SIA KFI Blog: Dokumentenorganisation, Dokumentenablage, Datenarchivierung in Planungs-Bueros

Abstract, Ausgangslage

  • Jedes Unternehmen sammelt seit Jahren Dokumente, Emails, Pläne bzw. strukturierte und unstrukturierte Informationen von unterschiedlicher Güte und Nutzbarkeit
  • Auf unterschiedlichsten Systemen, Datenträgern mit unterschiedlichen Redundanz- und Ausfall-Sicherheiten werden firmen-vitale und projekt-relevante Informationen verwaltet
  • Verschlüsselungs- und Sicherheits-Anforderungen von firmen-vitalen oder projekt-sensitiven Daten sind vielfach nicht oder oder ungenügend umgesetzt in Bereichen wie Datenablage, Datentransfer, PC, Notebooks, PDA Smartphones, Handies, Mailverkehr, Internet,  HomeOffice, Portal, Intranet-Extranet, Wechseldaten-Träger-Nutzung (z.B. USB-Stick, USB-Festplatte)
  • Durch teilweise suboptimale Datenablagen, fehlenden Namenskonventionen, nicht vereinheitlichten Dokumentenbezeichnungen, fehlerhaften Versionisierungs-Management, fehlenden Standards ist die Auffindbarkeit / Dokumentations-Extraktion für z.B. Kunden oder Bauherren stark erschwert und die Nutzungsmöglichkeit und Effizienz entsprechend eingeschränkt. Vielfach entstehen dadurch auch unerwünschte Informations-Redundanzen, Versions-Fehler, Unsicherheiten und daraus letztlich gar firmen-vitale, juristische Haftungs-Risiken in Bereichen wie Daten- und Versions-Verantwortlichkeiten etc.
  • Wissens-, KnowHow- und Geschäfts-Daten-Analytik-Extraktionen (BI) aus unterschiedlichen Daten-Sammlungs-Quellen werden meistens durch fehlende technische Infrastrukturen, falsche Nutzungen oder fehlende Prozesse oder Schnittstellen erschwert. Dadurch ist letztlich die geschäfts-unterstützende Informations-Nutzungs-Möglichkeit stark eingeschränkt.
  • Die revisions-taugliche Daten-Organisation – speziell auch die langfristige 10-Jahres-Aufbewahrungspflicht – und letztlich dadurch grundsätzlich der Datenschutz / EDV-Sicherheit fällt in die Führungsverantwortung bzw. Organhaftung der Unternehmensleitung und ist grundsätzlich nicht delegierbar bzw. nicht nur rein technisch lösbar. Hier bedarf es entsprechenden Vorgaben oder Richtlinien in den Teilbereichen wie z.B. Prozessen,  Compliances, Governance.

 

Gegenmassnahmen, Empfehlungen, Blog-Themen

 

  • Erhebung des IST-Zustands der unterschliedlichen Datenablagen, Daten-Redundanzen als Basis für konkrete, massgeschneiderte und ökonomisch sinnvolle Massnahmen im Bereich der Daten(re)organisation und Daten-Deduplizierung
  • Formulierung von Weisungen, Prozesse, Namenskonventionen im Bereich der Datenablage und Daten(re)organisation
  • Inventarisierung und Dokumentation der EDV-Infrastrukturen und EDV-Prozesse.
  • Grob-Erst-Datenbereinigungen in mögliche Hauptbereiche wie z.B. AKTIV, PASSIV, ARCHIV und weiteren Szenarien für die strukturierte, systematische „Rückgewinnung“ der Kontrolle über die Daten-Organisation und Daten-Nutzungs-Qualität.
  • Kontrolle der generellen Daten- und Informations-Sicherheit in Teilbereichen wie technische Infrastruktur, Datenablage-Systeme, Datenausfall-Sicherheit, Raumschutz, Gebäudesicherheit, Backup-Umgebung (Backup-Verlässlichkeit und Tests der Daten-Wiederherstellungs-Fähigkeit)
  • Kontrolle des erweiterten Datenschutz- und Backup-Prozesses hinsichtlich z.B. Backup-Medium- und Daten-Auslagerung ausserhalb der Firmenumgebung gegen Risiken in Bereichen wie z.B. Brand, Wasser, Diebstahl , Sabotage, regionales Gross-Ereignis.
  • Mögliches Implementierten von technischen Sicherheits-Richtlinien auf z.B. PC, Notebook, PDA Smartphone, Server, Netzwerk, Domaine, Backup, Firewall für Unterstützung der Prozesse und ICT-Sicherheit mittels z.B. automatischer Daten-Verschlüsselung, Einschränkungen im Internet- und Email-Verkehr, Restriktionen auf Basis z.B. USB-Stick oder USB-Festplatten
  • Evaluation und Integration von pragmatischen, aber sinnvollen Prüfpunkten bezüglich der EDV- und Daten-Sicherheit in das interne Risk-Management (z.B. auch IKS) und daraus Management und Ueberwachung von z.B. Wiederherstellungs-Tests, Ausfall-Szenarien, Backup-Auslagerung, Reaktions-Zeiten bei Systemausfällen und entsprechende vorgetestete, präventiv vorbereitete Gegenmassnahmen.
  • Spezifische und auch generelle EDV-Strategie-Definitionen in die klassische Geschäfts-Strategie-Legung und interne Jahres- / Projekt-Planung integrieren
  • Definition und Verabschiedung von internen Weisungen und Prozess-Abläufen seitens der Geschäftsleitung bezüglich Teilbereichen wie z.B. Datenablage, Verschlüsselung, Sicherheit der persönlichen EDV-Arbeitsmittel,  Daten-Verlust-Prävention, Datenorganisation, Namenskonventionen, Dokumentationen, Backup-Prozess.
  • Risk-Management-Relevanzen im Bereich der Datennutzung und Informations-Sicherheit evaluieren und überwachen mittels z.B. Kontroll-Prozessen / KnowHow-Transfer
  • Schulung und Sensibilisierung der Mitarbeiter bezüglich Datenorganisation und Sicherheitsrichtlinien

Unterstützung seitens SIA KFI Kommission für Informatik, weiteres Vorgehen

  • Fragenbeantwortungen und Empfehlungen innerhalb dieses fortlaufenden BLOGS
  • Best Practises Empfehlungen aus anderen Betrieben und Organisationen
  • Merkblätter in unterschiedlichsten Bereichen wie z.B. SIA451-Schnittstelle, Datenaustausch, CAD Layerorganisation
  • ….
Advertisements