In jeder Organisation ist es eine Herausforderung, mit dem Umfang und der Geschwindigkeit der Erstellung, Nutzung, Speicherung, Sicherheit und Entsorgung von Informationen Schritt zu halten.  Punkt.  Eine Partnerschaft mit aktiver Zusammenarbeit zwischen den verschiedenen Interessengruppen im Unternehmen ist der einzige Weg, um die Ergebnisse der Bemühungen um Information Governance wirklich zu optimieren.  Während Interessengruppen wie "das Unternehmen" und "die Informationstechnologie" sicherlich wichtige Akteure bei der Entscheidung sind, wie Informationen verwaltet werden sollen, gibt es vor allem zwei Gruppen von Interessengruppen, die besonders enge Partner sein sollten - Records Management und Informationssicherheit.

Definition von Records Management

Records Manager sind Experten für die Arten von Informationen, die Organisationen erstellen und nutzen.  Die Aufgabe eines Records Managers besteht darin, dafür zu sorgen, dass Informationen aller Art und in allen Formaten, die in einem beliebigen Repository gespeichert sind, effektiv identifiziert und klassifiziert werden, damit sie so verwaltet werden können, dass sie den Betrieb unterstützen und gleichzeitig die rechtlichen und behördlichen Anforderungen der Organisation erfüllen.  

Ein Schlüsselkonzept im modernen Records Management ist, dass nicht jede Information, die eine Organisation erstellt, eine "Aufzeichnung" ist.  

Eine Aufzeichnung ist jede Information, egal in welchem Format, die offizielle Handlungen und Entscheidungen der Organisation in Bezug auf ihren Betrieb, ihre Finanzen und die Erfüllung ihrer rechtlichen und behördlichen Verpflichtungen dokumentiert.  

Aufzeichnungen rechtfertigen aufgrund ihres inhärenten Wertes und ihres potenziellen Risikos für eine Organisation die Kosten für eine spezielle Verwaltung.  Einige Informationen sind jedoch flüchtig oder vergänglich und rechtfertigen daher nicht den Einsatz zusätzlicher Arbeitskräfte oder anderer Ressourcen, um sie auf eine bestimmte Weise zu verwalten.  Wenn beispielsweise jede E-Mail mit der gleichen Strenge und zu den gleichen Kosten aufbewahrt wird, selbst die E-Mail "Der Kuchen ist im Pausenraum", hat dies keinen entsprechenden Wert für die Organisation.  Die Praxis des Records Management hilft Organisationen, die Spreu vom Weizen (die "Records") zu trennen und ihre Verwaltungsressourcen effektiv einzusetzen.

Partnerschaft zwischen Informationssicherheit und Records Management

Im Idealfall würde ein Records Management-Programm die Sicherheitsklassifizierung als Teil seines allgemeinen Klassifizierungsschemas einbeziehen, wodurch ein natürlicher Punkt der Zusammenarbeit und Partnerschaft zwischen den beiden Gruppen geschaffen würde.  Ein Sicherheitsklassifizierungsschema versucht, eine Kennzeichnung der Sensibilität von Informationsbeständen vorzunehmen, um Records Management, Informationssicherheit und andere in die Lage zu versetzen, den Einsatz von Ressourcen zu optimieren, um den Zugriff auf sensible Informationen zu kontrollieren.

Informationssicherheitsmanager sind Experten in der Anwendung logischer und physischer Kontrollen auf Informationen, um sicherzustellen, dass Informationen nur den richtigen Benutzern zur richtigen Zeit, auf die richtige Art und Weise und für die richtige Zeitspanne zugänglich sind.  Alle Informationen, ob "Aufzeichnungen" oder "Nicht-Aufzeichnungen", sollten einigen Sicherheitsüberlegungen unterworfen werden, während einige besonders sensible Informationen die Kosten für zusätzliche Sicherheitsmaßnahmen rechtfertigen.  Wenn das Records Management Programm seine Arbeit gut macht, hat die Informationssicherheit einen Vorsprung bei der Identifizierung von Schlüsselinformationen, die auf besondere Weise verwaltet werden müssen.
 
Während ein Unternehmen beispielsweise in Firewalls und andere Gateway-Kontrollen für alle ein- und ausgehenden Informationen investiert, kann das Informationssicherheitsteam, wenn bekannt ist, dass das Unternehmen Geschäftsgeheimnisse an einem bestimmten Ort speichert, diesen speziellen Speicherort mit zusätzlichen Sicherheitskontrollen ausstatten, um diese besonders wertvollen Informationen zu schützen.

Nehmen wir den Vergleich mit einer Burg.  Ein König kann einen Wassergraben, ein Eingangstor und verstärkte Mauern errichten, um zu verhindern, dass sich jemand Zugang zum Inneren des Schlosses verschafft.  Die Kronjuwelen würde der König jedoch nicht direkt am Eingangstor aufbewahren; stattdessen wäre ein speziell bewachter Raum in einem hohen Turm eine angemessenere Sicherheitsstrategie.

Optimierung der Information Governance-Ergebnisse

Wenn Records Management und Informationssicherheit zusammenarbeiten, kann eine Organisation die Kosten und die Effektivität beider Programme optimieren. 

Einige wichtige Ziele eines Records Management-Programms sind:

• Verwaltung der Kosten für die Speicherung von Informationen
• Sicherstellen, dass die Informationen angemessen klassifiziert und gespeichert werden, um die Nutzung und Verwaltung zu erleichtern
• Informationen so aufzubewahren, dass sie den betrieblichen Erfordernissen sowie den gesetzlichen und behördlichen Anforderungen entsprechen, und zwar so lange wie nötig.

Einige wichtige Ziele eines Informationssicherheitsprogramms sind:\

• Verwalten der allgemeinen Sicherheit von Unternehmensinformationen
• Sicherstellen, dass vertrauliche Informationen bekannt sind, in einem angemessenen Repository gespeichert werden und nur denjenigen zugänglich sind, die dazu berechtigt sind
• Informationen so zu entsorgen, dass sie nicht mehr zugänglich sind.

Zwischen diesen Programmen gibt es erhebliche Überschneidungen.  Wenn ein Unternehmen weiß, welche Informationen es besitzt, warum es sie besitzt und wo sie gespeichert sind (oder gespeichert werden sollten), kann es diese Informationen nicht nur aus geschäftlichen, rechtlichen und behördlichen Gründen verwalten, sondern auch strategisch wirksame Sicherheitskontrollen anwenden.  Das Ergebnis dieser kombinierten Bemühungen sind niedrigere Gesamtkosten für die Informationsspeicherung, eine verbesserte Nutzung/Wiederverwendung von Unternehmensinformationen, eine verbesserte Integrität der Informationsbestände und eine sichere Kontrolle über sensible Informationen.

Der Inhalt dieses Artikels dient nur der allgemeinen Information und stellt keine Rechtsberatung oder -meinung dar.