M 6.1 Erstellung einer Übersicht über Verfügbarkeitsanforderungen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Verantwortliche der einzelnen Anwendungen

Für die in einem IT-System betriebenen IT-Anwendungen und deren Daten sind die Verfügbarkeitsanforderungen festzustellen. Da eine IT-Anwendung nicht zwingend jeden Bestandteil des IT-Systems benötigt, sind die Verfügbarkeitsanforderungen der IT-Anwendungen auf die wesentlichen Komponenten des IT-Systems abzubilden. Das Ergebnis dieser Arbeit kann in Form einer Übersicht mit folgenden Inhalten dargestellt werden:

IT-System
IT-Komponente
IT-Anwendung
tolerierbare Ausfallzeit
Zentralsystem Host Reisekosten 5 Arbeitstage
Buchhaltung 3 Stunden
DFÜ E-Mail 3 Arbeitstage
Buchhaltung 1 Arbeitstag
Drucker Reisekosten 10 Arbeitstage
Buchhaltung 2 Arbeitstage
Einsatzplanung 1 Arbeitstag
LAN Server Datenerfassung 1 Arbeitstag
Leitstelle 4 Stunden
PC Datenerfassung 10 Arbeitstage
PC Leitstelle 4 Stunden

(Lesart: Die IT-Komponente Host im IT-System "Zentralsystem" hat aufgrund der IT-Anwendung Buchhaltung eine maximal tolerierbare Ausfallzeit von 3 Stunden.)

Eine praktikable Vorgehensweise ist es, zu den einzelnen IT-Anwendungen den Verfahrensverantwortlichen nach den tolerierbaren Ausfallzeiten der benutzten IT-Komponenten zu befragen, um danach die Ergebnisse nach IT-System und Komponenten geordnet in der Tabelle aufzuführen.

Die Übersicht erleichtert es, die besonders zeitkritischen Komponenten des IT-Systems zu extrahieren, für die die Notfallvorsorge unumgänglich ist. Bei Ausfall einer Komponente gibt diese Übersicht darüber hinaus Auskunft über die betroffenen IT-Anwendungen und deren Verfügbarkeitsanforderungen.

Die Anforderungen an die Verfügbarkeit sind von den Anwendern bzw. Fachabteilungen zu begründen, sofern dies nicht schon an anderer Stelle geschehen ist. Die Verfügbarkeitsanforderungen sind von der Behörden- bzw. Unternehmensleitung zu bestätigen.

Bei Ausfall einer Komponente des IT-Systems ermöglicht diese Übersicht eine schnelle Aussage, ab wann ein Notfall vorliegt. Dass ein Notfall auch bei Ausfall einer besonders zeitkritischen Komponente nicht zwingend eintreten muss, lässt sich anhand eines Ersatzbeschaffungsplans und einer Untersuchung über interne und externe Ausweichmöglichkeiten ermitteln.

Prüffragen: