Bundesamt für Sicherheit in der Informationstechnik

M 2.260 Regelmäßige Revision des Archivierungsprozesses

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Revisor

Verantwortlich für Umsetzung: Archivverwalter, IT-Sicherheitsbeauftragter, Revisor

Der Prozess der Archivierung ist regelmäßig einer Revision zu unterziehen, um seine Korrektheit und Ordnungsmäßigkeit zu prüfen und daraus die Korrektheit und Authentizität der im Archivsystem abgelegten Dokumente abzuleiten.

Hierzu ist eine geeignete Vorgehensweise für die Revision entsprechend des in M 2.243 Entwicklung des Archivierungskonzepts beschriebenen Konzeptes zu entwickeln und in Form einer Checkliste zu dokumentieren.

Diese Checkliste sollte mindestens die folgenden Punkte umfassen:

Fragen zu Verantwortlichkeiten

  • Sind die verantwortlichen Personen benannt und in ihre Aufgaben eingewiesen worden? Ist dies dokumentiert?
  • Bestehen Vertretungsregelungen für alle verantwortlichen Personen?

Fragen zum Organisationsprozess

  • Bestehen organisationsweite Regelungen zum Einsatz elektronischer Archivierung?
  • Ist organisationsweit geregelt und dokumentiert, welche Dokumente zu archivieren sind? Ist diese Regelung umfassend und vollständig?
  • Sind die Sicherheitsanforderungen an die Dokumente dokumentiert?
  • Werden die organisationsweiten Regelungen regelmäßig an aktuelle Entwicklungen angepasst?
  • Werden alle Anpassungen der Regelungen ordnungsgemäß dokumentiert und archiviert?

Fragen zum Einsatz der Archivierung

  • Bestehen eindeutige Regelungen, welche Dokumente zu archivieren sind?
  • Bestehen dokumentierte Regelungen, welche Kontextangaben zu archivierten Dokumenten vergeben werden, etwa die Angabe von Dokumentkategorien?
  • Werden die zu archivierenden Dokumente vollständig und reproduzierbar archiviert?
  • Werden die Anforderungen an die Vertraulichkeit der zu archivierenden Dokumente eingehalten?
  • Werden die Anforderungen an die Authentizität der zu archivierenden Dokumente eingehalten?
  • Werden die Anforderungen an die Integrität der zu archivierenden Dokumente eingehalten?
  • Werden die Anforderungen an die Verfügbarkeit der zu archivierenden Dokumente eingehalten?
  • Werden die rechtlichen Vorgaben an die Archivierung eingehalten?
  • Sind alle Benutzer und Administratoren entsprechend ihrer Rollen und Aufgaben geschult und eingewiesen? Ist dies dokumentiert?

Fragen zur Redundanz der Archivdaten

  • Werden Archivdaten ausreichend redundant gespeichert und aufbewahrt, z. B. durch den Einsatz redundanter Archivsysteme oder alternativer Backup-Medien?
  • Erfolgt eine regelmäßige Datensicherung der Archivsysteme sowie gegebenenfalls der Archivdaten?
  • Sind die Datensicherungen den Vorgaben entsprechend durchgeführt worden?
  • Sind die Datensicherungen der Archivdaten vollständig und lesbar?
  • Gab es seit der letzten Revision Datenverluste?
    Wenn ja, wie häufig und wie schwer waren diese Vorfälle?
  • Traten Fehler bei der Rekonstruktion archivierter Dokumente auf?
    Wenn ja, wie häufig waren diese Vorfälle und waren die Fehler behebbar?

Fragen zur Administration

  • Wird der geforderte Refresh-Zyklus der Archivmedien eingehalten?
  • Werden nicht mehr benötigte, beschriebene Archivmedien ordnungsgemäß vernichtet und entsorgt?
  • Werden Lesegeräte und Speichermedien im geforderten Maße vorgehalten?

Technische Beurteilung des Archivsystems

Die Revision sollte auch eine technische Neubewertung der Archivsystem-Komponenten und der verwendeten Datenformate beinhalten. Hierdurch soll gewährleistet werden, dass technische Weiterentwicklungen frühzeitig erkannt werden und technische Änderungen am Archivsystem selbst durch den Hersteller im Vorfeld bekannt sind.

Bei dieser Prüfung kann sich herausstellen, dass technische Komponenten des Archivsystems geändert werden müssen. Dann muss sichergestellt werden, dass ausgetauschte Komponenten, z. B. Laufwerke, Speichermedien, Betriebssoftware, einwandfrei mit allen anderen Komponenten unter Beibehaltung der für den Betrieb notwendigen Funktionalität zusammenarbeiten.

Die Prüfergebnisse der Revisionen sind ebenfalls gemäß den Anforderungen an den Archivierungsprozess selbst zu archivieren.

Prüffragen:

  • Wird der Prozess der Archivierung regelmäßig einer Revision unterzogen?

  • Enthält die Checkliste zur Revision Fragen zu Verantwortlichkeiten, dem Organisationsprozess, Einsatz der Archivierung, Redundanz der Archivdaten, der Administration und der technischen Beurteilung des Archivsystems?

  • Werden die Prüfergebnisse der Revision gemäß den Anforderungen des Archivierungsprozesses archiviert?

Stand: 13. EL Stand 2013