Information and documentation -- Risk assessment for records processes and systems

This Technical Report intends to assist organizations in assessing risks to records processes and systems
so they can ensure records continue to meet identified business needs as long as required.
The report
a) establishes a method of analysis for identifying risks related to records processes and systems,
b) provides a method of analysing the potential effects of adverse events on records processes and
systems,
c) provides guidelines for conducting an assessment of risks related to records processes and systems,
and
d) provides guidelines for documenting identified and assessed risks in preparation for mitigation.
This Technical Report does not address the general risks to an organization’s operations which can be
mitigated by creating records.
This Technical Report can be used by all organizations regardless of size, nature of their activities,
or complexity of their functions and structure. These factors, and the regulatory regime in which the
organization operates which prescribes the creation and control of its records, are taken into account
when identifying and assessing risk related to records and records systems.
Defining an organization or identifying its boundaries should take into account the complex structures
and partnerships and contractual arrangements for outsourcing services and supply chains which are a
common feature of contemporary government and corporate entities. Identifying the boundaries of the
organization is the initial step in defining the scope of the project of risk assessment related to records.
This Technical Report does not address directly the mitigation of risks as methods for these will vary
from organization to organization.
The Technical Report can be used by records professionals or people who have responsibility for records
in their organizations and by auditors or managers who have responsibility for risk management
programs in their organizations.

Information et documentation -- Evaluation du risque pour les processus et systèmes d'enregistrement

L'ISO/TR 18128:2014 a pour objet d'aider les organismes � appr�cier les risques li�s aux processus et aux syst�mes documentaires de mani�re qu'ils puissent s'assurer que les documents d'activit� r�pondent aux besoins de gestion identifi�s aussi longtemps que n�cessaire.
L'ISO/TR 18128:2014
a) �tablit une m�thode d'analyse pour l'identification des risques li�s aux processus et aux syst�mes documentaires,
b) fournit une m�thode d'analyse des effets potentiels des �v�nements ind�sirables sur les processus et les syst�mes documentaires,
c) fournit des lignes directrices pour mener une appr�ciation des risques li�s aux processus et aux syst�mes documentaires, et
d) fournit des lignes directrices pour la documentation des risques identifi�s et appr�ci�s pour pr�parer des mesures d'att�nuation.
L'ISO/TR 18128:2014 peut �tre utilis� par tous les organismes, quelles que soient leur taille, la nature de leurs activit�s ou la complexit� de leurs fonctions et de leur structure. Ces facteurs, ainsi que le r�gime r�glementaire dans lequel l'organisme �volue et qui prescrit la cr�ation et le contr�le de ces documents d'activit�, sont pris en compte au moment de l'identification et de l'appr�ciation des risques li�s aux documents d'activit� et aux syst�mes documentaires.
L'ISO/TR 18128:2014 peut �tre utilis� par des professionnels de la gestion documentaire ou par des personnes responsables des documents d'activit� de leur organisme, ainsi que par des auditeurs ou des dirigeants responsables des programmes de management du risque de leur organisme.

Informatika in dokumentacija - Ocena tveganja za postopke procesov in sisteme vodenja zapisov

To tehnično poročilo je namenjeno podpori organizacijam pri ocenjevanju tveganj za postopke procesov in sisteme vodenja zapisov, da lahko zagotovijo ustreznost zapisov za identificirane poslovne potrebe.
Poročilo
a) določa metodo za analizo, s katero se identificira tveganja, povezana s postopki procesov in sistemi vodenja zapisov,
b) določa metodo za analiziranje potencialnih učinkov neželenih dogodkov na postopke procesov in sisteme vodenja zapisov,
c) podaja smernice za izvajanje ocene tveganj, povezanih s postopki procesov in sistemi vodenja zapisov, ter
d) podaja smernice za dokumentiranje identificiranih in ocenjenih tveganj pri pripravi za zmanjševanje.
To tehnično poročilo ne naslavlja splošnih tveganj pri poslovanju organizacije, ki jih je mogoče zmanjševati z ustvarjanjem zapisov.
To tehnično poročilo lahko uporabijo vse organizacije, ne glede na velikost, naravo svojih dejavnosti ali zapletenost njihovih funkcij in strukture. Ti dejavniki in ureditveni režim, v katerem organizacija deluje ter predpisuje ustvarjanje in nadzor zapisov, se upoštevajo pri identificiranju in ocenjevanju tveganj, povezanih s postopki procesov in sistemi vodenja zapisov.
Definiranje organizacije ali identificiranje njenih meja mora upoštevati zapletene strukture in partnerstva ter pogodbene ureditve za storitve zunanjega izvajanja in nabavne verige, ki so pogoste značilnosti sodobnih državnih organov in poslovnih subjektov. Identificiranje meja organizacije je prvi korak pri definiranju obsega projekta ocene tveganja, povezane z zapisi.
To tehnično poročilo ne naslavlja neposredno zmanjševanja tveganja, saj se metode za to razlikujejo od organizacije do organizacije.
Tehnično poročilo lahko uporabijo strokovnjaki za zapise ali osebe, ki so v svojih organizacijah odgovorne za zapise, ter revizorji ali vodje, ki so v svojih organizacijah odgovorni za programe upravljanja tveganja.

General Information

Status
Withdrawn
Public Enquiry End Date
30-Dec-2016
Publication Date
23-Aug-2018
Withdrawal Date
17-Sep-2024
Current Stage
9900 - Withdrawal (Adopted Project)
Start Date
18-Sep-2024
Due Date
11-Oct-2024
Completion Date
18-Sep-2024

Relations

Buy Standard

Technical report
ISO/TR 18128:2014 - Information and documentation — Risk assessment for records processes and systems Released:3/3/2014
English language
37 pages
sale 15% off
Preview
sale 15% off
Preview
Technical report
TP ISO/TR 18128:2018 - BARVE
English language
43 pages
sale 10% off
Preview
sale 10% off
Preview
e-Library read for
1 day
Technical report
ISO/TR 18128:2014 - Information and documentation -- Risk assessment for records processes and systems
English language
37 pages
sale 15% off
Preview
sale 15% off
Preview
Technical report
ISO/TR 18128:2014 - Information et documentation — Evaluation du risque pour les processus et systèmes d'enregistrement Released:4/23/2014
French language
47 pages
sale 15% off
Preview
sale 15% off
Preview
Technical report
ISO/TR 18128:2014 - Information et documentation -- Evaluation du risque pour les processus et systemes d'enregistrement
French language
47 pages
sale 15% off
Preview
sale 15% off
Preview

Standards Content (Sample)


TECHNICAL ISO/TR
REPORT 18128
First edition
2014-03-15
Information and documentation —
Risk assessment for records processes
and systems
Information et documentation — Evaluation du risque pour les
processus et systèmes d’enregistrement
Reference number
©
ISO 2014
© ISO 2014
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized otherwise in any form
or by any means, electronic or mechanical, including photocopying, or posting on the internet or an intranet, without prior
written permission. Permission can be requested from either ISO at the address below or ISO’s member body in the country of
the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO 2014 – All rights reserved

Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 2
3.1 Terms specific to risk . 2
3.2 Terms specific to records . 2
4 Risk assessment criteria for the organization . 2
4.1 Assessment of risk . 2
4.2 Risk criteria . 3
4.3 Assignment of priority . 3
5 Risk identification . 3
5.1 General . 3
5.2 Context: External factors . 5
5.3 Context: Internal factors . 6
5.4 Records systems . 8
5.5 Records processes .11
6 Analysing identified risks .12
6.1 General .12
6.2 Likelihood analysis and probability estimation .13
7 Evaluating risks .15
7.1 General .15
7.2 Evaluating impact of adverse events .16
7.3 Evaluating the risk .16
8 Communicating the identified risks .17
Annex A (informative) Example of a documented risk entry in a risk register .19
Annex B (informative) Example: checklists for identifying areas of uncertainty .20
Annex C (informative) Guide to using controls from ISO/IEC 27001, Annex A .27
Bibliography .37
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of
any patent rights identified during the development of the document will be in the Introduction and/or
on the ISO list of patent declarations received (see www.iso.org/patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation on the meaning of ISO specific terms and expressions related to conformity
assessment, as well as information about ISO’s adherence to the WTO principles in the Technical Barriers
to Trade (TBT) see the following URL: Foreword - Supplementary information
The committee responsible for this document is ISO/TC 46, Information and documentation, Subcommittee
SC 11, Archives/records management.
iv © ISO 2014 – All rights reserved

Introduction
All organizations identify and manage the risks to their functioning successfully. Identifying and
managing the risks to records processes and systems is the responsibility of the organization’s records
professional.
This Technical Report is intended to help records professionals and people who have responsibility for
records in their organization to assess the risks related to records processes and systems.
NOTE System means any business application which creates and stores records.
This is distinct from the task of identifying and assessing the organization’s business risks to which
creating and keeping adequate records is one strategic response. The decisions to create or not create
records in response to general business risk are business decisions which should be informed by the
analysis of the organization’s records requirements undertaken by records professionals together with
business managers. The premise of this Technical Report is that the organization has created records
of its business activities to meet operational and other purposes and has established at least minimal
mechanisms for the systematic management and control of the records.
The consequence of risk events to records processes and systems is the loss of, or damage to, records
which are therefore no longer useable, reliable, authentic, complete, or unaltered, and therefore can fail
to meet the organization’s purposes.
The Technical Report provides guidance and examples based on the general risk management process
established in ISO 31000 (see Figure 1) to apply to risks related to records processes and systems. It
covers
a) risk identification,
b) risk analysis, and
c) risk evaluation.
The results of the analysis of risk to records processes and systems should be incorporated into the
organization’s general risk management framework. As a result, the organization will have better
control of its records and their quality for business purposes.
Clause 5 provides a comprehensive list of areas of uncertainty related to records processes and systems
as a guide for risk identification.
Clause 6 provides guidance to determining the consequences and probabilities of identified risk events,
taking into account the presence (or not) and the effectiveness of any existing controls.
Clause 7 provides guidance to determining the significance of the level and type of risks identified.
The report does not deal with risk treatment. Once the assessment of risks related to records processes
and systems has been completed, the assessed risks are documented and communicated to the
organization’s risk management section. Response to the assessed risks is undertaken as part of the
organization’s overall risk management program. The priority assigned by the records professional to
the assessed risks is provided to inform the organization’s decisions about managing those risks.
Figure 1 — Risk Management process
NOTE Figure 1 from ISO 31000:2009. Numbering refers to text of ISO 31000.
vi © ISO 2014 – All rights reserved

TECHNICAL REPORT ISO/TR 18128:2014(E)
Information and documentation — Risk assessment for
records processes and systems
1 Scope
This Technical Report intends to assist organizations in assessing risks to records processes and systems
so they can ensure records continue to meet identified business needs as long as required.
The report
a) establishes a method of analysis for identifying risks related to records processes and systems,
b) provides a method of analysing the potential effects of adverse events on records processes and
systems,
c) provides guidelines for conducting an assessment of risks related to records processes and systems,
and
d) provides guidelines for documenting identified and assessed risks in preparation for mitigation.
This Technical Report does not address the general risks to an organization’s operations which can be
mitigated by creating records.
This Technical Report can be used by all organizations regardless of size, nature of their activities,
or complexity of their functions and structure. These factors, and the regulatory regime in which the
organization operates which prescribes the creation and control of its records, are taken into account
when identifying and assessing risk related to records and records systems.
Defining an organization or identifying its boundaries should take into account the complex structures
and partnerships and contractual arrangements for outsourcing services and supply chains which are a
common feature of contemporary government and corporate entities. Identifying the boundaries of the
organization is the initial step in defining the scope of the project of risk assessment related to records.
This Technical Report does not address directly the mitigation of risks as methods for these will vary
from organization to organization.
The Technical Report can be used by records professionals or people who have responsibility for records
in their organizations and by auditors or managers who have responsibility for risk management
programs in their organizations.
2 Normative references
The following documents, in whole or in part, are normatively referenced in this document and are
indispensable for its application. For dated references, only the edition cited applies. For undated
references, the latest edition of the referenced document (including any amendments) applies.
ISO 30300:2011, Information and documentation — Management systems for records — Fundamentals
and vocabulary
ISO Guide 73:2009, Risk management — Vocabulary
3 Terms and definitions
For the purposes of this document, the terms and defini
...


SLOVENSKI STANDARD
01-september-2018
Informatika in dokumentacija - Ocena tveganja za postopke procesov in sisteme
vodenja zapisov
Information and documentation -- Risk assessment for records processes and systems
Information et documentation -- Evaluation du risque pour les processus et systèmes
d'enregistrement
Ta slovenski standard je istoveten z: ISO/TR 18128:2014
ICS:
01.140.20 Informacijske vede Information sciences
03.100.01 Organizacija in vodenje Company organization and
podjetja na splošno management in general
2003-01.Slovenski inštitut za standardizacijo. Razmnoževanje celote ali delov tega standarda ni dovoljeno.

TECHNICAL ISO/TR
REPORT 18128
First edition
2014-03-15
Information and documentation —
Risk assessment for records processes
and systems
Information et documentation — Evaluation du risque pour les
processus et systèmes d’enregistrement
Reference number
©
ISO 2014
© ISO 2014
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized otherwise in any form
or by any means, electronic or mechanical, including photocopying, or posting on the internet or an intranet, without prior
written permission. Permission can be requested from either ISO at the address below or ISO’s member body in the country of
the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO 2014 – All rights reserved

Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 2
3.1 Terms specific to risk . 2
3.2 Terms specific to records . 2
4 Risk assessment criteria for the organization . 2
4.1 Assessment of risk . 2
4.2 Risk criteria . 3
4.3 Assignment of priority . 3
5 Risk identification . 3
5.1 General . 3
5.2 Context: External factors . 5
5.3 Context: Internal factors . 6
5.4 Records systems . 8
5.5 Records processes .11
6 Analysing identified risks .12
6.1 General .12
6.2 Likelihood analysis and probability estimation .13
7 Evaluating risks .15
7.1 General .15
7.2 Evaluating impact of adverse events .16
7.3 Evaluating the risk .16
8 Communicating the identified risks .17
Annex A (informative) Example of a documented risk entry in a risk register .19
Annex B (informative) Example: checklists for identifying areas of uncertainty .20
Annex C (informative) Guide to using controls from ISO/IEC 27001, Annex A .27
Bibliography .37
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of
any patent rights identified during the development of the document will be in the Introduction and/or
on the ISO list of patent declarations received (see www.iso.org/patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation on the meaning of ISO specific terms and expressions related to conformity
assessment, as well as information about ISO’s adherence to the WTO principles in the Technical Barriers
to Trade (TBT) see the following URL: Foreword - Supplementary information
The committee responsible for this document is ISO/TC 46, Information and documentation, Subcommittee
SC 11, Archives/records management.
iv © ISO 2014 – All rights reserved

Introduction
All organizations identify and manage the risks to their functioning successfully. Identifying and
managing the risks to records processes and systems is the responsibility of the organization’s records
professional.
This Technical Report is intended to help records professionals and people who have responsibility for
records in their organization to assess the risks related to records processes and systems.
NOTE System means any business application which creates and stores records.
This is distinct from the task of identifying and assessing the organization’s business risks to which
creating and keeping adequate records is one strategic response. The decisions to create or not create
records in response to general business risk are business decisions which should be informed by the
analysis of the organization’s records requirements undertaken by records professionals together with
business managers. The premise of this Technical Report is that the organization has created records
of its business activities to meet operational and other purposes and has established at least minimal
mechanisms for the systematic management and control of the records.
The consequence of risk events to records processes and systems is the loss of, or damage to, records
which are therefore no longer useable, reliable, authentic, complete, or unaltered, and therefore can fail
to meet the organization’s purposes.
The Technical Report provides guidance and examples based on the general risk management process
established in ISO 31000 (see Figure 1) to apply to risks related to records processes and systems. It
covers
a) risk identification,
b) risk analysis, and
c) risk evaluation.
The results of the analysis of risk to records processes and systems should be incorporated into the
organization’s general risk management framework. As a result, the organization will have better
control of its records and their quality for business purposes.
Clause 5 provides a comprehensive list of areas of uncertainty related to records processes and systems
as a guide for risk identification.
Clause 6 provides guidance to determining the consequences and probabilities of identified risk events,
taking into account the presence (or not) and the effectiveness of any existing controls.
Clause 7 provides guidance to determining the significance of the level and type of risks identified.
The report does not deal with risk treatment. Once the assessment of risks related to records processes
and systems has been completed, the assessed risks are documented and communicated to the
organization’s risk management section. Response to the assessed risks is undertaken as part of the
organization’s overall risk management program. The priority assigned by the records professional to
the assessed risks is provided to inform the organization’s decisions about managing those risks.
Figure 1 — Risk Management process
NOTE Figure 1 from ISO 31000:2009. Numbering refers to text of ISO 31000.
vi © ISO 2014 – All rights reserved

TECHNICAL REPORT ISO/TR 18128:2014(E)
Information and documentation — Risk assessment for
records processes and systems
1 Scope
This Technical Report intends to assist organizations in assessing risks to records processes and systems
so they can ensure records continue to meet identified business needs as long as required.
The report
a) establishes a method of analysis for identifying risks related to records processes and systems,
b) provides a method of analysing the potential effects of adverse events on records processes and
systems,
c) provides guidelines for conducting an assessment of risks related to records processes and systems,
and
d) provides guidelines for documenting identified and assessed risks in preparation for mitigation.
This Technical Report does not address the general risks to an organization’s operations which can be
mitigated by creating records.
This Technical Report can be used by all organizations regardless of size, nature of their activities,
or complexity of their functions and structure. These factors, and the regulatory regime in which the
organization operates which prescribes the creation and control of its records, are taken into account
when identifying and assessing risk related to records and records systems.
Defining an organization or identifying its boundaries should take into account the complex structures
and partnerships and contractual arrangements for outsourcing services and supply chains which are a
common feature of contemporary government and corporate entities. Identifying the boundaries of the
organization is the initial step in defining the scope of the project of risk assessment related to records.
This Technica
...


TECHNICAL ISO/TR
REPORT 18128
First edition
2014-03-15
Information and documentation —
Risk assessment for records processes
and systems
Information et documentation — Evaluation du risque pour les
processus et systèmes d’enregistrement
Reference number
©
ISO 2014
© ISO 2014
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized otherwise in any form
or by any means, electronic or mechanical, including photocopying, or posting on the internet or an intranet, without prior
written permission. Permission can be requested from either ISO at the address below or ISO’s member body in the country of
the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO 2014 – All rights reserved

Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 2
3.1 Terms specific to risk . 2
3.2 Terms specific to records . 2
4 Risk assessment criteria for the organization . 2
4.1 Assessment of risk . 2
4.2 Risk criteria . 3
4.3 Assignment of priority . 3
5 Risk identification . 3
5.1 General . 3
5.2 Context: External factors . 5
5.3 Context: Internal factors . 6
5.4 Records systems . 8
5.5 Records processes .11
6 Analysing identified risks .12
6.1 General .12
6.2 Likelihood analysis and probability estimation .13
7 Evaluating risks .15
7.1 General .15
7.2 Evaluating impact of adverse events .16
7.3 Evaluating the risk .16
8 Communicating the identified risks .17
Annex A (informative) Example of a documented risk entry in a risk register .19
Annex B (informative) Example: checklists for identifying areas of uncertainty .20
Annex C (informative) Guide to using controls from ISO/IEC 27001, Annex A .27
Bibliography .37
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of
any patent rights identified during the development of the document will be in the Introduction and/or
on the ISO list of patent declarations received (see www.iso.org/patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation on the meaning of ISO specific terms and expressions related to conformity
assessment, as well as information about ISO’s adherence to the WTO principles in the Technical Barriers
to Trade (TBT) see the following URL: Foreword - Supplementary information
The committee responsible for this document is ISO/TC 46, Information and documentation, Subcommittee
SC 11, Archives/records management.
iv © ISO 2014 – All rights reserved

Introduction
All organizations identify and manage the risks to their functioning successfully. Identifying and
managing the risks to records processes and systems is the responsibility of the organization’s records
professional.
This Technical Report is intended to help records professionals and people who have responsibility for
records in their organization to assess the risks related to records processes and systems.
NOTE System means any business application which creates and stores records.
This is distinct from the task of identifying and assessing the organization’s business risks to which
creating and keeping adequate records is one strategic response. The decisions to create or not create
records in response to general business risk are business decisions which should be informed by the
analysis of the organization’s records requirements undertaken by records professionals together with
business managers. The premise of this Technical Report is that the organization has created records
of its business activities to meet operational and other purposes and has established at least minimal
mechanisms for the systematic management and control of the records.
The consequence of risk events to records processes and systems is the loss of, or damage to, records
which are therefore no longer useable, reliable, authentic, complete, or unaltered, and therefore can fail
to meet the organization’s purposes.
The Technical Report provides guidance and examples based on the general risk management process
established in ISO 31000 (see Figure 1) to apply to risks related to records processes and systems. It
covers
a) risk identification,
b) risk analysis, and
c) risk evaluation.
The results of the analysis of risk to records processes and systems should be incorporated into the
organization’s general risk management framework. As a result, the organization will have better
control of its records and their quality for business purposes.
Clause 5 provides a comprehensive list of areas of uncertainty related to records processes and systems
as a guide for risk identification.
Clause 6 provides guidance to determining the consequences and probabilities of identified risk events,
taking into account the presence (or not) and the effectiveness of any existing controls.
Clause 7 provides guidance to determining the significance of the level and type of risks identified.
The report does not deal with risk treatment. Once the assessment of risks related to records processes
and systems has been completed, the assessed risks are documented and communicated to the
organization’s risk management section. Response to the assessed risks is undertaken as part of the
organization’s overall risk management program. The priority assigned by the records professional to
the assessed risks is provided to inform the organization’s decisions about managing those risks.
Figure 1 — Risk Management process
NOTE Figure 1 from ISO 31000:2009. Numbering refers to text of ISO 31000.
vi © ISO 2014 – All rights reserved

TECHNICAL REPORT ISO/TR 18128:2014(E)
Information and documentation — Risk assessment for
records processes and systems
1 Scope
This Technical Report intends to assist organizations in assessing risks to records processes and systems
so they can ensure records continue to meet identified business needs as long as required.
The report
a) establishes a method of analysis for identifying risks related to records processes and systems,
b) provides a method of analysing the potential effects of adverse events on records processes and
systems,
c) provides guidelines for conducting an assessment of risks related to records processes and systems,
and
d) provides guidelines for documenting identified and assessed risks in preparation for mitigation.
This Technical Report does not address the general risks to an organization’s operations which can be
mitigated by creating records.
This Technical Report can be used by all organizations regardless of size, nature of their activities,
or complexity of their functions and structure. These factors, and the regulatory regime in which the
organization operates which prescribes the creation and control of its records, are taken into account
when identifying and assessing risk related to records and records systems.
Defining an organization or identifying its boundaries should take into account the complex structures
and partnerships and contractual arrangements for outsourcing services and supply chains which are a
common feature of contemporary government and corporate entities. Identifying the boundaries of the
organization is the initial step in defining the scope of the project of risk assessment related to records.
This Technical Report does not address directly the mitigation of risks as methods for these will vary
from organization to organization.
The Technical Report can be used by records professionals or people who have responsibility for records
in their organizations and by auditors or managers who have responsibility for risk management
programs in their organizations.
2 Normative references
The following documents, in whole or in part, are normatively referenced in this document and are
indispensable for its application. For dated references, only the edition cited applies. For undated
references, the latest edition of the referenced document (including any amendments) applies.
ISO 30300:2011, Information and documentation — Management systems for records — Fundamentals
and vocabulary
ISO Guide 73:2009, Risk management — Vocabulary
3 Terms and definitions
For the purposes of this document, the terms and defini
...


RAPPORT ISO/TR
TECHNIQUE 18128
Première édition
2014-03-15
Information et documentation —
Evaluation du risque pour
les processus et systèmes
d’enregistrement
Information and documentation — Risk assessment for records
processes and systems
Numéro de référence
©
ISO 2014
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2014
Droits de reproduction réservés. Sauf indication contraire, aucune partie de cette publication ne peut être reproduite ni utilisée
sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie, l’affichage sur
l’internet ou sur un Intranet, sans autorisation écrite préalable. Les demandes d’autorisation peuvent être adressées à l’ISO à
l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Publié en Suisse
ii © ISO 2014 – Tous droits réservés

Sommaire Page
Avant-propos .iv
Introduction .v
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions . 2
3.1 Termes spécifiques au risque . 2
3.2 Termes spécifiques aux documents d’activité . 2
4 Critère d’appréciation du risque de l’organisme . 2
4.1 Appréciation du risque . 2
4.2 Critères de risque. 3
4.3 Attribution des priorités . 3
5 Identification du risque . 4
5.1 Généralités . 4
5.2 Contexte: Facteurs externes. 5
5.3 Contexte: Facteurs internes . 7
5.4 Systèmes documentaires . 9
5.5 Processus documentaires .12
6 Analyse des risques identifiés .14
6.1 Généralités .14
6.2 Analyse de la vraisemblance et estimation des probabilités .14
7 Évaluation du risque .17
7.1 Généralités .17
7.2 Évaluation des conséquences des événements indésirables .18
7.3 Évaluation du risque .19
8 Communication des risques identifiés .21
Annexe A (informative) Exemple d’une entrée de risque documentée dans un registre
des risques .22
Annexe B (informative) Exemple: listes de contrôle visant à identifier les zones d’incertitude .23
Annexe C (informative) Guide d’utilisation des mesures de l’Annexe A de l’ISO/IEC 27001 .31
Bibliographie .43
Avant-propos
L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes
nationaux de normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est
en général confiée aux comités techniques de l’ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l’ISO participent également aux travaux.
L’ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui concerne
la normalisation électrotechnique.
Les procédures utilisées pour l’élaboration du présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/CEI, Partie 1. Il convient, en particulier, de prendre note des différents
critères d’approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/CEI, Partie 2 (voir www.
iso.org/directives).
L’attention est appelée sur le fait que certains des éléments du présent document peuvent faire l’objet de
droits de propriété intellectuelle ou de droits analogues. L’ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant les
références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de l’élaboration
du document sont indiqués dans l’Introduction et/ou sur la liste ISO des déclarations de brevets reçues
(voir www.iso.org/patents).
Les éventuelles appellations commerciales utilisées dans le présent document sont données pour
information à l’attention des utilisateurs et ne constituent pas une approbation ou une recommandation.
Pour une explication de la signification des termes et expressions spécifiques de l’ISO liés à l’évaluation de
la conformité et pour toute information au sujet de l’adhésion de l’ISO aux principes de l’OMC concernant
les obstacles techniques au commerce (OTC), voir le lien suivant: Avant-propos — Informations
supplémentaires Foreword - Supplementary information
Le Comité responsable du présent document est le Comité technique ISO/TC 46, Information et
documentation, Sous-comité SC 11, Archives/Gestion des documents d’activité.
iv © ISO 2014 – Tous droits réservés

Introduction
Tous les organismes identifient et gèrent les risques pouvant avoir une incidence sur leur bon
fonctionnement. L’identification et le management des risques liés aux processus et aux systèmes
documentaires relèvent de la responsabilité du professionnel de la gestion documentaire.
Le présent Rapport technique est destiné à aider les professionnels de la gestion documentaire et les
personnes responsables, au sein de leur organisme, des documents d’activité à apprécier les risques liés
aux processus et aux systèmes documentaires.
NOTE «Système» désigne toute application professionnelle qui crée et stocke des documents d’activité.
Il s’agit d’une activité distincte de la tâche consistant à identifier et apprécier les risques professionnels
de l’organisme, pour lequel la création et la tenue des documents d’activité appropriés constituent
une réponse stratégique. Les décisions relatives à la création ou non des documents d’activité pour
répondre au risque général de l’activité sont des décisions de gestion qu’il convient d’éclairer par
l’analyse des exigences de l’organisme en matière de documents d’activité; cette analyse est assurée par
des professionnels de la gestion documentaire conjointement avec les dirigeants. Le présent Rapport
technique repose sur le principe que l’organisme a créé des documents d’activité concernant ses activités
professionnelles pour répondre à des objectifs opérationnels ou autres, et qu’il a mis en place au moins
les mécanismes minimaux de gestion et de contrôle systématiques de ces documents d’activité.
Pour les processus et les systèmes documentaires, les conséquences des événements porteurs de
risques se traduisent par la perte ou l’altération des documents d’activité qui, par conséquent, ne sont
plus exploitables, fiables, authentiques, complets ou inaltérés et qui, donc, peuvent ne plus répondre aux
objectifs de l’organisme.
Le présent Rapport technique prodigue des conseils et fournit des exemples en se basant sur le processus
général de management du risque défini dans l’ISO 31000 (voir Figure 1) à appliquer aux risques liés aux
processus et aux systèmes documentaires. Il traite de
a) l’identification des risques,
b) l’analyse des risques et
c) l’évaluation des risques.
Il convient d’intégrer au cadre organisationnel général de management du risque de l’organisme les
résultats de l’analyse des risques liés aux processus et aux systèmes documentaires. En procédant ainsi,
l’organisme aura un meilleur contrôle de ses documents d’activité et de leur qualité pour répondre aux
besoins de son activité.
L’Article 5 présente une liste exhaustive des zones d’incertitude liées aux processus et aux systèmes
documentaires, servant de guide d’identification des risques.
L’Article 6 dispense des conseils permettant de déterminer les conséquences et les probabilités des
événements porteurs de risques qui ont été identifiés, en tenant compte de la présence (ou de l’absence)
et de l’efficacité des contrôles existants.
L’Article 7 dispense des conseils permettant de déterminer l’importance du niveau de risque et du type
de risque identifiés.
Le présent rapport n’aborde pas le traitement des risques. Une fois l’appréciation des risques liés aux
processus et aux systèmes documentaires achevée, les risques objets de l’appréciation sont documentés
et communiqués au service chargé du management du risque au sein de l’organisme. La réponse à
apporter aux risques objet de l’appréciation entre dans le cadre du programme global de management
du risque de l’organisme. Le professionnel de la gestion documentaire attribue une priorité aux risques
objet de l’appréciation pour étayer les décisions de l’organisme relatives au management de ces risques.
Figure 1 — Processus de management du risque
NOTE Figure 1 tirée de l’ISO 31000:2009. La numérotation renvoie au texte de l’ISO 31000.
vi © ISO 2014 – Tous droits réservés

RAPPORT TECHNIQUE ISO/TR 18128:2014(F)
Information et documentation — Evaluation du risque
pour les processus et systèmes d’enregistrement
1 Domaine d’application
Le présent Rapport technique a pour objet d’aider les organismes à apprécier les risques liés aux
processus et aux systèmes documentaires de manière qu’ils puissent s’assurer que les documents
d’activité répondent aux besoins de gestion identifiés aussi longtemps que nécessaire.
Ce rapport
a) établit une méthode d’analyse pour l’identification des risques liés aux processus et aux systèmes
documentaires,
b) fournit une méthode d’analyse des effets potentiels des événements indésirables sur les processus
et les systèmes documentaires,
c) fournit des lignes directrices pour mener une appréciation des risques liés aux processus et aux
systèmes documentaires, et
d) fournit des lignes directrices pour la documentation des risques identifiés et appréciés pour
préparer des mesures d’atténuation.
Le présent Rapport technique ne traite pas des risques généraux liés aux opérations d’un organisme
pouvant être atténués par la création de documents d’activité.
Le présent Rapport technique peut être utilisé par tous les organismes, quelles que soient leur taille, la
nature de leurs activités ou la complexité de leurs fonctions et de leur structure. Ces facteurs, ainsi que
le régime réglementaire dans lequel l’organisme évolue et qui prescrit la création et le contrôle de ces
documents d’activité, sont pri
...


RAPPORT ISO/TR
TECHNIQUE 18128
Première édition
2014-03-15
Information et documentation —
Evaluation du risque pour
les processus et systèmes
d’enregistrement
Information and documentation — Risk assessment for records
processes and systems
Numéro de référence
©
ISO 2014
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2014
Droits de reproduction réservés. Sauf indication contraire, aucune partie de cette publication ne peut être reproduite ni utilisée
sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie, l’affichage sur
l’internet ou sur un Intranet, sans autorisation écrite préalable. Les demandes d’autorisation peuvent être adressées à l’ISO à
l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Publié en Suisse
ii © ISO 2014 – Tous droits réservés

Sommaire Page
Avant-propos .iv
Introduction .v
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions . 2
3.1 Termes spécifiques au risque . 2
3.2 Termes spécifiques aux documents d’activité . 2
4 Critère d’appréciation du risque de l’organisme . 2
4.1 Appréciation du risque . 2
4.2 Critères de risque. 3
4.3 Attribution des priorités . 3
5 Identification du risque . 4
5.1 Généralités . 4
5.2 Contexte: Facteurs externes. 5
5.3 Contexte: Facteurs internes . 7
5.4 Systèmes documentaires . 9
5.5 Processus documentaires .12
6 Analyse des risques identifiés .14
6.1 Généralités .14
6.2 Analyse de la vraisemblance et estimation des probabilités .14
7 Évaluation du risque .17
7.1 Généralités .17
7.2 Évaluation des conséquences des événements indésirables .18
7.3 Évaluation du risque .19
8 Communication des risques identifiés .21
Annexe A (informative) Exemple d’une entrée de risque documentée dans un registre
des risques .22
Annexe B (informative) Exemple: listes de contrôle visant à identifier les zones d’incertitude .23
Annexe C (informative) Guide d’utilisation des mesures de l’Annexe A de l’ISO/IEC 27001 .31
Bibliographie .43
Avant-propos
L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes
nationaux de normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est
en général confiée aux comités techniques de l’ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l’ISO participent également aux travaux.
L’ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui concerne
la normalisation électrotechnique.
Les procédures utilisées pour l’élaboration du présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/CEI, Partie 1. Il convient, en particulier, de prendre note des différents
critères d’approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/CEI, Partie 2 (voir www.
iso.org/directives).
L’attention est appelée sur le fait que certains des éléments du présent document peuvent faire l’objet de
droits de propriété intellectuelle ou de droits analogues. L’ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant les
références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de l’élaboration
du document sont indiqués dans l’Introduction et/ou sur la liste ISO des déclarations de brevets reçues
(voir www.iso.org/patents).
Les éventuelles appellations commerciales utilisées dans le présent document sont données pour
information à l’attention des utilisateurs et ne constituent pas une approbation ou une recommandation.
Pour une explication de la signification des termes et expressions spécifiques de l’ISO liés à l’évaluation de
la conformité et pour toute information au sujet de l’adhésion de l’ISO aux principes de l’OMC concernant
les obstacles techniques au commerce (OTC), voir le lien suivant: Avant-propos — Informations
supplémentaires Foreword - Supplementary information
Le Comité responsable du présent document est le Comité technique ISO/TC 46, Information et
documentation, Sous-comité SC 11, Archives/Gestion des documents d’activité.
iv © ISO 2014 – Tous droits réservés

Introduction
Tous les organismes identifient et gèrent les risques pouvant avoir une incidence sur leur bon
fonctionnement. L’identification et le management des risques liés aux processus et aux systèmes
documentaires relèvent de la responsabilité du professionnel de la gestion documentaire.
Le présent Rapport technique est destiné à aider les professionnels de la gestion documentaire et les
personnes responsables, au sein de leur organisme, des documents d’activité à apprécier les risques liés
aux processus et aux systèmes documentaires.
NOTE «Système» désigne toute application professionnelle qui crée et stocke des documents d’activité.
Il s’agit d’une activité distincte de la tâche consistant à identifier et apprécier les risques professionnels
de l’organisme, pour lequel la création et la tenue des documents d’activité appropriés constituent
une réponse stratégique. Les décisions relatives à la création ou non des documents d’activité pour
répondre au risque général de l’activité sont des décisions de gestion qu’il convient d’éclairer par
l’analyse des exigences de l’organisme en matière de documents d’activité; cette analyse est assurée par
des professionnels de la gestion documentaire conjointement avec les dirigeants. Le présent Rapport
technique repose sur le principe que l’organisme a créé des documents d’activité concernant ses activités
professionnelles pour répondre à des objectifs opérationnels ou autres, et qu’il a mis en place au moins
les mécanismes minimaux de gestion et de contrôle systématiques de ces documents d’activité.
Pour les processus et les systèmes documentaires, les conséquences des événements porteurs de
risques se traduisent par la perte ou l’altération des documents d’activité qui, par conséquent, ne sont
plus exploitables, fiables, authentiques, complets ou inaltérés et qui, donc, peuvent ne plus répondre aux
objectifs de l’organisme.
Le présent Rapport technique prodigue des conseils et fournit des exemples en se basant sur le processus
général de management du risque défini dans l’ISO 31000 (voir Figure 1) à appliquer aux risques liés aux
processus et aux systèmes documentaires. Il traite de
a) l’identification des risques,
b) l’analyse des risques et
c) l’évaluation des risques.
Il convient d’intégrer au cadre organisationnel général de management du risque de l’organisme les
résultats de l’analyse des risques liés aux processus et aux systèmes documentaires. En procédant ainsi,
l’organisme aura un meilleur contrôle de ses documents d’activité et de leur qualité pour répondre aux
besoins de son activité.
L’Article 5 présente une liste exhaustive des zones d’incertitude liées aux processus et aux systèmes
documentaires, servant de guide d’identification des risques.
L’Article 6 dispense des conseils permettant de déterminer les conséquences et les probabilités des
événements porteurs de risques qui ont été identifiés, en tenant compte de la présence (ou de l’absence)
et de l’efficacité des contrôles existants.
L’Article 7 dispense des conseils permettant de déterminer l’importance du niveau de risque et du type
de risque identifiés.
Le présent rapport n’aborde pas le traitement des risques. Une fois l’appréciation des risques liés aux
processus et aux systèmes documentaires achevée, les risques objets de l’appréciation sont documentés
et communiqués au service chargé du management du risque au sein de l’organisme. La réponse à
apporter aux risques objet de l’appréciation entre dans le cadre du programme global de management
du risque de l’organisme. Le professionnel de la gestion documentaire attribue une priorité aux risques
objet de l’appréciation pour étayer les décisions de l’organisme relatives au management de ces risques.
Figure 1 — Processus de management du risque
NOTE Figure 1 tirée de l’ISO 31000:2009. La numérotation renvoie au texte de l’ISO 31000.
vi © ISO 2014 – Tous droits réservés

RAPPORT TECHNIQUE ISO/TR 18128:2014(F)
Information et documentation — Evaluation du risque
pour les processus et systèmes d’enregistrement
1 Domaine d’application
Le présent Rapport technique a pour objet d’aider les organismes à apprécier les risques liés aux
processus et aux systèmes documentaires de manière qu’ils puissent s’assurer que les documents
d’activité répondent aux besoins de gestion identifiés aussi longtemps que nécessaire.
Ce rapport
a) établit une méthode d’analyse pour l’identification des risques liés aux processus et aux systèmes
documentaires,
b) fournit une méthode d’analyse des effets potentiels des événements indésirables sur les processus
et les systèmes documentaires,
c) fournit des lignes directrices pour mener une appréciation des risques liés aux processus et aux
systèmes documentaires, et
d) fournit des lignes directrices pour la documentation des risques identifiés et appréciés pour
préparer des mesures d’atténuation.
Le présent Rapport technique ne traite pas des risques généraux liés aux opérations d’un organisme
pouvant être atténués par la création de documents d’activité.
Le présent Rapport technique peut être utilisé par tous les organismes, quelles que soient leur taille, la
nature de leurs activités ou la complexité de leurs fonctions et de leur structure. Ces facteurs, ainsi que
le régime réglementaire dans lequel l’organisme évolue et qui prescrit la création et le contrôle de ces
documents d’activité, sont pri
...

Questions, Comments and Discussion

Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.