Mindest-Anforderungen der Rechnungshöfe zum Einsatz der IT-Leitlinien und der Maßstäbe für IT-Prüfungen
Der Rechnungshof des Freistaates Thüringen hat im Staatsanzeiger für Mindestanforderungen der Rechnungshöfe des Bundes und der Länder zum Einsatz der Informationstechnik-Leitlinien und gemeinsame Maßstäbe für IT-Prüfungen (IuK-Mindestanforderungen) veröffentlicht. Mit den Services der KIV Thüringen GmbH befinden Sie sich auf der sicheren Seite. Im Folgenden stellen wir Ihnen die Inhalte der Anforderungen überblicksweise dar.
Die IuK-Mindestanforderungen beschreiben die wesentlichen beim Einsatz der Informationstechnik zu beachtenden Handlungsfelder und benennen die grundlegenden Voraussetzungen für einen wirtschaftlichen, ordnungsgemäßen und sicheren IT-Einsatz. Die Rechnungshöfe kontrollieren die Verwaltungen nach folgenden Kriterien:
Wirtschaftlichkeit
Danach sind nach dem Grundsatz der Wirtschaftlichkeit und Sparsamkeit Wirtschaftlichkeitsuntersuchungen durchzuführen. Hier müssen Ausgangslage und Handlungsbedarf analysiert und Ziele, Prioritäten und mögliche Konflikte eindeutig definiert werden. Sämtliche im Betrachtungszeitraum entstehende Kosten – auch nicht haushaltswirksame – müssen einbezogen werden. Im Rahmen von Erfolgskontrollen ist zu prüfen, inwieweit die verfolgten Ziele erreicht worden sind.
Ordnungsmäßigkeit
Bei der Umsetzung von Projekten müssen alle geltenden Normen (Gesetze, Haushaltspläne, Verwaltungsvorschriften und –grundsätze) eingehalten werden. Insbesondere die Regelungen zu E-Government, Revisionsfähigkeit, Informationssicherheit, Datenschutz, Arbeitsschutz, Barrierefreiheit und Ergonomie sind beim IT-Einsatz zu beachten. Dazu muss ein internes Kontrollsystem (Vier-Augen-Prinzip mit Funktionstrennung) etabliert sein. Planung und Einsatz von IT und die internen Kontrollen sind vollständig und aktuell zu dokumentieren.
Soweit Akten elektronisch geführt werden, dürfen nur revisionssichere Systeme verwendet werden. Die Vollständigkeit ist auch während der gesetzlichen Aufbewahrungsfrist (Langzeitspeicherung) und ggf. dauerhaft im Rahmen der Archivierung sicherzustellen.
Informationssicherheit
Den Risiken (unberechtigte Kenntnisnahme, unberechtigte Veränderung, Beeinträchtigung oder Verlust der Verfügbarkeit) beim Einsatz der IT ist durch geeignete Maßnahmen Rechnung zu tragen. Die Leitung der Einrichtung hat Maßnahmen des Informationssicherheitsmanagements (ISM) einzuführen, sicherzustellen, zu steuern, zu überwachen und in die organisationsweiten Prozesse zu integrieren.
Es ist ein IT-Sicherheitsbeauftragter außerhalb des operativen IT-Managements zu benennen und ausreichend zu qualifizieren.
Strategische und organisatorische Anforderungen
Jede Gebietskörperschaft hat den Handlungsrahmen des nationalen IT-Planungsrates entsprechend der eigenen Bedürfnisse und Aufgaben zu konkretisieren. Diese IT-Strategie muss dabei u.a. folgende Punkte umfassen:
- Prinzipien und Leitlinien des IT-Einsatzes
- Planung, Steuerung und Kontrolle der IT-Serviceprozesse
- Organisation, Steuerung und Finanzierung des IT-Einsatzes
- Notwendige Umsetzungsressourcen
Dabei ist ein geändertes Nutzerverhalten innerhalb und außerhalb der Verwaltung ebenso zu berücksichtigen wie die Gewinnung hinreichend qualifizierten Personals. Die aus der IT-Strategie abgeleiteten IT-Maßnahmen sind zu benennen, zu priorisieren und mit Kennzahlen zu verbinden. Verantwortlich für IT-Organisation und IT-Management sind die Führungskräfte der Verwaltung. Sie haben die Grundprinzipien für das ISM zu entwickeln und das IT-Controlling (nebst Risikomanagement) sowie die Qualitätssicherung zu gewährleisten.
Die KIV Thüringen GmbH steht Ihnen seit Jahren mit ständig erweiterten Services und Lösungen zur Verfügung um die ständig wachsenden Herausforderungen beim Einsatz der Informationstechnologie zu bewältigen. Sprechen Sie uns an – wir freuen uns auf eine Zusammenarbeit.