Bundesamt für Sicherheit in der Informationstechnik

M 2.79 Festlegung der Verantwortlichkeiten im Bereich Standardsoftware

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung

Verantwortlich für Umsetzung: Leiter IT, Leiter Organisation

Vor der Einführung von Standardsoftware müssen eine Reihe von Verantwortlichkeiten geregelt werden. Beispielhaft seien die Verantwortlichkeiten genannt für die Erstellung eines Anforderungskataloges, die Vorauswahl von Produkten, das Testen und Freigeben und die Installation.

Nachfolgend wird zum Vergleich aufgezeigt, wie diese Verantwortlichkeiten sinnvoll verteilt werden können. Da jedoch die Bezeichnungen in den meisten Organisationen voneinander abweichen, werden vorab einige Instanzen anhand ihrer Aufgaben definiert, denen anschließend die einzelnen Verantwortlichkeiten zugeordnet werden können:

  • Die Fachabteilung ist der Anwender der Standardsoftware. Sie äußert ihren Bedarf an neuer Software und gibt damit den Anstoß zu deren Beschaffung. Sie wird bei Vorauswahl und Test beteiligt, um die Anforderungen der Anwender einzubringen.
  • Die Behörden-/Unternehmensleitung ist verantwortlich für die Freigabe von Standardsoftware. Diese Verantwortung wird meist an den Leiter der Fachabteilung delegiert, womit nach Freigabe die Verantwortung für den korrekten Einsatz der Standardsoftware auf die Fachabteilung übergeht.
  • Der IT-Bereich hat die Aufgabe, IT-Lösungen für die Erfüllung der Aufgaben der Fachabteilung bereitzustellen und den sicheren und zuverlässigen Betrieb der IT zu gewährleisten.
  • Die Beschaffungsstelle muss die Interoperabilität und Kompatibilität der zu beschaffenden Standardsoftware sowie die Einhaltung von Hausstandards und gesetzlichen Vorschriften sicherstellen. Oft gibt es in den einzelnen Fachabteilungen IT-Koordinatoren, die Teile der Aufgaben der Beschaffungsstelle für die Fachabteilung beratend wahrnehmen und evtl. auch die Haushaltsmittel der Fachabteilung koordinieren.
  • Der Haushalt ist verantwortlich für das Rechnungswesen, die IT-Budgetverwaltung und für die Bereitstellung der benötigten Haushaltsmittel.
  • Der IT-Sicherheitsbeauftragte muss überprüfen, ob mit den eingesetzten oder zu beschaffenden Produkte ein angemessenes Sicherheitsniveau gewährleistet werden kann. Im Rahmen des Sicherheitsmanagements (siehe Baustein B 1.0 Sicherheitsmanagement ) muss er die IT-Sicherheit im laufenden Betrieb sicherstellen.
  • Der Datenschutzbeauftragte muss die Einhaltung der datenschutzrechtlichen Bestimmungen und eines ausreichenden Schutzes personenbezogener Daten gewährleisten.
  • Der Personal- bzw. Betriebsrat muss in vielen Fällen bei der Auswahl neuer Standardsoftware beteiligt werden, insbesondere wenn damit größere Änderungen im Arbeitsablauf verbunden sind oder wenn die zu beschaffende Software zur Leistungskontrolle geeignet ist (siehe M 2.40 Rechtzeitige Beteiligung des Personal-/Betriebsrates ).

Im Gesamtprozess "Standardsoftware" muss für jeden einzelnen Schritt festgelegt werden, welche der zuvor beschriebenen Instanzen für die Durchführung verantwortlich sind und welche Instanzen dabei beteiligt werden müssen. Eine mögliche sinnvolle Verantwortungsverteilung ist zur Orientierung in nachfolgender Tabelle zusammengefasst:

  verantwortlich
zu beteiligen
Erstellung des Anforderungskatalogs Fachabteilung, IT-Bereich Beschaffungsstelle, Haushälter, IT-Sicherheitsbeauftragter, Datenschutzbeauftragter, Personal- oder Betriebsrat
Vorauswahl eines geeigneten Produktes Beschaffungsstelle IT-Bereich, Fachabteilung
Testen Fachabteilung und IT-Bereich IT-Sicherheitsbeauftragter, Datenschutzbeauftragter, Personal- oder Betriebsrat
Freigabe Behörden-/Unternehmensleitung
evtl. delegiert an Leiter Fachabteilung
-
Beschaffung Beschaffungsstelle Haushalt
Sicherstellen der Integrität der Software IT-Bereich -
Installation und Konfiguration IT-Bereich -
Versionskontrolle und Lizenzverwaltung IT-Bereich -
Deinstallation IT-Bereich -
Kontrolle des IT-Betriebs IT-Sicherheitsbeauftragter -

Die getroffenen Zuordnungen sind verbindlich festzuschreiben und deren Einhaltung ist periodischen Kontrollen zu unterziehen.

Prüffragen:

  • Sind die Verantwortlichkeiten für die Einführung von Standardsoftware festgelegt ( z. B. für Auswahl, Testen, Freigabe und Installation)?

Stand: 13. EL Stand 2013