Recht und Gesetz in Niedersachsen |
||||
 |
|
|
|||||||
1. Zweck der IuK-Mindestanforderungen
Die IuK-Mindestanforderungen bestimmen die beim Einsatz der Informations- und Kommunikationstechnik (IuK) zu beachtenden Handlungsfelder. Insbesondere beschreiben sie die grundlegenden Voraussetzungen für einen wirtschaftlichen, ordnungsgemäßen und sicheren Einsatz der IuK. Sie bilden eine wichtige gemeinsame Grundlage für Prüfungen der Rechnungshöfe des Bundes und der Länder. Mit ihnen sollen gemeinsame und transparente Prüfungsmaßstäbe geschaffen werden.
Für eine Vielzahl von Anforderungen existieren bereits Normen, Standards und Empfehlungen, die als Prüfungskriterien herangezogen werden können. Die Rechnungshöfe behalten sich vor, diese Mindestanforderungen durch gesonderte Hinweise zu konkretisieren.
2. Grundlegende Anforderungen
2.1 Wirtschaftlichkeit
Nach dem im Haushaltsrecht des Bundes und der Länder verankerten Grundsatz der Wirtschaftlichkeit und Sparsamkeit ist jede Maßnahme auf ihre Wirtschaftlichkeit hin zu überprüfen (§ 7 LHO). Die Wirtschaftlichkeit des IuK-Einsatzes ist deshalb durch Wirtschaftlichkeitsuntersuchungen festzustellen. Die Kosten (in der Regel personeller Zeitaufwand) für die Wirtschaftlichkeitsuntersuchung haben in einem angemessenen Verhältnis zum Umfang der zu betrachtenden Maßnahme zu stehen. Wirtschaftlichkeitsuntersuchungen sind entsprechend den VV zu § 7 LHO in der Planungsphase sowie als begleitende und abschließende Erfolgskontrollen durchzuführen.
Bei einer Wirtschaftlichkeitsuntersuchung ist insbesondere darauf zu achten, dass
| - | vorab die Ausgangslage und der Handlungsbedarf analysiert wurden, |
| - | die mit der (Einzel-)Maßnahme verbundenen Risiken berücksichtigt werden, |
| - | die Ziele der zu untersuchenden Varianten vorher eindeutig definiert sind, |
| - | die geeignete Methode zum Tragen kommt (z.B. Kapitalwertmethode, Kostenvergleich), |
| - | sämtliche Kosten im Betrachtungszeitraum angesetzt werden, |
| - | die monetäre Betrachtung im Vordergrund zu stehen hat und ein positives Ergebnis auch haushaltswirksam zumindest mittelfristig erreicht wird, |
| - | nur die Nutzenwirkungen einbezogen werden, die durch die zu betrachtende IuK-Maßnahme ausgelöst werden, und |
| - | Personaleinsparungen nur in dem Ausmaß und ab dem Zeitpunkt angesetzt werden, in dem sie aufgrund der IuK-Maßnahme eintreten. |
Die zuständige Stelle hat nach der Durchführung einer IuK-Maßnahme zu prüfen, inwieweit die der Planung und der Wirtschaftlichkeitsuntersuchung zugrunde liegenden Ziele erreicht worden sind (Zielerreichungs-, Wirkungs- und Wirtschaftlichkeitskontrolle).
2.2 Ordnungsmäßigkeit
Der ordnungsgemäße Einsatz der IuK ist durch die Einhaltung der geltenden Normen zu gewährleisten (Regelüberwachung/IuK-Compliance).
Die Abgrenzung und Zuweisung der Funktionen und Verantwortungsbereiche ist im Hinblick auf die Trennung von Fach- und Betriebsverantwortung im Einzelnen schriftlich festzulegen. Soweit eine Trennung von Funktionen und damit von Verantwortungsbereichen ausnahmsweise nicht zweckmäßig ist, sind geeignete Sicherungs- und Kontrollmaßnahmen vorzusehen. Auch in diesen Fällen muss die Zuordnung der Funktionen im Einzelnen geregelt sein. Es ist ein internes Kontrollsystem zu etablieren. Dabei sind Ausführungsfunktionen von Kontrollfunktionen zu trennen.
Beim Umgang mit personenbezogenen Daten ist auf den Datenschutz, bei der Bereitstellung von Webangeboten auf Barrierefreiheit zu achten. Ergonomievorschriften sind zu berücksichtigen.
Die Planung und der Einsatz der IuK sind zu dokumentieren. Die IuK-Dokumentation muss vollständig, aktuell und verständlich sein sowie alle Änderungen und Entscheidungen nachweisen.
Soweit elektronische Dokumente verwendet werden, ist deren Revisionsfähigkeit zu gewährleisten.
2.3 Sicherheit
Den Risiken beim Einsatz der IuK ist durch organisatorische, personelle und technische Maßnahmen zur Sicherheit der IuK Rechnung zu tragen1) . Dies betrifft Risiken, die zu
| - | unberechtigter Kenntnisnahme (Verlust der Vertraulichkeit), |
| - | unberechtigter Veränderung oder Verfälschung (Verlust der Integrität) und |
| - | Beeinträchtigung oder Verlust der Verfügbarkeit (Verlust der Funktionalität) |
führen. Wegen der verstärkten Bündelung der IuK-Ressourcen bei Rechenzentren besteht dort ein gesonderter Schutzbedarf.
Die zur Aufrechterhaltung der Sicherheit geeigneten Maßnahmen sind aus Schutzbedarfs-/Risikoanalysen abzuleiten und zu dokumentieren. Dabei sind die Sicherheitsmaßnahmen auf der Grundlage der Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zu konzipieren. Bei den Rechenzentren ist insbesondere auf bedarfsgerechte Ausfallsicherheit zu achten.
Die Einhaltung der Sicherheitsstandards sollte durch angemessene Audit-Verfahren nachgewiesen werden.
3. Strategische und organisatorische Anforderungen
Die strategischen und organisatorischen Anforderungen für den Einsatz von IuK leiten sich aus dem Gebot eines ordnungsgemäßen und wirtschaftlichen Verwaltungshandelns ab. Die Umsetzung der IuK-Strategie erbringt den Wertbeitrag der IuK zur Erfüllung der Verwaltungsaufgaben; dies sollte turnusmäßig überprüft und ggf. angepasst werden (IT-Governance). Ein strategischer Handlungsrahmen für die Integration der IuK in die Aufbau- und Ablauforganisation der Verwaltung ergibt sich auch aus gesellschaftlichen und politischen Zielsetzungen sowie administrativen Aufgabenstellungen.
Ressortübergreifend soll insbesondere geregelt und koordiniert werden:
| - | die Entwicklung und der Einsatz gemeinsamer IuK-Verfahren, |
| - | die Übernahme vorhandener IuK-Verfahren anderer Länder oder des Bundes, |
| - | landes- bzw. bundesweite IuK-Initiativen sowie Programme und |
| - | die Einrichtung von IuK-Gremien. |
Die für IuK-Koordinierung zuständige Stelle soll insbesondere zu folgenden Themen ressortübergreifende Richtlinien erarbeiten:
| - | Führungs- und Steuerungsprinzipien, |
| - | grundsätzliche Zuständigkeiten einer IuK-Organisation, |
| - | Mindestanforderungen an IuK-Qualität, |
| - | Sicherheitsstandards, |
| -- | Standards für die übergreifende Behördenplanung, |
| - | Grundlagen für ein IuK-Controlling, |
| - | Standards für IuK-Systemarchitekturen, IuK-Systemkomponenten, Datenaustausch und Benutzerschnittstellen sowie |
| - | Standards für das IuK-Projekt- und IuK-Betriebsmanagement. |
Die Bedarfsdeckung sollte organisationsübergreifend gebündelt werden, ohne den Wettbewerb nachhaltig einzuschränken. IuK-Rahmenverträge sind bekannt zu geben. Für die auf IuK-Dienstleistungszentren übertragenen Aufgaben sind verbindliche Vereinbarungen zu treffen.
Innerhalb der Ressorts ist die Gesamtstrategie unter Berücksichtigung der fachspezifischen Aufgabenstellungen und des Bedarfs im Rahmen einer Gesamtplanung zu konkretisieren. Diese soll bestimmte, messbare, erreichbare, realistische und terminierte Qualitäts- und Prozessziele für den IuK-Einsatz enthalten.
Vorgaben zur Festlegung geeigneter Kennzahlen sowie zur Identifizierung der Kosten der IuK sind zu treffen, um den IuK-Einsatz zu optimieren und die Effizienz und Effektivität des Verwaltungshandelns sicherzustellen.
4. Anforderungen an IuK-Prozesse
4.1 Operative Planung und IuK-Organisation
Auf Grundlage der strategischen IuK-Planung muss die operative IuK-Planung der Ressorts und der weiteren Verwaltung erstellt werden. Dabei sind die einzelnen Aufgaben auf die Struktureinheiten zu verteilen (IuK-Organisation).
Die operative IuK-Planung sollte ziel- und zukunftsorientiert, angemessen detailliert, aktuell und lückenlos sein. Die in der IuK-Planung festgeschriebenen Ziele und Aussagen zur IuK-Ausrichtung sind den Beteiligten gegenüber zu kommunizieren.
Die IuK-Planung ist kontinuierlich zu überprüfen sowie fortzuschreiben und soll je nach Planungs- und Entwicklungsstand Folgendes ausweisen:
| - | Zielsetzung des behördlichen IuK-Einsatzes, |
| - | Aussagen zur IuK-Organisation, |
| - | Bedarfsanalyse, generelles Anforderungsmanagement, |
| -- | Festlegungen zur IuK-Architektur der Verwaltung mit Aussagen zu IuK-Verfahren, IuK-Diensten einschließlich Verfügbarkeitsanforderungen, |
| - | Einführungsstrategien, |
| - | Konzeption für Schulung und Anwenderbetreuung, |
| - | IuK-Sicherheitsdokumentation als Teil eines Managementsystems für Informationssicherheit, |
| - | Aussagen zum Bedarf an Ressourcen: Haushaltsmittel (konsumtiv und investiv), Personal, Technik/Systeme, Infrastruktur, |
| - | Regelungen zur Bestandsführung von Hardware, Software, Infrastrukturen (Konfigurationsmanagement), |
| - | Festlegungen zum Risikomanagement in Projekten und Betrieb, |
| - | Aussagen zur Organisation von Qualitätssicherung und -management und |
| - | Festlegungen zur Organisation des IuK-Controllings. |
Die Organisation der IuK soll gewährleisten, dass die IuK-Prozesse sowohl serviceorientiert als auch wirtschaftlich die Ziele der Verwaltung unterstützen. Hierzu sind bzgl. der Kernprozesse und eingesetzter IuK-Technologien ausreichende Kompetenzen beim IuK-Personal aufzubauen und zu pflegen. Auch beim Einsatz Externer muss durch qualifiziertes eigenes IuK-Personal die Verlässlichkeit und Flexibilität der IuK sichergestellt werden.
4.2 IuK-Maßnahmen
4.2.1 Planung und Durchführung von IuK-Maßnahmen
Zur Planung gehören die Festlegung der Ziele der IuKMaßnahme 2) , die Entscheidung über eine Projektorganisation, eine Anforderungsanalyse, ein Pflichtenheft, eine an Meilensteinen orientierte Zeitplanung und eine Wirtschaftlichkeitsuntersuchung. Die erwarteten Kosten und die Maßnahmendauer sind zu dokumentieren. Die Planungsdokumente sind regelmäßig mit dem aktuellen Projektstand abzugleichen und ggf. zu aktualisieren (rollierende Planung).
Vor der Einführung neuer Verfahren sind eine Analyse und ggf. Optimierungen der Geschäftsprozesse durchzuführen. Daher sind die für Organisationsfragen zuständigen Stellen rechtzeitig einzubinden. Bei behördenübergreifenden Maßnahmen sind Beteiligung und Verantwortung im Einzelnen zu regeln.
Bei der Planung des Einsatzes von IuK-Verfahren sind durch eine Wirtschaftlichkeitsuntersuchung folgende Alternativen zu prüfen:
| - | der Einsatz von Standard-Software — ggf. nach einer Anpassung, |
| - | die Übernahme vorhandener Software, |
| - | die Neuentwicklung durch eigene Mitarbeiter und |
| - | die Neuentwicklung durch Externe. |
Bei IuK-Projekten ist ein Projektmanagement-System zu nutzen, das alle relevanten Teildisziplinen, insbesondere das Termin-, Kosten- und Risikomanagement, angemessen berücksichtigt.
4.2.2 Beschaffung
Die IuK-Beschaffung sollte die bedarfs- und nutzergerechte Versorgung der Dienststellen mit den von ihnen zur Erfüllung ihrer Aufgaben benötigten IuK-Komponenten und IuK-Dienstleistungen gewährleisten. Bei der Beschaffung ist unter dem Gesichtspunkt der Wirtschaftlichkeit die günstigste Konfiguration und Beschaffungsart (Kauf, Miete, Leasing) auszuwählen. Die technische bzw. wirtschaftliche Abhängigkeit von einzelnen Herstellern ist zu vermeiden.
Beim IuK-Outsourcing sind die Leitsätze für die Prüfung von IuK-Outsourcing der Rechnungshöfe des Bundes und der Länder zu beachten.
Durch die zentrale Ausschreibung von Rahmenverträgen für Hard- und Software sowie für Standard-IuK-Dienstleistungen sollen Einsparpotenziale realisiert werden. Ebenso soll die IuK-Standardisierung sichergestellt und vorangetrieben werden. IuK-Rahmenverträge sind zu nutzen.
4.2.3 Entwicklung und Pflege von IuK-Verfahren
Die Softwareentwicklung ist - auch zur Sicherung der Pflege und Weiterentwicklung - nach geeigneten Methoden des Software-Engineerings durchzuführen. Festgelegte Vorgehensweisen, Qualitätsvorgaben und Arbeitstechniken sind einzuhalten, regelmäßig zu überprüfen und anzupassen.
Die Dokumentation muss die Pflege bzw. Wartung und einen ordnungsgemäßen Betrieb sicherstellen sowie eine effektive und effiziente Verfahrensnutzung durch die Anwender ermöglichen.
Werden Externe mit der Entwicklung von Software beauftragt, soll der Zugriff auf den Quellcode - ggf. durch Hinterlegung - sichergestellt werden.
4.2.4 Test und Freigabe
IuK-Verfahren, bei komplexen Verfahren auch fertig gestellte Teile, sind vor ihrer Freigabe für den Betrieb in allen Funktionen zu testen. Einzelheiten des Test- und Freigabeverfahrens sind zu regeln. Die Schnittstellen zu anderen Verfahren und die spätere organisatorische Einbindung in den Betrieb sind besonders zu beachten.
Tests müssen aufgrund von Testfällen mit im Voraus festgelegten Eingaben und erwarteten Ausgaben durchgeführt werden. Die fachlich zuständigen Stellen haben hierfür Testfälle zu erstellen. Die Ergebnisse des abschließenden Tests sind unter gebotener Beteiligung des IuK-Bereichs von den am Vorhaben beteiligten Fachbereichen zu kontrollieren, zu bewerten und abzunehmen. Der Abschlusstest ist revisionsfähig zu dokumentieren:
Es soll eine Stelle bestimmt sein, die auf der Grundlage der Abnahmeerklärung zum Abschlusstest das Verfahren freigibt, eine Freigabebescheinigung erstellt und damit die Gesamtverantwortung für die Ordnungsmäßigkeit und die Sicherheit des Verfahrens übernimmt.
Ein Verfahren darf grundsätzlich nur freigegeben werden, wenn dessen Dokumentationsunterlagen vollständig vorliegen. Auch nicht selbst entwickelte Verfahren sind vor ihrem Einsatz entsprechend zu testen und förmlich freizugeben.
Lässt sich ein vorläufiger Verfahrenseinsatz nach einem ausreichenden und revisionsfähig dokumentierten Test aus unabweisbaren Gründen nicht umgehen, ist die Freigabe unverzüglich nachzuholen.
4.2.5 Einführung, Anwenderschulung
Bei der Einführung eines IuK-Verfahrens ist insbesondere rechtzeitig zu gewährleisten, dass
| - | die erforderliche Hard- und Softwareumgebung eingerichtet ist, |
| - | die Datenbestände eines abzulösenden Verfahrens übernommen wurden, |
| - | die Benutzer bedarfsgerecht und zeitnah geschult wurden und |
| - | alle notwendigen rechtlichen Voraussetzungen vorliegen. |
Für eine fortlaufende Beratung und Schulung der Benutzer - auch nach der Verfahrenseinführung - muss Vorsorge getroffen werden. Eine im Umfang angemessene Anwenderdokumentation des Verfahrens ist bereitzustellen.
Bei der Einführung neuer Verfahren sind die Aspekte des organisatorischen Wandels und des Akzeptanzmanagements zu beachten.
4.3 IuK-Betrieb
Unter Beachtung der grundsätzlichen Anforderungen zur Wirtschaftlichkeit, Ordnungsmäßigkeit und Sicherheit ist der IuK-Betrieb anwender- und dienstleistungsorientiert auszurichten. Standardisierte Lösungen sind anzustreben.
Die Anforderungen an den IuK-Betrieb und dessen Leistungen sind zu fixieren. Dazu gehören insbesondere Regelungen zur Nutzung von behördenübergreifenden Standards und zu eventuellen Leistungsverrechnungen.
Der IuK-Betrieb ist ständig - insbesondere in Hinblick auf die Verfügbarkeit - mit geeigneten und angemessenen Methoden zu überwachen und zu dokumentieren. Dies sollte mit einem IT-Service-Managementsystem (ITSM) gewährleistet werden, welches hinsichtlich des IuK-Betriebes insbesondere folgende Teildisziplinen angemessen berücksichtigt:
| - | Änderungsmanagement, |
| - | Datenmanagement, |
| - | Konfigurationsmanagement, |
| - | Kontinuitätsmanagement, |
| - | Netzwerkmanagement, |
| - | Sicherheitsmanagement, |
| - | Störungsmanagement und |
| - | Verfügbarkeitsmanagement. |
4.4 Kontrolle und Steuerung
Die Leistungsindikatoren und Kennzahlen für ein IuK-Controlling sollten sachorientiert definiert und bewertet werden. Die Bewertungsergebnisse und das Erfordernis, ggf. geeignete Steuerungsmaßnahmen einzuleiten, sind in Controllingberichten regelmäßig zu dokumentieren.
Die Zielerreichung, insbesondere bezüglich Produkt- und Leistungsqualität, sollte durch ein kennzahlenbasiertes IuK-Controlling überwacht bzw. gesteuert werden. Dies ermöglicht auch die Identifikation von Optimierungspotenzialen. Die Ergebnisse interner oder externer Audits können ergänzend herangezogen werden.
__________
| 1) | Z.B. durch Prozesse und Strukturen eines wirksamen Informationssicherheitsmanagementsystems (ISMS). |
| 2) | IuK-Maßnahmen (IuK-Vorhaben, IuK-Projekte usw.) umfassen die Konzeption, die Entwicklung, die Beschaffung, die Einführung oder wesentliche Änderungen im IuK-Betrieb, von IuK-Verfahren, IuK-Infrastruktur und IuK-Diensten. |
| Recht und Gesetz in Niedersachsen (www.recht-niedersachsen.de) |
