국가기록원표준시리즈 1 기록관리 국제표준자료집 행정자치부국가기록원
기록관리표준자료집을발간하며 우리나라기록관리를책임지고있는국가기록원에서표준정책과사업이중요 한과제로등장한것은그리오래된일이아닙니다. 그렇지만기록관리의선진 국에서는중장기계획과정책에입각하여표준화사업을꾸준히추진해오고있 으며, 그성과를공개, 공유하고있습니다. 특히디지털환경이일반화하면서, 기록관리를위한메타데이터표준, 시스템의 호환표준등이시급해지고있습니다. 또한보존용품등의표준도필요하고, 무엇보다도기록관리의원칙에맞는업무의표준이가장중요할것입니다. 이런 문제의식에서국가기록원에서는올해처음으로 표준설계팀 을신설하여표준화 정책과업무를총괄하도록했습니다. 최근몇년간, 기록관리기관이급속히늘어가기시작했고, 앞으로는더욱늘어 날전망입니다. 지금까지종교계나학교등에서기록관리기관을설치하였고, 공 공기관에서는중간단계의기록관리기관이라고할수있는 자료관이 설치되었 지만, 앞으로는공공부문에서도전문기록관리기관의설치가활성화될것입니다. 이런현실에서그간의기록관리경험을최대한수렴하여가장합리적이고모범 이되는사례와기준을제시하고, 그모범을민관의다양한기관에서채택한다 면시행착오는훨씬줄어들것입니다. 국가기록원에서는앞으로도표준제정과연계하여관련자료집을계속발간할계획입니다. 이런노력이우리나라기록관리수준을높이는데일조하길기대합니다. 행정자치부국가기록원원장 박찬우
일러두기 이번자료집의주제는 기록관리국제표준이다. 국제표준기구(ISO) 에서 2001년 제정한 기록관리국제표준은 통상 ISO 15489 로우리에게알려져있다. ISO 15489는호주의기록관리표준이었던 AS 4390 을기초로했으며, 1부는일반 사항, 2 부는지침으로구성되어있다. ISO/TC46/SC11, 즉국제표준기구/ 정보 및기록기술위원회/ 기록위원회가이표준의제정을담당했다. 그리고 2004년 에기록관리메타데이터표준인 ISO 23081 이제정되었다. 표준이란, 기록관리업무의목적을달성하기위해가장적합한성과의산출을 목표로각주체들이합의, 인정한합리적기준이며, 법률의요건을충족시키기 위해수행되는모범이되는실무(Best Practice) 나지침(Guideline) 및최소한 갖추어야할설비환경의 / 기준을말한다. 즉, 좁은의미로는기술표준(Technical Standard, Standard) 이여기에해당되며, 넓은의미로는, 업무편람(Manual), 지 침, 규정등이포함된다. 기록관리표준화정책을추진하는이유는다음세가지로요약될수있다. 첫째, 표준화는전문성을높인다. 정확한방법과절차에따라업무를수행함으 로써자연스럽게그업무에대한숙련도가높아지는것이다. 둘째, 표준화는쉬운길을일러준다. 기록관리업무를하는담당자나기록을이용 하는국민에게쉽게소기의목적을달성할수있는방법을가리켜준다. 셋째, 표준화는효율성을높인다. 복잡한프로세스를간결하게합리화함으로써 비용과노력을줄여준다. 이국제표준은공공기관뿐이아니라, 민간의기록관리에필요한사항도제시하 고있다. 그리고전자기록이주류를이루는환경을고려하여제정되었다. 또한
이표준은일선기관등에서현재사용되고있거나업무참고용등으로해당기관에서보관하고있는현용( 준현용) 기록의관리를대상으로하고있다. 따라서기록관리전문기관의영구보존기록(Archives) 은직접적인고려대상이아니다. 그러나기록관리의연속성을생각한다면, 영구보존기록의관리에도이표준을반드시고려해야함은자명하다. ISO 15489 는기록관리를위한매우일반적인기준을제시하고있다. 그래서 보는이에따라, 너무일반적이어서적용하기어렵다는의견을가질수도 있 다. 그러나우리는 일반적이지만정확한 표준이라고생각한다. 다시말하면, 이표준에서제시하고있는원칙, 사항등을지키기만한다면, 아주훌륭한기 록관리체계를갖출수있다는것이다. 본문은다음과같은자료로구성되어있다. 괄호안은역자이다. 1 부 ISO 15489-1 ( 설문원, 이소연역) (Information and documentation -Records Management Part1: General) 2 부 ISO/TR 15489-2 Information and documentation - Records Management Part2: Guidelines ( 설문원, 이소연역)
제 Ⅰ 부 기록관리표준 ISO 15489:2001 Information and documentation -Records management
ISO15489-1:2001(E) 정보와도큐멘테이션 : 기록관리 Part 1: 일반사항
목차 서문 11 서론 12 1. 범위 13 2. 준거표준 14 3. 용어와정의 14 4. 기록관리의이점 17 5. 규제환경 19 6. 정책과책임 19 6.1 일반사항 19 6.2 정책 20 6.3 책임 20 7. 기록관리의요건 21 7.1 기록관리프로그램의원칙 21 7.2 기록의특성 22 7.2.1 일반사항 22 7.2.2 진본성 23 7.2.3 신뢰성 24 7.2.4 무결성 24 7.2.5 가용성 24 8. 기록관리시스템의설계와실행 25 8.1 일반사항 25 8.2 기록관리시스템의특성 26 8.2.1 서론 26 8.2.2 신뢰성 26 8.2.3 무결성 27 8.2.4 준수(compliance) 27 8.2.5 포괄성 27 8.2.6 체계성 27
8.3 기록관리시스템의설계와실행 28 8.3.1 일반사항 28 8.3.2 기록처리의문서화 28 8.3.3 물리적저장매체와보호 28 8.3.4 분산관리 28 8.3.5 변환과마이그레이션 29 8.3.6 접근, 검색, 이용 29 8.3.7 보유와처분 29 8.4 설계와실행방법론 29 8.5 기록관리시스템의중단 31 9. 기록관리과정과통제 31 9.1 기록관리시스템으로획득할문서결정 31 9.2 기록보유기간결정 32 9.3 기록획득 34 9.4 등록 35 9.5 분류 36 9.5.1 업무활동분류 36 9.5.2 업무분류체계 36 9.5.3 어휘통제 36 9.5.4 색인작성 37 9.5.5 번호와코드부여 37 9.6 저장과처리 37 9.7 접근 38 9.8 추적 39 9.8.1 일반사항 39 9.8.2 행위추적 40 9.8.3 위치추적 40 9.9 처분실행 40 9.10 기록관리과정문서화 41 10. 모니터링과감사 42 11. 교육 43
서문 국제표준기구(the International Organization for Standardization :ISO) 는국가적인 표준기구의세계적연합이다. 국제표준을준비하는일은통상적으로 ISO 기술위원회 (technical committees) 를통해이루어진다. 기술위원회가제기한주제에관심이있 는회원기구는해당위원회에서의견을개진할권리를갖는다.ISO 와연관된정부/ 비 정부적국제조직들도업무의일부를담당한다.ISO는모든전자기술표준문제에대 해국제전자기술위원회(International Electrotechnical Commission: IEC) 와긴밀히 협력한다. 국제표준은 ISO/IEC 지침의 Part 3 에규정된규칙에따라서초안이마련된다. 기술위원회의주요직무는국제표준을준비하기위한것이다. 기술위원회가채택한 국제표준초안은회원기구에배포하여투표를하게된다. 국제표준으로출판되려면 투표에참여한회원기구중최소 75% 가찬성해야한다. ISO 15489의이부분의포함된요소의일부는특허권의대상이될수있다는가능성에유의해야한다.ISO 는이러한특허권에일부나전부를확인할책임을지지않는다. ISO 15489-1 은기술위원회인 ISO/TC 46, 정보와도큐멘테이션기술위원회 의분 과위원회인 SC 11, 문서기록관리 / 가준비하였다. ISO 15489 는 정보와도큐멘테이션 - 기록관리 라는일반제목하에다음의부분으 로구성되어있다. Part 1: 일반사항[General] Part 2: 지침[Guidelines] [ 기술보고서] 9
서론 기록관리정책과절차의표준화는모든기록에적합한주의와관심을가질수있도록 해주고, 표준적실행과절차를이용하여기록에담긴증거와정보가더능률적이고효 과적으로검색될수있도록해준다. ISO 15489의 Part 1은 ISO 참여회원국들이호주표준 AS4390을이용하여기록관리 에있어서모범적실무를국제적으로표준화하자는데에합의함에따라개발되었다. 이국제표준은 Technical Report(ISO/TR 15489-2) 와함께사용할것을권고한다. ISO/TR 15489-2 는이국제표준의결과물을얻기위해실행할수있는선택사항들을 제시주고, 더자세한설명을해준다. 여기에는서지도포함되어있다.
정보와도큐멘테이션 : 기록관리 -Part 1일반사항 1. 범위 ISO 15489 Part 1 은기관내외의이용자들을위해공공부문이나민간부문생산조직 의기록을관리 1) 하기위한지침을제공한다. ISO 15489 Part 1 에서개괄하고있는모든요소들은적합한기록을생산, 획득, 관리 하기위한것이다. ISO 15489 Part 1에서간략히설명한원칙과요소에따라기록을 관리할수있도록도와줄절차는 ISO/TR 15489-2( 지침) 에서제공한다. ISO 15489 Part1 은 기록을생산하고보유할의무를가진개인이나현재활동중인공공조직혹은민간 조직이생산하거나접수한모든형태나매체의기록관리에적용한다. 기록과기록정책, 절차, 시스템과처리과정에대한조직의책임을정하기위한지침 을제공한다. ISO 9001과 ISO 14001을준수하는양질의처리과정을지원하는기록관리지침을 제공한다. 기록관리시스템의설계와실행을소개한다. 그러나영구기록관리기관에서의영구기록관리에대한내용은포함하지않는다. ISO 15489 Part 1 은다음과같은사람들이이용하도록하기위한것이다. 조직의경영자 기록, 정보, 기술관리전문가 조직내기타모든직원 1) 기록관리(records management) 를영구기록관리(archives management) 에도적용하는나라들도있다. 그러나 ISO 15489 Part 1 에서는영구기록관리를다루지않는다. 11
기록을생산하고유지할의무를가진모든개인 2 준거표준 다음표준문서들은원문내참조를통해 ISO 15489 Part 1의규정을이루는규정들을 포함하고있다. 지난자료의참조를위해이출판물들의이후수정판이나개정판을적 용하지않는다. 그러나 ISO 15489 Part 1에기초한협약에따르는개인이나기구는 아래에제시된표준문서의가장최신판의적용가능성을조사할것을권한다. 최신자 료의참조를위해서는표준문서의최종판을적용한다.ISO와 IEC의회원은현재유효 한국제표준등록부를유지한다. ISO 5127, 2), 정보와도큐멘테이션 어휘 ISO 9001, 품질경영시스템 요구사항 ISO 14001, 환경경영시스템 이용지침을포함한설명서 3 용어와정의 ISO 15489 Part 1 의목적을위하여용어와정의를다음과같이적용한다. 여기에포 함되지않은용어는 ISO 5127 을참고하라. 3.1 접근[access] 정보를탐색하고, 활용하거나검색하는권리와기회, 수단 3.2 설명책임[accountability] 개인, 조직그리고커뮤니티가그들의활동에대해책임을지고다른이들에게이를 설명해야한다는원칙 2) 출판예정.( 이전 ISO 5127 전체에대한개정판)
3.3 행위추적[action tracking] 업무수행자들에게행위에대한시간제약을부과하고이를모니터링하는과정 3.4 영구기록관리책임기관[archival authority] 영구기록관리기구 [archival agency] 영구기록관리기관 [archival institution] 영구기록관리프로그램 [archival programme] 영구기록을선별수집보존하고 이를이용할수있도록하고, 그외의기록폐기를승 인하는책임을지는기관이나프로그램 3.5 분류[classification] 논리적으로구조화된체제와방법에따라, 분류체계에제시된절차규칙에따라업무 활동이나기록을체계적으로확인하고이를각범주에배치하는것 3.6 분류체계[classification system] 분류(3.5) 를보라. 3.7 변환[conversion] 하나의매체에서다른매체로, 또는하나의포맷에서다른포맷으로기록을바꾸는처 리과정. 마이그레이션(3.15) 을보라. 3.8 파기[destruction] 복구가더이상불가능하도록기록을제거하거나삭제하는처리과정 13
3.9 처분[disposition] 기록의유지나파기, 이관과관련하여처분지침이나기타도구에문서화되어있는결 정을이행하는일련의과정 3.10 문서[document], 명사 하나의단위로취급할수있는기록정보나객체 3.11 색인작업[indexing] 기록이나정보를쉽게검색할수있도록접근점을정하는과정 3.12 메타데이터[metadata] 기록의맥락과내용, 구조와일정기간에걸친기록관리를기술한데이터 3.13 마이그레이션[migration] 기록의진본성, 무결성, 신뢰성, 가용성을유지하면서한시스템에서다른시스템으로 기록을이동하는행위 3.14 보존[preservation] 진본기록이오랫동안기술적이고지적으로살아남을수있도록보장하는과정과처리 업무 3.15 기록[records] 기관이나개인이법적의무의수행이나업무의처리행위속에서증거와정보로서생산 하고접수하며유지하는정보
3.16 기록관리[records management] 기록의생산인수유지사용처분을 능률적이고체계적으로통제하는역할을담당하는 관리영역으로서, 업무활동과처리행위에관한증거와정보를기록형태로획득유지 하는과정을포함 3.17 기록관리시스템[records system] 장기적으로기록을획득하고관리하며접근을제공하는정보시스템 3.18 등록[registration] 하나의시스템에기록을기입할때고유한식별기호를부여하는행위 3.19 추적[tracking] 기록의이동과이용에관한정보를생산획득유지하는 것 3.20 이관[transfer] 보관(custody) 기록의보관과소유권, 관리책임의변화 3.21 이관[transfer] 이동(movement) 한장소에서다른곳으로기록을이동시키는것 4 기록관리의이점 기록관리는기록관리자및업무활동중에기록을생산하거나사용하는모든사람들의 실무를관장한다. 조직에서의기록관리는다음을포함한다. 15
a) 정책과표준정립 b) 책임과권한의부여 c) 절차와지침의수립과공표 d) 기록의관리및이용과관련된일련의서비스제공 e) 기록관리를위해전문화된시스템을설계실행관리 f) 기록관리를업무시스템과하나의과정으로통합 기록은가치있는자원이고중요한업무자산인정보를포함하고있다. 조직과사회가 업무활동의증거로서기록을보호하고보존하기위해서는기록관리에대한체계적인 접근이핵심적이다. 기록관리시스템은현재및미래의이해당사자들에대한설명책 임성을분명히해줄뿐아니라, 후일의활동과업무결정을도울수있도록업무활동 에대한정보원을만들어준다. 기록은조직이다음과같은것을할수있도록해준다. 질서있고효율적이며신뢰할수있는방법으로업무를수행 일관되고공평하게서비스를제공 정책수립과관리상의의사결정을지원하고문서화 관리와운영에있어일관성, 연속성, 생산성제공 조직전반에걸쳐효과적인업무수행을촉진 재난발생시업무연속성제공 영구기록관리, 감사, 업무감독을포함하는법규요건충족 조직활동증거가있거나부족할경우와관련된위기관리등소송시보호와지원을 제공 고용인, 고객, 현재및미래의이해당사자들의권리와조직의이익을보호 과거에대한정보뿐아니라현재와미래의연구와개발활동, 개발성과를지원하고 이를기록화 업무적개인적문화적활동의증거제공 업무적개인적문화적 정체성확립
단체, 개인, 혹은집단의기록을유지 5 규제환경 모든조직은그들의활동에영향을미치는규제환경과그들의활동을문서화하는데 에필요한것을파악할필요가있다. 업무처리에규제환경을적용하여이를조직의 정책과절차에반영해야만한다. 조직은기록관리활동이규제환경을따랐다는적합 한증거를제공해야한다. 규제환경은다음과같은것으로구성된다. a) 특히기록, 영구기록, 접근, 프라이버시, 증거, 전자상거래, 데이터보호, 정보등 b) 과 관련된법규를포함하여, 특정부문과일반적인업무환경을관장하는법령, 판례, 규정 의무적실무표준 c) 모범실무에대한자발적규약 d) 행동과윤리에대한자발적규약 e) 특정부문이나조직에있어서무엇이수용가능한행동인가에대한사회공동체의 기대치 조직의성격과그조직이속해있는부문의성격에따라, 이러한규제요소중무엇이 ( 개개로혹은혼합되어) 그조직의기록관리요건에가장잘적용될수있을지가결정 된다. 6 6.1 정책과책임 일반사항 ISO 15489의 Part 1 을따르고자하는조직은그조직의활동에관한증거, 설명책임, 17
정보에대한업무요구를충족시킬수있도록기록관리를위한정책과절차, 실무를정 하고문서화하며유지하고공표해야한다. 6.2 정책 조직은기록관리에관한정책을규정하고문서화해야한다. 정책의목표는필요한기 간동안업무의기능과활동을지원할수있는, 신뢰성있고이용할수있는진본기록 을생산하고관리하는것이어야한다. 조직은조직내의모든수준에서정책이소통되 고이행되도록해야한다. 최상위의사결정단계에서정책을채택하고보증하며조직전체에배포해야만한다. 준수해야할책임을반드시부과해야한다. 업무활동에대한분석을통해정책을도출해야한다. 업무활동과연관된기록을생산 할때법령과규제, 기타표준및모범실무를최대한적용할수있는영역이정책에 규정되어야한다. 그렇게하는데있어, 조직은그들조직의환경과경제적인고려를감 안해야한다. 정책이현행업무의요구를반영하도록정기적으로검토해야한다. 6.3 책임 기록관리책임과권한을규정하고부여하며조직전체에공표해야한다. 그럼으로써 기록을생산하고획득할필요가있을때필요한행동에누가책임을질지가분명하도 록해야한다. 기록관리자, 관련정보전문가, 상층경영진, 중간관리자, 시스템관리 자, 그리고업무의일부로기록을생산하는사람들등조직의모든직원에게이러한 책임이부여되어야하고, 업무분장및이와유사한문서에반영되어야한다. 조직내에 적절한권한을가진사람에게기록관리를위한구체적인지도책임과설명책임을부여 해야한다. 책임자가법으로정해지기도한다.
이러한책임에는다음과같은사항이포함되어야한다. a) 기록관리전문가들은기록관리시스템의설계, 실행, 유지보수와시스템운영에 책임을진다. 그리고시스템은개별적인실무에영향을미치므로기록관리전문 가들은기록관리와기록관리시스템운영에관한이용자교육을포함하여기록관 리의모든측면에책임을진다. b) 상부경영진은기록관리정책이조직전체에적용되도록지원할책임이있다. c) 시스템관리자는정확한문서화(documentation) 를통해, 필요할때모든사람들 이이용할수있으며, 읽고이해하기쉽도록준비할책임이있다. d) 모든직원들은자신들의활동에대해정확하고완벽하게기록을유지할책임이 있다. 영구기록관리책임기관이기록관리정책과절차를계획하고실행하는과정에참여할 수도있다. 7 7.1 기록관리의요건 기록관리프로그램의원칙 기록은업무활동(business activities) 을수행하는중에생산되고접수되고사용된것 이다 3). 업무의계속적인운영을지원하기위해, 규제환경의요구에따르기위해, 필요 한설명책임을완수하기위해조직은필요한기간동안진실되고믿을만하며이용 가능한기록을생산하고유지해야하며, 그들기록의무결성을보호해야한다. 이를위 해서조직은다음을포함하는광범위한기록관리프로그램을만들어서이행해야한다. a) 각각의업무처리과정에서어떤기록이생산되어야하는지와어떤정보가기록 3) ISO 15489 Part 1 에서업무활동은넓은의미로사용되었으며, 상업적활동에국한 되지않고공공행정, 비영리활동및기타의활동을포함한다. 19
에포함되어야하는지를결정 b) 어떤형태와구조의기록이생산되고획득되어야하는지, 그리고어떤기술이사 용되어야할것인지를결정 c) 기록이생산처리되는 과정에서어떤메타데이터가함께생산되어야하는지, 그리 고그메타데이터가어떻게끊임없이연계되고관리될것인지를결정 d) 검색을위한요건, 그리고업무처리와다른이용자간에기록을사용하고전송하 e) 기위한요건을결정하고, 그러한요건을만족시키기위해기록을얼마나오랫동 안보유해야하는지를결정 이용을위한요건을지원하기위해기록을어떻게조직할것인가를결정 f) 활동에관한권위있는기록의입수에실패했을때발생할수있는위험평가 g) 업무요구와공동체의기대치를충족시키기위해기록을보존하고이후로도이에 접근할수있도록하는것 h) 법규상의요건, 적용가능한표준, 조직의정책을준수하도록함 i) 안전하고보안이유지된환경에서기록을유지관리하도록 함 j) 필요하거나요구되는동안만기록을보유하도록함 k) 기록생산이나관리를향상시킬수있도록과정, 결정, 행동의효과나효율성, 품 질개선을위한기회를확인하고평가 기록의생산과기록에관한규칙과기록에관한메타데이터는활동의증거를필요로 하는, 모든업무처리를관장하는절차속으로통합되어야한다. 업무의연속성계획과비상조치를통해조직이연속적으로기능하는데필수적인기록 을위기분석의일부로확인하고보호하며, 필요할때복구할수있도록해야한다. 7.2 기록의특성 7.2.1 일반사항 기록은어떤의사소통이이루어지거나결정되었는지혹은무슨행동이취해졌는지를
정확하게반영해야한다. 또한기록은관련업무요구를지원할수있어야하고설명 책임의목적으로사용할수있어야한다. 기록은내용뿐아니라다음과같이처리행위를문서화하는데필요한메타데이터를포 함하거나메타데이터와지속적으로연계되어야한다. a) 기록의구조, 기록형식과그기록을구성하는요소들사이의관계가원래대로 남아있어야한다. b) 기록이생산되고접수되고활용되는업무맥락이기록에명백히드러나야한다 ( 해당처리가일부분을이루는업무과정, 처리행위의일시, 그리고처리행위에 참여한사람들을포함 ). c) 개별적으로유지되지만하나의기록을구성하기위해서결합되어야하는문서들 이상호연계되어있어야한다. 기록관리정책과절차, 실무는 7.2.2에서 7.2.5 까지에서제시된특성들을가지고있는, 공신력있는기록을목표로해야한다. 7.2.2 진본성 진본기록은다음과같은사항이확인된것이다. a) 기록이의도하는바대로존재하는지 b) 그것을생산했거나보낸것으로되어있는바로그사람이생산했거나보냈는지 c) 명시된시간에생산되었거나보내졌는지 기록의진본성을보증하기위해조직은기록의생산, 수령, 전달, 유지와처분을통제 하는정책과절차를실행하고문서화해야한다. 이는기록의생산자가권한을갖게하 고생산자를밝히며, 기록이부적절한권한에의해추가, 삭제, 변경, 사용, 은폐되는 21
것을방지하기위함이다. 7.2.3 신뢰성 신뢰성있는기록은그내용이업무나활동, 사실등의완전하고정확한표현물로서 믿을만하고, 그내용을이후의업무혹은활동의과정에서증명하고이에의존할수 있는것이다. 기록은사실에대한직접적인지식을가진개인에의해서, 혹은업무처리 를위해일상적으로활용하는도구에의해서, 처리행위나관련된사건이일어난시점 이나혹은바로뒤에생산되어야한다. 7.2.4 무결성 기록의무결성은기록이완벽하고변경되지않은상태로있는것을말한다. 기록은인가받지않은변경으로부터보호되어야한다. 기록관리정책과절차에서는 기록이생산된후에무엇을추가하거나주석을달수있는지, 어떤조건에서추가나 주해가인가될수있는지, 누가이런권한을가지는가를구체적으로정해야한다. 기록 에대한어떠한인가받은주해, 추가혹은삭제도분명하게명시되어야하고, 그처리 과정을추적할수있어야만한다. 7.2.5 가용성 이용가능한기록이란위치를찾을수있고, 검색할수있고, 제시할수있고, 해석할 수있는것이다. 기록은그것을생산한업무활동이나처리행위와직접관련된바대로 계속제시될수있어야한다. 기록생산맥락정보(contextual linkages) 에는기록을생 산하고사용한행위를이해하는데필요한정보가담겨야한다. 이보다넓은업무활동 및기능의맥락속에서도기록을확인할수있어야한다. 일련의활동을문서화한기록 들은서로연계되어야한다.
8 기록관리시스템의설계와실행 8.1 일반사항 기록관리전략은조직의운영상필요에부합하고규제환경에맞게정책, 절차, 실무를 개발하고적용하며, 시스템을설계하고실행하는것에기반을둔다. 조직의전략에기반한업무활동의문서화를위해서는어떠한기록이필요한지, 기록 관리시스템내어디서, 언제, 어떻게기록을획득해야하는지를정해야한다. 규정을준수한기록관리시스템을위한전략실행은다음사항을포함한다. a) 기록관리시스템설계 b) 기록관리시스템의문서화 c) 기록실무자및다른인력의교육 d) 기록을새로운기록관리시스템, 형태, 제어시스템으로변환 e) 표준을설정하고그표준에따라준수정도와표준에따른업무수행을측정 f) 규제환경에부합하면서계속적인가치를갖는기록에대한의사결정과보유기간 결정 기록관리전략은정보관리전략계획(Information Management Strategic Plan) 과같 은전략계획내에문서화되어야하며, 이전략계획은조직전체의문서화계획에통합 되어야만한다. 일상적으로이루어지는업무활동과정에서적합한기록을생산 획득할수있도록정 보시스템과업무관리소프트웨어, 커뮤니케이션시스템, 그리고이러한것들이지원하 는업무과정을설계하고수정하거나재설계해야한다. 23
8.2 기록관리시스템의특성 8.2.1 서론 기록관리시스템은 7.2 에서열거한특성을가진기록을지원하여야한다. 그시스템은 8.2.2에서 8.2.6 에설명한특성을가지고있어야한다. 8.2.2 신뢰성 기록관리를위해마련된모든시스템은책임있는절차에따라지속적이고정규적으로 운용될수있어야한다. 기록관리시스템은다음과같은역할을수행해야한다. a) 시스템이포괄하는업무활동영역내의모든기록을일상적으로획득 b) 기록생산자의업무처리를반영할수있는방법으로기록을조직 c) 인증받지않은변경혹은처분으로부터기록을보호 d) 기록으로문서화하는행위에관한일차적정보원으로서의역할을일상적으로수행 e) 관련있는모든기록과관련메타데이터에즉각적접근을제공 시스템의신뢰성은시스템운영에관한기록을생산하고유지함으로써문서화되어야 한다. 이러한기록은시스템이위에서열거한원칙들을충족한다는점을증명할수있 어야한다. 기록관리시스템은업무요구의변화에부응해야하나, 시스템에서의어떠한변화도시 스템안의기록성격에영향을미쳐서는안된다. 마찬가지로기록이한기록관리시스 템에서다른시스템으로이관될때도기록의특성에나쁜영향을미치지않도록이관 되어야한다.
8.2.3 무결성 기록에대한인증받지않은접근, 파기, 변경혹은삭제를막기위해접근감시, 이용 자확인, 파기허가, 안전보호등의통제조치가이루어져야한다. 이러한통제장치는 기록관리시스템내에혹은특정시스템의외부에있을수있다. 조직은전자기록에대 해서는시스템의어떠한오작동, 업그레이드나정기적인유지보수가기록의무결성에 영향을미치지않는다는것을증명해야할수도있다. 8.2.4 준수(compliance) 기록관리시스템은현행업무, 규제환경, 그리고조직이속한공동체의기대치에서비 롯되는모두요구사항을준수하도록관리되어야한다. 기록을생산하는직원들은이러 한요구사항들이그들이수행하는업무활동에어떻게영향을미치는지를이해해야한 다. 기록관리시스템이이러한요구사항을준수했는지의여부를정기적으로평가해야 하고, 평가에대한기록을증거자료로유지해야한다. 8.2.5 포괄성 기록관리시스템은시스템이운용되는조직이나부서의모든업무활동범주에서발생 하는기록을관리해야한다. 8.2.6 체계성 기록은체계적으로생산유지관리되어야 한다. 기록의생산과유지실무는기록관리시스템과업무시스템양자모두의설계와운용을통해체계화되어야한다. 기록관리시스템은명확하게문서화된정책, 부여된책임, 그리고이를관리하기위한 공식적인방법론을가지고있어야한다. 25
8.3 기록관리시스템의설계와실행 8.3.1 일반사항 기록관리시스템은 능을가지고있어야한다. 9조에서설명한기록관리절차를수행하고지원할수있게하는기 기록관리시스템의설계와실행, 그리고시스템이지원하는절차에관한결정은기존 조직시스템과관련하여고려될필요가있다. 8.3.2 기록처리의문서화 기록관리시스템은특정기록과관련하여일어나는모든처리과정을완벽하고도정확 하게표현하여야한다. 시스템은개별기록과관련된과정도포함한다. 그에관한상세 사항은특정기록에내재되거나첨부되고, 결합된메타데이터의일부분으로문서화될 수있다. 최소한관련문서를보유하는동안에는유지해야하는감사증적 (Audit Trail) 으로서처리과정에대한정보를기록하는것도하나의대안이다. 8.3.3 물리적저장매체와보호 기록관리시스템을설계할때에는적합한저장환경과매체, 물리적보호자료, 처리절 차및저장시스템을고려해야한다. 기록이얼마동안보관되고유지될필요가있는지 를아는것은저장매체의결정에영향을미칠것이다. 기록관리시스템은위험을밝히 고완화시킬수있도록재난대비책을포함해야한다. 재난으로부터복구하는동안이 나그이후에도무결성을명백하게유지해야한다. 8.3.4 분산관리 기록관리시스템은기록의위치를선택할수있도록지원해야만한다. 법적규제적 환
경이허용하는경우에기록을물리적으로한조직에저장하고책임과관리통제는기 록생산조직이나다른적합한책임기관에둘수도있다. 기록의저장, 소유, 책임성을 분리시키는이러한조치는특히전자기록관리시스템의기록에적절하다. 이러한조치 의변형은시스템이존재하는동안언제든지일어날수있다. 그리고이러한조치상의 모든변화를추적할수있도록하고문서화해야한다. 8.3.5 변환과마이그레이션 기록관리시스템은기록을보유하는전기간동안하드웨어와운영체제혹은특정소프 트웨어사이의마이그레이션, 포맷변환등어떠한시스템의변화에도기록의진본성 과신뢰성을유지하고, 사용가능하도록유지시킬수있게설계되어야한다(8.5항을 보라 ). 8.3.6 접근, 검색, 이용 기록관리시스템은계속적인업무수행에필요한기록에시의적절하고효과적으로접 근하고이를검색할수있도록해야하고, 관련된설명책임요건을만족시켜야한다. 시스템에는기록의무결성이손상되지않도록접근에대한통제조치가포함되고적용 되어야한다. 시스템은기록이인증받지않은이용이나변경, 파기로부터효과적으로 보호되었다는것을보여줄수있는감사자료나기타방법을마련하고유지해야한다. 8.3.7 보유와처분 기록관리시스템은기록의보유나처분에관한결정을원활히하고이행할수있어야 한다. 기록관리시스템의설계단계를포함하여기록이존재하는어떠한시점에도이러 한결정을할수있어야한다. 필요하다면처분이자동으로이루어질수도있어야한 다. 시스템은모든처분행적을추적할수있도록감사자료나기타방법을제공해야 한다. 8.4 설계와실행방법론 27
지속될수있는기록관리시스템을설계하고실행하기위해서는설계와실행방법론이 필수적이다. a) 에서 h) 까지제시된방법론은순차적으로설계된것은아니다. 조직의요구, 공식적 인준수요건, 조직및기록관리환경의변화등에맞추어, 각각의단계에서작업이반 복적이거나부분적으로혹은점진적으로수행될수있다. a) 예비조사 : 문서정보원과인터뷰를통해정보를수집하라; 조직의역할과목적, 조직구조, 법적 규제적업무 정치환경, 기록관리와관련된중요요소와단점을 파악하고문서화하라. b) 업무활동분석 : 문서정보원과인터뷰를통해정보를수집하라; 각각의업무기 능, 활동, 처리행위를파악하여문서화하고, 계층체계, 즉업무분류체계를세우 라. 그리고업무과정의흐름과이를구성하는처리행위를파악하고문서화하라. c) 기록을위한요건확인 : 문서정보원과인터뷰를통해정보를수집하라; 기록을 통해만족되어야하는각각의업무기능, 활동, 처리행위에대한증거와정보로서 의요건을확인하라. 규제환경(5 절을보라) 을분석하고, 기록을생산하고유지하 지않을경우발생할위기를분석하여요건을도출한다. 각각의요건이기록관리 과정을통해어떻게만족될수있는지를결정하고, 기록을위한요건을명확히하 고문서화한다. 각각의업무기능이나활동, 처리행위를가장잘만족시킬수있는 적합한기록구조를선택하라. d) 기존시스템의평가 : 기록을위한요건과대비하여기존시스템의성능을측정하 기위해기존기록관리시스템과기타정보시스템을파악하고분석하라. e) 기록요건을만족시키기위한전략확인 : 기록의요건을만족시키기위한전략을 세우라. 여기에는기록의요건을만족시키는방식으로정책, 표준, 절차, 실무를 채택하고, 새로운시스템을설계하고실행하는것이포함된다. 각각의기록요건 에전략이개별적으로혹은혼합되어적용될수있다. 요건을만족시키기위해서 는기록관리시스템이지원하고자하는업무기능, 기존시스템환경, 조직문화
안에서실패에따르는위험정도를고려하여전략을선택해야한다(7 절을보라). f) 기록관리시스템의설계 : ISO 15489 Part 1 에서설명하는전략, 과정, 실무를통 합하는기록관리시스템을설계하라. 기록관리시스템이업무과정을저해하는것 이아니라지원하도록보장하라. 기록관리에통합되도록업무과정과운영업무 그리고커뮤니케이션시스템을평가하고필요하다면재설계하라. g) 기록관리시스템의실행 : 상황에적합한프로젝트계획과방법론을이용하고, 기 록관리시스템의운용을업무과정과관련시스템과통합한다는관점을가지고체 계적으로기록관리시스템을실행해야한다. h) 실행후검토 : 기록관리시스템의성능에관한정보를통합적이고계속적인과정 으로수집하라. 이는관리직원과핵심직원과의인터뷰, 설문지활용, 시스템작 동관찰, 처리과정매뉴얼 교육자료기타 다른문서의검토, 그리고기록의품질 과통제조치에대한무작위점검등의방법을사용하여수행할수있다. 시스템 성능을검토하고평가하라. 수정조치를주도하고모니터링하라. 그리고계속적 인모니터링과정기적인평가체제를수립하라. 8.5 기록관리시스템의중단 기록관리시스템이중지되거나중단되었을때, 기록들에계속접근할수는있지만더 이상기록이시스템에추가되어서는안된다. 시행중인유지및처분지침이나변환 및매체이전전략에따라기록이시스템에서제거되기도한다. 시스템중단과정은문 서화되어야하는데이는그시스템내에여전히남아있는기록의진본성, 신뢰성, 가 용성, 무결성등을유지하는데변환계획이나데이터매핑을포함한상세한정보가 필요하게될것이기때문이다(7.2 를보라). 9 기록관리과정과통제 9.1 기록관리시스템으로획득할문서결정 29
어떤문서를기록관리시스템으로획득할것인지를결정하는것은규제환경, 업무요건 이나설명책임요건, 그리고그기록을획득하지않았을때발생할수있는위험을 분석한결과등이다. 그리고이러한요건은조직유형이나조직이운영되는법적사회 적환경에따라달라질수있다. 문서는다양한매체의형태로생산되고접수되며, 이러한매체들은끊임없이변화하는 기술에기반을두고있다. 따라서동적속성이문서의중요한특성이라고할수있다. 즉, 다수의생산자가생산한문서는다수의버전으로, 다양한기간에걸친형성단계 에서존재하게된다. 조직의행위나개인의행위를기록으로서획득되어야하고, 기록은구체적인업무맥 락의특징을나타내는메타데이터와연결되어야한다. 이러한업무맥락에서, 기록은 조직이나개인이행동을취하게하고, 조직이나개인이책임지게하며, 행동이나의사 결정, 또는의사결정과정을문서화한다. 9.2 기록보유기간결정 기록관리시스템에서기록을얼마나오랫동안유지해야하는가를결정하는것은규제 환경, 업무요건이나책임성요건, 그리고위험평가이다. 내외부의 기록관리정책이나 표준, 그리고구체적인업무활동과관련된기록요건을준수에따라, 우선해당업무 활동담당부서, 지정된기록관리자가기록보유기간을결정하는과정에참여하여야하 며, 필요한경우에는기타인력도참여할수있다. 법적요건이나다른규제요건에따라최소한의보유기간을결정할수도있고, 승인을 받아야할필요가있는경우, 아카이브관리책임기구나감사기구와같은승인된단체 의판정을받아야할수도있다. 기록보유기간을결정할때는모든이해당사자들의 권리와이해관계를고려해야한다. 어떠한접근권도의도적으로방해하지않는방향으
로결정해야한다. 기록보유는다음을충족시킬수있도록관리되어야한다. a) 다음의원칙에따라서조직의현재및미래의요구를충족시킨다. 1) 현재및미래의의사결정과활동을위한정보를제공하기위해, 포괄적인기 억의일부로서과거와현재의의사결정및활동에관련된정보를보유한다. 2) 설명책임의무를다하기위해과거와현재활동의증거를보유한다. 3) 더이상필요하지않은기록은가능한한빨리, 체계적이며허가받은방법에 4) 따라제거한다. 기록을유지하는기록관리시스템이폐쇄되거나중대한변화를맞을때라고 할지라도미래의이용자들이기록의진본성과신뢰성을판단할수있도록, 기 록의맥락을유지한다. b) 특정업무활동을위한기록관리에적용할규제환경을문서화하고이해하며, 이 행함으로써법적요건을준수한다. c) 다음의사항들을통해조직내외부의이해당사자들의 현재와미래의요구를충족 시킨다. 1) 조직자체가요구하는기간보다긴시간동안기록을유지해이해당사자들의 합법적인이해관계를파악한다; 업무협력자, 고객, 그리고조직의결정이나 활동으로부터영향을받는다른사람들, 조직이설명책임요건을다하려면기 록이용을허가해야하는사람들이이해당사자이며, 감사규제권자 조사기구 영구기록관리책임기관연구자들과 같은사람들을들수있다. 2) 사회전반의관심사나연구상필요를만족시키기위해기록을보존함으로써 얻게되는법적, 경제적, 정치적, 사회적, 또는다른긍정적인이익을확인하고 평가한다. 3) 적용할수있다면적절한영구기록관리책임기관의규정을따른다. 31
다음과같은기록을지속적으로보유할수있다. 조직의정책과행위에관한증거와정보를제공하는기록 조직과조직이봉사하는고객공동체사이의상호작용에관한증거와정보를제공하는 기록 개인과조직의권리와의무를문서화한기록 과학적이거나문화적, 또는역사적인목적으로조직의기억을축적하는데도움이 되는기록 조직내외부의 이해당사자들이관심을갖는활동에관한증거와정보를포함하는 기록 9.3 기록획득 기록을기록관리시스템으로획득하는목적은다음과같다. 기록, 기록생산자, 기록당시의업무맥락사이의관계를수립 기록관리시스템안에기록을배치하고시스템내부에서의관계를설정 다른기록과연결 이러한과정은, 기록의포맷과는상관없이특정기록에내재되거나첨부되거나연결 된, 명시된메타데이터를부여함으로써이루어진다. 그리고기록관리시스템의과정속 에메타데이터부여과정이설계되어야한다. 메타데이터는기록의권한, 지위, 구조, 완전성을보유하면서, 어떤특정시점의상황을추적하는데에, 그리고다른기록과의 관계를증명하는데에필수적이다. 기록의획득을보장하는기법으로는다음과같은내용이있다. a) 기록을적절히연결하고, 그룹화하며, 명명하고, 보안및보호하고, 이용자허가 와검색, 처분을지원하며, 필수기록을확인할수있게하는분류와색인 b) 이후의사용과참조를지원하는, 물리적파일이나전자디렉토리의논리적구조
와순서로배열 c) 기록관리시스템내에기록이존재한다는증거를마련하는등록 d) 업무활동에대한개요나서식(template) 을제공하는시스템, 이러한시스템은다음과같은기능을수행한다. 1) 업무활동의맥락을설명하는메타데이터제공 2) 기록의위치에대한증거제공 3) 조치가필요한행위확인 4) 누가기록에접근했는지확인 5) 접근시점확인 6) 기록에대한처리행위의증거제공 9.4 등록 등록과정을포함하는기록관리시스템에서는, a) 기록을기록관리시스템으로획득할때등록한다. b) 등록을완료하기전에는, 기록에영향을미치는이후의모든처리과정이불가능 하다. 등록의주된목적은기록관리시스템에서기록이생산되고획득되었다는증거를제공 하는데있으며, 등록이검색을지원한다는점은부가적인목적이라고할수있다. 등 록과정에서는간략한기술정보나기록에대한메타데이터를기록하고, 시스템내의고 유한식별기호를기록에부여한다. 등록은기록의획득을기록관리시스템에서공식화 한다. 기록관리시스템은기록을하나이상의계층이나집합체로서등록한다. 전자환경에서 는기록이획득되는업무시스템의이용자에게투명하면서기록관리자의개입이없는 자동과정을통해기록을등록할수있도록전자적인기록관리시스템을설계할수있다. 33
9.5 분류 9.5.1 업무활동분류 업무활동의분류는업무수행을돕는강력한도구이자다음과같이기록관리과정의 다양한영역을지원하는강력한도구이다. a) 활동을지속적으로기록하도록축적되는개별기록사이를연계 b) 시간이경과하더라도일관성있는방식으로기록을명명하도록지원 c) 특별한기능이나활동과관련된모든기록을검색할수있도록지원 d) 기록집합에대해보안조치를결정하고접근범위를적절하게결정하도록지원 e) 특정한기록그룹에대하여접근하거나적절한행위를취할수있도록이용자에게허가부여 f) 특정한기록집합을관리하는책임을부여 g) 행위와기록을연결 h) 적절한보유기간과처분행위를결정 9.5.2 업무분류체계 조직의업무활동분석에기반하여개발한분류체계는조직의업무를반영한다. 업무 분류체계는다양한기록관리과정을지원하는데사용될수있다. 조직은조직의업무 목적에따라업무분류를통제하는정도를결정할필요가있다. 9.5.3 어휘통제 조직기록의복잡성을다루는데적합한어휘통제기법을활용하여업무분류체계와색 인을지원할수있다. 조직에서특수하게사용하는용어의정의나용법을이러한용어 통제로설명할수있어야한다.
9.5.4 색인작성 색인은수동이나자동으로작성할수있다. 기록관리시스템내의다양한집합계층에 서색인을작성할수있다. 색인작성에대한지침으로는 ISO 5963, 문서화 - 문서검토, 주제결정과색인어 선정방법 (Documentation - Methods for examining documents, determining their subjects, and selecting indexing terms) 이있다. 9.5.5 번호와코드부여 기록을참조하는데있어서제목보다간편한방법을사용하는경우가많은데, 주로기 록집합체에대하여번호와코드를부여하는방법을사용한다. 번호나코드가기록의 주소 를가리키므로부호화의목적은기록의소재를확인하는 기능과관련되어있다. 따라서기록관리시스템내에서기록의소재위치를명확히함으 로써기록을검색할수있다. 9.6 저장과처리 필요한기간동안기록의이용성, 신뢰성, 진본성, 보존성을보장할수있는매체에저 장되어야한다(8.2 를보라). 비현용단계뿐아니라기록이존재하는전기간에걸쳐서 기록을유지, 처리, 저장하는데관련된문제들이발생한다. 기록의구체적인물리적화학적인 속성을고려한저장환경과처리과정이필수적이다. 그포맷과관계없이그가치가유지되는한, 지속적인가치를갖는기록을보존하기 위해서는양질의저장과처리를필요로한다. 승인받지않은접근과분실혹은폐기, 절도및재난으로부터기록을보호할수있도록저장환경과처리과정을설계해야한 다. 35
조직은기록을한기록관리시스템에서다른시스템으로변환하거나마이그레이션하 는데필요한정책과지침을가지고있어야한다. 전자기록시스템은기록을보유하는전기간에걸쳐어떤종류의시스템변화에도불구 하고기록에접근할수있고, 또믿을수있고, 이용할수있는상태이면서원본으로 기록을유지할수있도록설계해야한다. 이는다른소프트웨어로의매체이전이나에 뮬레이션매체로의재현, 또는미래에출현할기록의재현방식을포함한다. 이러한과 정이발생하는경우, 기록설계및포맷에있어서모든변형에대한상세사항과함께 이러한과정발생에대한증거를유지해야한다. 9.7 접근 조직은누구에게, 어떠한조건으로기록에대한접근을허가할지를정하는공식적인 지침을가지고있어야한다. 규제환경에따라접근권한, 접근조건이나접근제한에관한폭넓은원칙을수립하여 기록관리시스템운영에통합시켜야한다. 개인정보보호, 보안, 기록및정보공개와같 은영역을포괄하는구체적인법규가있을수있다. 또기록은개인적, 상업적, 혹은 조직운영상민감한정보를포함할수있다. 그런경우에는, 기록이나기록에관련된 정보에대한접근도허용하지말아야한다. 접근제한은조직내외부의 이용자에게모두적용될수있다. 접근이제한된기록은특 별히업무요구나규제환경에따른요청이있을경우에만열람할수있다. 명시된기 간동안에만접근제한을부과되어야하는데, 이원칙은필요이상오랜기간동안기록 이용을감시하지못하게하기위한것이다. 접근을제한할필요성은시간이지남에따 라변할수있다.
적절한접근통제를위해서는기록과개인, 양쪽모두에접근조건을부여해야한다. 접근과정의운영을위해서다음사항들을고려한다. a) 특정시점에서의접근조건에따라기록을범주화한다. b) 기록을볼수있도록인증받은사람들에게만공개한다. c) 암호화된기록은접근신청을인증받았을때만열람할수있다. d) 인증받은사람들만기록과정과처리행위를수행한다. e) 업무부서가담당기능으로부터생산된기록에대한접근허가를지정한다. 기능적인업무책임과이용자허가를매핑하고, 이를모니터링하는일은포맷에관계 없이모든기록관리시스템에서발생하는지속적인과정이다. 전자기록시스템, 분산형 전자기록시스템은다른애플리케이션으로부터이용자인증프로토콜을인계받을수 있다. 9.8 추적 9.8.1 일반사항 기록관리시스템내에서기록의이동과이용을추적하는목적은다음과같다. a) 조치가필요한행위를확인하기위하여 b) 기록을검색할수있게하기위하여 c) 기록손실을방지하기위하여 d) 시스템의유지와보안을위해이용을감시하고기록처리과정( 즉, 획득혹은등 록, 분류, 색인, 접근과사용, 매체이전과처분을감사하기위한증적을유지하기위 하여 e) 시스템을통합하거나매체를이전한경우, 개별기록을생산한주체를식별할수 있게하기위하여 37
9.8.2 행위추적 조직이자체적으로행위에대한시간제한을정하였거나, 시간제한이부과된처리과정 에대해, 기록관리시스템에서행위추적을실행할수있다. 행위추적은, a) 기록으로문서화된결정이나처리행위에대응하여취해야할단계를정하고, b) 지정된사람에게행위에대한책임을지우며, c) 지정된행위를수행해야할날짜와실제로행위가발생한날짜를기록한다. 지정된사람에게자료를보내기이전에, 자료가이미기록관리시스템에등록되어있어 야만효과적으로행위추적을실행할수있다. 9.8.3 위치추적 아이템이요구될때언제든지위치를파악할수있도록기록의이동을항상문서화해 두어야한다. 추적수단이아이템식별기호, 표제, 자료를소장한개인이나부서, 그리 고이동시간과날짜등을기록하기도한다. 영구기록관리책임기관을포함한인증받은외부조직에대한이관이나기록의처분, 원래소재지나저장공간으로의반환, 개인간의이전등의내용을시스템이추적할 수있어야한다. 9.9 처분실행 운영시스템으로부터기록을제거할수있는처분지침(disposition authorities) 을, 정 상적인업무활동의과정속에서체계적이고일상적으로기록에적용할수있어야한 다. 처분행위를수행하기이전에, 더이상필요하지않은기록인가, 그리고더이상 중요하지않은업무인가를확인하여야한다. 또, 그기록이증거로서관련될수있는 소송이나조사가진행중이거나계류중이지않다는확신이없이는처분행위를수행
할수없다. 처분행위에는다음을포함한다. 전 a) 덮어쓰기와삭제등즉각적으로수행하는물리적파기 b) 업무부서내에서계속보유 c) 조직이관할하는적절한저장소나매체로이전 d) 구조조정, 매각, 혹은민영화를통해업무활동에책임을지는다른조직으로이 e) 해당조직을대신하여기록을관리할외부업체와적절한계약을맺어그업체가 운영하는저장공간으로이전 f) 기록을생산한조직이물리적저장을유지하고, 관리책임은적합한권한기구로 이전 g) 조직내의영구기록관으로이전 h) 외부의영구기록관으로이전 기록을물리적으로파기할때에는다음의원칙에따라야한다. 승인을받아야만파기할수있다. 현재진행중이거나계류중인소송이나조사와관련된기록은파기할수없다. 기록이포함하고있는모든정보의기밀성을보존하는방법으로기록파기를수행해 야한다. 파기하기로승인받은기록은, 보안용사본, 보존용사본, 백업용사본등모든사본 을함께파기해야한다. 9.10 기록관리과정문서화 법적, 조직적, 기술적요건을고려하여기록관리과정과기록관리시스템에관한내용 39
을문서화한다. 문서화할때는, 분류, 색인, 기록의검토와처분등기록관리과정에 대한권한을분명하게명시한다. 관련법규와표준, 정책을기록하여, 기록관리과정에대한실무, 검토, 감사, 검사를 위한요건을정한다. 조직내에서사용중인다른정보시스템과정책에면밀한관심을 기울여, 정보관리환경의조직적통합성을유지한다. 어떤기록을획득하고얼마나오랫동안기록을유지할것인가에대한모든결정을명 확하게기록하고유지해야한다. 그러한결정은처분지침으로표현될수도있다. 기록 의획득과유지에관한결정을내리는데기초가된분석자료와기타평가에대한공 식문서를준비하여상부경영진의승인을위해제출해야한다. 문서화하는데있어서는각각의업무활동이나, 각각의업무활동으로부터생산된기록 을상세하게다루고, 기록의유지기간과처분행위를명백하고모호함없이명기해야 한다. 처분행위를일어나게하거나가능하게하는사건을명확하게확인해야한다. 기 록을대체저장형태로이전예를 ( 들어, 오프라인이나오프사이트저장) 하기위한지침 도포함시켜야한다. 영구기록관이나영구기록관리책임기관등과같은외부권한기구 에이러한문서를제출하여승인을받아야할수도있다. 처분행위를일단수행하고 나면, 처분행위에대한기록도유지해야한다. 10 모니터링과감사 기록관리시스템절차와과정이조직의정책과요구에따라수행되고있다는것과, 예 상되는성과를만족시킨다는것을보장하기위해준수여부를정기적으로모니터링해 야한다. 그러한검토를통해조직성과와시스템에대한이용자만족을검증해야한 다.
규제환경에따라모니터링과감사를수행할외부조직이필요할수도있다. 적합하지않거나비효과적이라는것이밝혀지는경우에는기록관리시스템과기록관리 과정을수정해야한다. 시스템의준수정도와모니터링결과는문서화되어야하고, 보고서를만들어유지해야 한다. 11 교육 ISO 15489의 Part 1을따르고자하는조직은지속적인기록훈련프로그램을만들어 야한다. 기록관리와구체적인실무를위해필요한교육프로그램은작업중에기록을 생산하고이를기록관리시스템에획득하는조직업무활동의전체나일부에책임을가 진모든관리자, 직원, 계약자, 자원봉사자, 기타모든개인들의역할과책임을포함하 며, 그들모두를대상으로해야한다. 외부조직과의협력을통해서교육프로그램을 설계하고수립할수있다. 41
ISO/TR 15489-2:2001(E) 정보와도큐멘테이션 : 기록관리 Part 2: 지침 ISO 15489/TR-2 지침 43
목차 서문 46 서론 48 1. 범위 49 2. 정책과책임 49 2.1 서론 49 2.2 기록관리정책문서 49 2.3 책임 50 2.3.1 책임과권한을정의하는목표 50 2.3.2 조직내의권한과책임 51 3. 전략, 설계와실행 51 3.1 서론 51 3.2 기록시스템의설계와실행 52 3.2.1 일반사항 52 3.2.2 Step A: 예비조사 53 3.2.3 Step B: 업무활동분석 53 3.2.4 Step C: 기록요건의확인 54 3.2.5 Step D: 현행시스템의평가 55 3.2.6 Step E: 기록요건을충족시키는전략의확인 55 3.2.7 Step F: 기록시스템의계획 57 3.2.8 Step G: 기록관리시스템의실행 58 3.2.9 Step H: 실행후검토 59 4. 기록관리과정과통제 60 4.1 서론 60 4.2 도구 62 4.2.1 주요도구 62 4.2.2 업무활동분류 63 4.2.3 어휘 66 4.2.4 기록처분지침 67
4.2.5 보안및접근분류체계 70 4.3 기록관리과정 73 4.3.1 서론 73 4.3.2 획득 74 4.3.3 등록 76 4.3.4 분류 79 4.3.5 접근및보안분류 81 4.3.6 처분상태확인 82 4.3.7 저장 82 4.3.8 이용과추적 85 4.3.9 처분이행 87 5. 모니터링과감사 90 5.1 일반사항 91 5.2 준수감사 91 5.3 증거로서의중요도 92 5.4 성과모니터링 92 6. 교육 93 6.1 서론 93 6.2 교육프로그램요건 93 6.3 교육대상직원 93 6.4 기록관리전문가를위한교육 94 6.4.1 일반사항 94 6.4.2 교육방법 94 6.5 교육평가와검토 95 45
서 문 국제표준기구(the International Organization for Standardization :ISO) 는국가적인 표준기구들의세계연합이다. 일반적으로 ISO 기술위원회가국제표준을준비한다. 기 술위원회가설치되어있는주제에관심을갖는각회원기구는그위원회에참여할권 리를갖고있다. 정부든아니든 ISO 와협력하는국제기구도업무의일부를맡고있다. 모든전자기술표준문제와관련하여 ISO 는국제전자기술위원회(International Electrotechnical Commission :IEC) 와긴밀히협력한다. 국제표준의초안은 ISO/IEC 지시(Directives), Part 3이정하는규칙에따라작성된 다. 기술위원회의주요직무는국제표준을준비하는것이다. 회원기구들이투표할수있 도록기술위원회가채택한국제표준초안을배포한다. 투표한회원기구의적어도 75% 가승인하는국제표준을출판한다. 기술위원회가이미국제표준으로출판한것과다른종류의 ( 예를들어 최신현황 ) 데이터를수집하는예외적인상황에서는참여회원의간단한다수결로기술보고서의 출판여부를결정할것이다. 기술보고서는전적으로정보를제공하기위한성격을가 지므로제공하는데이터가더이상타당하거나유용하지않다고간주되기이전에는재 검토할필요가없다. ISO 15489의이부분이담고있는요소들의일부가특허권의대상이될수도있는가능성에주의할필요가있다.ISO는그러한특허권의일부나전부를확인할책임을지지않는다.
기술위원회ISO/TC 46 정보와도규멘테이션(Information and documentation), 분과 위원회 SC 11 문서기록관리 / (Archives/records management) 가 ISO/TR 15489-2 를준비하였다. ISO 15489는포괄적인표제정보와문서화-기록관리아래에서다음과같은부분으로 구성되어있다 : Part 1: 일반사항[General] Part 2: 지침[Guidelines] [ 기술보고서] 47
서 론 ISO 15489의이부분은 ISO 15489-1 을보충하는지침을제공한다.ISO 15489-1과 ISO 15489 의이부분모두모든공공및민간조직이그활동과정중에생산하고 접수한모든포맷과매체의기록에적용한다. 따라서달리언급하지않았다면시스템 은 ISO 15489 의이부분에서인쇄/ 수작업이나전산으로해석되며, 문서는또한인쇄, 마이크로형태나전자형일수있다. ISO 15489-1 은기록관리의요소를지정하고, 성취해야할필수적인결과나성과물을 정의한다.ISO 15489 의이부분은실행을위한한가지방법론을제공한다. 그러나 국가표준과법률, 규정이법적준수를위한다른요인과요건을결정한다는점을유의 해야한다. 표준을실행하고자하는이는 ISO 15489 의이부분을이용하는것외에, 그나라에서 적용되는국가표준과법률, 규정의요건과지침을참조해야한다. 다양한전문직학/ 협회도 ISO 15489-1 의실행을도울수있는자원을마련하고있다.
정보와도큐멘테이션 : 기록관리 -Part 2지침 1 범위 ISO 15489 의이부분은기록관리전문가와조직에서기록관리책임을맡은사람들이 이용할수있는 ISO 15489-1 에대한실행지침이다. 기록물관리할필요가있는모든 조직에서 ISO 15489-1 의실행을촉진할한가지방법을제공한다.ISO 15489-1을 준용하고자하는조직이고려할과정과요인을개관한다. 2 2.1 정책과책임 서론 ISO 15489-1:2001의 6 조는이를준수하고자하는조직이기록관리정책을수립하고, 기록과관련된책임을정의하고, 이를개인에게부여할필요를일반적인용어로정한 다.ISO 15489의이부분은기록관리정책에관한추가지침을제공하고정의하고부 여할책임의유형을더자세히설명한다. 2.2 기록관리정책문서 조직은기록관리정책을정의하고문서화해야하며, 정책이조직의모든계층에서수 행되고유지되도록보장해야한다. 기록관리정책문은의도를표방하는일종의선언적문서이다. 조직이행하고자하는 바를정하고때로는이러한의도를성취할프로그램과절차의개요를포함하기도한 다. 그러나정책문서자체만으로훌륭한기록관리를보장할수없을것이다. 이의성공 을위해서는상부경영진의승인과적극적이고가시적인지원과정책실행에필요한자 원의배분이필수적이다. 그러므로효과적인정책문서는기록관리와정책및프로그램 실행을감독할중요한책임을가진간부를지정할것이다. 49
예를들어정책문서는정보시스템정책, 정보보안이나자산관리등정보에관련된다 른정책을참조해야한다. 그러나이를모방해서는안된다. 기록관리체제를함께구 성하는절차와지침, 계획과전략문서, 처분지침과다른문서들이이를지원해야만한 다. 모든직원이정책을수긍하고지원하도록항상고무되어야한다. 정책에맞추어모든 직원이조직의법적, 제도적, 재정적, 실무적, 그리고기록보존-역사적필요를충족시 키는기록을생산하고유지하도록강제하는것이특히중요하다. 정책의준수를모니 터링하는것도중요하다. 2.3 책임 2.3.1 책임과권한을정의하는목표 책임과권한및양자의상호관계를정의하는최종목표는조직안팎의이해당사자들 의필요를충족시키는기록관리체제를수립하고유지하는것이다. 더구체적으로는 책임, 권한과상호관계에대한정의를표준실무나업무규정안으로다음과같이포함 시켜야한다. a) 직원들이담당업무활동을충분히문서화하는업무필요와업무과정에따라서 기록을생산하도록요구한다. b) 업무활동을지원하는정보와처리시스템이이러한활동을지원하는일부로서적 절한기록을생산하도록보장한다. c) 기록처리과정의투명성과기록의활동주기전반에걸쳐기록관리시스템의적절 성을보장한다( 물리적기록이든, 컴퓨터시스템을통한온라인기록이든현재의 활동을수행하는데필요한기록이나빈번히활용되는기록은그이용자에가깝게 소재하고있다 ). d) 기록이조직, 또는영구기록관리기관, 연구자, 그리고감사자등외부이해당사자
들에게유효한기간동안유지, 저장, 보존되도록보장한다. e) 미리정한승인절차에따라서만기록을처분하도록보장한다. 2.3.2 조직내의권한과책임 조직은기록관리에관련된모든직원의권한과책임을정의해야한다. 여기에는다음 과같은범주가포함될것이다. a) 성공적인기록관리프로그램을보장하는최고책임은상부경영진에게부여해야 한다. 상부경영진의지원이하위계층에서의자원배분으로나타난다. 이를통해 조직전체에걸쳐서기록관리절차를준수하도록장려한다. b) 기록관리전문직이 ISO 15489-1 의실행에대하여우선적인책임을진다. 특히, 이들이조직의전반적인기록관리정책, 절차, 표준을수립하고 ISO 15489-1:2001, 제 4 조가개괄하는절차를실행한다. c) 조직편제의관리자가이미수립된정책, 절차, 표준에따라부하직원이그업무 의필수적인일부로서기록을생산하고유지하도록보장하는책임을진다. 이들 이기록관리에필요한자원을마련하고기록관리전문직을 ISO 15489-1:2001, 제 4 조가정하는모든측면으로연결한다. d) 조직내의다른사람들도구체적으로기록과관련된임무를갖는다. 여기에는특 히보안을책임진직원, 정보와커뮤니케이션기술을사용하여시스템을설계하 고실행하는책임을진직원, 그리고준수책임을진직원이포함된다. e) 모든직원이그들의일상업무의일부로서기록을생산, 접수, 유지하며이미수 립된정책, 절차, 표준을준수해야한다. 인증받은처분도구에의거해서만기록을 처분하는것을포함한다. 외부계약자가조직의기록관리프로그램을수행하는경 우, 이들이조직의정책이명시하는표준을지키도록보장하는것이중요하다. 3 전략, 설계와실행 3.1 서론 51
ISO 15489-1:2001, 8 조는기록시스템의필수적인특성을설명하고그실행을위한 구조틀을마련한다. 이조항은 ISO 15489-1:2001, 8조 4 항만을부연한다. 기록관리 를위한시스템설계와실행에대한지침을제공한다. 3.2 기록시스템의설계와실행 3.2.1 일반사항 이과정에포함된단계들은 ISO 415489-1:2001, 8조 4항에마련된일반적설명의 확장이며 Step A는아이템 a) 와연결되고 Step B는아이템 b) 와연결되는점에주의 해야한다. Step A: 예비조사수행 Step B: 업무활동분석 Step C: 기록요건확인 Step E: 요건충족전략 확인 Step F: 기록관리시스템 의설계 Step D: 현행시스템평가 정책 표준 계획 이행 Step H: 실행후평가수행 Step G: 기록관리시스템 실행 범례 기본 피드백 ( 출처:National Archives of Australia and State Records New South Wales.) 그림 1. 기록시스템의계획과실행 (Design and Implementation of Records Systems :DIRS)
3.2.2 Step A: 예비조사 Step A 의목적은조직이운영되는행정적, 법적, 업무적, 사회적맥락에대한이해를 제공함으로써기록을생산하고유지할필요에영향을미치는주요요인을확인할수 있게하는데있다. Step A 는또한그기록을관리하는데있어서의한조직이갖는강점과취약점에대한 전반적인이해를마련한다. 기록프로젝트의범위를정의하고경영지원을얻어내기위 한논리를마련하는유용한기초를마련한다. 조직이기록시스템에대한효과적인결정을내리는데예비조사가필요하다. 조직내 기록문제를정의하고타당성과다양한잠재적대응의위험을평가하도록도울것이 다. Step A 는획득할기록과그보유기간을결정하는, 기능에기반한과정의개발을업무 분류표에통합하는중요한기초작업이다. 후속적인두단계,B와 C 와연계하였을때, 예비조사는기록에대한조직의책임을평가하고, 기록을생산하고유지할외부요건 을준수하도록도울것이다. 기존시스템을평가하는유용한기초가되기도한다. 3.2.3 Step B: 업무활동분석 이단계의목적은조직이무엇을어떻게하는가에대한개념적모형을개발하는것이 다. 기록이조직의업무와그업무과정양자에관계되는방식을보일것이다. 기록의 생산, 획득, 통제, 저장, 처분에대한, 그리고이에접근하는데대한후속단계를결정 하는데기여할것이다. 이는시스템을적절히설계하지않는한충분한기록을획득하 고보유하기어려운전자업무환경에서특히중요하다. 이단계는체계적인방식으로 업무활동을수행하고문서화하며그결과를최대한활용하도록하는도구를마련한다. 업무활동과과정의분석은조직의업무와그기록사이의관계를이해하게할것이다. 이단계로부터의결과물은다음과같다. 53
a) 조직의업무와업무과정을설명하는문서화 b) 조직의기능, 활동, 처리행위를계층적인관계로보여주는업무분류표 c) 업무활동의결과로기록이생산되고접수되는시점을보이는조직의업무과정 지도 이러한분석은다음을포함하는기록관리도구를개발하는기초를마련한다. a) 구체적인업무환경에서기록을명명하고색인하는언어를통제하기위한용어시소러스 b) 기록의보유기간과후속처분행위를정의하는처분지침 이러한분석은또한적절한메타데이터전략을확인하고실행하며기록보유를위한 책임을공식적으로부여하도록도울것이다. 3.2.4 Step C: 기록요건의확인 이단계의목적은그업무활동에서기록을생산접수유지하기 위한조직의요건을확 인하고, 구조적이며쉽게유지할수있는형태로그요건을문서화하는것이다. 적절한 기록을유지하는것은업무의적합한수행을촉진한다. 법적, 행정적문제가발생했을 때개인과조직이행동을책임지도록보장한다. 또한업무와관련하여그들의필요와 기대에민감한내외부의 이해집단에대한책임을지도록보장한다. 기록에대한이러 한요건은업무필요, 법적, 규제적책무와공동체에대한모든광범위한책무의체계 적분석을통하여확인할수있다. 기록을생산하고유지하지않아서조직이위험에노출되는경우에대한평가도요건을 확인하도록도울것이다. 이단계는기록을생산, 유지, 처분하는근거, 기록을획득하
고유지할시스템설계의기초, 현행시스템의성능을측정할지표를제공한다. 이단계를완료하여얻어지는결과물은다음을포함한다. a) 조직에적합한기록요건을담고있는모든출처(source) 의목록 b) 기록을유지하기위한규제적, 업무적, 그리고다른모든일반적인공동체요구사 항목록 c) 경영진이승인한위기평가보고서 d) 경영진과직원을위하여기록유지에대한조직의요건을정한공식보고서 3.2.5 Step D: 현행시스템의평가 이단계의목적은업무활동으로부터기록을획득하고유지하는정도를측정하기위하 여조직의현행기록시스템과모든다른정보시스템을조사하는것이다. 이러한평가 는조직이합의한기록요건과현행시스템의성능사이의간극을드러내도록도울것 이다. 이전단계에서확인하고합의한기록요건을충족시키는새로운시스템을개발 하거나현행시스템을재설계하는기초를마련할것이다. 이단계의결과물은다음을포함할수있다. a) 조직의현행업무시스템의인벤토리(Inventory) b) 현행시스템이조직이합의한기록요건을충족시키는정도를개괄한보고서 3.2.6 Step E: 기록요건을충족시키는전략의확인 이단계의목적은조직이그업무활동에필수적인기록을만들고유지하는것을보장 하기위하여채택해야할가장적절한정책, 절차, 표준, 도구와전술을결정하는것이 다. 전략은다음을고려하여선택할수있다. 55
a) 목적과연혁을포함한조직의본질 b) 조직이수행하는업무활동의유형 c) 조직이업무활동을수행하는방식 d) e) 기술지원환경 지배적인조직문화 f) 모든외부적인제약조건 선택한전략은각전략이그의도하는결과를성취할잠재력과그접근방식이실패한 경우에조직에게미칠위험에의해서도결정된다. 영구보존기록관리책임기구가기록전략의개발을돕는경우도있을것이다. 전략은다음을포함할것이다. a) 정책과절차의채택 b) 표준개발 c) 새로운시스템요소설계, 혹은 d) 시스템의실행 이러한전략들은기록을보유하고유지하기위하여확인한요건을만족시키는방식으 로수행된다. 이단계가완료되면기록시스템을설계하거나재설계할기초를마련하게될, 기록의 생산, 획득, 유지, 이용, 그리고보존에대한계획적이고체계적이며적절한방식이나 올것이다. 이단계로부터나오는결과물은다음을포함할가능성이있다.
a) 다른업무요구를충족시키면서기록에대한조직의요건을만족시키는전략의목 록 b) 전략을요건에연결하는모형, 그리고 c) 전반적인설계전략을상부경영진에게권고하는보고서 3.2.7 Step F: 기록시스템의계획 이단계는 Step C를실행하는동안에확인하고문서화한요건을충족시키고 Step D를 수행하는동안에확인한현행기록관리의결함을수정하는새로운기록관리시스템으 로 Step E 에서선택한전략과전술을변환시킨다. 이방법론속의다른단계들처럼,Step F는인력과과정뿐아니라도구와기술에걸 쳐, 시스템에대하여폭넓은정의를채택한다. 그러므로이단계는다음을포함할것이 다. a) 현행시스템, 과정과실행의변경설계 b) 기술적인해결책을적용하거나통합 c) 조직전체에걸쳐기록관리를개선하는데이러한변화를통합시킬최선의방법 을결정 실무에서기록시스템을위한전략의결정이어디서종료되고(Step E) 어디서이러한 전략을통합하는시스템의설계가어디서시작하는지(Step F) 를확인하는것이어려 울때도있다. 그러나기록을생산하고유지하는요건이실행가능하고일관성있도록 보장하고이러한요건을시스템설계로적절하게통합할수있도록분리된전략에초 점을두는것이유용하다. 이단계는기록요건을최대한충족시키는설명서를생산하기위하여기록관리전문가 57
나이용자서비스전문가의참여를필요로한다. 이들의참여가이용자가시스템소유 자로서의인식을갖고, 그시스템을이해하여, 의도한대로이를이용하도록한다. Step F 로부터의생산물은다음을포함할것이다 a) 업무, 책임과일정표를보여주는프로젝트계획의설계, b) 주기적으로설계리뷰의결과물을상술하는보고서. c) 이용자와프로젝트팀대표자모두가서명하여변경한요건을문서화한것, d) 설계설명, e) 시스템업무규칙, f) 시스템사양서, g) 시스템의구조와구성요소를나타내는도표(diagrams), h) 과정, 데이터의흐름과데이터객체등, 상이한시스템관점을나타내는모형, i) 소프트웨어와하드웨어같은기술적구성요소를구축하거나획득하기위한상세 한설명서, j) 파일계획, k) 현행시스템과과정을어떻게설계에서통합할것인지를보이는계획, l) 초기교육과점검계획, m) 시스템실행계획 3.2.8 Step G: 기록관리시스템의실행 Step G의목적은 Step F 에서설계한계획을이행하기위한전략의적합한혼합(mix) 을체계적으로확인하고제자리에위치짓는것이다. 다양한시스템구성요소( 과정, 절차, 인력과기술를 ) 어떻게조화시켜야하는지에대한개관을제공한다. 새롭거나개선한기록관리시스템을사무용커뮤니케이션시스템또는업무과정과통
합하는것은고도의책임성과재정적투자를수반하는복잡한사업일수있다. 실행 과정에대한신중한계획과문서화를통하여이러한위험을최소화할수있다. 이단계를완료한조직은업무활동에대한혼란을최소화하면서통합되고개선된기록 관리실무를조직에통합하고; 고품질의인증에대한조직요건에기여하고;Step A에 서 F 까지에서이룬장기간투자의결과를구체화해야한다. 이단계의완료로생산한문서는다음을포함할수있다. a) 선택한전략의혼합을개괄하는상세한프로젝트계획, b) 문서화한정책, 절차와표준, c) 교육자료, d) 전환과정과지속적인매체이전(migration) 절차에대한문서, e) " 고품질시스템 인증에필요한문서, f) 성능보고서, g) 경영진에제출할보고서. 3.2.9 Step H: 실행후검토 Step H 의목적은기록시스템의효과를측정하고, 결함을수정할수있도록시스템개 발과정을평가하고, 시스템존속기간동안의모니터링제도를수립하는것이다. Step H 는다음을포함한다. a) 기록이업무활동의필요에따라서생산되고조직되며그자체가일부인업무과 정과적합하게관련되는지에대한분석, b) 경영진, 직원, 다른이해당사자와의면담, c) 설문조사수행 59
d) 시스템개발프로젝트의초기단계동안개발한문서검토 e) 관찰과무작위점검수행 조직은시스템의최초실행후검토를완료하고, 정기적으로점검을수행함으로써기 록시스템에대한투자의지속적인효과를보장할수있게될것이다. 업무에대해서 적절한기록을생산하고관리되고있다는것을보여주는객관적인정보를확보해야만 한다. 실행후검토는시스템오작동으로부터조직이위험에노출되는경우를최소화 할것이다. 그리고장기간에걸쳐기록요건과새로운개발주기의필요성에대한주요 변화를예측하게할것이다. Step H 의종료시점에서조직은다음을이루었어야한다. a) 기록관리시스템을객관적으로평가할방법론을개발하고적용, b) 시스템성능과개발과정의문서화, c) 결과와권고안을문서화한보고서를경영진에게제출. 업무과정과기록관리시스템은멈추어있지않기때문에, 그림 1에서보이는바와같 이 Step C부터 F 를정기적으로실행해야한다. 4 4.1 기록관리과정과통제 서론 ISO 15489-1 은기록관리운영을위한지침을정하여순차적으로기술한다. 그러나 기록관리운영의실제가반드시순차적으로발생하는것은아니며, 여러가지구체적 인운영업무가동시에이루어질수있다. 다음에순서대로서술할과정에서생산할도 구가존재하느냐의여부에따라달라지는운영업무도있다.
종이기록에영향을미치는기록관리과정을서술하는데에는전통적으로순차적방식 이사용되어왔는데, 그이유는각각의과정사이의다양한시차로인해이과정들이 분리될수있는가능성이있거나, 또실제로분리되기때문이다. 전자기록관리시스템 에서는보통기록생산의시점에서획득과분류, 접근, 처분상태에대한결정이내려지 기때문에이과정이더분명하면서도동시적으로발생한다. 이는물론종이기반의 시스템에서도비슷할것이다. 종이기반시스템에서사용하는메타데이터는기록에내재되어있고, 그기록을이용 하는누구나가필요한메타데이터를추론할수있다. 이용자가기록의구조를즉시확 인할수있는종이기반시스템에서는기록의구조를일일이상술할필요가없으므로, 추가적인색인작업을통해기록의내용을강조할필요가있을수있다. 시스템통제의 실행을포함하여다수의복잡한요소들을통해기록의맥락을정의할수있지만, 물리 적위치와다른문서와의배치등을통해서도기록의맥락을암시할수도있다. 전자 시스템에서는종이기반시스템에서와달리메타데이터가기록에내재되어있지않으 므로, 기록획득방법을통하여이러한메타데이터를명백하게할필요성이생한다. 기록획득시필요한메타데이터필드를채워넣도록전자시스템을설계하여야한다. 자동으로그러한메타데이터를생성하도록설계할수도있다. 종이기록이필요로하 는메타데이터보다전자기록에부여해야할메타데이터의범위가더넓다. 종이기반 기록에내재된모든메타데이터는외화할수있는데반하여, 전자시스템에내재시킬 수있는메타데이터가거의없기때문이다. 전자기록메타데이터획득의성패는획득 되어야할기록을확인하는규칙의존재와, 접근자격을정하고이를확인하는분류시 스템의존재에달려있다. 이절에서는 ISO 15489-1 의운영업무순서를따르는대신, 다음과같은관련된실행 지침을제공하고자한다. 61
a) 다양한기록관리프로그램에서필요한도구및개발, b) 다양한조직과관할영역에서의기록관리업무에영향을미치거나그성격을결정 하는다수의요인들, c) 도구를사용하는과정 4.2 도구 4.2.1 주요도구 기록관리운영업무에서사용하는주요도구는다음과같다. a) 업무활동에기반한분류체계, b) 기록처분지침, c) 보안과접근분류체계 조직은기록관리특성에맞게다음과같이추가적인도구를사용할수있다. a) 우선어(Preferred Terms) 시소러스, b) 용어집등어휘통제도구 덧붙여, 기록관리에만국한되는것은아니지만기록관리운영업무에적용할수있는 다른도구들이있다. a) 규제환경분석; b) 업무상위험분석; c) 조직내위임규정; d) 조직구성원과시스템이용자허가등록부
ISO 15489의 2 부에서는바로위에제시한도구집합의개발은다루지않는다. 4.2.2 업무활동분류 4.2.2.1 서론 업무기능과관련된분류체계는기록관리를위한체계적인틀을제공할것이다. 업무 활동분류를개발하기위해서실행되는분석과정을통하여, 조직의모든활동을파악 하며또한파악한활동을조직의명시된틀이나위임된사명혹은목적안에위치시킨 다. 완전한분류표를개발하고나면, 조직의업무기능, 활동, 그리고처리를표현한결과 물이생산된다. 그리고그결과물은기록분류체계와시소러스, 표제작성및색인작성 규칙, 기록처분계층과접근분류의확인을개발하는데기초가된다. 분류체계는조직이다음과같은작업을하기위한도구를제공한다. a) 기록을조직하고, 기술하고, 연계 b) 조직내적으로나외적으로상호연관된기록을연계및공유 c) 기록을접근, 검색, 사용하거나전달하는방식을개선하여더적합하게제공 어휘통제와같은도구가지원하는분류체계는표제작성의일관성을높이고, 검색과 이용을돕는기술(description) 을개선한다. 접근과이용뿐아니라, 분류체계를사용 하여저장과보호, 그리고유지와처분과같은다양한기록관리과정을지원할수있 다. 조직의단순성이나복잡성이분류체계에반영될것이다. 조직의구조, 업무의성격, 알 맞게배치한책임성과기술(Technology) 에기반하여, 업무목적을위해조직이필요 로하는분류통제의정도를결정할필요가있다. 63
4.2.2.2 업무활동분류체계개발 3.2.2절과 3.2.3절에서개괄한방법론을사용하여업무활동분류체계를개발할수있다. 업무활동분석을개발하기위해서는다음을확인하고분석한다. a) 조직의목적과전략, b) 이러한목적과전략의추구를지원하는조직기능, c) 기능을구성하는조직의활동, d) 구체적인활동과처리행위를수행하기위한업무과정, e) 활동을이루는모든구성단계, f) 각각의구성단계를이루는모든처리행위, g) 각각의활동내에서반복되는처리행위의집합, h) 조직의기존기록 이러한분석을통한결과물을업무활동의계층구조로표현하고, 필요에따라업무과정 을연속적으로표현하여이를보완한다. 업무과정을분석하여분류체계를도출하고, 기록과메타데이터를기술(description) 하여기록을생산해낸업무과정을정확하게표현할수있다. 대체로분류체계의구조는계층성을가지며, 다음과같은분석적과정을반영한다. a) 첫번째계층은보통업무기능을반영한다. b) 두번째계층은기능을구성하는활동들에기반한다. c) 세번째와이하계층은각각의활동에서발생하는처리행위의집합이나활동을 더상세화한다.
분류체계의상세도는조직에따라달라지며, 조직내에서수행되는기능의복잡성을 반영한다. 예를들어, 인사관리의계층구조를다음과같이나타낼수있다. 1. 인적자원관리 1.1 급여결정 1.2 고용조건결정 1.2.1 임명 1.2.2 수습단계 1.2.3 보육 1.2.4 탄력근무제 1.3 휴가산정 1.3.1 누적 1.3.2 자격부여 1.3.3 휴무일 1.4 직원모집 1.5 보수결정 1.5.1 공제 1.5.2 초과근무 1.5.3 보상 1.5.4 퇴직금 분류체계는조직의기능과활동을명확하게표현한다. 분류체계가항상알려진모든 변수를보이지는않지만, 적합한군집화를제시해줄수는있다. 예를들어, 좀더구체 적으로이용자들을이해시키기위해서분류지침안에 [ 기한을지정하라] 혹은 [ 고객 을지정하라] 와같은지시(prompts) 를포함시킬수있다. 조직이사용하는개별변수 를모두나열하려면 ( 예들들어색인등) 다른도구가필요하다. 65
분류체계개발자는다음의사항들을준수해야할것이다. a) 분류체계는조직부서의명칭이아니라업무기능과활동으로부터전문용어를추 출한다. b) 분류체계는각각의조직에고유한것이며, 상호관계를갖는기능에대하여동일 한정보를공유하는조직부서사이의일관성있고표준화된방법을마련한다. c) 분류체계는계층적이며, 재정-회계감사- 외부 (Finance-Audit-External) 와같 이상위단계의기능에서더구체적인처리과정으로, 즉가장일반적인것에서 가장구체적인개념으로전개된다. d) 조직내에서의용례를반영하는분명한어휘로분류체계를구성한다. e) 문서화할업무기능과활동을모두포함하기위하여그룹과하위그룹을충분히 사용하여분류체계를구성한다. f) 명확하게구분할수있도록그룹을구성한다. g) 기록생산자의자문을받아분류체계를고안한다. h) 업무요구의변화를반영하고, 가장최근의체계를사용하며, 조직의기능과활동 상의변화를반영할수있도록분류체계를유지한다. 4.2.3 어휘 4.2.3.1 어휘통제 -- 채택한표목의리스트 채택한주제표목의리스트는분류체계의용어로부터추출한용어를간단하게나열한 것이다. 용어의의미를미리정하거나, 용어간의관계를드러내지않는다. 이러한리스 트는자연어에서의동의어, 동음이의어, 약어, 두문자어의사용을통제하고, 조직이채 택한용어를정함으로서기록을지칭하는전문용어를통제할수있다. 4.2.3.2 시소러스 ISO 2788 에서규정한협약과절차를이용하여시소러스를구성한다.
시소러스는의미, 계층, 연관, 동의어관계를함께연결하여용어를통제하는리스트이 다. 개별기록에분류용어를부여하는데있어서의지침이되는도구이다. 시소러스를사용하면, 특정한용어가다른용어와다르게갖는의미의계층적인관계 를보일수있다. 시소러스로충분한기입어(entry point) 를제공하여, 이용자가사용 하지않는용어대신조직이채택한우선어를찾아사용할수있도록할수있다. 뿐만 아니라기록관리과정을자동화할때, 시소러스와처분지침혹은분류체계접근과 같은다른기록관리도구를연계할수있다. 4.2.4 기록처분지침 4.2.4.1 일반사항 어떤기록을획득하고, 얼마나오랫동안보유할것인지를결정하는일은법과법규( 나 라마다다르고, 조직, 산업, 혹은특정산물의유형에따라달라지는) 에따라체계적으 로수행할때가장효과적이다. 처분과관련한의사결정을표준화하는도구는, 기록관 리시스템에서폐기되거나획득되어야할문서가무엇인지를확인하는지침으로부터, 기록등급, 보유기간및적절한조치를외부감독기구에제출하여공식적으로승인을 받은처리일정표기록 ( 처분지침) 에이르기까지다양하다. 조직내부나외부의보존기 록관에서영구보존하도록미리정해놓는국가도있다. 전자기록관리시스템에서는시 스템설계의착수단계에서부터획득과보유에관한결정을고려해야한다. 4.2.4.2 기록관리시스템으로획득할문서의결정 어떤기록을기록관리시스템으로획득하고, 얼마나오랫동안보유할것인지를결정하 려면, 첫째,3.2.2절과 3.2.3 절에서설명한대로조직내외부의 환경, 조직과환경과의 관계, 그리고조직이수행하는업무기능과활동에대하여파악한내용등을분석하여 야한다. 67
둘째, 업무활동의책임성을유지하기위하여, 내외부내부의 요건에비추어업무를분 석한결과를살펴보아야한다. 기록관리자는업무활동과요건을분석하는데있어서 다음을수행할수있다. a) 광범위한차원에서각각의활동을관리하기위해생성할필요가있는기록을파악 b) 활동으로부터의기록을획득하는조직부서확인 c) 활동을구성하는모든단계들을확인하기위하여업무활동분석 d) 활동을구성하는각각의단계를구성하는모든처리행위확인 e) 처리행위를수행하는데필요한데이터확인 f) 각각의처리행위에대한증거를획득할필요가있는지결정 g) 획득해야할기록을획득하기위한적절한시점을결정 시스템설계과정중에기록획득을결정하는가장성공적인방식은활동과시스템을 책임지는업무부서와협력하는것이다. 업무활동으로부터의기록을불완전하게보유함으로써발생하는위기를평가하고그 결과에근거하여공식적으로획득할필요가없는기록이어떤것인지를결정한다. 업 무위험은수행하는업무의부문과성격에따라예견할수있지만, 규제및준수환경 에대한분석의결과로도위기관리에대한결정을내릴수있다. 직접비용및기회비 용, 다른자원의할당, 소송가능성, 홍보프로파일, 윤리, 공간이용물리적혹은 ( 컴퓨 터네트워크) 등에대한고려를수반하여결정을내리게될것이다. 예를들어, 제약품에대한문서화가문구류관리보다더큰위험을수반한다면제약품 생산에관한기록은훨씬더상세한정도로관리될것이고, 문구류주문서보다더오 랫동안유지될것이다. 업무의연속성을위해필요한기록을위기관리전략의일부로 서시스템에획득하는것도이와유사하다.
생성하거나획득한모든기록에보유기간을부여하고, 그럼으로써일단획득한기록 을얼마나오랫동안유지할것인지를명확하게해야한다. 4.2.4.3 기록보유기간결정 기록보유기간을결정하기위하여다음과같이다섯단계에걸친분석을수행할수 있다. a) 시스템내에서기록을유지하기위한법적혹은행정적요건을정하라. 관할영역이나부문에따라최소한의보유기간을정하는법적혹은행정적요건 이존재할수있다. b) 시스템내에서의기록이용을결정하라. 처리행위로부터생산되는기록중에는이후의처리행위를위해반복적으로사용 하게되는기록이포함되어있다. 이처럼반복적으로사용되는핵심기록과, 처 리행위를수행하기위하여그핵심기록을참조하는다양한처리행위기록을구 분할필요가있다; 처리행위를완료한직후시스템으로부터처리행위로부터생 산된개별기록을제거할수도있다. 예를들어, 인사관리시스템에서는휴가기 록을제한된기간동안에만유지하겠지만그직원이고용되어있는한휴가이력 은계속유지해야할것이다. 핵심업무기록과다른처리행위기록사이의관계 에따라시스템내에서각각의기록이얼마나오랫동안필요하게될것지를결정 할수있을것이다. 이는문서화할업무활동의성격에도달려있다. 예를들어, 일 반회계원부를보조하는지불계좌를처리한행위의기록보다개인의료기록과 관련된처리행위로부터의기록을더오래보유할필요가있을수있다. c) 다른시스템으로의연계를결정하라. 한시스템으로부터의기록은다른시스템을지원할수도있고, 다른시스템으로 참조될수도있다. 예를들어, 개별적인구매와관련된처리행위의상세사항을 모은기록은일반회계원부시스템으로이전된다. 계획, 자산혹은다른일선업 69
무시스템에서지리정보시스템(Geographical Information System) 에수록된 기록을참조하거나복사할수있다. d) 기록활용의넓은범위를고려하라. 이과정에포함된단계는다음과같다. 1) 조직내부이용자보다기록을더오랫동안보존하는데대한집행권한과 합법적인관심을갖고있는보존기록관이나외부이용자등다른이해당 사자확인 2) 일상적이고내부적인활용이일단끝난이후의기록을폐기하는데관련 된위기평가 3) 업무연속성을보장하기위하여손실되거나훼손된기록을보존하는데 있어서조직이필요로하게될기록이나행위가무엇인지를고려 4) 조직내부의활용이끝난후에도기록을유지함으로써얻게될재정적, 정 치적, 사회적으로나다른측면에서의긍정적인이익을평가 5) 조직의요구를충족시킨이후의기록을얼마나오랫동안유지할것인지를 결정하기위하여, 유지비용과기록을보유하여얻게될비재정적이득사 이의균형을분석 e) 전체시스템을평가한결과에기반하여기록의보유기간을정하라. 시스템내에서유사한활동을수행하거나기록하는기록그룹에대해서는유사 한보유기간및처분행위를결정한다. 가장작은단위의처리행위에서발생하 는기록부터시스템정책과절차의문서화에이르기까지기록관리시스템의모든 기록은어떤형태로든처분지침을가지고관리하여야한다. 명확한보유기간과, 처분시점이닥쳤을때를위한지시사항을분명하게제시해야한다. 예를들어: 감사후 x 년후에폐기하라 혹은 처리행위가완료되고나서 x년이지난후에 보존기록관으로이전하라. 4.2.5 보안및접근분류체계
4.2.5.1 일반사항 기록에적용되는접근권의한계와제한제도를확인하는공식적인도구는규모와부문 을막론하고모든기관에서의기록관리를위한필수도구이다. 조직이복잡할수록그 업무와규제환경도복잡해지고, 기록에접근과보안항목을적용하는절차를표준화할 필요성도더커진다. 4.2.5.2 보안및접근분류개발 조직의규제틀분석, 업무활동분석, 위기평가등에기반하여적절하게접근권한과 접근제한에적용할범주를개발한다. 보안을요구하는정보의내용과가치뿐아니라 조직의성격과크기에의해서도합리적인수준의보안과접근이달라진다. 합리적인 수준의보안이란, 합리적인사람이라면누구나정보를인증받지않은접근, 수집, 이 용, 공개, 삭제, 수정그리고/ 혹은파기등으로부터보호하기위하여필요하다고여길 만한수준의보안으로설명할수있다. 따라서어떤조직에서는비디오카메라를설치 한채로잠그고, 감시하고, 접근을제한하는파일링룸이 합리적인수준의 보안을 의미하는반면, 다른조직에서는단지잠겨있는파일링룸이합리적인수준일수도있 다. 다음과같은내용을보호하기위해서기록에대한접근을제한할수있다. a) 개인정보및사생활 b) 지적재산권과영업상기밀 c) 재산( 물리적, 금전적) 보호 d) 국가보안 e) 법적, 다른직업적인특권 71
이와마찬가지로중요한것은, 기업거버넌스, 정보공개, 개인정보보호나기록물및 법적처리관련법등이정하는바와같이법적으로집행할수있는접근권한이있다 는점이다. 이러한접근권한을고려하여보안과접근분류체계를효과적으로개발해 야한다. 접근분류체계를개발하기위하여조직의규제틀, 업무활동분석, 그리고위기평가를 실행할때는다음을목적으로할수있다. a) 기록과조직정보에대해법적으로집행할수있는접근권한과접근제한확인 b) 개인정보보호와개인, 직업, 영업상기밀을침해할가능성이있는영역을확인 c) 조직의보안문제확인 d) 손실평가와발생가능성에따라보안위반에따른위험영역의우선순위결정 e) 조직의업무활동에대한위험과보안문제가발생할수있는영역을도표화 f) 최고에서최저위험수준의영역에이르기까지적절한제한수준확인 g) 우선순위를매긴위험도에따라각등급의업무활동기록에대하여접근제한수 준부여 h) 기록을기술하는데사용하는활동분류체계혹은시소러스와같은도구에접근 제한을연결. 이경우, 기록을획득하고등록할때기록관리시스템이자동적으로 경고나제한을발하게할수있다. 조직내의용례를반영하여제한수준을표현하는방식을결정해야한다. 관련된업무 영역을참조하여접근제한범주를개발할필요가있다. 접근으로분류된기록의관리에책임을진사람과접근권한을가진사람모두에게접 근분류를적용할수있다. 그다음단계는책임성을명확하게확인하는것이다. 기록관 리시스템에서접근으로분류된특정기록군에접근할수있는사람들을정의하고획득 해야한다. 접근을제한하도록지정된기록에는승인받은사람들만접근할수있다.
확인혹은검사과정에서이를지원할수있는데확인/ 검사과정은기록관리기능의일 부가아닐수도있다. 이용자를위한접근분류는기록관리시스템에대한이용자허가 관리업무와관련되어있다. 기록관리시스템은나름의방식으로이용자허가를관리해야한다. 모든시스템을위한 조직의직원등록부와이용자허가를활용할수도있지만, 일반적인이용자허가등록과 정이없을때에는독자적으로고안해야한다. 이용자허가등록은직원들이기록관리시 스템에서기록에접근, 변경혹은삭제할수있는권한을부여하는이용자허가와, 기 록을열람할수만있도록접근권한을부여하는이용자허가를구분한다. 동일한이용자 가어떤책임성의기능영역에서는기록의생성, 변경, 삭제할책임을승인받았지만, 다른기능영역에서는접근할수는있으나변경할권한은갖고있지않을수도있다. 이와유사하게, 어떤특정기능그룹에속하지않은타부서직원이그그룹이수행하는 업무활동에대한기록에대한접근을공유하는것은적절하지않을수있으므로, 타부 서직원에대한이용자허가는적절히제한한다. 모든유형의기록관리시스템에서이용자허가와기능적업무책임성을모니터링하고 매핑할필요는계속발생한다. 특히지리적으로분산되어접근할수있는전자기록관 리시스템의경우, 다른응용체계로부터식별프로토콜을물려받는시스템이많다. 이 런경우, 훨씬넓게분포된네트워크를통한접근을허용할수있기때문에, 이용자허 가를부여하고모니터링하는일은중요한책임이될것이고, 정보시스템이나데이터 관리인력에게그책임을부여하는경우도있을것이다. 4.3 기록관리과정 4.3.1 서론 기록관리과정을아래에서순차적으로표현한것은불가피하지만, 기록관리시스템, 특 히전자기록관리시스템에서는이런과정들이동시에발생하거나여기서설명하는순 73
서와는다르게발생하는경우가많다는점에주의해야한다. 모든과정에서기록에연 결되는메타데이터( 상세한기술정보) 가생성된다. 기록과기록관리과정에대한메타 데이터의양은기록관리시스템이상세한정도에달려있으며, 조직의업무나책임성 요건에따라서도달라질수있다. 기록관리과정은다음과같다. a) 획득 b) 등록 c) 분류 d) 접근과보안분류 e) 처분상태확인 f) 저장 g) 이용과추적 h) 처분실행 4.3.2 획득 어떤기록을생성하고유지해야할지를결정하는과정이획득이며, 조직이생성하거나 접수하는기록모두가획득대상이다. 어떤문서를획득할지를결정한후에는그문서 에대한접근을누구에게허용할지와얼마나오랫동안기록을보유할지를결정한다. 조직의업무와책임성을분석한결과에따라, 어떤문서를획득하고어떤문서를폐기 할지를정한다. 기록처분지침(4.2.4. 를보라) 이나보유할필요가없는문서를확인하 는지침등과같은공식적인도구를사용할수있다. 다음에해당하지않으면공식적인기록으로획득할필요가없다. a) 조직이나개인이행위를취하도록정하는기록 b) 의무나책임을문서화한기록
c) 조직이책임지는업무에관련된정보를담은기록 종이기록시스템에서는연대기적순서로표제가있는파일혹은폴더에문서를물리적 으로정리하는일이획득에영향을미친다. 이러한그룹화를통해특정한문제에관한 다른문서와개별문서를연결하고, 정보를검색하고자하는사람들이문서에대한맥 락정보를추론할수있게된다. 시간과물리적유사성, 파일혹은폴더의소유자, 파일 혹은폴더의표제가기록을다른기록과암묵적으로연결한다. 공식적인종이기반기록관리시스템에서는어떤파일을생성하고그파일에표제를부 여하여통제한다. 파일에문서를추가하는일기록 ( 획득은그특정한 ) 문서에어떤분 류범주가가장적합한지를결정하고, 그기록을미리정의되고알려진순서에따라신 중하게정리하는의식적인과정이다. 행동의순서를정하는데있어서의안정성을보 완하기위하여, 파일에점차적으로추가한문서에일자나일련번호를부여할수있다. 파일에순서대로색인어를추가하여, 특정한문서를정리하고검색을지원할수있다. 처분과접근조건을적용하기위하여파일이나통제시스템에주기(notes) 를부여할 수도있다. 기록획득의또다른형태는미리지정한일련의행위나업무흐름에관련문서를통합 시키는것이다. 이과정을통하여문서의생성혹은접수하고나서발생되어야할행위 의맥락속에문서를위치시키고, 이로써그문서가업무처리행위의일부임을확인한 다. 전자기록관리시스템은모든의도와목적의측면에서등록과동일한, 더계획적인과 정으로문서를획득한다. 기록을획득하는시스템은기록과연관되어있는메타데이터도다음과같은방식으로 획득해야한다. 75
a) 기록이담고있는내용과, 업무가발생한맥락모두에대한기록을기술한다, b) 기록이행위를고정하여표현하도록한다, c) 기록을검색하거나그의미를파악할수있게한다. 각각의측면을맥락, 내용, 구조라고부르기도한다. 처리행위에참여한사람, 이들이수행한업무, 그리고생성된기록에관한정보는다양 한수준의상세도와함께기록될수있다. 업무요구와기록사용의범위에따라얼마 나상세해야할지의정도가결정된다. 예를들어: a) 지침과법규의사본등개인적인참조파일과같이, 단한사람에게만관련있는 기록은최소한의검색정보만을사용하는단순한시스템으로관리할수있다. b) 특정업무부서밖에서는절대로사용되지않는기록은그업무부서에적합한 수준, 그리고부서내부에서이해할수있는수준에서의상세도면충분하다; c) 담당부서외부에서도접근하여이용할필요가있는기록은, 더큰객체및더 큰맥락에서관련된처리행위에참여하는사람들과의관계속에서해당업무담 당부서를확인할수있도록더많은정보를제공할필요가있다 ; d) 인터넷과같은공공영역에서생성된기록에대해서는, 그기록에접근하는사람 들모두가발생한처리행위에대해동일한이해를공유하고있다고간주할수없 기때문에더폭넓은맥락정보가필요하다.ISO 690-2는전자기록참조방식에 대한지침을제공한다. 4.3.3 등록 기록이생성되었거나기록관리시스템으로획득되었다는사실에대한증거를마련하는 것이등록의목적이다. 등록과정에서는등록부에기록에관한간략한기술정보를기 록하고기록마다고유한식별자를부여한다. 종이기반시스템을위한등록과정이없
는기록관리환경도있다. 등록은기록관리시스템으로기록을획득했음을공식화하는방식이다. 기록관리시스템 안에서기록은하나이상의집합계층으로등록될수있는데, 예를들어, 서신파일체 계에서는증거요건을평가한후, 파일계층, 또는 문서 나 쪽(folio) 계층으로기록 을등록할수있다. 수작업의종이기반통제시스템에서는등록부자체가별도의기록이되는경우가많다. 전산시스템에서의등록부는데이터요소의조합으로이루어진다. 전자기록시스템에 서는등록과정에서분류와처분및접근자격을결정한다. 기록관리담당자가개입하 지않고도, 업무를수행하는과정에서자동화된업무시스템의기록획득과정을통해 투명하게기록을등록할수있도록전자기록시스템을설계할수있다. 등록과정전체 를자동화하지않더라도기록이발생하는전산및업무환경으로부터등록과정의요 소구체적으로 ( 등록에필요한메타데이터의일부) 를자동으로추출할수있다. 어떤형태를취하든, 일단등록한기록은변경할수없다는것이일반원칙이지만변경 할필요가발생하는경우에는감사증적을남겨야한다. 등록과정에서는최소한다음의메타데이터를지정해야한다. a) 시스템이기록에부여하는고유식별기호 b) 등록일시 c) 표제혹은간략한기술 d) 저자( 개인이나조직), 발신자나수신자 더상세한등록과정에서는기록맥락, 내용및구조에대한기술정보와다른관련기 록으로기록을연결할수있다. 각각의기록이나기록그룹에기록의맥락과내용, 그 리고다른관련기록에관한정보를포함시켜야한다. 완전하고정확한기록을위한 77
메타데이터요건을의무화한부문도있을수도있다. 기록과그관계를등록하는초기 과정에서충족시킬수있는메타데이터요건도있을것이다. 기록할업무의성격, 조직의증거요건이나적용하는기술(technology) 에따라, 기록의고유한식별기호에다음과같은정보를추가할수있다. a) 문서명이나표제 b) 텍스트형식의기술이나초록 c) 생산일자 d) 수발신이나접수한일시 e) 수신, 발신혹은내부문서여부 f) 생산자( 소속) g) 발신자( 소속) h) 수신자( 소속) i) 물리적형태 j) 분류표에따른분류 k) 사안파일(case file) 의일부분인기록이라면, 업무활동의동일한순서를문서화 하였거나, 동일인이나사안에관련된기록으로연계 l) 기록을획득한근거가된업무시스템 m) 기록을생산하거나획득하는데사용된애플리케이션소프트웨어와그버전 n) 기록구조가준수하는표준( 예를들어, Standard Generalized Markup Language -- SGML, Extensible Markup Language -- XML), o) 연계된기록을생성한애플리케이션소프트웨어와버전등내재된문서에대한 p) q) 연계의세부사항 문서구조를해석하는데필요한서식 접근 r) 보유기간
s) 관리상유용한기타구조와맥락정보 분류표를활용한다면, 가장효과적인분류시점은등록시점이다. 조직유형에따라분 류의유형과복잡함의정도가달라진다. 4.3.4 분류 4.3.4.1 일반사항 분류는하나이상의업무활동과업무로부터생성된기록을확인하고, 가능한경우이 를파일로군집화함으로써기술, 통제, 연계를촉진하고, 처분과접근자격의결정을 지원하는과정이다. 업무- 활동기반분류체계(4.2.2 를보라) 를사용하는과정에는다음의단계가포함된다. a) 기록이문서화하는처리행위나업무활동을확인하고; b) 조직의분류체계안에처리행위나활동을위치시키고; c) 적절하게분류하기위하여처리행위나활동과연계된상위계층을조사하고; d) 활동을분류한내용을조직구조에대비하여체크하여적합한업무부서에기록을 분류하도록하고 ; e) 조직요건상적절한수준에서기록에분류항목을부여한다. 다음과같은요인에따라분류계층의수와분류과정에서기입할항목의수( 처리행위 수준에서든혹은그보다상위수준에서든) 가결정된다. a) 조직의책임성; b) 업무의성격; 79
c) 조직의규모; d) 조직구조의복잡성; e) 기록을통제하고검색하는데있어서속도와정확성의필요성에대한위험평가 f) 채택한기술(technology). 4.3.4.2 어휘통제 전거표목리스트나시소러스와같은어휘통제를사용하여, 기술(description) 과통제 의세부사항을기록에더첨부할수있다(4.2.3.1과 4.2.3.2 를보라). 조직의규모와복 잡성, 그리고기록관리시스템의성격에따라표제작성이나기술의요건이달라진다. 책임성이나공개적인검토의요구도가높을수록개별기록의위치를지정할때의정확 성과속도에대한요구도커진다. 예를들어, 유독성화학물질과관련된공공안전의 경우를보면업무활동의위험도가높을수록검색에서의정확성과통제에대한요구의 수준도높아진다. 4.3.4.3 색인작성 적절한색인어를부여하면모든유형의분류나범주, 매체에대한기록검색의효율을 높일수있다. 수동으로색인을작성할수도있지만, 전자프로파일혹은전자문서의 텍스트라면자동으로생성할수도있다. 한때는주로수작업으로작성하던색인은오늘날에는대개전산화되었다. 프리텍스트 검색 (free text retrieval) 시스템은그내용을검색하여기록의위치를찾는다. 이용 자프로파일, 문서및주제프로파일, 문서내용, 지능형에이전트를활용한검색등 다른검색도구들도있다. 기록유형에따라더정교한색인작성도구가사용되기도 하고, 업무활동이나이를수행하는데필요한자원의성격에따라색인작성도구가달 라질수도있다.
분류표등어휘통제에서정한용어만색인어로부여할수있다. 일반적으로다음으로 부터색인어를추출한다. a) 기록의포맷이나성격 b) 기록의표제나주표목 c) 대체로업무활동과일치하는기록의주제내용 d) 기록의초록 e) 기록에기록된처리행위와관련된날짜 f) 고객이나조직의이름 g) 특정한취급이나처리요건 h) 달리는확인할수없는첨부문서 i) 기록의활용 4.3.5 접근및보안분류 접근에대한권리의한계나제한조건을부여하는것은활동분류와유사한단계를수반한다. 보안과접근분류체계를참조하여(4.2.5 를보라): a) 기록이문서화하는처리행위나업무활동을확인하라. b) 기록을생산한업무부서를확인하라. c) 활동과업무영역이위험영역인지, 보안상고려가필요한지, 그리고/ 혹은법으로 제한조건이정해져있지않은지등을정하기위해접근및보안분류를점검하라. d) 적절한수준의접근혹은제한범주를기록에부여하고, 적절하게취급하기위한 통제수단을명시하라. e) 기록관리시스템에서기록의접근혹은보안상태를기록하여추가로통제조치 가필요함을표시하라. 81
기록에대한접근은업무상접근을제한할필요가있거나법이제한하도록지정하는 경우에만제한한다. 기록생산이나관리를담당하는부서와협의하여접근과보안분 류를부여할수있다. 미리지정한기간동안에만접근을제한하여, 실제필요한것보 다긴기간동안추가적으로모니터링하거나통제수단을적용하지않도록한다. 4.3.6 처분상태확인 기록의획득및등록시점에서기록의처분상태와보유기간을확인하는기록관리시 스템은많으며, 전자기록관리시스템은더욱더그렇다. 업무활동에기반한분류체계 와획득과등록과정을연결할수도있고, 시스템설계의일부분으로자동화할수도있다. 조직과그책임성의크기나성격에따라, 이과정에서다소공식적인성격의처분지침 (4.2.4 를보라) 을참조할필요가생기기도한다. 이과정은다음의단계를포함한다: a) 기록이문서화하는처리행위나업무활동을확인 b) 기록과적절한기록등급에대한처리행위를처분지침에서설정 c) 적절한보유기간을부여하고예측할수있는처분행위를확인 d) 기록관리시스템에보유기간과미래에취할처분행위를기록 e) 외부의보존기록관이나보존서비스제공자에게이전하였거나폐기한기록에대한메타데이터를어느정도까지유지해야하는지결정. 4.3.7 저장 4.3.7.1 기록저장결정 기록을획득한다는결정에는이를저장하겠다는의도가함축되어있다. 비용효과적인 방법으로기록을보호하고, 접근가능하게하며, 관리하는데는적절한저장환경이중 요하다. 기록이필요한동안기록을관리하는데요구되는저장설비와서비스의성격 은기록의목적이나물리적형태, 그리고기록의활용이나가치에따라달라진다.
기록을유지보수하고, 취급하고, 저장하는효율적이고효과적인수단을기록이생산되 기이전에 정해두는것이중요하다. 그다음으로중요한것은, 기록요건의변화에 따라저장조치를재평가하는일이다. 또한저장선택을전체적인기록관리프로그램 에통합시키는일도중요하다. 조직은위험분석을통하여조직기록에적용하기에적절하고실행할수있는물리적 저장과취급옵션을결정할수있다. 물리적저장상태뿐아니라접근및보안요건과 제한을고려하여저장옵션을선택해야만한다. 특히업무연속성을유지하는데필요 한기록에대해서는추가적인보호방법과복원조치를마련하여재난발생시접근성 을보장할수있다. 위기관리에는재난이발생했을때에대비한복구계획을개발하는일이포함된다. 재 난복구계획에는, 재난중에도정상적인업무활동을지속할수있도록하는계획과, 재난후의복구를위한적절한계획등체계적이고우선순위가부여된재난대응책을 마련하는일이포함된다. 저장과취급옵션을선택하는데있어고려해야할요인은다음과같다. a) 기록의양과증가율. 예상증가율에근거하여, 수용능력이불충분한저장설비는 저장옵션에서제외시킬수있다. 전자기록을위한디지털저장매체도이와마 찬가지로저장수용능력을평가하여고려해야한다. 매체의선택은기록의추정 량및증가율을감안하여매체를선택해야한다. b) 기록의이용. 기록의다양한이용은손실혹은손상에대비하기위한보호의수준 을결정할것이다. 전자기록을위한시스템과매체는더용량이크고수명이안 정적인, 신뢰할만한것으로정한다. 전자기록을위한저장옵션을선택하는데 있어서는백업의순환과보호의용이성도핵심적인고려사항이다. c) 기록보안과민감성요구. 기밀성, 정보소유권의속성, 법적보호필요성등으로 83
인하여접근을제한할필요가있는기록도있다. d) 물리적특성. 무게, 필요한공간면적, 온도와습도요건, 기록매체( 예를들어, 종이, 디지털저장, 마이크로폼) 의특정한물리적보존요건등이기록저장에영 향을미칠것이다. 전자형태의기록은변환하거나매체를이전할필요가있을 것이며, 디지털저장매체를갱신(refreshed) 할필요도발생할것이다. 지역환경 에따라, 기록을화재나홍수등의위험으로부터보호할필요도생길것이다. e) 검색요건에서반영되는기록이용. 기록의검색가능성도주요고려사항이다. 더 자주접근해야할기록을위해서는더쉽게접근할수있는저장설비가필요할 것이다. 전자기록은더쉽고빠르게검색할수있는다양한방법으로저장할수 있다. f) 기록저장옵션의상대적비용. 전자기록의저장을위해적절한매체또는, 물리 적이거나전자적인저장을아웃소싱할것인지를결정하는데에는비용이영향을 미칠수있다. g) 접근요구. 관내및관외저장사이의비용효과를분석하여, 조직의요구를충분 히지원하기위하는데필요한다양한저장설비, 시스템, 그리고/ 혹은장비등을 확인할수있다. 4.3.7.2 설비에관한고려사항 다음과같은기준에따라, 기록을적절히저장하고보호하기위한설비를평가할필요 가있다. a) 쉽게접근할수있는장소여야하고외부위험가능성이없는지역에위치해야 한다. b) 건물의구조는, 알맞은온도와습도, 화재및수해에대한보호, 오염( 방사능동위 원소, 독소, 곰팡이증식등에대비한보호 ), 안전대책, 저장장소에대한접근 통제, 승인받지않은출입을막는탐지시스템, 곤충이나해충에의한손상등에
대비한적절한보호등에적합해야한다. c) 장비: 기록의형태에적합하면서도, 잠재적인무게를견딜수있을만큼튼튼한 서가설비가중요하다. 컨테이너와포장도취급과내용물이가하는압력을견딜 수있어야하고, 저장중에기록을손상시키지않아야한다. 자주이용되는기록 이라면훼손에대비하여추가적인보호를제공하는특별한보호용포장이필요 할것이다. 외부업체를활용하여하드카피혹은전자적정보형태로기록을저장하고접근을제공 하기로정할수도있다. 이러한경우에는서비스수준협정에기록소유자와저장서비 스제공자의권리와책임을명시하여야한다. 4.3.7.3 디지털저장 전자적형태의기록을저장하기위해서는손실을방지하기위해추가적인저장계획 및전략을사용할필요가있다. a) 백업시스템에시스템고장으로인한기록의손실을방지하기위해전자적기록 을복제해둔다. 백업시스템에정규적인백업일정, 다양한매체로의다중복제, 백업카피를위한분산된저장장소, 일상적이거나긴급한상황에서의백업카피 에대한접근에대한규정등을포함시킨다. b) 매체의물리적손상을방지하기위한유지보수과정이필요할수있다. 데이터 손상을막기위해기록을동일매체( 혹은다른새로운매체) 의새로운버전으로 복사할필요가있을수있다. c) 하드웨어와소프트웨어의노화는저장된전자기록의가독성에영향을미칠수 있다. 더자세한정보를위해서는 4.3.9.2 를보라. 4.3.8 이용과추적 85
기록이용에대한기록도시스템에획득하여야할메타데이터이다. 기록이용은접근 과처분상태에영향을미칠수있다. 기록이용관리는다음을포괄한다. a) 조직내개인및직위별로기록관리시스템이용자허가확인 b) 기록에대한접근과보안상태확인 c) 조직외부인에대한접근권한확인 d) 접근이제한된기록에대해서는적절한이용자범주에속하는사람이나보안관련 접근권한을가진사람에게만접근허용 e) 기록을현재보관하고있거나이전에보관했던사람들을확인하기위하여기록의 이동경로를추적 f) 기록이용의이력모두를적절한수준으로상세하게기록하도록보장 g) 기록에대한접근분류를최신상태로유지하고, 그대로적용할수있는지를수시 로검토 기록관리시스템내에서기록이용을추적하는것은조직을위한보안대책으로, 적절 한허가를받은이용자들만이승인을받아기록에관련된작업을수행하고있음을보 장한다. 접근을통제하고이용이력을기록하는정도는업무나업무로부터발생하는기 록의성격에달려있다. 예를들어, 기록이용을기록하는과정에서개인정보를담게될 때는의무적인개인정보보호대책이정하는바에따를것을요구하는분야도많다. 기록이용의패턴을확인하면기록이담고있는정보가최신의것인지를확인할수있 으며, 처분행위를수행할시점을결정하는데에도도움이된다. 이용, 그리고/ 또는기록의이동을모니터링하는시스템은매우다양해서, 물리적인카 드를사용하는이동기록시스템에서바코딩기술까지, 그리고시스템처리과정의일 부로서기록열람기록을자동적으로획득하는전자기록관리시스템에이르기까지그 범위가다양하다. 추적시스템은적절한시간내에모든기록의위치를확인하고, 모든
이동을추적할수있음을보장하는기준을충족시켜야한다. 4.3.9 처분이행 4.3.9.1 일반사항 처분일자와처분을수행할시점임을알리는트리거링(triggering) 조치가비슷한기록 을기록관리시스템에서간단하게식별할수있어야한다. 예를들어, 동일한처분일자 와트리거링조치를가진종이기록은물리적으로함께저장할수있다. 처분상태를확인하거나수정하기위하여, 처분행위기한에달한기록의이용이력을 검토할필요가있다. 다른중요한활동은다음과같다. a) 처분행위를위한트리거링(triggering) 점검 b) 기록이관련된조치의종료확인 c) 처분조치를감사할수있는기록유지 4.3.9.2 지속적인보유 기록의전보유기간에걸쳐서, 현용시스템으로부터제거한기록에대해서도접근하고 검색할수있어야하며,ISO 15489-1:2001, 7.2절이정하는바와같은기록의특성을 유지해야한다. 한부서의즉각적인물리적환경으로부터조직이관할하는다른물리 적인영역으로옮기는기록의경우, 파기나이후의처분조치를승인할지속적인책임 은담당업무부서에있다. 지속적인보유대상으로확인된기록은장기보존에적합한환경에저장할필요가있 다. 기록, 특히전자기록의보존전략은, 기록의비용효과성뿐아니라장기간동안기록 의접근성, 완전성, 진본성을유지할수있는잠재력에따라선택할수있다. 87
보존전략으로는기록의복제, 변환과마이그레이션(migration) 등이있다. a) 동일한매체유형( 종이/ 마이크로필름/ 전자으로 ) 동일한사본을만드는것이복제 이다. 예를들어, 종이에서종이로, 마이크로필름에서마이크로필름으로혹은전 자기록의백업카피( 다른종류의전자매체로도만들수있는로복제할수있음 ). b) 기록의포맷은바뀌지만, 기록의주된정보( 내용) 는동일하게유지되는것이변환 이다. 종이기록을마이크로필름화, 또는이미지화하는것이나문자세트 (character sets) 를변경하는것이그예가된다. c) 마이그레이션에는디지털자료를하나의하드웨어/ 소프트웨어사양 (configuration) 에서다른것으로, 혹은과거의기술세대로부터다음세대로주 기적으로이전하기위해고안된조직화된업무의집합이포함된다. 마이그레이션 의목적은기록의완전성을보존하여, 이용자가검색, 디스플레이등으로이용할 수있도록유지하는데있다. 하드웨어그리고/ 혹은소프트웨어가노화했을때나, 전자기록을하나의파일포맷에서다른포맷으로이동시킬때매체를이전할수 있다. 새로운기술의출현에따라, 장기간동안전자기록을보유하는새로운방법을사용하 게될수도있다. 시스템으로부터제거한전자기록과관련메타데이터를보유하기위한전략을수립해 야하고, 이전략을모든시스템설계과정에통합하여보유기간동안지속적으로기록 과관련메타데이터에접근하고이용할수있도록하는전략을유지해야한다. 후일의폐기를결정하지않은채저장중인기록에대해서는보유기간이끝났을때 정기적( 예를들어, 매년) 으로기록폐기를검토하도록하는방식을문서화할필요가있 을수있다.
처분행위이행의결과로든다른이유로든, 외부의저장서비스제공자나외부의보존 기록관감독기구로기록을이전하였다면, 관리자와이전시킨측이합의한문서를통하 여, 기록을보유하고, 적절하게관리하고, 보유, 처분과접근가능성을보호하는데관 련된책무를지속적으로수행할것을공식적으로정하게된다. 4.3.9.3 물리적폐기 기록을물리적으로폐기할때는기록의기밀을유지하는데적합한방법을따른다. 조 직은기록의폐기를모두문서화하여감사의단서로유지할수있다. 책임있는감독기 구의동의가필요할수도있고, 사전에계약을맺은제자가 3 폐기를수행할수있다. 제자가 3 수행하는모든페기에대해서는폐기확인서를만들것을권고한다. 전자형태의기록인경우, 번복할수없는리포매팅(Reformatting) 방식임이확실하다 면, 리포매팅이나덮어쓰기에의해폐기할수도있다. 삭제명령만으로는시스템소프 트웨어에통합된데이터에대한시스템지시자가모두폐기되었음을충분히보장할수 없다. 전자형태의정보를효과적으로폐기하는작업을완료하기이전에, 시스템데이 터의생성을포함하는백업을리포맷하거나덮어쓸필요가있다. 삭제, 리포매팅이나 덮어쓰기가안전하지못하거나( 예를들어,WORM[Write Once Read Many] 매체에 저장된정보) 이를디지털정보의폐기에적용할수없는경우, 저장매체자체를물리 적으로파기하는것이가장적절한대안이다. 4.3.9.4 기록의관할권이나소유권의이전 기록생산조직이나업무부서로부터기록의보관이나소유에관한권한을이전하게될 수도있다. 예를들어, 조직이해체되거나업무활동의일부를아웃소싱하여조직이재 구성되는경우발생한다. 이러한경우, 이전할필요가있는기록을확인하고, 기존기 록관리시스템으로부터이를제거한후, 물리적으로이전한다. 다음과같은상황에서기록의소유권혹은관할권이다른조직으로이전된다. 89