Die EDV Abteilung ist als Infrastrukturbetreiber des Caritasverbandes Berlin e.V. (im Folgenden Caritasverband genannt) für den IT-Betrieb verantwortlich. Ausgehend von einer durch die EDV-Abteilung durchgeführten Analyse ergab sich die Anforderung, die zentral kritischen IT-Bestandstrukturen aufzunehmen und hinsichtlich bestehender und zukünftiger Anforderungen zu bewerten.
Allgemeine Projektbeschreibung
Die EDV Abteilung ist als Infrastrukturbetreiber des Caritasverbandes Berlin e.V. (im Folgenden Caritasverband genannt) für den IT-Betrieb verantwortlich. Ausgehend von einer durch die EDV-Abteilung durchgeführten Analyse ergab sich die Anforderung, die zentral kritischen IT-Bestandstrukturen aufzunehmen und hinsichtlich bestehender und zukünftiger Anforderungen zu bewerten.
Die primäre Durchführung der Prüfung und Bewertung der IT Bestandsstrukturen erfolgte in Anlehnung des BSI-Standards zum Informationssicherheitsmanagement (IT-Grundschutz-Kataloge) sowie der „Checkliste zur Abschlussprüfung bei Einsatz von Informationstechnologie (IDW PS 330)“. Mittels eines IDW Systemprüf- und Auswertungsprogrammes wurden die einzelnen Kategorien geprüft, bewertet und innerhalb der Maßnahmendefinition auch auf die IT-Grundschutz-Kataloge des BSI (Bundesamt für Sicherheit in der Informationstechnik) verwiesen.
Das BSI (Bundesamt für Sicherheit in der Informationstechnik) stellt zahlreiche Werkzeuge zur Verfügung, um ein angemessenes Sicherheitsniveau zu erreichen, wie z.B. die BSI-Standards zum Informationssicherheitsmanagement, die IT-Grundschutz-Kataloge und das GSTOOL.
Innerhalb der Prüfung und Bewertung wurde je Prüfungsumfeld die Zielerfüllungsgrade ermittelt sowie die notwendigen Maßnahmen definiert und priorisiert:
Prüfungskategorien:
- Prüfung der IT-Strategie
- Prüfung des IT-Umfeldes
- Prüfung der IT-Organisation
- Prüfung der IT-Infrastruktur
- Prüfung der IT-Anwendungen
- Prüfung der IT-gestützten Geschäftsprozesse
- Prüfung des IT-Überwachungssystems
- Prüfung des IT-Outsourcing
- Besonderheiten der Internet-Nutzung
Wesentliches Ziel dieses Projektmodules war die Aufnahme und Bewertung des IT-Bestandes und der Zielanforderungen, das Erkennen von Gefährdungen sowie die Definition der notwendigen Maßnahmen nach Priorität.
Folgende Leistungsmodule werden durch den Auftragnehmer umgesetzt:
Projektinitialisierung
- Team aufsetzen
- Definition Ziele
- Definition Untersuchungsbereich
- Datenbasis vorbereiten
- Detaillierung Vorgehen
- Projektplan
- Kommunikationsplan
Konkretisierung / Definition Untersuchungsbereich für Wirtschaftsprüfung
- Abstimmung zur Detailtiefe der Prüfung und Berichtserwartung bzgl. Handelsgesetzbuch, Abgabenordnung, IDW PS330, GoBS
Aufnahme vor Ort / Interview / Analyse und Bewertung
- Aufnahme der technischen Ausgangssituation / IT Strukturanalyse lt. BSI Grundschutz
- Aufnahme u.a. Gebäudestruktur, Geschäftsprozesse, Anwendungen, IT-Systeme
- Aufnahme und Bewertung hinsichtlich der Ordnungsmäßigkeit und Sicherheit einer IT-gestützten Rechnungslegung lt. definierten Untersuchungsbereich
- Erstellung Matrix der Abhängigkeiten (BSI GSTOOL-Matrix)
- Definition der Anforderungen hinsichtlich Verfügbarkeit, Vertraulichkeit und Integrität nach BSI Grundschutz
- GAP Analyse
- Risiko-Identifizierung und Definition der Notwendigkeit einer Risikobewertung
- Definition der notwendigen Maßnahmen zur Umsetzung nach Priorität
- Protokollierung Status der Maßnahmenumsetzung
Aufbereitung der Daten / Dokumentation / Bericht
- Erstellung Entwurf Abschlussbericht
- Abstimmung IT-Abteilung
Konsolidierung / Abschlussbericht / Abschlussgespräch
- Konsolidierung der Ergebnisse / Dokumentation
- Übergabe aller Ergebnisdokumente
- Abschlussgespräch