Risiken für Records identifizieren und minimieren

Records Management meint die Fähigkeit einer Organisation, vertrauenswürdige Geschäftsunterlagen zu führen und dadurch rechtliche und geschäftliche Risiken zu verringern. Doch Änderungen in den Rand- und Rahmenbedingungen der Organisation können unerwartet zum teilweisen Verlust dieser Fähigkeit führen, was die Vertrauenswürdigkeit von Unterlagen dauerhaft komprimitiert.

Die Beherrschung solcher Veränderungen bzw. ihrer Risiken gehört zu einem «Management-System für Records» nach ISO 30301. Der 2014 erschiene Standard ISO/TR 18128 «Risk Assessment for Records Processes and Systems» ist ein praktisches Hilfsmittel zur Umsetzung dieser Aufgabe.

ISO 18128: Risikobewertung für Records

  • Politisch-sozialer Kontext — Änderungen der gesetzlichen und regulatorischen Grundlagen, der Zusammenarbeit mit Behörden, des politischen Klimas, der Erwartungen von Kapitaleignern.
  • Ökonomisch-technologischer Kontext — Änderung der Eigentümer, der Ertragslage oder der Technologien bei Produktion, Vermarktung und Vertrieb von Produkten und Dienstleistungen.
  • Bedrohungen aus der Umwelt — Naturkatastrophen, Elementarschäden, Krieg, Ausfall von Ressourcen (Strom, Wasser, Transportmittel etc.) oder Dienstleistungserbringern und Lieferanten.
  • Sicherheitsbedrohungen — Einbruch, Vandalismus, Terrorismus, unauthorisierte Zugriffe auf Informationen, unerkannte Sicherheitslücken, Umsetzung neuer Sicherheitsstandards.
  • Organisation und Infrastruktur — Änderungen der Geschäftsziele und -prozesse, der Unternehmensstruktur, beim Personal oder bei der Infrastruktur (Ablösungen, Migrationen).

Anders als die Analyse von Geschäftsrisiken und allgemeinen Sicherheitsrisiken befasst sich ISO/TR 18128 gezielt mit den Risiken für Records, Records-Prozesse und Records-Systeme. Aufgeteilt in diese drei Kategorien nennt der Standard mögliche Risiken aus zwanzig Themenbereichen.

  • Anhang: Checkliste — Eine umfangreiche Checkliste mit konkreten Fragen hilft dabei, die Relevanz einzelner Risiken zu beurteilen und festzustellen, ob ein Risiko bereits eingetreten ist.
  • Anhang: ISO/IEC 27001 Controls — Zu den Risikofeldern in ISO/TR 18128 werden Steuerelemente der gebräuchlichen Schweizer Norm SN ISO/IEC 27001:2013 (Informationssicherheit) aufgeführt und erläutert, wie diese bezüglich Records Management untersucht und ergänzt werden sollten.

Ein wichtiges Risikofeld in ISO/TR 18128 stellen Migrationen und Konversionen von Daten im Rahmen von Ablösungen und Stilllegungen von Alt- und Legacy-Systemen dar, wie sie zum Beispiel bei Firmenübernahmen und -fusionen oder bei der Konsolidierung von Plattformen vorkommen.

Jede Migration oder Konversion von Geschäftsunterlagen stellt grundsätzlich deren Vertrauenswürdigkeit bzw. Integrität, Authentizität, Vollständigkeit und Zuverlässigkeit in Frage. Dies besonders dann, wenn die Konversion/Migration nicht nachvollziehbar bzw. nicht auditierbar und verifizierbar ist.

Der Standard ISO 13008:2012 «Digital Records Conversion and Migration Process» bietet hierzu ein Projektvorgehen zur Planung, Umsetzung, Validierung und Dokumentation solcher Migrationen und Konversionen, das mit den Kriterien aus ISO 15489 (Records Management), ISO 23081 (Führung von Metadaten) und weiteren Standards abgestimmt ist.

  • Planung — Prozedurale Schritte, Methoden, Personen und andere Ressourcen, die für eine erfolgreiche Konversion/Migration nötig sind.
  • Testing und Implementierung — Tests zur Verifizierung der geplanten Methoden, prozedurale Schritte und Kriterien zur reversiblen und kontrollierten Durchführung sowie zur Erzeugung von Metadaten für die Nachvollziehbarkeit.
  • Validierung — Prozedurale Schritte, Methoden, Qualitätssicherung und Fehlerberichte zur Validierung, ob die Migration/Konversion kontrolliert, wie geplant und vollständig durchgeführt wurde. Damit sollen Dritte (zum Beispiel die interne Revision) überprüfen können, dass die Vertrauenswürdigkeit der migrierten bzw. konvertierten Daten nicht beschädigt wurde.
  • Sign-off — Abnahmekriterien, nach denen die Verantwortlichen aller Anspruchsgruppen bestätigen, dass die Migration/Konversion nach ihren Vorgaben erfolgt ist.
  • Dokumentation — Metadaten, Berichte und Prozessdokumentation, welche die Nachvollziehbarkeit des Migrations- bzw. Konversionsprojekts dauerhaft sicherstellen.

Ebenfalls mit Risiken behaftetet sind Konversionen mit Medienbrüchen, insbesondere die Digitalisierung von Papierdokumenten durch «Scanning» oder OCR-Texterkennung.

Entscheidende Fragen sind dabei, welche Geschäftsaktivitäten auf dem Papierexemplar (z.B. Original) bzw. der digitalisierten Kopie basieren, wann die Digitalisierung im Geschäftsprozess erfolgt, und ob rechtliche Bestimmungen die dauerhafte Nachweisbarkeit von Papieroriginalen bedingen.

Der Standard ISO/TR 13028:2010 «Implementation guidelines for digitization of records» diskutiert diese Fragen und bietet Richtlinien zur Umsetzung.

  • Kohärenz — «Best Practices» zum kohärenten Umgang mit Papieroriginalen und ihren digitalisierten Kopien in Geschäftsprozessen und Records-Systemen, insbesondere auch hinsichtlich der Erzeugung und Verwaltung von technischen und administrativen Metadaten.
  • Vertrauenswürdigkeit — Technische und organisatorische Richtlinien, um Vertrauenswürdigkeit (Integrität, Authentizität, Vollständigkeit, Zuverlässigkeit) im Sinne von ISO 15489 bestmöglich für Digitalisate zu gewährleisten bzw. von Papierunterlagen auf Digitalisate zu übertragen.
  • Hybride Ablagen — Technische und organisatorische Richtlinien zum Umgang mit Papieroriginalen nach ihrer Digitalisierung, insbesondere in Bezug auf ihre langfristige Lagerung und die kohärente Vernichtung von Originalen und ihren Digitalisaten nach Ablauf der Aufbewahrungsfristen.

Der Standard ISO/TR 15801:2009 «Information stored electronically – Recommendations for trustworthiness and reliability» macht Empfehlungen, um die Vertrauenswürdigkeit und Zuverlässigkeit von in Dokumenten-Management-Systemen (DMS) verwalteten elektronischen Geschäftsunterlagen zu gewährleisten. Er gibt somit konkrete Hinweise, wie die in ISO 15489 (Records Management) geforderte Vertrauenswürdigkeit und Zuverlässigkeit von Records auf der Ebene eines technischen Systems erreicht werden kann. Der Standard bezieht sich auf die vorarchivische Lebensphase von Unterlagen.

  • «Document management policy» — Empfehlungen zur Dokumentation eines Dokumenten-Management-Systems, in dem geschäftsrelevante Dokumente gespeichert und verwaltet werden.
  • «Duty of care» Zu beachtende Sorgfaltspflichten beim Betrieb des Systems, zum Beispiel bezüglich Informationssicherheit, Risikomanagement und Ausfallplanung («Business continuity planning»).
  • «Procedures and processes» — Zu implementiernde Verfahren und Betriebsprozesse, zum Beispiel zu Benutzer- und Verfahrensdokumentation, Datenimport und -transfer, Metadaten und Indexierung, Umgang mit Informationsverlusten, Qualitätssicherung und Aufbewahrung.
  • «Enabling technologies» — Empfehlungen zu bestimmten Technologien, zum Beispiel Verschlüsselung, E-Signaturen, Datenkompression sowie Speicher- und Zugriffshierarchien.
  • «Audit Trails» — Empfehlungen zur Aufzeichnung von Prüfinformationen, mit denen wenn nötig die Vertrauenswürdigkeit und Zuverlässigkeit von System und Dokumenten gegenüber externen Prüfstellen glaubwürdig nachgewiesen bzw. bewiesen werden kann.

Der oben erwähnte Standard ISO/TR 15801:2009 «Information stored electronically – Recommendations for trustworthiness and reliability» macht Empfehlungen, um die Vertrauenswürdigkeit und Zuverlässigkeit von in Dokumenten-Management-Systemen (DMS) verwalteten elektronischen Geschäftsunterlagen zu gewährleisten. Er gibt somit konkrete Hinweise, wie die in ISO 15489 (Records Management) geforderte Vertrauenswürdigkeit und Zuverlässigkeit von Records auf der Ebene eines technischen Systems erreicht werden kann. Der Standard bezieht sich auf die vorarchivische Lebensphase von Unterlagen.

  • «Document management policy» — Empfehlungen zur Dokumentation eines Dokumenten-Management-Systems, in dem geschäftsrelevante Dokumente gespeichert und verwaltet werden.
  • «Duty of care» Zu beachtende Sorgfaltspflichten beim Betrieb des Systems, zum Beispiel bezüglich Informationssicherheit, Risikomanagement und Ausfallplanung («Business continuity planning»).
  • «Procedures and processes» — Zu implementiernde Verfahren und Betriebsprozesse, zum Beispiel zu Benutzer- und Verfahrensdokumentation, Datenimport und -transfer, Metadaten und Indexierung, Umgang mit Informationsverlusten, Qualitätssicherung und Aufbewahrung.
  • «Enabling technologies» — Empfehlungen zu bestimmten Technologien, zum Beispiel Verschlüsselung, E-Signaturen, Datenkompression sowie Speicher- und Zugriffshierarchien.
  • «Audit Trails» — Empfehlungen zur Aufzeichnung von Prüfinformationen, mit denen wenn nötig die Vertrauenswürdigkeit und Zuverlässigkeit von System und Dokumenten gegenüber externen Prüfstellen glaubwürdig nachgewiesen bzw. bewiesen werden kann.