Bundesamt für Sicherheit in der Informationstechnik

M 2.242 Zielsetzung der elektronischen Archivierung

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter

Um eine elektronische Archivierung in einer Institution einzuführen, sind die Ziele festzulegen, die damit erreicht werden sollen. Dabei muss das Management der betreffenden Organisation einbezogen werden. Gegebenenfalls ist eine Koordinierung mit übergeordneten Organisationseinheiten notwendig. Insbesondere ist festzulegen,

  • in welchen Bereichen welche Daten archiviert werden sollen,
  • welches Sicherheitsniveau es zu erreichen gilt,
  • welcher Funktions- und Leistungsumfang angestrebt ist und
  • wer die Verantwortung hierfür trägt.

Die Ergebnisse sind im Archivierungskonzept (siehe Maßnahme M 2.243 Entwicklung des Archivierungskonzepts ) zu fixieren.

Welche Daten sind zu archivieren?

Die Bestimmung der zu archivierenden Daten dient der Eingrenzung der technischen Anforderungen an das auszuwählende Archivsystem. Die Eingrenzung sollte aber so allgemein erfolgen, dass ausreichend Spielraum für die technische Ausgestaltung bleibt, wobei zu beachten ist, dass sich Anforderungen auch im Laufe der Zeit ändern können. Besonders auf Managementebene sind allgemeine Charakterisierungen sinnvoll wie:

  • alle Daten/Dokumente der Abteilung,
  • alle Daten/Dokumente der Geschäftsprozesse,
  • alle Geschäftsdaten,
  • alle Buchhaltungsdaten,
  • alle Kundendaten, sowie
  • alle Daten der Klassifikationsstufe.

Wenn Daten mit unterschiedlichem Schutzbedarf archiviert werden sollen, wird empfohlen, die Ziele und Anforderungen an die Archivierung anhand der jeweiligen Schutzbedarfskategorie zu definieren. Ein Beispiel hierfür ist die Archivierung von Dokumenten, die als offen, intern, geheim o. ä. klassifiziert worden sind.

Welches Sicherheitsniveau soll erreicht werden?

Das zu erreichende Sicherheitsniveau bei der Archivierung lässt sich auf Managementebene typischerweise wie folgt charakterisieren:

  • Erfüllung gesetzlicher sowie organisationsinterner Anforderungen an den Schutz der Daten bei der Archivierung sowie darüber hinaus (z. B. nach Entsorgung der Datenträger),
  • Widerstandsfähigkeit des Archivierungsprozesses gegen Manipulation,
  • Widerstandsfähigkeit des verwendeten Archivsystems gegen interne und externe Angriffe auf die gespeicherten Daten sowie das IT-System selbst.

Wenn Daten und Dokumente klassifiziert werden, kann das Sicherheitsniveau auch anhand dieser Klassifikation detaillierter differenziert werden.

Welcher Funktions- und Leistungsumfang soll erreicht werden?

Der angestrebte Funktions- und Leistungsumfang elektronischer Archivierung kann je nach Organisation unterschiedlich ausfallen. Üblicherweise werden auf Managementebene die folgenden Anforderungen definiert:

  • Integrationsfähigkeit in die bestehende IT-Systemlandschaft,
  • Integrationsfähigkeit in bestehende IT- und Dokumentenmanagement-Prozesse,
  • Einhaltung (gesetzlich sowie intern) vorgeschriebener Speicher- und Löschfristen für Daten,
  • Aussonderungsmodalitäten und Beachtung der Anbietungspflicht.

Dies betrifft vor allem die öffentliche Verwaltung, da öffentliche Stellen unter Umständen dazu verpflichtet sind, Daten, die von besonderer Bedeutung sind, z. B. gesellschaftlicher, politischer oder historischer Art, einem dafür zuständigen Archiv nach Ablauf der Aufbewahrungsfrist anzubieten. Erst wenn dieses entscheidet, dass die entsprechenden Daten nicht archivwürdig sind, dürfen diese endgültig gelöscht werden. Über die Archivwürdigkeit von Daten kann in vielen Fällen erst nach Ablauf der Aufbewahrungsfrist entschieden werden, so dass die Daten am Ende der Aufbewahrungsfrist nicht immer automatisch bearbeitet werden können.

  • Einhaltung des angestrebten Sicherheitsniveaus der Daten sowie
  • Migrationsfähigkeit des Archivsystems, wenn sich Anforderungen und Einflussfaktoren ändern.

Wer trägt die Verantwortung?

Mit dem Aufbau bzw. dem Betrieb der elektronischen Archivierung müssen Verantwortliche benannt werden. Üblicherweise wird von Seiten des Managements eine Fachabteilung bzw. deren Leiter mit der Umsetzung der Archivierung beauftragt. Hiermit müssen auch Zielvorgaben, Befugnisse, personelle und finanzielle Ressourcen verknüpft werden. Die Delegation der Umsetzung ist entsprechend den organisationsinternen Richtlinien durchzuführen und im Archivierungskonzept zu fixieren.

Prüffragen:

  • Werden die zu archivierenden Daten und ihre zugehörigen Sicherheitsniveaus ermittelt?

  • Ist der Funktions- und Leistungsumfang der Archivierung festgelegt?

  • Sind Verantwortliche für den Aufbau des Archivsystems und der Archivierung benannt?

  • Gibt es Zielvorgaben und Befugnisse für Verantwortliche der Archivierung und sind der Archivierung personelle und finanzielle Ressourcen zugeordnet?

  • Wurde die Aufgabenübertragung der Archivierung im Archivierungskonzept festgehalten?

  • Sind die Planung und die Umsetzung der Archivierung im Archivierungskonzept fixiert?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK