M 6.14 Ersatzbeschaffungsplan
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, Verantwortliche der einzelnen IT-Anwendungen
Bei Ausfall einzelner Teile des IT-Systems ist neben der Reparatur die Ersatzbeschaffung zunächst die Maßnahme, die am zielgerichtetsten die Wiederherstellung der Verfügbarkeit verfolgt. Um den Vorgang der Ersatzbeschaffung zu beschleunigen, ist die Erstellung eines Ersatzbeschaffungsplans sinnvoll. Dieser muss für jede wichtige IT-Komponente Angaben machen über:
- Bezeichnung der IT-Komponente (Name, Geräte-Nr., Beschaffungsdatum),
- Hersteller,
- Lieferant,
- Lieferzeit und
- Dauer der Reinstallation.
Lassen sich für eine IT-Komponente mehrere Hersteller oder Lieferanten benennen, so sind sie alternativ aufzuführen. Gegebenenfalls lassen sich auch anderweitige Produkte benennen. Bei einer Ersatzbeschaffungsmaßnahme sind solche Angaben für eine sparsame Mittelbewirtschaftung erforderlich.
Ersatzbeschaffungsmaßnahmen müssen neben der Wiederherstellung der Verfügbarkeit des IT-Systems auch der Fortentwicklung der Informationstechnik berücksichtigen. Entsprechen eingesetzte Teile des IT-Systems nicht mehr dem Stand der Technik, so darf eine Ersatzbeschaffung nicht ausschließlich darauf gerichtet sein, den alten Zustand wiederherzustellen. Dies erfordert eine regelmäßige Überarbeitung des Ersatzbeschaffungsplans (siehe auch M 2.2 Betriebsmittelverwaltung).
In einem Ersatzbeschaffungsplan sollte auch festgehalten werden, für welche Arten von IT-Systemen eine schnellstmögliche Ersatzbeschaffung unerlässlich ist, eine mittelfristige ausreicht oder evtl. gar keine erforderlich ist. Nicht bei jedem Ausfall eines IT-Systems oder einer IT-Komponente ist eine kostenträchtige Neubeschaffung notwendig. Wenn beispielweise ein PC in einem LAN mit einer Vielzahl gleichartiger Clients ausfällt, kann im allgemeinen kurzfristig auf andere, ähnliche Endgeräte zurückgegriffen werden. Mittelfristig können evtl. vorhandene Ersatzteile eingebaut werden. Fällt hingegen ein zentraler Router aus, muss so schnell wie möglich für Ersatz gesorgt werden, da hier meistens die gesamte Organisation betroffen ist.
Es kann Geschäftsprozesse geben, die als so kritisch für die Organisation angesehen werden, dass für alle hierfür eingesetzten IT-Systeme Ersatzsysteme vor Ort vorrätig gehalten werden. Dann sollten diese nicht in denselben Gebäudeteilen, also z. B. Serverraum oder Rechenzentrum, aufbewahrt werden, sondern zumindest in einem anderen Brandabschnitt.
Ergänzende Kontrollfragen:
- In welchem Turnus wird der Ersatzbeschaffungsplan überarbeitet?
- Wird der Ersatzbeschaffungsplan bei Änderungen überarbeitet?