TÜV Informationstechnik GmbH. -TÜViT -

Transkript

1 Beurteilung der Rechts- und Revisionssicherheit durch das Kriterienwerk PK-DML des VOI Dr. Ernst-Hermann Gruschwitz und Joachim Faulhaber Feb-2005 TÜV Informationstechnik GmbH -TÜViT -

2 Die Struktur der TÜV NORD Gruppe RWTÜV e.v. TÜV Thüringen e.v. TÜV Hannover/ Sachsen-Anhalt e.v. TÜV Nord e.v. RWTÜV AG TÜV NORD GmbH Geschäftsbereiche Anlagentechnik/ Systems Mobilität Zertifizierung Energieund Systemtechnik Akademie International TÜV Informationstechnik GmbH ein Unternehmen der TÜV NORD Gruppe Faulhaber / Gruschwitz PK-DML Feb

3 Arbeitsgebiete der CERTÜViT (1) Anerkennung durch BSI für Deutsches IT-Sicherheitszertifikat ITSEC und CC Bestätigung für Produkte für qualifizierte elektronische Signaturen gemäß 15 (7) und 17 (4) Gesetz über Rahmenbedingungen für elektronische Signaturen und 16 und 17 Signaturverordnung Anerkennung durch RegTP für Signaturgesetz Produkte für elektronische Signaturen und Prüfung und Bestätigung der Umsetzung von Sicherheitskonzepten für Trust-Center TÜV Informationstechnik GmbH ein Unternehmen der TÜV NORD Gruppe Faulhaber / Gruschwitz PK-DML Feb

4 Arbeitsgebiete der CERTÜViT (2) Zertifizierungen nach DeTeCardService/TÜViT-Regeln Zertifizierung von Sicherheitsmanagementsystemen (TU4) Zertifizierungen nach TÜViT/VOI-Regeln Zertifizierung von Dokumentenmanagement-Lösungen (PK-DML) Zertifizierung nach quid! Kriterien Zertifizierung im Bereich Datenschutz TÜV Informationstechnik GmbH ein Unternehmen der TÜV NORD Gruppe Faulhaber / Gruschwitz PK-DML Feb

5 Arbeitsgebiete der CERTÜViT (3) TÜViT Prüfzeichen Trusted Site Familie Infrastructure Security Trusted Product Familie Conformity Usability Eigenentwickelte Prüfprogramme Anlehnung an vorhandene Zertifizierungsschemata Ergänzung und Erweiterung auf Basis vorhandener Normen oder normativer Dokumente TÜV Informationstechnik GmbH ein Unternehmen der TÜV NORD Gruppe Faulhaber / Gruschwitz PK-DML Feb

6 Rechtssicherheit (1) gibt es nicht zu 100%, denn das Untersuchungsobjekt und deren Beurteilung unterliegen im Zweifelsfall immer der richterlichen Überprüfung und freien Beweiswürdigung im Zusammenhang mit einer Dokumentenmanagement- Lösung kann allerdings durch geeignete Maßnahmen erhöht werden, um ein Prozessrisiko zu minimieren TÜV Informationstechnik GmbH ein Unternehmen der TÜV NORD Gruppe Faulhaber / Gruschwitz PK-DML Feb

7 Rechtssicherheit (2) Zur Verbesserung der Rechtssicherheit bedarf es Des Nachweises eines planerischen Vorgehens Der Etablierung revisionssicherer Abläufe und möglicherweise der Überprüfung durch einen neutralen Dritten TÜV Informationstechnik GmbH ein Unternehmen der TÜV NORD Gruppe Faulhaber / Gruschwitz PK-DML Feb

8 Revisionssicherheit kann erzielt werden durch Dokumentation der Organisation und Abläufe Definition der Verantwortlichkeiten Nachvollziehbarkeit durch Aufzeichnungen und Protokolle Absicherung der Vorgänge TÜV Informationstechnik GmbH ein Unternehmen der TÜV NORD Gruppe Faulhaber / Gruschwitz PK-DML Feb

9 Absicherung der Vorgänge zur Sicherstellung von Vertraulichkeit Dokumente müssen vor dem Zugriff nicht autorisierter Benutzer geschützt werden Verfügbarkeit Alle Dokumente müssen jederzeit abrufbar und auch noch nach Jahren elektronisch lesbar sein Integrität Dokumente müssen vor unbefugter Modifikation geschützt werden Authentizität Der Ursprung von Dokumenten muss zweifelsfrei nachweisbar sein. TÜV Informationstechnik GmbH ein Unternehmen der TÜV NORD Gruppe Faulhaber / Gruschwitz PK-DML Feb

10 Absicherung auf allen Ebenen Informationstechnisch, z.b. Anmeldeverfahren Rechtevergabe Signaturen Physisch, z.b. Zutrittsschutz Umgebungsbedingungen Medien Organisatorisch, z.b. Freigabemechanismen Aufzeichnungen Qualifikation der Mitarbeiter TÜV Informationstechnik GmbH ein Unternehmen der TÜV NORD Gruppe Faulhaber / Gruschwitz PK-DML Feb

11 Sicherheitsaspekte bei DML 1. Organisation / Regelwerke 2. Qualifikation / Fachkenntnisse 3. Infrastruktur 4. Zugriffsrechte 5. Datensicherung 6. Speichertechnologie 7. Medienformat 8. Netz, OS, DB 9. APIs TÜV Informationstechnik GmbH ein Unternehmen der TÜV NORD Gruppe Faulhaber / Gruschwitz PK-DML Feb

12 Verband Organisationsund Informationssysteme e.v. Entwickelte 1999 ein Kriterienwerk zur Prüfung von Dokumentenmanagement-Lösungen Unter Mitarbeiter der TÜViT TÜViT vertraglich Zertifizierungspartner für PK-DML TÜV Informationstechnik GmbH ein Unternehmen der TÜV NORD Gruppe Faulhaber / Gruschwitz PK-DML Feb

13 VOI Schriftenreihe PK-DML: Prüfkriterien für Dokumenten-Management Lösungen. VOI Verband Organisations-und Informationssysteme e. V. (Hrsg.). Darmstadt, März Grundsätze der Verfahrensdokumentation nach GoBS: "Code of Practice" zur revisionssicheren Archivierung. VOI Verband Optische Informationssysteme e. V. (Hrsg.). Darmstadt, TÜV Informationstechnik GmbH ein Unternehmen der TÜV NORD Gruppe Faulhaber / Gruschwitz PK-DML Feb

14 PK-DML Fokus Ordnungsmäßigkeit Vollständigkeit Sicherheit des Gesamtverfahrens Schutz vor Veränderung und Verfälschung Sicherung vor Verlust Nutzung nur durch Berechtigte Dokumentation des Verfahrens Nachvollziehbarkeit Prüfbarkeit TÜV Informationstechnik GmbH ein Unternehmen der TÜV NORD Gruppe Faulhaber / Gruschwitz PK-DML Feb

15 Verfahrensdokumentation Die Verfahrensdokumentation beschreibt den gesamten organisatorischen und technischen Prozess von der Entstehung der Information über die Verschlagwortung und Speicherung dem eindeutigen Wiederfinden der Absicherung gegen Verlust und Fälschung der Reproduktion am Bildschirm/Drucker TÜV Informationstechnik GmbH ein Unternehmen der TÜV NORD Gruppe Faulhaber / Gruschwitz PK-DML Feb

16 PK-DML (I) Prüfkriterien für Dokumentenmanagement-Lösungen Allgemeine Beschreibung des Einsatzgebiets Sachlogische Systemlösung fachliche Aufgabe aus Sicht des Betreibers Inhalt und Nutzen in Bezug auf rechtliche Anforderungen Technische Systemlösung und Migration technisches Umfeld einschließlich Systemarchitektur Konzept für Langfristverfügbarkeit IT-Sicherheit Gesamtkonzeption Datensicherheit und Datenintegrität Datenschutz TÜV Informationstechnik GmbH ein Unternehmen der TÜV NORD Gruppe Faulhaber / Gruschwitz PK-DML Feb

17 PK-DML (II) Prüfkriterien für Dokumentenmanagement-Lösungen Technischer Betrieb Informationstechnik Betriebsbedingungen und -voraussetzungen Betriebsprozesse Prozesse Behandlung und Bearbeitung von Dokumenten im Prozess Mitarbeiterqualifikation Qualifikationsnachweise Tests Systemabnahmen mit Tests und Freigabeprozessen Wartung durchzuführende Prüfungs- und präventive Wartungsmaßnahmen Beschreibung des Internen Kontrollsystems in Gesamtheit vollständig, genau, aktuell und aussagekräftig TÜV Informationstechnik GmbH ein Unternehmen der TÜV NORD Gruppe Faulhaber / Gruschwitz PK-DML Feb

18 Prüfung nach PK-DML Formale Prüfung der Verfahrensdokumentation nach PK- DML. Praktische Prüfung (Audit) der DM-Lösung auf der Grundlage des operationalisierten Verfahrens zur Prüfung von Dokumentenmanagement-Lösungen. TÜV Informationstechnik GmbH ein Unternehmen der TÜV NORD Gruppe Faulhaber / Gruschwitz PK-DML Feb

19 Formale Prüfung der Verfahrensdokumentation Dokumentenprüfung der Verfahrensdokumentation. Spezifikation Spezifikation Design Design Analyse Implementierung Implementierung Test Test Umgebung Verträge / Arbeits- Wartung anweisungen Hersteller- Sicherheits- Testunter- handbuch handbuch lagen Verfahrens- beschreibung TÜV Informationstechnik GmbH ein Unternehmen der TÜV NORD Gruppe Faulhaber / Gruschwitz PK-DML Feb

20 Praktische Prüfung (Audit) der DMS-Installation Auditierung der DMS-Installation beim Betreiber. Spezifikation Spezifikation Design Design Analyse Implementierung Implementierung Test Test Umgebung TÜV Informationstechnik GmbH ein Unternehmen der TÜV NORD Gruppe Faulhaber / Gruschwitz PK-DML Feb

21 Das PK-DML - Zertifizierungsschema DM-Lösung Verfahrensdokumentation Einordnung des DMS Vorcheckliste, Vorgespräch Workshop Qualifizierungsziele: Ordnungsmäßigkeit, Wirtschaftlichkeit, Sicherheit, Qualität und Recht Zertifiziernugsstelle Auditmgmt Umsetzungsprüfung Bewertung Prüfbericht Dokumentenprüfung Auditteam Folgequalifizierung Zertifikat Zertifizierungs stelle TÜV Informationstechnik GmbH ein Unternehmen der TÜV NORD Gruppe Faulhaber / Gruschwitz PK-DML Feb

22 PK-DML-Zertifikat Erteilung nach erfolgreicher Prüfung der Verfahrensdokumentation und positivem Audit der DML des Betreibers Gültigkeit bis zu einer Veränderung der DML, jedoch maximal 2 Jahre ab Audit TÜV Informationstechnik GmbH ein Unternehmen der TÜV NORD Gruppe Faulhaber / Gruschwitz PK-DML Feb

23 Vorteile PK-DML Normativer Charakter: Vorteil für Betreiber, Hersteller Integratoren, Verbände, Prüfer Aufgrund klarer Struktur und definiertem Inhalt der Verfahrensdokumentation klar kalkulierbarer Aufwand für Erstellung, Umsetzung und Prüfung Nachvollziehbare Revisionsfähigkeit somit Auditfunktionalität somit Revisionssicherheit somit Rechtssicherheit somit Akzeptanz TÜV Informationstechnik GmbH ein Unternehmen der TÜV NORD Gruppe Faulhaber / Gruschwitz PK-DML Feb

24 TÜV Informationstechnik GmbH - ein Unternehmen der TÜV NORD Gruppe - Dr. Ernst-Hermann Gruschwitz Dipl.-Inform. Joachim Faulhaber Zertifizierung Langemarckstraße Essen Telefon: Telefax: j.faulhaber@tuvit.de URL: TÜV Informationstechnik GmbH ein Unternehmen der TÜV NORD Gruppe Faulhaber / Gruschwitz PK-DML Feb