Softwareprüfung

Prüfaussage: Konformität einer IT-Lösung zu Regelungen und Vorgaben des Anwendungs­umfeldes, so dass dem Anwender seitens der IT-Lösung keine Probleme in der korrekten Ausübung seiner Aufgaben entstehen.

Zertifizierungsinstanz: TÜV Nord Cert GmbH (ehemals Zertifizierungsstelle der TÜV Informationstechnik GmbH)

Geprüft werden können: IT-Lösungen, die in einem fach­spezifischen Anwendungs­gebiet zur Anwendung kommen (z. B. Fach­verfahren für die öffentliche Verwaltung, Internet­lösungen) und bei denen ein wesentlicher Teil der Funktionalität durch Software abgebildet wird.

Prüfinhalte:

Allgemeine Prüfinhalte (Entsprechend OKKSA FÜ.B):

• Erfüllung von Grund­anforderungen im Bereich Daten­sicherheit, Datenschutz und Bedienbarkeit,
• Bearbeitungs­transparenz (in Anlehnung an die Grundsätze ordnungsgemäßer Buchführung),

• klare und anwenderkonforme Dokumentation,
• ordnungsgemäße und sichere Integration neuer Technologien wie internetorientierte Programmnutzung, Browseroberfläche oder Signaturverfahren.

Fachspezifische Prüfinhalte (entsprechend fachspez. Anforderungskatalog, z.B. aus OKKSA):

• fachgerechte Funktionalität der Software entsprechend den Funktionsanforderungen des Fachgebietes (z. B. Finanzwesen),
• grundlegende Anforderungen an IT-Lösungen für den sicheren und transparenten Einsatz insbesondere im Umfeld der öffentlichen Verwaltung.

Besonderheiten des Prüfverfahrens: Durchgängig kriterien­orientierte Programmprüfung (Differenzprüfungen möglich), Abstimmung des Kriterien­kataloges durch ein Fachgremium erforderlich, Anwenderumfrage zu Beginn der Prüfungen vor Ort. Die Prüfungen werden durch bei TÜViT lizenzierte Prüfer durchgeführt.

Prüfergebnis: Prüfbericht mit Nachweis der Erfüllung aller „Muss-Kriterien“ als Ergebnis der Software­prüfung, formale Vergabe des TÜV-Prüfzeichens „Geprüftes Fachprogramm“.

Einsatzbereiche: Der Nachweis "Geprüftes Fachprogramm" spielt dort eine Rolle, wo Programme zur Automatisierung des Finanzen­wesens eingesetzt werden, vor alle im Bereich der kirchlichen und öffentlichen Verwaltung. Das sind neben den Aufgaben des (Kern-)Finanz­wesens (kommunale Doppik/Kameralistik) auch Aufgaben im Bereich Gebühren- und Steuer­erhebung (neben Realsteuern auch Abfall- und Wasser­gebühren), Inventari­sierung und Anlagen­buchführung.

Prüfzeichen:

Weitere Informationen:

Machen Sie Ihre Softwareentwicklung "Fit For Proof"!

Prüfliste "Geprüftes Fachprogramm" bei TÜV Nord Cert

Auswahl von prüfbaren Fachgebieten beim OKKSA e. V.

Überarbeitung der Vorgaben für Rezertifizierungs­prüfungen zum Geprüften Fachprogramm

Auch die beste IT-Lösung kann bei nicht sachgemäßen Einsatz zu rechts­widrigen Anwendungs­situationen führen. Und je komplexer die einge­setzten IT-Lösungen sind, desto höher ist die Gefahr, dass einzelne Aspekte der ordnungs­gemäßen und sicheren Daten­verarbeitung vor Ort übersehen werden. Mit einem systematischen, kriterien­orientierten Verfahren ermittelt TRUSTBIT Probleme des Software­einsatzes in den Fach­abteilungen, deckt Schwächen auf und unterstützt Anwender bei der Organisation des verbindlichen Programm­einsatzes. Schwerpunkt ist dabei die automatisierte Verarbeitung finanz­wirksamer Vorgänge (DV-Buchführung).

Im Prüfbericht zur Anwendungs­prüfung wird zwischen Aspekten der eingesetzten Verfahren und Problemen ihrer Anwendung übersichtlich differenziert. Konkret werden dabei entsprechend dem aktuellen Kriterienkatalog folgende Aspekte geprüft:

• Organisation der Programm­anwendung
• Dokumentation des Programms und seines Einsatzes
• Benutzer­verwaltung und Zugriffschutz
• Bedienung der Programm­funktionen
• Plausibilität und Klarheit der Erfassung von Sach­vorgängen
• Nachvoll­ziehbarkeit und Korrektheit von Berechnungen
• Verbindlichkeit und Kontrollier­barkeit von Finanz­transaktionen
• Speicherung und Verwaltung von Personen­informationen
• Erzeugung von Dokumenten
• Schnittstellen (Technik und Einsatzorganisation)
• Migration der Daten vom Vorgängersystem

Die Anwendungs­prüfung erfolgt getrennt nach Fachbereichen des Programm­einsatzes und wird nach Vorgangs­arten strukturiert. Dabei kommt das bei TRUSTBIT entwickelte Prüf­verfahren "FP.gen" zum Einsatz, welches für beliebige finanzwirksame Programme eingesetzt werden kann. Es baut auf den OKKSA Prüfungen auf, kann aber auch unabhängig davon und für beliebige finanzwirksame Programme eingesetzt werden. Im Jahr 2022 wurde dieses Verfahren um eine systematische Risikowertung ergänzt, die hilft, Schwerpunkte der Prüfung zu identifizieren und so ein effizientes Vorgehen unterstützt.

Im FP.gen Kriterienkatalog ist der Bezug zu den Vorgaben des kommunalen Haushaltsrechts der einzelnen Bundesländer enthalten.

Risikoorientierte IT-Prüfung finanzwirksamer Verfahren

Prüfaussage: Eignung einer IT-Lösung für ein datenschutzgerechtes Arbeiten ihrer Anwender

Zertifizierungsinstanz: Momentan offen (ehemals Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, ULD)

Geprüft werden können: IT-Lösungen, die in ihre Art und Funktionalität als informations­technische Produkte abgrenzbar sind.

Prüfinhalte: Prüfinhalt ist die Betrachtung des IT-Produktes hinsichtlich seiner Unterstützung für die nachfolgenden Datenschutz­aspekte:

• Grundsätzliche technische Ausgestaltung der IT-Produkte,
• Zulässigkeit der Datenverarbeitung,

• technisch-organisatorische Maßnahmen: Begleit­maßnahmen zum Schutze der Betroffenen,
• Rechte der Betroffen.

Besonderheiten des Prüfverfahrens: Das Prüfverfahren setzt auf dem allgemeinem ULD-Datenschutz-Anforderungs­katalog auf, der ausgehend vom Einsatzzweck und -gebiet der Lösung im Verlauf der Programmprüfung konkretisiert wird. Innovation des Programms im Datenschutzbereich wirkt zugunsten des Prüfergebnisses.

Prüfergebnis: Prüfbericht mit Betrachtung der Kriterien des Anforderungsk­ataloges sowie ihrer spezifischen Ausprägung bezogen auf das konkrete Produkt.

Einsatzbereiche:  Datenschutz­prüfungen sind in vielen Software­einsatzbereichen relevant. TRUSTBIT ist insbesondere auf die Prüfung von Programmen und komplexen IT-Lösungen im Einsatz der öffentlichen und kirchlichen Verwaltung sowie im Gesundheitswesen spezialisiert.

Hinweis: Grundsätzlich ist eine Kombination der beiden genannten Prüf­verfahren (Geprüftes Fachprogramm und Datenschutz­prüfung) möglich.

Weitere Informationen:

Machen Sie Ihre Softwareentwicklung "Fit For Proof"!

(veraltet) Prüfliste "Datenschutzgütesiegel" beim Unabhängigen Landeszentrum für Datenschutz (ULD)

(veraltet) Beschreibung der Produktanforderungen für das Datenschutzgütesiegel

Datenschutzprüfungen auch ohne Zertifizierungsoption

Neben den genannten standardi­sierten Verfahren steht TRUSTBIT auch für individuelle Leistungen zur Prüfung und zum Test von IT-Lösungen zur Verfügung.

Grundsätzliche Ziele dieser Verfahren sind z.B.:

• Sicherheit bei Beschaffung und Einsatz eines IT-Produktes seitens aktueller oder potentieller Anwender,
• Schaffung externer Prüf- und Test­situationen im Kontext der Qualitäts­sicherung von IT-Projekten,
• systematische Aufbereitung des Anwender­bedarfs als Abnahme­grundlage einer IT-Lösung.

Diese Leistungen werden nach den TRUSTBIT-Maßgaben durchgeführt, dass heißt:

inhaltlich

• grundlegende Anforderungen an IT-Lösungen für den sicheren und trans­parenten Einsatz insbesondere im Umfeld der öffentlichen Verwaltung (beschrieben u. a. in dem wesentlich durch Herrn Dr. Schwochert mitgeprägten fachüber­greifenden IT-Anforderungs­katalog OKKSA FÜ.B),
• Vorgaben aus Sicht des jeweiligen Einsatz­gebietes, die in öffentlichen Initiativen und Standards festgehalten sind,
• individuelle Projektvorgaben, die z. B. in Form von Pflichten­heften aufbereitet sind.

verfahrenstechnisch

• kriterienorientierte Softwareprüfung,
• Transparenz und Nachvoll­ziehbarkeit bei Anforderungs­erhebung und Prüf­dokumentation,
• Anwender­orientierung.

Programm­abnahme und Anwendungs­prüfung bilden die Grundlage für die nach Haushalts­verordnung vorgeschriebene Freigabe finanz­wirksamer Verfahren in öffentlichen Verwaltungen.