place image here 27. november 2012 hans-günter börgmann, geschäftsführer iron mountain...
TRANSCRIPT
Place image here
27. November 2012Hans-Günter Börgmann, Geschäftsführer Iron Mountain Deutschland GmbH
Records und Archive im Outsourcing verwalten
INF
OR
MA
TIO
NS
MA
NA
GE
ME
NT
2
Was Sie erwartet
Welche besonderen Anforderungen gibt es für die Verwaltung wichtiger Unterlagen bei Dritten
Sichere Prozesse für die Verwaltung von Records und Archiven
Wie werden die 8 Grundprinzipien von GARP abgebildet?
Records Management im Outsourcing: wie mache ich das einfach und intuitiv?
Wussten Sie schon…?
300.000 €
Ist die Höhe des Bußgeldes, das bei
einem Verstoß gegen das
Datenschutzgesetz verhängt werden
kann.
Quelle: BDSG
72 %
aller Unternehmen finden nach
eigenen Angaben externe
Informationen schneller als firmeneigene
Daten.Quelle: The Association for Information and Image Management
35 %
der Arbeitszeit verbringen
Mitarbeiter mit der Suche nach
Informationen
Quelle: IDC
43 %
aller Unternehmen
erholen sich nicht mehr von einem katastrophalen Datenverlust.
Quelle: Basware Forschungsbericht Lost in Translation 2010
5
Das A und O eines sicheren Archivmanagements
Wissen…
• welche Dokumente aufbewahrt werden müssen
• wer auf die Dokumente zugreifen darf und zugreift
• wo die Dokumente aufbewahrt sind
• wie lange Dokumente aufbewahrt werden müssen
• wie auf Dokumente zugegriffen wird
• wann Dokumente sicher vernichtet werden müssen
6
Externes Archivmanagement: Stufenplan
1. Analyse des Unternehmens/Archivierungsortes
2. Schaffung nachhaltiger (Akten-) Strukturen
3. Erfassung aller Akten
4. Festlegung einheitlicher Beschriftungen
5. Regelung der Zugriffe/lückenlose Nachweiskette
6. Festlegung der Aufbewahrungsfristen
7. Regelmäßige Überprüfung der Strukturen
7
Anforderungen an Unternehmen
• Strategische Aufgabe: Risikomanagement Einführung eines effizienten Überwachungssystems
• Regelungs- und Handlungsbedarf Analyse der Systeme einschl. der Schwachstellen, Transparenz Einführung eines Berichtswesens Einführung eines Sicherheitskonzeptes (inkl. Katastrophen- und Zugriffsschutz) Klare Regelung der Zuständigkeiten Risikoklassifizierung der IT-Systeme Nutzungsberechtigungskontrolle (Software) Professionelle Beschaffung von IT-Systemen und IT-Dienstleistungen Einführung eines effizienten Kontrollsystems
Auslagerung an Profis möglich
Sichere Prozesse für die Verwaltung von Records und Archiven
Der Informationsweg zum Dienstleister
Kurier scanntBox/Akte vor Ort
Übergabe des Verwahrten
Ggf. automatischeE-Mail Bestätigung
der Abholung
Flexibler Zugriff
z.B. über Iron Mountain-Connect
Scannenam Archivierungsort
Automatische Rechnungsstellung
Datenerfassung und lückenlose Übergabe der Unterlagen
Indexieren derUnterlagen beim Eintreffen
im Archivcenter
OptionalePremium-Verarbeitung
(Dateneingabe, ggf. Einscannen, Klassifierung)
Auftrag zur Abholungper IM-Connect/Fax/E-Mail
AufbringungBarcode
ElektronischeUnterschrift
IM-Fahrer trifft ein
SichererTransport
Wie werden die 8 Grundprinzipien von GARP abgebildet?
11
Grundprinzipien von GARP1. Principle of Accountability - Prinzip der Verantwortlichkeit
Innerhalb eines Unternehmens sollte es eine Führungskraft geben,
die ein Records Management-System überwacht und
System-Verantwortung an geeignete Personen delegiert sowie
bestimmte Programm- Anforderungen adaptiert.
Outsourcing nicht möglich / Chefsache
12
Grundprinzipien von GARP2. Principle of Integrity - Prinzip der Integrität
• Richtigkeit und Einhaltung der Richtlinien und Verfahren des Unternehmens (Governance und Compliance)
• Zuverlässige, angemessene und wiederholte Information Management Ausbildung
• Zuverlässigkeit und Richtigkeit von Records Inhalten und Kontext
• Verlässlicher und auswertbarer Audit-Trail• Zuverlässigkeit und Verfügbarkeit des Systems
13
Grundprinzipien von GARP3. Principle of Protection - Prinzip der Sicherung
• Angemessenes Maß an Schutz für unternehmenskritische Dokumente
• Steuerungs- und Kontrollmechanismen für den gesamten Lebenszyklus von Informationen
• Angemessene Sicherheitsstrukturen mit exklusiven Zugangsberechtigungen
Hochsicherheitsarchive von Iron Mountain
– Stahltüren, Sicherheitszäune, Brandschutzmauern, Kameras– Brandschutz– Rund-um-die-Uhr-Überwachung– Zugangskontrollen– Mitarbeiter nach BDSG verpflichtet– regelm. Mitarbeiterüberprüfung
14
Grundprinzipien von GARP4. Principle of Compliance - Prinzip der Compliance
• Das Records Management System selbst ist Gegenstand der gesetzlichen Anforderungen, wie z. B. Anforderungen an Steuer- oder sonstige Aufzeichnungen
• Unternehmen müssen wissen, welche Informationen geführt werden müssen, um einen Nachweis der ordnungs-, rechts- und gesetzmäßigen Durchführung der Geschäftsaktivitäten zu besitzen
• Unternehmen müssen Informationen in der gesetzlich vorgeschriebenen Weise als Records deklarieren und im Kontext wiederauffindbar aufbewahren
• Dokumente müssen gemäß den gesetzlichen oder regulativen Vorgaben nachweisbar aufbewahrt werden
15
Einige Rechtsnormen
• Sarbanes Oxley Act
• GDPDU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen)
• §91 Abs. 2 AktG, KonTraG Art. 8 Nr. 9c: „Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden“
• BDSG - Dokumente enthalten personenbezogene Daten §9 und Anlage zu §9 BDSG: Datensicherheit, Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Auftrags-; Verfügbarkeitskontrolle, Trennungsprinzip
• TKG (§§ 88 ff. – Fernmeldegeheimnis, TK-Datenschutz)
• §203 StGB (Privatgeheimnis)
• §§146f. AO ( Buchführung im Ausland und Aufbewahrungspflicht)• …
16
Grundprinzipien von GARP5. Principle of Availability - Prinzip der Verfügbarkeit
• Organisationen müssen in der Lage sein, alle Dokumente die für die Aufbewahrung relevant sind zu erkennen, zu klassifizieren, zu lokalisieren und abrufen zu können.
Outsourcing an einen Dienstleister möglich
17
Grundprinzipien von GARP6. Principle of Retention - Prinzip der Aufbewahrung
• Beschreibt die Aufbewahrungsdauer und den Lebenszyklus von Informationsobjekten während der Aufbewahrung
• Unternehmen müssen Dokumente für eine angemessene, zum Teil vorgegebene Zeit aufbewahren. Unter Berücksichtigung folgender Rahmenbedingungen:
• Rechtliche• Aufsichtsrechtliche• Steuerliche• Betriebliche• Historische
18
Aufbewahrungsfristen
• 10 Jahre: Buchhaltung, Buchungen, Bilanzen, Organisationsunterlagen, Rechnungen
• 6 Jahre: Versandte und empfangene Handelsbriefe (einschließlich E-Mails)
• Beginn der Fristen erst am Ende des Jahres des Vorganges (z.B. Empfang von E-Mails, Datum des Buchungsbeleges)
Besser mindestens 10 Jahre aufbewahren
• => Jahressteuergesetz 2013 (Aufbewahrungsfrist)
19
Grundprinzipien von GARP7. Principle of Desposition - Prinzip der Entsorgung
• Organisation sind dazu verpflichtet sicher zu stellen, dass alle Kopien und Versionen der Dokumente entsorgt werden und einen Nachweis hierüber zu führen
• Vernichtungsstufen (DIN 32757):• Stufe 1: max. 1.000 mm²• Stufe 2: max. 400 mm²• Stufe 3: max. 1 mm²• Stufe 4: max. 0,5 mm²• Stufe 5: max. 0,2 mm²
Zusatzmaßnahmen: Vermischen oder Verpressen
20
Grundprinzipien von GARP8. Principle of Transparency - Prinzip der Transparenz
• Die Prozesse und Aktivitäten sollten von dem Records Management System in verständlicher Art und Weise dokumentiert werden und für alle befugten Nutzer verfügbar sein.
z.B. über das Online Portal IM Connect:• Liefert Nachweiskette über alle Bewegungen und Zugriffe auf Akten• Zahlreiche Berichte können selbst kreiert werden, z.B.:
• Aktenbestand• Aktenbewegungen• Zugriffe• Zugriffsberechtigungen• Ablauf der Aufbewahrungsfristen
21
Records Management im Outsourcing: wie mache ich das einfach und intuitiv?
Lösungen über den gesamten Informations-lebenszyklus
Analyse/BeratungAbholung/Anlieferung der
Papierunterlagen oder Datenträger
Sichere Archivierungund Schutz
12 Iron Mountain-Hochsicherheitscenter
Ggf. digitalisieren der Papierunterlagen
Flexibler Zugriff 24/7 – digital oder
Zustellung per Kurier
Sichere Vernichtung
Archivmanagement • Daten-trägersicherung • Scanlösungen
…auf einen Blick
Kosten- reduzierung
Zeit- & Platz-ersparnis
EffizienteArbeitsabläufe
Risikominimierung von Datenverlusten
Gewährleistung von Sicherheit
Flexibler Zugriffauf Daten
Vorschriften-einhaltung
Erfahrungen aus einer Hand
24
Vielen Dank!