M 2.2 Betriebsmittelverwaltung
Verantwortlich für Initiierung: Behörden-/Unternehmensleitung
Verantwortlich für Umsetzung: Leiter IT, Leiter Organisation
Betriebsmittel (oder Sachmittel) für den IT-Einsatz sind alle erforderlichen Mittel wie Hardware-Komponenten (Rechner, Tastatur, Drucker usw.), Software (Systemsoftware, Individualprogramme, Standardprogramme und Ähnliches), Verbrauchsmaterial (Papier, Toner, Druckerpatronen), Datenträger (Magnetbänder, Disketten, Streamertapes, Festplatten, Wechselplatten, CD-ROMs und Ähnliches). Die Betriebsmittelverwaltung umfasst die Abwicklung der Aufgaben:
- Beschaffung der Betriebsmittel,
- Prüfung vor Einsatz,
- Kennzeichnung und
- Bestandsführung.
Die Beschaffung von Betriebsmitteln ist beim Einsatz von Informationstechnik von besonderer Bedeutung. Mit einem geregelten Beschaffungsverfahren lassen sich insbesondere die Ziele unterstützen, die mit dem Einsatz von Informationstechnik angestrebt werden: Leistungssteigerung, Wirtschaftlichkeit, Verbesserung der Kommunikationsmöglichkeiten.
Neben reinen Wirtschaftlichkeitsaspekten kann durch ein geregeltes Beschaffungsverfahren - das von zentraler Stelle aus vorgenommen werden kann - auch die Neu- und Weiterentwicklung im Bereich der Informationstechnik stärker berücksichtigt werden.
Eine zentrale Beschaffung sichert darüber hinaus die Einführung und Einhaltung eines "Hausstandards", der die Schulung der Mitarbeiter und Wartungsaktivitäten vereinfacht.
Mit einem geregelten Prüfverfahren vor Einsatz der Betriebsmittel lassen sich unterschiedliche Gefährdungen abwenden. Beispiele sind:
- Die Vollständigkeit von Lieferungen (z. B. Handbücher oder Anschlusskabel) sollte überprüft werden, um die Verfügbarkeit aller Lieferteile zu gewährleisten.
- Neue PC-Software sowie neue vorformatierte Datenträger sollte mit einem Computer-Viren-Suchprogramm getestet werden.
- Es sollten Testläufe neuer Software auf speziellen Test-Systemen durchgeführt werden, damit diese reibungslos in den Betrieb übernommen werden können.
- Die Kompatibilität neuer Hardware- und Softwarekomponenten mit den vorhandenen sollte vor der Beschaffung überprüft werden, damit es nicht zu Fehlkäufen kommt.
Erst mit Hilfe einer Bestandsführung der eingesetzten Betriebsmittel ist es möglich, den Verbrauch zu ermitteln und rechtzeitig erforderliche Nachbestellungen zu veranlassen. Darüber hinaus ermöglicht die Bestandsführung
Vollständigkeitskontrollen, Überprüfung des Einsatzes von nicht genehmigter Software oder die Feststellung der Entwendung von Betriebsmitteln. Hierzu bedarf es einer eindeutigen Kennzeichnung der wesentlichen Betriebsmittel mit eindeutigen Identifizierungsmerkmalen (z. B. gruppierte fortlaufende Inventarnummern). Zusätzlich sollten die Seriennummern vorhandener Geräte wie Bildschirm, Drucker, Festplatten etc. dokumentiert werden, damit sie nach einem Diebstahl identifiziert werden können.
Für die Bestandsführung müssen die Betriebsmittel in Bestandsverzeichnissen aufgelistet werden. Ein solches Bestandsverzeichnis muss Auskunft geben können über:
- Identifizierungsmerkmale,
- Beschaffungsquellen, Lieferzeiten,
- Verbleib der Betriebsmittel,
- Lagervorhaltung,
- Aushändigungsvorschriften und
- Wartungsverträge, Wartungsintervalle.
Um den Missbrauch von Daten zu verhindern, sollte die Löschung oder Vernichtung von Betriebsmitteln geregelt sein. Insbesondere ist der Umgang mit Altpapier zu regeln. Es sollte geeignete Entsorgungsmöglichkeit für Verbrauchsgüter mit höherem Schutzbedarf geben, z. B. so genannte Schredder oder Aktenvernichter für Papier. Aktenvernichter gibt es für verschiedene Arten von Verbrauchsgütern wie Papier, Magnetbänder, Disketten und CDs. Außerdem gibt es sie in verschiedenen Sicherheitsstufen, hier ist unter anderem entscheidend, wie die Partikelgröße ist, in die das Ausgangsmaterial zerlegt wird.
Nach der Norm DIN 32757-1 können Vernichtungsgeräte in 5 Sicherheitsstufen eingeteilt werden. Für die Informationsträgervernichtung bei mittlerem Schutzbedarf sollten Vernichtungsgeräte der Sicherheitsstufe 3 verwendet werden. Für sonstige Informationsträger, die nur unlesbar gemacht werden sollen, reichen Geräte der Sicherheitsstufen 2 oder 1 aus. Bei höherem Schutzbedarf sollten Geräte der Sicherheitsstufen 4 oder 5 eingesetzt werden.
Bei Sicherheitsstufe 3 dürfen die Partikelgrößen gemäß DIN 32757-1 nicht größer sein als 4 x 80 mm2 bzw. 320 mm2 sein.
Geeignete Vernichtungsgeräte, die der Norm DIN 32757 entsprechen, sind in der BSI-Publikation 7500 aufgeführt.
Alle Verbrauchsgüter, aus denen Informationen gewonnen werden könnten, wie z. B. Zwischenträgerfolien oder fehlerhafte Ausdrucke, sollten vor der Entsorgung vernichtet oder durch eine zuverlässige Fachfirma entsorgt werden. Das Gleiche gilt beim Austausch informationstragender Ersatzteile, wie z. B. photoelektrische Trommeln von Fotokopiergeräten.
Ergänzende Kontrollfragen:
- Ermöglicht die Bestandsführung eine Vollständigkeitskontrolle?
- Welche Prüfverfahren vor Einsatz sind eingeführt worden? Welche Ergebnisse wurden erzielt?
- Ist der Beschaffungsablauf geregelt oder gibt es die Möglichkeit, die Betriebsmittelverwaltung bei Beschaffungsvorgängen zu umgehen?
- Wie aktuell ist das Bestandsverzeichnis?
- Auf welche Weise wird nicht mehr benötigtes Verbrauchsmaterial entsorgt?