Unter Sicherheitsaspekten sind folgende Anforderungsbereiche zu beruecksichtigen:

1. Software-Anforderungen der Anwender an das Outsourcing- Unternehmen.

Frage: Wie sind die konkreten Anwenderanforderungen an das Outsourcing-Unternehmen definiert fuer die Bereiche

- Programmierung (unter anderem Transparenz, Wartungsfreundlichkeit, Standardisierung und Dokumentation),

- Qualitaetssicherung in allen Entwicklungsphasen,

- Verarbeitungssicherheit gemaess Sensitivitaet der Anwendungssysteme sowie

- Sicherheits-Management?

2. Hardware-Anforderungen der Anwender an das Outsourcing- Unternehmen.

Frage: Wie sind die konkreten Anwenderanforderungen an das Outsourcing-Unternehmen definiert fuer die Bereiche

- Verfuegbarkeit gemaess Sensitivitaet der Anwendungssysteme sowie

- Kapazitaets-Management?

3. Netzanforderungen der Anwender an das Outsourcing-Unternehmen.

Frage: Wie sind die konkreten Anwenderanforderungen definiert fuer die Bereiche

- Netz- und Kapazitaets-Management

- Netzsicherheit?

4. Anforderungen an die Qualitaetskontrolle fuer die Informationsverarbeitung

Frage: Wie soll die Qualitaetskontrolle gegenueber dem Outsourcing- Unternehmen wahrgenommen werden?

5. Anforderungen an die laufende Tageskommunikation zwischen Anwender und Outsourcing-Unternehmen.

Frage: Wie soll die haeufig im eigenen Unternehmen praktizierte

schnelle Kommunikation der kurzen Dienstwege zwischen Fachanwender und Programmierung durch die Outsourcing-Kommunikation erfuellt beziehungsweise ersetzt werden?

6. Kosten-Nutzen-Uebersicht, die im Outsourcing-Fall auch die im Unternehmen verbleibenden Kosten

- fuer Gewinnung und Verwertung von Informationen,

- fuer die Koordinierung der im Unternehmen verbleibenden IV- Aktivitaeten und der Kommunikation zum Outsourcer sowie

- fuer Qualitaets- und Sicherheitskontrolle beruecksichtigt.

Frage: Stimmt die urspruengliche Outsourcing-Rechnung mit den aktuellen Realitaeten ueberein unter Beruecksichtigung der oben erwaehnten Kosten?

7. Anforderungen an die Ueberpruefbarkeit der Outsourcing-Leistung.

Frage: Wie wird sichergestellt, dass das Outsourcing-Unternehmen zum Beispiel die geforderten Sicherheitsstufen gemaess der unternehmensspezifischen Sensitivitaet der Anwendungen einhaelt?

Da Outsourcing-Unternehmen nicht nur fuer einen Kunden arbeiten, kommt dieser Frage eine hohe Bedeutung zu. Risikoklasse-1- Anwendungen erfordern strengere Sicherheitsvorkehrungen als jene der Risikoklasse 2. Da die Risikoklassen-Einstufung unternehmensspezifisch ist, muss der Outsourcer fuer unterschiedliche Kunden unterschiedliche Sicherheitsstufen zur Verfuegung stellen.

Diese Checkliste ist der Fachzeitschrift KES entnommen (4/1993), die bei der Secumedia Verlags GmbH, Ingelheim, erscheint. Aufgestellt wurde sie von Eckard Weese und Guenter Lessing, Geschaeftsfuehrer der Dr. Weese und Partner GmbH, Gesellschaft fuer Risikoberatung, Koeln.