臧國全,李 丹

（鄭州大學信息管理系，河南 鄭州 450001）

1 認證的意義

數(shù)字保存系統(tǒng)是系統(tǒng)運行機構(gòu)向用戶提供數(shù)字資源可信任存取服務(wù)的一類產(chǎn)品。從內(nèi)容上講，這類系統(tǒng)保存的要么是文獻信息資源數(shù)字化的產(chǎn)品（如美國國會圖書館的American Memory），要么是原生型文獻數(shù)字資源（如荷蘭國家圖書館的e-Depot），要么是這兩類的復合（如CNKI的中國期刊全文數(shù)據(jù)庫）。從來源來講，這類系統(tǒng)保存的數(shù)字資源要么是自產(chǎn)的，要么是來自于第三方的委托保存，但從目前實踐來看，越來越多的數(shù)字保存系統(tǒng)屬于后者。從服務(wù)對象來講，這類系統(tǒng)的用戶要么是團體用戶（如國內(nèi)很多圖書館以鏡像方式購買CNKI數(shù)據(jù)庫的使用權(quán)），要么是個人用戶（如個人以注冊方式購買CNKI數(shù)據(jù)庫的使用權(quán)）。從運行機構(gòu)來講，這類系統(tǒng)的實施組織要么是商業(yè)性企業(yè)（如清華同方），要么是圖書情報機構(gòu)（如美國國會圖書館）。

認證是指由認證機構(gòu)證明產(chǎn)品、服務(wù)、管理體系符合相關(guān)技術(shù)規(guī)范的強制性要求或者標準的合格評定活動。與其他產(chǎn)品相比，數(shù)字保存系統(tǒng)的顯著特點在于其保存的數(shù)字資源的特殊性，即保存時間越長，其可用性、真實性、完整性和可靠性所面臨的挑戰(zhàn)越大。這類產(chǎn)品的根本價值在于其可信任性和存取數(shù)字資源的能力，確保數(shù)字資源的安全和真實，并方便數(shù)字資源的各種應(yīng)用。實現(xiàn)該價值的最有效方法是根據(jù)《數(shù)字保存系統(tǒng)質(zhì)量保證標準》[1]，按照一定程序由認證機構(gòu)對其進行認證。因此，對數(shù)字保存系統(tǒng)實施認證的意義可概括為：

（1）從用戶角度，有利于用戶選擇和使用數(shù)字保存系統(tǒng)。獲得質(zhì)量體系認證，不僅意味著認證機構(gòu)的嚴格審核和定期監(jiān)督，而且也使用戶產(chǎn)生信任感。

（2）從數(shù)字資源的提供方角度，有利于數(shù)字產(chǎn)品生產(chǎn)者和提供者選擇委托保存的系統(tǒng)。委托給專業(yè)數(shù)字保存系統(tǒng)進行長期保存并提供增值服務(wù)是未來數(shù)字保存的趨勢，可信任性是選擇委托數(shù)字保存系統(tǒng)的基礎(chǔ)，獲得認證是判斷可信任性的一個重要參考。

（3）從數(shù)字保存系統(tǒng)角度，有利于該類系統(tǒng)的可持續(xù)發(fā)展。標準化質(zhì)量體系使得數(shù)字產(chǎn)品的生產(chǎn)、加工、服務(wù)和管理全過程規(guī)范化和科學化，有利于提高數(shù)字保存系統(tǒng)的經(jīng)濟效益和社會效益。

（4）從信息資源數(shù)字化建設(shè)角度，有利于信息資源數(shù)字化建設(shè)。數(shù)字保存系統(tǒng)是信息資源數(shù)字化建設(shè)生命周期的最后一個階段，也是面向最終用戶提供服務(wù)的窗口，其質(zhì)量將直接影響用戶的選擇與使用，進而影響整個數(shù)字化建設(shè)進程。

（5）從圖書館學和情報學的角度，有利于豐富數(shù)字環(huán)境下圖書館學和情報學的理論與實踐。數(shù)字圖書館是數(shù)字環(huán)境下圖書館學和情報學理論研究與實踐的熱點，數(shù)字保存系統(tǒng)是數(shù)字圖書館建設(shè)的核心，其質(zhì)量保障是數(shù)字圖書館質(zhì)量的關(guān)鍵。

2 認證的原則

認證的總體目標是使獲證組織的顧客相信獲證組織的數(shù)字保存系統(tǒng)滿足規(guī)定要求。認證的價值取決于認證機構(gòu)通過公正、有能力的評定所建立的公信力的程度。借鑒ISO17021《管理體系認證機構(gòu)要求》[2]，數(shù)字保存系統(tǒng)的認證原則應(yīng)包括：公正性、能力、責任、公開性、保密性、對投訴的回應(yīng)。

2.1 公正性原則

公正，并被認為公正，是認證機構(gòu)提供可信任認證的必要條件。認證機構(gòu)應(yīng)對數(shù)字保存系統(tǒng)認證活動的公正性做出承諾，并應(yīng)有可公開獲取的聲明，表明公正性在實施認證活動中的重要性，并對利益沖突進行管理，確保認證活動的客觀性。

認證機構(gòu)應(yīng)識別和分析由認證活動引起的利益沖突，以及這些利益沖突對公正性構(gòu)成的威脅，采取措施消除或最大限度減小威脅，并能予以證實。

在認證審核實踐中，對公正性的威脅主要有：

●自身利益的威脅。此類威脅源于機構(gòu)或個人依其自身利益行事。比如，客戶組織支付的認證費用是對公正性的潛在威脅。

●自我評審的威脅。此類威脅源于機構(gòu)或個人評審自己所做的工作。比如，認證機構(gòu)對由其進行咨詢的客戶組織實施審核。

●熟識（或信任）的威脅。此類威脅源于機構(gòu)或個人對另外一個機構(gòu)或個人過于熟悉或信任。比如，審核員由于熟悉客戶組織而不尋找審核證據(jù)。

●脅迫的威脅。此類威脅源于機構(gòu)或個人察覺受到公然或暗示的強迫。比如，威脅審核員用他人取而代之。

2.2 能力原則

認證機構(gòu)及其認證審核員的能力是提供可信任認證的必要條件。能力是經(jīng)證實的應(yīng)用知識和技能的本領(lǐng)。

認證機構(gòu)應(yīng)具備的基本能力有[3]：

●選擇、提供和管理其技能和綜合能力適合于數(shù)字保存系統(tǒng)審核活動的人員。

●具備數(shù)字保存有關(guān)的技術(shù)和法律知識。

●識別客戶組織的活動領(lǐng)域及相關(guān)業(yè)務(wù)的風險，以及客戶組織的數(shù)字資源面臨的威脅和脆弱之處。

●具備授予、保持、撤銷、暫停、擴大或縮小認證的決定能力。

認證審核員應(yīng)具備的基本能力有：

●數(shù)字保存系統(tǒng)質(zhì)量標準和相關(guān)規(guī)范性文件的知識。

●數(shù)字保存知識。

●ISO19011的審核原則。

●通過持續(xù)的專業(yè)培訓與自學，保持數(shù)字保存和審核知識與技能的更新。

●合適的教育程度。借鑒ISO17021《管理體系認證機構(gòu)要求》，認證審核員應(yīng)該具有2年以上與數(shù)字保存有關(guān)的工作經(jīng)歷。

●行使審核職責之前，已獲得評審數(shù)字保存系統(tǒng)整個過程的經(jīng)驗。借鑒ISO17021《管理體系認證機構(gòu)要求》，這種經(jīng)驗應(yīng)是最少4次參與、總共天數(shù)最少為20天認證審核活動，包括文件評審、實施評審和審核報告。

2.3 責任原則

認證機構(gòu)有責任對足夠的客觀證據(jù)進行評價，并在此基礎(chǔ)上做出認證決定。根據(jù)審核結(jié)論，如果符合性的證據(jù)充分，認證機構(gòu)做出授予認證的決定；如果符合性的證據(jù)不充分，則不授予認證。但是，任何審核都是基于對數(shù)字保存系統(tǒng)的抽樣，因此并不保證系統(tǒng)100%符合要求。

2.4 公開性原則

公開性是獲得或公布適當信息的一項基本原則。為了獲得對認證的信任，認證機構(gòu)需要提供獲取有關(guān)審核過程、認證過程和客戶組織認證狀態(tài)（包括認證的授予、保持、更新、擴大、縮小、暫?；虺蜂N）信息的公開渠道，并且也應(yīng)該向相關(guān)方提供獲取特定審核（如為回應(yīng)投訴而做的審核）結(jié)論的非保密信息。在特殊情況下，可以根據(jù)客戶組織的請求（如出于安全原因），對某些信息的公開程度做適當限制。

2.5 保密性原則

為了享有獲取充分評價數(shù)字保存系統(tǒng)符合性所需信息的特權(quán)，認證機構(gòu)必需對客戶組織的專有信息予以保密。

在認證審核前，認證機構(gòu)應(yīng)要求客戶組織報告由于包含保密性或敏感性的信息而不能供審核組復核的數(shù)字保存系統(tǒng)的記錄。認證機構(gòu)應(yīng)確保在缺少這些記錄的情況下數(shù)字保存系統(tǒng)能夠得到充分審核。否則，應(yīng)告知客戶組織認證審核不能進行，直至獲得必需的記錄證據(jù)。

2.6 對投訴的回應(yīng)原則

投訴反應(yīng)反映了可能存在認證的不符合情況。認證機構(gòu)應(yīng)要求獲證客戶一旦收到投訴，找出投訴原因，并做出報告，采取措施予以糾正。必要時，獲證客戶應(yīng)能保證認證機構(gòu)可以得到有關(guān)數(shù)字保存系統(tǒng)的所有投訴以及采取的糾正措施的記錄。

數(shù)字保存系統(tǒng)的用戶期望投訴得到調(diào)查，認證機構(gòu)應(yīng)當使這些用戶相信在投訴經(jīng)查明屬實有效時，將對投訴進行相應(yīng)處理。當投訴無效或不合理時，對投訴做出回應(yīng)是保護認證機構(gòu)及其客戶組織的重要手段。

有時，對投訴的回應(yīng)屬于保密信息，在這種情況下，就要在公開性和保密性之間取得適當?shù)钠胶狻?/p>

3 認證的實施

數(shù)字保存系統(tǒng)的認證周期一般包括內(nèi)部審核、第一階段審核、第二階段審核、監(jiān)督審核和再認證審核等階段[5]。其中，第一階段審核和第二階段審核又稱為初審。一般情況下，一個認證周期為3-4年，認證決定在第二階段審核后進行，監(jiān)督審核和再認證審核稱為認證后審核。

3.1 預(yù)審核

預(yù)審核是一種非強制性要求的審核，是在正式審核（第一階段審核）之前執(zhí)行的非正式的綜合審核。預(yù)審核應(yīng)該由具有豐富經(jīng)驗的、能夠識別數(shù)字保存系統(tǒng)的弱點和差距的內(nèi)審員和（或）外審員執(zhí)行。

預(yù)審核的目的是通過使用“差距分析”的方法，檢查客戶組織的數(shù)字保存系統(tǒng)與認證標準《數(shù)字保存系統(tǒng)質(zhì)量保證標準》要求的差距。預(yù)審核內(nèi)容包括：檢查數(shù)字保存系統(tǒng)是否具備正式審核的基本條件，檢查客戶組織還有哪些未能按照標準要求進行運行的領(lǐng)域（比如，員工的數(shù)字保存安全意識等），分析客戶組織的數(shù)字保存方針和數(shù)字保存系統(tǒng)的運行程序。

預(yù)審核可以促使客戶組織在接受正式審核之前，對其數(shù)字保存系統(tǒng)進行必要的改進，做好正式審核的充分準備。同時，在預(yù)審核期間，客戶組織的員工也可接受到如何進行自我審核方面的培訓。

預(yù)審核階段一般持續(xù)3-5天，依據(jù)數(shù)字保存系統(tǒng)的規(guī)模和復雜程度而定。

3.2 第一階段審核

該階段是正式審核的開始，主要目標是使審核員了解客戶組織的數(shù)字保存系統(tǒng)的準備情況，并為第二階段審核計劃的制定提供依據(jù)和關(guān)注點。

該階段的審核對象是文件，包括的活動有：獲得數(shù)字保存系統(tǒng)文件、評審數(shù)字保存系統(tǒng)的文件和編寫審核報告三個方面。

審核員應(yīng)首先獲得客戶組織的數(shù)字保存系統(tǒng)文件。這類文件包括方針類文件（如，數(shù)字保存方針）、程序類文件（也稱形成文件的程序）和有關(guān)記錄（如，通常以表格形式的數(shù)字保存系統(tǒng)風險評估報告）。其中，有些是強制性文件（如，內(nèi)部審核程序、文件控制程序），有些是可選文件。前者是必需評審的，后者可用作參考。

數(shù)字保存系統(tǒng)的文件評審一般是在客戶組織的辦公區(qū)域進行，并有客戶組織熟悉這類文件的人員陪同參與，以便及時溝通。文件評審一般包括評估和檢查客戶組織的數(shù)字保存系統(tǒng)文件的適宜性 （文件是否適合使用）、充分性（文件是否足夠使用）、有效性（文件投入使用后是否達到應(yīng)有的實際效果）和一致性（不同文件之間是否存在有矛盾和不一致現(xiàn)象）等方面。

該階段審核結(jié)果應(yīng)形成書面審核報告。審核員在審核報告中應(yīng)提出審核發(fā)現(xiàn)，并與客戶組織的相關(guān)管理者進行溝通和討論。審核組根據(jù)審核發(fā)現(xiàn)的嚴重程度，做出下一步審核工作是繼續(xù)還是暫停的決定。

3.3 第二階段審核

該階段審核是一種現(xiàn)場取證活動，故也稱為現(xiàn)場審核，主要包括四項重要工作：制定審核計劃、實施現(xiàn)場審核、報告審核結(jié)果和做出認證決定。

審核計劃主要包括：確定重點的審核領(lǐng)域、選擇具有特殊問題處理能力的審核組成員、確定需要的審核時間長度和其他細節(jié)問題。審核計劃的內(nèi)容與客戶組織及其數(shù)字保存系統(tǒng)的規(guī)模、性質(zhì)和復雜程度等因素有關(guān)。

審核方法主要有：采訪有關(guān)人員，觀察相關(guān)場地，從而搜集信息和證據(jù)；設(shè)計測試數(shù)據(jù)，對數(shù)字保存系統(tǒng)有關(guān)性能指標進行測試。將上述審核活動產(chǎn)生的結(jié)果與審核標準進行對比，確定客戶組織數(shù)字保存系統(tǒng)的實際情況與審核標準之間的差別。審核標準《數(shù)字保存系統(tǒng)質(zhì)量保證標準》是審核人員測量客戶組織數(shù)字保存系統(tǒng)運行情況符合性的依據(jù)。

審核的主要內(nèi)容有：驗證第一階段的審核發(fā)現(xiàn)是否獲得糾正，證實客戶組織的數(shù)字保存方針的執(zhí)行情況，證實《數(shù)字保存系統(tǒng)質(zhì)量保證標準》所有要求的符合情況。

根據(jù)上述審核，得出初步審核發(fā)現(xiàn)。審核發(fā)現(xiàn)的重要內(nèi)容是客戶組織的數(shù)字保存系統(tǒng)對審核標準的“符合”（或滿足）、“不符合”（或不滿足）和“部分符合”（或部分滿足）的情況?！安环稀焙汀安糠址稀钡膶徍税l(fā)現(xiàn)都屬于不符合項。在審核報告中，對于不符合項的分析應(yīng)包括5個屬性：標準款項、情況、原因、嚴重程度和措施。這里的“標準款項”是指不符合項與哪個標準款項不符合?！扒闆r”是指根據(jù)審核員在檢查過程中發(fā)現(xiàn)的事實證據(jù)對不符合項的實際情況的客觀描述。“原因”是指不符合項產(chǎn)生的原因，有的不符合項的原因可能有多個。“嚴重程度”是指不符合項造成影響的程度，目前還沒有出現(xiàn)明確的定量測算方法，一般采用定性劃分，依據(jù)影響程度將不符合項分為3類：重大不符合項、一般不符合項、觀察項?！按胧笔侵笇徍藛T為客戶組織的數(shù)字保存系統(tǒng)的不符合項（包括重大不符合項和一般不符合項兩類）推薦的糾正措施。

初步審核報告需要與客戶組織適當層次的管理人員和相關(guān)人員一起正式或非正式地討論、修改和完善，從而形成最終的審核報告。

3.4 監(jiān)督審核

監(jiān)督審核是認證機構(gòu)在頒發(fā)證書后，為了維護認證，確?？蛻艚M織的數(shù)字保存系統(tǒng)持續(xù)符合要求，對其進行的定期監(jiān)督訪問。監(jiān)督審核主要是對數(shù)字保存系統(tǒng)的一些指標進行抽樣審核。

監(jiān)督審核的重點應(yīng)包括：對上次審核中確定的不符合項采取的措施與執(zhí)行情況；內(nèi)部審核和管理評審的實施情況；客戶組織管理體系的變更；申訴和投訴的處理記錄；在實現(xiàn)客戶組織數(shù)字保存方針目標方面，其運行的數(shù)字保存系統(tǒng)的有效性；認證標志的合理使用和任何其他對認證資格的合理引用。

監(jiān)督審核可采取的方式有：就認證的有關(guān)方面向客戶組織詢問、審查客戶組織運作說明（如宣傳材料、網(wǎng)頁）、要求客戶組織提供文件和記錄（紙質(zhì)或電子介質(zhì)）以及其他監(jiān)視客戶組織數(shù)字保存系統(tǒng)績效的方法。

監(jiān)督方案由認證機構(gòu)來決定。實地監(jiān)督的具體時間要與獲證客戶達成一致意見。監(jiān)督審核應(yīng)至少每年一次。初次認證后的第一次監(jiān)督審核應(yīng)在第二階段審核后12個月內(nèi)進行。

3.5 再認證審核

再認證審核是在認證周期即將結(jié)束時，認證機構(gòu)對已獲證組織的數(shù)字保存系統(tǒng)所進行的一個重新評估活動。重新評估的目的是確保客戶組織的數(shù)字保存系統(tǒng)按照原來認證過程所確認的那樣有效地運行。

再認證審核為現(xiàn)場審核，至少包括下述領(lǐng)域：（1）檢驗客戶組織的數(shù)字保存系統(tǒng)作為一個整體的持續(xù)符合性與有效性，以及與認證范圍的持續(xù)相關(guān)性和適宜性。（2）檢驗客戶組織的數(shù)字保存系統(tǒng)是否持續(xù)、全面地符合《數(shù)字保存系統(tǒng)質(zhì)量保證標準》的要求。（3）評審客戶組織的數(shù)字保存系統(tǒng)的文件和定期審核（包括內(nèi)部審核和監(jiān)督審核）的結(jié)果。（4）檢查客戶組織的數(shù)字保存系統(tǒng)如何應(yīng)對組織的業(yè)務(wù)和運行的變化，當客戶組織的數(shù)字保存系統(tǒng)或其運作環(huán)境（如法律的變更）有重大變更時，再認證審核活動可能需要有第一階段審核。（5）檢驗管理者對維護數(shù)字保存系統(tǒng)有效性的承諾情況。

再認證審核中發(fā)現(xiàn)不符合或缺少符合性的證據(jù)時，認證機構(gòu)應(yīng)規(guī)定在認證審核終止前實施糾正的時限。認證機構(gòu)應(yīng)根據(jù)再認證審核的結(jié)果，以及認證周期內(nèi)的數(shù)字保存系統(tǒng)評價結(jié)果和認證使用方的投訴，做出再認證審核是否通過的決定。如果再認證審核獲得通過，認證機構(gòu)應(yīng)為客戶組織的數(shù)字保存系統(tǒng)頒發(fā)（或更換）新的認證證書。

3.6 暫停、撤銷或縮小認證范圍

在監(jiān)督審核和再認證審核過程中，如果發(fā)生以下情況，認證機構(gòu)應(yīng)暫停客戶組織數(shù)字保存系統(tǒng)的已獲得的認證資格：客戶組織數(shù)字保存系統(tǒng)持續(xù)地或嚴重地不滿足認證要求；客戶組織不允許按要求的頻次實施監(jiān)督或再認證審核；客戶組織主動請求暫停。

暫停期間，客戶組織的數(shù)字保存系統(tǒng)認證暫時無效。認證機構(gòu)應(yīng)做出具有強制實施力的安排，以確保暫停期間避免客戶組織繼續(xù)宣傳使用認證資格。認證機構(gòu)應(yīng)使客戶組織數(shù)字保存系統(tǒng)的認證資格的暫停信息可公開獲取。

如果客戶組織未能在認證機構(gòu)規(guī)定的時限內(nèi)（一般情況下，暫停期限不超過6個月）解決造成暫停的問題，認證機構(gòu)應(yīng)撤銷或縮小其認證范圍。

如果客戶組織的數(shù)字保存系統(tǒng)在認證范圍的某些部分持續(xù)地或嚴重地不滿足認證要求，認證機構(gòu)應(yīng)縮小其認證范圍，以排除不滿足要求的部分。

認證機構(gòu)應(yīng)對撤銷認證做出強制實施的安排，以確保獲證客戶接到撤銷認證通知時，立即停止使用任何引用認證資格的廣告材料。

［1］ ISO.管理體系認證機構(gòu)要求.［EB/OL］.［2009-01-10］.http://www.51made.com/dowfile_show.

［2］［3］［4］CCSDS.Requirements for bodies providing audit and certification of trusted digital repositories.［2009-02-10］.http://wiki.digitalrepositoryauditandcertification.org/bin/view/Main/ReqtsFor-Auditors.