ISO/IEC 27050-2:2018 — 电子发现 — 第2部分：治理指南

ISO/IEC 27050-2:2018 在第1部分建立的基础概念之上，为电子发现目的下的电子存储信息（ESI）治理提供了详细指南。有效的治理是可辩护的电子发现的基石，使组织能够一致、高效且以可证明的可靠性来应对法律和监管要求。

治理是区分被动混乱型电子发现与主动可辩护型电子发现的关键。ISO/IEC 27050-2 为实现这一转变提供了路线图。

一、建立 ESI 治理框架

该标准推荐了基于三大支柱的结构化 ESI 治理方法：人员、流程和技术。人员支柱涉及定义角色和职责——包括电子发现指导委员会、法律联络人、IT 代表、记录管理人和数据保管人。流程支柱涵盖管理 ESI 全生命周期的政策、程序和工作流。技术支柱包括用于实施治理控制的工具和平台。

建立 ESI 治理框架的关键第一步是进行全面的数据映射工作。组织必须了解拥有哪些数据、数据存储在哪里、谁拥有数据、如何管理数据以及适用哪些法律和监管义务。该数据映射图是所有后续治理活动的基础。

仅存在于纸上——被记录但未实施的治理框架无法提供任何保护。ISO/IEC 27050-2 强调，治理必须通过培训、监控、执行和持续改进来实现运营化。无实施的文件比没有框架更糟糕，因为它会造成虚假的安全感。

二、法律保留与保存管理

ESI 治理的核心要素是实施和管理法律保留的能力——即暂停正常的保留和处置流程，以保存与预期或未决诉讼相关的 ESI 的指令。ISO/IEC 27050-2 就建立可辩护的法律保留流程提供了详细指导。

有效的法律保留流程包括：（1）及时识别需要保存的事项；（2）迅速向保管人发出法律保留通知；（3）保管人确认收到并理解；（4）对相关 ESI 源采取技术保存措施；（5）定期提醒保管人其保存义务；（6）保存义务结束时及时解除保留。

该标准还涉及在日益复杂的 IT 环境中保存 ESI 的挑战。云应用、协作平台、移动设备和短暂消息系统都需要专门的保存方法。组织必须确保其法律保留流程扩展到这些现代 ESI 源，并且保存措施在技术上是有效的，在法律上是可辩护的。

精心设计的法律保留计划不仅能降低法律风险，还能通过提供清晰、有文件记录的 ESI 保存管理流程来提高运营效率。具有成熟法律保留计划的组织报告称，关于保存充分性的争议更少，与被动保存工作相关的成本更低。

三、治理系统的工程设计

从工程角度来看，实施 ISO/IEC 27050-2 需要将治理能力构建到信息系统架构中。关键的设计考虑包括：（1）策略执行引擎，能根据 ESI 分类自动应用保留和处置规则；（2）法律保留管理系统，与目录服务、内容平台和归档系统集成；（3）审计和报告系统，能向监管机构和对方律师证明治理合规性；（4）自动化工作流，在法律保留启动时触发保存操作；（5）数据映射工具，维护 ESI 源及其特征的最新清单。

组织还应考虑新兴技术的治理影响。该标准提供了在云环境中处理 ESI 治理的指南，在这种环境中组织可能无法直接控制数据存储和处理。与云服务提供商的合同应包含 ESI 的法律保留、保存、收集和生成条款。

在实施 ESI 治理的技术控制时，优先考虑自动化而非手动流程。自动化策略执行比手动实施更可靠、更可审计、更具可扩展性。投资于能够从集中管理控制台跨多样化的 ESI 源应用保留、法律保留和处置操作的工具。

四、常见问题

Q: ISO/IEC 27050-2 与一般信息治理框架（如 ISO 15489 记录管理）有何关系？
ISO/IEC 27050-2 通过提供电子发现特定的指南来补充一般信息治理标准。ISO 15489 侧重于记录管理原则，而 ISO/IEC 27050-2 则处理法律和监管发现流程的特定要求，包括法律保留管理和可辩护的处置。

Q: 数据映射在电子发现治理中的作用是什么？
数据映射是一种基础工具，用于识别 ESI 在组织中的存储位置、谁负责管理以及如何管理。没有最新的数据映射图，组织无法可靠地识别、保存或收集相关 ESI 以响应发现请求。

Q: 组织应如何处理基于云的系统的 ESI 治理？
组织应确保云服务合同包含 ESI 的法律保留、保存、收集和生成条款。它们还应维护最新的数据映射图，识别哪些云服务存储可能相关的 ESI，并了解每个服务支持电子发现的技术能力和限制。

Q: 可以使用哪些指标来衡量电子发现治理的有效性？
有用的指标包括：从保存触发到法律保留发出的时间、保管人确认率、数据映射覆盖的 ESI 源百分比、数据映射更新频率、与保存相关的争议数量以及每个事项的电子发现平均成本。

一、建立 ESI 治理框架

二、法律保留与保存管理

三、治理系统的工程设计

四、常见问题

发表回复取消回复

Trending now