Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Records und Archive im Outsourcing verwalten

Veröffentlicht von:Jochen Nell Geändert vor über 10 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Records und Archive im Outsourcing verwalten"—  Präsentation transkript:

1 Records und Archive im Outsourcing verwalten
INFORMATIONSMANAGEMENT 27. November 2012 Hans-Günter Börgmann, Geschäftsführer Iron Mountain Deutschland GmbH 1

2 Was Sie erwartet Welche besonderen Anforderungen gibt es für die Verwaltung wichtiger Unterlagen bei Dritten Sichere Prozesse für die Verwaltung von Records und Archiven Wie werden die 8 Grundprinzipien von GARP abgebildet? Records Management im Outsourcing: wie mache ich das einfach und intuitiv?

3 Welche besonderen Anforderungen gibt es für die Verwaltung wichtiger Unterlagen bei Dritten
Edit image on master slide. White IM logo for use with dark image background.

4 Wussten Sie schon…? 72 % 35 % 300.000 € 43 %
aller Unternehmen finden nach eigenen Angaben externe Informationen schneller als firmeneigene Daten. Quelle: The Association for Information and Image Management 35 % der Arbeitszeit verbringen Mitarbeiter mit der Suche nach Informationen Quelle: IDC Ist die Höhe des Bußgeldes, das bei einem Verstoß gegen das Datenschutzgesetz verhängt werden kann. Quelle: BDSG 43 % aller Unternehmen erholen sich nicht mehr von einem katastrophalen Datenverlust. Quelle:  Basware Forschungsbericht Lost in Translation 2010

5 Das A und O eines sicheren Archivmanagements
Wissen… welche Dokumente aufbewahrt werden müssen wer auf die Dokumente zugreifen darf und zugreift wo die Dokumente aufbewahrt sind wie lange Dokumente aufbewahrt werden müssen wie auf Dokumente zugegriffen wird wann Dokumente sicher vernichtet werden müssen

6 Externes Archivmanagement: Stufenplan
Analyse des Unternehmens/Archivierungsortes Schaffung nachhaltiger (Akten-) Strukturen Erfassung aller Akten Festlegung einheitlicher Beschriftungen Regelung der Zugriffe/lückenlose Nachweiskette Festlegung der Aufbewahrungsfristen Regelmäßige Überprüfung der Strukturen

7 Anforderungen an Unternehmen
Strategische Aufgabe: Risikomanagement Einführung eines effizienten Überwachungssystems Regelungs- und Handlungsbedarf Analyse der Systeme einschl. der Schwachstellen, Transparenz Einführung eines Berichtswesens Einführung eines Sicherheitskonzeptes (inkl. Katastrophen- und Zugriffsschutz) Klare Regelung der Zuständigkeiten Risikoklassifizierung der IT-Systeme Nutzungsberechtigungskontrolle (Software) Professionelle Beschaffung von IT-Systemen und IT-Dienstleistungen Einführung eines effizienten Kontrollsystems  Auslagerung an Profis möglich

8 Sichere Prozesse für die Verwaltung von Records und Archiven

9 Der Informationsweg zum Dienstleister
Aufbringung Barcode IM-Fahrer trifft ein Auftrag zur Abholung per IM-Connect/Fax/ Kurier scannt Box/Akte vor Ort Elektronische Unterschrift Übergabe des Verwahrten Ggf. automatische Bestätigung der Abholung Sicherer Transport Indexieren der Unterlagen beim Eintreffen im Archivcenter Automatische Rechnungsstellung Objektindexierung z.B bei Airbus. Es werden 30 Merkmale pro Objekt erfasst. Scannen am Archivierungsort Flexibler Zugriff z.B. über Iron Mountain-Connect Optionale Premium-Verarbeitung (Dateneingabe, ggf. Einscannen,  Klassifierung) Datenerfassung und lückenlose Übergabe der Unterlagen

10 Wie werden die 8 Grundprinzipien
von GARP abgebildet?

11  Outsourcing nicht möglich / Chefsache
Grundprinzipien von GARP 1. Principle of Accountability - Prinzip der Verantwortlichkeit Innerhalb eines Unternehmens sollte es eine Führungskraft geben, die ein Records Management-System überwacht und System-Verantwortung an geeignete Personen delegiert sowie bestimmte Programm- Anforderungen adaptiert.  Outsourcing nicht möglich / Chefsache Der verantwortliche Manager sollte eine Methode zur Gestaltung und Durchführung einer Struktur der Aufzeichnungspflichten vorgeben Für die Umsetzung von Records-Keeping-Maßnahmen sollte eine Governance-Struktur und Vorgehensweise geschaffen werden Zu den notwendigen Komponenten gehören eine verantwortliche Person und ein festgelegtes Maßnahmenprogramm Ein Record-Keeping-Programm sollte für seine Umsetzung über dokumentierte und auf Genehmigungen basierende Richtlinien und Verfahren verfügen Eine Nachvollziehbarkeit des Programms ermöglicht es, seine Aufgaben zu überprüfen und gegebenenfalls zu aktualisieren

12 Grundprinzipien von GARP 2
Grundprinzipien von GARP 2. Principle of Integrity - Prinzip der Integrität Richtigkeit und Einhaltung der Richtlinien und Verfahren des Unternehmens (Governance und Compliance) Zuverlässige, angemessene und wiederholte Information Management Ausbildung Zuverlässigkeit und Richtigkeit von Records Inhalten und Kontext Verlässlicher und auswertbarer Audit-Trail Zuverlässigkeit und Verfügbarkeit des Systems Die Integrität, und somit auch die Authentizität und Zuverlässigkeit der Informationsobjekte in einem Record Keeping-Umfeld, sollten folgendes berücksichtigen: … (siehe Stichpunkte auf Folie) RM ist mehr als nur Archivierung – Zusammenhänge der Akten erkennen

13 Hochsicherheitsarchive
Grundprinzipien von GARP 3. Principle of Protection - Prinzip der Sicherung Hochsicherheitsarchive von Iron Mountain – Stahltüren, Sicherheitszäune, Brandschutzmauern, Kameras – Brandschutz – Rund-um-die-Uhr-Überwachung – Zugangskontrollen – Mitarbeiter nach BDSG verpflichtet – regelm. Mitarbeiterüberprüfung Angemessenes Maß an Schutz für unternehmenskritische Dokumente Steuerungs- und Kontrollmechanismen für den gesamten Lebenszyklus von Informationen Angemessene Sicherheitsstrukturen mit exklusiven Zugangsberechtigungen Das Prinzip der Sicherung deckt Sicherheits-, Verfügbarkeits- und Schutzansprüche ab. Es erfordert: Ein angemessenes Maß an Schutz für private, vertrauliche, privilegierte, als auch geheime oder für die Unternehmensabläufe wesentliche Records und Informationen Sichere Aufbewahrung von Informationen entsprechend den vorgeschriebenen gesetzlichen, regulativen oder durch Unternehmens-Richtlinien (Policy) definierte Vorgaben Angemessene Steuerungs- und Kontrollmechanismen für den gesamten Lebenszyklus von Informationsobjekten Angemessene Sicherheitsstrukturen mit exklusiven Zugangsberechtigungen für Administratoren, die den Zugang zum System durch Key-Cards oder ähnlichen elektronischen sowie physischen Schranken, kontrollieren

14 Grundprinzipien von GARP 4
Grundprinzipien von GARP 4. Principle of Compliance - Prinzip der Compliance Das Records Management System selbst ist Gegenstand der gesetzlichen Anforderungen, wie z. B. Anforderungen an Steuer- oder sonstige Aufzeichnungen Unternehmen müssen wissen, welche Informationen geführt werden müssen, um einen Nachweis der ordnungs-, rechts- und gesetzmäßigen Durchführung der Geschäftsaktivitäten zu besitzen • Unternehmen müssen Informationen in der gesetzlich vorgeschriebenen Weise als Records deklarieren und im Kontext wiederauffindbar aufbewahren • Dokumente müssen gemäß den gesetzlichen oder regulativen Vorgaben nachweisbar aufbewahrt werden Einige Rechtsnormen auf der nächsten Folie

15 Einige Rechtsnormen Sarbanes Oxley Act
GDPDU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen) §91 Abs. 2 AktG, KonTraG Art. 8 Nr. 9c: „Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden“ BDSG - Dokumente enthalten personenbezogene Daten §9 und Anlage zu §9 BDSG: Datensicherheit, Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Auftrags-; Verfügbarkeitskontrolle, Trennungsprinzip TKG (§§ 88 ff. – Fernmeldegeheimnis, TK-Datenschutz) §203 StGB (Privatgeheimnis) §§146f. AO ( Buchführung im Ausland und Aufbewahrungspflicht)

16 Grundprinzipien von GARP 5
Grundprinzipien von GARP 5. Principle of Availability - Prinzip der Verfügbarkeit Organisationen müssen in der Lage sein, alle Dokumente die für die Aufbewahrung relevant sind zu erkennen, zu klassifizieren, zu lokalisieren und abrufen zu können.  Outsourcing an einen Dienstleister möglich Organisationen müssen in der Lage sein, alle Informationsobjekte die für die Aufbewahrung relevant sind zu erkennen, zu klassifizieren, zu lokalisieren und abrufen zu können. Diese Aufzeichnungen werden benötigt von: Einzelpersonen und Gruppen, die die Informationen für ihre Tätigkeit als Referenz oder Bearbeitungsobjekt benötigen. Die für Qualitäts-, Rechts-, Revisions- und Prüfungsfragen Verantwortlichen im Unternehmen und gegebenenfalls von extern Manager und Managementgruppen für Bewertung, Steuerung und Entscheidungsfindung.

17 Grundprinzipien von GARP 6
Grundprinzipien von GARP 6. Principle of Retention - Prinzip der Aufbewahrung Beschreibt die Aufbewahrungsdauer und den Lebenszyklus von Informationsobjekten während der Aufbewahrung • Unternehmen müssen Dokumente für eine angemessene, zum Teil vorgegebene Zeit aufbewahren. Unter Berücksichtigung folgender Rahmenbedingungen: Rechtliche Aufsichtsrechtliche Steuerliche Betriebliche Historische Das Prinzip der Aufbewahrung orientiert sich an der Funktionalität, die auch für Archivsysteme gilt. Prinzipien wie Vollständigkeit, Integrität, Unverändertheit, Wiederfindbarkeit und andere kommen zur Anwendung. Es: Beschreibt die Aufbewahrungsdauer und den Lebenszyklus von Informationsobjekten während der Aufbewahrung In der Regel muss eine Organisation seine Records für eine angemessene, zum Teil vorgegebene Zeit unter Berücksichtigung der rechtlichen, aufsichtsrechtlichen, steuerlichen, betrieblichen und historischen Rahmenbedingungen aufbewahren.

18 Aufbewahrungsfristen
10 Jahre: Buchhaltung, Buchungen, Bilanzen, Organisationsunterlagen, Rechnungen 6 Jahre: Versandte und empfangene Handelsbriefe (einschließlich s) Beginn der Fristen erst am Ende des Jahres des Vorganges (z.B. Empfang von s, Datum des Buchungsbeleges)  Besser mindestens 10 Jahre aufbewahren => Jahressteuergesetz 2013 (Aufbewahrungsfrist) => Jahressteuergestz 2013, Zustimmung Bundesrat, Verkürzung Aufbewahrung auf acht Jahre, ab 2015 dann sieben Jahre.

19 Grundprinzipien von GARP 7
Grundprinzipien von GARP 7. Principle of Desposition - Prinzip der Entsorgung Organisation sind dazu verpflichtet sicher zu stellen, dass alle Kopien und Versionen der Dokumente entsorgt werden und einen Nachweis hierüber zu führen Vernichtungsstufen (DIN 32757): Stufe 1: max mm² Stufe 2: max mm² Stufe 3: max mm² Stufe 4: max ,5 mm² Stufe 5: max ,2 mm²  Zusatzmaßnahmen: Vermischen oder Verpressen Das Prinzip der Entsorgung schließt die Disposition mit logischen Löschen wie auch die physische Entsorgung als Deletion ein. Eine Organisation muss eine sichere und angemessene Disposition für Informationsobjekte bestimmen, um die geltenden Gesetze und die Unternehmens-Policies einzuhalten Organisation sind dazu verpflichtet sicher zu stellen, dass alle Kopien und Versionen der Daten entsorgt werden und einen Nachweis hierüber zu führen Dies betrifft auch Migrations- und Konvertierungsprozesse, die zu dokumentieren sind Vernichtungsstufen: Stufe 1 Informationsträgervernichtung, bei der Informationsträger so vernichtet werden, dass die Reproduktion der auf ihnen wiedergegebenen Informationen ohne besondere Hilfsmittel und ohne Fachkenntnisse, jedoch nicht ohne besonderen Zeitaufwand, möglich ist. Papiere und Filme in Originalgröße: Materialteilchenfläche max mm2, Streifenbreite max. 12 mm. Stufe 2 Informationsträgervernichtung, bei der Informationsträger so vernichtet werden, dass die Reproduktion der auf ihnen wiedergegebenen Informationen mit Hilfsmitteln und nur mit besonderem Zeitaufwand möglich ist. Papiere und Filme in Originalgröße: Materialteilchenfläche max. 400 mm2, Streifenbreite bis max. 6 mm. Stufe 3 Informationsträgervernichtung, bei der Informationsträger so vernichtet werden, dass die Reproduktion der auf ihnen wiedergegebenen. Informationen nur unter erheblichem Aufwand (Personen, Hilfsmittel, Zeit) möglich ist. Papiere und Filme in Originalgröße: Material teilchenlänge Max. 60 mm, Materialteilchenbreite bis max. 4 mm und Streifenbreite max. 2 mm Kunststoff wie Identifikationskarte oder Mikrofilm: Materialteilchenfläche max. 1 mm2. Stufe 4 Informationsträgervernichtung, bei der Informationsträger so vernichtet werden, dass die Reproduktion der auf ihnen wiedergegebenen Informationen nur unter Verwendung gewerbeunüblicher Einrichtungen bzw. Sonderkonstruktionen, die im Falle kleiner Auflagen sehr aufwändig sind, möglich ist. Papiere und Filme in Originalgröße: Materialteilchenlänge max. 15 mm, Materialteilchenbreite bis max. 2 mm als Preßling Kunststoff wie Identifikationskarte oder Mikrofilm: Materialteilchenfläche max. 0,5 mm2. Stufe 5 Informationsträgervernichtung, bei der Informationsträger so vernichtet werden, dass es nach dem Stand der Technik unmöglich ist, auf ihnen wiedergegebene Informationen zu reproduzieren Papiere und Filme in Originalgröße: Asche zerkleinert, Lösung, Suspension oder Faser. Materialteilchenbreite max. 0,8 mm, Materialteilchenlänge max. 15 mm Kunststoff wie Identifikationskarte oder Mikrofilm: Materialteilchenfläche max. 0,2 mm2. Zusatzmaßnahmen wie das Vermischen oder Verpressen im direkt nachgeschalteten Prozess erhöhen die Vernichtungsgüte um eine Stufe.

20 Grundprinzipien von GARP 8
Grundprinzipien von GARP Principle of Transparency - Prinzip der Transparenz Die Prozesse und Aktivitäten sollten von dem Records Management System in verständlicher Art und Weise dokumentiert werden und für alle befugten Nutzer verfügbar sein.  z.B. über das Online Portal IM Connect: Liefert Nachweiskette über alle Bewegungen und Zugriffe auf Akten Zahlreiche Berichte können selbst kreiert werden, z.B.: Aktenbestand Aktenbewegungen Zugriffe Zugriffsberechtigungen Ablauf der Aufbewahrungsfristen Die Prozesse und Aktivitäten eine Organisation, werden von dem Records Management System in einer verständlichen Art und Weise dokumentiert und werden für alle befugten Nutzer verfügbar gemacht. Es ist im Interesse eines jeden Unternehmens und auch der Gesellschaft im Allgemeinen, allen Beteiligten deutlich zu machen, Dass ein Unternehmen seine Aktivitäten in rechtmäßiger und angemessener Weise durchführt Dass das Records Management System die relevanten Informationen der Organisation genau und vollständig erfasst Dass das Records Management System selbst in einer rechtmäßigen und angemessenen Art und Weise strukturiert und dokumentiert ist Dass die Implementierung, Betrieb und Nutzung des Records Management Systems ordnungsgemäß erfolgen z.B. über das Online Portal IM Connect: (IMC deckt die nötige Transparenz vollständig ab) Liefert Nachweiskette über alle Bewegungen und Zugriffe auf Akten Zahlreiche Berichte können selbst kreiert werden, z.B. Aktenbestand Aktenbewegungen - Aktivität des Bestandes Zugriffe - Welcher Nutzer hat zu welchem Zeitpunkt auf welche Akte zugegriffen Zugriffsberechtigungen - der Nutzer einsehbar und veränderbar Ablauf der Aufbewahrungsfristen

21 Records Management im Outsourcing: wie mache ich das
einfach und intuitiv?

22 Lösungen über den gesamten Informations-lebenszyklus
Archivmanagement • Daten- trägersicherung • Scanlösungen Sichere Vernichtung Analyse/Beratung Abholung/Anlieferung der Papierunterlagen oder Datenträger Flexibler Zugriff 24/7 – digital oder Zustellung per Kurier Sichere Archivierung und Schutz 12 Iron Mountain- Hochsicherheitscenter Ggf. digitalisieren der Papierunterlagen

23 …auf einen Blick Erfahrungen aus einer Hand Kosten- reduzierung
Vorschriften- einhaltung Zeit- & Platz- ersparnis Flexibler Zugriff auf Daten Effiziente Arbeitsabläufe Gewährleistung von Sicherheit Risikominimierung von Datenverlusten

24 Vielen Dank!

Herunterladen ppt "Records und Archive im Outsourcing verwalten"

Ähnliche Präsentationen

vom Brief zum Data-Center

vom Brief zum Data-Center
Datenschutz im IT-Grundschutz

Datenschutz im IT-Grundschutz
E-Mail Compliance und De-Mail Von Hans Emunds Hauptseminar SS11 Schmitt/Müller.

Compliance und D Von Hans Emunds Hauptseminar SS11 Schmitt/Müller.
Eigenschaften und Pflichten vertrauenswürdiger digitaler Archive

Eigenschaften und Pflichten vertrauenswürdiger digitaler Archive
exos® 9300 Besucherverwaltung

exos® 9300 Besucherverwaltung
Eine Präsentation von: Julian Saal Dardan Mustafa

Eine Präsentation von: Julian Saal Dardan Mustafa
Controlling, Analyse und Verbesserung (Teil 1)

Controlling, Analyse und Verbesserung (Teil 1)
Stand 07.06.02Copyright: H.-J. Weniger StB vBP Verschärfung des Steuerverfahrensrechts und des Steuerstrafrechts n Datenzugriff der Finanzverwaltung.

Stand Copyright: H.-J. Weniger StB vBP Verschärfung des Steuerverfahrensrechts und des Steuerstrafrechts n Datenzugriff der Finanzverwaltung.
Datenschutz? Unwissenheit schützt vor Strafe nicht!

Datenschutz? Unwissenheit schützt vor Strafe nicht!
Enterprise Protection Betriebskonzept IT Security –

Enterprise Protection Betriebskonzept IT Security –
9. InetBib-Tagung in Münster InetBib 2006, Dr. Bettina Böhm, WWU Informationsmanagement aus der Sicht der Hochschulleitung modernes Informationsmanagement?

9. InetBib-Tagung in Münster InetBib 2006, Dr. Bettina Böhm, WWU Informationsmanagement aus der Sicht der Hochschulleitung modernes Informationsmanagement?
Gesundes Führen lohnt sich !

Gesundes Führen lohnt sich !
Fritz Gempel Personalmonitoring Sozialwissenschaftliche Methoden zur Unterstützung der Personalentwicklung.

Fritz Gempel Personalmonitoring Sozialwissenschaftliche Methoden zur Unterstützung der Personalentwicklung.
Versand der Arzneimittel

Versand der Arzneimittel
Marc Weiß externer Datenschutzbeauftragter Datenschutzauditor (TÜV)

Marc Weiß externer Datenschutzbeauftragter Datenschutzauditor (TÜV)
GdPDU Die elektronische Steuerprüfung

GdPDU Die elektronische Steuerprüfung
INFORMATIONSMANAGEMENT

INFORMATIONSMANAGEMENT
© 2010-2012 VMware Inc. Alle Rechte vorbehalten. My VMware Einfacheres Management von Produktlizenzen und Support Neueinführung 2012.

© VMware Inc. Alle Rechte vorbehalten. My VMware Einfacheres Management von Produktlizenzen und Support Neueinführung 2012.
Umsetzung des Projektes - CZ Zentrum für Regionalentwicklung.

Umsetzung des Projektes - CZ Zentrum für Regionalentwicklung.
Aspekte zum Datenschutz und zum berechtigten Interesse

Aspekte zum Datenschutz und zum berechtigten Interesse

Ähnliche Präsentationen

Google-Anzeigen