Archives de Tag: ISO

XMP… Une norme ISO

image La première fois que je rencontre le standard XMP, c’est en 2001 dans les documents produits en PDF 1.4 par Acrobat 3.0. A l’époque je développe avec mon équipe de très nombreux plug-ins pour Adobe Acrobat et XMP est alors un moyen extrêmement efficace et simple pour la structuration et la capture des métadonnées d’identification des PDF.
Je rencontre à nouveau le standard XMP en 2004 mais cette fois la rencontre est très formelle car il s’agit de faire de PDF une norme pour l’archivage long terme de documents: PDF/A. J’interviens à cette époque au sein du comité de normalisation ISO de ce qui deviendra la norme ISO 19005-1.
Lors de ces travaux de normalisation, au-delà de nombreux commentaires, je critique vivement le standard XMP présenté comme un standard mais essentiellement (pour ne pas dire uniquement) défini par Adobe. Je demande alors au nom de la France, que les spécifications de XMP ne soit pas seulement disponibles sur le site Web d’Adobe. L’association AIIM accepte alors d’accueillir aussi sur son site la spécification de XMP. Ce point que je considère comme une faiblesse de la norme PDF/A est resté longtemps en status-
quo.
openerLogo_en Vous l’avez compris, la situation vient de changer. En effet, XMP est devenue une norme:
ISO 16684-1:2012 – Technologie graphique – Spécification de la plate-forme de métadonnées extensibles (XMP) – Partie 1: Modèle de données, mise en série et paramètres principaux. Par la normalisation de l’eXtensible Metadata Platform, Adobe met à disposition de tous, une technologie de balisage des Documents & Informations numériques qui est déjà très répandue dans le monde grâce au format PDF et dont la particularité est d’être intégrée dans les fichiers documents.
Déjà intégrée dans les fichiers produits par les suite logicielle d’Adobe, on peut penser que le passage du statut de standard à celui de norme permettra à de nombreux acteurs de contribuer à sa diffusion. On note d’ailleurs, que si d’ores et déjà PDF/A est destiné à la conservation long terme des documents, la normalisation de XMP ne fait que renforcer l’obligation du PDF/A pour l’archivage électronique. Cela donne beaucoup de sens à l’utilité de cette norme car XMP est aussi très adapté tout au long du cycle de vie des documents & informations.
Il y a donc fort à parier que les D&IM croiseront plus souvent le XMP à l’avenir. Il leur sera très utile de le connaître mieux pour une plus grande facilité pour la traçabilité des Documents & Informations.

Jean-Pierre BLANGER
Vice-président fi-D&IM
Directeur R&D et des Offres de Services Ricoh

Livre blanc 2 – ISO 30300

image Michel Cottin, Président de la commission de normalisation 11 de la CG 46 – Octobre 2011 nous présente cette seconde version du Livre blanc: “Introduction à la série des normes ISO 30300, Systèmes de gestion des documents d’activité – Intégration du records management et perspectives d’évolution de l’ISO 15489” (cliquez sur l’image).

La nouvelle version du livre blanc met l’accent sur les relations renforcées entre organismes de normalisation et traite des normes de systèmes de gestion des documents d’activité, un cadre pour la gouvernance des documents d’activité:

ISO 30300: Principes et vocabulaire
ISO 30301: Exigences
ISO 30302: Guide de mise en œuvre
ISO 30303: Exigences relatives aux organismes d’audit et de certification
ISO 30304: Guide d’évaluation

Des normes publiées et à venir que les D&IM suivront de prêt à l’évidence.

Jean-Pierre BLANGER
Membre Aproged – Membre CLUSIF – Directeur R&D Ricoh France

L’ebook a 40 ans (1971-2011)

image Un livre étonnant que celui de Marie Lebert: “l’ebook a 40 ans”.
En effet, plus de 160 pages réunissent pas moins de 60 articles qui retracent l’évolution du livre numérique des débuts de l’internet à l’iPad.

Tant sur le plan culturel que technique, les D&IM trouveront avantage à la lecture de cet ouvrage pour mieux comprendre les bonnes pratiques à mettre en œuvre dans leur organisation.

Bonne lecture !

Jean-Pierre BLANGER
Membre Aproged et Clusif
Directeur R&D et des Offres de Services Ricoh

Archivage électronique et ISO 27000

FEDISA Jeudi 26 Mai, l’association FEDISA fait le point sur l’intérêt de l’application des normes ISO 27000 dans le cadre de l’archivage électronique, interne au entreprises ou externalisé chez un tiers de confiance. Elle va même au-delà en affirmant que cette série des normes relative à la sécurité constitue un pré-requis à l’archivage électronique. Sur ce point les D&IM ne peuvent que partager le point de vue de l’a FEDISA et rappeler l’obligation des organisation à s’aligner sur l’état de l’art pour offrir les meilleures garanties.

Après avoir rappelé que les critères d’appréciation sont souvent différents entre les experts techniques et les experts juridiques, quelques normes sont mentionnées et repositionnées:
TRAC – Trustworthy Repositories Audit and Certification (NARA)
ISO 30301 – Information et documentation – Système de management des informations et des documents – Exigences
ETSI TS 101 456 – Policy requirements for certification Authorities issuing qualified certificates
ISO/IEC 27000:2009 Information technology – Security techniques – Information security management systems – Overview and vocabulary
ISO/IEC 27001:2005 Information technology – Security techniques – Information security management systems – Requirements
ISO/IEC 27002:2005 Information technology – Security techniques – Code of practice for information security management
ISO/IEC 27003:2010 Information technology – Security techniques – Information Security Management Systems Implementation Guidelines
ISO/IEC 27004:2009 Information technology – Security techniques – Information Security Measurements and Metrics
ISO/IEC 27005:2011 Information technology – Security techniques – Information security risk management
ISO/IEC 27006:2007 Information technology – Security techniques – Requirements for bodies providing audit and certification of information security management systems

Il est intéressant ensuite de comprendre, sur la base d’explication détaillée sur le processus de certification, comment l’on peut certifier l’application de ces normes en bonne et due forme.

Mais le plus intéressant reste à venir…

image La FEDISA publie un exemple d’analyse de certification d’un tiers de confiance imaginaire: ARP et met en évidence le besoin d’aller au-delà des normes pour garantir les archives électroniques selon les critères de: Disponibilité, Intégrité, Confidentialité et Traçabilité. C’est ainsi que l’a FEDISA définit un sur-ensemble des normes 27002 et 27005 pour traiter plus précisément de l’archivage électronique et propose une méthodologie d’appréciation du risque extrêmement pertinente.

Alors que nombreux sont ceux qui parlent d’archivage électronique à force probante en oubliant souvent de décrire comment la conservation est réalisée et protégée… l’approche relatée dans ces  quelques lignes est la bienvenue.
Il est aussi très clair que les travaux menés et restitués avec une telle qualité ne peuvent et ne doivent pas être ignorés par les D&IM (ni par les Documestre) qui vont dorénavant s’appliquer à faire prendre en compte la certification ISMS (Information Security Management System) au sein de leur organisation, sans omettre un petit passage par l’extension ‘ARP’ de la FEDISA.

Jean-Pierre BLANGER
Membre Aproged et Clusif
Directeur R&D Ricoh

Enfin… Une norme de gouvernance !

La série de normes ISO 30300, accompagne la norme ISO 15489 : Records management et crée trois obligations:
– L’obligation d’analyse et de modélisation par les processus du système Documents & Informations (D&I) pour entrer dans le futur de l’amélioration continue;
– L’obligation de vérifier la cohérence du système D&I avec les systèmes normalisés de l’organisation: ISO9000, ISO 27000, ISO 140000,…
– L’obligation enfin de s’assurer de la parfaite conduite du système par un audit externe qui peut être un audit certificateur.

Les normes de la série ISO 30300 sont les suivantes:
ISO 30300 Information et document – Système de management des documents d’activité – Principes essentiels et vocabulaire
ISO 30301 Information et document – Système de management des documents d’activité – Exigences
ISO 30302 Information et document – Système de management des documents d’activité – Guide de mise en œuvre
ISO 30303 Information et document – Système de management des documents d’activité – Exigences pour les organismes d’audit et de certification
ISO 30304 Information et document – Système de management des documents d’activité – Guide pour l’évaluation

Voilà qui enthousiasme à juste titre les nombreux D&IM qui lisent les textes du présent site car disposer enfin d’un langage commun et de pratiques communes est tant attendu par chacun.

Evidemment présenté ainsi, dès demain matin j’en connais qui vont se mettre en ordre de marche avec l’achat des normes auprès de l’ISO et s’empresser de les appliquer. Il faudra pourtant gérer vos ardeurs car la série de normes est en cours de rédaction et d’approbation. Mais la frustration, ne sera pas si grande car d’ores et déjà les textes des 30300 (Fondamentaux et Vocabulaire) et 30301 (Exigences) sont disponibles. Le travail de normalisation de la gouvernance documentaire peut donc commencer dans votre organisation.

Afnor7D’autres saines lectures vous attendent… Elles sont, au-delà de l’explication du contexte d’application des normes de la série 30300, mentionnées dans l’excellent livre blanc d’initiative française: “Introduction à la série de normes ISO 30300, Système de management des documents d’activité – Intégration du records management et perspectives d’évolution de l’ISO 15489 – CN11 – Mars 2011” (accès ici).

D&IM92 Vous, qui êtes D&IM ou le deviendrez !
Vous, qui êtes membre du comité de direction !
Vous qui êtes directeur de la qualité  totale !
Vous qui savez que Documents & Informations sont clés dans l’agilité de votre organisation et ne savez comment maîtriser le système documentaire !
Lisez le livre blanc, appliquer les normes… jusqu’à la certification de votre gouvernance documentaire en 2015… Mais 2015, c’est déjà dans 4 ans et c’est juste le temps qu’il faut pour une politique documentaire active et maîtrisée. Alors… Allez y ! Et faites nous part dans ces lignes votre retour d’expérience.

Jean-Pierre BLANGER
Membre Aproged et Clusif
Directeur R&D Ricoh

Cloud, nuage ou mirage, qu’en est-il pour la gestion de contenu ?

Matinée FEDISA et présentation EMC² du 14/12/2010

Fedisa_ Après une présentation de synthèse de la FEDISA, la présentation EMC² fait partie des nombreuses présentations d’endoctrinement au « cloud computing » qui ont cours aujourd’hui, à l’adresse des responsables informatiques.

image Pour EMC², les besoins exprimés par les DSI dans le « cloud computing » se situent au niveau du SAE et des applications de travail collaboratif.

Le « cloud computing » est une réelle possibilité technique. Elle est présentée par EMC² comme une solution facile et rapide à mettre en œuvre mais les problèmes, réels eux aussi, sont passés sous silence ou minimisés:
–    Contrôle des accès,
–    Confidentialité (séparation des espaces),
–    Intégrité des contenus,
–    Fiabilité du stockage.
image Autant de points objets de la proposition de Work Item de l’ISO :  ISO/IEC JTC 1/SC 27 N9444 – New Work Item Proposal on Storage Security.

La présentation était très ambitieuse  et l’affirmation forte: avec le « cloud computing » il est possible quasiment de tout faire. Mais EMC² reste très léger sur des points précis: par exemple sur l’archivage, avec l’affirmation de la mise en œuvre du cryptage pour l’archivage alors que rien de tel n’est recommandé sur le long terme. Une question sur la fiabilité des moyens de stockage est aussi restée sans réponse.

On peut se demander pourquoi les éditeurs et les fournisseurs américains insistent aussi lourdement pour que les entreprises déposent dans leurs serveurs tout leur patrimoine intellectuel : archives et espaces collaboratifs, sachant que sans doute, la NSA impose aux éditeurs américains la présence de « back doors » dans leurs logiciels.

A chacun de juger…

Gérard GODART
Consultant
CONCEPT DOC