Bundesamt für Sicherheit in der Informationstechnik

M 2.246 Ermittlung der organisatorischen Einflussfaktoren für die elektronische Archivierung

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Archivverwalter, IT-Sicherheitsbeauftragter

Für die elektronische Archivierung gibt es eine Reihe von organisatorischen Einflussfaktoren, die bei der Konzeption des Archivsystems berücksichtigt werden müssen. Dazu gehören unter anderem

  • der Zeitraum des Einsatzes des Archivsystems,
  • die Archivierungsfristen,
  • der Vertraulichkeitsbedarf der Daten,
  • der Verfügbarkeitsbedarf der Daten,
  • der Integritätsbedarf der Daten,
  • der Authentizitätsbedarf der Daten,
  • die Festlegung akzeptabler Antwortzeiten,
  • der Rekonstruktionsaufwand,
  • der Personalaufwand,
  • die Kenntnisse und IT-spezifischen Qualifikationen der Benutzer,
  • die Ergonomie und Bedienfreundlichkeit des Archivsystems,
  • die Einhaltung von Standards und
  • die finanziellen Randbedingungen.

Die angegebenen Einflussfaktoren sind nachfolgend detaillierter dargestellt.

Einsatzzeitraum des Archivsystems

Die Einsatzdauer eines Archivsystems ist getrennt von der Zeitdauer der Archivierung zu kalkulieren. Es ist eine Abschätzung vorzunehmen, über welchen Zeitraum das konkret auszuwählende System betriebsbereit sein soll. Dies wirkt sich auf die Auswahl der Komponenten, speziell auf die geforderte Lebensdauer der Komponenten, aus.

Ein langer Zeitraum impliziert die Auswahl langlebiger IT-Komponenten sowie die Gestaltung entsprechender Service- und Lieferverträge, die typischerweise mit höheren Kosten verbunden sind.

Ein kurzer Zeitraum impliziert eine frühere Migration des Archivs auf ein neues Archivsystem.

Archivierungsfristen

Für die Kalkulation der notwendigen Speicherkapazität des Archivsystems ist eine Abschätzung der Aufbewahrungsdauer der archivierten Dokumente unerlässlich. Für die Aufbewahrungsdauer ergeben sich aufgrund rechtlicher oder organisationsinterner Vorgaben minimale, jedoch teilweise auch maximale Speicherfristen, die zu beachten sind.

Die Aufbewahrungsdauer hat jedoch nicht nur Einfluss auf die Speicherkapazität des Archivsystems, sondern auch auf die Auswahl des Speichermediums sowie dessen Entsorgung nach Ablauf der Aufbewahrungsdauer.

Vertraulichkeitsbedarf der Daten

Bei der Bestimmung des Vertraulichkeitsbedarfs ist vor allem zu beachten, dass sich dieser Bedarf während der Archivierungsfrist ändern kann. Hierbei können wirtschaftliche und juristische Einflussfaktoren Geltung erlangen. Typischerweise ist davon auszugehen, dass der Vertraulichkeitsbedarf im Lauf der Zeit abnimmt.

Wenn ein langfristiger Schutz der Vertraulichkeit gefordert wird, so hat dies Einfluss auf die organisatorische Gestaltung des Archivierungskonzepts (siehe M 2.264 Regelmäßige Aufbereitung von verschlüsselten Daten bei der Archivierung ) und die Auswahl technischer Komponenten.

Verfügbarkeitsbedarf der Daten

Die elektronische Archivierung wird typischerweise zur langfristigen Aufbewahrung von Daten und Dokumenten eingesetzt. Hierbei ist als wesentliche Anforderung in einem der vorigen Punkte bereits festgelegt worden, für welchen Zeitraum die betreffenden Dokumente zu archivieren sind.

Daneben ist festzulegen, welche weitergehenden Anforderungen an die Verfügbarkeit zu stellen sind, z. B. die Ausfallsicherheit des Archivsystems und die Stabilität der verwendeten Speichermedien.

Integritätsbedarf der Daten

Die Integrität elektronisch archivierter Dokumente muss typischerweise auch nach einer langen Aufbewahrungsdauer noch sichergestellt und prüfbar sein. Hierbei ist insbesondere davon auszugehen, dass Ursprungsdokumente und weitere Kontextinformationen zwischenzeitlich nicht mehr existieren, die Integritätsprüfung also unmittelbar vom Archivsystem bereitgestellt werden muss.

Es muss neben der Klassifizierung des Integritätsbedarfs (z. B. niedrig bis mittel, hoch oder sehr hoch) festgelegt werden, über welchen Zeitraum dies prüfbar sein soll.

Authentizitätsbedarf der Daten

Analog zur Integrität muss auch der Authentizitätsbedarf und der Zeitraum festgelegt werden, innerhalb dessen die Authentizität von Dokumenten prüfbar sein muss. Auch hier ist davon auszugehen, dass typischerweise nach einer längeren Archivierungsdauer die Ursprungsdokumente und Kontextinformationen nicht mehr beigebracht werden können. Die Authentizitätsprüfung muss also vom Archivierungsprozess bereitgestellt werden.

Bestimmung akzeptabler Antwortzeiten

Zwischen der Anfrage an ein Archivsystem und der Antwort ergibt sich eine Verzögerung (Antwortzeit). Die Anforderungen an diese Verzögerung werden typischerweise durch eine zu erzielende mittlere und eine maximal akzeptable Antwortzeit definiert.

Die Antwortzeit ist nach unterschiedlichen Faktoren zu charakterisieren, u. a.

  • die Zeitdauer bis zur Reaktion des Archivsystems bei einer Anfrage,
  • die Zeitdauer bis zur Speicherbestätigung des Archivsystems und
  • die Zeitdauer bis zur vollständigen Übertragung des gewünschten Dokuments an das Clientsystem.

Die geforderte Antwortzeit hängt dabei sehr stark vom Einsatzszenario ab. So kann z. B. bei der Abfertigung von Passagieren auf Flughäfen eine Abfragezeit von wenigen Minuten eine sinnvolle Anforderung sein. Bei einer Recherche in Altdatenbeständen eines Grundbuchamtes können dagegen durchaus Reaktionszeiten im Stundenbereich innerhalb der Regelarbeitszeit akzeptabel sein.

Typischerweise ergeben sich auch subjektive Anforderungen an die Antwortzeiten. So kann z. B. eine hohe Reaktionszeit auf Suchanfragen oder beim Öffnen archivierter Dokumente als störender empfunden werden als eine gleich lange Zeitdauer bis zur Speicherbestätigung bei der Ablage von Dokumenten im Archiv.

Die Anforderungen an die Antwortzeit sind zu ermitteln und zu dokumentieren.

Rekonstruktionsaufwand

Es ist zu bestimmen, welcher zeitliche und technische Aufwand für das Wiederfinden und Bereitstellen archivierter Dokumente akzeptabel ist. Dies ist abhängig von der Art und Struktur der archivierten Daten und daher vom konkreten Einsatzszenario.

Personalaufwand

Der Personalaufwand für den Betrieb des Archivsystems stellt einen wesentlichen Einflussfaktor bei der Auswahl des Systems dar. Organisationsspezifisch ist zu ermitteln, welcher zusätzliche Personalaufwand und welche zusätzliche individuelle Belastung des Personals durch die Archivierung als tragbar angesehen werden.

Dies hat Auswirkungen auf die künftige Personalplanung, da gegebenenfalls zusätzliches Personal erforderlich ist. Die Rollen Archivverwalter, Archivadministrator und (technischer) Benutzer sind mindestens zu besetzen. Wenn im laufenden Betrieb zu wenig Personal verfügbar ist, muss die fehlende Personalkapazität durch externe Wartungs- und Serviceverträge kompensiert werden.

Kenntnisse und IT-spezifische Qualifikationen der Benutzer

Die Auswahl geeigneter Bedienschnittstellen des Archivsystems wird unter anderem von den Vorkenntnissen der vorgesehenen Benutzer beeinflusst. Hier sollte ermittelt werden, welche IT-spezifischen Fachkenntnisse vorliegen.

Dies hat auch Einfluss auf die Gestaltung von Dienstleistungen im Umfeld der Archivierung, etwa die Organisation einer Benutzerunterstützung (Helpdesk).

Alle Benutzer müssen in jedem Fall im Umgang mit dem Archivsystem geschult werden, damit Schäden durch Fehlbedienung möglichst vermieden werden. Die erforderliche Schulung muss in der Kalkulation der Gesamtkosten berücksichtigt werden.

Ergonomie und Bedienfreundlichkeit des Archivsystems

Die Bedienfreundlichkeit hat maßgeblichen Einfluss auf die Akzeptanz durch die Benutzer und dadurch auch auf die ordnungsgemäße Nutzung des Archivsystems.

Neben gesetzlichen Anforderungen zur Ergonomie an Arbeitsplätzen ist hierbei auch der subjektive Eindruck von Benutzern zu berücksichtigen. Die Ermittlung entsprechender Anforderungen kann z. B. über eine Befragung der künftigen Benutzer erfolgen, es sollten jedoch auch Erfahrungen aus Pilot- und Testinstallationen der vorgesehenen Archivsystem-Komponenten einfließen.

Einhaltung von Standards

Für die Interoperabilität mit anderen Produkten und Organisationsprozessen sollte darauf geachtet werden, dass Archivsystem-Komponenten gewählt werden, die konform zu bestehenden Standards sind. Obwohl auch Standards nicht dauerhaft bestehen, sondern im Lauf der Zeit ebenfalls vom technischen Fortschritt überholt werden, wird die Einhaltung der maßgeblichen Standards typischerweise als Investitionsschutz angesehen.

Dies ist jedoch abhängig vom konkreten Einsatzzweck und der Einsatzumgebung. Es sollte daher individuell ermittelt werden, welche Standards maßgeblich sind. Einige relevante technische Standards sind in den Maßnahmen M 4.169 Verwendung geeigneter Archivmedien und M 4.170 Auswahl geeigneter Datenformate für die Archivierung von Dokumenten beschrieben.

Finanzielle Randbedingungen

Die Einführung von Archivsystemen und die Gestaltung eines entsprechenden organisatorischen Rahmens werden typischerweise von den anfallenden Kosten beeinflusst:

  • einmalige Investitionen,
  • laufenden Kosten, inklusive Personalkosten,
  • Lizenzgebühren.

Die technische Planung des Betriebs von Archivsystemen wird daher typischerweise von einer Finanzplanung begleitet. Hierbei sind die organisationsinternen Regelungen (Budgetplanung, Verteilung von Kostenstellen, etc.) zu berücksichtigen.

Die notwendigen Schulungen der Benutzer und Administratoren müssen in die Kalkulation der Gesamtkosten der Archivierung einbezogen werden.

Prüffragen:

  • Wird der Zeitraum ermittelt, in dem ein konkret auszuwählendes Archivsystem betriebsbereit sein soll?

  • Werden bei der Bestimmung des Vertraulichkeitsbedarfs mögliche Änderungen während der Archivierungsfristen bedacht?

  • Sind die Anforderungen an die Verfügbarkeit des Archivsystems festgelegt?

  • Wird der Integritätsbedarf und der Zeitraum der Prüfbarkeit festgelegt und durch das Archivsystem realisiert?

  • Wird der Authentizitätsbedarf und der Zeitraum der Prüfbarkeit festgelegt und durch das Archivsystem realisiert?

  • Sind die Anforderungen an die Antwortzeiten des Archivsystems ermittelt und dokumentiert?

  • Sind die zeitlichen und technischen Grenzen für das Finden und Bereitstellen archivierter Dokumente ermittelt?

  • Sind die Rollen Archivverwalter, Archivadministrator und (technischer) Benutzer besetzt?

  • Sind die IT -spezifischen Fachkenntnisse der Benutzer für das Archivsystem ermittelt?

  • Werden in Abhängigkeit der Einsatzumgebung des Archivsystems maßgebliche Standards ermittelt und ausgewählt?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK