Drei zentrale Elemente konformer Aufbewahrungsrichtlinien

Für ein konformes Aufbewahrungsmanagement sind drei zentrale Punkte wichtig. Beachte Sie diese, können Sie Kosten sparen und Probleme vermeiden.

Im 20. Jahrhundert war Aufbewahrungsmanagement einfach: Bestimmte Kategorien von Akten wurden über einen gewissen...

Zeitraum aufgehoben. Die jeweiligen Aufbewahrungszeiten folgten dabei gesetzlichen Bestimmungen. Dieses Konzept erlaubte es Behörden, bei Bedarf auf die Datensätze zuzugreifen und zu beurteilen, ob sich ein Unternehmen an die Vorschriften hielt. Diese Bestimmungen umfasst eine breite Palette von Geschäftsprozessen. Dazu gehörten die korrekte Berechnung von Umsätzen und Ausgaben, die sichere Produktion und der Vertrieb der Produkte. Ein konformes Aufbewahrungsmanagement bedeutete, einen Nachweis zu erbringen. Durch die Aufbewahrung der Unterlagen bewies das Unternehmen, gesetzliche Vorschriften einzuhalten.

Im 21. Jahrhunderts haben sich die Vorschriften dramatisch verändert. Viele Unternehmen übergehen wichtige Punkte eines konformen Aufbewahrungsmanagements. Durch die Einführung elektronischer Datenverarbeitung, E-Commerce und digitaler Kommunikation, hat sich das Aufbewahrungs- und Datenmanagement in drei wesentlichen Punkten verändert. Übersieht man diese, steigen die Compliance-Kosten und es ist wahrscheinlich, dass die Unterlagen des Unternehmens einer Kontrolle nicht standhalten:

Erstens: Behörden interessieren sich nicht mehr ausschließlich für gedruckte Aufzeichnungen. Schätzungen gehen davon aus, dass über 80 Prozent der Firmendaten nie in Papierform vorlagen. Die Aufsichtsbehörden verlangen daher die Aufbewahrung des elektronischen Originals. Auch frühere Entwürfe, die auf Änderungen hindeuten, müssen aufbewahrt werden. Die Behörden wollen die Herkunft der Informationen kennen und die Aufzeichnungen sehen, die die Herkunft beweisen.

Zweitens: Behörden können sich nicht mehr darauf verlassen, dass die Papier-Aufzeichnungen aktuell sind. Die Prüfer sind sich bewusst, dass die als aktuell geltende Version manipuliert sein kann. Das ist vor allem der Fall, wenn die Daten den Konformitäts-Anforderungen eines Unternehmens widersprechen. Behörden suchen verstärkt nach Security-Kontrollen, um die Authentizität und Integrität der digitalen Daten zu erhalten, nachdem die finalen Versionen festgelegt und veröffentlicht wurden.

Drittens: Die zunehmende Verwendung externer, Cloud-basierter Services zwingt die Aufsichtsbehörden dazu, ein gesetzlich geregeltes Aufzeichnungsmanagement zu verlangen. Rechtlich gesehen sind die Unternehmen für die Daten verantwortlich, auch wenn sich diese bei einem Provider befinden.

Die drei Elemente, welche die Konformität des Aufbewahrungsmanagements gewährleisten , sind:

  • die Herkunft der Daten nachweisen;
  • die Authentizität und Integrität der Daten beweisen;
  • die Kontrolle über die Aufzeichnungen behalten, die auf weit verteilten Netzwerken gespeichert sind.

Damit diese Lücken gefüllt werden, sollte ein Unternehmen Dokumente und Daten aufbewahren, die die Chronologie der Informationsbestände demonstrieren. Diese chronologischen Unternehmensdaten helfen dabei, die Richtigkeit zu beweisen. Die Protokollaufzeichnungen für geschäftskritische Informationen sollten dabei genauso gestaltet sein wie die Protokollaufzeichnungen, die die Produktsicherheit skizzieren oder die Richtigkeit der Finanzberichterstattung beweisen.

Damit dieser Ansatz erfolgreich ist, sollte ein Unternehmen beim Aufbau neuer Systeme, Programme und Informationsbestände drei Dinge beachten:

Erstens: Alle neuen Systeme, Anwendungen und Arbeitsabläufe sollten bereits mit Blick auf konformes Aufbewahrungsmanagement entwickelt, aufgebaut und in Betrieb genommen werden. Das bedeutet für die IT-Abteilung, dass Governance, Security und rechtliche Angelegenheiten bei der Entwicklung von Softwarearchitektur berücksichtigt werden müssen.

Alle betroffenen Akteure wissen somit von Anfang an, welche Arten von Aufzeichnungen bezüglich der Informationsbestände für die Berichterstattung bei den Behörden nötig sind. Es liegt dabei in der Verantwortung dieser, zu erkennen und zu bestimmen, welche die geschäftskritischen Informationen des Unternehmens sind.

Zweitens: Ältere Versionen eines Dokuments sollten möglichst vom gleichen Dokument aus zugänglich sein. Das wird auch „Selbstauthentifizierung“ genannt und erlaubt jedem mit Zugriff auf das Dokument, die behördlichen Prüfer eingeschlossen, die Herkunft der Informationsbestände ganzheitlich zu erfassen. Eine weiterführende Recherche ist somit nicht nötig.

Dieser Aspekt wird von vielen Softwareentwicklern und IT-Architekten nicht in den Entwicklungsprozess eingebunden. Bausteine wie Zugriffsprotokolle, die zur Selbstauthentifizierung der Daten dienen, sollten in eine Anwendung integriert werden.

Drittens: Unterlagen, die den Entwicklungsprozess beschreiben und Daten zur Selbstauthentifizierung sollten parallel zu den primären Dokumenten aufbewahrt werden, auf die sie sich beziehen. Informationen über den Entwicklungsprozess und zur Selbstauthentifizierung sollten als Teil einer Protokoll-Aufzeichnung integriert werden. Dadurch zeigt sich die Integrität der Datensätze, die von den Behörden geprüft werden.

Für bestehende Systeme sollten Firmen nach Möglichkeiten suchen, um rückwirkend Aufzeichnungen einzubauen, die ihre Datenbestände klar zusammenfassen. Diese Maßnahmen lassen sich vielleicht schwer realisieren und finanzieren. Konsistente Geschäftsprozesse, die dasAufbewahrungsmanagement betreffen, reduzieren jedoch die Wahrscheinlichkeit, dass die Daten hinsichtlich der Informationsbestände als rechtlich unzureichend betrachtet werden.

Über den Autor:

Jeffrey Ritter berät Unternehmen und Regierungen zu modernen Strategien, um digitale Daten mit rechtlichem oder Geschäftswert erfolgreich zu verwalten. Er entwickelt Kurse zum Thema Informationsverwaltung an der John Hopkins Whiting School of Engineering und Georgetown University Law. Erfahren Sie mehr auf seiner Website.

Folgen Sie SearchSecurity.de auch auf Facebook, Twitter und Google+!

Artikel wurde zuletzt im Juli 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über IT-Sicherheit: Policies, Prozeduren und Richtlinien

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close