M 2.552 Erstellung eines Pflichtenheftes

Verantwortlich für Initiierung: Leiter Organisation, Fachverantwortliche

Verantwortlich für Umsetzung: Fachverantwortliche

Ein Pflichtenheft beschreibt, wie das Lastenheft technisch umgesetzt werden soll. In der Regel gibt der Auftraggeber, also z. B. die verantwortliche Fachabteilung, das Lastenheft vor. Darauf aufbauend erarbeitet die (interne oder externe) Entwicklungsabteilung, die die Anwendung erstellen soll, das Pflichtenheft, in dem die technische Umsetzung der Anforderungen des Lastenhefts ausformuliert wird. Das Pflichtenheft muss vom Auftraggeber daraufhin überprüft werden, ob alle Anforderungen aus dem Lastenheft so abgebildet werden, dass die angestrebten Entwicklungsziele erreicht werden können. Es ist sinnvoll, dabei das Sicherheitsmanagement mit einzubinden, um zu gewährleisten, dass die auch die formulierten Sicherheitsziele erreicht werden.

Dabei sind mindestens die folgenden Aspekte zu berücksichtigen:

Beschreibung der fachlichen Anforderungen

Es ist detailliert zu beschreiben, wie die fachlichen Anforderungen umgesetzt werden sollen (z. B. Workflows, Dialoge, Bearbeitungsmasken, Datenstrukturen).

Einbettung in den Informationsverbund

Es sollte im Pflichtenheft ausgearbeitet werden, wie sich die Anwendung in den Informationsverbund einpassen wird bzw. welche Anpassungen durchzuführen sind. Dazu ist beispielsweise zu klären, welche und wie viele Betriebsumgebungen (Entwicklung, Test, Qualitätssicherung, Produktion etc.) benötigt werden und wie sie infrastrukturell umgesetzt werden sollen (z. B. unter Nutzung virtueller Maschinen (VM) oder Terminalserver-Dienste).

Planung der Einführung einer Anwendung

Die Einführung der neuen Anwendung ist zu planen. Hierfür sind im Pflichtenheft unter anderem folgende Punkte zu berücksichtigen:

Sicherheitsfunktionen in der Anwendung:

Es muss festgelegt werden, welche Sicherheitsfunktionen die Anwendung enthalten soll und wie diese realisiert werden sollen (siehe auch M 4.42 Implementierung von Sicherheitsfunktionalitäten in der IT-Anwendung). Diese können beinhalten:

Des Weiteren sind die Anforderungen an Form, Sprache, Tiefe und ggf. auch die Auslieferungszeitpunkte der Quellcodedokumentation sowie an Aufbau, Inhalt und Format (Papier, PDF-Dokument, Online-Hilfe) der Handbücher zu formulieren.

Dabei ist zu beschreiben, welche der an der Einführung der neuen Anwendung beteiligten Institutionen (Auftraggeber, Dienstleister etc.) welche der beschriebenen Aufgaben wahrnimmt.

Außerdem sollte ein Protokollierungskonzept erstellt werden, in dem festgelegt wird, welche Ereignisse in der Anwendung auf welche Art protokolliert werden sollen und wie mit den Protokolldaten umgegangen wird (siehe M 2.500 Protokollierung von IT-Systemen). Dabei sind unter anderem die folgenden Aspekte zu berücksichtigen:

Da bei der Protokollierung immer auch personenbezogene Daten anfallen, müssen hierbei auch die Vorgaben des Datenschutzes berücksichtigt werden (siehe auch M 2.110 Datenschutzaspekte bei der Protokollierung).

Prüffragen: