Implementierung und Betrieb
Bei der Implementierung zählen definierte Übergabeverfahren bei strikter Rollentrennung zwischen Entwicklung und Betrieb. Für den Betrieb ist ein möglichst toolgestütztes Information-Security-Managementsystem zu etablieren und zu betreiben. Aus Sicht der Testumgebung kann dann beispielsweise auf regelmäßige Standverfahren für ein Disaster Recovery verwiesen werden.
Fazit
Die oben aufgeführten Maßnahmen zur Erfüllung der regulatorischen Anforderungen sind zwingend umzusetzen. Empfohlen werden eine ganzheitliche Betrachtung sowie die Implementierung von pragmatischen und praxisbewährten Ansätzen. Anhand der Checkliste (siehe unten) kann verifiziert werden, welche Bausteine noch einzuführen sind. Weiterhin sollte auf Standards wie die BSI-Standards 100-1 bis 100-4, ISO 29119 (Test) oder ITIL gesetzt werden.
Checkliste
Die nachstehende Checkliste (kein Anspruch auf Vollständigkeit), kann verwendet werden, um einen ersten Überblick zu gewinnen, ob und welche Komponenten implementiert sind.
Nr. | Komponente | Nicht erfüllt | Teilweise erfüllt | Vollständig erfüllt |
1. | Ist die Definition von Testszenarien für Requirements obligatorisch? | |||
2. | Werden Änderungen an Rollen und Berechtigungen beschrieben? | |||
2. | ||||
3. | Gibt es (aktuelle) Entwicklungsrichtlinien? | |||
4. | Ist ein integriertes Auftrags- und Transportsystem implementiert? | |||
5. | Sind die Rollen beim Roll-out von Software strikt zwischen Entwicklung und Betrieb getrennt | |||
6. | Werden Code-Reviews durchgeführt? | |||
7. | Gibt es unterstützende Qualitätssicherungs-werkzeuge in der Entwicklung? | |||
8. | Werden Modultests durchgeführt und dokumentiert? | |||
9. | Sind die Testprozesse und die Rollen im Testmanagement beschrieben? | |||
10. | Gibt es im Test eine strikte Rollentrennung zwischen Fachbereich, Entwicklung und Test? | |||
11. | Steht ein integriertes Testmanagement-Werkzeug zur Verfügung? | |||
12. | Werden sensible Daten in Testsystemen geschützt beziehungsweise anonymisiert? | |||
13. | Gibt es ein Verfahren zur Vergabe von User- und Berechtigungen für Testsysteme? | |||
14. | Werden die Testrisiken dokumentiert, bewertet und verfolgt? | |||
15. | Wird die Durchführung von Testfällen priorisiert (Risk-based Testing)? | |||
16. | Wird die Erstellung von Pflicht-Ergebnistypen sowie von obligatorischen Tests systematisch kontrolliert (IKS-Checkliste)? | |||
17. | Gibt es einen definierten Prozess für den Zugriff auf sensible Testdaten? | |||
18. | Ist der Übergabeprozess in die Produktion definiert? | |||
19. | Ist ein Information-Security-Management-System (inklusive Notfall-Konzepte et cetera) etabliert? | |||
20. | Werden Standards wie ITIL, BSI oder DIN ISO Normen eingesetzt? |
(haf)