Suchen

Ersetzendes Scannen – sicher, wirtschaftlich, pragmatisch

Wichtige Antworten zur TR-Resiscan

Seite: 5/7

Firmen zum Thema

Definierte Maßnahmen

Ersetzendes Scannen reduziert Aktenberge
Ersetzendes Scannen reduziert Aktenberge
(Bild: mickyso_Fotolia.com)

Die konzeptionellen Vorarbeiten zur Einführung des ersetzenden Scannens beginnen mit einer vereinfachten Strukturanalyse. Dabei wird der Scanprozess entsprechend dem individuellen Lösungsansatz definiert. Dieser unterscheidet sich hinsichtlich Scanzeitpunkt (vor, während, nach der Bearbeitung) sowie des Betreibermodells (Inhouse, Outtasking, Outsourcing) und umfasst in der Regel folgende Phasen:

  • Dokumentvorbereitung,
  • Scannen,
  • Nachverarbeitung,
  • Integritätssicherung.

Damit unterscheidet sich die TR nicht vom normalen Scanprozess, auch wenn keine Vernichtung der Originale erfolgt. Die Strukturanalyse betrachtet dabei sowohl die eingesetzten Komponenten als auch die vorhandenen Kommunikationsverbindungen. Daneben werden die im Scanprozess relevanten Datenobjekte identifiziert. Hierzu gehören vor allem die zu scannenden Papieroriginale, die möglicherweise in weitere Kategorien (zum Beispiel Rechnung, Leistungsbescheid, Vertrag) geclustert werden können sowie das Scanprodukt.

Daneben sind weitere ­Datenobjekte, wie zum Beispiel Index- und Metadaten, der Transfervermerk, Sicherungsdaten (dienen Schutz der Integrität und Authentizität anderer Datenobjekte, zum Beispiel Signaturen, Zeitstempel) und Protokolldaten zu berücksichtigen.

Hierauf aufbauend erfolgt die Schutzbedarfsanalyse gemäß der IT-Grundschutz-Methodik des BSI, die für Mitarbeiter mit IT-Sicherheitserfahrungen sehr einfach umsetzbar ist. Da in BSI TR-Resiscan-A gezeigt wurde, dass sich der Schutzbedarf aller Datenobjekte aus dem Schutzbedarf des originären Papierdokumentes ableitet und für die weitere Anwendung der TR-Resiscan die Betrachtung der Grundwerte ausreichend ist, genügt es, den Schutzbedarf der verarbeiteten Papierdokumente gemäß der Grundwerte Integrität, Vertraulichkeit und Verfügbarkeit zu bestimmen.

Durch die generischen Vorarbeiten im Rahmen der Entwicklung der TR-Resiscan kann also insbesondere auf die differenzierte Schutzbedarfsanalyse und die typischerweise aufwändige individuelle Bedrohungs- und Risikoanalyse verzichtet werden. Vielmehr steht nach der Bestimmung des Schutzbedarfs fest, welche Sicherheitsmaßnahmen aus dem modularen Anforderungskatalog umgesetzt werden müssen.

Die in der TR-03138 definierten Basismaßnahmen sind grundlegend geeignet zum Scannen personenbezogener Daten, ebenso ­erzielen sie grundsätzlich eine Gerichtsfestigkeit der Unterlagen. Häufig ist es jedoch notwendig, die zusätzlichen Maßnahmen mitzubetrachten, was die aktuellen Urteile des VG Wiesbadens dokumentieren. Neben der so genannten fachlichen Schutzbedarfsanalyse muss eine Verfahrensdokumentation und -anweisung angefertigt werden. Diese umfasst

  • Art der verarbeiten Dokumente,
  • Festlegung nicht verarbeitbarer Dokumente,
  • Rollen & Verantwortlichkeiten,
  • Abläufe, Aufgaben im Scanprozess,
  • Anforderungen an Mitarbeiter hinsichtlich Qualifikation, Kompetenz, Maßnahmen zur Qualifizierung,
  • Organisatorische und technische Anforderungen an die relevanten Räume, IT-Systeme, Anwendungen und Sicherungsmittel,
  • Regelungen für Administration und Wartung der IT-Systeme und Anwendungen,
  • Festlegung von Sicherungsanforderungen an IT-Systeme, Netze und Anwendungen.

Bitte lesen Sie auf der nächsten Seite weiter.

(ID:43636096)