and documentation - Processes and functional requirements for software for managing records - Part 1: Functional requirements and associated guidance for any applications that manage digital records ISO Information and documentation - Processes and functional requirements for software for managing records - Part 2: Guidance for selecting, designing, implementing and maintaining software for managing records ISO/CD Information and documentation - Records management - Core concepts and vocabulary ISO/TR Information and documentation Risk assessment for records processes and systems Nye standarder ISO/TR Information and documentation - Records management in the cloud: Issues and concerns ISO/TR Information and documentation Application of blockchain technology to records management Issues and considerations

10 Det er en udfordring at håndtere records i livscyklus Records system Migrering Konverterimg Records system Migrering Konverterimg Records system Migrering Konverterimg Records system Migrering Konverterimg Kassation? Kassation? Kassation Kassation? Livscyklus IT-systemer Oprettelse Modtagelse Identifikation Brug og opbevaring Scandinavian Information Audit Arkivering Livscyklus for records og dokumentation Vurdering Kassation destruktion oktober 2019 SCANDINAVIAN INFORMATION AUDIT 19 ISO 30300:2011 Structure of the ISO series ISO Terms and definitions Fundamentals of an MSR

11 ISO 30301:2019 Context of the organization Improvement Leadership ISO Performance evaluation Planning Operation Support Til ledelsen. Creation and management of records are integral to any organization s activities, processes and systems. They enable business efficiency, accountability, risk management and business continuity. They also enable organizations to capitalize on the value of their information resources as business, commercial and knowledge assets, and to contribute to the preservation of collective memory, responding to the challenges of the global and digital environment. Kilde:i

12 Management system for records Plan Do Input: Interne og eksterne krav Krav fra kunder og borgere Krav fra lovgivning Krav fra andre interessenter Planning Improvement Leadership Support Operation Performance evaluation Output Records vedr. fopfyldelse af krav Act Check 17. oktober 2019 Scandinavian SCANDINAVIAN Information Audit INFORMATION AUDIT Krav til records Autentiske (Authentic) En autentisk record, er en record, hvor det kan dokumenteres at den er: a) hvad den foregiver at være, b) genereret/oprettet eller sendt af den person, som formodes at have genereret eller sendt den, og c) genereret/oprettet eller sendt på det påståede tidspunkt. Pålidelige (Reliable) En pålidelig record er en record, hvis indhold man kan stole på som en fuldstændig og nøjagtig gengivelse af de processer, aktiviteter eller faktiske omstændigheder, som den er dokumentation for. Integritet (Integrity) Integriteten af en record henviser til at den er komplet og uændret. Det er nødvendigt, at records beskyttes mod uautoriserede ændringer. Enhver autoriseret tilføjelse eller rettelse skal være sporbar. Anvendelige (Usable) En anvendelig record er en record, der kan lokaliseres, genfindes, præsenteres, som er læsbar og hvis indhold kan fortolkes

13 En organisations interne kontekst En organisations interne kontekst: vgovernance og organisationsstruktur vpolitikker, mål og strategier vressourcer og viden (værdier, tid, mennesker, processer, systemer og teknologi) vinformationssystemer, informations flows and beslutnings processer (formelle og uformelle) vværdier og organisationskultur vstandarder og guidelines vejerskab og kontraktuelle strukturer. 11/03/2019 Scandinavian Information Audit At definere omfang af MSR ven organisation skal definere og dokumentere omfanget eller rækkevidden af dets MSR vmsr kan omfatte en hel organisation eller specifikke områder vnår en organisation outsourcer opgaver, der har effekt på dens MSR, skal organisationen sikre sig kontrol over processerne. Kontrol med leverandører og outsourcede opgaver skal identificeres

14 Management commitment Top management skal viser deres engagement ved: vat sikre at MSR er i overensstemmelse med de strategiske beslutninger vintegrere MSR in forretningsprocesserne vsikre ressourcer til at etablere, implementere, vedligeholde og kontinuerligt forbedre MSR vkommunikere vigtigheden af en effektiv MSR vsikre at MSR giver den forventede nytteværdi Planlægning vafklaring af risici og muligheder vmål: Top management skal sikre, at der etableres mål for records management og at disse kommunikeres i organisationen, desuden skal det fastlægges: Hvem, der er ansvarlig Hvad, der skal gøres Hvilke ressourcer, der er nødvendige Hvornår, det skal være færdigt Hvordan resultatet skal måles

15 Support vressourcer vkompetencer vopmærksomhed eller bevidsthed (awareness) vtræning vkommunikation vdokumentation Operation - udførelse voperationel planlægning og kontrol vdesign af records processer vimplementering

16 Evaluering af performance vmonitorering, måling, analyse og evaluering vauditering vmanagement review Forbedringer vkontrol af afvigelser og korrigerende foranstaltninger vkontinuerlig forbedring: En organisation skal kontinuerligt forbedre MSR ved hjælp af politikken, mål for records, resultater af audits, analyse af data, korrigerende og forebyggende handlinger og ledelsens evaluering

17 ISO :2016 vunderstøtter en kontrolleret håndtering af records fra vugge-til-grav (livscyklus), herunder Ejerskab Dokumenterede processer Risikovurdering Klassifikation Metadata Kassation og sletning Records management programmets byggesten Krav til records Authenticity (ægthed) Reliability (pålidelighed) Integrity (ubestikkelighed) Useability (brugbarhed) Kontrol med records i livscyklus Træning Auditering /revision Forbedring Politik Ansvar Kommunikation Procedurer Forretning sprocesanalyse Krav til records Unik ident. ISO Risikovurdering Records retention Versionsstyring Kassation Adgang Genfinding Sikkerhed Migrering Bevaring Metadata

18 ISO 15489:2016 livscyklus for records Creation Capture Classification and indexing Access control Storing records Use and reuse Migration and conversion Disposition Opsamling ISO 30300/30301 viso 30300/30301 er high-level standarder viso omfatter de operationelle aspekter med fokus på kontrol og processer for records ven organisation vil have behov for at implementere både ISO 30300, ISO 30301, ISO og ISO

19 3. Hur ska man införa LVI i enorganisation? Implementering af MSR Kontrol af forebyggende foranstaltninger og afvigelser Kontinuerlig forbedring Audit continum Improvement Context of the organization Vision, strategi, mål, politikker Business drivers Brændende platforme Virksomhedskultur, organisationsanalyse Leadership Brændende platforme Kommunikation af fordele, risici, muligheder Politik Mål Intern audit Monitorering Evaluering af fremdrift Ledelsens evaluering Performance evaluation Planning Analyse af risici og muligheder Strategi for MSR Design af processer Implementering af systemer og procedurer Opfyldelse af mål Operation Support Mennesker og kompetencer IT og informationsarkitektur Økonomiske ressourcer Faciliteter og logistik Dokumentation for MSR

20 Records management drivers Juridiske krav Forretningsbehov Lovgivning Videndeling Troværdighed Patenter og varemærker Effektivitet Økonomi Etik Kontraktuelle forpligtelser Virksomhedshistorie Omdømme Beskyttelse ved retssager, audits, inspektioner, tilsyn Health, safety, environment Digitalisering Udarbejde af Tine Weirsøe, Scandinavian Information Audit, To tilgange til records management 1. Den proaktive eller forebyggende 2. Den brændende platform - den korrigerende

21 Proaktiv eller den brændende platform Tab med baggrund i brændende platforme Image Forretningsmuligheder Compliance Retslige tvister Sikkerhed Proaktiv tilgang, eksempel "Intet tab skal os ramme, som ved rettidig omhu kunne afværges. Citat A. P. Møller ( ) Brændende platforme 1. Fysiske uheld, ulykker, katastrofer 2. Myndighedsinspektioner, tilsyn, advokatundersøgelser, IT- og data revision 3. Retssager 4. Pres fra presse og medier 5. Forespørgsler og sager, der ikke umiddelbart kan besvares fra politikere, ejere, sponsorer, kunder, borgere, revisorer, naboer, medarbejdere eller andre stakeholders 6. Tilsandede systemer, usikker opbevaring = lang søgetid og ingen sikkerhed for at finde det rigtige dokument i gældende version. BPs olieudslip i den Mexicanske Golf i 2010 Kollaps af tekstilfabrikker i Bangladesh. Dehns Palæs nedbranding 2010 i København med Apotekerforeningens arkiv, servere og data Hvidvask i Danske Bank og Nordea Tilsyn: Persondata, børnesager, lægemidler m.m. Alle nævnte eksempler har ført til negativ omtale Hillary Clintons server

22 Audit af MSR som continuum Review af strategi og mål Forbedring Afklar indsatsområder for audit Evaluering af auditprogram Etablering af auditprogram IT-systemer Auditering Processer Persondata Procedurer Hændelser Kompetencer Informatiossikkerhed Arkiver Udfordringer og muligheder med LVI

23 Det er en udfordring at håndtere records i livscyklus Retention Retention Retention Retention Records system Migrering Records Migrering Records Migrering Records Migrering system system system Kassation? Kassation? Kassation Kassation? Livscyklus IT-systemer Kassation? Kassation? Kassation? Kassation? Kassation? Oprettelse Modtagelse Identifikation Brug og opbevaring Scandinavian Information Audit Arkivering Livscyklus for records og dokumentation 17. oktober 2019 Scandinavian SCANDINAVIAN Information Audit INFORMATION AUDIT Vurdering Kassation destruktion Udfordringer og muligheder Udfordringer Ledelsesopbakning Samarbejde med IT, informationssikkerhed, jurister, GDPR Kontrol med records i livscyklus Teknologien er ikke fuldt udviklet endnu Fordelene ved MSR er langsigtede og vil ikke være synlige i næste årsregnskab. Muligheder Understøtter business driverne: Juridiske krav Forretningsbehov Troværdighed Kontrol med records i livscyklus Færre omkostninger til opbevaring, søgning og drift Understøtter compliance, herunder GDPR Understøtter business continuity

24 Kontakt: