Risikostyring – Risikostyring i digital bevaring

Enhver samling af digitalt materiale kan rammes af forskellige forhold, som kan true samlingens eksistens. Det er derfor vigtigt at lave en risikoanalyse for at monitorere de mulige trusler og på grundlag af denne lave risikostyring, så man kan håndtere truslerne, når de opstår.

Hvorfor fokusere på risici?

Det er vigtigt, at man på forhånd er opmærksom på de eventuelle risici, der kan opstå i forbindelse med bevaringen af en digital samling, og at der tages højde for risici i institutionens politik og strategi for digital bevaring. En risikoanalyse giver flere fordele:

  1. Fokus – med risikoanalysen sættes fokus på de områder, hvor der er et reelt behov, frem for at man bruger for mange kræfter på opgaver, som er mindre vigtige.
  2. Fuldstændighed – en god risikoanalyse dækker alle de aspekter af organisationen, som kan have effekt på dens evne til at bevare materialet – ikke kun de tekniske, men også de organisatoriske aspekter
  3. Fortrolighed – de fleste virksomheder og organisationer anvender allerede risikoanalyser i andre sammenhænge, fx bruges standarder som DS484 og ISO27001 til at styre it-sikkerheden. Den viden, som er opnået herigennem, kan genbruges i forbindelse med digital langtidsbevaring.

Standardværktøj

Vælger man at benytte et standardværktøj til risikoanalysen, opnås samtidig adgang til den fælles viden, som er opbygget i internationalt regi. Der findes flere værktøjer til risikoanalyse. De mest anvendte inden for digital bevaring er DRAMBORA-værktøjet, som beskrives nærmere herunder, TRAC, som står for ”Trustworthy Repositories, Audit & Certification (TRAC): Criteria and Checklist” og ISO 16363 “Space data and information transfer systems – Audit and certification of trustworthy digital repositories.

Risikoanalyse med værktøjet DRAMBORA

DRAMBORA (Digital Repository Audit Method Based on Risk Assessment) er udarbejdet af Digital Curation Centre i Edinburgh i samarbejde med flere europæiske nationalbiblioteker, arkiver, og bevaringseksperter. DRAMBORA bygger på standardbegreberne i risikoanalyse, men fokuserer specielt på de opgaver og udfordringer, der relaterer sig til digital langtidsbevaring.

Trin i DRAMBORA-processen

DRAMBORA nedbryder arbejdet med risikoanalyse i følgende seks trin:

  1. Identifikation af den organisatoriske kontekst
  2. Dokumentation af politik og procesmæssige rammer
  3. Identifikation af aktiviteter, aktiver, og deres ejere
  4. Identifikation af risici
  5. Vurdering af risici
  6. Styring af risici

Tilpasset til digital bevaring

Dette adskiller sig ikke meget fra mere generelle risikoanalyse-værktøjer. Men DRAMBORA tilbyder desuden nogle specifikke tilpasninger til digital bevaring ved at identificere otte organisatoriske områder, som bruges til at klassificere aktiviteter, aktiver og risici:

Driftsområder Støtteområder
Erhvervelse Organisation og styring
Bevaring Bemanding
Metadata Økonomi
Adgang Teknisk infrastruktur

De otte organisatoriske områder, som DRAMBORA anvender i risikostyring

Med DRAMBORA værktøjet vejledes man gennem en risikoanalyse-proces, som identificerer og adresserer alle disse områder.

Kan jeg anvende DRAMBORA til risikoanalysen?

DRAMBORA er et relativt nemt værktøj at anvende. Forfatterne til værktøjet estimerer, at en analyse med DRAMBORA kan gennemføres i løbet af ca. 40 mand-timer, hvilket dog nok er lidt vel optimistisk. DRAMBORA kræver, at organisationens politik og processer på en lang række områder kan dokumenteres, og man vil derfor ofte i praksis være nødt til at lave et forprojekt for at udarbejde denne dokumentation. Selv når dokumentationen foreligger, er det tidskrævende at samle og organisere den, inden man kan gå i gang med selve analysen.

Fordele ved DRAMBORA

Men ved at gennemgå denne proces opnår man store fordele i form af:

  • Risikostyring: Udarbejdelsen af et register over risici giver et kraftfuldt redskab til at holde styr på truslerne mod dine data. Risikostyring bør være en løbende proces, som sikrer, at man hele tiden prioriterer ressourcerne på de vigtigste områder.
  • Troværdighed: Med en risikoanalyse bekræftes både over for organisationen og omverdenen, at man er i stand til at bevare data over lang tid – trods tekniske og organisatoriske forandringer.
  • Certificering: Der arbejdes internationalt på at opbygge standarder for certificering af digitale arkiver. Det betyder, at man på sigt vil kunne få foretaget en ekstern revision (et audit) af organisationens risikoanalyse og -styring og gennem denne opnå en certificering, som kan være med til at øge interessenternes tillid til organisationen.

Læs mere om organisationen som troværdigt digitalt arkiv (Trustworthy digital repository) i artiklen “Troværdighed – Hvad kendetegner et troværdigt digitalt arkiv?“.

Referencer:

DRAMBORA

TRAC

ISO 16363

Colin S. Rosenthal, Statsbiblioteket1, november 2010 | revideret august 2012 | januar 2015


1. Statsbiblioteket og Det Kongelige Bibliotek fusionerede pr. 1. januar 2017. Med afdeling i hhv. Aarhus og København er institutionerne nu samlet under navnet: Det Kgl. Bibliotek.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *