M 2.5 Aufgabenverteilung und Funktionstrennung

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung

Verantwortlich für Umsetzung: Leiter IT, Leiter Organisation, IT-Sicherheitsmanagement

Die von der Behörde bzw. dem Unternehmen im Zusammenhang mit dem IT-Einsatz wahrzunehmenden Funktionen sind festzulegen. Zu unterscheiden sind hier zwei Ebenen:

• Die erste Ebene besteht aus den Funktionen, die den IT-Einsatz ermöglichen oder unterstützen wie Arbeitsvorbereitung, Datennachbereitung, Operating, Programmierung, Netzadministration, Rechteverwaltung, Revision.
• Die zweite Ebene besteht aus den Funktionen, die die zur Aufgabenerfüllung bereitstehenden IT-Verfahren anwenden. Beispiele solcher Funktionen sind: Fachverantwortlicher, IT-Anwendungsbetreuer, Datenerfasser, Sachbearbeiter, Zahlungsanordnungsbefugter.

• Rechteverwaltung und Revision,
• Netzadministration und Revision,
• Programmierung und Test bei eigenerstellter Software,
• Datenerfassung und Zahlungsanordnungsbefugnis,
• Revision und Zahlungsanordnungsbefugnis.

Nach der Festlegung der einzuhaltenden Funktionstrennung kann die Zuordnung der Funktionen zu Personen erfolgen.

Die hier getroffenen Festlegungen sind zu dokumentieren und bei Veränderungen im IT-Einsatz zu aktualisieren. Sollte bei dieser Zuordnung eine Person miteinander unvereinbare Funktionen wahrnehmen müssen, so ist dies in einer entsprechenden Dokumentation über die Funktionsverteilung besonders hervorzuheben.

Ergänzende Kontrollfragen:

• Ist die Aufzählung der relevanten Funktionen umfassend?
• Sind die definierten Funktionstrennungen vollständig?
• Wird die Funktionstrennung personell aufrechterhalten?
• Wird die Zuordnung Personen/Funktionen aktualisiert?

© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000 .