M 2.79 Festlegung der Verantwortlichkeiten im Bereich Standardsoftware
Verantwortlich für Initiierung: Behörden-/Unternehmensleitung
Verantwortlich für Umsetzung: Leiter IT, Leiter Organisation
Vor der Einführung von Standardsoftware müssen eine Reihe von
Verantwortlichkeiten geregelt werden. Beispielhaft seien die
Verantwortlichkeiten genannt für die Erstellung eines Anforderungskataloges,
die Vorauswahl von Produkten, das Testen und Freigeben und die
Installation.
Nachfolgend wird zum Vergleich aufgezeigt, wie diese Verantwortlichkeiten
sinnvoll verteilt werden können. Da jedoch die Bezeichnungen in den meisten
Organisationen voneinander abweichen, werden vorab einige Instanzen anhand
ihrer Aufgaben definiert, denen anschließend die einzelnen Verantwortlichkeiten
zugeordnet werden können:
- Die Fachabteilung ist der Anwender der Standardsoftware. Sie äußert
ihren Bedarf an neuer Software und gibt damit den Anstoß zu deren Beschaffung.
Sie wird bei Vorauswahl und Test beteiligt, um die Anforderungen der Anwender
einzubringen.
- Die Behörden-/Unternehmensleitung ist verantwortlich für die
Freigabe von Standardsoftware. Diese Verantwortung wird meist an den Leiter
der Fachabteilung delegiert, womit nach Freigabe die Verantwortung für den
korrekten Einsatz der Standardsoftware auf die Fachabteilung übergeht.
- Der IT-Bereich hat die Aufgabe, IT-Lösungen für die Erfüllung der
Aufgaben der Fachabteilung bereitzustellen und den sicheren und zuverlässigen
Betrieb der IT zu gewährleisten.
- Die Beschaffungsstelle muß die Interoperabilität und Kompatibilität
der zu beschaffenden Standardsoftware sowie die Einhaltung von Hausstandards
und gesetzlichen Vorschriften sicherstellen. Oft gibt es in den einzelnen
Fachabteilungen IT-Koordinatoren, die Teile der Aufgaben der Beschaffungsstelle
für die Fachabteilung beratend wahrnehmen und evtl. auch die Haushaltsmittel
der Fachabteilung koordinieren.
- Der Haushalt ist verantwortlich für das Rechnungswesen, die
IT-Budgetverwaltung und für die Bereitstellung der benötigten
Haushaltsmittel.
- Der IT-Sicherheitsbeauftragte muß überprüfen, ob mit den
eingesetzten oder zu beschaffenden Produkte ein angemessenes
IT-Sicherheitsniveau gewährleistet werden kann. Im Rahmen des
IT-Sicherheitsmanagements (vgl. Kapitel 1) muß er die IT-Sicherheit im
laufenden Betrieb sicherstellen.
- Der Datenschutzbeauftragte muß die Einhaltung der
datenschutzrechtlichen Bestimmungen und eines ausreichenden Schutzes
personenbezogener Daten gewährleisten.
- Der Personal- bzw. Betriebsrat muß in vielen Fällen bei der Auswahl
neuer Standardsoftware beteiligt werden, insbesondere wenn damit größere
Änderungen im Arbeitsablauf verbunden sind oder wenn die zu beschaffende
Software zur Leistungskontrolle geeignet ist (siehe M
2.40 Rechtzeitige Beteiligung des Personal- / Betriebsrates ).
Im Gesamtprozeß "Standardsoftware" muß für jeden einzelnen Schritt festgelegt
werden, welche der zuvor beschriebenen Instanzen für die Durchführung
verantwortlich sind und welche Instanzen dabei beteiligt werden müssen. Eine
mögliche sinnvolle Verantwortungsverteilung ist zur Orientierung in
nachfolgender Tabelle zusammengefaßt:
Die getroffenen Zuordnungen sind verbindlich festzuschreiben und deren
Einhaltung ist periodischen Kontrollen zu unterziehen.
Ergänzende Kontrollfragen:
- Welche Regelungen sind in Kraft?
- Sind alle Mitarbeiter über bestehende Richtlinien und über deren Kontrolle
unterrichtet?
- Werden alle relevanten Stellen (z. B. Personalrat, Haushalt,
Datenschutzbeauftragter, ...) entsprechend ihrer Funktion beteiligt?
© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000
.