Bundesamt für Sicherheit in der Informationstechnik

M 2.262 Regelung der Nutzung von Archivsystemen

Verantwortlich für Initiierung: Archivverwalter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Archivverwalter, Leiter IT

Durch entsprechende Regelungen ist sicherzustellen, dass das Archivsystem in der im Archivierungskonzept (siehe Maßnahme M 2.243 Entwicklung des Archivierungskonzepts ) vorgesehenen Weise genutzt wird. Hierzu sollten Richtlinien für die Benutzung und die Administration des Archivsystems erstellt werden. Die Richtlinien sind entsprechend den organisatorischen Gepflogenheiten in der jeweiligen Institution zu verankern und bekanntzugeben. Beim Einsatz externer Personen sind diese auf die Beachtung dieser Richtlinien zu verpflichten.

Die Administrationsrichtlinien sollten mindestens die folgenden Punkte umfassen:

  • Festlegung der Verantwortung für Betrieb und Administration des Archivsystems,
  • Vereinbarungen über Leistungsparameter (Service Level Agreements) beim Betrieb des Archivsystems, insbesondere wenn die Administration oder der Betrieb durch Externe erfolgen soll,
  • Modalitäten der Vergabe von Zutritts- und Zugriffsrechten zu den Komponenten des Archivsystems und den Archivmedien,
  • Modalitäten der Vergabe von Zugangsrechten zu den vom Archiv bereitgestellten Diensten,
  • Regelungen zum Umgang mit archivierten Daten und Archivmedien,
  • Überwachung des Archivsystems und der Umgebungsbedingungen für das Archivsystem und die verwendeten Archivmedien,
  • Regelung zur Datensicherung der Software-Komponenten des Archivsystems selbst,
  • Protokollierung der Aktivitäten am Archivsystem.

Die Benutzerrichtlinien sollten mindestens umfassen:

  • Erläuterung der Zielsetzung der elektronischen Archivierung und der Archivierungsfristen für Dokumente,
  • Festlegung der Verantwortung für Arbeiten mit dem Archivsystem,
  • Festlegung, in welchem Umfang die Nutzung des Archivsystems verpflichtend ist,
  • Modalitäten der Vergabe von Zugangsrechten zu den vom Archiv bereitgestellten Diensten,
  • Schulungsanforderungen an Benutzer, damit sie zur Nutzung des Archivsystems freigeschaltet werden dürfen,
  • Regelung der Vergabe von Kontextinformationen zu den archivierten Dokumenten, siehe auch M 2.258 Konsistente Indizierung von Dokumenten bei der Archivierung ,
  • Verpflichtung zum sorgfältigen Umgang mit recherchierten Dokumenten unter Beachtung der eventuellen Zweckbindung der Informationen,
  • Regelung zum Umgang mit Dokumenten nach Ablauf der festgelegten Archivierungsdauer,
  • Regelung, dass Daten, deren Löschung nach einem festgelegten Zeitraum vorgesehen ist, nicht mehr verwendet werden dürfen, obwohl sie unter Umständen aus technischen Gründen noch vorhanden sind,
  • Regelung zum Umgang mit personenbezogenen Daten,
  • Nutzung der vom Archivsystem bereitgestellten Schutzmechanismen, um eine spätere Prüfung der Integrität und Authentizität der archivierten Dokumente zu ermöglichen, sowie zur Gewährleistung der erforderlichen Vertraulichkeit,
  • Verpflichtung zur Überprüfung der Integrität und Authentizität recherchierter Dokumente vor der Weiterverwendung,
  • Umgang mit Daten, deren Integrität sich nicht nachweisen lässt, z. B. bei fehlgeschlagener Signaturprüfung,
  • Protokollierung der Benutzeraktivitäten am Archivsystem,
  • Abrechnungsmodalitäten bei Nutzung des Archivsystems durch mehrere Organisationseinheiten.

Die Regelungen sowie deren Kenntnisnahme durch die Administratoren und Benutzer des Archivsystems sind zu dokumentieren.

Prüffragen:

  • Wird überprüft, ob das Archivsystem laut dem Archivierungskonzept genutzt wird?

  • Sind Richtlinien für die Benutzung und die Administration des Archivsystems erstellt?

  • Werden externe Personen auf die Beachtung der Richtlinien verpflichtet?

  • Legt die Administrationsrichtlinie die Verantwortung für Betrieb, Administration, Zugriffsrechte und Leistungsparameter des Archivsystems fest?

  • Werden die Regelungen und die Kenntnisnahme durch Administratoren und Benutzer des Archivsystems dokumentiert?

Stand: 13. EL Stand 2013