Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Verantwortliche der einzelnen IT-Anwendungen
Für die in einem IT-System betriebenen IT-Anwendungen und deren Daten sind die Verfügbarkeitsanforderungen festzustellen. Da eine IT-Anwendung nicht zwingend jeden Bestandteil des IT-Systems benötigt, sind die Verfügbarkeitsanforderungen der IT-Anwendungen auf die wesentlichen Komponenten des IT-Systems abzubilden. Das Ergebnis dieser Arbeit kann in Form einer Übersicht mit folgenden Inhalten dargestellt werden:
| IT-System | IT-Komponente | IT-Anwendung | tolerierbare Ausfallzeit |
|---|---|---|---|
| Zentralsystem | Host | Reisekosten | 5 Arbeitstage |
| Buchhaltung | 3 Stunden | ||
| DFÜ | 3 Arbeitstage | ||
| Buchhaltung | 1 Arbeitstag | ||
| Drucker | Reisekosten | 10 Arbeitstage | |
| Buchhaltung | 2 Arbeitstage | ||
| Einsatzplanung | 1 Arbeitstag | ||
| LAN | Server | Datenerfassung | 1 Arbeitstag |
| Leitstelle | 4 Stunden | ||
| PC | Datenerfassung | 10 Arbeitstage | |
| PC | Leitstelle | 4 Stunden |
(Lesart: Die IT-Komponente Host im IT-System "Zentralsystem" hat aufgrund der IT-Anwendung Buchhaltung eine maximal tolerierbare Ausfallzeit von 3 Stunden.)
Eine praktikable Vorgehensweise ist es, zu den einzelnen IT-Anwendungen den Verfahrensverantwortlichen nach den tolerierbaren Ausfallzeiten der benutzten IT-Komponenten zu befragen, um danach die Ergebnisse nach IT-System und Komponenten geordnet in der Tabelle aufzuführen.
Die Übersicht erleichtert es, die besonders zeitkritischen Komponenten des IT-Systems zu extrahieren, für die die Notfallvorsorge unumgänglich ist. Bei Ausfall einer Komponente gibt diese Übersicht darüber hinaus Auskunft über die betroffenen IT-Anwendungen und deren Verfügbarkeitsanforderungen.
Die Anforderungen an die Verfügbarkeit sind von den Anwendern bzw. Fachabteilungen zu begründen, sofern dies nicht schon an anderer Stelle geschehen ist. Die Verfügbarkeitsanforderungen sind von der Behörden- bzw. Unternehmensleitung zu bestätigen.
Bei Ausfall einer Komponente des IT-Systems ermöglicht diese Übersicht eine schnelle Aussage, ab wann ein Notfall vorliegt. Daß ein Notfall auch bei Ausfall einer besonders zeitkritischen Komponente nicht zwingend eintreten muß, läßt sich anhand des Ersatzbeschaffungsplans (siehe M 6.14 Ersatzbeschaffungsplan ) und der Untersuchung über interne und externe Ausweichmöglichkeiten (siehe M 6.6 Untersuchung interner und externer Ausweichmöglichkeiten ) ermitteln.
Ergänzende Kontrollfragen:
© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000 .