Evangelische Kirche im Rheinland

Transkript

1 Evangelische Kirche im Rheinland IT-Strategie Hinweis: Das Kollegium des Landeskirchenamtes der EKiR hat am folgendem Beschlussantrag zugestimmt: Die Kirchenleitung möge beschließen: Die Vorlage "IT-Strategie der Evangelischen Kirche im Rheinland" wird dem Ständigen Ausschuss für Kirchenordnung und Rechtsfragen, dem Ständigen Innerkirchlichen Ausschuss und dem Ständigen Finanzausschuss zur Beratung überwiesen. In der Beschlussbegründung wird erläutert: Dieses Dokument ist als wichtiges Master-Dokument anzusehen und für die weitere Prozessentwicklung unentbehrlich. Es dient insbesondere als wichtige Arbeitsgrundlage für die Entwicklung des IT-Rahmenkonzeptes, eines IT-Gesetzes und der daraus zu entwickelnden Organisation. (vgl. Beschluss Nr. 46 LS 2014).

2 Seite 2 Inhaltsverzeichnis Präambel 3 Organisatorische und technische Maßnahmen 4 Präferenz von Standardanwendungen...4 Einheitlichkeit...4 Synergie...4 Datenschutz und Sicherheit...4 Vorläufigkeit und Zukunftsfähigkeit...4 Open-Source und Nachhaltigkeit...5 Arbeitsmittel...5 Benutzerfreundlichkeit und Gebrauchstauglichkeit...5 Verantwortung und Kostenübernahme...5 Identitäts-Management...6 IT-Sicherheit...6 Open-Source...7 Open-Data...7 Webanwendungen...7 Qualitätssicherung und Verantwortlichkeiten...8 IT-Fachpersonal/Personalentwicklung...8 Dokumenten-Management- und Archivierungssystem...8

3 Seite 3 Präambel Von Kirchenordnungen, von Menschen gemacht, lehrt man diejenigen zu halten, die ohne Sünde gehalten werden können und zu Frieden und guter Ordnung in der Kirche dienen. (CA XV: Von Kirchenordnungen) Die christliche Kirche ist die Gemeinde von Brüdern, in der Jesus Christus in Wort und Sakrament durch den Heiligen Geist als der Herr gegenwärtig handelt. Sie hat mit ihrem Glauben wie mit ihrem Gehorsam, mit ihrer Botschaft wie mit ihrer Ordnung mitten in der Welt der Sünde als die Kirche der begnadigten Sünder zu bezeugen, dass sie allein sein Eigentum ist, allein von seinem Trost und von seiner Weisung in Erwartung seiner Erscheinung lebt und leben möchte. Wir verwerfen die falsche Lehre, als dürfe die Kirche die Gestalt ihrer Botschaft und ihrer Ordnung ihrem Belieben oder dem Wechsel der jeweils herrschenden weltanschaulichen und politischen Überzeugungen überlassen. (Barmen III) Eine IT-Strategie als eine Ordnung der Kirche dient dazu, den Verkündigungsauftrag der Kirche zu unterstützen. Sie ist eine menschliche Ordnung, die der presbyterial-synodalen Ordnung der EKiR Rechnung trägt und selbst soweit es geht den Auftrag der Kirche widerspiegelt. Da der Einsatz von IT der Verwirklichung des Auftrages der Kirche dient und kein Selbstzweck ist, unterliegt der Einsatz von IT der Wirtschaftlichkeit, damit die Kirche als gute Haushälterin der ihr anvertrauten Gaben diese soweit wie möglich für Verkündigung, Seelsorge, Diakonie und das Eintreten für Frieden, Gerechtigkeit und Bewahrung der Schöpfung einsetzen kann. Der Anspruch an die IT, der von den Bedarfsträgerinnen und Bedarfsträgern gefordert wird, muss daher zur Leistungsfähigkeit der IT in einem angemessenen Verhältnis stehen. Alle anzustrebenden organisatorischen und technischen Maßnahmen sollen sicherstellen, dass die IT-Kosten auf Ebene der Landeskirche, Kirchenkreise und Gemeinden dauerhaft und nachhaltig gesteuert und getragen werden können dass diese den Anforderungen an einen sicheren, zuverlässigen, rechtskonformen, bedarfsgerechten und wirtschaftlichen IT-Betrieb gerecht werden dass auf der Basis der rechtlichen Grundlagen die technischen Lösungen und strukturellen Veränderungen ineinander greifen.

4 Seite 4 Or ganisatorische und technische Maßnahmen Präferenz von Standardanwendungen IT-Anforderungen sollen durch Standardanwendungen, die ggf. angepasst werden, abgedeckt werden. Proprietäre Software und Infrastruktur kommen nur zum Einsatz, wenn Standardlösungen nicht die notwendigen Anforderungen erfüllen können. In der Regel begründen nur spezielle kirchliche Anforderungen die Notwendigkeit von Eigenentwicklungen. Einheitlichkeit Eine IT-Infrastruktur trägt der presbyterial-synodalen Ordnung der EKiR Rechnung; dies bedeutet, es können sowohl dezentrale und verteilte als auch zentrale Anwendungen zum Einsatz kommen. Einheitlichkeit ist anzustreben; falls verschiedene unterschiedliche Anwendungen und Infrastruktur-Lösungen zur Anwendung kommen, ist deren Vorteil zu begründen. Wenn verschiedene Anwendungen und Lösungen zum Einsatz kommen, ist auf datenschutzkonforme Schnittstellen zu achten. Synergie Anwendungen, Kompetenzen und Erfahrungen, die in einem Bereich der EKiR entwickelt bzw. erworben wurden, werden innerhalb der EKiR geteilt. Dazu dient auch die Entwicklung von Referenzlösungen und das Angebot von Rahmenverträgen (z.b. mit Dienstleistern). Datenschutz und Sicherheit In Abwägung der Werte der zu schützenden Informationen, der Risiken sowie des Aufwandes an Personal und Finanzmitteln für Informationssicherheit soll für eingesetzte und geplante IT- Systeme ein angemessenes Informationssicherheitsniveau angestrebt und erreicht werden. Für den IT-Einsatz sind die Sicherheitsziele Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität im jeweils erforderlichen Maße zu erreichen. Bleiben im Einzelfall trotz Sicherheitsvorkehrungen Risiken untragbar, ist an dieser Stelle auf den IT-System-Einsatz zu verzichten. Datenschutz und IT-Sicherheit werden nicht nur durch technische Maßnahmen befördert, auch die entsprechende Verhaltensweisen der Mitarbeitenden sind wichtige Maßnahmen für Datenschutz und IT-Sicherheit. Alle Mitarbeitenden gewährleisten die Informationssicherheit und den Datenschutz durch ihr verantwortliches Handeln und halten die relevanten Gesetzte, Vorschriften, Richtlinien, Anweisungen und vertraglichen Verpflichtungen ein. Vorläufigkeit und Zukunftsfähigkeit Informationstechnologie ändert sich stetig, daher ist bei Entscheidungen für Anwendungen und Aufbau von Infrastruktur darauf zu achten, dass sie nicht für eine unbegrenzte Zeit gelten, sondern regelmäßig überprüft werden müssen. Außerdem ist darauf zu achten, dass zukünftiger Fortschritt nicht behindert wird. Die Durchführung von Pilotanwendungen ist hilfreich, bevor IT-Lösungen auf mehreren Ebenen eingeführt werden.

5 Seite 5 Open-Source und Nachhaltigkeit Open-Source-Lösungen sind zu präferieren, offener Quelltext ermöglicht im Zweifelsfalle, nachvollziehen zu können, wie die Software funktioniert. In der EKiR erarbeitete Lösungen kommen wiederum der Allgemeinheit zu Gute (Apg 20,35). Bei Beschaffungsmaßnahmen sind Ziele der Nachhaltigkeit und des gerechten Wirtschaftens zu bedenken und in die Abwägung zur Wirtschaftlichkeit einzubeziehen. Arbeitsmittel Zur Erledigung von IT-Aufgaben werden Mitarbeitenden grundsätzlich die entsprechenden Arbeitsmittel zur Verfügung gestellt. Wenn gewünscht und technisch sowie rechtlich möglich, können Mitarbeitende eigene Geräte einsetzen, sofern dies Arbeitsabläufe vereinfacht und die Einhaltung der notwendigen Datenschutz- und IT-Sicherheitsmaßnahmen gewährleistet werden kann. Benutzerfreundlichkeit und Gebrauchstauglichkeit Bei der Auswahl von IT-Anwendungen ist darauf zu achten, dass diese von den Anwenderinnen und Anwendern einfach und angemessen bedient werden können. Insbesondere sind IT-Lösungen darauf ausgerichtet, dass gesetzeskonformes Verhalten unterstützt wird. Barrierefreiheit ist nach Möglichkeit immer zu gewährleisten. Verantwortung und Kostenübernahme Bei Fachanwendungen sind Verantwortlichkeiten in Bezug auf fachliche und technische Verfahrensinhaberinnen und inhaber zu benennen. Die Kostenverteilung soll zukünftig verursachungsgerecht erfolgen.

6 Seite 6 Strategische Grundentscheidungen und IT-Architektur Identitäts-Management Aufbau eines einheitlichen, zentralen Identitätsmanagement zur Verwaltung von Identitäten, den zugeordneten Zugriffsrechten und den zugeordneten digitalen Zertifikaten (s. Verschlüsselungslösung) IT-Sicherheit Organisatorischer und technischer Aufbau eines einheitlichen, zentralen Identitäts-Management und Anbindung aller zentralen IT-Verfahren Organisatorischer und technischer Aufbau einer client-unabhängigen (auf Standardprotokollen basierenden) Verschlüsselungslösung Organisatorischer und technischer Aufbau eines einheitlichen, zentralen elektronischen Adressbuches/Verzeichnisdienstes Erstellung einer Informationssicherheitsleitlinie für die EKiR Inhaltlicher und organisatorischer Aufbau einer IT-Sicherheits-Organisation Aufnahme und Bündelung aller heutigen IT-Sicherheits-Prozesse Inhaltlicher und organisatorischer Aufbau eines Information-Sicherheits- Management- Systems Etablierung eines einheitlichen Mindestsicherheitsniveaus mit den Zielen: Unterstützung bei der Erfüllung der aus datenschutzrechtlichen und sonstigen gesetzlichen Vorgaben resultierenden Anforderungen an die Sicherheit der Informationsverarbeitung Effiziente und effektive IT-Unterstützung der Geschäftsprozesse in Kirchenkreisen, Kirchengemeinden und sonstigen Einrichtungen Nachhaltige Verfügbarkeit der IT-Systeme Sicherung der in IT-Systemen getätigten Investitionen Absicherung der zentralen IT-Verfahren gegen Manipulation, unberechtigten Zugriffen und Verlust Reduzierung der im Fall eines IT-Sicherheitsvorfalls entstehenden Kosten und Aufwendungen zur Schadensbehebung. Wahrung besonderer Dienst- oder Amtsgeheimnisse

7 Seite 7 Open-Source Open-Source Software ist Software, die von jedem frei genutzt, angepasst, geteilt und weitergegeben werden darf Für die Anwenderseite (Betriebssystem und Standardanwendungen) und für die RZ- Infrastruktur (z.b. Mailserver, Datenbanken) soll zukünftig (bis 2020) vorrangig Open- Source-Software eingesetzt werden, sofern nicht im Einzelfall wichtige Gründe dagegen stehen Die Anforderung der Durchführung einer Eignungsprüfung (Umfang, Funktionalität, Kosten) bleibt auch bei Open-Source bestehen Das Wissen über den Betrieb und die Nutzung freier Software soll nachhaltig aufgebaut werden und gesamtkirchlich dauerhaft zu Verfügung gestellt werden. Dies kann u.a. über moderierte Foren, der Erstellung von Klick-Anleitungen und Vorlagen sowie der Durchführung von Schulungen, Bereitstellungen von Modulen für Open Source Software und Unterstützung der Open-Source-Gemeinschaft (Community) erfolgen. Für Formulare und Makros sollen zukünftig Lösungen angestrebt werden, die eine höhere Unabhängigkeit vom Betriebssystem und/oder dem Office-Produkt ermöglichen Open-Data Die EKiR unterstützt grundsätzlich die Idee, dass öffentliche Informationen frei verfügbar, nutzbar und weiterverwendbar sein sollten, dies gilt auch für kircheneigene Datenbestände. Zunächst ist jedoch zu prüfen, was die Bewegungen von Open Content, Open Access (Zugang zu wissenschaftlicher Forschung) und Open Educational Ressources (freie Bildungsinhalte) für den Umgang mit Daten in der EkiR bedeuten. Kircheneigene Datenbestände, die nicht (oder nicht mehr) einem besonderen Schutz unterliegen, sollen im Interesse der Allgemeinheit ohne Einschränkung zur freien Nutzung und zur Weiterverbreitung zugänglich gemacht werden (z.b. Lehrmaterial, Statistiken, theologische und wissenschaftliche Publikationen). Um einen offenen und barrierefreien Datenaustausch zu ermöglichen, sollen zukünftig das Open Document Format (ODF) sowie offene-standards (XML) verwendet werden. Webanwendungen Vorhandene und zukünftige IT-Verfahren sollen nur noch als Webanwendungen betrieben, entwickelt bzw. ausgeschrieben werden. Alle vorhandenen, zentralen IT- Verfahren (z.b. Mewis, Mach) sollen bis 2020 mit einem vollwertigen, webbasierten Client (z.b. als Web-App) oder mit den gängigen Webbrowser uneingeschränkt nutzbar sein. Ziel ist die Eröffnung einer breiten, möglichst plattform- und architektur- und endgeräteunabhängigen Nutzungsmöglichkeit.

8 Seite 8 Da eine leistungsfähige Internetanbindung auf dem Gebiet der EkiR nicht flächig gegeben scheint, sind auch die Nutzungsmöglichkeiten bei Offline-Szenarien zu beachten. Qualitätssicherung und Verantwortlichkeiten Die EKiR etabliert für bestehende oder geplante IT-Verfahren eine organisatorische Zuordnung nach RACI-Matrix, um zu beschreiben, welche Rolle für welche Aktivitäten verantwortlich ist und welche Rollen zu beteiligen sind. Ziel ist eine klare Beschreibung von Verantwortlichkeiten und Zuständigkeiten. RACI-Matrix: Responsible Accountable Consulted Informed Durchführungsverantwortung (u.a. Auftrag, diszipl. Verantwortung) Kostenverantwortung (rechtliche, kaufmännische Verantwortung) Fachverantwortung (Verantwortung aus fachlicher Sicht) Informationsrecht (u.a. Information über den Verlauf, Auskunftsrecht) Über Prozesse der Qualitätssicherung sollen bestehende und zukünftige zentrale IT- Verfahren kontinuierlich verbessert werden, sofern Kosten und Nutzen in einem sinnvollen Verhältnis stehen. IT-Fachpersonal/Personalentwicklung Zwischen demographischem Wandel auf der einen und der personeller Auszehrung des Fachpersonals im kirchlichen Dienstes auf der anderen Seite gilt es, die IT im kirchlichen Dienst zukunftsfest zu machen - nur mit kompetenten und engagierten Mitarbeitenden ist Informationstechnologie leistungsfähig und innovativ. Um IT-Fachpersonal auch in Zeiten gewinnen zu können, in denen das Angebot hochqualifizierter und motivierter Menschen knapp ist, muss der kirchliche Dienst attraktive Arbeits- und Einkommensbedingungen bieten. Er muss im Wettbewerb mit der Privatwirtschaft um die besten Köpfe mithalten können. Dokumenten-Management- und Archivierungssystem Der Aufbau eines öffentlichen, zentralen Dokumenten-Auskunfts- und Archivierungssystems (s. Open-Data-Konzept) ist in Abstimmung mit den entsprechenden Fachabteilungen anzustreben, und zwar für alle elektronischen Dokumente, die auf Dauer zu verwahren, zu sichern und zu erhalten sind (z.b. Protokolle, Kirchbücher, Lagerbücher) für alle elektronischen Dokumente, die für die kirchliche und weltliche Öffentlichkeit eine hohe gesellschaftliche oder historische Relevanz haben. Für die zentralen IT-Verfahren ist eine Versionierung (sofern zulässig) und Archivierung

9 Seite 9 von Datensätzen anzustreben.