FI-TS-Glossar. Finanz Informatik Technologie Service. Version: 3.0

Transkript

1 Finanz Informatik Technologie Service FI-TS-Glossar Version: 3.0 Im Glossar aufgeführte Definitionen bzw. Erläuterungen stellen in keinem Fall eine Garantie oder Garantieerklärung im Sinne der 443, 444, 639 BGB dar.

2 Index A Abgestimmte Ausfallzeiten 4 Abrufauftrag 4 Account 4 Addendum 4 Antrittszeit 4 Antwortzeit 4 Antwortzeit (online Transaktionen) 4 Anwendung/Anwendungsprogramm 4 Application Management/Applikationsbetrieb 4 Applikation 4 ARS Action Request System 4 Auftrag Einmalleistung 4 Auftrag für Betriebsleistungen 5 Auftraggeber 5 Auftragnehmer 5 Ausfallzeit 5 Authentisierung 5 Authentizität 5 Autorisierung 5 B Bankfeiertag 5 Bearbeitungszeit/-dauer 5 Bedrohung (engl. Threat) 5 Benachrichtigung 5 Benutzerkennung 6 Betreuung 6 Betriebsauftrag 6 Betriebsnahe Software 6 Betriebssicherungsmaßnahmen 6 Betriebszeit 6 Biometrie 6 Business Continuity Management (BCM) 6 C Change Advisory Board (CAB) 6 Changemeeting 6 Change-Request (CR) 6 D Datenschutz 6 Datensicherheit 7 Datenverarbeitung im Auftrag 7 Datenverlustzeit 7 E Eskalation 7 Exclude 7 F First Level Support (FLS) 7 G Geschäftstag 7 I Incident 7 Incident Management Prozess 7 Include 7 Informationssicherheit 7 Informationssicherheitsmanagementsystem ISMS 7 Informationstechnik (IT) 8 Integrität 8 ITSCM (IT Service Continuity Management) 8 IT-Sicherheit 8 K Katastrophenfall (K-Fall) 8 M Middleware 8 P Performance 8 Personenbezogene Daten 8 Problem 8 Q Qualitätsmanagementsystem QMS 8 R Reaktionszeit 8 Request for Change (RfC) 8 Risiko 9 Risikoanalyse 9 Rufbereitschaft 9 S Schwachstelle (engl. vulnerability) 9 Version: 3.0 Finanz Informatik Technologie Service 2/11

3 Second Level Support (SLS) 9 Service 9 Service Desk 9 Service Level 9 Service Level Agreement (SLA) 9 Service Request 9 Servicezeit 10 SITB (Sicherer IT-Betrieb) 10 SIZ 10 Starke Authentisierung 10 Störung 10 Supportstufen 10 Systemumgebung 10 T TARGET-Feiertage 10 TARGET-Tage 10 Third Level Support 10 V Verfügbarkeit 11 Vertraulichkeit 11 Vor Ort (onsite) 11 W Wartung 11 Wartungsfenster 11 Weisung 11 Wiederanlaufzeit 11 Wiederherstellungszeit 11 Z Zugang 11 Zugriff 11 Zutritt 11 Version: 3.0 Finanz Informatik Technologie Service 3/11

4 Abgestimmte Ausfallzeiten Sind bedarfsweise zur Behebung akuter Problemsituationen ungeplante Wartungszeiten, die mit dem Auftraggeber abgestimmt sind. Abrufauftrag Ist ein in einem vom Auftraggeber angenommenen Angebot spezifizierter kostenpflichtiger Auftrag, der vom Auftraggeber bei Bedarf abgerufen werden kann. Account Siehe Benutzerkennung Addendum Bezeichnet Fehlendes, Nachzutragendes oder Anzuhängendes. Antrittszeit Definiert den Zeitraum von der Meldung eines Ereignisses bis zum Eintreffen der angeforderten Person an der Einsatzstelle. Antwortzeit Definiert die Zeit, die zwischen einer eingegangenen Anfrage und einer darauf folgenden Reaktion mit einem ersten Ergebnis folgt. Antwortzeit (online Transaktionen) Definiert die Zeitspanne zwischen einer Anfrage bzw. dem Absenden einer Nachricht und dem vollständigen Empfang der dazugehörigen Antwort bzw. eine darauf folgende Reaktion mit einem ersten Ergebnis. Anwendung/Anwendungsprogramm Ist ein Computerprogramm, das eine für den Anwender nützliche Funktion ausführt, z. B. Buchhaltung, Informationssysteme, Computer Aided Design, Bildbearbeitung, Textverarbeitung oder Tabellenkalkulation. Application Management/Applikationsbetrieb Beinhaltet Leistungen und Tätigkeiten in Zusammenhang mit dem Regelbetrieb der Applikation im Status quo. Applikation Siehe Anwendung ARS Action Request System Ist das Workflow-Tool des Auftragnehmers, das primär zur Erfassung und Bearbeitung von Incidents, Problemen, Change Requests und Betriebsaufträgen genutzt wird. Auftrag Einmalleistung Wird nach tatsächlichem Aufwand oder als Festpreis fakturiert. Dies ist abhängig von der Regelung im Einzelvertrag. Zu jedem Auftrag für Einmalleistungen, der nach tatsächlichem Aufwand fakturiert wird, gibt es ein gesondertes Kontierungsobjekt (PSP-Element) auf welchem die Aufwände kontiert werden. Version: 3.0 Finanz Informatik Technologie Service 4/11

5 Auftrag für Betriebsleistungen Ist der Auftragstyp für die laufend zu erbringenden Leistungen. Sie sind entweder mit vertraglich fixierten Mengen abgeschlossen, die in jeder Periode während der Laufzeit fakturiert werden oder mit variablen Mengen. Es wird jeweils die zurückgemeldete Menge je Periode fakturiert Auftraggeber Kunde Auftragnehmer Finanz Informatik Technologie Service (FI-TS) Ausfallzeit Definiert die Zeitspanne vom Ausfall bis zur Wiederherstellung der Betriebsfunktionalität. Authentisierung Definiert den Nachweis eines Kommunikationspartners, dass er tatsächlich derjenige ist, der er vorgibt zu sein. Dies kann unter anderem durch Passwort-Eingabe, Chipkarte oder Biometrie erfolgen. Authentizität Definiert, dass ein Kommunikationspartner tatsächlich derjenige ist, der er vorgibt zu sein. Bei authentischen Informationen ist sichergestellt, dass sie von der angegebenen Quelle erstellt wurden. Der Begriff wird nicht nur verwendet, wenn die Identität von Personen geprüft wird, sondern auch bei IT-Systemen oder Anwendungen. Autorisierung Ist die Überprüfung, ob eine Person, ein IT-System oder eine Anwendung zur Durchführung einer bestimmten Aktion berechtigt ist. Bankfeiertag Sind Tage, an denen Banken geschlossen haben, obgleich es sich um TARGET-Tage handelt, siehe TARGET-Tage. In Deutschland sind Bankfeiertage Heiligabend (24. Dezember) und Silvester (31. Dezember). Bearbeitungszeit/-dauer Ist die Zeit, die der Auftragnehmer für die Bearbeitung einer Störung bzw. von Betriebsaufträgen innerhalb der Servicezeit benötigt. Sie beginnt jeweils mit dem Eingang der Störung oder des Betriebsauftrags beim Auftragnehmer. Bedrohung (engl. Threat) Definiert einen Umstand oder ein Ereignis, durch den oder das ein Schaden entstehen kann. Der Schaden bezieht sich dabei auf einen konkreten Wert wie Vermögen, Wissen, Gegenstände oder Gesundheit. Übertragen in die Welt der Informationstechnik ist eine Bedrohung ein Umstand oder Ereignis, der oder das die Verfügbarkeit, Integrität oder Vertraulichkeit von Informationen beeinträchtigen kann, wodurch dem Besitzer bzw. Benutzer der Informationen ein Schaden entstehen kann. Beispiele für Bedrohungen sind höhere Gewalt, menschliche Fehlhandlungen, technisches Versagen oder vorsätzliche Handlungen. Trifft eine Bedrohung auf eine Schwachstelle (insbesondere technische oder organisatorische Mängel), so entsteht ein Risiko. Benachrichtigung Ist die Nachricht per: persönlichem Telefongespräch, , Brief oder ARS-Ticket je nach Angemessenheit und Vereinbarung. Version: 3.0 Finanz Informatik Technologie Service 5/11

6 Benutzerkennung Ist der Name, mit dem sich der Benutzer einem IT-System gegenüber identifiziert. Dies kann der tatsächliche Name sein, ein Pseudonym, eine Abkürzung oder eine Kombination aus Buchstaben und/oder Ziffern. Die Benutzerkennung ist eindeutig. Betreuung Regelt die Bearbeitung von Störungen, die vom Auftraggeber entweder direkt über ein Trouble-Ticket oder durch Anruf beim First-Level-Support gemeldet werden. Betriebsauftrag Stellt einen Auftrag des Auftraggebers an den Auftragnehmer im Rahmen bestehender Verträge dar. Er ist klar definiert und betrifft die Erledigung einer produktionsunkritischen Tätigkeit. Betriebsaufträge werden über das vom Auftragnehmer bereitgestellte Tool abgewickelt. Die bearbeitende Organisationseinheit auf Seiten des Auftragnehmers führt dann eine Betriebstätigkeit durch. Betriebsnahe Software Siehe Middleware Betriebssicherungsmaßnahmen Sind technische Vorkehrungen, um die Betriebssicherheit (Verfügbarkeit der Systemumgebung durch Implementierung von Redundanzen (z. B. Raid, Load Balancing, Cluster, Standby) zu erhöhen. Betriebszeit Ist die Zeit, in der das System dem Auftraggeber für fachliche Kundennutzung, Datensicherung bzw. Wartung zur Verfügung steht. Biometrie Ist die automatisierte Erkennung von Personen anhand ihrer körperlichen Merkmale. Diese kann genutzt werden, um Benutzer auf Grundlage besonderer Merkmale eindeutig zu authentisieren. Eine oder mehrere der folgenden biometrischen Merkmale können beispielsweise für eine Authentisierung verwendet werden: Iris, Fingerabdruck, Gesichtsproportionen, Stimme und Sprachverhalten, Handschrift, Tippverhalten am Rechner. Business Continuity Management (BCM) Beschreibt organisatorische, technische und personelle Maßnahmen, die zur Fortführung des Kerngeschäfts eines Unternehmens nach Eintritt eines Notfalls bzw. eines Sicherheitsvorfalls dienen. Weiterhin unterstützt BCM die sukzessive Fortführung der Geschäftsprozesse bei länger anhaltenden Ausfällen oder Störungen. Change Advisory Board (CAB) Ist das zentrale Gremium des Change Management Prozesses, das Change Requests genehmigt. Changemeeting Ist das Meeting des Change Advisory Board beim Auftragnehmer. Change Request (CR) Bedeutet Änderungsauftrag. Datenschutz Bezeichnet den Schutz personenbezogener Daten vor etwaigem Missbrauch durch Dritte nach Bundesdatenschutzgesetz, BDSG (nicht zu verwechseln mit Datensicherheit). Version: 3.0 Finanz Informatik Technologie Service 6/11

7 Datensicherheit Bezeichnet den Schutz von Daten hinsichtlich gegebener Anforderungen an deren Vertraulichkeit, Verfügbarkeit und Integrität. Ein modernerer Begriff dafür ist "IT-Sicherheit". Datenverarbeitung im Auftrag Ist die Speicherung, Veränderung, Übermittlung, Sperrung oder Löschung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers. Datenverlustzeit Definiert den Zeitraum zwischen Eintritt eines Systemsausfalls, der einen Datenverlust verursacht und der jüngsten funktionierenden Datensicherung des Systems. Eskalation Beschreibt eine Aktivität, bei der zusätzliche Ressourcen eingeholt werden, wenn diese erforderlich sind, um den Erwartungen des Auftraggebers gerecht zu werden. Es sind zwei Eskalationstypen definiert: funktionale Eskalation und hierarchische Eskalation. Exclude Bezeichnet Dateien, Laufwerke, die u. A. bei der Datensicherung NICHT berücksichtigt werden. First Level Support (FLS) Ist der Ansprechpartner für den Auftraggeber rund um die Uhr; die erste Ebene in einer Hierarchie von Support-Gruppen, die an der Lösung von Incidents beteiligt sind. Mit jeder Ebene sind mehr Know-how und Fertigkeiten von Experten vorhanden bzw. mehr Zeit oder andere Ressourcen verfügbar. Geschäftstag Ist definiert als: Montag-Freitag mit Ausnahme der bundeseinheitlich geregelten gesetzlichen Feiertage und der Bankfeiertage. Incident Bezeichnet ein Ereignis, das nicht zum standardmäßigen Betrieb eines Services gehört und das tatsächlich oder potentiell eine Unterbrechung oder Minderung der Servicequalität verursacht. Incident Management Prozess Beschreibt den Prozess für die Betreuung des Auftraggebers beim Auftreten von Störungen. Hierbei stehen die schnelle Wiederherstellung der Services im Focus sowie die Unterstützung bei der Einhaltung der mit dem Auftraggeber getroffenen Service Level Agreements. Include Bezeichnet Dateien, Laufwerke, die u. A. bei der Datensicherung berücksichtigt werden. Informationssicherheit Beschreibt die Aufrechterhaltung der Vertraulichkeit Integrität und Verfügbarkeit von Informationen. Informationssicherheit dient dem Schutz vor Gefahren bzw. Bedrohungen, der Vermeidung von Schäden und der Minimierung von Risiken. Informationssicherheitsmanagementsystem ISMS Bezeichnet die IT-Sicherheit gemäß ISO/IEC 27001:2005. Version: 3.0 Finanz Informatik Technologie Service 7/11

8 Informationstechnik (IT) Umfasst alle technischen Mittel, die der Verarbeitung oder Übertragung von Informationen dienen. Zur Verarbeitung von Informationen gehören Erhebung, Erfassung, Nutzung, Speicherung, Übermittlung, programmgesteuerte Verarbeitung, interne Darstellung und die Ausgabe von Informationen. Integrität Bezeichnet die Sicherstellung der Korrektheit (Unversehrtheit) von Informationen und der korrekten Funktionsweise von Systemen. Intergrität drückt aus, dass die Informationen vollständig und unverändert sind. Sie umfasst Datensicherheit (Schutz vor Verlust) und Fälschungssicherheit (Schutz vor vorsätzlicher Veränderung). ITSCM (IT Service Continuity Management) Ist für die Verwaltung von Risiken verantwortlich, die zu schwerwiegenden Auswirkungen auf IT-Services führen können. Das ITSCM stellt sicher, dass der IT-Service Provider stets ein Mindestmaß an vereinbarten Service Levels bereitstellen kann, indem die Risiken auf ein akzeptables Maß reduziert werden und eine Wiederherstellungsplanung für IT-Services erfolgt. Das ITSCM sollte so konzipiert sein, dass es das Business Continuity Management unterstützt. IT-Sicherheit Siehe Informationssicherheit Katastrophenfall (K-Fall) Bezeichnet Vorfälle, deren Auswirkungen durch Business Continuity Management (BCM) oder IT Service Continuity Management (IT-SCM) behandelt werden. Middleware Sind anwendungsneutrale Programme, die so zwischen Anwendungen vermitteln, dass die Komplexität dieser Applikationen und ihrer Infrastruktur verborgen wird. Man kann Middleware auch als eine Verteilungsplattform, d.h. als ein Protokoll (oder Protokollbündel) auf einer höheren Schicht als der der gewöhnlichen Rechnerkommunikation auffassen. Performance Ist ein Maß dafür, was von einem System, einer Person, einem Team, einem Prozess oder einem IT-Service erreicht oder bereitgestellt wird. Personenbezogene Daten Sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Problem Ist die unbekannte Ursache, die einer oder mehreren Störungen zugrunde liegt. Qualitätsmanagementsystem QMS Bezeichnet das Qualitätsmanagementsystem QMS gemäß DIN EN ISO 9001:2008. Reaktionszeit Definiert den Zeitraum zwischen dem Eingang einer Meldung und dem Beginn der Bearbeitung. Request for Change (RfC) Ist ein Änderungsantrag. Version: 3.0 Finanz Informatik Technologie Service 8/11

9 Risiko Ist die häufig auf Berechnungen beruhende Vorhersage eines möglichen Schadens im negativen Fall (Gefahr) oder eines möglichen Nutzens im positiven Fall (Chance). Was als Schaden oder Nutzen aufgefasst wird, hängt von Wertvorstellungen ab. Risiko wird auch definiert als die Kombination aus der Wahrscheinlichkeit, mit der ein Schaden auftritt, und dem Ausmaß dieses Schadens. Risikoanalyse Untersucht, welche schädigenden Ereignisse eintreten können, wie wahrscheinlich das Eintreten eines schädigenden Ereignisses ist und welche negativen Folgen der Schaden hätte. Rufbereitschaft Definiert den Zeitraum, in dem Mitarbeiter des Auftragnehmers zu betrieblichen Themen angesprochen werden können. Der/die Mitarbeiter müssen nicht vor Ort sein, jedoch die adressierten Themen bearbeiten können. Schwachstelle (engl. vulnerability) Ist ein sicherheitsrelevanter Fehler eines IT-Systems oder einer Organisation. Ursachen können in der Konzeption, den verwendeten Algorithmen, der Implementation, der Konfiguration, dem Betrieb sowie der Organisation liegen. Eine Schwachstelle kann dazu führen, dass eine Bedrohung wirksam wird und eine Organisation oder ein System geschädigt wird. Durch eine Schwachstelle wird ein Objekt (eine Organisation oder ein System) anfällig für Bedrohungen. Second Level Support (SLS) Definiert die fachlich verantwortliche Organisationseinheit des Auftragnehmers, die eine vom FLS weitergeleitete Störung bearbeitet. Der SLS hat die Aufgabe, im Bedarfsfall weitere, auch externe Spezialisten heranzuziehen. Service Sind alle Leistungen und Dienste, die vom Auftragnehmer für die Systemumgebung erbracht werden. Service Desk Ist der Single Point of Contact (SPOC) für alle betrieblichen Anfragen des Auftraggebers. Beim Auftragnehmer werden die Leistungen des Service Desk durch das Operation Control Center (OCC)erbracht. Service Level Beschreibt Messkriterien für die Überprüfung/Bewertung von Services. Service Level Agreement (SLA) Ist eine vertragliche Vereinbarung, die den Umfang der im Rahmen des Einzelvertrages geschuldeten Leistung konkretisiert. Im Besonderen werden hier die Service Level (z. B. Verfügbarkeit) festgelegt. Diese bilden die Grundlage für die Überwachung und das Service Level Reporting. Service Request Ist eine Anfrage eines Kunden/Anwenders zur Unterstützung, Serviceerweiterung, Lieferung, zum Rat oder Dokumentation. Version: 3.0 Finanz Informatik Technologie Service 9/11

10 Servicezeit Definiert den Service Level, der die Zeit beschreibt, in der Services (z. B. Behebung von Störungen, Beratung, User-Administration, etc.) von Mitarbeitern des Auftragnehmers in deren eigenen Betriebsstätten oder remote durchgeführt werden. SZ = Servicezeit = bediente Betriebszeit Sicherheitsmaßnahme Sind alle Aktionen, die dazu dienen, Sicherheitsrisiken zu steuern und diesen entgegenzuwirken. Dies umfasst organisatorische, personelle, technische oder infrastrukturelle Sicherheitsmaßnahmen. SITB (Sicherer IT-Betrieb) Ist das SIZ-Rahmenwerk (Sparkassen Informatik Zentrum) zur Informationssicherheit. Es kommt vor allem im Finanzdienstleistungssektor zur Anwendung. SIZ Ist das Sparkassen Informatik Zentrum Dienstleister (GmbH) für den Sicheren IT-Betrieb. SIZ gibt IT- und Sicherheitsstandards innerhalb der Finanzwirtschaft vor. Starke Authentisierung Bezeichnet die Kombination von zwei Authentisierungstechniken, wie Passwort plus Transaktionsnummern (Einmalpasswörter) oder plus Chipkarte. Daher wird dies auch häufig als Zwei-Faktor-Authentisierung bezeichnet. Störung Siehe Incident Supportstufen Sind wie folgt definiert (funktionale Eskalation) FLS = First Level Support SLS = Second Level Support TLS = Third Level Support Systemumgebung Setzt sich zusammen aus der Systemarchitektur inklusive Betriebsystemen, Applikation und systemnaher Software. TARGET-Feiertage Sind alle Montage bis einschließlich Freitage, an denen das TARGET-System (Trans-European Automated Real-time Gross Settlement Express Transfer System) geschlossen ist (engl. TARGET closing days). Dies sind seit 2002 bis auf Weiteres folgende Tage: Neujahrstag (1. Januar), Karfreitag, Ostermontag, Maifeiertag (1.Mai), erster Weihnachtstag (25. Dezember) und zweiter Weihnachtstag (26. Dezember). Siehe auch TARGET-Tage. TARGET-Tage Sind alle Montage bis einschließlich Freitage, an denen das TARGET-System (Trans-European Automated Real-time Gross Settlement Express Transfer System) geöffnet ist (engl. TARGET day). Siehe auch TARGET-Feiertage. Third Level Support (TLS) Beschreibt eine weitere Supportstufe, die vom SLS zur Störungs-/Problembehebung herangezogen werden kann. Version: 3.0 Finanz Informatik Technologie Service 10/11

11 Verfügbarkeit Definiert den Service Level der den Grad (Prozentwert) beschreibt, in dem der Service bereit stehen soll. Vertraulichkeit Ist der Schutz vor unbefugter Preisgabe von Informationen. Vertrauliche Daten und Informationen dürfen ausschließlich Befugten in der zulässigen Weise zugänglich sein. Vor Ort (onsite) Bedeutet, dass sich Mitarbeiter an den Betriebsstätten vom Auftragnehmer befinden. Wartung Definiert geplante Arbeiten zur Pflege und Instandhaltung von Hardware- bzw. Softwarekomponenten. Wartungsfenster Ist die vereinbarte Zeit für geplante Arbeiten an Hardware- bzw. Softwarekomponenten. Diese Zeit ist für die Aufrechterhaltung eines geordneten Betriebes nötig. Während der Wartungsfenster können die Services und der uneingeschränkte Betrieb nicht gewährleistet werden bzw. ist kein Betrieb möglich. Wartungsfenster können periodisch und/oder von Fall zu Fall in Abstimmung mit dem Auftraggeber festgelegt werden. Der Auftragnehmer hat beim Festsetzen des Wartungstermins innerhalb des Wartungsfensters freie Wahl. Weisung Ist die auf einen bestimmten datenschutzmäßigen Umgang (z. B. Anonymisierung, Sperrung, Löschung, Herausgabe) des Auftragnehmers mit personenbezogenen Daten gerichtete schriftliche Anordnung des Auftraggebers. Die Weisungen werden anfänglich durch den Hauptvertrag festgelegt und können vom Auftraggeber danach in schriftlicher Form durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Wiederanlaufzeit Definiert den Zeitraum zwischen Entdeckung eines Systemausfalls und der Wiederherstellung der vollen Funktionalität der Systemumgebung. Wiederherstellungszeit Setzt sich aus Reaktions- und Bearbeitungszeit zusammen. Zugang Bezeichnet die Nutzung von IT-Systemen, System-Komponenten und Netzen. Zugangsberechtigungen erlauben somit einer Person, bestimmte Ressourcen wie IT-Systeme bzw. System-Komponenten und Netze zu nutzen. Zugriff Bezeichnet die Nutzung von Informationen bzw. Daten. Über Zugriffsberechtigungen wird geregelt, welche Personen im Rahmen ihrer Funktionen oder welche IT-Anwendungen bevollmächtigt sind, Informationen, Daten oder auch IT-Anwendungen, zu nutzen oder Transaktionen auszuführen. Zutritt Bezeichnet das Betreten von abgegrenzten Bereichen wie z. B. Räumen oder geschützten Arealen in einem Gelände. Zutrittsberechtigungen erlauben somit Personen, bestimmte Umgebungen zu betreten, beispielsweise ein Gelände, ein Gebäude oder definierte Räume eines Gebäudes. Version: 3.0 Finanz Informatik Technologie Service 11/11