View
250
Download
0
Category
Preview:
Citation preview
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
Records Management & DatenschutzDr. Ulrich Kampffmeyer9. Datenschutzkongress 2008Berlin, 7. Mai 2008
P R O J E C T C O N S U L TUnternehmensberatung Dr. Ulrich Kampffmeyer GmbH
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
Agenda
Einführung: Compliance, Records Management und Archivierung
Sicherung bei Speicherung und Zugriff Funktionalität von Records Management, elektronischer
Archivierung und ILM Information Lifecycle Management Organisatorische und technische Anforderungen an die
sichere Speicherung von Informationen Zukunft: Sicherheit und Zugriffskontrolle in der
Langzeitarchivierung
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
Einführung: Compliance, Records Management und Archivierung
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
Compliance
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
5
Übereinstimmung mit und Erfüllung von rechtlichen und regulativen Vorgaben.
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
6
Compliance: Definition (1)
„Übereinstimmung“
Voraussetzung sind nachlesbare, definierte, offizielle Vorgaben, die die Regeln enthalten, was zu tun ist.
Dazu ist „Übereinstimmung“ gefordert, ohne dass die Regeln meistens eine technische Vorgabe enthalten, wie die Anforderung umzusetzen ist.
Das ist sinnvoll, da sich solche Vorgaben nicht an einer Technologie festmachen sollten, die in ein paar Jahren schon wieder obsolet ist.
„Übereinstimmung“ ist statisch bezogen auf die Vorgabe.
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
7
Compliance: Definition (2)
„Erfüllung“
Erfüllung der Anforderungen in der Lösung, dies muss ein Prozess sein, keine einmalige Aktion.
Das Unternehmen oder die Organisation muss kontinuierlich für die Einhaltung der Vorgaben Sorge tragen.
„Erfüllung“ geht meistens über eine rein technische Lösung hinaus und beinhaltet auch organisatorische und Management-Aspekte.
Es ist ein dynamischer, ständig laufender, kontrollierter Prozess.
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
8
Compliance
Unterschiede:
• Direkte Auswirkungen• HGB• AO / GDPdU / GOBS• Verrechnungspreisdokumentation
• Indirekte Auswirkungen
• Basel II (für „Nicht-Banken“)• BDSG
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
9
Grundsätzliche Kriterien für Compliance
• Authentizität
• Vollständigkeit
• Nachvollziehbarkeit
• Zugriffssicherheit
• Geordnetheit
• Integrität
• Auffindbarkeit
• Reproduzierbarkeit
• Unverändertheit
• Richtigkeit
• Prüfbarkeit
• Portabilität• Vertrauenswürdigkeit
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
10
Langzeitarchivierung: Definition
• Ist nicht nur die Erfüllung gesetzlicher Vorgaben über eine bestimmte Zeitspanne
• „Langzeit“ bedeutet für die Bestandserhaltung digitaler Ressourcen die Entwicklung von Strategien, die den ständigen Wandel im Informationsmarkt bewältigen können
• „Archivierung“ ist im allgemeinen Sprachgebrauch mit der fortschreitenden Anwendung der Informationstechnik seines Sinnes nahezu entleert worden
• „Archivierung“ impliziert die Erhaltung der dauerhaften Verfügbarkeit digitaler Ressourcen
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
11
Langzeitarchivierung
• „Langzeit“ bedeutet für die Bestandserhaltung digitaler Ressourcen die Entwicklung von Strategien, die den ständigen Wandel im Informationsmarkt bewältigen können
• „Archivierung“ ist im allgemeinen Sprachgebrauch mit der fortschreitenden Anwendung der Informa-tionstechnik seines Sinnes nahezu entleert worden
• Ist nicht nur die Erfüllung gesetzlicher Vorgaben über eine bestimmte Zeitspanne
• „Archivierung“ impliziert die Erhaltung der dauerhaften Verfügbarkeit digitaler Ressourcen
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
Records Management
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
13
Was ist ein Record? (1)
• Unter einem Record wird ein beliebiger Content-Typ verstanden, der sich auf die Geschäftstätigkeit oder die Transaktion eines Unternehmens bezieht.
• Die physikalische Form oder andere Merkmale spielen dabei keine Rolle.
• Beispiele sind E-Mails, Verträge, Geschäftsvereinbarungen, Kontoübersichten, Berichte sowie Video- und Audiodateien.
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
14
Was ist ein Record? (2)
• Information created, received, and maintained as evidence and information by an organisation or person, in pursuance of legal obligations or in the transaction of business.
(ISO 15489 Part 1)
• Information, die erzeugt, empfangen und bewahrt wird, um als Nachweis einer Organisation oder Person bei rechtlichen Verpflichtungen oder zum Nachvollzug einer geschäftlichen Handlung zu dienen.
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
15
Was ist Records Management? (1)
• Field of management responsible for the efficient and systematic control of the creation, receipt, maintenance, use and disposition of records, including processes for capturing and maintaining evidence of and information about business activities and transactions in the form of records.
(ISO 15489 Part 1)
• Als Führungsaufgabe wahrzunehmende effiziente und systematische Kontrolle und Durchführung der Erstellung, Entgegennahme, Aufbewahrung, Nutzung und Aussonderung von Schriftgut, einschließlich der Vorgänge zur Erfassung und Aufbewahrung von Nachweisen und Informationen über Geschäftsabläufe und Transaktionen in Form von Akten.
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
16
Was ist Records Management? (2)
• Records Management oder Electronic Records Management (ERM) bezieht sich auf die Strukturierungs-, Verwaltungs- und Organisationskomponente zur Handhabung von Aufzeichnungen.
• ERM ist nicht mit elektronischer Archivierung deutscher Prägung gleichzusetzen, obwohl viele Ansätze sich hier wiederfinden.
• ERM ist auch eine wichtige Komponente von ECM. Der Begriff findet inzwischen auch weitere Verbreitung in Deutschland und wird durch zahlreiche internationale Standards gestützt.
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
17
Was ist Records Management? (3)
• Abbildung von Aktenplänen und anderen strukturierten Verzeichnissen zur geordneten Ablage von Informationen
• Thesaurus- oder kontrollierter Wortschatz-gestützte eindeutige Indizierung von Informationen
• Verwaltung von Aufbewahrungsfristen (Retention Schedules) und Vernichtungsfristen (Deletion Schedules)
• Schutz von Informationen entsprechend ihren Eigenschaften, z.T. bis auf einzelnen Inhaltskomponenten in Dokumenten
• Nutzung international, branchenspezifisch oder zumindest unternehmensweit standardisierter Meta-Daten zur eindeutigen Identifizierung und Beschreibung der gespeicherten Informationen
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
18
Was ist Records Management? (4)
• Records Management ist unabhängig vom Medium
• Verwaltung von physischen Records (z.B. Papierdokumenten)
• elektronisches Records Management (Verwaltung von digitalen Objekten)
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
19
Records Management: international normiert (1)
Internationale Standards:• Committee of Best Practices and Standards (CBPS):
International Standard for Describing Functions (ICA-ISDF)
• Vereinte Nationen: ARMS Standard on Recordkeeping Metadata
• Europäische Union: MoReq
• ISO 15489: Records Management
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
20
Records Management: international normiert (2)
Nationale Standards:• Deutschland: DOMEA
• Australien: VERS
• England: TNA
• Frankreich: AFNOR
• Italien: Protocollo
• Luxemburg: SEL GED
•Niederlande: ReMANO
•Norwegen: NOARK
•Österreich: ELAK
•Schweiz: GEVER
•USA: DoD 5015
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
21
Records Management: international normiert (3)
Meta-Standards (1):• AIIM: Integrated EDM/ERM Functional
Requirements
• Australian RKMS: Recordkeeping Metadata Schema
• DCMI: The Dublin Core Metadata Initiative
• DIRKS: Designing and Implementing Recordkeeping Systems (Australia)
• e-GMS UK: e-Government Metadata Standard
• FEA Federal Enterprise Architecture:
DRM Data Reference Model 2.0
• ISO 23081, Teil 1: Records Management Prozesse, Metadaten für Records
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
22
Records Management: international normiert (4)
Meta-Standards (2):• ISO 2788, ISO 5964: Thesaurus
• LMER: Langzeitarchivierungsmetadaten für elektro-nische Ressourcen. Nestor Projekt, 2007
• MARC: Machine-Readable Cataloging
• METS: Metadata Encoding & Transmission Standard
• MoReq2 Model: Model Requirements for the Management of Electronic Records
• US DoD: Dept. of Defense 5015.2-STD: Standard für Electronisches-Records-Management
• The National Archives (UK) Functional Requirements for ERM: Metadata Standard
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
23
RECORDS
Moreq2, ISO15489
XMLMetadata:DC, ISAAR, ISOs 23081, 639, 2788, 5964, 8601
ISO 18492, OAIS
X.509, XKMS
ISO 12142
ISO 15801, 12654
ISO 12033
PDF/A
RFC 2821, 2822, TIFF, JPEG
ISO 216
ISO 12037
GUID
PDF/A
ISO 15801, 12654
DOD 5015.2
DOD 5015.2
ERM bezogene Standards
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
Elektronische Archivierung
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
25
Archiv
• Unter einem Archiv (v. lat.: archivum, aus griech.: archeion Regierungs-, Amtsgebäude) versteht man üblicherweise eine meist auf Dauer angelegte Sammlung von Unterlagen oder Informationen.
• Elektronische Archive erlauben datenbankgestützt den Zugriff auf langzeitig, unveränderbar archivierte elektronische Informationen.Elektronische Archive sind keine Datensicherungs- oder Backup-Systeme.
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
26
Elektronische Archivierung
• Grundsätzlich dient die elektronische Archivierung zur langfristigen, sicheren, authentischen und unverfälschbaren elektronischen Speicherung von Daten, Informationen, Dokumenten und Content.
• Unter „elektronischer Langzeitarchivierung“ versteht man die Bereitstellung von Daten und Dokumenten über einen Zeitraum von mindestens 10 Jahren. Dies entspricht der Aufbewahrungsfrist von Handelsbriefen.
• Unter „revisionssicherer elektronischer Archivierung“ versteht man Archivsysteme, die nach den Vorgaben von §§ 239, 257 HGB, §§ 146, 147 AO und GoBS beliebige Informationen sicher, unverändert, vollständig, ordnungsgemäß, verlustfrei reproduzierbar und datenbankgestützt recherchierbar verwalten.
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
27
Elektronische Archivierung: Begriffe
Langzeitarchivierung• Unter „elektronische Langzeitarchivierung“ versteht man die
Bereitstellung von Daten und Dokumenten über einen Zeitraum von mindestens 10 Jahren.
Revisionssichere Archivierung • Unter „revisionssicherer Archivierung“ versteht man Archivsysteme,
die nach den Vorgaben der Allgemeinen Abgabenordnung (HGB AO) und der GoBS Daten und Dokumente sicher, unverändert, vollständig, ordnungsgemäß, verlustfrei reproduzierbar und datenbankgestützt recherchierbar verwalten.
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
28
Archivierung
Archivierung ist normiert:
• ISO 17799: Information Security• ISO 14721: OAIS Open Archive Information System• ISO/TR 18492: Long-term preservation of electronic document-
based information • ISO/CD TR 26102: Information and documentation -
Requirements for long-term preservation of electronic records
• Vertrauenswürdige Archive
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
Sicherung bei Speicherung und Zugriff
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
30
Sicherheit: Definition (1)
• Sicherheit bezeichnet einen Zustand, der frei von unvertretbaren Risiken der Beeinträchtigung ist oder als gefahrenfrei angesehen wird.
• Sicherheit ist sowohl auf ein einzelnes Individuum als auch auf andere Lebewesen, auf unbelebte reale Objekte oder Systeme wie auch auf abstrakte Gegenstände (z. B. eine Kapitalanlage oder Information) bezogen.
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
31
Sicherheit: Definition (2)
Für Informationssysteme sind verschiedene Ausprägungen von Sicherheit zu unterscheiden:
• Informationssicherheit• Systemsicherheit• Speichersicherheit• Zugangssicherheit• Investitionssicherheit• Revisionssicherheit• Migrationssicherheit• usw.
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
32
Revisionssicherheit: Kriterien
Folgende Kriterien gelten für die Revisionssicherheit von Archivsystemen:
• Ordnungsmäßigkeit• Vollständigkeit• Sicherheit des Gesamtverfahrens• Schutz vor Veränderung und Verfälschung• Sicherung vor Verlust• Nutzung nur durch Berechtigte• Einhaltung der Aufbewahrungsfristen• Dokumentation des Verfahrens• Nachvollziehbarkeit• Prüfbarkeit
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
33
Systemsicherheit und Records Management (1)
Die Sicherheit von Systemen bezieht sich im Rahmen von RM-Lösungen im Wesentlichen auf:
• Stabilität und störungsfreier Betrieb• Hohe Verfügbarkeit und geringstmögliche Ausfallzeiten• Informationssicherheit und keine Datenverluste• Transaktionssicherheit und keine nicht behebbaren Abbrüche• Sichere Restart- und Recovery-Verfahren• Nachvollziehbarkeit von Änderungen am und im System
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
34
Systemsicherheit und Records Management (2)
Die Sicherheit von Systemen bezieht sich im Rahmen von RM-Lösungen im Wesentlichen auf:
• Robustheit gegen versehentliche oder intentionelle Beeinträchtigungen und herbeigeführte Fehlersituationen
• Migrationssicherheit für Komponenten, Software, Strukturen, Metadaten, Kontext und Informationsobjekte
• Kryptografisch encodierte Übermittlung von Informationen über externe Leitungen
• Firewall und Intrusion Detection zur Absicherung der Systeme• Kontrollierte Redundanz denn ein Speicherort und ein
Speichermedium sind nie genug
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
35
Zugangssicherheit und Records Management
Die Zugangssicherheit bezieht sich auf:• Räumlichkeiten mit Zugangskontrolle und nachvollziehbarem Zugang• Rechner am Arbeitsplatz oder unterwegs• Software auf dem Rechner, gesichert durch Benutzerkennung, Passwort
und gegebenenfalls weitere Schutzmechanismen wie Erkennung biometrischer Merkmale oder Verschlüsse
• Anwendungssysteme mit separatem Login oder Single-Login mit rollenbasierter Berechtigung zur Nutzung von Funktionalität und Daten mittels der Anwendung
• Speicher-, Ablage- und Archivsysteme mit kontrolliertem, protokollierten Zugriff auf gespeicherte Daten und Informationsobjekte einschließlich Ausblenden von nicht zulässigen Suchergebnissen, Strukturen und Informationsobjekten sowie Kontrolle der Bearbeitung mit Versionierung, Historisierung, Checkout und anderen Mechanismen
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
36
Sicherheit und Risiko
• Absolute Sicherheit gibt es nicht! Auch nicht bei doppelt und dreifach ausgelegten Rechenzentren, Rechnern, Leitungen, Anschlüssen usw.!
• Vermeintlich absolute Sicherheit ist nicht bezahlbar!• Der Umfang von Sicherheit und die durch Einschränkung von
Sicherheitsvorkehrungen entstehenden Risiken müssen individuell für jedes Unternehmen und jedes System definiert werden.
• Der Aufwand für Sicherheit muss sich am Wert der gespeicherten Information und des durch die Anwendung generierten Nutzens orientieren.
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
Datenschutz
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
38
Schutz: Definition
• Schutz ist eine Maßnahme, um eine Sache oder Person vor der Wirkung einer Gefahr zu bewahren.
• Im Informationsmanagement hat Schutz zusätzliche und andere Ausprägungen, da sich der Schutz auch auf immaterielle Güter wie Daten und Informationen bezieht.
• Datenschutz ist eine spezielle Ausprägung von Schutz, der sich auf persönliche wie auch betriebliche Schutzbelange bezieht.
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
39
Problem der unterschiedlichen Zielrichtungendes Datenschutzes
Datenschutz von
• persönlichen und privaten Daten• betrieblicher Geheimnisse und betrieblichen Wissens• Kundeninformationen aus der geschäftlichen Tätigkeit• Information verbundener Dritter und Partner• Interessenteninformationen aus der Akquisitionstätigkeit
Abwägung konkurrierender Interessen?
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
40
Persönlicher Datenschutz
• Datenschutz bezeichnet den Schutz personenbezogener Daten vor Missbrauch.
• Der Zweck des Datenschutzes besteht darin, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personen-bezogenen Daten in seinem Recht auf informationelle Selbstbestimmung beeinträchtigt wird.
• Der Datenschutz ist in Bundes- und Ländergesetzgebungen geregelt.• Schützenswerte Informationen über (Personendaten) oder von Mitarbeitern
(persönliche Daten) dürfen nicht gespeichert werden oder müssen nach definierten Kriterien nach einer zulässigen Speicherung vernichtet werden.
• Datenschutz betrifft alle Formen der Speicherung und des Zugriffs von personenbezogenen und persönlichen Daten.
• Datenschutz betrifft alle Formen von Informationen, Nachrichten und Dokumenten aus allen Anwendungen und Kommunikationseinrichtungen im Unternehmen.
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
41
Betrieblicher Datenschutz
• Der betriebliche Datenschutz soll das Wissen einer Organisation vor Verlust, Missbrauch, Diebstahl, Verfälschung und Zerstörung schützen.
• Betrieblicher Datenschutz dient zur Sicherung des geistigen Eigentums des Unternehmens und seiner Mitarbeiter. Er sichert die Werte und die Wettbewerbsfähigkeit des Unternehmens.
• Betrieblicher und persönlicher Datenschutz müssen gegeneinander abgewogen werden. Das Unternehmen hat ein Anrecht zur Sicherung seiner Schutzinteressen Informationen über die Nutzung und Weitergabe von betrieblich wichtigen oder geheimen Unterlagen zu erheben.
• Der betriebliche Datenschutz wird auch durch Compliance-Anforderungen gefordert.
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
42
Schutz persönlicher Daten & Archivierung:ein Widerspruch
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
43
Benutzer-profile
datenschutz-rechtliche
VorschriftenMigrationorganisatorische
Planungen
Software-komponenten
Hardware-komponenten
Datensicherheit und Datenschutz
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
Funktionalität von Records Management, elektronischer Archivierung und ILM Information Lifecycle Management
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
45
MoReq2
• Model Requirements for the Management of Electronic Records
• wurde am 13. Februar 2008 von der Europäischen Kommission veröffentlicht
• eine evolutionäre Weiterentwicklung von MoReq• verbessert und erweitert MoReq • aktualisiert MoReq in Bezug auf neue Technologien und
Regularien• modularisiert MoReq• ergänzt MoReq um Testkriterien und ein
Zertifizierungsverfahren für Softwareprodukte unter der Federführung des DLM-Forums
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
46
RECORDS
ERM Funktionen nach MoReq
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
47
Funktion RM Archiv COLD DMS Akte WFLArchivierung X X (X)Importfunktion Aufzeichnungen X X X XAufbereitung, Aktenorganisation X (X) (X) XBearbeitung, Änderung X X XRetention-Verwaltung X (X) (X) XVernichtung X X XProtokollierung X X X X (X) XVollständigkeitskontrolle X XEskalation / Qualitätssicherung X X
Funktionen rund um Records Management
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
Archivierung
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
49
Anforderungen an die elektronischeArchivierung (1)
• programmgestützter, direkter Zugriff auf einzelne Informations-objekte, landläufig auch Dokumente genannt, oder Informations-kollektionen, z. B. Listen, Container mit mehreren Objekten etc.
• datenbankgestützte Verwaltung der Informationsobjekte auf Basis von Metadaten und gegebenenfalls Volltexterschließung der Inhalte der archivierten Informationsobjekte
• Unterstützung verschiedener Indizierungs- und Recherche-strategien, um auf die gesuchte Information direkt zugreifen zu können
• Einheitliche und gemeinsame Speicherung beliebiger Informations-objekte, vom gescannten Faksimile über Dokumentenformat-Dateien und E-Mails bis hin zu komplexen XML-Strukturen, Listen, COLD-Dokumenten oder ganzen Datenbankinhalten
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
50
Anforderungen an die elektronischeArchivierung (2)
• Verwaltung von Speichersystemen mit nur einmal beschreibbaren Medien einschließlich des Zugriffs auf Medien die sich nicht mehr im Speichersystem direkt befinden
• Sicherstellung der Verfügbarkeit der gespeicherten Informationen über einen längeren Zeitraum, der Jahrzehnte betragen kann
• Bereitstellung von Informationsobjekten unabhängig von der sie ursprünglich erzeugenden Anwendung auf verschiedenen Klienten und mit Übergabe an andere Programme
• Unterstützung von „Klassen-Konzepten“ zur Vereinfachung der Erfassung durch Vererbung von Merkmalen und Strukturierung der Informationsbasis
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
51
Anforderungen an die elektronischeArchivierung (3)
• Konverter zur Erzeugung von langfristig stabilen Archivformaten und Betrachter (engl. Viewer) zur Anzeige von Informationsobjekten, für die die ursprünglich erzeugende Anwendung nicht mehr zur Verfügung steht
• Absicherung der gespeicherten Informationsobjekte gegen unberechtigten Zugriff und gegen Veränderbarkeit der gespeicherten Information
• Übergreifende Verwaltung unterschiedlicher Speichersysteme, um z. B. durch Zwischenspeicher (Caches) schnellen Zugriff und zügige Bereitstellung der Informationen zu gewährleisten
• Standardisierte Schnittstellen, um elektronische Archive als Dienste in beliebige Anwendungen integrieren zu können
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
52
Anforderungen an die elektronischeArchivierung (4)
• Eigenständige Wiederherstellungsfunktionalität (Recovery), um inkonsistent gewordene oder gestörte Systeme aus sich heraus verlustfrei wieder aufbauen zu können
• Sichere Protokollierung von allen Veränderungen an Strukturen und Informationsobjekten, die die Konsistenz und Wiederauffindbarkeit gefährden können und dokumentieren, wie die Informationen im Archivsystem verarbeitet wurden
• Unterstützung von Standards für die spezielle Aufzeichnung von Informationen auf Speichern mit WORM-Verfahren, für gespeicherte Dokumente und für die Informationsobjekte beschreibende Metadaten um eine langfristige Verfügbarkeit und die Migrationssicherheit zu gewährleisten
• Unterstützung von automatisierten, nachvollziehbaren und verlustfreien Migrationsverfahren
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
53
Digital Preservation
entspricht dem deutschen Begriff der „elektronischen Archivierung“, wobei unter Preservation der Langzeit-Aspektund die Unveränderbarkeit betont wird.
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
ILM Information Lifecycle Management
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
55
ILM-Definition der SNIA 2005
• Information Lifecycle Management is compromised of the policies, processes, practices and tools used to align the business value of information with the most appropriate and cost effective IT infrastructure from the time information is conceived through its final disposition.
• Information is aligned with business processes through management processes and service levels associated with applications, metadata, information and data.
(SNIA 2005)
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
56
ILM-Definition der SNIA
Information Lifecycle Management sind Strategien, Methoden und Anwendungen, um Information automatisiert entsprechend ihrem Wert und ihrer Nutzung optimal auf dem jeweils kostengünstigsten Speichermedium bereitzustellen, zu erschließen und langfristig sicher aufzubewahren.
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
57
Wert derInformation
Zugriff auf die Information
Wirtschaftlichkeit der Speicher-Infrastruktur
Zeit
Information Lifecycle Management
• A strategy to align IT infrastructure with the business based upon the changing value of information.
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
58
Ziele von ILM
Management des gesamten Lebenszyklus von Informationen:• Erstellung• Verteilung• Veränderung• Archivierung • Löschung
Hohe Verfügbarkeit für Anwendungen und Daten unter Berücksichtigung wirtschaftlicher Aspekte:• Optimierte Backup- und Recovery Verfahren (auch bei steigendem
Datenvolumen)• Daten- und Informations-Archivierung
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
59
ILM ist nicht …
• … ein Produkt oder eine Produktklasse
• … eine Alternative zur elektronischen Archivierung von Dokumenten
• … die vollständige Archivierung des E-Mail-Verkehrs
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
60
Für alle Arten von Daten
Strukturiert Unstrukturiert
Datenbanken/ DateisystemeUnterstützt Business Anwendungen, z.B. ERP, CRM, etc.
Messag-ingMail, Voice
Enterprise Content ManagementDokumente
Webseiten, Sound, Video, Bilder, Reports
Quelle : EMC
Information Management und Content Management
• Ressourcen, die sich sowohl der Infrastruktur als auch der Anwendungen bewusst sind
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
61
Anwendungen
Logik
Speicher-Ebene
Verwaltung
ERP OfficeFile-
systemCRM ECM DB PDM ...
Dokumente, Data, Metadata, Media Assets, Files, Records...
ILM Logic
ILM Virtualizing
ILM Storage
MonitoringProtokollierungVerteilungMetadatenMigration
RemoteBackupVernetzungAllocationRecovery
Sekundäronline
Nearlinesekundär
Nearlinesekundär
Harddisk Jukebox
SicherungNearline
Tape
ArchivFixed
Content
ArchivTapeWorm
ArchivOptical
Disk
Tape JukeboxHarddisk
Disposal
Harddisk
Information Lifecycle Management Architektur
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
Organisatorische und technische Anforderungen an die sichere Speicherung von Informationen
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
Aktuelle und zum Teil widersprüchliche Anforderungen an die Archivierung
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
64
Informationsfreiheitsgesetz - IFG
Das IFG ist am 1. Januar 2006 in Kraft getreten.
Ursprung: Empfehlung Nr. 854 des Europarates von 1979
Ziele: • gewährt Bürgerinnen und Bürgern einen grundsätzlich freien Zugang
zu Informationen, die bei öffentlichen Verwaltungen vorhanden sind
Inhalte:• Das IFG soll das Bürgerrecht auf informelle Selbstbestimmung fördern,
• das Recht auf Informationszugang voraussetzungslos gewähren und
• Transparenz, Nachvollziehbarkeit und Kontrolle staatlichen Handelns gewährleisten.
(Quelle: http://www.duesseldorf.de/datenschutz/informationsfreigesetz/faq.shtml)
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
65
8. EU-Richtlinie
Neufassung der Abschlussprüferrichtlinie
Umsetzung in nationale Gesetzgebung bis Juni 2008
Ziele:
• Erhöhung der Glaubwürdigkeit der Finanzdaten
• besserer Schutz der EU gegen Finanzskandale
• Stärkung und Harmonisierung der Funktion der Abschlussprüfungen in den Mitgliedsstaaten
Inhalte:
• Zulassung, Unabhängigkeit und Pflichten der Abschlussprüfer
• Zu beachtende Prüfungsgrundsätze
• Verpflichtung zu einer externen Qualitätskontrolle
• Unabhängige Berufsaufsicht
• Sondervorschriften für Unternehmen im öffentlichen Interesse
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
66
EU-Richtlinie zum Datenschutz inTelekommunikationsnetzen (ISDN-Richtlinie)
Nachdem bereits 1990 ein erster Entwurf vorgelegt wurde, ist im Dezember 1997 die EU-Richtlinie verabschiedet worden.Ziel:
• Schaffung eines gemeinschaftsweit gleichwertigen Schutzes der Grundrechte hinsichtlich personenbezogener TK-Daten
• gilt auch für das interaktive Fernsehen und Video auf Abruf
Inhalt:
• Richtlinie soll die in Vorbereitung befindliche allgemeine EU-Datenschutzrichtlinie ergänzen
• Reaktion auf die rapide zunehmende Digitalisierung der öffentlichen Telekommunikationsnetze in der Europäischen Union
• Mitgliedstaaten müssen die Vertraulichkeit der Telekommunikation gewährleisten
(Quelle: http://www.datenschutz.mvnet.de/dschutz/taetberi/tb3/3_310.html)
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
67
Handelsgesetzbuch - HGB
In Ableitung der HGB-Vorschriften gelten folgende Kriterien für die Revisionssicherheit:• Ordnungsmäßigkeit • Vollständigkeit • Sicherheit des Gesamtverfahrens • Schutz vor Veränderung und Verfälschung • Sicherung vor Verlust • Nutzung nur durch Berechtigte • Einhaltung der Aufbewahrungsfristen • Dokumentation des Verfahrens • Nachvollziehbarkeit • Prüfbarkeit
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
68
GDPdU
Was heißt GDPdU?
„Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen“
• Umfeld
• Buchhaltungsdaten
• Sonstige steuerrechtlich relevante Informationen und Dokumente
• Gültigkeit
• Brief vom BMF 16.07.2001
• Umzusetzen ab 01.01.2002
• Herkunft
• Steuerreform (StSenkG)
• HGB AO
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
69
Verschärfung der GDPdU
Bestätigung der Urteile des FG Düsseldorf zur Ausweitung der GDPdU
•Ausweitung des Zugriffsrechts der Finanzbehörde auf Konten der handelsrechtlichen Buchhaltung, auf denen steuerlich nicht abzugsfähige Betriebsausgaben verbucht sind
•Eingescannte Belege, deren Original vernichtet wurde, müssen digital vorgehalten werden; Organisation der Datenbestände mit Trennung geschützter Daten, die nicht dem Einsichtnahme-recht unterliegen, ist Aufgabe des Steuerpflichtigen
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
70
Europäische Dienstleistungsrichtlinie
Umsetzung in nationales Recht bis Ende 2009
Ziele:• Beseitigung bürokratischer Hindernisse• Erleichterung des Handels mit grenzüberschreitenden Dienstleistungen• Vollendung des Binnenmarkts für Dienstleistungen
Inhalte (Auswahl):• Vereinfachung der Antrags-Verfahren und einheitliche Ansprechpartner• Dienstleister können alle Unterlagen, Anträge, etc. auch elektronisch einreichen• Aufbau eines Informations- und Kommunikationssystems für die europaweite Verwaltungszusammenarbeit• Konsequenz: Digitalisierung der öffentlichen Verwaltung
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
71
Strategie vor Organisation vor Technik
Strategie vor Organisation,Organisation und Mensch vor Technik
Grundsatz (1)
Projekte scheitern weniger wegen technischer Probleme sondern durch:• mangelnde Planung• mangelndes Know-how• Unterschätzung der organisatorischen Aufwände• Mangelnde Bereitschaft der Umstellung von Prozessen• fehlende Akzeptanzschaffung
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
72
Strategie vor Organisation vor Technik
Strategie vor Organisation,Organisation und Mensch vor Technik
Grundsatz (2)
Bei der Einführung einer Dokumenten-Technologie-Lösung sind:• 10 % Technik• 90 % Organisation
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
73
Durchgängigkeit
• Alle Prozesse sind betroffen, nicht nur Systeme.• Es finden sich viele Inseln und wenig Durchgängigkeit.• Eine „Anfang-zu-Ende“-Dokumentation ist erforderlich.• Der Mensch ist das größte Problem um „compliant“ zu sein.• Automatische Prozesse in Systemen können unterstützen,
jedoch nicht ersetzen.
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
74
Verfahrensdokumentation nach GoBS
• Eine Verfahrensdokumentation ist für alle elektronischen Archivsysteme, in denen Daten und Dokumente, die unter das HGB (und die GDPdU) fallen, Pflicht -> Grundsätzlich empfohlen für alle ILM-Umsetzungen!
• Die Erstellung und Fortschreibung der Verfahrensdokumentation liegt in der Verantwortung des Betreibers, im Sinne der GDPdU ist dies jedoch das steuerpflichtige Unternehmen
• Die Verfahrensdokumentation muss vollständig, nachvollziehbar und prüfbar sein.
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
Vertrauenswürdige Archive
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
76
Vertrauenswürdige Archive (1)
Umfeld:• Wissenschaftliche Erkenntnisse, historische Dokumente und
kulturelle Leistungen liegen immer häufiger nur noch in digitaler Form vor.
• Probleme, die bei der Langzeitarchivierung elektronischer Informationen auftreten nehmen eine immer stärkere Bedeutung an.
• Neben dem physischen Verfall der Medien ist die schnelle Weiterentwicklung der Technik zum interpretieren der gespeicherten Informationen, und damit einhergehend das schnelle veralten von eingesetzter Technik, eine ernsthafte Bedrohung für den Informationserhalt.
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
77
Vertrauenswürdige Archive (2)
Umsetzung:• Organisationen, die sich mit der Archivierung von Informationen
beschäftigen, müssen die Authentizität, Integrität, Vertraulichkeit und Verfügbarkeit digitaler Information sicherstellen und Vertrauenswürdigkeit nicht nur erlangen, sondern auch nach Außen darstellen können.
• Die nestor-Arbeitsgruppe „Vertrauenswürdige Archive - Zertifizierung“ hat Kriterien zur Bewertung der Vertrauenswürdigkeit eines digitalen Langzeitarchivs in organisatorischer und technischer Sicht identifiziert und in einem Kriterienkatalog festgehalten.
• Die funktionalen Entitäten und das Informationsmodell der OAIS Open Archival Information System (ISO 17421) wird so oft es geht als Grundlage zur Strukturierung des Kriterienkataloges genutzt, um eine gemeinsame Begriffsbasis zu erhalten.
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
Zukunft:Sicherheit und Zugriffskontrolle in der Langzeitarchivierung
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
79
Skandale (1)
Verlorene Daten in England – jüngster Fall:
Das Verteidigungsministerium teilte am 18.01.2008 mit, dass der Laptop eines Offiziers mit persönlichen Angaben von bis zu 600.000 Rekruten und Bewerbern der Streitkräfte gestohlen worden sei.
Die gespeicherten Daten reichten in einigen Fällen von Ausweis- und Führerschein-Details über Versicherungsnummern bis hin zu Angabenzur Familie sowie Name und Adresse von Ärzten der betroffenen Personen.
(Quelle: http://futurezone.orf.at/it/stories/250665/)
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
80
Skandale (2)
Datenverlust in Deutschland:• allein von 2005 bis 2007 sind in den Bundesbehörden 189
Computer, 326 Laptops, 38 Speicher-Sticks und 271 Handys mit teilweise sensiblen Daten abhanden gekommen
Beispiele:• beim Bundesamt für Zivildienst ist ein Notebook gestohlen worden,
auf dem komplette Datensätze mit persönlichen Daten gespeichert waren
• dem Verteidigungsministerium sind geheime Datenträger mit Informationen der Geheimhaltungsstufe "Verschlusssache -Vertraulich" und höher abhanden gekommen
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
81
Skandale (3)
Urteil gegen die Deutsche Bank:
• Die Deutsche Bank muss 87,5 Millionen Dollar Strafe zahlen, da sie große Teile der von der Börsenaufsicht angeforderten E-Mail-Korrespondenz der Mitarbeiter nicht finden konnte.
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
82
Skandale (4)
Siemens Korruptionsaffäre – mangelnde Transparenz
• Der größte deutsche Technologiekonzern steht vor einem Scherbenhaufen: Gleich drei Korruptionsaffären erschüttern das Traditionsunternehmen.
• Laut einem Bericht der „WirtschaftsWoche“ halten inzwischen Aufsichtsratsmitglieder eine Strafe in Höhe von bis zu 4 Milliarden Euro nicht mehr für ausgeschlossen
• Auch der Ex-Chef ist nun in den Fokus der Staatsanwaltschaft geraten. Der ehemalige Vorstandsvorsitzende Heinrich von Pierer steht im Verdacht, Bestechungsversuche persönlich in Auftrag gegeben zu haben. Pierer soll im Zusammenhang mit einem Großauftrag in Argentinien fragwürdige Zahlungen in Millionenhöhe angeordnet haben. Pierer bestreitet dies vehement.
Quellen: http://www.br-online.de/aktuell/siemens-korruption-bildergalerie-ID1209038237273.xmlhttp://www.zeit.de/themen/wirtschaft/unternehmen/korruption/siemens
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
Archivierung als gesellschaftliche Herausforderung
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
84
„Elektronische Archive sind das Gedächtnis der Informationsgesellschaft.“
(Erkki Likaanen, EU-Kommissar, 1999)
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
85
„Das Gedächtnis der Informationsgesellschaft ist ungeordnet, überfrachtet und zeigt erste Ausfallerscheinungen. Einerseits werden wir von der „Information Flood“ überrollt, andererseits tut sich aber ein immer größer werdendes „Information Gap“ nicht mehr verfügbarer oder auswertbarer elektronischer Information auf.“
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
86
„Zukünftige Archäologen werden vielleicht die Frühzeit der EDV einmal als das ‚Dunkle Zeitalter der frühen Informationskultur‘ bezeichnen.“
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
87
Fazit
Archivierung, Records Management und Information Lifecycle Management sind essentielle Bausteine jeder Datensicherheit- und Datenschutzstrategie.
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008
Vielen Dank für Ihre Aufmerksamkeit !
Dr. Ulrich KampffmeyerE-Mail: Ulrich.Kampffmeyer@PROJECT-CONSULT.com
Dokumentation des Vortrages, Newsletter, weitere Informationen zum Thema ...www.PROJECT-CONSULT.com
Recommended