M 2.243 Entwicklung des Archivierungskonzepts
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter
Verantwortlich für Umsetzung: Archivverwalter, IT-Sicherheitsbeauftragter
Der Aufbau eines Archivsystems sollte sorgfältig konzipiert werden. Dabei sind einerseits zahlreiche Einflussfaktoren (z. B. organisationsinterne oder rechtliche Vorgaben, technische und organisatorische Umgebungsbedingungen) zu beachten, andererseits bestehen vielfältige technische Möglichkeiten, um ein elektronisches Archiv aufzubauen. Daher sollte zunächst ein Konzept entwickelt werden, in dem alle Einflussgrößen und Entscheidungskriterien für die Wahl eines konkreten Archivierungssystems und der entsprechenden Produkte berücksichtigt werden und das gleichzeitig unter Kostengesichtspunkten wirtschaftlich vertretbar ist.
Grundlage für das Archivierungskonzept ist die in M 2.242 Zielsetzung der elektronischen Archivierung festgelegte Zielsetzung.
Im Archivierungskonzept ist der technische bzw. organisatorische Einsatz des Archivsystems festzulegen, also z. B.
- die Zuständigkeiten und Verantwortlichkeiten,
- die Definition von Benutzerrollen (z. B. Archivverwalter, Administratoren, Benutzer, technische Benutzer),
- Definition von Zugriffsrechten und Modalitäten zur Rechtevergabe,
- Abgrenzung der zu archivierenden Daten,
- Schutz der archivierten Daten, z. B. durch Verschlüsseln und Signieren,
- die angestrebte Systemanbindung bzw. die Einsatzbedingungen für Archivierungskomponenten,
- die technische Ausgestaltung des Archivsystems,
- der Betrieb des Archivsystems (z. B. Beschreibung von Service Level Agreements).
Die Ergebnisse sollten aktualisierbar und erweiterbar schriftlich dokumentiert werden. Das Archivierungskonzept selbst sollte in allen umgesetzten Fassungen aufbewahrt werden. Die Mitarbeiter sind über den sie betreffenden Teil des Konzepts zu unterrichten. Die Unterrichtung sollte nachprüfbar dokumentiert werden. Ein möglicher Aufbau eines Archivierungskonzepts ist im nachfolgenden Inhaltsverzeichnis beispielhaft aufgezeigt:
Inhaltsverzeichnis Archivierungskonzept
- Dokumentkontext
- Regelungsgegenstand
- Regelmäßige Anpassung
- Anordnung der Umsetzung
- Definitionen
- Archivierung, Dokumentenbegriff
- Langzeitarchivierung, Archivierung zu Revisionszwecken
- Beschreibung der Einsatzart und des Archivsystems
- Gefährdungslage zur Motivation
- Abhängigkeit der Institution vom Datenbestand
- Typische Gefährdungen wie Datenverlust, Rekonstruktionsfehler, ...
- Institutionsrelevante Schadensursachen
- Beispiele zu Schadensfällen im eigenen Haus
- Festlegung einer organisationsinternen Sicherheitsleitlinie
- Festlegung von Verantwortlichkeiten
- Zielsetzung, Sicherheitsniveau
- Beschreibung der Einflussfaktoren
- Identifikation der zu archivierenden Daten
- Vertraulichkeitsbedarf der Daten
- Integritätsbedarf der Daten
- Authentizitätsbedarf der Daten
- Verfügbarkeitsanforderungen an die Daten
- Rechtliche Rahmenbedingungen
- Archivierungsfristen (minimale, bei Bedarf auch maximale Speicherdauer)
- Anforderungen an die Performance beim Einlesen bzw. Auslesen von Daten, Rekonstruktionsaufwand
- Datenvolumen sowie Änderungsvolumen
- Art der Daten (Formate)
- Art der Zugriffe auf die archivierten Daten (lokal oder verteilt im LAN bzw. WAN)
- Zu beachtende Normen und Standards
- Erforderliche Funktionalität
- Personalaufwand
- Kosten inklusive Folgekosten (Wartung, Administration, Updates, etc.)
- Kenntnisse und IT-spezifische Qualifikationen der Benutzer
- Festlegung des Einsatzes
- Art des Archivsystems
- Einsatzbedingungen an das Archivsystem
- Zeitraum des Einsatzes
- Benennung der Verantwortlichen
- Festlegung von Service Level Agreements
- Durchführung der personellen Maßnahmen (Schulung, Vertretungsregelungen, Verpflichtungen, Rollenzuteilung)
- Dokumentation der Einsatzbedingungen und der Konfiguration
- Interoperabilität, Standardkonformität, Investitionsschutz
- Regelmäßige Datensicherung
- Virenschutz
- Einsatz kryptographischer Verfahren
- Randbedingungen für die Archivierung
- Vertragsgestaltung
- Refresh-Zyklen für die Speichermedien
- Bestandsverzeichnis
- Löschen von Daten
- Vernichtung von unbrauchbaren Datenträgern
- Vorhalten von arbeitsfähigen Lesegeräten
- Sporadische Restaurierungsübungen
Einzelne Punkte dieses Konzepts werden in den Maßnahmen
- M 2.242 Zielsetzung der elektronischen Archivierung,
- M 2.244 Ermittlung der technischen Einflussfaktoren für die elektronische Archivierung,
- M 2.245 Ermittlung der rechtlichen Einflussfaktoren für die elektronische Archivierung,
- M 2.246 Ermittlung der organisatorischen Einflussfaktoren für die elektronische Archivierung,
näher adressiert.
Bei der elektronischen Archivierung handelt es sich nicht um eine einmalige Aufgabe, sondern um einen dynamischen Prozess. Ein Archivierungskonzept muss daher regelmäßig den aktuellen Gegebenheiten angepasst werden.
Ergänzende Kontrollfragen:
- Ist das Archivierungskonzept verbindlich festgelegt?
- Ist das vorliegende Archivierungskonzept aktuell?
- Sind die Mitarbeiter über den sie betreffenden Teil des Konzepts nachweislich unterrichtet worden?
- Wird die Aktualität des Konzepts regelmäßig überprüft?
- Werden Änderungen der Einflussfaktoren zeitnah berücksichtigt?