电子数据司法鉴定操作规范1. 范围本规范规定了电子数据司法鉴定的操作原则,提出了电子数据司法鉴定的操作、设备、鉴定方法选择及实施环境等要求,针对电子数据司法鉴定流程中所涉及的检材接收保管、审核、鉴定委托书的签订、鉴定实施、鉴定文书的出具等各个过程进行了综合性描述和规范本规范适用于电子数据司法鉴定机构和鉴定人员从事司法鉴定相关业务的活动2. 规范性引用文件GB 50073- 2001 《国家标准—洁净厂房设计规范》GB 50174- 1993 《电子计算机机房设计规范》3. 术语和定义3.1电子数据基于计算机应用和通信等电子化技术手段形成的客观资料,用以表示文字、图形符号、数字、字母等信息,包括以电子形式存储或传输的静态数据和动态数据3.2存储介质承载电子数据的电磁介质或者光记录介质示例:常用存储介质包括硬盘、光盘、闪存等精品文档3.3原始电子数据存储介质被委托鉴定时所包含的电子数据3.4电子数据副本通过对原始电子数据的复制,获得的与原始电子数据一致的数据3.5数据提取建立电子数据副本的过程3.6写保护为防止对存储介质进行写操作所采取的技术措施3.7完整性校验确保数据提取的结果与原始电子数据一致的校验。
3.8散列值通过散列算法把任意长度的输入变换成固定长度的输出值注:常用散列算法包括 MD5 、 SHA1和 SHA2等3.9.精品文档数据恢复排除存储介质故障,使其中的电子数据可以正常读取的技术操作过程3.10数据搜索从电子数据中查找相关数据的过程3.11数据分析将电子数据中的各种信息相互印证、相互关联的综合分析过程4. 鉴定操作原则4.1 鉴定人员有责任保证检材为被委托时的原始状态,禁止任何不当操作对检材的原始状态的更改4.2 在实施鉴定过程中,首先应对原始电子数据制作电子数据副本,此后原始检材应封存保管4.3 制作出的所有副本需要进行完整性校验4.4 在鉴定过程中,原则上以电子数据副本作为操作对象4.5 由于特殊情况,鉴定操作有可能造成对原始检材的修改时,必须经委托人同意,并签署授权书,操作过程中应对原始检材采取必要的保护措施4.6 为保证鉴定结果的重现,应详细记录鉴定过程.精品文档中鉴定操作的每个步骤,记录中应包括操作方法、操作步骤和操作结果,参见《电子数据鉴定原始记录》 4.7 原则上,一台用于鉴定工作的计算机不能同时进行一个案件以上的鉴定工作,每个案件的鉴定工作完成后,应清除存储于计算机中该案件的相关信息。
5. 鉴定操作要求5.1鉴定方法选择5.1.1鉴定人员应选择满足鉴定要求并适用的鉴定方法5.1.2为减少差错和风险,鉴定方法应优先选择正式颁布的标准方法 当没有国家、行业、地方正式颁布的标准方法时,应自行制定适当的鉴定方法自行制定的鉴定方法在使用前,必须与已通过资质认定或实验室认可或检查机构认可的鉴定机构进行方法验证和专家确认 当上述方法均不适用时,应当和委托单位协商,根据鉴定要求,参照权威组织、有关科学书籍、期刊公布的方法,为其自行设计制定适用的鉴定方法所设计的鉴定方法在使用前必须得到验证和确认,鉴定方法的制定应当充分考虑以下要求:a) 确定设计开发者的职责;b) 明确鉴定方法的适用范围;.精品文档c) 鉴定方法的所有步骤应遵守“ 4. 鉴定操作原则” ;d) 必须进行鉴定方法有效性的验证;e) 必须给出鉴定方法所需的记录数据及分析和表达方式5.2 鉴定操作环境电子数据司法鉴定操作机房必须符合《电子计算机机房设计规范》 ( GB50174- 1993)的要求 电子数据司法鉴定操作机房应设门禁系统 进行磁盘开盘操作使用的洁净间环境应符合《国家标准—洁净厂房设计规范》 (GB50073-2001)的千级洁净指标。
5.3 鉴定设备及工具基本配置要求电子数据司法鉴定机构的设备、工具的基本配置要求如表 1:表 1 鉴定设备及工具基本配置要求序号设备类别配置要求性质.精品文档1专用电子数据鉴定工作计算机及配套设备1) 配置基本的操作系统、软件工作环境及必要的硬件配套设备必备2洁净间硬盘操作工具,包括更换硬盘备件所需工具1) 配置洁净台、显微镜、开盘设备及相关备件2) 所用设备应符合 GB50073-2001 的千级洁净指标选备3数据提取工具, 包括硬盘拷贝机和制作各种镜像文件的软件1) 数据提取工具必须具有写保护功能,或该提取工具可以与写保护设备相连,以保证不对原始电子数据作任何修改2) 数据提取工具必须具有完整性校验功能, 以保证电子数据副本与原始电子数据一致必备.精品文档4写保护接口,包括写保护设备及各种转接线1) 写保护接口必须有明确的写保护方向标识,防止标识不清造成对原始检材的写入必备5数据分析工具,包括取证分析工具和数据恢复工具1) 数据分析工具要确保在使用过程中不对数据做任何修改必备5.4鉴定设备及工具使用5.4.1用于鉴定工作的计算机必须专机专用5.4.2用于鉴定工作的计算机必须设置密码,无关人员不得使用。
用于鉴定工作的计算机应安装防恶意程序的软件,并在每次使用该计算机实施鉴定操作前进行软件升级和全盘扫描 用于鉴定工作的计算机在实施检定过程中不得连.精品文档接互联网,软件升级或鉴定操作必须连接互联网情况除外5.5 检材保管 保存检材保存要求如下:a) 委托鉴定的所有检材必须专人管理,做好登记,妥善保存,参见《检材管理文档》 ;b) 为检材粘贴标识时,需标明案号及检材号,参见《检材标签》;c) 需真实详细地标注出检材的相关信息, 包括电子设备的序列号,参见《鉴定委托介质收领单》 ;d) 对检材拍照时,照片一般应包含检材的特征;e) 在不使用检材时,需要将检材存放在防潮、防震、防静电、防磁的电磁屏蔽环境中;f) 检材应远离高磁场、高温、灰尘、积压、潮湿、腐蚀性化学试剂等 管理检材管理要求如下:a) 由档案管理人员负责检材的移交、保管、开封b) 原始检材和镜象盘必须保存在有安全控制措施的房间和保管柜中,人员及检材的出入必须留有记录c) 包装检材时,应填写检材管理文档,该文档用于记录检材管理的重要信息,主要包括提取检材的鉴定人员、借出.精品文档时间、归还时间等,参见《检材管理文档》 d) 为确保检材传递环节的清晰明确,每次检材的借用都必须登记,参见《检材借用登记表》 ,经由鉴定技术部门的负责人批准,由档案管理人员真实详细地填写《检材管理文档》,并由使用检材的鉴定人员和档案保管人员共同签名。
e) 在每次使用检材前后都必须对照 《鉴定委托介质收领单》核对检材的数量和标识f) 《检材管理文档》必须妥善保存6. 鉴定流程与实施6.1 案件受理 案件受理实行程序受理与技术受理相结合的方式案件受理人员对委托鉴定的案件进行程序审核,鉴定技术人员对委托的案件进行技术审核,确认符合受理规定的应予受理 案件受理人员查验委托人的《鉴定委托书》 、送检人身份证明和原始检材 案件受理人员对手续齐全的委托予以接收,拍照记录原始检材的外观属性并指导送检人填写接收《鉴定委托介质收领单》及《鉴定委托要求》 在对检材写保护的前提下,鉴定技术人员通过技术手段确认原始检材可正常使用,确认原始电子数据真实存在 在对检材写保护的前提下,鉴定技术人员对检材.精品文档副本进行初步检验,判断是否具备鉴定条件 对具备鉴定条件的案件由案件受理人员与委托人签订《司法鉴定协议书》 案件受理人员将接收的原始检材及相关文件送达档案管理部门,档案管理人员按照收案的时间顺序编写收案号,对原始检材做唯一性标识,并填写检材管理文档 鉴定技术负责人根据鉴定项目将案件分配给鉴定技术人员,鉴定技术人员填写完《检材使用登记表》后从档案管理部门提取原始检材,对原始检材制作检材副本。
鉴定技术人员制作完检材副本后,将原始检材送还档案管理部门,检材副本用于鉴定分析6.2 实施鉴定鉴定技术人员应严格遵照《司法鉴定程序通则》的要求,在规定时间内完成鉴定工作, 记录检验结果, 给出鉴定结论同时,实施鉴定过程中的操作行为需遵守本规范 “5 鉴定操作要求”的描述6.3 出具文书鉴定技术人员应遵照《司法鉴定程序通则》和《司法鉴定文书规范》的要求制作文书文书制作完成后,由鉴定技术人员签字,由授权签字人签字批准并加盖司法鉴定公章司法鉴定文书一般应当一式三份,两份交委托人收执,一份由本机构存档案件受理人员通知委托人鉴定完成,并以与.精品文档委托人约定的方式将原始检材和两份《司法鉴定文书》发送给委托人6.4 鉴定流程图鉴定流程图如图。