Bundesamt für Sicherheit in der Informationstechnik

M 2.243 Entwicklung des Archivierungskonzepts

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Archivverwalter, IT-Sicherheitsbeauftragter

Der Aufbau eines Archivsystems sollte sorgfältig konzipiert werden. Dabei sind einerseits zahlreiche Einflussfaktoren (z. B. organisationsinterne oder rechtliche Vorgaben, technische und organisatorische Umgebungsbedingungen) zu beachten, andererseits bestehen vielfältige technische Möglichkeiten, um ein elektronisches Archiv aufzubauen. Daher sollte zunächst ein Konzept entwickelt werden, in dem alle Einflussgrößen und Entscheidungskriterien für die Wahl eines konkreten Archivierungssystems und der entsprechenden Produkte berücksichtigt werden und das gleichzeitig unter Kostengesichtspunkten wirtschaftlich vertretbar ist.

Grundlage für das Archivierungskonzept ist die in M 2.242 Zielsetzung der elektronischen Archivierung festgelegte Zielsetzung.

Im Archivierungskonzept ist der technische bzw. organisatorische Einsatz des Archivsystems festzulegen, also z. B.

  • die Zuständigkeiten und Verantwortlichkeiten,
  • die Definition von Benutzerrollen (z. B. Archivverwalter, Administratoren, Benutzer, technische Benutzer),
  • Definition von Zugriffsrechten und Modalitäten zur Rechtevergabe,
  • Abgrenzung der zu archivierenden Daten,
  • Schutz der archivierten Daten, z. B. durch Verschlüsseln und Signieren,
  • die angestrebte Systemanbindung bzw. die Einsatzbedingungen für Archivierungskomponenten,
  • die technische Ausgestaltung des Archivsystems,
  • der Betrieb des Archivsystems (z. B. Beschreibung von Service Level Agreements).

Die Ergebnisse sollten aktualisierbar und erweiterbar schriftlich dokumentiert werden. Das Archivierungskonzept selbst sollte in allen umgesetzten Fassungen aufbewahrt werden. Die Mitarbeiter sind über den sie betreffenden Teil des Konzepts zu unterrichten. Die Unterrichtung sollte nachprüfbar dokumentiert werden. Ein möglicher Aufbau eines Archivierungskonzepts ist im nachfolgenden Inhaltsverzeichnis beispielhaft aufgezeigt:

Inhaltsverzeichnis Archivierungskonzept

  • Dokumentkontext
    • Regelungsgegenstand
    • Regelmäßige Anpassung
    • Anordnung der Umsetzung
  • Definitionen
    • Archivierung, Dokumentenbegriff
    • Langzeitarchivierung, Archivierung zu Revisionszwecken
    • Beschreibung der Einsatzart und des Archivsystems
  • Gefährdungslage zur Motivation
    • Abhängigkeit der Institution vom Datenbestand
    • Typische Gefährdungen wie Datenverlust, Rekonstruktionsfehler, ...
    • Institutionsrelevante Schadensursachen
    • Beispiele zu Schadensfällen im eigenen Haus
  • Festlegung einer organisationsinternen Sicherheitsleitlinie
    • Festlegung von Verantwortlichkeiten
    • Zielsetzung, Sicherheitsniveau
  • Beschreibung der Einflussfaktoren
    • Identifikation der zu archivierenden Daten
    • Vertraulichkeitsbedarf der Daten
    • Integritätsbedarf der Daten
    • Authentizitätsbedarf der Daten
    • Verfügbarkeitsanforderungen an die Daten
    • Rechtliche Rahmenbedingungen
    • Archivierungsfristen (minimale, bei Bedarf auch maximale Speicherdauer)
    • Anforderungen an die Performance beim Einlesen bzw. Auslesen von Daten, Rekonstruktionsaufwand
    • Datenvolumen sowie Änderungsvolumen
    • Art der Daten (Formate)
    • Art der Zugriffe auf die archivierten Daten (lokal oder verteilt im LAN bzw. WAN)
    • Zu beachtende Normen und Standards
    • Erforderliche Funktionalität
    • Personalaufwand
    • Kosten inklusive Folgekosten (Wartung, Administration, Updates, etc.)
    • Kenntnisse und IT-spezifische Qualifikationen der Benutzer
  • Festlegung des Einsatzes
    • Art des Archivsystems
    • Einsatzbedingungen an das Archivsystem
    • Zeitraum des Einsatzes
    • Benennung der Verantwortlichen
    • Festlegung von Service Level Agreements
    • Durchführung der personellen Maßnahmen (Schulung, Vertretungsregelungen, Verpflichtungen, Rollenzuteilung)
    • Dokumentation der Einsatzbedingungen und der Konfiguration
    • Interoperabilität, Standardkonformität, Investitionsschutz
    • Regelmäßige Datensicherung
    • Virenschutz
    • Einsatz kryptographischer Verfahren
  • Randbedingungen für die Archivierung
    • Vertragsgestaltung
    • Refresh-Zyklen für die Speichermedien
    • Bestandsverzeichnis
    • Löschen von Daten
    • Vernichtung von unbrauchbaren Datenträgern
    • Vorhalten von arbeitsfähigen Lesegeräten
  • Sporadische Restaurierungsübungen

Einzelne Punkte dieses Konzepts werden in den Maßnahmen

näher adressiert.

Bei der elektronischen Archivierung handelt es sich nicht um eine einmalige Aufgabe, sondern um einen dynamischen Prozess. Ein Archivierungskonzept muss daher regelmäßig den aktuellen Gegebenheiten angepasst werden.

Prüffragen:

  • Existiert ein Archivierungskonzept, in dem alle Einflussgrößen und Entscheidungskriterien für die Wahl eines Archivierungssystems benannt sind?

  • Sind der technische und der organisatorische Einsatz des Archivsystems im Archivierungskonzept festgelegt?

  • Ist das Archivierungskonzept aktualisierbar und erweiterbar und wird schriftlich dokumentiert?

  • Werden alle umgesetzten Fassungen eines Archivierungskonzepts aufbewahrt?

  • Sind alle Mitarbeiter über die sie betreffenden Teile des Archivierungskonzepts unterrichtet und ist die Unterrichtung nachprüfbar dokumentiert?

  • Elektronische Archivierung: Wird das Archivierungskonzept regelmäßig den aktuellen Gegebenheiten angepasst?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK