(高清版)GBT 42745-2023 信息与文献 可信的第三方数字文件（档案）仓储

国家市场监督管理总局国家标准化管理委员会1 Ⅲ 12规范性引用文件 1 1 3 34.2对TTPR可信性的要求 4 4 5 6 6 6 65.4TTPR子服务 86技术要求 6.1一般要求 6.2数字文件仓储 6.3收发系统 6.4网络系统 6.5时间戳 6.6审核跟踪 6.7网络安全系统 6.8访问控制设备 6.9灾难恢复设施 6.10证书发布和数字文件验证系统 6.11备份系统 7.1一般要求 7.2委托方管理 7.3管理员角色和授权管理 7.4网络和安全管理 7.5数字文件管理 7.6收发消息的操作 207.7审核文件 7.8数据备份和恢复 21Ⅱ7.9安全管理 21 21 22 5Ⅲ本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定本文件等同采用ISO17068:2017《信息与文献可信的第三方数字文件(档案)仓储》。请注意本文件的某些内容可能涉及专利。本文件M作为数字系统在各种业务活动中的必然产物，数字文件越来越需要确保其在保管期限内的真实可信的第三方仓储(TrustedThird评估员等)进行监管审查。TTPR提供的服务有助于认证委托方数字文件是否能作为可接受的证据第5章详述TTPR在保管期限内为委托方数字文件提供的服务。第6章详述硬件和软件系统的技术要求。第7章详述运营过程的要求。1ISO30300信息与文献文件管理核心概念与术语(Informationanddocumentation—Recordsmanagement—Coreconceptsandvocabulary)ISO30301信息与文献文件(档案)管理体系要求(Informationanddocumentation—Man-ISO30302信息与文献文件管理体系实施指南(Informationanddocumentation—Manage-f234.1TTPR的必要性格式凭证性信息的交换。银行在核实信用或交易支付业务中涉及数字文件的交换。医疗行业在诊所、患者与保险公司之间，普通诊所和专科诊所之间均存在数字文件的交换。这类个人或者组织的事务在数字格式留存的凭证性信息一方面存在被篡改或伪造的风险，同时也提高了人们对于数字文件安全管字文件和判断其证据可采纳性的相关要求。然而，这些要求通常规定留存的具备的强制性特征，对组织的文件管理能力并未作相关要求。虽然许多组织已经建设了自己的文件系统，但是实现跨组织的数字文件交换仍然面临挑战。个人遵守数字文件法律可采性要求的能力也受到求已经成为当今数字环境中的主要议题之一。对数字文件中信息的保护已被视为各行业和组织内各部解决这种情况的一种方法是使用TTPR。第三方是独立于双方直接利益之外的个人或组织，在双方以安全的方式交换数字信息时充当中介。社会和政府应给予第三方以信任。为防止电子事务过程中TTPR发挥着至关重要的作用，并为相关方提供若干益处。TTPR不4—委托方数字文件的真实性要考虑其业务环境，例如，留存文件形 ●TTPR通过验证接收到的委托方TSIP中关于数字文件的任何更改和/或任何传输错 5GB/T42745—2023/ISO170除了TTPR和委托方之外，还包括质量评估相关方，例如检查员、审核员和真实性。审核员可以是个人或组织，负责审核和监控TTPR是否按照规定程序和准则进行管理。评估员可以是个人或组织，负责判断软件/硬件系统是的标准检查和验证TTPR,能为TTPR获得委托方的信任提供依据。TTPR认证服务技术运营仓储(验证系统)时间戳灾难预防(备份系统)质量合规传输系统能保证委托方创建的数字文件完整可靠地传输、验证系统能在接收阶段自实性检查所需的元数据以及用于保管和管理数字文件的仓储及其验证系统。此外，委托方系统和TTPR运营由TTPR专家负责，该专家了解TTPR的过程，能应对各种情况。运营涵盖提供65TTPR服务 789 ●委托方的授权；●数字文件是否包含在TSIP中；●格式是否能接受/是否适合创建TAIP。●委托方的授权； —转换服务在规定时间内完成 ●委托方的授权； 此服务的委托方应指定一个接收方进行交付和/或迁移 ●使用安全的传输方法； 5.4.9TTPR认证服务 ●使用安全的传输方法；●证书的有效期；●证书的目的；●在证书上标记TTPR系统的时间信息；●发布证书的日期；●证书的有效期；●证书的目的；●其他必要信息。 ●使用安全的传输方法；●发布证书的日期；●证书的有效期； 创建和分发数字文件的功能 数字文件的接收历史沿革 数字文件的仓储历史沿革； 数字文件的访问和利用历史沿革 数字文件的发布历史沿革； 数字文件的转换历史沿革 数字文件的交付和/或迁移历史沿革 数字文件的处置历史沿革 数字文件的非仓储认证历史沿革 ●智能卡认证(例如PIN);●动态口令认证(例如OTP令牌); 包括管理员非法访问在内的所有访问历史沿革都记载在日志中——通过防火墙系统过滤对TTPR设备的不明访问，通过入侵防御系统(IntrusionPrevention 能迁移到其他支持存储功能的存储介质或平台上 根据委托方请求处置数字文件： 当数字文件的保管期限届满时，对其进行内部处置 完成数字文件的迁移和接收后，立即处置迁移文件： 数字文件的处置历史沿革记载在审核文件中。 数字文件的发布历史沿革记载在审核文件中 ●当委托方登录到TTPR时，通过证书和登录验证来确定证书的所有者是否是真正的 通过消息的收发历史沿革来检查消息收发的功能应遵循以下要求 不断检测和更新新的安全攻击模式 [1]GB/T9387.2—1995信息处理系统开放系统互连基本参考模型第2部分：安全体系[2]GB/Z18219—2008信息技术[3]GB/T18238.1—2000信息技术安全技术散列函数第1部分：概述[4]GB/T19000—2016质量管理体系基础和术语[6]GB/T24405.1—2009信息技术服务管理第1部分：规范[7]GB/T25068.1—2020信息技术安全技术网络安全第1部分：综述和概念[8]GB/T26162—2021信息与文献文件(档案)管理概念与原则[9]GB/Z26822—2011文档管理电子信息存储真实性可靠性建议[12]ISO/TR13028Informationanddocumentationofrecordstem(OAIS)—Referencemodel[14]ISO/TS15000-2ElectronicbusinesseXtensApplicabilitystatement(AS)profileofebXMLmessagingservice[16]ISO16919Spacedataadingauditandcertificationofcandidatetr[17]ISO17068:2017Informationanddocumentati[20]ISO/IECTR10032Informationt