Upload
trinhhanh
View
216
Download
0
Embed Size (px)
Citation preview
Inhalt
1 Einleitung 1
2 Überblick über die Bewertungsgrundlagen 3
2.1 PK-DML 4
2.1.1 Allgemeine Beschreibung des Einsatzgebietes 5
2.1.2 Fachliche und sachlogische Lösung 5
2.1.3 Technische Lösung 6
2.1.4 IT-Sicherheit 6
2.1.5 Technischer Betrieb 6
2.1.6 Langzeitverfügbarkeit und Migration 6
2.1.7 Mitarbeiterqualifikation 7
2.1.8 Test 7
2.1.9 Outsourcing 7
2.1.10 Beschreibung des internen Kontrollsystems 7
2.2 EN 9300 8
2.2.1 Basic Parts 9
2.2.2 Common Process Parts 9
2.2.3 Support Process Parts 9
2.2.4 Data Domain Specific Parts 9
2.3 TR RESISCAN 10
2.3.1 Basismodul 11
2.3.2 Aufbaumodule 11
2.3.3 Prüfspezifikation 11
3 Prüfung und Zertifizierung 12
3.1 Workshop und Auswahl der Bewertungsgrundlage 12
3.2 Dokumentenprüfung und Audit 12
3.3 Prüfbericht und Zertifikat 13
3.4 Teil-Zertifizierung (nur PK-DML) 13
3.5 Re-Zertifizierung 14
4 Über TÜViT 15
5 Ansprechpartner 19
Revisionssichere Erfassung, Bearbeitung und Archivierung von Dokumenten Seite 1 | 19
© TÜV Informationstechnik GmbH
1 Einleitung
Die Archivierung papiergebundener Dokumente ist finanziell und
organisatorisch aufwändig und mit zeitintensiven Such- und
Zugriffsprozessen verbunden. Durch die Konvertierung in elektronische
Dokumente und anschließender Vernichtung der Papierdokumente lässt
sich der Kosten- und Zeitfaktor deutlich reduzieren.
Elektronische Dokumentenmanagementsysteme (DMS) und Archive
haben sich seit vielen Jahren zur Verwaltung elektronischer Dokumente
bewährt. Heutzutage werden sie in nahezu allen Branchen und mit
Anpassungen an die jeweils spezifischen Anforderungen der
Unternehmen eingesetzt. Aufgrund der rechtlichen Anforderungen wie
auch der individuellen Realisierung der DMS entstehen bei den
Betreibern bezüglich der Vernichtung der Papierdokumente sowie der
Aufbewahrungsart der elektronischen Kopien jedoch häufig Zweifel:
Erfüllt der Verzicht auf Papierdokumente durch deren Vernichtung
diejenigen rechtlichen Anforderungen, denen das Unternehmen
unterliegt?
Sind die Verarbeitungsprozesse so ausgelegt, dass die Unver-
änderbarkeit der Dokumente vom Dokumenteneingang bis hin zur
Archivierung nachgewiesen werden kann?
Sind elektronisch verwaltete Dokumente genauso beweissicher und
zuverlässig wie Dokumente in einem Papierarchiv?
Sind die technischen Maßnahmen ausreichend und so gewählt, dass
ein Zugriff auf die elektronischen Dokumente innerhalb der
Aufbewahrungsfristen jederzeit gewährleistet werden kann?
Ist durch das gewählte Zielformat die Reproduktion (1:1 Abbild)
archivierter Dokumente innerhalb der Aufbewahrungsfristen jederzeit
möglich?
Revisionssichere Erfassung, Bearbeitung und Archivierung von Dokumenten Seite 2 | 19
© TÜV Informationstechnik GmbH
Im Hinblick auf die Brisanz der Papiervernichtung und
Langzeitarchivierung führt TÜViT eine, auf den jeweiligen Kontext
angepasste, technische und organisatorische Prüfung des vorhandenen
DMS durch. Die Prüfung umfasst den vollständigen Weg der Dokumente
vom Eingang bis hin zur Archivierung sowie den späteren Zugriff und die
Reproduktion.
Die eingehenden Dokumente (Rechnungen, Personalakten,
Vertragsunterlagen, technische Zeichnungen, etc.) liegen meist als
klassische Papierdokumente oder als elektronische Dateien mit
zweidimensionalem Inhalt vor. Letztere können allerdings auch als
originär dreidimensionale elektronische Dokumente (z.B. CAD-
Zeichnungen) vorliegen, wodurch besondere Herausforderungen an die
Langzeitverfügbarkeit und spätere Reproduzierbarkeit gestellt werden.
Während der Prüfung werden unter anderem die folgenden Aspekte
begutachtet, bewertet und im Anschluss dokumentiert:
Konvertierung der Dokumente
Dokumentation und ordnungsgemäßer Ablauf der Prozesse
Bauliche Begebenheiten und physische Sicherheit
Vernichtung der bereits erfassten Papieroriginale
Dokumentation des Systems sowie sämtlicher Maßnahmen
Die von TÜViT dokumentierte Systemprüfung bringt somit mehrfachen
Nutzen:
Sie hilft nachzuweisen, dass Maßnahmen zur Sicherstellung der
Revisionssicherheit der Dokumente gezielt, wirksam und nachhaltig
zum Einsatz kommen.
Dritten gegenüber kann die Erfüllung rechtlicher Anforderungen (z.B.
GoBD) an die Archivierung nachgewiesen werden.
Der Beweiswert archivierter Dokumente wird durch eine geprüfte und
zertifizierte Lösung gesteigert.
Die Unternehmensleitung kann gezielt nachweisen, dass der
Sorgfaltspflicht bezüglich interner Organisation und Risiko-
management innerhalb der DMS-Lösung nachgekommen wird.
Revisionssichere Erfassung, Bearbeitung und Archivierung von Dokumenten Seite 3 | 19
© TÜV Informationstechnik GmbH
2 Überblick über die Bewertungsgrundlagen
Die TÜV Informationstechnik GmbH (TÜViT) prüft Dokumenten-
managementsysteme anhand folgender Bewertungsgrundlagen:
PK-DML: Prüfkriterien für elektronische Dokumentenmanagement- und
Dokumentenprozesslösungen
EN 9300: Langzeitarchivierung und Bereitstellung digitaler technischer
Produktdokumentationen
TR RESISCAN: Technische Richtlinie des BSI TR-03138 für
ersetzendes Scannen
Die oben aufgeführten Bewertungsgrundlagen beinhalten umfangreiche
Anforderungen und weisen eine hohe Aussagekraft auf, wenn es
beispielsweise auf einen Nachweis der revisionssicheren Erfassung,
Archivierung oder ordnungsgemäßer Prozessabläufe ankommt.
Die Prüfung auf Grundlage der obigen Bewertungsgrundlagen
unterscheidet sich jedoch beim Umfang.
Abbildung 1: Abdeckung der einzelnen Bewertungsgrundlagen
PK-DML
TR RESISCAN
EN 9300
Revisionssichere Erfassung, Bearbeitung und Archivierung von Dokumenten Seite 4 | 19
© TÜV Informationstechnik GmbH
Die vollständige Adressierung aller wichtigen Aspekte und Prozeduren
wird durch die PK-DML sichergestellt. Diese Prüfung umfasst sowohl die
technische als auch organisatorische Realisierung eines vollum-
fänglichen Dokumentenmanagementsystems. Daher dient die PK-DML als
Grundlage für alle Prüfungen. Darauf aufbauend können sowohl die
Anforderungen der TR-RESISCAN als auch die der EN 9300 bei Bedarf
als zusätzliche Module beauftragt werden.
Der Fokus der TR RESISCAN liegt auf den Anforderungen für das
ersetzende Scannen und betrifft ausschließlich den Erfassungs- und
Indexierungsprozess von Dokumenten, während die EN 9300 gezielt für
den Bereich der Datenbereitstellung, Konvertierung und Reproduktion von
3D Dokumenten/CAD-Modellen entwickelt wurde.
Zu den genannten Bewertungsgrundlagen gibt es eine Reihe von
definierten Kriterien und Anforderungen, die bei einer Zertifizierung auf
Einhaltung hin überprüft werden. In den folgenden Kapiteln werden die
wichtigsten Eckdaten der Bewertungsgrundlagen aufgeführt.
2.1 PK-DML
Prüfkriterien für elektronische Dokumentenmanagement- und
Dokumentenprozesslösungen
Die durch den Verband Organisations- und Informationssysteme e.V.
(VOI) in Zusammenarbeit mit der TÜViT definierten PK-DML bilden die
Basis für eine objektive Beurteilung eines DMS sowie möglicher
Teillösungen von z.B. Scandienstleistern und Archivanbietern. Sie dienen
dazu, die Revisionssicherheit nachzuweisen und berücksichtigen dazu
unter anderem Aspekte aus den GoBD, GDPdU1, in Ansätzen ISO 27001
und FAIT2 1-3 des IDW3 Prüfstandards.
Der Einsatz der PK-DML bietet sich bei der internen Abnahme und
Freigabe des DMS an, ebenso wie bei der formellen Abnahme gegenüber
externen Dienstleistern.
1 Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen
2 Fachausschuss für Informationstechnologie
3 Institut der Wirtschaftsprüfer
Revisionssichere Erfassung, Bearbeitung und Archivierung von Dokumenten Seite 5 | 19
© TÜV Informationstechnik GmbH
Bereits in den Phasen der Anforderungsdefinition und Konzeption eines
DMS liefert das Regelwerk wertvolle Unterstützung (z.B. als Checkliste).
Die in den PK-DML definierten Prüfkriterien stellen Mindestanforderungen
dar, unter denen die Prüfung und Bewertung vollzogen wird. Jedes, in der
PK-DML genannte, und nachfolgend auszugsweise aufgeführte,
Prüfkriterium wird auf folgende Eigenschaften hin untersucht:
Ordnungsmäßigkeit
Vollständigkeit
Nachvollziehbarkeit
Unveränderbarkeit
Verfügbarkeit
In den GoBD sind diese als allgemeine Grundsätze aufgeführt und
müssen während den geltenden Aufbewahrungsfristen durchgehend und
nachweisbar eingehalten werden.
Im Folgenden werden die einzelnen PK-DML-Anforderungsbereiche
erläutert.
2.1.1 Allgemeine Beschreibung des Einsatzgebietes
Damit sich ein organisationsfremder Prüfer ein Bild von den
Rahmenbedingungen des DMS machen kann, muss das Einsatzgebiet
hinreichend beschrieben sein. Dies beinhaltet die Darstellung der
Organisation und den Standort. Zu den wesentlichen Elementen der
Beschreibung gehören auch die anzuwendenden Gesetze und die zu
berücksichtigenden Risiken.
2.1.2 Fachliche und sachlogische Lösung
Zweck und Aufgabe des DMS müssen aus sachlogischer und fachlicher
Sicht beschrieben sein. Die Verfahrensdokumentation muss den Rahmen
des DMS, dessen Aufgabenstellung und die einzuhaltenden Richtlinien
beschreiben und die einzelnen Prozessschritte detailliert aufführen. Dies
reicht von der Erfassung durch Scanner über die Indexierung bis hin zur
Speicherung der elektronischen Dokumente und beinhaltet ggf. auch die
Vernichtung der Papieroriginale.
Revisionssichere Erfassung, Bearbeitung und Archivierung von Dokumenten Seite 6 | 19
© TÜV Informationstechnik GmbH
2.1.3 Technische Lösung
Der Detaillierungsgrad der Beschreibung der technischen Hard- und
Softwarekomponenten muss sich an der Bedeutung der jeweiligen
Komponente für das DMS orientieren. Die für Funktions- und
Ordnungsmäßigkeit wesentlichen Komponenten müssen im Detail doku-
mentiert sein. Besonders hervorzuheben sind hierbei die verwendeten
Archivmedien und Speichersysteme sowie die technische Absicherung
der Unveränderbarkeit der elektronischen Dokumente. Auch die für das
Überprüfen und Erstellen elektronischer Signaturen eingesetzten
Systeme müssen beschrieben werden.
2.1.4 IT-Sicherheit
Zur Sicherstellung der IT-Sicherheit müssen ein vollständiges
Sicherheitskonzept sowie Aussagen zur Datensicherheit und zum
Datenschutz vorliegen. Die Anforderungen beinhalten auch die DMS-
spezifischen Risiken und die Sicherstellung der Transaktion, Integrität
und Konsistenz der Dokumente.
2.1.5 Technischer Betrieb
Im technischen Betrieb werden die allgemeinen baulichen und
organisatorischen Voraussetzungen für einen geordneten DMS-Betrieb
betrachtet. Der technische Betrieb unterteilt sich dabei in
organisatorische Rahmenbedingungen, Betriebsprozesse im Standard-
betrieb, Betriebsprozesse in Notfallszenarien, Wartungsmaßnahmen an
Hardware und Software sowie Pläne zur effizienten Störungsbehebung.
2.1.6 Langzeitverfügbarkeit und Migration
Dokumente mit einer Aufbewahrungsfrist von 6, 10 oder noch mehr
Jahren müssen auch noch am letzten Tag des Aufbewahrungszeitraums
verfügbar, und somit auch lesbar sein. Die Migration ist ein wichtiger Teil
der Langzeitverfügbarkeit, da ggf. die Notwendigkeit eines Daten-
bankwechsels oder ein Wechsel der Speicherlösung während der
Aufbewahrungsfrist der Dokumente identifiziert wird.
Revisionssichere Erfassung, Bearbeitung und Archivierung von Dokumenten Seite 7 | 19
© TÜV Informationstechnik GmbH
2.1.7 Mitarbeiterqualifikation
Der Betreiber muss sicherstellen, dass alle mit dem DMS-Betrieb
befassten Mitarbeiter über die notwendigen Kenntnisse und Fertigkeiten
verfügen. Hierzu müssen Verantwortliche festgelegt sein, welche die
erforderlichen Kenntnisse mit den Kenntnissen der Mitarbeiter abgleichen
und bei Bedarf Qualifizierungsmaßnahmen einleiten.
2.1.8 Test
Mit Hilfe von Tests wird belegt, dass die Funktionsweise des DMS durch
die Verfahrensdokumentation korrekt beschrieben ist. Diese sollen u. a.
bestätigen, dass kein Dokument auf dem Weg in das Archiv oder inner -
halb des Archivs verloren geht oder unberechtigt verändert werden kann.
2.1.9 Outsourcing
Outsourcing reicht von der Auslagerung von DMS-Teilfunktionen bis hin
zum vollständigen Systembetrieb in einem externen Rechenzentrum.
Jedoch bleibt der Auftraggeber auch im rechtlichen Sinn beim
Outsourcing weiterhin der verantwortliche Betreiber der DMS-
Gesamtlösung. Daher müssen alle für das Outsourcing relevanten
Prüfkriterien der PK-DML vom Outsourcing-Dienstleister eingehalten
werden.
2.1.10 Beschreibung des internen Kontrollsystems
Durch das „Interne Kontrollsystem“ (IKS) wird sichergestellt, dass die
Einhaltung der fünf Kern-Eigenschaften des DMS (Ordnungsmäßigkeit,
Vollständigkeit, Nachvollziehbarkeit, Unveränderbarkeit und Verfügbar-
keit) durchgehend erfolgt. Die Anforderungen reichen von der
Dokumentation der organisatorischen Sicherheitsmaßnahmen über die
Kontrolle und Auswertung des IKS bis hin zur Zuordnung von
Verantwortlichkeiten.
Revisionssichere Erfassung, Bearbeitung und Archivierung von Dokumenten Seite 8 | 19
© TÜV Informationstechnik GmbH
2.2 EN 9300
Langzeitarchivierung und Bereitstellung digitaler technischer
Produktdokumentationen
Die europäische Norm EN 9300 (bzw. der nahezu identische National
Aerospace Standard NAS 9300) ist durch die internationale Arbeitsgruppe
LOTAR (Long Term Archiving and Retrieval), einer Kooperation aus der
amerikanischen AIA (Aerospace Industries Association) und der europä-
ischen ASD (Aerospace and Defence), entwickelt worden.
Die Zielgruppe des Standards umfasst Unternehmen mit einem auf CAD
basierten Produktherstellungs- oder Entwicklungsprozess, wie z. B.
Flugzeug-, Schiffs-, Auto- oder Anlagenbau in allen Facetten.
Mit einer Zertifizierung auf Basis des EN 9300 Standards wird
nachgewiesen, dass die hohen Anforderungen der europäischen
„AeroSpace and Defence Industries Association of Europe“ (ASD) und
US-amerikanischen „Aerospace Industries Association“ (AIA) an die
Archivierung und Reproduzierbarkeit der Produktdaten erfüllt werden.
Dies gilt in gleichem Maße auch für die anderen Industriezweige.
Die EN 9300 teilt sich in 4 Hauptbereiche auf4, welche wiederum in
verschiedene Unterbereiche aufgegliedert sind (z.B. Systemarchitektur,
Archivprozess oder 3D-Geometrie).
Das Hauptaugenmerk der EN 9300 liegt auf der Langzeitverfügbarkeit von
Produktdaten (z.B. 3D CAD und PDM5). Hierzu definiert der Standard in
den Basic Parts, Common Process Parts und den Support Process Parts
die grundlegenden Anforderungen an die Dokumentenmanagementlösung
während in den Data Domain Specific Parts die spezifischen
Anforderungen an die jeweiligen, in der DML verwendeten, Produktdaten
gestellt werden. Spätestens mit Beginn der Zertifizierung wird festgelegt,
welche Einzelstandards der EN 9300 angewandt werden.
4 Es werden durchgehend die englischen Namen der Standards verwendet, da die deutschen
Übersetzungen bisher nur vereinzelt vorliegen 5 PDM - Produktdatenmanagement
Revisionssichere Erfassung, Bearbeitung und Archivierung von Dokumenten Seite 9 | 19
© TÜV Informationstechnik GmbH
Die nachfolgende Zusammenstellung listet die derzeitigen Standards der
EN 9300 auf. Diese besteht sowohl aus veröffentlichten, als auch aus
noch im Veröffentlichungsprozess befindlichen Standards.
2.2.1 Basic Parts
Die Basic Parts geben einen generellen Überblick zur Thematik der
Archivierung von digitalen Produktdaten. Spezifische Anforderungen sind
nicht Bestandteil der Basic Parts. Diese haben lediglich informativen
Charakter. Die hierfür relevanten Normenteile sind die EN 9300-001 bis
EN 9300-007.
2.2.2 Common Process Parts
In den Common Process Parts (EN 9300-010 bis EN 9300-016) werden
Anforderungen an die grundlegenden Prozesse der Archivierung und
Reproduktion archivierter Produktdaten gestellt. Diese umfassen den
vollständigen Ablauf von der Aufbereitung der zu archivierenden Daten,
über das Archivieren bis hin zum ggf. durchzuführenden Löschen unter
Berücksichtigung der minimal notwendigen Aufbewahrungsfristen.
2.2.3 Support Process Parts
Zum jetzigen Zeitpunkt sind noch keine Entwürfe oder veröffentliche
Normenteile zu den Support Process Parts verfügbar.
2.2.4 Data Domain Specific Parts
In den Data Domain Specific Parts werden die Anforderungen und
Definitionen der jeweiligen Produktdaten spezifiziert. Diese sind
wiederum unterteilt in die Bereiche der 3D Geometry, Non Geometric
Meta Data, Eletrical Data, Analysis Data und System Engineering. Einige
der, für diesen Bereich der EN 9300 vorgesehenen, Standards befinden
sich derzeit noch in der Entwicklung. Der Bereich der 3D Geometry
Relevant Parts wird aktuell durch die Normenteile EN 9300-100 bis
EN 9300-140 beschrieben, Non Geometric Meta Data Relevant Parts
durch die Normenteile EN 9300-210 bis EN 9300-250 und die Electrical
Data Relevant Parts durch die beiden Normenteile EN 9300-310 und
EN 9300-320.
Revisionssichere Erfassung, Bearbeitung und Archivierung von Dokumenten Seite 10 | 19
© TÜV Informationstechnik GmbH
2.3 TR RESISCAN
Die Technische Richtlinie 03138 des BSI (kurz TR RESISCAN) legt den
Fokus auf die Steigerung der Rechtssicherheit im Bereich des
ersetzenden Scannens und wurde für Anwender der Bereiche Justiz,
Verwaltung, Wirtschaft und Gesundheitswesen entwickelt. Die
TR RESISCAN soll auch als Hilfestellung dienen, wenn es um die Frage
der Papiervernichtung nach Abschluss der Erfassung und Archivierung
geht.
Die zu prüfenden Bereiche umfassen die Dokumentenvorbereitung, das
Scannen, die Nachverarbeitung und die abschließende Integritäts-
sicherung, bevor das gescannte Dokument in einem beweis-
werterhaltenden Archivsystem abgelegt wird. Hierbei werden sowohl die
technischen als auch die organisatorischen Aspekte betrachtet.
Nachfolgend sind die vom BSI veröffentlichten Teile der Technischen
Richtlinie aufgeführt:
TR RESISCAN Hauptdokument (BSI TR-03138)
TR RESISCAN Anlage A: Ergebnis der Risikoanalyse
(BSI TR-03138-A)
TR RESISCAN Anlage P: Prüfspezifikation (BSI TR-03138-P)
TR RESISCAN Anlage R: Unverbindliche rechtliche Hinweise zur
Anwendung der TR RESISCAN (BSI TR-03138-R)
TR RESISCAN Anlage V: Exemplarische Gliederung einer
Verfahrensanweisung (BSI TR-03138-V)
Für die Prüfung relevant sind hierbei das Hauptdokument (Basismodul
und Aufbaumodule) sowie die Prüfspezifikation.
Revisionssichere Erfassung, Bearbeitung und Archivierung von Dokumenten Seite 11 | 19
© TÜV Informationstechnik GmbH
2.3.1 Basismodul
Das Basismodul umfasst die grundlegenden Anforderungen an den
Erfassungsprozess, bestehend aus einer Verfahrensdokumentation und
einer fachlichen Schutzbedarfsanalyse. Für die einzelnen Abläufe müssen
organisatorische, personelle und technische Maßnahmen getroffen und
dokumentiert sein und für jeden Abschnitt der Erfassung (Dokumenten-
vorbereitung, Scannen, Nachbearbeitung, Integritätssicherung) sind
geeignete Sicherheitsmaßnahmen zu implementieren. Die im Basismodul
aufgeführten Einzelanforderungen beziehen sich oft auf Anforderungen
der BSI IT-Grundschutzkataloge, wodurch eine detaillierte Anforderungs-
beschreibung zur Verfügung steht.
2.3.2 Aufbaumodule
Die einzelnen Aufbaumodule stehen zur Verfügung, falls für das zu
prüfende System in einem oder mehreren der betrachteten Grundwerte
(Integrität, Vertraulichkeit, Verfügbarkeit) ein erhöhter Schutzbedarf
identifiziert wurde. Hierbei wird zwischen einem hohen und besonders
hohen Schutzbedarf und zwischen den einzelnen Grundwerten
unterschieden. Somit stehen neben den generellen Maßnahmen bei
erhöhtem Schutzbedarf insgesamt sechs spezifische Aufbaumodule für
Integrität, Vertraulichkeit und Verfügbarkeit (jeweils hoher und sehr hoher
Schutzbedarf) zur Verfügung.
2.3.3 Prüfspezifikation
In der Prüfspezifikation werden die einzelnen Anforderungen der Basis-
und der Aufbaumodule detailliert aufgelistet und nach der Forderungsart
(Muss, Soll, Kann) unterschieden. Diese dient hauptsächlich als schnelle
Übersicht und kann für einen Vor-Check des zu prüfenden Systems durch
den Betreiber genutzt werden.
Revisionssichere Erfassung, Bearbeitung und Archivierung von Dokumenten Seite 12 | 19
© TÜV Informationstechnik GmbH
3 Prüfung und Zertifizierung
Die Bewertungskriterien der PK-DML, EN 9300 und TR RESISCAN geben
dem Betreiber schon bei der Planung eines DMS Hinweise zur
technischen Ausgestaltung, zur Organisation des Betriebes und der
Verfahrensdokumentation. Die Einhaltung der Bewertungskriterien kann
jedoch nur durch eine Prüfung der Dokumentation sowie der technischen
und organisatorischen Umsetzung bewertet werden.
Erfolgt die Prüfung und Zertifizierung durch eine unabhängige
Zertifizierungsstelle, so liegt ein Konformitätsnachweis vor, der die
Rechts- und Revisionssicherheit des Dokumentenmanagementsystems
auch gegenüber Dritten belegt.
3.1 Workshop und Auswahl der Bewertungsgrundlage
Vor dem eigentlichen Prüf- und Zertifizierungsauftrag empfiehlt es sich,
einen Workshop mit TÜViT durchzuführen. Dieser Workshop dient sowohl
der Vorbereitung auf eine Zertifizierung als auch der Festlegung der
Bewertungsgrundlage. Die PK-DML bilden die Grundlage für den
Nachweis der Rechtssicherheit und sind daher Bestandteil jeder Prüfung.
Diese kann durch die Bewertungsgrundlagen TR RESISCAN und EN 9300
erweitert werden um auf spezielle Anforderungen des DMS-Betreibers
oder dessen Kunden einzugehen.
Im Verlauf des Workshops werden die für die Prüfung ausgewählten
Bewertungsaspekte vorgestellt sowie grundlegende Informationen zu den
notwendigen Inhalten einer aussagekräftigen Verfahrensdokumentation
vermittelt. Weiterhin kann eine bereits vorhandene Verfahrensdoku-
mentation vorab begutachtet und der Kunde somit auf offensichtliche
Abweichungen hingewiesen werden.
3.2 Dokumentenprüfung und Audit
Die Prüfung eines DMS beginnt mit einem Review der
Verfahrensdokumentation, wobei die Auditoren zunächst den Aufbau der
Lösung, die Abläufe, Durchführung von Tests sowie die Vollständigkeit
und Konsistenz der Verfahrensdokumentation untersucht. Außerdem wird
die Verfahrensdokumentation gegen die Kriterien der Bewertungsgrund-
lage geprüft und der Kunde über das Ergebnis der Dokumentenprüfung
informiert.
Revisionssichere Erfassung, Bearbeitung und Archivierung von Dokumenten Seite 13 | 19
© TÜV Informationstechnik GmbH
Die Einhaltung der Bewertungsgrundlage wird auch vor Ort geprüft. In
diesem Teil der Prüfung erfolgt auch die Verifizierung der
Übereinstimmung zwischen der Verfahrensdokumentation und dem im
Betrieb befindlichen DMS. Dazu werden stichprobenartig Tests, von der
Erfassung, Indexierung, Recherche bis hin zur Reproduktion,
durchgeführt. Erfasste Dokumente werden dabei auf dem Weg durch das
System verfolgt und die Übereinstimmung mit der Verfahrens-
dokumentation geprüft. Ein besonderes Augenmerk liegt darauf, dass sich
das DMS auch in Ausnahmesituationen konsistent, vollständig und
korrekt verhält und ausreichend abgesichert ist. Ein weiterer,
wesentlicher Aspekt der Prüfung ist das Verhalten des Systems bei
unberechtigtem Zugriff, Veränderung der Indexierung, Verfälschung von
Dokumenten und Fehlbedienung. Auch die Umgebungs- und Einsatz-
bedingungen werden mit in die Prüfung einbezogen.
3.3 Prüfbericht und Zertifikat
Das Auditteam erstellt nach der Prüfung einen aussagekräftigen Bericht
über die Ergebnisse der Prüfung der Verfahrensdokumentation sowie der
Systemprüfung des DMS. Der Prüfbericht enthält Aussagen zur
Anwendung der Prüfkriterien und der Gültigkeit der Prüfungsergebnisse.
Er stellt die Grundlage für den Zertifizierungsprozess dar . Bei positiver
Bewertung wird dies durch ein Zertifikat bestätigt, dass von der
Zertifizierungsstelle der TÜViT ausgestellt wird.
3.4 Teil-Zertifizierung (nur PK-DML)
Neben der Zertifizierung eines vollumfänglichen DMS (Erfassung,
Bearbeitung, Archivierung) ist auch eine Zertifizierung von Teillösungen
möglich. Diese können von eigenständigen Unternehmenseinheiten oder
externen Dienstleistern erbracht werden. Teillösungen müssen in einer
eigenständigen Verfahrensdokumentation beschrieben sein. Darin
müssen Inhalt und Umfang der Teillösung genau definiert sein. Typische
Teillösungen sind z. B. das Scannen von Dokumenten oder die im
Unternehmen zentral betriebene Archivierung. Voraussetzungen für
Teilzertifizierungen sind eindeutige Funktionsabgrenzungen und definierte
Schnittstellen. Audit und Zertifizierung erfolgen nach dem gleichen
Verfahren wie bei einer vollständigen Dokumentenmanagementlösung.
Revisionssichere Erfassung, Bearbeitung und Archivierung von Dokumenten Seite 14 | 19
© TÜV Informationstechnik GmbH
3.5 Re-Zertifizierung
Ein Zertifikat ist zwei Jahre gültig und kann durch eine Re-Zertifizierung
jeweils um zwei weitere Jahre verlängert werden. Das Audit der DMS-
Lösung erfolgt ca. drei bis sechs Monate vor Ablauf des aktuellen
Zertifikats (siehe Abbildung 2). Das Folgezertifikat beginnt mit dem
Ablaufdatum des aktuellen Zertifikats. Hierdurch ist ein kontinuierlicher,
unterbrechungsfreier Nachweis der Güte der DMS-Lösung gegenüber
Dritten möglich.
Abbildung 2: Ablauf einer (Re-)Zertifizierung
Revisionssichere Erfassung, Bearbeitung und Archivierung von Dokumenten Seite 15 | 19
© TÜV Informationstechnik GmbH
4 Über TÜViT
Die TÜV Informationstechnik GmbH - kurz TÜViT - mit Sitz in Essen ist
einer der führenden Prüfdienstleister für IT-Sicherheit und IT-Qualität. Wir
unterstützen Hersteller, Betreiber und Anwender von IT-Systemen, IT-
Produkten sowie IT-Infrastrukturen durch Prüfung und Zertifizierung, ihre
Unternehmenswerte zu bewahren.
Unsere Experten im Bereich der IT-Sicherheit konzentrieren sich auf
Themen wie Common Criteria Evaluationen, Cyber Security, Mobile
Security, Industrial Security, Penetrationstests, Bewertung von
Informationssicherheits-Managementsystemen nach ISO/IEC 27001 sowie
Datenschutz-Audits. Ein weiterer Aspekt ist die Prüfung und Zertifizierung
von Rechenzentren hinsichtlich ihrer physischen Sicherheit und
Hochverfügbarkeit.
Im Bereich der IT-Qualität koordiniert TÜViT anhand anerkannter
Standards das Projekt-, Qualitäts- und Risikomanagement, um unsere
Kunden beim Erreichen wichtiger Unternehmensziele zu unterstützen.
Unsere Dienstleistungen werden stets nach dem Stand der Technik
ausgeführt und erfüllen höchste Sicherheits- und Qualitätsansprüche.
Zahlreiche Akkreditierungen und Zertifizierungen durch nationale und
internationale Organisationen und Behörden weisen unsere Kompetenzen
auf dem Gebiet der IT-Sicherheit und IT-Qualität nach.
Bundesamt für Sicherheit in der Informationstechnik
Anerkennung nach DIN EN ISO/IEC 17025:2005 für Prüfungen nach
ITSEC/ITSEM/CC/CEM sowie BSI-TR 03121-1, BSI-TR 03121-3,
BSI-TR 03132, BSI TR-03104 und BSI TR-03105 Teil 3 und Teil 5
IT-Sicherheitsdienstleister für den festgelegten Anwendungsbereich
IS-Revision und IS-Beratung und Penetrationstests
Lizenzierte Auditoren für IT-Grundschutz und ISO/IEC 27001
Lizenzierte Auditoren für De-Mail
Revisionssichere Erfassung, Bearbeitung und Archivierung von Dokumenten Seite 16 | 19
© TÜV Informationstechnik GmbH
Deutsche Akkreditierungsstelle
Prüflabor für IT-Qualität: Kompetenz für Prüfungen in den Bereichen
IT-Ergonomie und IT-Sicherheit, akkreditiert nach DIN EN ISO/IEC
17025:2005
Prüfstelle IT-Sicherheit: Akkreditierung für Prüfungen nach
ITSEC/ITSEM/CC/ISO 15408/CEM
Prüfstelle IT-Ergonomie: Akkreditierung für Evaluationen nach DIN
EN ISO 9241-110, DIN EN ISO 9241-11, ISO/IEC 25051, DIN EN
ISO 13407 und ISO 9241-210
Zertifizierungsstelle: Kompetenz für Zertifizierungen von Produkten,
Prozessen und Dienstleistungen in den Bereichen IT-Sicherheit und
Sicherheitstechnik (ITSEC, Common Criteria, ETSI EN 319 401 / 319
411-1 / 319 411-2 / 319 421, ETSI TS 101 456 / 102 042 / 102 023,
DIN EN 50518-1:2014 / -2:2014 / -3:2014) nach DIN EN ISO/IEC
17065:2013
Zertifizierungsstelle: Kompetenz für Zertifizierungen von Produkten,
Prozessen und Dienstleistungen nach DIN EN ISO/IEC 17065:2013
und ETSI EN 319 403 V2.2.2 im Bereich qualifizierte Vertrauens-
diensteanbieter und die von ihnen erbrachten qualifizierten
Vertrauensdienste im Anwendungsbereich der VERORDNUNG
(EU) Nr. 910/2014 (eIDAS)
Bundesnetzagentur
Bestätigungsstelle nach SigG/SigV für die Bestätigung von Produkten
für qualifizierte elektronische Signaturen
Bestätigungsstelle nach SigG/SigV für die Bestätigung der Umsetzung
von Sicherheitskonzepten für Zertifizierungsdiensteanbieter
Die Deutsche Kreditwirtschaft
Gelistete Prüfstelle für elektronischen Zahlungsverkehr
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Sachverständige Prüfstelle für IT-Produkte (rechtlich/technisch)
EuroPriSe Gutachter (rechtlich/technisch)
Revisionssichere Erfassung, Bearbeitung und Archivierung von Dokumenten Seite 17 | 19
© TÜV Informationstechnik GmbH
Information-technology Promotion Agency, Japan
Prüfstelle IT-Sicherheit: Akkreditierung für Prüfungen nach CC/CEM
National Institute of Technology and Evaluation, Japan
Prüfstelle IT-Sicherheit: Akkreditierung nach DIN EN ISO/IEC 17025 in
dem Bereich der IT / Common Criteria Evaluationen (Lab Code:
ASNITE0019T)
National Institute of Standards and Technology
National Voluntary Laboratory Accreditation Program, USA
Prüfstelle IT-Sicherheit (NVLAP Lab Code: 200636-0) für
Cryptographic Module Testing (Scopes 17BCS, 17CAV/01,
17CMH1/01, 17CMH1/02, 17CMH2/01, 17CMH2/02, 17CMS1/01,
17CMS1/02, 17CMS2/01, 17CMS2/02) und Biometrics Testing
Europay, MasterCard and Visa, USA/Großbritannien/Japan
Full Service Laboratory für Prüfungen von ICs und Chipkarten nach
EMVCo Sicherheitsrichtlinien
Modular Label Auditor
Visa, USA
Test House zur Durchführung von Visa Chip Product
Sicherheitsevaluationen
MasterCard, Großbritannien
Akkreditiert zur Durchführung von CAST (Compliance Assessment and
Security Testing) Evaluationen
Betaalvereniging Nederland, Niederlande
Evaluation Laboratory
Revisionssichere Erfassung, Bearbeitung und Archivierung von Dokumenten Seite 18 | 19
© TÜV Informationstechnik GmbH
In nationalen und internationalen Forschungsprojekten und Gremien
gestaltet TÜViT den Stand der Technik aktiv mit.
TÜViT betreibt selbst ein wirksames Qualitätsmanagementsystem und
Umweltmanagement, welche nach ISO 9001:2008 bzw.
ISO 14001:2004 zertifiziert sind und erfüllt somit die hohen Ansprüche
und Erwartungen ihrer Kunden.
TÜViT gehört zur TÜV NORD GROUP mit Hauptsitz in Hannover. TÜV
NORD beschäftigt über 10.000 Mitarbeiter weltweit und ist neben dem
nationalen Markt in 70 Staaten Europas, Asiens und Amerikas vertreten.
Während der 140-jährigen TÜV-Tradition hat TÜV NORD technische
Tests und Prüfungen in zahlreichen Bereichen durchgeführt und
entwickelt. Die TÜV NORD GROUP ist nach ihren Grundsätzen
verpflichtet, ihre Dienstleistungen unabhängig sowie neutral anzubieten
und durchzuführen.
Revisionssichere Erfassung, Bearbeitung und Archivierung von Dokumenten Seite 19 | 19
© TÜV Informationstechnik GmbH
5 Ansprechpartner
Dr. Stefan Spitz
IT Security
TÜV Informationstechnik GmbH
TÜV NORD GROUP
Langemarckstraße 20
45141 Essen
Tel.: +49 201 8999-649
Fax: +49 201 8999-666
www.tuvit.de
Version: 3.0