BRH.2 Abgleich der BRH-Forderungen und der Regelungen des V-Modells




		BRH.2 Abgleich der BRH-Forderungen und der Regelungen des V-Modells

FAO.2 Matching FAO Requirements and the Regulations of the V-Model

Im folgenden werden die BRH-Forderungen mit den Regelungen des V-Modells abgeglichen.

Nr. Kapitel BRH Bemerkungen
1 1.4.1 Die Planung und der Einsatz der IT sind zu dokumentieren. Die Dokumentation erstreckt sich auf:
die Gesamtplanung für den Einsatz der IT

die Durchführung von IT-Vorhaben

den Betrieb von IT-Verfahren
Die Gesamtplanung für den Einsatz der IT wird größtenteils durch das IT-Rahmenkonzept abgedeckt. Das V-Modell liefert nur für einzelne IT-Vorhaben Beiträge zum Gesamtplan (vgl. (6)). Die Dokumentation der Durchführung von IT-Vorhaben erfolgt durch die Produkte des V-Modells. Die Dokumentation des Betriebs von IT-Verfahren erfolgt im V-Modell durch die Produkte Informationen zum Betriebshandbuch und Sonstige Einsatzinformationen.
2 1.4.2 Die IT-Dokumentation muß vollständig sein und ist möglichst überschneidungsfrei zu gestalten. Die Dokumentation muß zeitnah, verständlich und richtig sein und den Nachweis aller Änderungen enthalten. Dies stellt eine grundsätzliche Forderung nach einem Vorgehensmodell dar.
Das V-Modell gibt einerseits eine vollständige und überschneidungsfreie Dokumentation vor, erlaubt andererseits jedoch auch durch das Tailoring eine flexible Festlegung des angemessenen Umfangs der erforderlichen Dokumentation. Die Forderung nach Vollständigkeit der IT-Dokumentation hebt die Bedeutung des Tailoring-Verfahrens hervor.
3 1.4.3 Die Erstellung, Pflege und Speicherung der Dokumentation soll aus Gründen der Wirtschaftlichkeit möglichst maschinell unterstützt werden. Es ist sicherzustellen, daß die Dokumentation nur durch hierzu berechtigtes Personal geändert werden kann. Kapitel 1.4.3 stellt eine Forderung nach einem Konfigurationsmanagement dar. Dies wird durch das Submodell KM des V-Modells abgedeckt. Die entsprechenden Regelungen zum Konfigurationsmanagement finden sich im KM-Plan und können hier individuell auf die jeweiligen Organisationsstruktur abgebildet werden.

4 1.4.4 llen an der Durchführung von IT-Vorhaben und am Betrieb von IT-Verfahren beteiligten Stellen und Mitarbeitern müssen die für die Arbeitserledigung benötigten Teile der Dokumentation nach dem letzten Stand als Mehrausfertigung zur Verfügung stehen. Diese Forderung ist vorhabensspezifisch durch organisatorische Regelungen zu erfüllen. Zur Erreichung von aktuellen Dokumentenversionen ist eine funktionierende Konfigurationsverwaltung (Submodell KM) erforderlich.
5 1.4.5 Die Einzelheiten der Gestaltung, der Erstellung und des Inhalts sowie der Verteilung und der Aufbewahrung der Dokumentation sind - gegebenenfalls im Rahmen geltender Vorschriften - im einzelnen schriftlich zu regeln. Erstellung und Inhalt der Dokumentation sind durch das V-Modell geregelt (Aktivitäten-, Produktbeschreibungen). Einzelheiten bezüglich der Gestaltung der Dokumentation (z. B. Dokumentationsstandard) sind im Projekthandbuch zu regeln.
Die Verteilung der Dokumentation wird im Projekthandbuch in den Kapiteln 7.3 Externe Schnittstellen und 7.4 Berichtswesen geregel.
Einzelheiten bezüglich der Aufbewahrung der Dokumentation werden im KM-Plan in den Kapiteln 2.1 Produktbibliothek und 4 Sicherung und Archivierung festgelegt.
6 2 Der Einsatz der IT ist auf der Grundlage einer Gesamtplanung vorzunehmen. Der Gesamtplan soll je nach Planungs- und Entwicklungsstand ausweisen:

Organisation, bestehende IT-Verfahren und technische Einrichtungen sowie eingesetztes IT-Fachpersonal,

allgemeine Darstellung und absehbare Entwicklung der Aufgaben, die mit Hilfe der IT erledigt werden sollen,

Berührungspunkte und Überschneidungen zwischen diesen und mit anderen Aufgaben und Aufgabenfeldern,

Ziele des geplanten IT-Einsatzes,

geplante und in der Durchführung befindliche IT-Vorhaben einschließlich ihrer Prioritäten sowie ihrer organisatorischen und personellen Auswirkungen,

Zeitbedarf für die Realisierung der IT-Vorhaben,

Einführungsstrategien und Schulungsmaßnahmen,

Planungen und Maßnahmen für die Sicherheit beim Einsatz der IT,

Aussagen zur Wirtschaftlichkeit,

Bedarf an Haushaltsmitteln.

Bei der Gesamtplanung sind Normen, Standards und geltende Festlegungen zu beachten. Die Gesamtplanung muß regelmäßig überprüft und fortgeschrieben werden.
Durch die Gesamtplanung und eine zweckmäßige Koordinierung ist insbesondere sicherzustellen, daß

die mehrfache Entwicklung von IT-Verfahren für gleichartige Aufgaben unterbleibt,

einheitliche Verfahren angewendet und Verbundlösungen angestrebt und

die Ressourcen im IT-Bereich wirtschaftlich genutzt werden.

Das V-Modell bezieht sich immer nur auf ein einzelnes IT-Vorhaben. Für ein einzelnes IT-Vorhaben liefert das V-Modell Beiträge zu den folgenden Punkten des Gesamtplans:

Organisation/eingesetztes IT-Fachpersonal (Projekthandbuch)

Ziele des geplanten IT-Einsatzes (Projekthandbuch)

Zeitbedarf für die Realisierung der IT-Vorhaben (Projektplan)

Projektübergreifende Forderungen werden durch das IT-Rahmenkonzept erfüllt.
7 3.1.1 IT-Vorhaben beinhalten die Konzeption, die Entwicklung, die Einführung und wesentliche Änderungen von IT. Diese Aussage deckt sich mit der Zielsetzung und Anwendung des V-Modells.
8 3.1.2 Die Grundsätze zur Gewährleistung einer einheitlichen und systematischen Vorgehensweise bei der Durchführung von IT-Vorhaben, einschließlich der Bildung sachgerechter Abschnitte mit entsprechenden Teilzielen, sind schriftlich zu regeln. Dabei sind eine zweckmäßige Vorhabenssteuerung und -überwachung vorzusehen sowie Festlegungen über den Einsatz standardisierter Arbeitstechniken (Methoden und Werkzeuge) zu treffen. Obige Forderungen stellen eine grundsätzliche Forderung nach dem Einsatz eines Vorgehensmodells dar. Die Forderung nach einer Vorhabenssteuerung und -überwachung wird speziell durch das Submodell Projektmanagement erfüllt. Der Einsatz standardisierter Arbeitstechniken ist im Rahmen der Hausstandards im IT-Rahmenkonzept zu regeln. Festlegungen über den projektspezifischen Einsatz standardisierter Arbeitstechniken (Methoden und Werkzeuge) werden im Projekthandbuch dokumentiert.
9 3.2.1 Bei Beginn eines IT-Vorhabens sind die Zuständigkeiten und die Vorgehensweise festzulegen. Soweit mehrere Stellen zuständig sind, sind Beteiligung und Verantwortung im einzelnen zu regeln. Die Festlegung der Zuständigkeiten und der Vorgehensweise erfolgt im Projekthandbuch. Die Festlegung der zeitlichen Zusammenhänge erfolgt im Projektplan. KM- und QS-spezifische Festlegungen werden darüberhinaus auch noch im KM-Plan bzw. im QS-Plan dokumentiert.
Das Zusammenwirken mit mehreren Auftragnehmern wird im Handbuch UMF - Einordnung des V-Modells in sein Umfeld in dem Abschnitt Verwendungsformen des V-Modells erläutert. Getroffene Regelungen werden in einem oder gegebenenfalls mehreren Projekthandbüchern dokumentiert.
10 3.2.2 Grundlage für ein IT-Vorhaben ist der IT-Gesamtplan. Ein IT-Vorhaben soll grundsätzlich umfassen:
Vor- und Hauptuntersuchung und

Ausführung des Vorhabens.
Obige Forderung wird durch ein Phasenmodell erfüllt (z. B. Phasenmodell nach BVB [zukünftig EVB], AU 220).
11 3.3.1 Vor der Ausführung eines IT-Vorhabens sind grundsätzlich eine Vor- und eine Hauptuntersuchung durchzuführen. Obige Forderung wird durch ein Phasenmodell erfüllt (z. B. Phasenmodell nach BVB [zukünftig EVB], AU 220).
12 3.3.2 Zweck der Voruntersuchung ist es, überschlägig festzustellen, ob und durch welche Lösungsvarianten der Einsatz von IT zur Erfüllung einer Aufgabe fachlich und technisch durchführbar, zweckmäßig und wirtschaftlich ist. Auf dieser Grundlage ist zu entscheiden, ob und für welche Lösungsvarianten eine Hauptuntersuchung gerechtfertigt ist. Diese Forderung wird durch die Aktivitäten SE1.7 - Forderungscontrolling durchführen und SE2.3 - Realisierbarkeit untersuchen erfüllt.
13 3.3.3 Zweck der Hauptuntersuchung ist es, aufbauend auf den Ergebnissen der Voruntersuchung, ins Einzelne gehende Untersuchungen durchzuführen. Obige Forderung wird durch ein Phasenmodell erfüllt (z. B. Phasenmodell nach BVB [zukünftig EVB], AU 220)..
14 3.3.4 Vor- und Hauptuntersuchungsbericht sollen in entsprechend grober bzw. detaillierter Form insbesondere enthalten:

Bezeichnung des Vorhabens, Bearbeiter oder Arbeitsgruppe,

Zielsetzung, Inhalt und Umfang des Vorhabens,

Ist-Analyse mit einer Beschreibung und Bewertung der gegenwärtigen Aufbau- und Ablauforganisation aus technischer und organisatorischer Sicht,

Darstellung der Gestaltungsalternativen unter Berücksichtigung des Einsatzes vorhandener Verfahren oder Verfahrensteile sowie von Standard- oder Fremdsoftware und mögliche Übernahme von Datenbeständen,

Soll-Vorschlag mit einem Entwurf der neuen Aufbau- und Ablauforganisation, zu beachtender oder zu ändernder Vorschriften, Beschreibung des system-technischen Konzepts und der Anforderungen an die Hardware-Konfiguration und die System- und Anwendersoftware, Entwurf der Datenbasis (u. a. Datenorganisation, Mengengerüst), des Datenflusses und der Informationsbeziehungen,

Darlegung der aus einer Risikoanalyse abgeleiteten Maßnahmen zur Gewährleistung von Ordnungsmäßigkeit und Sicherheit des Verfahrens,

Zeit-, Personal- und Sachmittelbedarf für die Durchführung des Vorhabens einschließlich der Schulungsmaßnahmen, der räumlichen Ausstattung, etwaiger baulicher Maßnahmen und für den Verfahrensbetrieb,

Wirtschaftlichkeitsuntersuchung sowie in geeigneten Fällen eine Nutzen-Kosten-Untersuchung.
Beiträge zu diesen Berichten liefern insbesondere die Aktivitäten SE1 - System-Anforderungsanalyse, SE2 - System-Entwurf, PM1 - Projektinitialisierung, PM4 - Feinplanung und PM5 - Kosten-/Nutzenanalyse.
15 3.3.5 Vor- und Hauptuntersuchung können - soweit dies sachlich gerechtfertigt ist - unter Darlegung der Gründe zusammengefaßt werden. Diese Aussage stellt keine Forderung dar.
16 3.3.6 Die Ergebnisse der Vor- und der Hauptuntersuchung sind jeweils in einem Bericht zu dokumentieren. Die Berichte enden mit einem Entscheidungsvorschlag. Die Entscheidung ist schriftlich festzuhalten. Obige Forderung wird durch ein Phasenmodell erfüllt (z. B. Phasenmodell nach BVB [zukünftig EVB], AU 220).
17 3.4.1.1 Aufgrund des Ergebnisses der Hauptuntersuchung ist über die Ausführung eines IT-Vorhabens zu entscheiden. Die Ausführung umfaßt insbesondere:
Beschaffung von Hard- und Software, (Regelung hierzu in Aktivität PM2 - Vergabe/Beschaffung.)
Vergabe von Entwicklungsaufträgen und/oder Verfahrensentwicklung einschließlich Programmierung, (Regelung hierzu in Aktivität PM2 - Vergabe/Beschaffung.
Bei Beteiligung von externen Auftragnehmern an Entwicklungsteilen finden sich weitere Regelungen im QS-Plan in dem Kapitel 5.2 "Kontrolle von Unterauftragnehmern". Bei vollständiger Vergabe wird das Projekthandbuch zum Vertragsgegenstand.)
Test und Freigabe sowie (Vereinbarungen hierzu werden im QS-Plan in den Kapiteln 4 Entwicklungsbegleitende Qualitätssicherung und 5.3 Ausgangskontrolle der Softwarebausteine festgelegt.)
Einführung des Verfahrens (Regelung hierzu in Aktivität SE9 - Überleitung in die Nutzung.)
18 3.4.1.2 Die Einzelheiten der Ausführung eines IT-Vorhabens sind jeweils zu dokumentieren. Die gesamte Dokumentation der Ausführung eines IT-Vorhabens wird durch das V-Modell geregelt. Die Information, welche Dokumente für ein bestimmtes Verfahren relevant sind, befindet sich im Projekthandbuch.
19 3.4.2 Beschaffung von Hard- und Software
Bei der Hardware ist unter dem Gesichtspunkt der Wirtschaftlichkeit die günstigste Gerätekonfiguration und Beschaffungsart (Kauf, Miete, Leasing) auszuwählen. Das System aus Hard- und Software soll ausreichend dimensioniert und erweiterbar sein. Die Abhängigkeit von einzelnen Herstellern ist soweit wie möglich zu vermeiden. Die Bestandteile des Systems aus Hard- und Software sollen untereinander und mit bereits vorhandenen Komponenten und Verfahren verträglich (kompatibel) sein.
Obige Forderungen sind durch Aktivität PM2 - Vergabe/Beschaffung und das Szenario Einsatz von Fertigprodukten im Handbuch Szenarien abgedeckt.
20 3.4.3 Vergabe von Entwicklungsaufträgen
Externe Stellen sollen nur dann eingesetzt werden, soweit eigene Mitarbeiter für die ordnungsgemäße Erfüllung des Vorhabens nicht zur Verfügung stehen oder die Einschaltung aus besonderen Gründen geboten ist. Werden IT-Vorhaben, insbesondere die Entwicklung von Software, an externe Stellen vergeben, so ist grundsätzlich die Beachtung dieser Mindestanforderungen sicherzustellen. Die Abwicklung solcher Vorhaben ist entsprechend zu überwachen.
Obige Forderungen betreffen nicht den Regelungsgehalt des V-Modells. Sie sind bei der Bearbeitung der Aktivitäten PM1.5 - Grobplan erstellen und PM4 - Feinplanung jedoch zu berücksichtigen.
Des weiteren beziehen sich obige Forderungen auf die im Handbuch "UMF" gemachten Aussagen zu den Verwendungsformen des V-Modells (Vertragsgrundlage, Arbeitsanleitung). Die Verwendungsform "Vertragsgrundlage" dient der Steuerung und Überwachung von IT-Vorhaben, die durch externe Stellen realisiert werden. Dadurch, daß das "getailorte" V-Modell zur Vertragsgrundlage gemacht wird, können die Vorgehensweise und der Lieferumfang sehr präzise geregelt werden. Damit wird auch den Mindestanforderungen Rechnung getragen.
21 3.4.4.1 Es sind Regelungen zur Erstellung von Programmen und zur Verwendung von Programmiersprachen zu treffen, die der Vereinfachung, Vereinheitlichung und Standardisierung des Programmierens und der Programme dienen. Die Anwendung des V-Modells dient der Standardisierung der Softwareentwicklung. Weitergehende Regelungen wie z. B. die Festlegung der Programmiersprache, der Methoden usw. sind im Rahmen der Hausstandards im IT-Rahmenkonzept und projektspezifisch im Projekthandbuch festzulegen. Obige Forderung ist somit bei der Erstellung eines Projekthandbuchs zu berücksichtigen.
22 3.4.4.2 Programme sollen im Hinblick auf Ordnungsmäßigkeit, Sicherheit und Wirtschaftlichkeit der Entwicklung, der Pflege und des Betriebs aus eigenständig änder- und testbaren Programmbestandteilen mit definierten Berührungspunkten (Schnittstellen) aufgebaut werden. Die Programme sind nach den Vorgaben so zu entwickeln, daß sie von einem anderen Programmierer fortgeführt werden können. Obige Forderung wird durch Anwendung des V-Modells erfüllt, das der Standardisierung der Vorgehensweise dient. Dadurch wird eine Unabhängigkeit von den Eigenheiten von Einzelpersonen erreicht und eventuelle Einarbeitung anderer Personen erleichtert.
23 3.4.4.3 Der Benutzerfreundlichkeit der IT ist besondere Beachtung zu schenken. Es sind Festlegungen, insbesondere für:

das Aufbauschema von Bildschirmmasken,

die allgemeingültigen Funktionstasten und Kommandos,

die Meldungen für die Benutzer und das Betriebspersonal,

die Fehlerbehandlung,

die Hilfefunktion und

das Aufbauschema von Druckausgaben
zu beachten oder zu treffen. Die geforderten Festlegungen sind im Rahmen der Bearbeitung der Aktivitäten des V-Modells (Submodell SE) vorzunehmen. Die geforderten Eigenschaften sind in den Anwenderforderungen und den Technischen Anforderungen im einzelnen festzuhalten.
24 3.4.4.4 Die Verfahrensdokumentation muß alle Verfahrensfunktionen, insbesondere die der Programme, nachvollziehbar belegen. Zur Verfahrensdokumentation gehören u. a.:

Auftrag und Aufgabenstellung,

Kennziffern-, Schlüssel-, Symbol- und Abkürzungsverzeichnisse,

Beschreibung der Dateien und ggf. der Datenbanken bis zur Tiefe der Datenfeldebene mit Angaben zum Aufbau sowie Beschreibung von Maßnahmen zum Schutz und zur Archivierung der Daten,

Verzeichnis der Programme bzw. der Programmteile in ihren jeweils gültigen Versionen,

eine Darstellung aller programmierten und organisierten Kontrollen,

Darstellung des Programmablaufs und des Datenflusses ggf. Auflistung der Primärprogramme mit Programmübersetzung,

Beschreibung der Bildschirmmasken, Listen und Formulare,

Darstellung der Einbindung in das technische Umfeld und der technischen Berührungspunkte zu anderen Verfahren und Beschreibung der Überleitung in andere technische Umgebungen,

Dienst-, Arbeits- und Bedienungsanweisungen sowie Änderungsaufträge und -nachweise.
Die geforderte Verfahrensdokumentation entspricht den gemäß V-Modell zu erstellenden Produkten.
25 3.4.5.1 IT-Verfahren sind vor ihrer Freigabe für den Betrieb, bei komplexen Verfahren auch schrittweise während der Erstellung der Programme, in allen Funktionen zu testen. Dabei ist den Berührungspunkten zu anderen Verfahren und der späteren organisatorischen Einbindung in den Betrieb besondere Beachtung zu schenken. Mit Hilfe der Tests muß insbesondere auch sichergestellt werden, daß jedes Programm nur die erforderlichen, in Vorgaben festzulegenden Funktionen erfüllt und keine unerwünschten Nebenwirkungen beinhaltet. Tests müssen unter Berücksichtigung aller Hard- und Software-Komponenten so durchgeführt werden, daß der Verfahrensbetrieb nicht beeinträchtigt wird. Obige Forderungen werden durch das Submodell Qualitätssicherung des V-Modells erfüllt. Das V-Modell ist jedoch methodenfrei und spricht somit nicht von der Methode "Test", sondern von "inhaltlicher Prüfung".
Die Regelungen des V-Modells gehen bezüglich der Qualitätssicherung weit über die IT-Mindestanforderungen hinaus. So betreffen obige Forderungen nur die Qualitätssicherung von Programmen, während das V-Modell auch eine Qualitätssicherung der gesamten Dokumentation eines Vorhabens, also z. B. auch der Anforderungsdokumente, vorsieht.
26 3.4.5.2 Tests müssen aufgrund von Testfällen mit im voraus festgelegten Eingaben und erwarteten Ausgaben durchgeführt werden. Die Ergebnisse des abschließenden Tests sind unter gebotener Beteiligung des Bereichs Datenverarbeitung von den am Vorhaben beteiligten Fachbereichen zu kontrollieren, zu bewerten und abzunehmen. Die fachlich zuständigen Stellen haben hierfür Testfälle zu erstellen, die hinsichtlich des technischen Ablaufs vom Bereich Datenverarbeitung zu ergänzen sind. Die Testfälle sollen wiederverwendet werden können. Obige Forderungen werden durch das Submodell Qualitätssicherung des V-Modells erfüllt.
Testfälle werden im Produkt Prüfspezifikation (Aktivität QS2.3 - Prüffälle festlegen), die Bewertung der Testergebnisse wird in Prüfprotokollen dokumentiert (Aktivität QS4.2 - Produkt inhaltlich prüfen).
Für die Bearbeitung der Aktivitäten sieht das V-Modell Rollen vor. Inwieweit diese Rollen mit Personen aus dem Bereich Datenverarbeitung bzw. den beteiligten Fachbereichen belegt werden, ist projektspezifisch festzulegen.
27 3.4.5.3 Die Testergebnisse sind zu dokumentieren. Die Dokumentation über den Abschlußtest als Teil der Verfahrensdokumentation soll enthalten:

den fachlichen und technischen Hintergrund für den Test (z. B. Einführung eines neuen Verfahrens, Fehlerkorrektur, wesentliche Änderung),

die Beschreibung der Testumgebung (getestete Programme mit Angabe der Versionen, getesteter Ablauf, die angeschlossenen Dateien und Datenbanken, die Hardware- und Softwareumgebung mit Angabe der Versionen),

die Testfälle mit Eingabe- und erwarteten Ausgabedaten,

die Testergebnisse einschließlich des Systemverhaltens und der Systemmeldungen mit der fachlichen und technischen Bewertung der Testergebnisse durch die am Test beteiligten Stellen sowie

die Abnahmeerklärung der beteiligten Stellen.
Obige Forderungen werden mit Ausnahme der Abnahmeerklärung durch das Submodell Qualitätssicherung des V-Modells erfüllt.
Testfälle werden im Produkt Prüfspezifikation dokumentiert. Die Beschreibung der Testumgebung erfolgt im Prüfplan. Versionsangaben werden im Konfigurations-Identifikationsdokument festgehalten. Die Dokumentation der Testergebnisse erfolgt in Prüfprotokollen.
28 3.4.5.4 Die zuständige Stelle, in der Regel der federführende fachlich zuständige Bereich, gibt auf der Grundlage der Abnahmerklärungen zum Abschlußtest das Verfahren frei und übernimmt damit die Gesamtverantwortung für die Ordnungsmäßigkeit und die Sicherheit des Verfahrens. Die Freigabe von Verfahren zählt nicht zum Regelungsgehalt des V-Modells.
29 3.4.5.5 Die Freigabebescheinigung als Teil der Verfahrensdokumentation muß enthalten:

die Verfahrensbezeichnung,

den Anlaß für Test und Freigabe,

den Zeitpunkt für den erstmaligen Einsatz der betreffenden Verfahrensversion,

die genaue Bezeichnung der freigegebenen Programme mit Versionsnummern,

die Bestätigung, daß die vorgeschriebenen Prüfungen durchgeführt wurden sowie

die Freigabeerklärung.
Die Freigabe von Verfahren zählt nicht zum Regelungsgehalt des V-Modells.
30 3.4.5.6 Ein Verfahren darf grundsätzlich nur freigegeben werden, wenn die Dokumentationsunterlagen vollständig vorliegen. Die Freigabe von Verfahren zählt nicht zum Regelungsgehalt des V-Modells. Die Entscheidung, ob die Dokumentation vollständig ist, wird durch die korrekte Anwendung des Tailoring-Verfahrens gewährleistet.
Darüber hinaus sieht das Submodell Projektmanagement sogenannte Durchführungsentscheidungen (Aktivität PM6 - Durchführungsentscheidung) vor, deren Aufgabe u. a. darin besteht, die Vollständigkeit der Dokumentationsunterlagen zu prüfen..
31 3.4.5.7 Auch nicht selbst entwickelte Verfahren sind vor ihrem Einsatz entsprechend zu testen und förmlich freizugeben. Diese Forderung wird durch Aktivität QS4 - Produktprüfung erfüllt. Die Anforderungen an Tests für nicht selbst entwickelte Verfahren werden in Kapitel 5.1 des QS-Plans" Eingangskontrolle von Fertigprodukten" festgehalten.
32 3.4.5.8 Einzelheiten des Test- und Freigabeverfahrens sind schriftlich zu regeln. Regelungen zum Testverfahren erfolgen im QS-Plan (Kapitel 4 Entwicklungsbegleitende Qualitätssicherung und 5.1 Eingangskontrolle von Fertigprodukten) sowie in Prüfspezifikationen und Prüfprozeduren.
Die Freigabe von Verfahren zählt nicht zum Regelungsgehalt des V-Modells.
33 3.4.5.9 Nach einer Freigabe ist sicherzustellen, daß bis zur Übernahme in die Produktion keine Änderungen mehr vorgenommen werden. Die Erfüllung dieser Forderung wird durch das Konfigurationsmanagement sichergestellt.
34 3.4.6.1 Nach der Übernahme von Verfahrenssoftware in die Produktionsumgebung dürfen unbefugte Änderungen nicht mehr möglich sein. Die Bereitstellung zum Verfahrensbetrieb soll maschinell protokolliert werden und darf nur von ausdrücklich hierzu berechtigtem Personal vorgenommen werden. Eine geordnete Verwaltung von Programmversionen ist sicherzustellen. Die Erfüllung dieser Forderung wird durch die Regelungen des Konfigurationsmanagements sichergestellt. Die Prozeduren für Änderungen werden in Kapitel 3 Änderungsmanagement des KM-Plans festgehalten
35 3.4.6.2 Für die Einführung eines Verfahrens ist rechtzeitig insbesondere:
die Einrichtung der Hard- und Softwareumgebung für den Verfahrensbetrieb, (die Festlegungen erfolgen im Projekthandbuch)
soweit erforderlich die Übernahme von Datenbeständen eines abzulösenden Verfahrens sowie (Regelung hierzu in Aktivität SE9.3 - In Betrieb nehmen)
die Schulung des Personals (Regelung hierzu in Aktivität SE 9.1 "Beitrag zur Einführungsunterstützung leisten") sicherzustellen.
36 3.4.6.3 Für eine fortlaufende Beratung und Schulung auch nach der Verfahrenseinführung muß Vorsorge getroffen werden. Die Beratung und Schulung nach Verfahrenseinführung zählt nicht zum Regelungsgehalt des V-Modells. Es können jedoch die Betriebsinformationen aus Aktivität SE8.3 - Produkt bereitstellen dafür mit verwendet werden.
37 3.5.1 Bei der Verfahrenspflege sollen der ordnungsgemäße Einsatz des Verfahrens sowie seine Anpassung an veränderte Anforderungen gewährleistet werden. Soweit wesentliche Änderungen erforderlich werden, ist wie bei einem neuen IT-Vorhaben vorzugehen. Für andere Änderungen sind entsprechende Regelungen zu treffen. Für jede Verfahrensänderung sind grundsätzlich ein erneuter Abschlußtest und in jedem Fall eine -freigabe durchzuführen. Obige Forderungen entsprechen der Intention des V-Modells. Spezielle Regelungen zu Verfahrensänderungen finden sich im KM-Plan. Die Durchführung selbst wird in Aktivität KM 3 KM3 - Änderungsmanagement (Konfigurationssteuerung) geregelt.
38 3.5.2 Für abweichende Vorgehensweisen zur schnellen Behebung von Fehlern sind besondere schriftliche Regelungen zu treffen und die Beteiligung der zuständigen Fachbereiche sicherzustellen. Abweichende Vorgehensweisen zur schnellen Behebung von Fehlern sind im KM-Plan festzulegen.
39 3.5.3 Änderungen der Hardware und der nicht verfahrensspezifischen Software sind im Rahmen einer geordneten Vorgehensweise vorzunehmen. Dabei ist sicherzustellen, daß zusammengehörige Änderungen vollständig durchgeführt und Störungen sowie Unterbrechungen des Verfahrensbetriebes durch Folgeänderungen verhindert werden. Die bei der Durchführung eines IT-Vorhabens zu Test und Freigabe beschriebenen Grundsätze sollen sinngemäß angewendet werden. Alle Maßnahmen im Rahmen von Änderungen sind zu dokumentieren. Die "geordnete Vorgehensweise bei Änderungen" wird durch das Konfigurationsmanagement sichergestellt (Aktivität KM3 - Änderungsmanagement (Konfigurationssteuerung)). Die projektspezifischen Vorgehensweisen sind im KM-Plan zu beschreiben.
40 4 Betrieb von IT-Verfahren. Der Betrieb von IT-Verfahren wird nicht durch das V-Modell geregelt.
41 5 Erfolgskontrolle. Die Erfolgskontrolle von IT-Verfahren wird nicht durch das V-Modell geregelt.
42 6.1 Die Verfahrensentwicklung und der -betrieb sind laufend im Hinblick auf die durchgängige Beachtung der festgelegten Vorgehensweisen und Arbeitstechniken (Methoden und Werkzeuge) zu überprüfen und zu bewerten. Die Prüfung und Bewertung soll anhand von im voraus festgelegten Qualitätsnormen erfolgen. Bei Abweichungen sind entsprechend Maßnahmen zu treffen.
Die "Beachtung der festgelegten Vorgehensweisen" wird durch Aktivität QS3 - Prozeßprüfung von Aktivitäten sichergestellt.
43 6.2 In angemessenen Zeitabständen ist zu überprüfen, ob Verfahren ordnungsgemäß angewandt werden und evtl. Schwachstellen zu beseitigen sind. Das Ergebnis der Prüfung und die eingeleiteten Maßnahmen sind zu dokumentieren. Die Erfüllung dieser Forderung wird durch Aktivität PM6 - Durchführungsentscheidung sichergestellt. Die Ergebnisse werden in einem Protokoll niedergelegt.
44 7.2.1 Die zur Aufrechterhaltung der Sicherheit geeigneten Maßnahmen sind aus einer (Bedrohungsanalyse und) Risikoanalyse abzuleiten und in einem Sicherheitskonzept darzustellen. In Aktivität SE1.6 - Bedrohung und Risiko analysieren wird eine Bedrohungsanalyse zur Ermittlung aller zu schützenden Objekte und eine Risikoanalyse zur Ermittlung der Eintrittswahrscheinlichkeiten der möglichen Bedrohungen gefordert. Das IT-Sicherheitskonzept wird im Rahmen der Aktivität SE2.1 - System technisch entwerfen erstellt und, falls gefordert, auch ein formales IT-Sicherheitsmodell.
45 7.2.2 Aufbauend auf der Risikoanalyse und dem Sicherheitskonzept sind im erforderlichen Umfang technische und organisatorische Sicherheitsmaßnahmen festzulegen, die aufeinander abgestimmt sind. Das V-Modell gibt technische Anweisungen zur Erfüllung einer geforderten Sicherheitsstufe. Organisatorische Maßnahmen sind auch dem IT-Rahmenkonzept zu entnehmen.

Nr.	Kapitel	BRH	Bemerkungen
1	1.4.1	Die Planung und der Einsatz der IT sind zu dokumentieren. Die Dokumentation erstreckt sich auf: die Gesamtplanung für den Einsatz der IT die Durchführung von IT-Vorhaben den Betrieb von IT-Verfahren	Die Gesamtplanung für den Einsatz der IT wird größtenteils durch das IT-Rahmenkonzept abgedeckt. Das V-Modell liefert nur für einzelne IT-Vorhaben Beiträge zum Gesamtplan (vgl. (6)). Die Dokumentation der Durchführung von IT-Vorhaben erfolgt durch die Produkte des V-Modells. Die Dokumentation des Betriebs von IT-Verfahren erfolgt im V-Modell durch die Produkte Informationen zum Betriebshandbuch und Sonstige Einsatzinformationen.
2	1.4.2	Die IT-Dokumentation muß vollständig sein und ist möglichst überschneidungsfrei zu gestalten. Die Dokumentation muß zeitnah, verständlich und richtig sein und den Nachweis aller Änderungen enthalten.	Dies stellt eine grundsätzliche Forderung nach einem Vorgehensmodell dar. Das V-Modell gibt einerseits eine vollständige und überschneidungsfreie Dokumentation vor, erlaubt andererseits jedoch auch durch das Tailoring eine flexible Festlegung des angemessenen Umfangs der erforderlichen Dokumentation. Die Forderung nach Vollständigkeit der IT-Dokumentation hebt die Bedeutung des Tailoring-Verfahrens hervor.
3	1.4.3	Die Erstellung, Pflege und Speicherung der Dokumentation soll aus Gründen der Wirtschaftlichkeit möglichst maschinell unterstützt werden. Es ist sicherzustellen, daß die Dokumentation nur durch hierzu berechtigtes Personal geändert werden kann.	Kapitel 1.4.3 stellt eine Forderung nach einem Konfigurationsmanagement dar. Dies wird durch das Submodell KM des V-Modells abgedeckt. Die entsprechenden Regelungen zum Konfigurationsmanagement finden sich im KM-Plan und können hier individuell auf die jeweiligen Organisationsstruktur abgebildet werden.
4	1.4.4	llen an der Durchführung von IT-Vorhaben und am Betrieb von IT-Verfahren beteiligten Stellen und Mitarbeitern müssen die für die Arbeitserledigung benötigten Teile der Dokumentation nach dem letzten Stand als Mehrausfertigung zur Verfügung stehen.	Diese Forderung ist vorhabensspezifisch durch organisatorische Regelungen zu erfüllen. Zur Erreichung von aktuellen Dokumentenversionen ist eine funktionierende Konfigurationsverwaltung (Submodell KM) erforderlich.
5	1.4.5	Die Einzelheiten der Gestaltung, der Erstellung und des Inhalts sowie der Verteilung und der Aufbewahrung der Dokumentation sind - gegebenenfalls im Rahmen geltender Vorschriften - im einzelnen schriftlich zu regeln.	Erstellung und Inhalt der Dokumentation sind durch das V-Modell geregelt (Aktivitäten-, Produktbeschreibungen). Einzelheiten bezüglich der Gestaltung der Dokumentation (z. B. Dokumentationsstandard) sind im Projekthandbuch zu regeln. Die Verteilung der Dokumentation wird im Projekthandbuch in den Kapiteln 7.3 Externe Schnittstellen und 7.4 Berichtswesen geregel. Einzelheiten bezüglich der Aufbewahrung der Dokumentation werden im KM-Plan in den Kapiteln 2.1 Produktbibliothek und 4 Sicherung und Archivierung festgelegt.
6	2	Der Einsatz der IT ist auf der Grundlage einer Gesamtplanung vorzunehmen. Der Gesamtplan soll je nach Planungs- und Entwicklungsstand ausweisen: Organisation, bestehende IT-Verfahren und technische Einrichtungen sowie eingesetztes IT-Fachpersonal, allgemeine Darstellung und absehbare Entwicklung der Aufgaben, die mit Hilfe der IT erledigt werden sollen, Berührungspunkte und Überschneidungen zwischen diesen und mit anderen Aufgaben und Aufgabenfeldern, Ziele des geplanten IT-Einsatzes, geplante und in der Durchführung befindliche IT-Vorhaben einschließlich ihrer Prioritäten sowie ihrer organisatorischen und personellen Auswirkungen, Zeitbedarf für die Realisierung der IT-Vorhaben, Einführungsstrategien und Schulungsmaßnahmen, Planungen und Maßnahmen für die Sicherheit beim Einsatz der IT, Aussagen zur Wirtschaftlichkeit, Bedarf an Haushaltsmitteln. Bei der Gesamtplanung sind Normen, Standards und geltende Festlegungen zu beachten. Die Gesamtplanung muß regelmäßig überprüft und fortgeschrieben werden. Durch die Gesamtplanung und eine zweckmäßige Koordinierung ist insbesondere sicherzustellen, daß die mehrfache Entwicklung von IT-Verfahren für gleichartige Aufgaben unterbleibt, einheitliche Verfahren angewendet und Verbundlösungen angestrebt und die Ressourcen im IT-Bereich wirtschaftlich genutzt werden.	Das V-Modell bezieht sich immer nur auf ein einzelnes IT-Vorhaben. Für ein einzelnes IT-Vorhaben liefert das V-Modell Beiträge zu den folgenden Punkten des Gesamtplans: Organisation/eingesetztes IT-Fachpersonal (Projekthandbuch) Ziele des geplanten IT-Einsatzes (Projekthandbuch) Zeitbedarf für die Realisierung der IT-Vorhaben (Projektplan) Projektübergreifende Forderungen werden durch das IT-Rahmenkonzept erfüllt.
7	3.1.1	IT-Vorhaben beinhalten die Konzeption, die Entwicklung, die Einführung und wesentliche Änderungen von IT.	Diese Aussage deckt sich mit der Zielsetzung und Anwendung des V-Modells.
8	3.1.2	Die Grundsätze zur Gewährleistung einer einheitlichen und systematischen Vorgehensweise bei der Durchführung von IT-Vorhaben, einschließlich der Bildung sachgerechter Abschnitte mit entsprechenden Teilzielen, sind schriftlich zu regeln. Dabei sind eine zweckmäßige Vorhabenssteuerung und -überwachung vorzusehen sowie Festlegungen über den Einsatz standardisierter Arbeitstechniken (Methoden und Werkzeuge) zu treffen.	Obige Forderungen stellen eine grundsätzliche Forderung nach dem Einsatz eines Vorgehensmodells dar. Die Forderung nach einer Vorhabenssteuerung und -überwachung wird speziell durch das Submodell Projektmanagement erfüllt. Der Einsatz standardisierter Arbeitstechniken ist im Rahmen der Hausstandards im IT-Rahmenkonzept zu regeln. Festlegungen über den projektspezifischen Einsatz standardisierter Arbeitstechniken (Methoden und Werkzeuge) werden im Projekthandbuch dokumentiert.
9	3.2.1	Bei Beginn eines IT-Vorhabens sind die Zuständigkeiten und die Vorgehensweise festzulegen. Soweit mehrere Stellen zuständig sind, sind Beteiligung und Verantwortung im einzelnen zu regeln.	Die Festlegung der Zuständigkeiten und der Vorgehensweise erfolgt im Projekthandbuch. Die Festlegung der zeitlichen Zusammenhänge erfolgt im Projektplan. KM- und QS-spezifische Festlegungen werden darüberhinaus auch noch im KM-Plan bzw. im QS-Plan dokumentiert. Das Zusammenwirken mit mehreren Auftragnehmern wird im Handbuch UMF - Einordnung des V-Modells in sein Umfeld in dem Abschnitt Verwendungsformen des V-Modells erläutert. Getroffene Regelungen werden in einem oder gegebenenfalls mehreren Projekthandbüchern dokumentiert.
10	3.2.2	Grundlage für ein IT-Vorhaben ist der IT-Gesamtplan. Ein IT-Vorhaben soll grundsätzlich umfassen: Vor- und Hauptuntersuchung und Ausführung des Vorhabens.	Obige Forderung wird durch ein Phasenmodell erfüllt (z. B. Phasenmodell nach BVB [zukünftig EVB], AU 220).
11	3.3.1	Vor der Ausführung eines IT-Vorhabens sind grundsätzlich eine Vor- und eine Hauptuntersuchung durchzuführen.	Obige Forderung wird durch ein Phasenmodell erfüllt (z. B. Phasenmodell nach BVB [zukünftig EVB], AU 220).
12	3.3.2	Zweck der Voruntersuchung ist es, überschlägig festzustellen, ob und durch welche Lösungsvarianten der Einsatz von IT zur Erfüllung einer Aufgabe fachlich und technisch durchführbar, zweckmäßig und wirtschaftlich ist. Auf dieser Grundlage ist zu entscheiden, ob und für welche Lösungsvarianten eine Hauptuntersuchung gerechtfertigt ist.	Diese Forderung wird durch die Aktivitäten SE1.7 - Forderungscontrolling durchführen und SE2.3 - Realisierbarkeit untersuchen erfüllt.
13	3.3.3	Zweck der Hauptuntersuchung ist es, aufbauend auf den Ergebnissen der Voruntersuchung, ins Einzelne gehende Untersuchungen durchzuführen.	Obige Forderung wird durch ein Phasenmodell erfüllt (z. B. Phasenmodell nach BVB [zukünftig EVB], AU 220)..
14	3.3.4	Vor- und Hauptuntersuchungsbericht sollen in entsprechend grober bzw. detaillierter Form insbesondere enthalten: Bezeichnung des Vorhabens, Bearbeiter oder Arbeitsgruppe, Zielsetzung, Inhalt und Umfang des Vorhabens, Ist-Analyse mit einer Beschreibung und Bewertung der gegenwärtigen Aufbau- und Ablauforganisation aus technischer und organisatorischer Sicht, Darstellung der Gestaltungsalternativen unter Berücksichtigung des Einsatzes vorhandener Verfahren oder Verfahrensteile sowie von Standard- oder Fremdsoftware und mögliche Übernahme von Datenbeständen, Soll-Vorschlag mit einem Entwurf der neuen Aufbau- und Ablauforganisation, zu beachtender oder zu ändernder Vorschriften, Beschreibung des system-technischen Konzepts und der Anforderungen an die Hardware-Konfiguration und die System- und Anwendersoftware, Entwurf der Datenbasis (u. a. Datenorganisation, Mengengerüst), des Datenflusses und der Informationsbeziehungen, Darlegung der aus einer Risikoanalyse abgeleiteten Maßnahmen zur Gewährleistung von Ordnungsmäßigkeit und Sicherheit des Verfahrens, Zeit-, Personal- und Sachmittelbedarf für die Durchführung des Vorhabens einschließlich der Schulungsmaßnahmen, der räumlichen Ausstattung, etwaiger baulicher Maßnahmen und für den Verfahrensbetrieb, Wirtschaftlichkeitsuntersuchung sowie in geeigneten Fällen eine Nutzen-Kosten-Untersuchung.	Beiträge zu diesen Berichten liefern insbesondere die Aktivitäten SE1 - System-Anforderungsanalyse, SE2 - System-Entwurf, PM1 - Projektinitialisierung, PM4 - Feinplanung und PM5 - Kosten-/Nutzenanalyse.
15	3.3.5	Vor- und Hauptuntersuchung können - soweit dies sachlich gerechtfertigt ist - unter Darlegung der Gründe zusammengefaßt werden.	Diese Aussage stellt keine Forderung dar.
16	3.3.6	Die Ergebnisse der Vor- und der Hauptuntersuchung sind jeweils in einem Bericht zu dokumentieren. Die Berichte enden mit einem Entscheidungsvorschlag. Die Entscheidung ist schriftlich festzuhalten.	Obige Forderung wird durch ein Phasenmodell erfüllt (z. B. Phasenmodell nach BVB [zukünftig EVB], AU 220).
17	3.4.1.1	Aufgrund des Ergebnisses der Hauptuntersuchung ist über die Ausführung eines IT-Vorhabens zu entscheiden. Die Ausführung umfaßt insbesondere:
Beschaffung von Hard- und Software,	(Regelung hierzu in Aktivität PM2 - Vergabe/Beschaffung.)
Vergabe von Entwicklungsaufträgen und/oder Verfahrensentwicklung einschließlich Programmierung,	(Regelung hierzu in Aktivität PM2 - Vergabe/Beschaffung. Bei Beteiligung von externen Auftragnehmern an Entwicklungsteilen finden sich weitere Regelungen im QS-Plan in dem Kapitel 5.2 "Kontrolle von Unterauftragnehmern". Bei vollständiger Vergabe wird das Projekthandbuch zum Vertragsgegenstand.)
Test und Freigabe sowie	(Vereinbarungen hierzu werden im QS-Plan in den Kapiteln 4 Entwicklungsbegleitende Qualitätssicherung und 5.3 Ausgangskontrolle der Softwarebausteine festgelegt.)
Einführung des Verfahrens	(Regelung hierzu in Aktivität SE9 - Überleitung in die Nutzung.)
18	3.4.1.2	Die Einzelheiten der Ausführung eines IT-Vorhabens sind jeweils zu dokumentieren.	Die gesamte Dokumentation der Ausführung eines IT-Vorhabens wird durch das V-Modell geregelt. Die Information, welche Dokumente für ein bestimmtes Verfahren relevant sind, befindet sich im Projekthandbuch.
19	3.4.2	Beschaffung von Hard- und Software Bei der Hardware ist unter dem Gesichtspunkt der Wirtschaftlichkeit die günstigste Gerätekonfiguration und Beschaffungsart (Kauf, Miete, Leasing) auszuwählen. Das System aus Hard- und Software soll ausreichend dimensioniert und erweiterbar sein. Die Abhängigkeit von einzelnen Herstellern ist soweit wie möglich zu vermeiden. Die Bestandteile des Systems aus Hard- und Software sollen untereinander und mit bereits vorhandenen Komponenten und Verfahren verträglich (kompatibel) sein.	Obige Forderungen sind durch Aktivität PM2 - Vergabe/Beschaffung und das Szenario Einsatz von Fertigprodukten im Handbuch Szenarien abgedeckt.
20	3.4.3	Vergabe von Entwicklungsaufträgen Externe Stellen sollen nur dann eingesetzt werden, soweit eigene Mitarbeiter für die ordnungsgemäße Erfüllung des Vorhabens nicht zur Verfügung stehen oder die Einschaltung aus besonderen Gründen geboten ist. Werden IT-Vorhaben, insbesondere die Entwicklung von Software, an externe Stellen vergeben, so ist grundsätzlich die Beachtung dieser Mindestanforderungen sicherzustellen. Die Abwicklung solcher Vorhaben ist entsprechend zu überwachen.	Obige Forderungen betreffen nicht den Regelungsgehalt des V-Modells. Sie sind bei der Bearbeitung der Aktivitäten PM1.5 - Grobplan erstellen und PM4 - Feinplanung jedoch zu berücksichtigen. Des weiteren beziehen sich obige Forderungen auf die im Handbuch "UMF" gemachten Aussagen zu den Verwendungsformen des V-Modells (Vertragsgrundlage, Arbeitsanleitung). Die Verwendungsform "Vertragsgrundlage" dient der Steuerung und Überwachung von IT-Vorhaben, die durch externe Stellen realisiert werden. Dadurch, daß das "getailorte" V-Modell zur Vertragsgrundlage gemacht wird, können die Vorgehensweise und der Lieferumfang sehr präzise geregelt werden. Damit wird auch den Mindestanforderungen Rechnung getragen.
21	3.4.4.1	Es sind Regelungen zur Erstellung von Programmen und zur Verwendung von Programmiersprachen zu treffen, die der Vereinfachung, Vereinheitlichung und Standardisierung des Programmierens und der Programme dienen.	Die Anwendung des V-Modells dient der Standardisierung der Softwareentwicklung. Weitergehende Regelungen wie z. B. die Festlegung der Programmiersprache, der Methoden usw. sind im Rahmen der Hausstandards im IT-Rahmenkonzept und projektspezifisch im Projekthandbuch festzulegen. Obige Forderung ist somit bei der Erstellung eines Projekthandbuchs zu berücksichtigen.
22	3.4.4.2	Programme sollen im Hinblick auf Ordnungsmäßigkeit, Sicherheit und Wirtschaftlichkeit der Entwicklung, der Pflege und des Betriebs aus eigenständig änder- und testbaren Programmbestandteilen mit definierten Berührungspunkten (Schnittstellen) aufgebaut werden. Die Programme sind nach den Vorgaben so zu entwickeln, daß sie von einem anderen Programmierer fortgeführt werden können.	Obige Forderung wird durch Anwendung des V-Modells erfüllt, das der Standardisierung der Vorgehensweise dient. Dadurch wird eine Unabhängigkeit von den Eigenheiten von Einzelpersonen erreicht und eventuelle Einarbeitung anderer Personen erleichtert.
23	3.4.4.3	Der Benutzerfreundlichkeit der IT ist besondere Beachtung zu schenken. Es sind Festlegungen, insbesondere für: das Aufbauschema von Bildschirmmasken, die allgemeingültigen Funktionstasten und Kommandos, die Meldungen für die Benutzer und das Betriebspersonal, die Fehlerbehandlung, die Hilfefunktion und das Aufbauschema von Druckausgaben zu beachten oder zu treffen.	Die geforderten Festlegungen sind im Rahmen der Bearbeitung der Aktivitäten des V-Modells (Submodell SE) vorzunehmen. Die geforderten Eigenschaften sind in den Anwenderforderungen und den Technischen Anforderungen im einzelnen festzuhalten.
24	3.4.4.4	Die Verfahrensdokumentation muß alle Verfahrensfunktionen, insbesondere die der Programme, nachvollziehbar belegen. Zur Verfahrensdokumentation gehören u. a.: Auftrag und Aufgabenstellung, Kennziffern-, Schlüssel-, Symbol- und Abkürzungsverzeichnisse, Beschreibung der Dateien und ggf. der Datenbanken bis zur Tiefe der Datenfeldebene mit Angaben zum Aufbau sowie Beschreibung von Maßnahmen zum Schutz und zur Archivierung der Daten, Verzeichnis der Programme bzw. der Programmteile in ihren jeweils gültigen Versionen, eine Darstellung aller programmierten und organisierten Kontrollen, Darstellung des Programmablaufs und des Datenflusses ggf. Auflistung der Primärprogramme mit Programmübersetzung, Beschreibung der Bildschirmmasken, Listen und Formulare, Darstellung der Einbindung in das technische Umfeld und der technischen Berührungspunkte zu anderen Verfahren und Beschreibung der Überleitung in andere technische Umgebungen, Dienst-, Arbeits- und Bedienungsanweisungen sowie Änderungsaufträge und -nachweise.	Die geforderte Verfahrensdokumentation entspricht den gemäß V-Modell zu erstellenden Produkten.
25	3.4.5.1	IT-Verfahren sind vor ihrer Freigabe für den Betrieb, bei komplexen Verfahren auch schrittweise während der Erstellung der Programme, in allen Funktionen zu testen. Dabei ist den Berührungspunkten zu anderen Verfahren und der späteren organisatorischen Einbindung in den Betrieb besondere Beachtung zu schenken. Mit Hilfe der Tests muß insbesondere auch sichergestellt werden, daß jedes Programm nur die erforderlichen, in Vorgaben festzulegenden Funktionen erfüllt und keine unerwünschten Nebenwirkungen beinhaltet. Tests müssen unter Berücksichtigung aller Hard- und Software-Komponenten so durchgeführt werden, daß der Verfahrensbetrieb nicht beeinträchtigt wird.	Obige Forderungen werden durch das Submodell Qualitätssicherung des V-Modells erfüllt. Das V-Modell ist jedoch methodenfrei und spricht somit nicht von der Methode "Test", sondern von "inhaltlicher Prüfung". Die Regelungen des V-Modells gehen bezüglich der Qualitätssicherung weit über die IT-Mindestanforderungen hinaus. So betreffen obige Forderungen nur die Qualitätssicherung von Programmen, während das V-Modell auch eine Qualitätssicherung der gesamten Dokumentation eines Vorhabens, also z. B. auch der Anforderungsdokumente, vorsieht.
26	3.4.5.2	Tests müssen aufgrund von Testfällen mit im voraus festgelegten Eingaben und erwarteten Ausgaben durchgeführt werden. Die Ergebnisse des abschließenden Tests sind unter gebotener Beteiligung des Bereichs Datenverarbeitung von den am Vorhaben beteiligten Fachbereichen zu kontrollieren, zu bewerten und abzunehmen. Die fachlich zuständigen Stellen haben hierfür Testfälle zu erstellen, die hinsichtlich des technischen Ablaufs vom Bereich Datenverarbeitung zu ergänzen sind. Die Testfälle sollen wiederverwendet werden können.	Obige Forderungen werden durch das Submodell Qualitätssicherung des V-Modells erfüllt. Testfälle werden im Produkt Prüfspezifikation (Aktivität QS2.3 - Prüffälle festlegen), die Bewertung der Testergebnisse wird in Prüfprotokollen dokumentiert (Aktivität QS4.2 - Produkt inhaltlich prüfen). Für die Bearbeitung der Aktivitäten sieht das V-Modell Rollen vor. Inwieweit diese Rollen mit Personen aus dem Bereich Datenverarbeitung bzw. den beteiligten Fachbereichen belegt werden, ist projektspezifisch festzulegen.
27	3.4.5.3	Die Testergebnisse sind zu dokumentieren. Die Dokumentation über den Abschlußtest als Teil der Verfahrensdokumentation soll enthalten: den fachlichen und technischen Hintergrund für den Test (z. B. Einführung eines neuen Verfahrens, Fehlerkorrektur, wesentliche Änderung), die Beschreibung der Testumgebung (getestete Programme mit Angabe der Versionen, getesteter Ablauf, die angeschlossenen Dateien und Datenbanken, die Hardware- und Softwareumgebung mit Angabe der Versionen), die Testfälle mit Eingabe- und erwarteten Ausgabedaten, die Testergebnisse einschließlich des Systemverhaltens und der Systemmeldungen mit der fachlichen und technischen Bewertung der Testergebnisse durch die am Test beteiligten Stellen sowie die Abnahmeerklärung der beteiligten Stellen.	Obige Forderungen werden mit Ausnahme der Abnahmeerklärung durch das Submodell Qualitätssicherung des V-Modells erfüllt. Testfälle werden im Produkt Prüfspezifikation dokumentiert. Die Beschreibung der Testumgebung erfolgt im Prüfplan. Versionsangaben werden im Konfigurations-Identifikationsdokument festgehalten. Die Dokumentation der Testergebnisse erfolgt in Prüfprotokollen.
28	3.4.5.4	Die zuständige Stelle, in der Regel der federführende fachlich zuständige Bereich, gibt auf der Grundlage der Abnahmerklärungen zum Abschlußtest das Verfahren frei und übernimmt damit die Gesamtverantwortung für die Ordnungsmäßigkeit und die Sicherheit des Verfahrens.	Die Freigabe von Verfahren zählt nicht zum Regelungsgehalt des V-Modells.
29	3.4.5.5	Die Freigabebescheinigung als Teil der Verfahrensdokumentation muß enthalten: die Verfahrensbezeichnung, den Anlaß für Test und Freigabe, den Zeitpunkt für den erstmaligen Einsatz der betreffenden Verfahrensversion, die genaue Bezeichnung der freigegebenen Programme mit Versionsnummern, die Bestätigung, daß die vorgeschriebenen Prüfungen durchgeführt wurden sowie die Freigabeerklärung.	Die Freigabe von Verfahren zählt nicht zum Regelungsgehalt des V-Modells.
30	3.4.5.6	Ein Verfahren darf grundsätzlich nur freigegeben werden, wenn die Dokumentationsunterlagen vollständig vorliegen.	Die Freigabe von Verfahren zählt nicht zum Regelungsgehalt des V-Modells. Die Entscheidung, ob die Dokumentation vollständig ist, wird durch die korrekte Anwendung des Tailoring-Verfahrens gewährleistet. Darüber hinaus sieht das Submodell Projektmanagement sogenannte Durchführungsentscheidungen (Aktivität PM6 - Durchführungsentscheidung) vor, deren Aufgabe u. a. darin besteht, die Vollständigkeit der Dokumentationsunterlagen zu prüfen..
31	3.4.5.7	Auch nicht selbst entwickelte Verfahren sind vor ihrem Einsatz entsprechend zu testen und förmlich freizugeben.	Diese Forderung wird durch Aktivität QS4 - Produktprüfung erfüllt. Die Anforderungen an Tests für nicht selbst entwickelte Verfahren werden in Kapitel 5.1 des QS-Plans" Eingangskontrolle von Fertigprodukten" festgehalten.
32	3.4.5.8	Einzelheiten des Test- und Freigabeverfahrens sind schriftlich zu regeln.	Regelungen zum Testverfahren erfolgen im QS-Plan (Kapitel 4 Entwicklungsbegleitende Qualitätssicherung und 5.1 Eingangskontrolle von Fertigprodukten) sowie in Prüfspezifikationen und Prüfprozeduren. Die Freigabe von Verfahren zählt nicht zum Regelungsgehalt des V-Modells.
33	3.4.5.9	Nach einer Freigabe ist sicherzustellen, daß bis zur Übernahme in die Produktion keine Änderungen mehr vorgenommen werden.	Die Erfüllung dieser Forderung wird durch das Konfigurationsmanagement sichergestellt.
34	3.4.6.1	Nach der Übernahme von Verfahrenssoftware in die Produktionsumgebung dürfen unbefugte Änderungen nicht mehr möglich sein. Die Bereitstellung zum Verfahrensbetrieb soll maschinell protokolliert werden und darf nur von ausdrücklich hierzu berechtigtem Personal vorgenommen werden. Eine geordnete Verwaltung von Programmversionen ist sicherzustellen.	Die Erfüllung dieser Forderung wird durch die Regelungen des Konfigurationsmanagements sichergestellt. Die Prozeduren für Änderungen werden in Kapitel 3 Änderungsmanagement des KM-Plans festgehalten
35	3.4.6.2	Für die Einführung eines Verfahrens ist rechtzeitig insbesondere:
die Einrichtung der Hard- und Softwareumgebung für den Verfahrensbetrieb,	(die Festlegungen erfolgen im Projekthandbuch)
soweit erforderlich die Übernahme von Datenbeständen eines abzulösenden Verfahrens sowie	(Regelung hierzu in Aktivität SE9.3 - In Betrieb nehmen)
die Schulung des Personals	(Regelung hierzu in Aktivität SE 9.1 "Beitrag zur Einführungsunterstützung leisten") sicherzustellen.
36	3.4.6.3	Für eine fortlaufende Beratung und Schulung auch nach der Verfahrenseinführung muß Vorsorge getroffen werden.	Die Beratung und Schulung nach Verfahrenseinführung zählt nicht zum Regelungsgehalt des V-Modells. Es können jedoch die Betriebsinformationen aus Aktivität SE8.3 - Produkt bereitstellen dafür mit verwendet werden.
37	3.5.1	Bei der Verfahrenspflege sollen der ordnungsgemäße Einsatz des Verfahrens sowie seine Anpassung an veränderte Anforderungen gewährleistet werden. Soweit wesentliche Änderungen erforderlich werden, ist wie bei einem neuen IT-Vorhaben vorzugehen. Für andere Änderungen sind entsprechende Regelungen zu treffen. Für jede Verfahrensänderung sind grundsätzlich ein erneuter Abschlußtest und in jedem Fall eine -freigabe durchzuführen.	Obige Forderungen entsprechen der Intention des V-Modells. Spezielle Regelungen zu Verfahrensänderungen finden sich im KM-Plan. Die Durchführung selbst wird in Aktivität KM 3 KM3 - Änderungsmanagement (Konfigurationssteuerung) geregelt.
38	3.5.2	Für abweichende Vorgehensweisen zur schnellen Behebung von Fehlern sind besondere schriftliche Regelungen zu treffen und die Beteiligung der zuständigen Fachbereiche sicherzustellen.	Abweichende Vorgehensweisen zur schnellen Behebung von Fehlern sind im KM-Plan festzulegen.
39	3.5.3	Änderungen der Hardware und der nicht verfahrensspezifischen Software sind im Rahmen einer geordneten Vorgehensweise vorzunehmen. Dabei ist sicherzustellen, daß zusammengehörige Änderungen vollständig durchgeführt und Störungen sowie Unterbrechungen des Verfahrensbetriebes durch Folgeänderungen verhindert werden. Die bei der Durchführung eines IT-Vorhabens zu Test und Freigabe beschriebenen Grundsätze sollen sinngemäß angewendet werden. Alle Maßnahmen im Rahmen von Änderungen sind zu dokumentieren.	Die "geordnete Vorgehensweise bei Änderungen" wird durch das Konfigurationsmanagement sichergestellt (Aktivität KM3 - Änderungsmanagement (Konfigurationssteuerung)). Die projektspezifischen Vorgehensweisen sind im KM-Plan zu beschreiben.
40	4	Betrieb von IT-Verfahren.	Der Betrieb von IT-Verfahren wird nicht durch das V-Modell geregelt.
41	5	Erfolgskontrolle.	Die Erfolgskontrolle von IT-Verfahren wird nicht durch das V-Modell geregelt.
42	6.1	Die Verfahrensentwicklung und der -betrieb sind laufend im Hinblick auf die durchgängige Beachtung der festgelegten Vorgehensweisen und Arbeitstechniken (Methoden und Werkzeuge) zu überprüfen und zu bewerten.	Die Prüfung und Bewertung soll anhand von im voraus festgelegten Qualitätsnormen erfolgen. Bei Abweichungen sind entsprechend Maßnahmen zu treffen. Die "Beachtung der festgelegten Vorgehensweisen" wird durch Aktivität QS3 - Prozeßprüfung von Aktivitäten sichergestellt.
43	6.2	In angemessenen Zeitabständen ist zu überprüfen, ob Verfahren ordnungsgemäß angewandt werden und evtl. Schwachstellen zu beseitigen sind. Das Ergebnis der Prüfung und die eingeleiteten Maßnahmen sind zu dokumentieren.	Die Erfüllung dieser Forderung wird durch Aktivität PM6 - Durchführungsentscheidung sichergestellt. Die Ergebnisse werden in einem Protokoll niedergelegt.
44	7.2.1	Die zur Aufrechterhaltung der Sicherheit geeigneten Maßnahmen sind aus einer (Bedrohungsanalyse und) Risikoanalyse abzuleiten und in einem Sicherheitskonzept darzustellen.	In Aktivität SE1.6 - Bedrohung und Risiko analysieren wird eine Bedrohungsanalyse zur Ermittlung aller zu schützenden Objekte und eine Risikoanalyse zur Ermittlung der Eintrittswahrscheinlichkeiten der möglichen Bedrohungen gefordert. Das IT-Sicherheitskonzept wird im Rahmen der Aktivität SE2.1 - System technisch entwerfen erstellt und, falls gefordert, auch ein formales IT-Sicherheitsmodell.
45	7.2.2	Aufbauend auf der Risikoanalyse und dem Sicherheitskonzept sind im erforderlichen Umfang technische und organisatorische Sicherheitsmaßnahmen festzulegen, die aufeinander abgestimmt sind.	Das V-Modell gibt technische Anweisungen zur Erfüllung einer geforderten Sicherheitsstufe. Organisatorische Maßnahmen sind auch dem IT-Rahmenkonzept zu entnehmen.

This page online • GDPA Online • Last Updated 03.Mar.2004 by C. Freericks