Interne Revision. Bericht gemäß 386 SGB III. Konfigurationsmanagement. Revision SGB III

Transkript

1 Revision SGB III Bericht gemäß 386 SGB III Konfigurationsmanagement

2 Inhaltsverzeichnis 1 Zusammenfassung Revisionsergebnisse Qualität der Konfigurationsdatenbank Qualitätsanforderung Qualitätssteuerung Qualitätssicherung Weiterentwicklung der Konfigurationsdatenbank Vorgangsdokumentation ARS-Tool... 4 Anlage 1 Anlage 2 Revisionsumfang und -methode Abkürzungsverzeichnis Konfigurationsmanagement September 2014

3 1 Zusammenfassung In einer zentralen Konfigurationsdatenbank 1 werden den Mitarbeiterinnen und Mitarbeitern des IT-Systemhauses alle relevanten Informationen über die in der Bundesagentur für Arbeit (BA) eingesetzten IT-Komponenten (z. B. Hardund Software) zur Verfügung gestellt. Hierbei werden in der Datenbank nicht nur die einzelnen IT-Komponenten, sondern auch deren Abhängigkeiten untereinander dargestellt. Darüber hinaus werden dort weitere vielfältige Informationen zu den IT-Komponenten (z. B. Verträge, Betriebsanleitungen, Notfallpläne) gesammelt. Neben den IT-Komponenten werden daher auch diese wichtigen Informationen als sogenannte Konfigurationselemente 2 in der Datenbank erfasst und miteinander verknüpft. Die Pflege, Verwaltung und Weiterentwicklung der Datenbank obliegt dem Konfigurationsmanagement 3 im IT-Systemhaus. Ziel des Konfigurationsmanagements ist die Pflege, Identifizierung, Kontrolle und Verifizierung der Informationen über die in der IT-Systemlandschaft der BA vorkommenden Konfigurationselemente. Durch das Konfigurationsmanagement soll insbesondere eine qualitätsgesicherte Daten- und Informationsbasis für die Aufgabenerledigung im IT-Systemhaus sichergestellt werden. Das Wissen um den genauen Aufbau der komplexen IT-Systemlandschaft ist ein wichtiger Erfolgsfaktor für die zuverlässige Erbringung von IT-Services. Insbesondere bei der Beseitigung von Störungen müssen nicht nur die betroffenen IT-Systeme selbst, sondern auch deren Abhängigkeiten zu anderen IT-Systemen umgehend erkannt werden. Dadurch können vorausschauend durch Störungen hervorgerufene Kettenreaktionen und Seiteneffekte in der IT-Systemlandschaft vermieden werden. Überdies sind Änderungen in der IT-Systemlandschaft ohne einen gesicherten aktuellen und vollständigen Überblick über die eingesetzten IT-Komponenten nur beschränkt und mit erheblichem Aufwand möglich. Dadurch kann es zu Fehlplanungen und Fehlinvestitionen kommen. Die Revision sollte aufzeigen, inwieweit durch technische und organisatorische Maßnahmen ein funktionierendes Konfigurationsmanagement gewährleistet ist. Im Rahmen der Revision wurde festgestellt, dass durch die Datenbank des Konfigurationsmanagements grundsätzlich der Informationsbedarf der Mitarbeiterinnen und Mitarbeiter im IT-Systemhaus erfüllt werden kann. Fehlende Verknüpfungen zwischen den betriebswichtigen Konfigurationselementen mindern aber die Nutzbarkeit der Datenbank. Die Qualität der Datenbank sollte daher erhöht werden. Konfigurationsdatenbank Konfigurationsmanagement Risiken Ziel Feststellungen/ Empfehlungen Mit ihren Empfehlungen gibt die Interne Revision Hinweise, wie den festgestellten Risiken wirkungsvoll begegnet werden sollte. 1 Configuration Management Database CMDB 2 Configuration Items CI 3 Das Konfigurationsmanagement orientiert sich an dem international anerkannten Best-Practice- Standard Information Technology Infrastructure Library (ITIL). Konfigurationsmanagement September

4 2 Revisionsergebnisse Eine der Hauptaufgaben des Konfigurationsmanagements im IT-Systemhaus ist die Bereitstellung relevanter und solider Informationen über die in der BA vorhandenen IT-Komponenten, Konfigurationen und Dokumentationen. Darüber hinaus kontrolliert das Konfigurationsmanagement die IT-Infrastruktur, indem es die ermittelten Informationen über die IT-Systemlandschaft überwacht, pflegt und abgleicht. 2.1 Qualität der Konfigurationsdatenbank Qualitätsanforderung Die Informationen über die IT-Systemlandschaft der BA werden vom Konfigurationsmanagement in einer zentralen Konfigurationsdatenbank zur Verfügung gestellt. Um die IT-Systemlandschaft in dieser Datenbank brauchbar abbilden zu können, sollten die IT-Komponenten, Konfigurationen und deren Dokumentationen nicht nur einzeln erfasst, sondern diese sogenannten Konfigurationselemente auch miteinander verknüpft werden. Ein Standardarbeitsplatz in der BA besteht beispielsweise nicht nur aus einem PC, sondern u. a. auch aus einem Monitor, Drucker, Telefon und einer Netzwerkanbindung, die alle einem bestimmten Standort zugeordnet sind. Weitere Konfigurationselemente können Verträge, Betriebsanleitungen, Notfallpläne und andere für den IT-Betrieb notwendige Dokumentationen sein. In der Konfigurationsdatenbank sollten daher alle relevanten und insbesondere die für die IT-Systemlandschaft betriebswichtigen Konfigurationselemente (z. B. Server, IT-Services) miteinander verknüpft sein. In der Revision wurden über fehlende Verknüpfungen 4 zwischen den betriebswichtigen Konfigurationselementen festgestellt. Dies wirkt sich negativ auf die Qualität und somit auf die Nutzbarkeit der Datenbank für die anderen IT-Betriebsprozesse im IT-Systemhaus (z. B. Änderungsmanagement) aus. Derzeit wird mit einem halbautomatisierten Verfahren dem Mangel entgegengewirkt 5. Um die Qualität der Datenbank weiter zu erhöhen und manuelle Pflegeaufwände zu vermeiden, sollen ab April 2015 die Verknüpfungen in der Datenbank automatisiert erstellt und gepflegt werden. Hierfür wurde vom verantwortlichen Servicebereich im IT-Systemhaus eine Änderungsanforderung (RfC) 6 veranlasst. Die Umsetzung der Änderungsanforderung wird durch die Interne Revision nachgehalten Qualitätssteuerung Mit Hilfe von Kennzahlen können Qualitätsdefizite in der Konfigurationsdatenbank gezielt gemessen, überwacht, ausgewertet, bewertet und kontrolliert werden. Sind die definierten Kennzahlen aussagekräftig genug, können von den Prozessverantwortlichen Handlungsbedarfe erkannt, angemessene Maßnahmen ergriffen und damit die Qualität der Datenbank verbessert werden. Die Quote nicht verknüpfter betriebswichtiger Konfigurationselemente weist für die Datenbank einen Zielwert von 20 % auf. Nach Auskunft des IT-Systemhauses ist ein wesentlich niedrigerer Wert oder eine Fehlerfreiheit nicht erreichbar, da nicht alle Konfigurationselemente zu einem bestimmten 4 fehlende Verknüpfungen des Konfigurationselements u. a. vom Typ Software Kategorie Übergabeversion mit den Typen Server sowie Umgebung (jeweils ca ) 5 Im Vergleich zur 14. Kalenderwoche 2014 konnte in der 19. Kalenderwoche des gleichen Jahres die Anzahl nicht verknüpfter betriebswichtiger Konfigurationselemente um fehlende Verknüpfungen gesenkt werden. 6 AFM-RfC : Erstellung einer Schnittstelle für den Datenabgleich mit der SCCM- Datenbank (zentralisierte Datenbank für Hard- und Software) Konfigurationsmanagement September

5 Zeitpunkt 7 systembedingt mit den anderen in der Datenbank verknüpft werden können. Aus Sicht der Internen Revision ist der festgelegte Zielwert für diese Quote dennoch zu großzügig angelegt. Zwischen den Konfigurationselementen dürfen bis zu einem Fünftel der Verknüpfungen fehlen. Damit geht in der Datenbank ein nicht unbeachtlicher Teil bei der Darstellung der bestehenden Abhängigkeiten in der IT-Systemlandschaft der BA verloren. Andere IT-Betriebsprozesse im IT-Systemhaus, die (z. B. im Rahmen der Softwareversorgung oder Kapazitätsplanung) auf einen soliden Datenbestand aus der Konfigurationsdatenbank angewiesen sind, können ggf. ihre Aufgaben dadurch nicht effektiv und/oder effizient durchführen. Es besteht folgender Handlungsbedarf: Der Zielwert für die Quote nicht verknüpfter betriebswichtiger Konfigurationselemente sollte realistisch festgelegt und begründet werden. Hierbei sind die Anforderungen der IT-Betriebsprozesse an die Qualität der Konfigurationsdatenbank zu berücksichtigen. Empfehlung Qualitätssicherung Das Konfigurationsmanagement führt regelmäßig Audits zur Datenqualität der Konfigurationsdatenbank durch. Dabei werden die Inhalte der Datenbank mit den Informationen aus der Hard- und Softwareinventarisierung sowie Ergebnissen der Vor-Ort-Begehungen verglichen und die festgestellten Differenzen bewertet. Grundlage hierfür ist ein Auditkonzept mit einer jährlichen Auditplanung. Die Zielsetzung des Konfigurationsmanagements, mindestens 3 Regelaudits pro Kalendermonat durchzuführen, wurde in den geprüften Monaten September 2013 und März 2014 erfüllt. Die Ergebnisse der durchgeführten Audits werden in ausreichender Form dokumentiert und ausgewertet. Werden bei einem Audit Fehler festgestellt, werden diese an die/den Datenverantwortliche/n weitergeleitet. Zur Nachhaltung der Fehlerbehebung sind sogenannte Kontrollaudits vorgesehen. Diese wurden allerdings bei den von der Internen Revision geprüften Fällen nicht durchgeführt. Dadurch kann nicht durchgängig sichergestellt werden, dass die festgestellten Mängel beseitigt wurden. Die Bereitstellung qualitätsgesicherter bzw. solider Informationen über die IT-Systemlandschaft der BA ist demnach für die anderen IT-Betriebsprozesse des IT-Systemhauses nicht gewährleistet. Für alle Audits, die ab August 2014 beauftragt und durchgeführt werden, sollen bei festgestellten Fehlern verbindlich Kontrollaudits durchgeführt werden. Die Umsetzung der geplanten Änderung wird durch die Interne Revision nachgehalten. 2.2 Weiterentwicklung der Konfigurationsdatenbank Vorgangsdokumentation Änderungen an der Konfigurationsdatenbank erfolgen nach einer standardisierten Checkliste (Vorgangsdokumentation), die alle einzuhaltenden Arbeitsschritte vorgibt. Im Rahmen der Revision wurde festgestellt, dass ein bei Änderungen an der Datenbank erforderlicher Arbeitsschritt 8 nicht durchgängig ausgeführt wurde. Die Prozessabweichung blieb unerkannt, da eine Überwa- 7 z. B. bereits im Inventarsystem der BA erfasste Server, die aber noch nicht im IT-Betrieb produktiv eingesetzt werden 8 Anpassung der Dokumentation zur Datenbank Konfigurationsmanagement September

6 chung der Arbeitsschritte nicht durch den zuständigen Prozessmanager vorgesehen ist. Unkontrollierte und damit möglicherweise unautorisierte Änderungen an der Konfigurationsdatenbank können zu Mehrkosten und -aufwänden, unnötigem Ressourcenverbrauch und Störungen im IT-Betrieb führen. Es besteht folgender Handlungsbedarf: Die Einhaltung des Prozesses zur Umsetzung und Produktivsetzung von Anpassungen an der Konfigurationsdatenbank sollte kontinuierlich durch den Prozessmanager überwacht werden. Empfehlung ARS-Tool Ab Januar 2015 sollen die Arbeitsabläufe des Konfigurationsmanagements in die bereits von anderen IT-Betriebsprozessen des IT-Systemhauses genutzte Software Action Request System (ARS-Tool) implementiert werden. Damit erfolgt zukünftig die Prozesssteuerung des Konfigurationsmanagements automatisiert über ein IT-Verfahren, so dass grundsätzlich Prozessabweichungen entgegengewirkt werden kann. Darüber hinaus wird mit der einhergehenden Protokollierung die Nachvollziehbarkeit von Änderungen an der Konfigurationsdatenbank verbessert. Diese Prüfung wurde in Übereinstimmung mit den Internationalen Standards für die berufliche Praxis der Internen Revision durchgeführt. Konfigurationsmanagement September

7 Revisionsumfang und -methode Anlage 1 Der Vorstand der BA hat die Interne Revision beauftragt, eine Revision zum Thema Konfigurationsmanagement durchzuführen. Gegenstand der Revision war das im IT-Systemhaus nach ITIL implementierte Konfigurationsmanagement mit allen seinen Teilprozessen. Hauptaugenmerk lag hierbei auf der Pflege der CMDB. Ergänzende Interviews sowie Informationsaustausche im Rahmen des Eröffnungs- und Abschlussgesprächs wurden mit den fachlich zuständigen Organisationseinheiten der Zentrale und des IT-Systemhauses durchgeführt: Zentrale ITP 1 Bereich IT-Strategie IT-Systemhaus IB1 Servicebereich Beschaffungsmanagement IB3 SEM1 Servicebereich IMAC/Roll-Out Servicebereich Service und Prozesse Die einschlägigen (Teil-)Prozesse wurden im Rahmen der Prüfungsdurchführung hinsichtlich vorhandener Risiken und erforderlicher Elemente des Internen Kontrollsystems analysiert und die Ausgestaltung der im Zusammenhang mit den (Teil-)Prozessen implementierten Kontrollen hinsichtlich ihrer grundsätzlichen Eignung zur Risikoreduzierung untersucht. Bei der Bewertung der Risiken wurden die Anforderungen aus dem international anerkannten IT-Management- und Kontrollrahmenwerk COBIT 9, Mindestanforderungen der Rechnungshöfe des Bundes und der Länder zum Einsatz der Informations- und Kommunikationstechnik (IuK-Mindestanforderungen) und Empfehlungen des IT-Grundschutzes des Bundesamt für Sicherheit in der Informationstechnik zu Grunde gelegt. Erkenntnisse zur Funktionalität der Kontrollen wurden im Rahmen einer stichprobenhaften Überprüfung der tatsächlichen Umsetzung von risikoreduzierenden Maßnahmen gewonnen. Zur Informationsgewinnung wurden geltende Prozessdokumentationen, aktuelle Handbücher, Hilfs- und Arbeitsmittel, Rollen- und Berechtigtenkonzepte sowie das interne Berichtswesen ausgewertet. Die im Rahmen der zufallsorientierten Auswahl identifizierten CIs wurden einer Sichtung in der CMDB unterzogen. Die allgemeinen IT-Betriebsprozesse wie das Incident-, Problem-, Change- und Release- Management wurden nicht in die Revision mit einbezogen, da diese in der Risikoanalyse gesondert betrachtet und geprüft werden. 9 Control Objectives for Information and Related Technology Konfigurationsmanagement September

8 Zeitraum der Revision: Konfigurationsmanagement September

9 Abkürzungsverzeichnis Anlage 2 ARS BA BSI CI CMDB COBIT IB1 IB3 IT ITP 1 ITIL IuK RfC SCCM SEM1 SGB III Action Request System Bundesagentur für Arbeit Bundesamt für Sicherheit in der Informationstechnik Configuration Item Configuration Management Database Control Objectives for Information and Related Technology Servicebereich Beschaffungsmanagement des IT-Systemhauses Servicebereich IMAC/Roll-Out des IT-Systemhauses Informationstechnologie Bereich IT-Strategie der Zentrale Information Technology Infrastructure Library Informations- und Kommunikationstechnik Request for Change System Center Configuration Manager Servicebereich Service und Prozesse des IT-Systemhauses Sozialgesetzbuch - Drittes Buch - Arbeitsförderung