M 2.553 Entwicklung eines Pflegekonzeptes für Anwendungen

Verantwortlich für Initiierung: Leiter IT

Verantwortlich für Umsetzung: Administrator, Fachverantwortliche, Leiter IT

Soll eine individuell entwickelte Anwendung eingesetzt werden, wird für den Betrieb ein Pflegekonzept benötigt, um die Funktionsfähigkeit und Sicherheit der Anwendung im laufenden Betrieb sicherzustellen (siehe auch M 4.107 Nutzung von Hersteller- und Entwickler-Ressourcen). Dies sollte folgende Aspekte berücksichtigen, die in das Änderungsmanagement der Institution (siehe B 1.14 Patch- und Änderungsmanagement) eingebunden sein müssen:

Zur geeigneten Vorbereitung von Tests (siehe M 2.83 Testen von Standardsoftware) und dem Einspielen von Änderungen in Anwendungen hat es sich als zweckmäßig erwiesen, zwischen Sicherheitspatchs und funktionalen Änderungen (sonstige Patchs und Updates) zu unterscheiden. Sicherheitspatchs dienen nur dem Schließen von Sicherheitslücken und sind in der Regel nicht mit funktionalen Änderungen in der Anwendung verbunden (vergleiche auch M 3.66 Grundbegriffe des Patch- und Änderungsmanagements). Daher können für Sicherheitspatchs Tests und Freigaben in vereinfachtem Verfahren durchgeführt werden (z. B. im Rahmen eines gestuften Roll-Outs im ersten Schritt an Pilotnutzer und durch generell erteilte Freigaben unter Datenschutz- und Sicherheitsgesichtspunkten).

Bei der Erstellung des Pflegekonzeptes sollte auch geklärt werden, über welche Wege Informationen über Sicherheitslücken, Updates und Patchs zur Verfügung stehen, z. B. Mailinglisten der Hersteller, Computer Emergency Response Teams (CERTs) (siehe auch M 2.35 Informationsbeschaffung über Sicherheitslücken des Systems) und wie sie im eigenen Patch- und Änderungsprozess (siehe Baustein B 1.14 Patch- und Änderungsmanagement) bearbeitet werden.

Prüffragen: