对于保存电子文档的信息系统所面对的风险及需求，不同组织机构有各自不同的方法。 表1概括了这些需求的不同级别。根据组织机构的保存特性和潜在风险，表格1归纳了一般特征 及优先实施方法。 基于具体要求或者可接受风险级别，可选用附加需求。 组织机构应根据本身的需求级别，评估信息系统与本部分的一致性

的设计和运行应允许实施一些程序，以保证满足4

33716.12017/ISO 146

应生成及保存信息系统技术说明手册，其内容至少应包括： a 信息系统的硬件组件列表，包含由生产商自带的序列号、组件的关键特征、生产日期，并且符合 相关安全标准； b 网络系统种类、结构以及连接和安全设备的说明； 信息对象和关系的数据结构模型，关于其在支持信息系统通用目标上的使用； 软件产品及相关文档的列表、安装版本的识别及安装这些版本的日期； e 定制软件应用列表，包含设计或构建文档、源代码或保存证明； f 信息系统不同部分之间相互作用的说明； g） 由设备生产商提供的有关物理环境（温度、最大和最小湿度等）规范的说明，以实现其适当功 能和保存信息介质； h 技术、物理环境的说明（如电源供应种类、发生器、火灾探测系统、完余实现），以实现信息系统 良好功能； 物理保护措施的说明（如监控、远程检测、保险箱、加锁、电磁体防护等），以保证安全； 信息系统维护要求的说明

汽车标准5.3档案系统配置文件

档案系统配置文件是指具有相同密级、保管期限、销毁和利用权利的文档，在捕获、检索、处置过程 中使用的一系列规则，这些规则同样规定了与文档管理相关的元数据。 档案系统配置文件针对授权个人和（或）应用规定了如下权利： a 修改档案系统配置文件； b）存储； 利用（查看或者播放）存储内容： d 延长或减少保管期限； 提前或按计划删除或者处置存储内容。 任何生成、修改或者删除档案系统配置文件的行为都应被记录在档案生命周期日志中，此日志由组 识机构的档案服务部门或可信第三方负责保管。 针对单独的电子文档，能对档案系统配置文件进行定义。然而，对于大量的存档，可能会十分耗时。 因此，在这种情况下，最好使用集合在通用档案系统配置文件中预定义的一系列规则

组织机构应建立针对捕获、存储、利用和归 些程序应在技说明手册中详细表还 并应至少包括： 查询、打印的技术和程序； 生成所有认证类型的技术和程序； 存储、保存介质和存储设施的技术和程序； 使用的文档格式； 文档复制、备份技术和程序； 数字加密、数据完整的技术和程序

组织机构应建立针对捕获、存储、利用和归还文 应至少包括： 查询、打印的技术和程序； 生成所有认证类型的技术和程序； 存储、保存介质和存储设施的技术和程序； 使用的文档格式； 文档复制、备份技术和程序； 数字加密、数据完整的技术和程序

除了5.4.1程序规范中涉及文档扫描，技术说明手册应包含以下程序： 数字化技术和程序（对扫描文档的说明，对具有特殊明显特征和必要预备工作的说明，比如输 出格式选择、图像分辨力、所使用的压缩技术、可应用的数字化后文档调整等）； 索引技术和程序（文档位置，文档、设备和相应凭证上的识别参考，电子信息识别参考）； 相关元数据及其相关扩充的技术和程序； 质量控制技术和程序（使用数字测试标版、扫描批文档的页码计数、电子信息过滤控制、编码控 制，还有参考表等）； 可应用的源文档销毁技术和程序

5.4.3数字原生文档

除了5.4.1程序规范中涉及数字原生文档，技术说明手册应包含以下程序： 存档文件的移交、接收及控制的技术和程序； 相关元数据及其任何扩充的技术和程序； 在捕获文档到信息系统的过程中，或之后格式过时的情况下，有关数字文档格式转换的技术及 程序。

5.5.1安全的管理及组织

制定安全措施在在会使用专门手段，以应对安全事故或者使用计算机软件工具。这些程序经常存 在安全漏洞，只能在日后弥补。一个更结构化的方式是，检查组织机构的信息资产，确定风险因索（基于 资产评估、系统漏洞及被攻击的可能性）。在审核安全措施后，就能制定和批准信息安全政策。 组织机构应开展信息安全风险分析，并记录所得的结果。 控制存储介质方面所实施的安全措施尤为重要，包括在线介质和备份介质。风险分析应包括依据 不同介质类型（例如WORM或可重写磁盘）的漏洞风险因素。 当使用不同类型的存储介质时，应评估由此产生的风险

风险分析一且完成，应成为安全措施检查的一部分。在检查过程中，应考虑实施成本、安全实现与 风险评估之间的平衡， 基于风险分析结果，要检查现存安全措施的有效性， 当检查表明可以对安全程序做适当的调整，这些调整应进行实施

应采取措施来保证物理安全，包括防止非授权访问硬件、电信系统、信息存储介质以及确保检索和 显示、审计跟踪、日志和备份的信息 如果需要连续访问，建议使用多个安全措施来减少风险，使用异地介质和（或）包含信息备份（副本 和不同运行机制的系统。 可移动介质在操作过程和（或）从一个保护地点移交至另一个保护地点时，应被持续监测。其持有 者应在任意时刻都能被识别， 当可移动介质事实上并未在使用时，应存放在特定的保护地点。 如果文档实体被销毁，包括原始模拟纸质文档和数字原生文档在内，都应实施保证这些操作安全的 现范流程。 如果记录文档的介质需要被销毁，应采取适当措施，以保证该介质保存的原有信息不可能重建

所选的操作系统及软件产品应提供： 增加保护功能的访问控制工具： 防范人侵和恶意软件； 控制软件配置不发生事故性、恶意性更改。 确保软件的安全性需使用： 访问控制，保证只有授权用户能使用有权访问的软件及信息； 检查及监测系统，以便于发现及汇报任何未授权访问。 建议使用公共域软件，或者如有可能，从供应商处获得软件 软件研发应使用严格的方法，选择最佳做法和检查方式应是主管应用负责人的职责 在投入使用之前，软件及软件产品应在机器上而非主要生产机器上，或者在生产机器的非生产期间 进行充分检测，并应提前备份数据及索引，去除所有可移除的信息系统介质。 在系统设计之初，应认真研究、设计和实施信息系统的安全访问和授权。 软件及软件产品应被专门保护，更改、修改信息的访问权利宜只给予授权人员。 在发生故障时，事故报告应被及时传送到安全机构，并且应尽快隔离信息系统故障部分

5.5.6信息系统维护

描述每项维护操作的信息应记录于信息系统的技术性文档中。描述应包括识别维护操作是预防

的或治理性的，是交由组织机构或由专业第三方提供者来进行， 在维护操作时，包含电子文档及其相关元数据的可移动介质决不应遗落在驱动器中。 如果介质不可移动，在维护操作前，应进行有效的备份（见5.5.8）。 不同用途的移动介质都应进行检测。如果介质不可移动，则不应为检测而改变或破坏记录信息。 应开展预防性维护以保证信息系统正常工作。尤其是应根据厂商的建议，定期检查可移动磁盘驱 动器和固定介质，证明它们处于正常工作状态

定期更新操作、修改或替换软硬件应在实施前进行计划。 所有这些操作都应在信息系统技术说明手册中详细描述，并登记在日志中。 在进行定期更新操作时，应保证文档及其元数据的长期保存和完整性。 可用于以下两种情况： a 新的存储介质能够被前信息系统识读，在淘汰前存储介质之前，所有介质应在新的存储介质硬 件上检查其可读性， b 新存储介质不能被前信息系统识读，存储在前存储介质上的所有文档，都应拷贝到硬件系统 的新介质上，该硬件系统暂时使用这两种存储介质

信息系统应随时保存至少两份相同信息，并存储于两个地理上相隔较远的地方。其中至少有一份 应写于不可修改的介质上。 用于安全备份的介质可与主要介质的种类、类型不同。 当介质不可移动，应建立两个异地的信息系统。 当介质可移动，应尽快在备份介质上记录文档，实现异地存储 每次进行安全备份时，备份文件的过程、名称及特点的详情应记录在事件日志中

5.5.9档案利用连续性

任何信息系统都应有灾难恢复程序（也称为业务连续性计划），来记录每个程序，并形成文档。 该程序应允许系统修复，而没有任何数据、元数据、日志、或任何数据集（用户名单、档案系统配置文 件集）的丢失。 修复系统数据的软件及程序，应在技术说明手册中进行描述。 信息系统的实施应保证最终生效的文档在任何时间都不会丢失。 信息系统应自动生成修复过程的记录

本部分的框架中，根据输送模式（内部或者可信第三方），有两种类型的日期和时间戳，其至少包括 以下特征： a） 依据应用标准生成时间截； b） 在需要时间内保存日期和时间戳； ） 参考时间源； d 日期和时间戳的可验证操作政策。 日期和时间戳的形式选择的相关操作应在技术说明手册中描述。 日期、时间格式应依照ISO8601。 日期和时间戳应生成完整的日期，显示如小时、分钟、秒以及分秒，格式如下：

应记录任何与信息系统或文档生命周期相关的事件。事件日志应由信息系统目动产生日期和时间 戳截（见5.6）。事件的完整描述应按顺序记录于相关日志中。 所有日志应在技术说明手册中进行描述，包括所有相关的管理信息。日志应易于利用、可读。 根据与相关文档相同的档案政策，日志应进行定期存档，并存储于具有相同保存特征及完整性的存 谐介质上。 事件日志不应被普通用户及操作者获取，日志管理应限于正式任命的操作者。 系统事件日志的产生需要电子认证，电子认证应存档于与相关文档相同的条件下

5.7.2审核跟踪的安全

无论用何种介质保存审核跟路 跟踪应证明信息系统事件捕获的连续性。 日志应被存储和保存于与文 的安全环境中

5.7.3档案生命周期且

对于每一个档案来说，档案生命周期日志有可能采取通用的格式，也有可能采取特定的格式。 它应包含电子认证，即： a） 初始存储认证； b） 修改保管期限（保管期限表）的认证； 提前或到期时删除的认证，若适用； 存储归还认证，若适用； 档案系统配置文件生成、修改或者删除的认证。 当产生日志、修改或删除档案系统配置文件或者生成新的电子认证时，档案生命周期日志应！ 更新。

任何被档案系统配置文件认定为授权操作者的用户，应能部分或全部查看档案生命周期日志。 组织机构的档案部门或第三方，应给用户提供档案系统配置文件中的操作者认证，包括使用所有必 要的方法，控制部分或全部日志的完整性和来源。 在每次更新之后或任意时间，组织机构的档案部门或第三方应允许授权用户检查全部或部分日志 的完整性

事件日志对于信息系统应是唯一的。事件日志应记录谁使用了它（无论是人还是自动化系统用 户）、何时被使用、对信息系统实施了哪些操作以及输出了什么。事件日志应追踪谁利用了信息系统，员 工是否遵守程序，或者是否采取意外、欺骗、恶意或未授权的行动。 事件日志应包含3个部分： a）所有与档案应用有关事件； b）所有与安全相关的事件； c）所有与信息系统相关的事件 事件日志的主要功能是为了内部认证。它应允许检查系统操作期间产生的所有信息、错误消息或 其他警告，例如任务失败或执行。 对于使用物理或逻辑WORM介质的信息系统，事件日志应记录每一介质的启动和关闭。当一个 介质拷贝到其他介质，事件日志应记录这一行为。 事件日志中的信息应提供有关遵循具体程序的证明，同时针对每一个重要事件应至少包括以下 信息： 操作日期和时间（依照ISO8601）； 所执行操作； 使用的技术部件标识； 程序名称及其版本； 操作者标识.若适用

表2给出不同介质类型的定义

表3显示了本部分的一些章节，其描述的是信息系统中不同介质类型依照于本部分的使用 2

显示了本部分的一些章节，其描述的是信息系统中不同介质类型依照于本部分的使用

表3不同介质类型的使用

无论是可移动还是不可移动的档案介质，都应按制造厂商所说明的，或依据相关应用标准，保存在 与其物理特性相适合的环境中。 记录数据的状态应被定期控制。质量管理过程应与控制手段、介质定期检查相结合，这一过程是确 保保存介质上的记录信息的关键。 应如厂商推荐，按照介质生命周期，或当介质检测表明其性能已接近建议寿命值时，将存储信息转 移到新介质上。 介质的变更应保证长期保持文档的完整性和可用性

7使用可移动介质的系统

存储介质通常不能直接被信息系统寻址。信息实际被记录于存储卷中。 存储卷可以包含一个或多个存储介质，存储介质也可以是一个或多个存储卷的一部分。存储介质 是物理实体，然而存储卷是一个逻辑虚拟概念， 当使用可移动光学存储介质时，存储卷及文档结构应参考ISO/IEC13490或ISO/IEC13346的 要求。

7.2可移动存储卷的初始化

因技术在不断发展，记录文档时所使用的硬件配置的历史记录应予以保留。 在第一份文档被记录前，以下信息应内置于存储卷： a）介质唯一标识； b）内置日期和时间； C)组织机构名称

7.3可移动存储卷的终止

当一个卷存满和最后一个文档被记录后，应尽可能终止存储。因此，在完成最后一项用户信息后， 应登记以下信息： a）终止日期及时间； b）介质上存储的文档数量。 存储卷终止后，应防止在存储卷上进一步写入

7.4物理WORM介质的标记

当使用物理WORM介质时，信息系统安全取决于介质识别以及记录介质迁移的已有的事件日

因此，逐一标识每个物理WORM介质，规范用于检测和（或)防止介质替换的技术和程序都是必要 的。技术说明手册应针对上述措施进行描述

8使用逻辑WORM介质的系统

根据定义，逻辑WORM介质是物理上可重写的，在本部分的范 和可移动达 RM的信息系统，应视为使用可重写介质 此外，当使用可移动逻辑WORM时.应满足第7章的要求

9使用可重写介质的系统

当信息系统使用可移动或不可移动的可重写介质时，完整性的保存依赖于规则，即如果没有使用加 密技术及生成电子认证进行检测和注册，一个条目一旦生成后，是不能修改的。 3个安全级别可供参考：普通、强、超强。这些级别需要使用不同的加密技术：哈希函数、日期和时 同戳和（或）数字签名。 当安全级别需要使用数字签名时，签署者指导使用并激活工具，以生成数字签名。签署者可能是个 人，组织或者程序。当签署者是程序时，数字签名应在相关操作发生之时自动生成。 超强数字签名应依照以下要求： a）与签署者唯一连接； b） 能识别签署者； C 以签署者独自控制的方法生成； d） 连接相关数据，数据任何后续的变化都能被检测。 注：超强数字签名与ETSI(欧洲通信标准研究所）的定义一致，详见：ETSITS101733（CAdES)或ETSITS101 903(XAdES)。 针对3个不同级别的安全，电子认证应在审核跟踪中生成并登记，以便确认文档的初始存储。它应 少包含存档文档的数字指纹、独立于存储位置的逻辑存储地址。电子认证应提供证据，证明相关操作 是由授权人员发出请求，并在组织信息系统及第三方完全控制下执行

在该级别，按照组织机构或第三方的安全政策，任何由档案系统配置文件授权实施操作的人和程 序，应至少使用标识符和密码进行验证。 为防止档案生命周期日志中的条目被篡改，即使这一天未进行任何操作，日志应至少一天标记一次 日期和时间戳。应保持日志的连续性。 该安全级别应被组织的信息系统或者第三方管理的审核跟踪所支持

在该级别，以下情形作为普通级别的补充， 每个输入信息系统日志中的认证，应由组织或第三方的信息系统ACU进行电子标记。 针对每项档案政策，组织机构或第三方的信息系统应说明签名政策或由ACU进行电子标记的电 子认证政策

在该级别，以下情形作为强安全级别的补充。 经档案系统配置文件授权的人员应签署使用超强级数字签名的请求。电子认证应包括已签署的请 求，其中包含强安全级别中明确规定的会签 组织机构或者第三方的档案服务应针对每一档案政策，规定签名政策或由档案系统配置文件授权 操作者签署的电子请求的政策

10.1.2档案捕获（存储）程序

10.1.3带标记的电子文档

包括由XML标准化标记形成的文本和（或)非文本文档。XML标记文档从一开始就被引用，角 种逻辑模型。 这种文档的存档应包含所有构成成分，即技术说明示意图、编码表格、关联文档等

10.1.4使用排版格式的电子文档

指为查看、打印文档的编码格式。存档格式应标准化或符合工业标准，即文档整个生命周期内能自 由获取的公开发行的规范。 注：在ISO19005（所有部分）中描述的格式符合于这一需求

10.1.5其他电子文档格式

如果决定保持电子文档原始格式，以及当格式规范无法公开获取时，可以要求保存相关硬件或软件 工具，以便获取信息。

10.1.6打印数据流

该条款针对发送至大容量打印机的文件。这些文件连同要打印的数据，可能包含对外部文件的

考信息，称之为“源信息”。“源信息”可能包含字体、影像、嵌套、表格等。这些“源信息”对于电子文档的 显示和再现是必要的， 呈现文档的文件以及再现文档所需要的相关“源信息”应存储于相同环境下，以维持所有组成部分 之间的联系。 针对这种电子文档，所有参考文档应使用标准化或者工业标准格式。组成电子文档的系列文件应 能还原为原始打印文档.而没有产生任何变形

10.1.7电子文档的查验

应全少检查： a）存储文档数量和容量； b）相关元数据与规定格式的一致性； c）编码数据缺失或可读值，以保证代码解读， 应开展补充检查，证明存储文档符合档案政策规定的格式

0.1.8源应用程序移交的电子文档完整性控制

从外部应用程序接收的文档或文档批，应在它们上传到信息系统前验证其完整性。 需要考虑两种情形： 如果文档或者文档批已经包含数字印章，印章应在信息系统接收时进行检查： 如果文档或者文档批没有采取控制措施，那么应考虑采用合适的整合方式。

10.1.9元数据捕类

元数据可以几种相互兼容的方式来获取： a） 从文档中自动提取元数据； b） 从生成电子文档的信息系统中自动提取元数据； c）在捕获文档时，输人或扩充元数据 生成及控制元数据的程序，应在技术说明手册中进行描述， 当捕获电子文档时，元数据应包括以下关于文档生成或来源的信息： 移交文档的实体标识； 接收文档的档案服务标识； 移交档案批的生成或接受日期及时间； 原始文档的转换技术，若文档原始格式不符合10.1.1的规定； 文档编码格式； 文档保管期限（保管期限表）和最终处置； 文档相关利用权限； 档案批大小，

10.1.10索引及文档查询

10.2纸质或缩微文档

10.2.1文档扫描设备

应详细描述原始纸质或缩微文档的扫描设备，包括： a 由扫描器处理的文档的物理特性； b） 扫描器捕获性能； C 扫描器光学设备，若适用，还包括可操作和可用的调节机制； d) 扫描器的调节机制及其相关操作

10.2.2影像处理特点

10.2.3纸质文档或缩微品捕获程序

当完成纸质文档或缩微文档的捕获时，操作者应发送扫描认证，至少包括操作者姓名、扫描日期、扫 描起止时间、第一份和最后一份扫描文档标示符以及扫描页数， 在检查扫描影像后，授权认证应由所有者或所有者授权的代理人制发。如果认证应用于批文档，应 说明影像及文档的数量

10.2.3.2纸质文档准备工作

组织机构应保证其生成的纸质文档的质量符合扫描捕获或缩微拍摄技术。组织内部产生或从外界 接收的文档有撕裂或皱褶，都能在数字化前要求修复。尽管如此，为了增强可读性，文档内容不应被修 改或更正，因为，这可能改变文档相对于原始文档的完整性， 应尽可能采用规定的方法，来处理将要数字化的文档，参见ISO10196及ISO12029

10.2.3.3缩微文档准备

10.2.3.3缩微文档准备工作

如有必要，缩微文档应在数字化前除尘。操作者应检查是否存在因划伤或缺陷而影响文档的可读 性，以至于无法读取或处理的情况

10.2.3.4纸质或缩微文档扫描

用户手册应评细说明 信息的处理技术都应事先得到项目发 描系统用户手册中完整描述。 修改由文档扫描器产生的数字影像 相关授权操作的所有主题

10.2.3.5扫描信息验证

扫描系统用户手册应包括扫描验证程序。 验证检查应至少包括： a）原文档影像的质量和完整性； b）扫描文档索引信息的准确性 如果为减少错误，质量检查由操作者自已进行。建议最终质量检查宜由除了操作者之外的其他人 进行。 针对每一物理要素的抽样检查应按照ISO2859（所有部分）的规定

10.2.4.1文档或批文档识别

装修施工组织设计 扫描文档（纸质或缩微品）应包含以下历史要素信息： a）信息系统中文档的唯一标识符； b）文档页数。 扫描批文档（原生纸质或者缩微品）应包含以下历史要素信息： 批标识符（每一批的标识符应是唯一的）； 每一批中的文档数、缩微卷片数或缩微平片数； 扫描页数或缩微品画幅数

10.2.4.2文档捕获过程细则

若适用，以下信息应记录在审核跟踪中： a）从扫描设备接收到的信息（扫描开始日期和时间、自动系统批初始化、扫描进程结束等）； b）压缩前后（如果使用了压缩技术），文档扫描过程产生的字节数

10.2.4.3审核跟踪数据

事件历史记录应至少包含以下信息。 18

事件历史记录应至少包含以下信息， X

对于纸质文档数字化： a）第一个扫描和存储的文档或批文档的标识符； b 最后一个扫描和存储的文档或批文档的标识符； ） 每个操作者进入和退出的日期和时间； 每个操作者扫描或存储的第一个文档或批文档的标识符； e） 每个操作者扫描或存储的最后一个文档或批文档的标识符； f 处理页面总数； 名） 未处理页面总数验货标准，包括那些因文档质量原因而无法扫描的数量（例如反差小，撕裂或粉碎）； h） 空白页总数（若有）。 对于缩微品数字化： 第一个扫描和存储的缩微品的标识符； 最后一个扫描和存储的缩微品的标识符； 每个操作者进人和退出的日期和时间； 每个操作者扫描和存储的第一个缩微品的标识符； 每个操作者扫描和存储的最后一个缩微品的标识符； 处理缩微品画幅总数； 未处理画幅总数，包括那些因缩微品质量问题而无法扫描的数量

对于纸质文档数字化： a 第一个扫描和存储的文档或批文档的标识符； b 最后一个扫描和存储的文档或批文档的标识符； ） 每个操作者进入和退出的日期和时间； 每个操作者扫描或存储的第一个文档或批文档的标识符； e） 每个操作者扫描或存储的最后一个文档或批文档的标识符； 处理页面总数； g） 未处理页面总数，包括那些因文档质量原因而无法扫描的数量（例如反差小，撕裂或粉碎）； h）空白页总数（若有）。 对于缩微品数字化： 第一个扫描和存储的缩微品的标识符； 最后一个扫描和存储的缩微品的标识符； 每个操作者进人和退出的日期和时间； 每个操作者扫描和存储的第一个缩微品的标识符： 每个操作者扫描和存储的最后一个缩微品的标识符； 处理缩微品画幅总数； 未处理画幅总数，包括那些因缩微品质量问题而无法扫描的数量