論數字保存系統認證*

臧國全,李 丹

（鄭州大學信息管理系，河南 鄭州 450001）

1 認證的意義

數字保存系統是系統運行機構向用戶提供數字資源可信任存取服務的一類產品。從內容上講，這類系統保存的要么是文獻信息資源數字化的產品（如美國國會圖書館的American Memory），要么是原生型文獻數字資源（如荷蘭國家圖書館的e-Depot），要么是這兩類的復合（如CNKI的中國期刊全文數據庫）。從來源來講，這類系統保存的數字資源要么是自產的，要么是來自于第三方的委托保存，但從目前實踐來看，越來越多的數字保存系統屬于后者。從服務對象來講，這類系統的用戶要么是團體用戶（如國內很多圖書館以鏡像方式購買CNKI數據庫的使用權），要么是個人用戶（如個人以注冊方式購買CNKI數據庫的使用權）。從運行機構來講，這類系統的實施組織要么是商業性企業（如清華同方），要么是圖書情報機構（如美國國會圖書館）。

認證是指由認證機構證明產品、服務、管理體系符合相關技術規范的強制性要求或者標準的合格評定活動。與其他產品相比，數字保存系統的顯著特點在于其保存的數字資源的特殊性，即保存時間越長，其可用性、真實性、完整性和可靠性所面臨的挑戰越大。這類產品的根本價值在于其可信任性和存取數字資源的能力，確保數字資源的安全和真實，并方便數字資源的各種應用。實現該價值的最有效方法是根據《數字保存系統質量保證標準》[1]，按照一定程序由認證機構對其進行認證。因此，對數字保存系統實施認證的意義可概括為：

（1）從用戶角度，有利于用戶選擇和使用數字保存系統。獲得質量體系認證，不僅意味著認證機構的嚴格審核和定期監督，而且也使用戶產生信任感。

（2）從數字資源的提供方角度，有利于數字產品生產者和提供者選擇委托保存的系統。委托給專業數字保存系統進行長期保存并提供增值服務是未來數字保存的趨勢，可信任性是選擇委托數字保存系統的基礎，獲得認證是判斷可信任性的一個重要參考。

（3）從數字保存系統角度，有利于該類系統的可持續發展。標準化質量體系使得數字產品的生產、加工、服務和管理全過程規范化和科學化，有利于提高數字保存系統的經濟效益和社會效益。

（4）從信息資源數字化建設角度，有利于信息資源數字化建設。數字保存系統是信息資源數字化建設生命周期的最后一個階段，也是面向最終用戶提供服務的窗口，其質量將直接影響用戶的選擇與使用，進而影響整個數字化建設進程。

（5）從圖書館學和情報學的角度，有利于豐富數字環境下圖書館學和情報學的理論與實踐。數字圖書館是數字環境下圖書館學和情報學理論研究與實踐的熱點，數字保存系統是數字圖書館建設的核心，其質量保障是數字圖書館質量的關鍵。

2 認證的原則

認證的總體目標是使獲證組織的顧客相信獲證組織的數字保存系統滿足規定要求。認證的價值取決于認證機構通過公正、有能力的評定所建立的公信力的程度。借鑒ISO17021《管理體系認證機構要求》[2]，數字保存系統的認證原則應包括：公正性、能力、責任、公開性、保密性、對投訴的回應。

2.1 公正性原則

公正，并被認為公正，是認證機構提供可信任認證的必要條件。認證機構應對數字保存系統認證活動的公正性做出承諾，并應有可公開獲取的聲明，表明公正性在實施認證活動中的重要性，并對利益沖突進行管理，確保認證活動的客觀性。

認證機構應識別和分析由認證活動引起的利益沖突，以及這些利益沖突對公正性構成的威脅，采取措施消除或最大限度減小威脅，并能予以證實。

在認證審核實踐中，對公正性的威脅主要有：

●自身利益的威脅。此類威脅源于機構或個人依其自身利益行事。比如，客戶組織支付的認證費用是對公正性的潛在威脅。

●自我評審的威脅。此類威脅源于機構或個人評審自己所做的工作。比如，認證機構對由其進行咨詢的客戶組織實施審核。

●熟識（或信任）的威脅。此類威脅源于機構或個人對另外一個機構或個人過于熟悉或信任。比如，審核員由于熟悉客戶組織而不尋找審核證據。

●脅迫的威脅。此類威脅源于機構或個人察覺受到公然或暗示的強迫。比如，威脅審核員用他人取而代之。

2.2 能力原則

認證機構及其認證審核員的能力是提供可信任認證的必要條件。能力是經證實的應用知識和技能的本領。

認證機構應具備的基本能力有[3]：

●選擇、提供和管理其技能和綜合能力適合于數字保存系統審核活動的人員。

●具備數字保存有關的技術和法律知識。

●識別客戶組織的活動領域及相關業務的風險，以及客戶組織的數字資源面臨的威脅和脆弱之處。

●具備授予、保持、撤銷、暫停、擴大或縮小認證的決定能力。

認證審核員應具備的基本能力有：

●數字保存系統質量標準和相關規范性文件的知識。

●數字保存知識。

●ISO19011的審核原則。

●通過持續的專業培訓與自學，保持數字保存和審核知識與技能的更新。

●合適的教育程度。借鑒ISO17021《管理體系認證機構要求》，認證審核員應該具有2年以上與數字保存有關的工作經歷。

●行使審核職責之前，已獲得評審數字保存系統整個過程的經驗。借鑒ISO17021《管理體系認證機構要求》，這種經驗應是最少4次參與、總共天數最少為20天認證審核活動，包括文件評審、實施評審和審核報告。

2.3 責任原則

認證機構有責任對足夠的客觀證據進行評價，并在此基礎上做出認證決定。根據審核結論，如果符合性的證據充分，認證機構做出授予認證的決定；如果符合性的證據不充分，則不授予認證。但是，任何審核都是基于對數字保存系統的抽樣，因此并不保證系統100%符合要求。

2.4 公開性原則

公開性是獲得或公布適當信息的一項基本原則。為了獲得對認證的信任，認證機構需要提供獲取有關審核過程、認證過程和客戶組織認證狀態（包括認證的授予、保持、更新、擴大、縮小、暫停或撤銷）信息的公開渠道，并且也應該向相關方提供獲取特定審核（如為回應投訴而做的審核）結論的非保密信息。在特殊情況下，可以根據客戶組織的請求（如出于安全原因），對某些信息的公開程度做適當限制。

2.5 保密性原則

為了享有獲取充分評價數字保存系統符合性所需信息的特權，認證機構必需對客戶組織的專有信息予以保密。

在認證審核前，認證機構應要求客戶組織報告由于包含保密性或敏感性的信息而不能供審核組復核的數字保存系統的記錄。認證機構應確保在缺少這些記錄的情況下數字保存系統能夠得到充分審核。否則，應告知客戶組織認證審核不能進行，直至獲得必需的記錄證據。

2.6 對投訴的回應原則

投訴反應反映了可能存在認證的不符合情況。認證機構應要求獲證客戶一旦收到投訴，找出投訴原因，并做出報告，采取措施予以糾正。必要時，獲證客戶應能保證認證機構可以得到有關數字保存系統的所有投訴以及采取的糾正措施的記錄。

數字保存系統的用戶期望投訴得到調查，認證機構應當使這些用戶相信在投訴經查明屬實有效時，將對投訴進行相應處理。當投訴無效或不合理時，對投訴做出回應是保護認證機構及其客戶組織的重要手段。

有時，對投訴的回應屬于保密信息，在這種情況下，就要在公開性和保密性之間取得適當的平衡。

3 認證的實施

數字保存系統的認證周期一般包括內部審核、第一階段審核、第二階段審核、監督審核和再認證審核等階段[5]。其中，第一階段審核和第二階段審核又稱為初審。一般情況下，一個認證周期為3-4年，認證決定在第二階段審核后進行，監督審核和再認證審核稱為認證后審核。

3.1 預審核

預審核是一種非強制性要求的審核，是在正式審核（第一階段審核）之前執行的非正式的綜合審核。預審核應該由具有豐富經驗的、能夠識別數字保存系統的弱點和差距的內審員和（或）外審員執行。

預審核的目的是通過使用“差距分析”的方法，檢查客戶組織的數字保存系統與認證標準《數字保存系統質量保證標準》要求的差距。預審核內容包括：檢查數字保存系統是否具備正式審核的基本條件，檢查客戶組織還有哪些未能按照標準要求進行運行的領域（比如，員工的數字保存安全意識等），分析客戶組織的數字保存方針和數字保存系統的運行程序。

預審核可以促使客戶組織在接受正式審核之前，對其數字保存系統進行必要的改進，做好正式審核的充分準備。同時，在預審核期間，客戶組織的員工也可接受到如何進行自我審核方面的培訓。

預審核階段一般持續3-5天，依據數字保存系統的規模和復雜程度而定。

3.2 第一階段審核

該階段是正式審核的開始，主要目標是使審核員了解客戶組織的數字保存系統的準備情況，并為第二階段審核計劃的制定提供依據和關注點。

該階段的審核對象是文件，包括的活動有：獲得數字保存系統文件、評審數字保存系統的文件和編寫審核報告三個方面。

審核員應首先獲得客戶組織的數字保存系統文件。這類文件包括方針類文件（如，數字保存方針）、程序類文件（也稱形成文件的程序）和有關記錄（如，通常以表格形式的數字保存系統風險評估報告）。其中，有些是強制性文件（如，內部審核程序、文件控制程序），有些是可選文件。前者是必需評審的，后者可用作參考。

數字保存系統的文件評審一般是在客戶組織的辦公區域進行，并有客戶組織熟悉這類文件的人員陪同參與，以便及時溝通。文件評審一般包括評估和檢查客戶組織的數字保存系統文件的適宜性 （文件是否適合使用）、充分性（文件是否足夠使用）、有效性（文件投入使用后是否達到應有的實際效果）和一致性（不同文件之間是否存在有矛盾和不一致現象）等方面。

該階段審核結果應形成書面審核報告。審核員在審核報告中應提出審核發現，并與客戶組織的相關管理者進行溝通和討論。審核組根據審核發現的嚴重程度，做出下一步審核工作是繼續還是暫停的決定。

3.3 第二階段審核

該階段審核是一種現場取證活動，故也稱為現場審核，主要包括四項重要工作：制定審核計劃、實施現場審核、報告審核結果和做出認證決定。

審核計劃主要包括：確定重點的審核領域、選擇具有特殊問題處理能力的審核組成員、確定需要的審核時間長度和其他細節問題。審核計劃的內容與客戶組織及其數字保存系統的規模、性質和復雜程度等因素有關。

審核方法主要有：采訪有關人員，觀察相關場地，從而搜集信息和證據；設計測試數據，對數字保存系統有關性能指標進行測試。將上述審核活動產生的結果與審核標準進行對比，確定客戶組織數字保存系統的實際情況與審核標準之間的差別。審核標準《數字保存系統質量保證標準》是審核人員測量客戶組織數字保存系統運行情況符合性的依據。

審核的主要內容有：驗證第一階段的審核發現是否獲得糾正，證實客戶組織的數字保存方針的執行情況，證實《數字保存系統質量保證標準》所有要求的符合情況。

根據上述審核，得出初步審核發現。審核發現的重要內容是客戶組織的數字保存系統對審核標準的“符合”（或滿足）、“不符合”（或不滿足）和“部分符合”（或部分滿足）的情況。“不符合”和“部分符合”的審核發現都屬于不符合項。在審核報告中，對于不符合項的分析應包括5個屬性：標準款項、情況、原因、嚴重程度和措施。這里的“標準款項”是指不符合項與哪個標準款項不符合。“情況”是指根據審核員在檢查過程中發現的事實證據對不符合項的實際情況的客觀描述。“原因”是指不符合項產生的原因，有的不符合項的原因可能有多個。“嚴重程度”是指不符合項造成影響的程度，目前還沒有出現明確的定量測算方法，一般采用定性劃分，依據影響程度將不符合項分為3類：重大不符合項、一般不符合項、觀察項。“措施”是指審核員為客戶組織的數字保存系統的不符合項（包括重大不符合項和一般不符合項兩類）推薦的糾正措施。

初步審核報告需要與客戶組織適當層次的管理人員和相關人員一起正式或非正式地討論、修改和完善，從而形成最終的審核報告。

3.4 監督審核

監督審核是認證機構在頒發證書后，為了維護認證，確保客戶組織的數字保存系統持續符合要求，對其進行的定期監督訪問。監督審核主要是對數字保存系統的一些指標進行抽樣審核。

監督審核的重點應包括：對上次審核中確定的不符合項采取的措施與執行情況；內部審核和管理評審的實施情況；客戶組織管理體系的變更；申訴和投訴的處理記錄；在實現客戶組織數字保存方針目標方面，其運行的數字保存系統的有效性；認證標志的合理使用和任何其他對認證資格的合理引用。

監督審核可采取的方式有：就認證的有關方面向客戶組織詢問、審查客戶組織運作說明（如宣傳材料、網頁）、要求客戶組織提供文件和記錄（紙質或電子介質）以及其他監視客戶組織數字保存系統績效的方法。

監督方案由認證機構來決定。實地監督的具體時間要與獲證客戶達成一致意見。監督審核應至少每年一次。初次認證后的第一次監督審核應在第二階段審核后12個月內進行。

3.5 再認證審核

再認證審核是在認證周期即將結束時，認證機構對已獲證組織的數字保存系統所進行的一個重新評估活動。重新評估的目的是確保客戶組織的數字保存系統按照原來認證過程所確認的那樣有效地運行。

再認證審核為現場審核，至少包括下述領域：（1）檢驗客戶組織的數字保存系統作為一個整體的持續符合性與有效性，以及與認證范圍的持續相關性和適宜性。（2）檢驗客戶組織的數字保存系統是否持續、全面地符合《數字保存系統質量保證標準》的要求。（3）評審客戶組織的數字保存系統的文件和定期審核（包括內部審核和監督審核）的結果。（4）檢查客戶組織的數字保存系統如何應對組織的業務和運行的變化，當客戶組織的數字保存系統或其運作環境（如法律的變更）有重大變更時，再認證審核活動可能需要有第一階段審核。（5）檢驗管理者對維護數字保存系統有效性的承諾情況。

再認證審核中發現不符合或缺少符合性的證據時，認證機構應規定在認證審核終止前實施糾正的時限。認證機構應根據再認證審核的結果，以及認證周期內的數字保存系統評價結果和認證使用方的投訴，做出再認證審核是否通過的決定。如果再認證審核獲得通過，認證機構應為客戶組織的數字保存系統頒發（或更換）新的認證證書。

3.6 暫停、撤銷或縮小認證范圍

在監督審核和再認證審核過程中，如果發生以下情況，認證機構應暫停客戶組織數字保存系統的已獲得的認證資格：客戶組織數字保存系統持續地或嚴重地不滿足認證要求；客戶組織不允許按要求的頻次實施監督或再認證審核；客戶組織主動請求暫停。

暫停期間，客戶組織的數字保存系統認證暫時無效。認證機構應做出具有強制實施力的安排，以確保暫停期間避免客戶組織繼續宣傳使用認證資格。認證機構應使客戶組織數字保存系統的認證資格的暫停信息可公開獲取。

如果客戶組織未能在認證機構規定的時限內（一般情況下，暫停期限不超過6個月）解決造成暫停的問題，認證機構應撤銷或縮小其認證范圍。

如果客戶組織的數字保存系統在認證范圍的某些部分持續地或嚴重地不滿足認證要求，認證機構應縮小其認證范圍，以排除不滿足要求的部分。

認證機構應對撤銷認證做出強制實施的安排，以確保獲證客戶接到撤銷認證通知時，立即停止使用任何引用認證資格的廣告材料。

［1］ ISO.管理體系認證機構要求.［EB/OL］.［2009-01-10］.http://www.51made.com/dowfile_show.

［2］［3］［4］CCSDS.Requirements for bodies providing audit and certification of trusted digital repositories.［2009-02-10］.http://wiki.digitalrepositoryauditandcertification.org/bin/view/Main/ReqtsFor-Auditors.