Unter Sicherheitsaspekten sind folgende Anforderungsbereiche zu beruecksichtigen:
1. Software-Anforderungen der Anwender an das Outsourcing- Unternehmen.
Frage: Wie sind die konkreten Anwenderanforderungen an das Outsourcing-Unternehmen definiert fuer die Bereiche
- Programmierung (unter anderem Transparenz, Wartungsfreundlichkeit, Standardisierung und Dokumentation),
- Qualitaetssicherung in allen Entwicklungsphasen,
- Verarbeitungssicherheit gemaess Sensitivitaet der Anwendungssysteme sowie
- Sicherheits-Management?
2. Hardware-Anforderungen der Anwender an das Outsourcing- Unternehmen.
Frage: Wie sind die konkreten Anwenderanforderungen an das Outsourcing-Unternehmen definiert fuer die Bereiche
- Verfuegbarkeit gemaess Sensitivitaet der Anwendungssysteme sowie
- Kapazitaets-Management?
3. Netzanforderungen der Anwender an das Outsourcing-Unternehmen.
Frage: Wie sind die konkreten Anwenderanforderungen definiert fuer die Bereiche
- Netz- und Kapazitaets-Management
- Netzsicherheit?
4. Anforderungen an die Qualitaetskontrolle fuer die Informationsverarbeitung
Frage: Wie soll die Qualitaetskontrolle gegenueber dem Outsourcing- Unternehmen wahrgenommen werden?
5. Anforderungen an die laufende Tageskommunikation zwischen Anwender und Outsourcing-Unternehmen.
Frage: Wie soll die haeufig im eigenen Unternehmen praktizierte
schnelle Kommunikation der kurzen Dienstwege zwischen Fachanwender und Programmierung durch die Outsourcing-Kommunikation erfuellt beziehungsweise ersetzt werden?
6. Kosten-Nutzen-Uebersicht, die im Outsourcing-Fall auch die im Unternehmen verbleibenden Kosten
- fuer Gewinnung und Verwertung von Informationen,
- fuer die Koordinierung der im Unternehmen verbleibenden IV- Aktivitaeten und der Kommunikation zum Outsourcer sowie
- fuer Qualitaets- und Sicherheitskontrolle beruecksichtigt.
Frage: Stimmt die urspruengliche Outsourcing-Rechnung mit den aktuellen Realitaeten ueberein unter Beruecksichtigung der oben erwaehnten Kosten?
7. Anforderungen an die Ueberpruefbarkeit der Outsourcing-Leistung.
Frage: Wie wird sichergestellt, dass das Outsourcing-Unternehmen zum Beispiel die geforderten Sicherheitsstufen gemaess der unternehmensspezifischen Sensitivitaet der Anwendungen einhaelt?
Da Outsourcing-Unternehmen nicht nur fuer einen Kunden arbeiten, kommt dieser Frage eine hohe Bedeutung zu. Risikoklasse-1- Anwendungen erfordern strengere Sicherheitsvorkehrungen als jene der Risikoklasse 2. Da die Risikoklassen-Einstufung unternehmensspezifisch ist, muss der Outsourcer fuer unterschiedliche Kunden unterschiedliche Sicherheitsstufen zur Verfuegung stellen.
Diese Checkliste ist der Fachzeitschrift KES entnommen (4/1993), die bei der Secumedia Verlags GmbH, Ingelheim, erscheint. Aufgestellt wurde sie von Eckard Weese und Guenter Lessing, Geschaeftsfuehrer der Dr. Weese und Partner GmbH, Gesellschaft fuer Risikoberatung, Koeln.