studie: itil und standards für it-prozesse

ITIL und Standards für IT-Prozesse1

Prozess-Standards für die EntwicklungOrganisation gemäß ITIL Best Practice

KBSt-Brief 1/2006 Oktober 2006

Version 1.0.

der IT-Service-s

Publikation der KBSt

Nachdruck, auch auszugsweise, ist genehmigungspflichtig

Dieser Band wurde erstellt von der KBSt im Bundesministerium des Innern in Zusammenarbeit mit HiSolutions AG

Redaktion: HiSolutions AG, Berlin

Interessenten erhalten die derzeit lieferbaren Veröffentlichungen der KBSt

und weiterführende Informationen zu den Dokumenten beim

Bundesministerium des Innern

Referat IT 2 (KBSt)

11014 Berlin

Homepage der KBSt: www.kbst.bund.de

E-Mail: [email protected]

:

2

http://www.kbst.bund.de/

mailto:[email protected]

ITIL und Standards für IT-Prozesse

Prozess-Standards für die Entwicklung der IT-Service-Organisation gemäß ITIL Best Practices

Version 1.0.1 Herausgegeben vom Bundesministerium des Innern

3

Inhaltsverzeichnis

1 Einleitung....................................................................................................................7

1.1 Zielsetzung.........................................................................................................9

1.2 Zielgruppen ......................................................................................................10

1.3 Dokumentaufbau..............................................................................................10

2 IT-Prozessorganisation............................................................................................11

2.1 Prozesse zur Leistungserstellung in der IT ......................................................11

2.2 Prozesse zur Servicesteuerung in der IT .........................................................11

2.3 Prozesse an den Schnittstellen der IT..............................................................13

2.4 Management- und Querschnittsprozesse in der IT ..........................................14

3 Nutzung von Standards für die IT-Prozessoptimierung........................................16

4 Standards im IT-Service Management....................................................................18

4.1 ISO 20000........................................................................................................18

4.1.1 Überblick................................................................................................18 4.1.2 Grundkonzepte ......................................................................................20 4.1.3 Aufbau ...................................................................................................21

4.2 Weiterführende Standards ...............................................................................23

5 Standards im Information Security Management ..................................................24

5.1 IT-Grundschutz-Standards des BSI .................................................................24


5.2 ISO 27001 ff .....................................................................................................33



6 Standards für IT-Leistungserstellungsprozesse ...................................................37

6.1 V-Modell ...........................................................................................................37

6.1.1 Überblick................................................................................................37 6.1.2 Grundkonzepte ......................................................................................38 6.1.3 Aufbau ...................................................................................................40 6.1.4 Arbeiten mit dem V-Modell ....................................................................42


4

7 Standards für IT- und Prozessmanagement ..........................................................44

7.1 COBIT (IT-Governance Framework) ................................................................44


7.2 CMM und ISO 15504 / SPiCE..........................................................................51



8 Glossar......................................................................................................................59

Tabellenverzeichnis Tabelle 1: Glossar ..........................................................................................................60

Abbildungsverzeichnis Abbildung 1 Veränderungsprozess der IT (Quelle: HiSolutions AG) ................................8

Abbildung 2 Grunddisziplinen der Leistungserstellung (Quelle: HiSolutions AG) ...........11

Abbildung 3 Disziplinen des IT-Service Managements (Quelle: HiSolutions AG)...........12

Abbildung 4 Disziplinen des Beziehungsmanagements (Quelle: HiSolutions AG) .........13

Abbildung 5 Management- und Querschnittsprozesse (Quelle: HiSolutions AG) ...........14

Abbildung 6 Methodik des Service-Managements (Quelle: BS Institution).....................20

Abbildung 7 Prozessmodell des IT-Service Managements (Quelle: BS Institution)........21

Abbildung 8 Standardisierung der ITIL Best Practices (Quelle: BS Institution)...............21

Abbildung 9 Zertifizierung (Quelle: BSI) .........................................................................26

Abbildung 10 Vorgehen nach IT-Grundschutz (Quelle: BSI) ..........................................27

Abbildung 11 erweiterte Risikoanalyse (Quelle BSI) ......................................................28

Abbildung 12 BSI-Standard Reihe (Quelle BSI) .............................................................29

Abbildung 13 ISO 27001 Managementzyklus.................................................................35

Abbildung 14 ISO 27001 ................................................................................................36

Abbildung 15 Dokumentation des V-Modells (Quelle: KBSt) ..........................................40

Abbildung 16 CobiT-Struktur (Quelle: ISACA) ................................................................47

Abbildung 17 CobiT Domänen (Quelle: ISACA) .............................................................48

Abbildung 18 CobiT Control Objectives (Quelle: ISACA) ...............................................49

Abbildung 19 CobiT Produktfamilie (Quelle: ISACA) ......................................................50

Abbildung 20 Aufgabe von Prozess-Assessments (Quelle: ISO) ...................................54

5

Abbildung 21 Struktur der Assessment-Empfehlungen (Quelle: ISO) ............................54

Abbildung 22 Prozesse und deren Fähigkeiten in ISO 15504 (Quelle: ISO) ..................55

Abbildung 23 Prozess-Fähigkeitsgrade (Quelle: ISO) ....................................................56

Abbildung 24 Aufbau ISO 15504 (Quelle: ISO) ..............................................................57

6

1 Einleitung IT-Organisationen in Behörden und Unternehmen befinden sich im Wandel. Die Informationstechnologien in der Entwicklung und im Betrieb von IT-Systemen zu beherrschen reicht längst allein nicht mehr aus, um die wachsenden Anforderungen an Sicherheit, Stabilität und Wirtschaftlichkeit der IT-Services zu gewährleisten und dies kontinuierlich sicherzustellen. Drei wesentliche Herausforderungen beschreiben diesen Wandel: » Prozessorientierung: Der IT-Erfolg hängt zunehmend vom Zusammenwirken

unterschiedlicher Leistungen und Kompetenzen innerhalb der IT ab. Diese Anforderung zieht sich quer durch die IT-Organisation. Mit der Einführung standardisierter IT-Prozesse sollen die Leistungen transparent und steuerbar sowie Abweichungen von den Anforderungen messbar werden. Gleichzeitig werden konkrete Prozessverantwortungen definiert und die Zusammenarbeit der Teams und Fachkräfte im Prozess organisiert. In der Standardisierung der Leistungen liegt ein wesentlicher Schlüssel für Wirtschaftlichkeit, Qualität und Sicherheit. Prozesse sind zugleich die wesentliche Grundlage für ein Qualitätsmanagement in der IT-Organisation, denn sie erzeugen regelmäßig ein messbares Ergebnis. Aber woraus ergeben sich die entscheidenden Prozessanforderungen?

» Serviceorientierung: Die Kunden und Anwende1r haben eine eigene Sicht auf die IT-Leistung. Sie bewerten das Ergebnis der Leistungserstellung und denken überwiegend produktorientiert. Als Anwender stellen sie fest, ob die benötigten Anwendungen und Systeme so entwickelt und betrieben wurden, dass sie den Anforderungen entsprechen. Dieses sichtbare Ergebnis wird meist durch die Qualität einer Vielzahl von IT-Komponenten und –Leistungen bestimmt. Schließlich kann diese Qualität wegen der zunehmend komplexen Systemabhängigkeiten nur im Zusammenwirken der verschiedenen IT-Funktionen gewährleistet werden. Die daraus resultierenden Anforderungen an IT-Systeme und IT-Leistungen kann der Kunde nicht mehr selbst formulieren. Deshalb werden IT-Services definiert, an die konkrete Kundenanforderungen gestellt werden können und die dem Anwender einen konkreten Nutzen liefern. Die Serviceanforderungen sind nun in den beteiligten IT-Prozessen und entlang der IT-Infrastruktur über konkrete Massnahmen umzusetzen. In der Standardisierung dieser Services liegt ein Schlüssel für die Nutzenorientierung und für die Steuerung der IT-Kosten gemäß Wertbeitrag für die Anwender. Aber woraus ergeben sich solche Serviceanforderungen?

» Kundenorientierung: Standardisierte Services allein sind noch kein Garant für Nutzerakzeptanz. IT-Organisationen sind dann stark, wenn sie die Geschäftsanforderungen ihrer internen und externen Kunden verstehen und ihre Services konsequent darauf ausrichten. Dies wird heute mit dem Begriff „Business-IT-Alignment“ verbunden, der grundsätzlich auch auf die Anforderungen der Verfahren in der Bundesverwaltung übertragbar ist. Überwiegend geht es darum, den grundlegenden IT-Bedarf zu standardisieren und hier kontinuierliche Qualitäts- und Effizienzsteigerung anzustreben. Gleichzeitig sollen spezifische Anforderungen an die IT-Unterstützung frühzeitig erkannt und möglichst schnell und flexibel bedient werden. Das erforderliche Maß von Flexibilität und Wirtschaftlichkeit in den IT-Services zu liefern ist die zentrale Aufgabe der IT – unabhängig davon, welche Leistungen intern oder durch externe Dienstleister zu erbringen sind.

1 Siehe Glossar

7

Diese Anforderungen lenken einen grundsätzlichen Wandel in der IT, der zu Veränderungen in der Organisation und im Bewußtsein der IT-Mitarbeiter führt. Die Umsetzung der Service- und Kundenorientierung erfordert zudem neue Prozesse und Verantwortungen im IT-Service Management und Relationship Management, die Auswirkungen auf alle Bereiche in Beschaffung, Entwicklung und Betrieb der IT haben.

ITIL-Best Practices

TechnologiefokussiertTechnologien beherrschen wir (Fähigkeit,Systeme zu entwickeln und zu betreiben)

TechnologiefokussiertTechnologien beherrschen wir (Fähigkeit,Systeme zu entwickeln und zu betreiben)

Prozessorientiert+ Fähigkeit, Prozesse zu managen und Output in konstanter Qualität zu erzeugen Prozessorientiert+ Fähigkeit, Prozesse zu managen und Output in konstanter Qualität zu erzeugen

Serviceorientiert+ Fähigkeit, standardisierte Dienstleistungen zu entwickeln / zu erstellen und Provider zu managen Serviceorientiert+ Fähigkeit, standardisierte Dienstleistungen zu entwickeln / zu erstellen und Provider zu managen

Kundenorientiert+ Fähigkeit, Kundenanforderungen schnell zu erfüllen und sich Marktveränderungen anzupassen Kundenorientiert+ Fähigkeit, Kundenanforderungen schnell zu erfüllen und sich Marktveränderungen anzupassen

Abbildung 1 Veränderungsprozess der IT (Quelle: HiSolutions AG)

Die Anforderungen gelten für große wie auch kleine IT-Bereiche. Die Weg für die konkrete Umsetzung und der Umsetzungserfolg hängen aber von einer Reihe verschiedener Faktoren ab. Viele IT-Organisation haben bereits umfassende Erfahrungen auf diesem Weg gesammelt. Der De-facto-Standard ITIL liefert hierfür die benötigten Best Practices, also bewährte Praktiken in der Prozessgestaltung. ITIL ist inzwischen in wichtigen Managementdisziplinen so reif, dass die Anforderungen in verschiedenen Standards formal geregelt sind. Das IT-Management und die Prozessverantwortlichen sollten diese Standards kennen, richtig bewerten und für die Umsetzung ihrer Veränderungsprozesse gezielt nutzen. In diesem Zusammenhang fällt heute regelmäßig der Begriff „Compliance“. Darunter wird die Fähigkeit der Organisation verstanden, formale Anforderungen zu erfüllen, die sich aus Gesetzen, Standards oder internen Richtlinien ergeben. Der Umsetzungserfolg hängt wesentlich davon ab, ob das Management hierfür die richtigen Ziele und Rahmenbedingungen setzt. Für die IT-Prozessorganisation haben sich bereits eine Vielzahl relevanter Standards etabliert. Wichtig ist es, diese zu kennen, richtig einzuordnen und angemessen anzuwenden. Mit dem Standard ISO 20000 sind nun die Anforderungen an das Service-, Security- und Beziehungsmanagement der IT verbindlich geregelt. Auch für IT-Organisationen, die keine Zertifizierung anstreben, liefert der Standard ein wichtiges Werkzeug. Schließlich definiert er Mindestanforderungen an ITIL-konforme Prozesse und liefert darüber hinaus weitergehende Prozessempfehlungen. Damit wird eine verbindliche Antwort auf die Frage gegeben, was ITIL-Konformität in der praktischen Umsetzung heißt. Dies wurde

8

bislang oft freizügig interpretiert. Somit ist nun auch die Meßlatte standardisiert und Ziele für die ITIL-Umsetzung können von der IT-Leitung konkreter und verbindlicher ausgerichtet werden, was auch zur Effizienz und Wirksamkeit der Umsetzungsprojekte beitragen sollte.

1.1 Zielsetzung Was dieses Dokument erreichen kann. Ziel dieser Veröffentlichung ist es, eine Orientierungshilfe im Dschungel der aktuellen Prozess-Standards zu liefern. Hierfür werden diejenigen Standards hervorgehoben und kompakt beschrieben, die heute als Tragpfeiler im Veränderungsprozess berücksichtigt werden sollten. Gleichzeitig wird auf weiterführende Standards hingewiesen, die zusätzliche Umsetzungshinweise für die Implementation liefern können. Es wird aufgezeigt, wo die Standards greifen, wo sie in ihren Anforderungen überlappen und wie sie im Zusammenhang angewendet werden können, um die Ziele der Prozess-, Service- und Kundeorientierung in der IT umfassend sicherzustellen. Mit der Ausrichtung an den genannten Standards können durchaus verschiedene Ziele verbunden werden:

» Für die Implementation von IT-Prozessen definieren die Standards konkrete Mindestanforderungen, die als objektiver Maßstab für die Ziele von Umsetzungsprojekten dienen können. Wer also solche Projekte plant, dem helfen die Anforderungen, sich auf die wesentlichen Instrumente zu konzentrieren.

» Für die Überprüfung der Wirksamkeit von IT-Prozessen liefern die Standards mehr oder weniger konkrete Kontrollziele, an denen sich die Prozesse messen lassen sollten. Diese haben zwar meist formalen Charakter und sind nicht allein hinreichend für den Prozesserfolg, sie bilden aber die notwendige organisatorische Grundlage dafür, dass Prozesse ihre Ziele erfüllen können. Wer also Reviews, Assessments oder Audits plant, dem helfen die Kontrollziele, den Umsetzungsstand zu bewerten.

» Für den Nachweis der Wirksamkeit von IT-Prozessen bieten einige Standards die Möglichkeit einer Zertifizierung. Damit können die Qualität der organisatorischen Regelungen und deren Wirksamkeit gegenüber dem Management oder den Kunden nachgewiesen werden. Dies wirkt vertrauensbildend, reduziert aber auch den Aufwand für sonstige individuelle Überprüfungen. Wer also die Qualität der Organisation von unabhängiger Seite prüfen und bestätigen lassen möchte, kann eine Zertifizierung anstreben.

Was dieses Dokument nicht erreichen kann. Das Dokument ersetzt nicht die intensive Auseinandersetzung mit den konkreten Implementationsanforderungen. Es kann auch keine pauschalen Vorlagen für Problemanalyse, Implementation und Steuerungsinstrumente liefern.

9

1.2 Zielgruppen Das Dokument wendet sich an alle IT-Organisationen, die sich in der Gestaltung ihrer Prozesse an aktuellen Standards und Normen orientieren. Die Informationen sind relevant für

» IT-Leiter, die einen angemessenen Rahmen für die IT-Prozessorganisation abstecken möchten und Ziele für entsprechende Umsetzungsprojekte definieren,

» IT-Organisatoren und Projektleiter in Organisationsprojekten, die geeignete Umsetzungsmaßnahmen planen und hierfür Anforderungen konkretisieren,

» IT-Prozessverantwortliche, die ihre Prozesse auf der Grundlage akzeptierter Standards etablieren und weiterentwickeln,

» IT-Serviceverantwortliche, die Serviceanforderungen in konkrete Prozessanforderungen umsetzen,

» IT-Sicherheitsverantwortliche, die das Sicherheitsmanagement in die IT-Prozessorganisation integrieren,

» IT-Revisoren, die die Wirksamkeit von IT-Prozessen prüfen und hierbei aktuelle Normen und Kontrollziele berücksichtigen.

1.3 Dokumentaufbau Das Dokument umfasst folgende Kapitel: Kapitel 2: IT-Prozessorganisation

Dieses Kapitel liefert einen Überblick über die wesentlichen Managementdisziplinen in der IT und stellt diese mit Hilfe eines Referenzmodells für die IT-Prozessorganisation im Zusammenhang dar.

Kapitel 3: Nutzung von Standards für die IT-Prozessoptimierung Dieses Kapitel beantwortet, warum ITIL allein noch keine verbindliche Norm liefert, welche Standards in der Umsetzung von ITIL-Anforderungen innerhalb der Bundesverwaltung berücksichtigt werden sollten, welche Rolle diese Standards im Zusammenhang mit ITIL spielen und welche Managementfelder damit abgedeckt werden.

Kapitel 4ff: Standards in den Managementfeldern der IT In den folgenden Kapiteln wird ein Überblick über wichtige IT-Prozess-Standards in verschiedenen Managementbereichen geliefert. Zusammengefasst werden Gegenstand, Anwendung, Historie, Zertifizierbarkeit, Quellenverweise, Grundkonzepte und Informationen über die inhaltliche Struktur der Standards.

Kapitel 8: Glossar: Dieses Kapitel erklärt die in diesem Dokument verwendeten Abkürzungen und Begriffe.

10

2 IT-Prozessorganisation Bevor relevante Prozess-Standards betrachtet werden, sollten zunächst die benötigten IT-Prozesse identifizert werden. Hier kann ein Referenzmodell helfen, das die Prozesse im Zusammenhang darstellt, unabhängig davon, wann und mit welcher Priorität diese im konkreten Fall umgesetzt werden.

2.1 Prozesse zur Leistungserstellung in der IT Die Leistungserstellung lässt sich grundsätzlich in Beschaffung, Entwicklung und Betrieb von IT-Ressourcen gliedern.

LeistungserstellungBeschaffung | Entwicklung | Betrieb

Abbildung 2 Grunddisziplinen der Leistungserstellung (Quelle: HiSolutions AG)

» Die Beschaffungsabwicklung für IT-Komponenten und IT-Dienstleistungen ist

i.d.R. als Prozess organisiert – mitunter auch in einer eigenen Beschaffungsorganisation.

» Die Software- und Systementwicklung wird über eine ganze Reihe spezifischer Prozesse abgewickelt, die im Zusammenhang greifen und überwiegend eine entsprechende Entwicklerorganisation erfordern. Die ITIL-Empfehlungen berühren derzeit diesen Bereich der IT-Organisation nur oberflächlich. Hier liefern andere etablierte Standards konkretere Anforderungen. Auf diese wird später hingewiesen.

» Die Betriebsleistungen des IT-Bereichs werden i.d.R. technologiespezifisch erbracht. Die IT-Organisation besitzt hierfür eine überwiegend funktionale Struktur. Der Betrieb lässt sich entlang der IT-Architektur weiter differenzieren – z.B. im Betrieb von Anwendungen, verschiedensten Systemen, Netzwerken und Versorgungseinrichtungen (Facilities). Auch die Betriebsleistungen werden über eine ganze Reihe spezifischer Prozesse sichergestellt. Dazu zählen u.a. die Überwachung (Monitoring), die Nutzer- und Rechteverwaltung (User & Profile Management), die Datensicherung und Datenträgerverwaltung (Backup & Media Management), das Software & Patch Management, etc. ITIL empfiehlt mit dem ICT Infrastructure Management einen technologieübergreifenden Prozessansatz für das Management von Komponenten im IT-Betrieb, der über den gesamten Lebenszyklus dieser Ressourcen greift.

Diese grundsätzlichen IT-Disziplinen werden also über verschiedene Prozesse sichergestellt und liefern die eigentliche Wertschöpfung des IT-Bereichs.

2.2 Prozesse zur Servicesteuerung in der IT Welche Leistungen nun in welcher Form notwendig sind, um konkrete IT-Lösungen bereitzustellen, können Kunden und Anwender weder einschätzen noch angemessen beauftragen. Die Anforderungen des Kunden beziehen sich in der Regel auf die Qualität und Wirtschaftlichkeit der genutzten IT-Lösungen. Fast alle IT-Anwendungen sind von

11

einer ganzen Reihe von Systemen und Leistungen abhängig, deren Qualität und Wirtschaftlichkeit dann auch im Zusammenhang gesteuert werden müssen. Hier stößt die bisher rein funktionale IT-Organisation an ihre natürlichen Grenzen. Zwei Beispiele sollen dies verdeutlichen:

» Anwenderunterstützung und Störungsbearbeitung: Treten Störungen in IT-Anwendungen auf, können diese auf Probleme mit vielfältigen Komponenten zurückzuführen sein, die zudem in unterschiedlichen Verantwortungsbereichen betrieben werden. Eine gezielte Störungsbehebung erfordert nun das Zusammenwirken dieser Funktionen in einem gemeinsamen Prozess. Was letztendlich aus Sicht des Kunden und seiner Anwender zählt, ist die schnelle und wirksame Störungsbehebung.

» Änderungen: Ändern sich Kundenanforderungen an konkrete IT-Anwendungen, kann dies zu Änderungsanforderungen an diverse IT-Komponenten und auch –Leistungen führen. Dies realistisch einzuschätzen und die Umsetzung zielgerichtet vorzubereiten ist eine Aufgabe, die oft nur im Zusammenwirken verschiedener IT-Funktionen in einem gemeinsamen Prozess sichergestellt werden kann.

Geht es also um die Leistungsfähigkeit der IT aus Kundensicht, sitzen alle IT-Funktionen im selben Boot. Dieses Boot muss nun gesteuert werden. Wenn der Kunde seine Anforderungen eher an das Ergebnis der Leistungserstellung in der IT stellt, dann formuliert er Serviceanforderungen. Die Bereitstellung dieser Serviceschnittstelle und das kontinuierliche Sicherstellen der Serviceanforderungen erfordert eigene Prozesse. ITIL empfiehlt hierfür ein IT-Service Management.

Service Delivery Management

Service SupportManagement

Service LevelAvailability

CapacityService

ContinuityFinancial

IncidentProblemChangeReleaseConfiguration


Abbildung 3 Disziplinen des IT-Service Managements (Quelle: HiSolutions AG)

Das IT-Service Management nach ITIL lässt sich in zwei Prozessbereiche gliedern:

» Service Support Management liefert die Prozesse, die zur Unterstützung der Qualität und Wirtschaftlichkeit der Services im täglichen Betrieb notwendig sind. Diese Prozesse durchziehen alle Betriebsfunktionen und ermöglichen die Zusammenarbeit in der gemeinsamen Sicherstellung der Serviceanforderungen.

» Service Delivery Management liefert die Prozesse zur Planung und Umsetzung der Serviceanforderungen. Dies schließt das Management der IT-Services und Servicevereinbarungen, der Kosten und Servicewirtschaftlichkeit, der Verfügbarkeit und Servicefähigkeit, des optimalen Ressourceneinsatzes sowie der Vorsorge und Behandlung von Notfällen ein.

12

Hier sei angemerkt, dass mitunter ein beachtlicher Teil dieser Prozessaufgaben bereits heute im Rahmen des IT-Betriebs und der IT-Steuerung abgewickelt wird, nur nicht als Prozess organisiert ist. Damit sind meist auch deren Mengengerüste, Qualität und Aufwand nicht messbar. Dies ist aber eine grundlegende Managementaufgabe, wenn es um die Erreichung der Serviceziele in der IT geht. Die Umsetzung von IT-Service Management Prozessen hilft der IT-Organisation, alle Funktionen auf gemeinsame Serviceziele und deren Erreichung auszurichten. Umfang, Qualität und Wirtschaftlichkeit der Serviceerstellung werden hiermit mess- und steuerbar. Nicht nur den Kunden wird hiermit eine definierte Serviceschnittstelle angeboten. Die IT-Organisation ist somit auch in der Lage, die richtigen Serviceanforderungen an externe Dienstleister zu formulieren, bezogene Services richtig zu vereinbaren und die Inanspruchnahme angemessen zu managen. In kritischen Branchen wie Pharma, Medizintechnik oder Kreditwirtschaft reguliert hierfür sogar der Gesetzgeber die Anforderungen, insbesondere wenn es um das Outsourcing wesentlicher IT-Leistungen geht.

2.3 Prozesse an den Schnittstellen der IT IT-Service Management allein stellt nicht immer die Anforderungen an die Zusammenarbeit mit Kunden und externen Dienstleistern sicher. Dies ist insbesondere dort der Fall, wo der Kunde eine Vielzahl von Services in Anspruch nimmt, für die unterschiedliche Serviceverantwortung geregelt ist. Die Ausrichtung der IT an den Geschäftsanforderungen der Kunden erfordert Wissen über deren Prozesse und Anforderungen. Mitunter werden hierfür Prozesse in der Kundenbetreuung und eine entsprechende Kundenverantwortung in der IT organisiert. Dies trifft natürlich auch auf die Steuerung konkreter Dienstleister zu, für die oft eine entsprechende Lieferantenverantwortung geregelt wird.

Abbildung 4 Disziplinen des Beziehungsmanagements (Quelle: HiSolutions AG)

ITIL liefert deshalb weit mehr, als die hinreichend bekannten Service-Management-Empfehlungen. In der ITIL Business Perspective werden zudem Relationship Management Prozesse empfohlen, die mit dem Service Management zusammenwirken. Dies sind:

» Business Relationship Management (Management der Kundenbeziehungen)

13

» Supplier Relationship Management (Management von Dienstleisterbeziehungen, oft auch Provider Management genannt)

Je komplexer die Anforderungen an der Schnittstelle und je größer die Abhängigkeit der Partner voneinander sind, um so wichtiger wird das Beziehungsmanagement. Mitunter ist eine konkrete Kunden- und Dienstleisterverantwortung notwendig, um einen definierten Ansprechpartner anzubieten, der über alle wesentlichen Vorgänge in der Beziehung informiert ist und die Anforderungen beider Seiten kennt. Meist steuert er die Umsetzung von Anforderungen und koordiniert bzw. überwacht diese. Der internationale ISO 20000 Standard regelt neben IT-Service- und Security-Management auch das Relationship Management. Dies unterstreicht die Bedeutung des Beziehungsmanagements für die IT.

2.4 Management- und Querschnittsprozesse in der IT Die bereits genannten IT-Prozesse ermöglichen bereits, die Leistungen der IT auf den Bedarf der Anwender und Kunden auszurichten, entsprechend zu managen und Dienstleister gezielt einzubinden und angemessen zu steuern. Es werden aber auch Anforderungen an das Management des IT-Bereichs gestellt, die darüber hinausgehen.

Cus

tom

er

Sup

plie

r

Cus

tom

er

Sup

plie

r

Bus

ines

s R

elat

ions

hip

Man

agem

ent

Pro

vide

rM

anag

emen

t

Bus

ines

s R

elat

ions

hip

Man

agem

ent

Pro

vide

rM

anag

emen

t

IT-Management

Service Information & KnowledgeManagement

Strategie | Personal | Einkauf | Programm | Risiko | Sicherheit | Qualität

IT-Management

Service Information & KnowledgeManagement

Strategie | Personal | Einkauf | Programm | Risiko | Sicherheit | Qualität

Service Delivery Management

Service SupportManagement

Service LevelAvailability

CapacityService

ContinuityFinancial

IncidentProblemChangeReleaseConfiguration


Abbildung 5 Management- und Querschnittsprozesse (Quelle: HiSolutions AG)

Auch und gerade an eine Reihe übergeordneter Managementaufgaben werden wesentliche Prozessanforderungen gestellt, die in standardisierten Prozessen kontinuierlich zu erfüllen sind. Dies betrifft z.B.

» die Entwicklung, Abstimmung und Pflege der IT-Strategie » die Personalführung in der IT

14

» das Einkaufsmanagement als Grundlage für die Beschaffungsabwicklung » das Management von Projekten und Programmen » das Management von IT-Risiken » die Planung und Steuerung der Informationssicherheit » den Aufbau und die Pflege des Qualitätsmanagementsystems und des internen

Kontrollsystems » etc.

Auch ITIL berücksichtigt dies, allerdings ergeben sich konkrete Prozessanforderungen hier meist aus spezifischen Normen und Empfehlungen. Ohne Zweifel stellt die Gewährleistung der Informationssicherheit eine besondere und dauerhafte Herausforderung an das IT-Management dar. ITIL empfiehlt hier eine enge Verzahnung von Service und Security Management in der IT. Schließlich zählen die Sicherheitsanforderungen überall dort zu den wichtigsten IT-Serviceanforderungen,

» wo die Organisation über ihre hohe IT-Abhängigkeit verwundbar ist, » wo der Erfolg der Organisation von vertraulichen und integeren Informationen

abhängig ist und » wo rechtliche Rahmenbedingungen (z.B. Datenschutz) zu erfüllen sind.

Die Anforderungen an das Sicherheitsmanagement und die Sicherheit von IT-Ressourcen werden sowohl in internationalen Standards wie auch in den deutschen BSI-Standards konkretisiert. Auch darüber liefert das Dokument einen Überblick. Die oben genannten Managementaufgaben greifen natürlich in allen Bereichen der Service- und Leistungssteuerung. Das Bild rundet sich ab, wenn auch die integrierte Informationsbereitstellung und der Wissenstransfer in der überaus schnellebigen IT als Managementaufgabe gesehen werden. Dieses Service-Informationsmanagement ist in immer stärkerem Maße eine entscheidende Voraussetzung, um die Komplexität der Zusammenhänge zwischen Anforderungen, Services, Prozessen, Ressourcen und Technologien zu beherrschen.

15

3 Nutzung von Standards für die IT-Prozessoptimierung Serviceorientierte IT-Organisationen richten sich heute am weltweit akzeptierten Defacto-Standard ITIL aus. Defacto heißt in diesem Fall, dass es sich um eine Sammlung bewährter Prozesspraktiken in der IT handelt (Best Practices), die zunächst nicht in den Rang einer Norm überführt sind. ITIL ist das derzeit umfassendste Prozessrahmenwerk (Framework) für IT-Prozesse. Die Bibliothek liefert Empfehlungen für das IT-Service Management, für das Management von Kunden- und Lieferantenbeziehungen in der IT (Releationship Management), für eine Reihe von Leistungserstellungsprozessen (insbesondere im Anwendungs- und Infrastrukturbetrieb), für das Security Management in der IT sowie für das Vorgehen in der Implementation dieser Prozesse. Die Umsetzung der ITIL-Empfehlungen erfolgt in der Praxis in vielfältgster Form und mit unterschiedlichen Schwerpunkten. Die Frage nach der ITIL-Konformität einer IT-Service-Organisation kann erst beantwortet werden, wenn Mindestanforderungen auf einer halbwegs objektiven Grundlage definiert sind. Standards normieren solche verbindlichen Anforderungen und machen die Gestaltung und Wirksamkeit der IT-Prozessorganisation objektiv bewertbar. Die Suche nach dem einen grundsätzlichen Standard, der den Maßstab für die IT-Prozessbewertung liefert, wird ergebnislos verlaufen. Wenn es um die Bewertung des Entwicklungsstandes der IT-Organisation geht, wird man sich heute an einer Reihe wichtiger Standards orientieren müssen, die im Zusammenhang anzuwenden sind. ISO 20000 regelt Mindestanforderungen und weitergehende Empfehlungen für die Umsetzung des IT-Service-, Security- und Relationship-Managements in der IT. Die anderen ITIL-Prozessbereiche sind hier nicht berücksichtigt. Dies betrifft insbesondere Anforderungen an die eigentlichen Leistungserstellungsprozesse (IT-Beschaffung, Software- und Systementwicklung, IT-Betrieb). Ebenso regelt ISO 20000 keine Anforderungen an das IT-Projekt- und Programm-Management. Hier greifen andere Standards. Für die IT-Beschaffung in der Bundesverwaltung greifen die UfAB, die den Ausschreibungsprozess für Leistungen und Güter in der IT regeln. Für Entwicklungsvorhaben hat sich in der öffentlichen Verwaltung das V-Modell durchgesetzt. Dieses regelt das Vorgehen in Projekten, Anforderungen an das Projektmanagement und fachliche Anforderungen an Entwicklungsaktivitäten. Für die Softwareentwicklung sind zudem internationale Prozessstandards etabliert (ISO 12207 für Prozesse im Softwarelebenszyklus und ISO 15504 für die Bewertung von Prozessen am Beispiel der Softwareentwicklung). Während ITIL hier den gesamten Entwicklungsprozess als eine Phase im Application Management grob berücksichtigt gehen die genannten Standards konkreter auf einzelne Prozessanforderungen ein. ITIL definiert grundsätzliche Anforderungen an die Implementation des Security Managements, die auch im ISO 20000 Standard berücksichtigt sind. Für die Bewertung der Sicherheitsorganisation haben sich daneben spezifische Standards etabliert, die konkretere Anforderungen auf der technischen und organisatorischen Ebene formulieren. Anerkannt sind hier die umfassenden Sicherheitsstandards der BSI, die auch die internationale Norm ISO 27001 mit einschließen. Für das integrierte Management der IT entsprechend IT-Governance-Anforderungen hat sich zudem weltweit ein Rahmenwerk von Kontrollzielen etabliert, das als COBIT-Framework bekannt ist. Dieses definiert Anforderungen für das Interne Kontrollsystem

16

der IT, mit denen IT-Leitung und IT-Revision die Abweichungen in der Steuerbarkeit und Wirksamkeit wesentlicher IT-Prozesse ermitteln können. Berücksichtigt werden hierbei sowohl Führungsprozesse in der IT, als auch Beschaffungs-, Entwicklungs-, Betriebs- sowie Service- und Datenmanagementprozesse. Ebenso sind Aufbau und Management des Internen Kontrollsystems (IKS) geregelt. Gerade weil ITIL eine sehr umfassende und zugleich visionäre Best Practice Sammlung ist, fällt die Umsetzung mit den richtigen Schwerpunkten in einer konkreten Organisation und in den richtigen Schritten oft schwer. Dazu tragen die komplexen Prozesszusammenhänge bei, die in der Integration zu berücksichtigen sind und aus denen sich vielfältige Abhängigkeiten in der Prozessumsetzung ergeben. ISO 20000 hilft hier bereits, da diese Norm explizit Mindestanforderungen regelt, auf die man sich zunächst konzentrieren sollte. Mit dem Capability Maturity Model (CMM) steht zudem ein standardisiertes Modell für die Ermittlung der Prozessreife zur Verfügung. Wenn Prozesse schrittweise weiterentwickelt werden, hilft dieses Modell, die richtigen Schwerpunkte zu setzen und die naheliegenden Optimierungsziele für die nächste Entwicklungsstufe zu identifizieren. Dies ermöglicht eine gezielte und schrittweise Entwicklung der Prozesse und damit auch einen schnelleren Erfolg der Prozessoptimierung mit geringeren Umsetzungsrisiken. Die hier genannten Standards bilden also ein zusammenhängendes Instrumentarium für IT-Leiter und Prozessverantwortliche, um die IT-Organisation gezielt auf ITIL-Anforderungen auszurichten und dabei etablierte Maßstäbe zugrunde zu legen. Nachfolgend wird ein Überblick über diese Standards geliefert. Wo dies sinnvoll ist, wird auch auf weitere Standards verwiesen, an denen man sich zur Vertiefung des Wissens über Prozessanforderungen orientieren kann.

17

4 Standards im IT-Service Management Die IT Infrastructure Library (ITIL) liefert bewährte Praktiken (Best Practices) für die Gestaltung von IT-Prozessen. Diese gelten inzwischen weltweit als De-facto-Standard. Neben klassischen Betriebsprozessen im System- und Anwendungsbetrieb liefert ITIL vor allem integrierte Methoden für die Planung und Steuerung von IT-Services, für die Gestaltung von Kunden- und Lieferantenbeziehungen der IT-Organisation und für die Sicherstellung der Informationssicherheit. Das IT-Service Management gilt inzwischen als das zentrale organisatorische Instrument für die Ausrichtung IT an den Geschäftsanforderungen und für die Steuerung der IT-Services gemäß Kundenanforderungen. Die Service-Management-Prozesse bilden den Kern von ITIL. Sie sind das Rückgrat der IT-Organisation, denn sie ermöglichen

» die Planung und Steuerung der IT-Services gemäß Geschäftsanforderungen » die Umsetzung der Anforderungen im Servicekatalog und in den IT-Prozessen, » die effektive Zusammenarbeit der unterschiedlichen IT-Funkionen zur

Sicherstellung der gemeinsamen Serviceziele, » die Steuerung externer IT-Dienstleister und deren Einbindung in das

Servicekonzept » sowie die durchgängige Qualitätssicherung in der Serviceerstellung.

4.1 ISO 20000 Der ISO 20000 Standard schlägt die Brücke von ISO 9000:2000 im Aufbau von Qualitätsmanagement-Systemen hin zur wirksamen Umsetzung des IT-Service Managements gemäß ITIL Best Practices und macht diese Prozesse zertifizierbar, indem konkrete Mindestanforderungen definiert werden. Darüber hinaus werden Empfehlungen zur Weiterentwicklung des Service-Managements geliefert.

4.1.1 Überblick Gegenstand ISO 20000 definiert eine integrierte und prozessorientierte Methodik für

eine effektive Planung und Erstellung von IT-Services. Der Standard definiert zudem Minimalanforderungen, mit denen IT-Organisationen die Effektivität ihrer Service-Management-Prozesse überprüfen können. Gegenstand sind die ITIL-Prozesse im: » Service Support Management » Service Delivery und Security Management » Business Relationship Management » Supplier Management

Anwendung In folgender Weise kann der Standard angewendet werden: » ITIL-Implementation: Für die Etablierung der Service-Management-

Verfahren gemäß ITIL liefert der Standard Mindestanforderungen und weitergehende Umsetzungshinweise. Damit wird ein objektiver

18

Maßstab für anzustrebende Umsetzungsziele geliefert, an dem sich das IT-Management orientieren kann.

» Selbstbewertung: ISO 20000 kann als Grundlage für ein Self Assessment der IT-Service-Management-Prozesse hinsichtlich Wirksamkeit und Erfüllung von Mindestanforderungen genutzt werden.

» Zertifizierung: Über eine Zertifizierung kann die IT-Organisation zudem ihre Fähigkeit nachweisen und von unabhängiger Seite bestätigen lassen, die ITIL Best Practices wirksam in die eigene Praxis umgesetzt zu haben.

Historie Die Entwicklung begann 1995 in Großbritannien mit der Veröffentlichung „A code of practice for Service Management“ (PD0005:1995/1998). Im Jahr 2000 wurde der British Standard BS 15000 als erster Standard für ITIL-basierendes IT-Service Management veröffentlicht. Dieser bestand aus folgenden Teilen: » BS 15000-1: 2000 Part 1: Specification for Service Management » BS 15000-2: 2000 Part 2: Code of Practice for Service Management » PD0015: 2000 IT-Service Management Self-assessment Workbook Nach einer Anlaufphase, in der verschiedene Organisationen Erfahrungen mit dem Standard sammelten, wurden die 3 Bestandteile überarbeitet und um ein Dokument erweitert: » BS 15000-1: 2002 Part 1: Specification for Service Management » BS 15000-2: 2003 Part 2: Code of Practice for Service Management » PD0005: 2003 IT-Service Management: A Manager’s Guide » PD0015: 2002 IT-Service Management Self-assessment Workbook Die Inhalte des BS 15000 wurden nun in den internationalen ISO 20000 Standard überführt. Dieser löst damit BS 15000 in seiner Bedeutung ab und ist nun der weltweit akzeptierte Zertifizierungsstandard für IT-Service Management auf Basis von ITIL.

Zertifizierung IT-Organisationen sind nach ISO 20000 zertifizierbar. » Part 1 definiert hierfür die zu erfüllenden Mindestanforderungen » Part 2 liefert darüber hinausgehende Anforderungen, an denen sich

die IT-Organisation orientieren sollte. » PD0015 liefert konkrete Bewertungsfragen, die die Anforderungen

aus Part 1 und 2 konkretisieren helfen. Geprüft wird ein zu definierender Umfang (Scope). Dieser setzt sich aus hierfür ausgewählten IT-Services zusammen. An diesen Services wird die Wirksamkeit der Service-Management-Prozesse im Zusammenhang nachgewiesen. Dabei werden Umfang, Inhalt und Wirksamkeit der Prozessregelungen gemäß der formulierten Anforderungen geprüft. Auf die Prüfung des Security Managements in ISO 20000 kann verzichtet werden, wenn dieser Prozess bereits nach ISO17799 zertifiziert wurde.

Referenz www.iso.org

19

http://www.iso.org/

4.1.2 Grundkonzepte Management- Zentraler Ansatz des ISO 20000 ist ein geschlossener zyklus für IT- Managementzyklus für IT-Services. Dieser PDCA-Zyklus (plan, do, Services check, act) ist das Grundmuster für Managementprozesse. So kann der

IT-Bereich nachweisen, dass er die gezielte Umsetzung von Anforderungen an die Prozesse planen, die konkrete Umsetzung steuern, die erzielten Ergebnisse überwachen und bewerten und die Prozesse entsprechend kontinuierlich verbessern kann.

Geschäfts- Services managen Geschäfts-anforderungen ergebnisse

ManagementverantwortungKunden- Kunden-anforderungen zufriedenheit

PLANService Änderungsauftrag Neuer oder

Management für Service geänderter Serviceplanen

Andere AndereDO ACTProzesse Service ProzesseKontinuierlich Management verbessernimplementieren

Service DeskMitarbeiter-CHECK

zufriedenheitÜberwachen, messen, prüfenAndere Teams

Abbildung 6 Methodik des Service-Managements (Quelle: BS Institution) Die eingeführten Verfahren müssen geeignet sein, ein Management in dieser Durchgängigkeit zu gewährleisten.

Prozess- ISO 20000 übernimmt das ITIL-Prozessmodell für IT-Service modell Management. Voraussetzung für eine Zertifizierung ist, dass diese

Prozesse ausnahmslos innerhalb des festgelegten Scopes (Serviceumfangs) greifen.

20

Service Delivery Prozesse

Steuerungsprozesse(Control)

Configuration ManagementChange Management

Lösungsprozesse(Resolution)

Incident ManagementProblem Management

Beziehungs-management(Relationship)

Business RelationshipManagement

Supplier Management

Releaseprozess

Release Management

Capacity ManagementService Continuity Management

Availability Management

Service Level ManagementService Reporting Information Security

ManagementBudgeting & Accounting for

IT-Services

Abbildung 7 Prozessmodell des IT-Service Managements (Quelle: BS Institution)

4.1.3 Aufbau Die folgende Abbildung veranschaulicht die Zusammenhänge zwischen ITIL, den eigenen Prozessen und dem Gegenstand der 4 Dokumente im ISO 20000 Standards.

Eigene Prozesse und Verfahren

ITILProzessdefinition

PD 0005Managementüberblick

Part 2Code of Practice

Part 1Specification

PD 0015Workbook

OGCQuestionnaires

Abbildung 8 Standardisierung der ITIL Best Practices (Quelle: BS Institution)

21

Die Anforderungen sind nach Managementphasen und Prozessen gegliedert. Sie gliedern sich stets in Ziele (Objectives) und definierte Anforderungen zur Erfüllung dieser Ziele (Requirements). Nachfolgend wird die inhaltliche Struktur zusammengefasst: Part 1 1. Gegenstand (Scope)

2. Begriffe und Definitionen im IT-Service Management 3. Anforderungen an ein Management-System

3.1 Managementverantwortung 3.2 Dokumentationsanforderungen 3.3 Kompetenz, Bewusstsein und Training

4. Service Management planen und implementieren 4.1 Service Management planen 4.2 Service Management implementieren 4.3 Überwachen, messen und begutachten 4.4 Kontinuierliche Verbesserung

5. Neue oder geänderte Services planen und implementieren 6. Service Delivery Prozess

6.1 Service Level Management 6.2 Service Reporting 6.3 Availability und Service Continuity Management 6.4 Budgeting und Accounting für IT-Services 6.5 Capacity Management 6.6 Information Security Management

7. Relationship Prozesse 7.1 Business Relationship Management 7.2 Supplier Management

8. Resolution Prozesse 8.1 Incident Management 8.2 Problem Management

9. Control Prozesse 9.1 Configuration Management 9.2 Change Management

10. Release Prozess 10.1 Release Management

Part 2 Der Teil 2 „Code of practice for Service Management“ hat die gleiche Struktur und erweitert die Mindestanforderungen um zusätzliche Anforderungen und Umsetzungshinweise.

PD0015 Das „IT-Service Management Self-assessment workbook“ beinhaltet einen strukturierten Frageboden, der sich in folgende Abschnitte gliedert:

1. Überblick 2. IT-Service Management high-level concerns (Wirksamkeit des

22

Service Managements im Zusammenhang) 2.1 Prozessüberblick (Organisation des Prozesses) 2.2 Prozessumfang (Abdeckung des Prozesses) 2.3 Prozessaktivitäten (Wirksamkeit der Verfahren im Prozess) 2.4 Steuerung, Reporting und Auditierung des Prozesses

3. Der Prozess (bewertet das Qualitäts- und Prozessmanagement und ist auf jeden einzelnen ITSM-Prozess anzuwenden; die Fragen gliedern sich ebenso in 4 Unterabschnitte analog 2.)

4.-16. Weiterer Block je Prozess (bewertet die fachlichen Anforderungen an den Prozess und gliedert sich ebenso in 4 Unterabschnitte analog 2.)

Die Fragen können mit JA (erfüllt), NEIN (nicht erfüllt), PROGRESS (in Umsetzung) oder N/A (nicht relevant) beantwortet werden.

4.2 Weiterführende Standards ISO 10007 Guidelines for Configuration Management

Der Standard liefert eine branchenneutrale Konkretisierung der Anforderungen an das Configuration Management für Produkte. Diese lassen sich auf das Management von IT-Service-Konfigurationen als Dienstleistungsprodukte der IT-Organisation übertragen. www.iso.org Ergänzend hierzu verweisen wir für das Konfigurationsmanagement von IT-Produkten auch auf den US-Standard EIA-649 » EIA-649: National Consensus Standard for configuration management» GEIA-HB-649: Implementation Guide for configuration management Dies ist ein nationaler Standard der Government Electronics and Information Technology Association und ersetzt den Militärstandard MIL-STD-973 durch industrielle Best-Practices der IT-Branche. www.geia.org

ISO 19770 Software Asset Management Der Standard ISO 19770-1:2006 konkretisiert die Anforderungen an das Asset Management für eingesetzte Softwareprodukte (SAM) und gilt im Zusammenhang mit ISO 12207 (Software Lifecycle Management) und ISO 20000 (IT-Service Management). www.bsi-global.com

ISO 17799 Siehe Standards im Security Management

ISO 27001 Siehe Standards im Security Management

23

http://www.iso.org/

http://www.geia.org/

http://www.bsi-global.com/

5 Standards im Information Security Management Im Hinblick auf die Gewährleistung der Informationssicherheit und die Optimierung der hierfür notwendigen Aufwände greifen Behörden und Unternehmen auf Standards zurück. Diese liefern konkrete, einheitliche und aufeinander abgestimmte Anforderungen und unterstützen die gezielte Umsetzung von Massnahmen. In der heutigen IT haben sich sowohl für Sicherheitsanforderungen an Produkte als auch für das Management der Informationssicherheit unterschiedliche Kriterienwerke etabliert. Diese Standards überlappen teilweise inhaltlich, setzen jedoch auch unterschiedliche Schwerpunkte und richten sich an verschiedene Zielgruppen. Dabei darf nicht vergessen werden, dass es hierbei nicht um „besser“ oder „schlechter“ geeignete Standards geht, sondern um die Nutzung dieser Empfehlungen zur Erreichung verschiedener Ziele. Nachfolgend werden einige der meist genutzten Standards für Informationssicherheit erläutert.

5.1 IT-Grundschutz-Standards des BSI Die IT-Grundschutz-Standards des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sind die Richtlinien zur Etablierung des IT -Sicherheitsmanagements und haben sich über die öffentliche Verwaltung hinaus zu einem anerkannten Standard entwickelt. Sie bieten Methoden zum Umgang mit den wachsenden Gefährdungspotentialen und den zunehmenden Abhängigkeiten in Bezug auf die IT-Sicherheit. Die BSI-Standards zeigen auf, wie ein angemessenes Sicherheitsniveau erreicht werden kann.

5.1.1 Überblick Gegenstand Die IT-Grundschutz-Standards mit den definierten Katalogen bieten

Empfehlungen sowie Lösungsvorschläge in Bezug auf IT-Sicherheit zur Etablierung eines IT-Sicherheitsmanagements, zum Umgang mit Gefährungen in der IT-Sicherheit oder zur Erstellung einer Risikoanalyse. Ferner benennen sie Hilfsmittel für zahlreiche IT-Konfigurationen zum Umgang mit gängigen Sicherheitsproblemen. Einerseits bieten die BSI-Standards eine fachliche Unterstützung, indem sowohl Behörden und Unternehmen als auch Hersteller von Informationstechnik oder Dienstleister auf Empfehlungen der bewährten Methoden, Prozesse und Verfahren des BSI zurückgreifen können. Der IT-Grundschutz wird in zwei Bereiche aufgeteilt:

1. IT-Grundschutz-Standards: o BSI-Standard 100-1 Managementsysteme für

Informationssicherheit (ISMS). o BSI-Standard 100-2 IT-Grundschutz-Vorgehensweise o BSI-Standard 100-3 Risikoanalyse auf der Basis von IT-

Grundschutz 2. Grundschutzkataloge:

Hierin werden konkrete Gefahren und zugehörige Maßnahmen definiert, die eine Organisation umsetzen sollte, um ein angemessenes Sicherheitsniveau zu erreichen.

24

Anwendung Die IT-Grundschutz-Standards finden ihren Einsatz zur Erreichung folgender Ziele: » Aufbau und Betrieb eines IT-Sicherheitsmanagements: der IT-

Grundschutz des BSI bietet eine standardisierte Vorgehensweise für den Aufbau und Betrieb eines IT-Sicherheitsmanagements, welche einerseits die zu betrachtenden Anforderungen und andererseits die Ableitung der notwendigen Schritte definiert. Die allgemeinen Anforderungen werden im BSI-Standard 100-1 beschrieben - dieser Standard ist vollständig kompatibel zum ISO-Standard 27001 und berücksichtigt außerdem die Empfehlungen der ISO-Standards 13335 und 17799. Ergänzend dazu wird im BSI-Standard 100-2 die Vorgehensweise beschrieben, mit der ein IT-Sicherheitsmanagement in der Praxis schrittweise aufgebaut und betrieben werden kann. Damit werden die Anforderungen interpretiert und in den IT-Grundschutz-Katalogen Standard-Sicherheitsmaßnahmen für die praktische Implementierung eines angemessenen IT-Sicherheitsniveaus empfohlen.

» Risikoanalyse auf der Basis von IT-Grundschutz: das BSI hat einen Standard zur Risikoanalyse auf der Basis von IT-Grundschutz entwickelt, welcher eine ergänzende Risikoanalyse an die IT-Grundschutz Analyse ermöglicht. Mit dieser Methodik des BSI-Standards 100-3 wird sichergestellt, dass auch die über das normale Maß hinausgehenden Sicherheitsanforderungen behandelt werden.

» Zertifizierung: Seit Anfang des Jahres 2006 können ISO 27001-Zertifikate auf der Basis von IT-Grundschutz beim BSI beantragt werden. Dies erfolgt im Rahmen eines Audits durch einen BSI-lizenzierten Auditor. Bis Ende 2006 hat jede Institution außerdem weiterhin die Möglichkeit, IT-Grundschutz-Zertifikate nach altem Prüfschema zu beantragen.

Historie Die Entwicklung der IT-Grundschutz Kataloge begann 1994. Seit dem wurde das IT-Grundschutzhandbuch kontinuierlich fortgeschrieben und an den Fortschritt in der IT angepasst. 2005 ist das IT-Grundschutzhandbuch in verschiedenen Bereichen umstrukturiert worden. Unter anderem wurde die erweiterte Risikoanalyse stärker integriert und neue Bausteine hinzugefügt. Siehe auch Abbildung 9: BSI-Standard Reihe.

Zertifizierung Das BSI zertifiziert IT-Verbünde, also das Zusammenspiel von infrastrukturellen, organisatorischen, personellen und technischen Komponenten, die zur Umsetzung von Geschäftsprozessen und Fachaufgaben dienen. Die BSI-Zertifizierung umfasst sowohl eine Prüfung des Managementsystems für Informationssicherheit als auch die Prüfung der konkreten (sowohl technischen als auch organisatorischen) IT-Sicherheitsmaßnahmen auf Basis von IT-Grundschutz. Aufgrund von Nachfragen aus der Verwaltung und Wirtschaft, die internationale Zertifizierungsnorm abzudecken, können seit Anfang des Jahres 2006 ISO 27001-Zertifikate auf der Basis von IT-Grundschutz beantragt werden. Die ISO 27001-Zertifizierung wurde um zusätzlich

25

geprüfte technische Aspekte erweitert. Somit ist ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz wesentlich aussagekräftiger. Folgende Zertifikate können beim BSI beantragt werden:

1. IT-Grundschutz-Zertifikate nach altem Prüfschema (bis Ende 2006): diese beinhalten zwei Vorstufen des eigentlichen IT-Grundschutz-Zertifikats:

o das Auditor-Testat "IT-Grundschutz Einstiegsstufe" o das Auditor-Testat "IT-Grundschutz Aufbaustufe“

Die Testate dürfen nur von beim BSI-lizenzierten Auditoren vergeben werden. Innerhalb der Testate muss nur ein „Sub-Set“ der für ein Zertifikat notwendigen Maßnahmen umgesetzt sein. Sie gelten als Hinführung zum eigentlichen Zertifikat mit der eine Organisation dokumentieren kann, IT-Sicherheit bereits implementiert zu haben.

2. ISO 27001-Zertifikats auf der Basis von IT-Grundschutz Dies erfolgt im Rahmen eines Audits und darf nur durch einen vom BSI lizenzierten ISO 27001-Grundschutz-Auditor ausgestellt werden:

Ja Nein Nein Wiederholbar

2 Jahre 2 Jahre 2 Jahre G ü ltig

BSI Keine Keine Pr ü fung des Auditreports

27001 - Auditor GS - Auditor GS -Auditor Anforderungen an den Pr ü fer

Ca. 82% Ca. 72% Ca. 55% Anzahl der Maßnahmen

ISO 27001 -Zertifikat

Testat „ Aufbaustufe “

Testat „Einstiegsstufe “

Ja Nein Nein Wiederholbar

2 Jahre 2 Jahre 2 Jahre G ü ltig

BSI Keine Keine Pr ü fung des Auditreports

27001 - Auditor GS - Auditor GS -Auditor Anforderungen an den Pr ü fer

Ca. 82% Ca. 72% Ca. 55% Anzahl der

ISO 27001 -Zertifikat

Testat „ Aufbaustufe “

Testat „Einstiegsstufe “

Abbildung 9 Zertifizierung (Quelle: BSI)

Referenz http://www.bsi.de/gshb/index.htm www.iso.org

5.1.2 Grundkonzepte Management- Der Grundgedanke der IT-Grundschutz-Standards ist es, ein für die system für die Behörde oder das Unternehmen angemessenes Sicherheitsniveau zu IT-Sicherheit schaffen. Dies wird erreicht, indem ein Managementsystem für die

Informationssicherheit (ISMS) etabliert wird. Dabei wird Wert darauf gelegt, dass das Sicherheitsniveau in erster Linie von der Wirksamkeit des IT-Sicherheitsmanagements und erst in zweiter Linie von einzelnen technischen Maßnahmen abhängig ist. Es wird folgendes unterstrichen: » Die Leitungsebene trägt die Verantwortung dafür, dass wichtige

26

http://www.bsi.de/gshb/index.htm

http://www.iso.org/

Geschäftsprozesse störungsfrei ablaufen und sicherheitsrelevante Regelungen mit Dritten eingehalten werden

» Die Leitungsebene verantwortet und treibt die Integration des IT-Sicherheitsmanagements in Organisationsstrukturen und Prozesse voran

Das BSI empfiehlt folgende Methodik zur Umsetzung eines IT-Sicherheitsmanagements:

IT-Strukturanalyse

IT - Verbund Analyse des IST-Zustands Welche Systeme und Anwendungen?

Feststellung des Schutzbedarfs

IT-Grundschutzanalyse Modellierung des IT-Verbunds (Auswahl der Massnahmen)

Basis-Sicherheitscheck (Soll - Ist - Vergleich)

Ergänzende Sicherheitsanalyseca. ca. bei hohem Schutzbedarf

80% 20%

» Infrastruktur Konsolidierung der Maßnahmen » Organisation» Personal

Realisierung der Maßnahmen » Technik

Abbildung 10 Vorgehen nach IT-Grundschutz (Quelle: BSI)

Abhängig von Menge und Umfang der umgesetzten Maßnahmen ist anschließend die Beantragung einer Zertifizierung (siehe Kapitel 4.1.1 Überblick, Zertifizierung) möglich.

Erweiterte Die aus den Grundschutzkatalogen umzusetzenden Maßnahmen Risikoanalyse sorgen für die Erreichung eines „normalen“ Sicherheitsniveaus und

sind in der Regel angemessen und ausreichend zur Absicherung von typischen IT-Landschaften. Gehen die Sicherheitsanforderungen deutlich über das normale Maß hinaus, kann eine erweiterte Risikoanalyse durchgeführt werden. Hierfür kann es verschiedene Gründe geben: » ein hoher oder sehr hoher Schutzbedarf in mindestens einem der

drei Grundwerte: Vertraulichkeit, Integrität oder Verfügbarkeit erwartet wird

» wenn die Anwendungsgebiete mit den existierenden Bausteinen des IT-Grundschutzes nicht hinreichend abgebildet (modelliert) werden können

27

» wenn die Anwendungsgebiete in Einsatzszenarien (Umgebung, Anwendung) betrieben werden, die im Rahmen des IT-Grundschutzes nicht vorgesehen sind

Der zur Durchführung der Risikoanalyse durch das BSI erarbeitete Standard bietet eine Methodik, wie mit möglichst geringem Aufwand für bestimmte Zielobjekte festgestellt werden kann, ob und in welcher Hinsicht über den IT-Grundschutz hinaus Handlungsbedarf zur Begrenzung von IT-Risiken besteht.

Normaler SchutzbedarfNormaler Schutzbedarf Erhöhter SchutzbedarfErhöhter Schutzbedarf

IT-Grundschutz Teil 1IT-Grundschutz Teil 1Erstellung derErstellung der

- IT-Strukturanalyse- IT-Strukturanalyse GefährdungsübersichtGefährdungsübersicht

- Schutzbedarfsfeststellung- Schutzbedarfsfeststellung

- Modellierung- Modellierung Ermittlung zusätzlicherErmittlung zusätzlicherGefährdungenGefährdungen

- Basis-Sicherheitscheck- Basis-Sicherheitscheck

GefährdungsbewertungGefährdungsbewertung

Maßnahmenauswahl zurMaßnahmenauswahl zurIT-Grundschutz Teil 2IT-Grundschutz Teil 2Behandlung vonBehandlung von RisikenRisiken

- Erg. Sicherheitsanalyse- Erg. Sicherheitsanalyse

- Realisierung- Realisierung Konsolidierung desKonsolidierung des- Zertifizierung- Zertifizierung IT-SicherheitskonzeptsIT-Sicherheitskonzepts

Abbildung 11 erweiterte Risikoanalyse (Quelle BSI)

5.1.3 Aufbau Die BSI-Standard Reihe kann folgendermaßen abgebildet werden:

28

Abbildung 12 BSI-Standard Reihe (Quelle BSI)

Die drei Standards mit den IT-Grundschutz Katalogen des BSI im IT-Sicherheitsmanagement verfolgen folgende Anforderungsbereiche: BSI-Standard 100-1 Hier werden allgemeine Anforderungen an ein ISMS definiert

und beschrieben. Er bietet den Lesern eine leicht verständliche und systematische Anleitung, unabhängig davon, mit welcher Methode sie die Anforderungen umsetzen möchten. Inhalte des BSI-Standard 100-1 sind:

• ISMS-Definition und Prozessbeschreibung o Komponenten eines Managementsystems für

Informationssicherheit o Prozessbeschreibung und Lebenszyklus-Modell o Lebenszyklus in der IT-Sicherheit o Beschreibung des IT-Sicherheitsprozesses

• Management-Prinzipien o Aufgaben und Pflichten des Managements o Aufrechterhaltung der IT-Sicherheit und

kontinuierliche Verbesserung o Kommunikation und Wissen

• Ressourcen für IT-Betrieb und IT-Sicherheit • Einbindung der Mitarbeiter in den IT-

29

Sicherheitsprozess

• IT-Sicherheitsprozess o Planung des IT-Sicherheitsprozesses o Umsetzung der IT-Sicherheitsleitlinie o Erfolgskontrolle im IT-Sicherheitsprozess

• IT-Sicherheitskonzept o Erstellung, Umsetzung, Erfolgskontrolle und

Verbesserung des IT-Sicherheitskonzepts

• Das ISMS des BSI: IT-Grundschutz o IT-Sicherheitsprozess nach IT-Grundschutz o Risikobewertung o Erstellung der IT-Sicherheitskonzeption

BSI-Standard 100-2 Hier wird Schritt für Schritt beschrieben, wie ein IT-Sicherheitsmanagement in der Praxis aufgebaut und betrieben wird. Die Methodik baut auf den BSI-Standard 100-1 auf und erläutert die dort vorgestellte Vorgehensweise des IT-Grundschutzes: Inhalte des BSI-Standard 100-2 sind:

• IT-Sicherheitsmanagement mit IT-Grundschutz o Erstellung einer IT-Sicherheitskonzeption o Übernahme von Verantwortung durch die

Leitungsebene

• Initiierung des IT-Sicherheitsprozesses o Konzeption und Planung des IT-

Sicherheitsprozesses o Ermittlung von Rahmenbedingungen o Formulierung von allgemeinen IT-Sicherheitszielen o Erstellung einer IT-Sicherheitsleitlinie o Aufbau einer IT-Sicherheitsorganisation o Bereitstellung von Ressourcen für die IT-Sicherheit o Einbindung aller Mitarbeiter in den IT-

Sicherheitsprozess

• Erstellung einer IT-Sicherheitskonzeption nach IT-Grundschutz

o IT-Strukturanalyse o Erfassung des IT-Verbunds o Netzplanerhebung o Erhebung der IT-Systeme

30

o Erfassung der IT-Anwendungen und der zugehörigen Informationen

o Erfassung der Räume o Schutzbedarfsfeststellung (IT-Anwendungen, IT-

Systeme, Kommunikationsverbindungen, Räume) o Interpretation der Ergebnisse der

Schutzbedarfsfeststellung o Auswahl der Maßnahmen: Modellierung nach IT-

Grundschutz o Modellierung eines IT-Verbunds o Basis-Sicherheitscheck o Organisatorische Vorarbeiten o Durchführung des Soll-Ist-Vergleichs o Dokumentation der Ergebnisse o Integration der ergänzenden Sicherheitsanalyse in

die IT-Grundschutz Vorgehensweise o Realisierung von IT-Sicherheitsmaßnahmen

• Aufrechterhaltung der IT-Sicherheit und kontinuierliche Verbesserung

o Überprüfung des IT-Sicherheitsprozesses in allen Ebenen

o Informationsfluss im IT-Sicherheitsprozess o IT-Grundschutz Zertifizierung

.

BSI-Standard 100-3 Hier wird die Methodik erklärt, wie mit Hilfe der in den IT-Grundschutz-Katalogen aufgeführten Gefährdungen eine Analyse von zusätzlichen IT-Risiken für Ressourcen mit höherem Schutzbedarf durchgeführt werden kann. Inhalte des BSI-Standard 100-3 sind:

• Vorarbeiten

o Initiierung des IT-Sicherheitsprozesses o IT-Strukturanalyse o Schutzbedarfsfeststellung o Modellierung der IT-Grundschutz Vorgehensweise o Basis-Sicherheitscheck o ergänzende Sicherheitsanalyse

• Erstellung der Gefährdungsübersicht • Ermittlung zusätzlicher Gefährdungen • Gefährdungsbewertung

31

• Behandlung von Risiken • Konsolidierung des IT-Sicherheitskonzepts

• Rückführung in den IT-Sicherheitsprozess

IT-Grundschutz Die IT-Grundschutz Kataloge empfehlen auf Basis bekannter Kataloge Gefahren und Schwachstellen Maßnahmenbündel, bei deren

Umsetzung ein Basissicherheitsniveau (Grundschutz) innerhalb einer Organisation implementiert werden kann. Die Maßnahmen können auf für typische IT-Konfigurationen, Umfeld- und Organisationsbedingungen angewandt werden. Sie bieten verständliche, dem Stand der Technik entsprechende Empfehlungen für sinnvolle technische und nicht-technische Standardsicherheitsmaßnahmen. Die IT-Grundschutz Kataloge sind ebenfalls als ein Nachschlagewerk zu allen Fragen der IT-Sicherheit und ebenso als eine einfache Verfahrensweise zur Ermittlung des erreichten IT-Sicherheitsniveaus in Form eines Soll-Ist-Vergleichs zu verstehen - das Verfahren selbst wird in BSI-Standard 100-2 beschrieben, in den Katalogen können die entsprechenden Maßnahmen, mit denen das Verfahren durchgeführt werden kann, nachgeschlagen werden. Durch die geeignete Anwendung der vom IT-Grundschutz empfohlenen organisatorischen, personellen, infrastrukturellen und technischen Standard-Sicherheitsmaßnahmen wird ein IT-Sicherheitsniveau für die betrachteten Geschäftsprozesse erreicht, das für den normalen Schutzbedarf angemessen und ausreichend ist und als Basis für hochschutzbedürftige Geschäftsprozesse dienen kann. Mit ihren Gefährdungen und Maßnahmen geben die Kataloge einen Rahmen vor, wie ein effizientes Managementsystem für die Informationssicherheit aufgebaut werden kann. Ergänzend zu der Vorgehensweise nach IT-Grundschutz werden in den IT-Grundschutz-Katalogen Implementierungshilfen für den IT-Sicherheitsprozess in Form von Standard-Sicherheitsmaßnahmen zur Verfügung gestellt. Für typische Prozesse, Anwendungen und Komponenten in der Informationstechnik werden außerdem geeignete Bündel ("Bausteine") von Standardsicherheitsmaßnahmen genannt– sie spielen auch die zentrale Rolle der Kataloge. Diese Bausteine sind entsprechend ihrem jeweiligen Fokus in fünf Schichten aufgeteilt: » Schicht 1: übergeordnete Aspekte » Schicht 2: baulich-technische Gegebenheiten » Schicht 3: einzelne IT-Systeme » Schicht 4: Vernetzungsaspekte der IT-Systeme » Schicht 5: Anwendungen

32

5.2 ISO 27001 ff ISO/IEC 27001:2005 ist der erste gültige Standard der 2700X-Familie. Er ermöglicht eine international anerkannte Zertifizierung der IT-Sicherheit.

5.2.1 Überblick Gegenstand Der ISO 27001 spezifiziert die Anforderungen an ein

Informationssicherheitsmanagementsystem, indem er generische IT-Sicherheitsmaßnahmen benennt. Er beschäftigt sich mit der » Implementierung » Überwachung » Instandhaltung » Prüfung » und Verbesserung eines ISMS unter Berücksichtigung der Risiken innerhalb der gesamten Organisation. Diese Norm spezifiziert Anforderungen für die Implementierung von geeigneten Sicherheitsmechanismen, die an die Gegebenheiten der konkreten Organisationen angepasst werden.

Anwendung Der Standard ISO 27001 ist generisch und daher in verschiedenen Bereichen einsetzbar: » Festlegung von Anforderungen und Zielen in der IT-Sicherheit:

ISO 27001 benennt Grundsatzanforderungen an das Management (bzgl. Planung, Realisierung, Überwachung und kontinuierlicher Verbesserung) der Informationssicherheit in einer Behörde oder einem Unternehmen.

» Aufbau, Management und Optimierung eines ISMS: Für die Einrichtung eines ISMS werden Ziele, Prozesse und Verfahren definiert, die relevant für den Umgang mit IT-Risiken sind. Diese werden nach ihrer Umsetzung gemessen und überwacht; daraus werden Optimierungsmaßnahmen abgeleitet.

» Identifikation und Definition von Managementfunktionen und -aufgaben: ISO 27001 kann als Grundlage für die Ableitung und Festlegung der Verantwortlichkeiten der Leitungsebene für die IT-Sicherheit verwendet werden. Darunter sind u.a. folgende Aktivitäten zu verstehen: Erstellung einer ISMS Richtlinie, Erstellung der ISMS Ziele und Pläne (inkl. Umgang mit den IT-Ressourcen), Benennung der Rollen und Verantwortlichkeiten, Bereitstellung von Ressourcen

» Audit-Basis zur Feststellung des Umsetzungsgrades von Richtlinien und Standards in der IT-Sicherheit: Durch die im ISO 27001 definierten control objectives (Kontrollziele) und controls (Maßnahmen) kann dieser Standard als Grundlage für ein Audit der bereits implementierten IT-Sicherheitsprozesse eingesetzt werden.

» Management von Sicherheitsrisiken: Ein wesentliches Element eines ISMS nach ISO 27001 ist das Risiko-Management. Es basiert auf der systematischen Erkennung von Risiken über Risikoanalysen und Risikobewertungen. Der richtige Umgang mit Risiken erfolgt

33

über angemessene (d. h. auch wirtschaftlich vertretbare) Informationssicherheitsmaßnahmen.

» Managementreview des ISMS: ISO 27001 kann als eine Grundlage für die Durchführung von regelmäßigen Reviews nach der Implementierung oder Veränderung eines ISMS verwendet werden. Diese sollen die Angemessenheit und Effektivität des ISMS sicherstellen.

Historie Die ISO/IEC 27001:2005 wurde aus dem britischen Standard BS 7799-2:2002 entwickelt und als internationale Norm erstmals am 15. Oktober 2005 veröffentlicht. Obwohl er der direkte Nachfolger des zweiten Teiles des BS 7799-2:2002 Standards ist, enthält er jedoch wesentliche Neuerungen im Vergleich zu seinem Vorgänger in den Bereichen: » Management von Sicherheitsvorfällen » Management der Sicherheit bei Personaleinsatz sowie » Management von Sicherheitslücken

Zertifizierung Der ISO-Standard 27001 "Information technology - Security techniques - Information security management systems requirements specification" ist der erste internationale Standard zum IT-Sicherheitsmanagement, der auch eine Zertifizierung ermöglicht. ISO 27001 gibt auf ca. 10 Seiten allgemeine Empfehlungen. In einem normativen Anhang wird auf die Controls aus ISO/IEC 17799 verwiesen.

Referenz http://17799.standardsdirect.org/ www.iso.org

5.2.2 Grundkonzepte Management- Wie auch ISO 20000 verfolgt ISO 27001 den zentralen Ansatz eines zyklus geschlossenen Managementzyklus’ (siehe nachfolgende Abbildung)

mit folgenden Aktivitäten: » Plan

o Geltungsbereich festlegen o Risikoanalyse o Festlegen von Sicherheitszielen und Maßnahmen

» Do o Umsetzung des ISMS o Implementierung der technischen und organisatorischen

Maßnahmen » Check

o Überwachung des ISMS o Regelmäßige Reviews

34

http://17799.standardsdirect.org/

http://www.iso.org/

o Bewertung der verbleibenden Risiken » Act

o Bewertung der Anforderungserfüllung o Ständige Verbesserung des ISMS o Korrigieren der Maßnahmen o Kommunizieren der Ergebnisse

Abbildung 13 ISO 27001 Managementzyklus

5.2.3 Aufbau Die nachfolgende Abbildung veranschaulicht die Veränderungen der Inhalte des Anhangs, die mit der ISO-Verabschiedung 2005 angepasst wurden. Diese Anforderungsbereiche sind auch Gegenstand eines Zertifizierungsaudits.

35

Security Policy

Organizational Security

Asset Classification & Control

Personnel Security

Physical & Environmental Security

Communications & Operations Management

Access Control

System Development & Maintenance

Business Continuity Management

Compliance

Security Policy

Organising Information Security

Asset Management

Human Resources Security

Physical & Environmental Security

Communications & Operations Management

Access Control

IS acquisition, development& maintenance

Information Security Incident Management

Business Continuity Management

Compliance

2002 2005

Abbildung 14 ISO 27001

5.3 Weiterführende Standards ISO 17799 Dieser Standard bietet einen Leitfaden zum Management von

Informationssicherheit bei der Erstellung von IT-Sicherheitskonzepten. Inhaltlich entspricht er dem British Standard Nr. 7799, Teil 1 (BS 7799-1) – er ist somit sein direkter Nachfolger. Der Inhalt des zweiten Teils des BS 7799 (BS 7799-2) ist im Oktober 2005 als ISO 27001 verabschiedet worden.

ISO 27002 Dieser Standard trägt den Namen: „Code of Practice“. Er wird den aktuellen Standard ISO17799:2005 ersetzen

ISO 27004 Dieser Standard trägt den Namen: „Information Security Measurements and Metrics“ und hat die Operationalisierung und Messbarkeit von Sicherheitszielen zum Inhalt.

ISO 27005 Dieser Standard trägt den Namen: „Information Security Risk Management“ und wird angelehnt an den Standard BS 7799-3, der das Risikomanagement behandelt.

ISO 27006 (geplant) Dieser Standard wird den Namen „Guidelines for Information and Communications Technology Disaster Recovery Services“ tragen und Fallback- und Wiederherstellungsmechanismen in der IT regeln.

ISO 15408 Gemeinsame Kriterien für die Prüfung und Bewertung der Sicherheit von Informationstechnik (Common Criteria), Version 2.3

36

6 Standards für IT-Leistungserstellungsprozesse

6.1 V-Modell Das V-Modell liefert eine flexible Vorgehensweise zur Planung und Durchführung von IT-Projekten, insbesondere für die Entwicklung von Software und Systemen. Im Februar 2005 wurde das erste Release des V-Modells XT fertig gestellt und löste das V-Modell 97 ab.

6.1.1 Überblick Gegenstand Das V-Modell ist als ein Leitfaden für Planung und Durchführung von

IT-Projekten zu verstehen. Es liefert ein standardisiertes Vorgehensmodell, benennt zugehörige Ergebnisse und verantwortliche Rollen und verbessert somit die Projekttransparenz und die Steuerbarkeit von Projekten. Mit der empfohlenen Vorgehensweise wird die Erfolgswahrscheinlichkeit in der Projektabwicklung erhöht; Projektrisiken werden früher erkannt. Das Vorgehen erhielt den Namen V-Modell aufgrund der V-förmigen Darstellung der Projektelemente. Die Dokumentation des V-Modells umfasst verschiedene Bausteine, die sich jeweils an eine spezifische Gruppe von V-Modell-Anwendern wenden. Weiteres dazu siehe Kapitel 6.1.3 Aufbau.

Anwendung Wird nach einer standardisierten Methode für die Durchführung von Projekten gesucht, so bietet sich das V-Modell an. Eine durchgängige Anwendung des V-Modells in einem Projekt unterstützt folgende Aspekte eines Projektes: » Verbesserung und Gewährleistung der Qualität: Das V-Modell

definiert Zwischenergebnisse. Diese Zwischenergebnisse können frühzeitig überprüft werden. Auf diese Art wird die Qualität kontinuierlich überwacht und sichergestellt, dass die vereinbarten Projektergebnisse den vereinbarten Anforderungen entsprechen.

» Minimierung der Projektrisiken: Das V-Modell verfügt über standardisierte Vorgehensweisen, beschreibt die zugehörigen Ergebnisse und benennt die verantwortlichen Rollen. Dadurch werden Projekttransparenz und Planbarkeit verbessert sowie Projektrisiken kalkulierbarer und steuerbarer. Abweichungen in Projekten können zeitnah erkannt werden, was eine schnelle Einleitung von Gegenmaßnahmen ermöglicht.

» Überwachung und Steuerung der Gesamtkosten im gesamten Projekt- und Systemlebenszyklus: Das V-Modell beschreibt Techniken für die Aufwandskalkulation in Entwicklung, Herstellung, Betrieb und Pflege eines Systems und deren Aufwandssteuerung. So können die realisierten Aufwände den Projektergebnissen zugeordnet werden.

» Verbesserung der Kommunikation zwischen allen Beteiligten: Das V-Modell stützt sich auf eine standardisierte und einheitliche Beschreibung aller relevanten Bestandteile und Begrifflichkeiten als

37

Basis für ein gemeinsames Verständnis für alle Projektbeteiligten. Dadurch wird eine gemeinsame Kommunikationsbasis bei allen Projektbeteiligten geschaffen.

Historie Das V-Modell ist militärischen Ursprungs. 1991 wurde das V-Modell als Entwicklungsstandard für die Softwareerstellung durch den Bundesminister für Verteidigung bei der Bundeswehr festgeschrieben. Jedoch bereits Ende 1991 wurde die Koordinierungs- und Beratungsstelle der Bundesregierung für Informationstechnik in der Bundesverwaltung (KBSt) mit der Aufgabe betraut, eine zivile Fassung des V-Modells zu erstellen, da sich auch andere Behörden mit ähnlichen Anforderungen in der Projektsteuerung konfrontiert gesehen hatten. Die aktuelle Version des V-Modells ist V-Modell XT. Sie stellt eine konsequente Weiterentwicklung des V-Modells 97 dar. V-Modell XT wurde unter Berücksichtigung des neuesten Stands der Technologie inhaltlich erweitert und an aktuelle Vorschriften und Normen angepasst. Ferner wurden die Qualitätseigenschaften des V-Modells XT verbessert, insbesondere hinsichtlich der Anpassbarkeit (Tailoring) der für ein konkretes Projekt relevanten Aktivitäten und Produkte in einer Institution.

Zertifizierung Das Vorgehen für die Durchführung von Projekten nach V-Modell ist nicht zertifizierbar, kann jedoch als Basis für den Nachweis von Prozessreifegraden (z.B. SPiCE) dienen (siehe 7.2).

Referenz http://www.v-modell-xt.de/ www.iso.org

6.1.2 Grundkonzepte Produkt- Ein wesentliches Prinzip des V-Modells ist seine ziel- und orientierung ergebnisorientierte Vorgehensweise. Diese Grundphilosophie ist an

vielen Stellen im V-Modell sichtbar: » Den Mittelpunkt des V-Modells bilden die Projektergebnisse. Somit

ist diese Vorgehensweise produktorientiert. » Projektdurchführungsstrategien und Entscheidungspunkte

geben die Reihenfolge der Produktfertigstellung und dadurch die grundlegende Struktur des Projektverlaufs vor.

» Die detaillierte Projektplanung und -steuerung wird auf der Basis der Bearbeitung und Fertigstellung von Produkten unter Berücksichtigung der kontrollierbaren Zwischenergebnisse durchgeführt

» Für jedes Produkt ist eindeutig eine Rolle verantwortlich. » Die Produktqualität wird sichergestellt durch:

o definierte Produktanforderungen, o definierte Zwischenergebnisse o beschriebene Abhängigkeiten zu anderen Produkten

38

http://www.v-modell-xt.de/

http://www.iso.org/

Mit der Ziel- und Ergebnisorientierung des V-Modells können unnötige, nicht an Ergebnissen ausgerichtete Tätigkeiten vermieden werden.

Rollen und Eine der besonderen Stärken des V-Modells ist die bereits Verantwortlich vordefinierte Ausprägung bestimmter Projekttypen (s. nachfolgende keiten Abb.).

Die Projekttypen regeln klaVerantwortlichkeiten und Kjeweiligen Projekttyp. Auf deines Projekttyps bekannt uso vermieden. Durch die eizwischen dem Auftragnehmin allen Projektphasen mit ddefiniert.

Projekttypen im V-Modell: » Systementwicklungsprojekt eines

Auftraggebers

» Systementwicklungsprojekt eines Auftragnehmers

» Systementwicklungsprojekt

(AG/AN) » Einführung und Pflege eines

organisationsspezifischen Vorgehensmodells

r und deutlich bereits im Vorfeld Rollen, ompetenzen der beteiligten Parteien in dem iese Art und Weise werden Aktivitäten nd unnötiger Mehraufwand an Aufgaben

ndeutige Definition der Schnittstelle er und Auftraggeber werden die Aktivitäten en erwarteten Produkten (Ergebnissen)

39

Anpassbarkeit Das generische V-Modell kann an die spezifischen Anforderungen an Spezifika einer Organisation in der Projektabwicklung erweitert bzw. angepasst konkreter Or- werden. ganisationen Dies wird einerseits durch die unterschiedlichen Projekttypen mit den

dazugehörigen Projektdurchführungsstrategien, welche das V-Modell anbietet, möglich. Andererseits ermöglicht das so genannte Tailoring (Teil 3 des V-Modells) die Erstellung eines Anwendungsprofils durch die Bestimmung der Projektmerkmale. Durch das Tailoring wird die Menge der Aktivitäten und Produkte in einem Projekt auf das notwendige Maß reduziert, um so die projektspezifischen Bedürfnisse zu erfüllen. Unterstützt wird die Anpassungsfähigkeit des V-Modells durch das Tool „V-Modell-Editor“ (weiteres siehe Kapitel 5.1.4 Arbeiten mit dem V-Modell).

6.1.3 Aufbau Die Abbildung „Dokumentation des V-Modells“ veranschaulicht, wie sich die einzelnen Bestandteile in das Gesamtkonzept fügen und für welche Art von Anwendern in Projekten sie Unterstützung bieten können. Ein grundlegendes Verständnis der ersten beiden Teile ist Voraussetzung für die erfolgreiche Anwendung des V-Modells im Projekt. Die nachfolgenden Teile 3 bis 7 sind V-Modell-Referenzen. Eine V-Modell-Referenz ist eine spezifische Sicht auf die Inhalte des V-Modells. Die Teile 8 und 9 dienen vielmehr als Nachschlagewerke während der Projektdurchführung.

Abbildung 15 Dokumentation des V-Modells (Quelle: KBSt)

40

» Teil 1: Grundlagen des V-Modells Dieser Teil führt in die zentralen Grundkonzepte des V-Modells ein und beschreibt das Zusammenspiel unterschiedlicher V-Modell-Projekte. Zusätzlich werden hier Anwendungsrichtlinien eingeführt, welche die Umsetzung des V-Modells in konkreten Projekten regeln. » Teil 2: Eine Tour durch das V-Modell Diese Dokumentation beschreibt in Ausschnitten, wie das V-Modell im Rahmen eines konkreten Beispielprojektes angewendet wird. So vermittelt dieser Teil eine erste Vorstellung von der Verwendung des V-Modells in der Projektpraxis. » Teil 3: V-Modell-Referenz Tailoring Dieses Dokument zeigt auf, wie ein Anwendungsprofil für ein Projekt erstellt wird. Damit wird die im Projekt anzuwendende Vorgehensweise ausgewählt. Mittels des Tailoring wird das V-Modell an das konkrete Projekt angepasst. » Teil 4: V-Modell-Referenz Rollen Die V-Modell-Referenz Rollen vermittelt einen Überblick über alle im V-Modell vorgesehenen Rollen. Neben einer detaillierten Rollenbeschreibung werden ebenfalls die dazugehörigen Aktivitäten genannt. » Teil 5: V-Modell-Referenz Produkte Die V-Modell-Referenz Produkte beinhaltet die Produktgruppen, die wiederum in Produkte und Themen des V-Modells aufgeteilt sind. Dabei werden auch die Zusammenhänge zwischen den einzelnen Produkten durch so genannte Produktabhängigkeiten beschrieben. » Teil 6: V-Modell-Referenz Aktivitäten Diese Dokumentation beinhaltet alle Aktivitätsgruppen, Aktivitäten und Teilaktivitäten des V-Modells. Eine Aktivität legt fest, welche Arbeitsschritte erforderlich sind, um ein konkretes Produkt zu realisieren. » Teil 7: V-Modell-Referenz Konventionsabbildungen In dieser Dokumentation werden die nationalen oder internationalen Konventionen (z. B.: ISO9001:2000, ISO/IEC15288, CMMI®) mit den Elementen des V-Modells in Beziehung gesetzt. Es wird aufgezeigt, wo die Standards mit dem V-Modell kompatibel sind. » Teil 8: Anhang Der Anhang beinhaltet Verzeichnisse und Quellen, auf die im V-Modell verwiesen wird.

41

» Teil 9: Vorlagen Dieser Teil beinhaltet Vorlagedateien (im RTF-Format) mit einer entsprechenden Anwendungsbeschreibung.

6.1.4 Arbeiten mit dem V-Modell In der praktischen Umsetzung der Projekte wird die Methode durch zwei Werkzeuge unterstützt: » V-Modell-Assistent:

Das Tool bietet dem Projektleiter die Möglichkeit Projektrahmendaten einzugeben und bietet so die für das jeweilige Projekt erforderlichen Aktivitäten, Produkte und Rollen aus einem Referenzwerk an. Über die auf diese Weise vorliegenden projektspezifischen Produkt- und Aktivitätenbeschreibungen hinaus werden weiterhin die notwendigen Meilensteine angeboten. Nach ihrer Datierung erhält der Anwender einen Export des kompletten Grundgerüstes seines Projektplans mit allen notwendigen Aktivitäten, der in einschlägige Planungssoftware importiert und verfeinert werden kann.

» V-Modell-Editor: Mit dem Tool wird die Anpassung an die projektspezifischen Anforderungen in einer Organisation möglich. Es ermöglicht Veränderungen von Produktbeschreibungen sowie die Einbindung von spezifischen Prozessen, die mit ihm in das Referenzschema hinterlegt werden, so dass bei der Benutzung des V-Modell-Assistenten die organsisationsspezifischen Vorgaben in jedem Projekt berücksichtigt werden.

6.2 Weiterführende Standards

42

ISO 15504 ISO 15504 ist die internationale Norm für Prozessmodelle und Assessmentverfahren, hervorgegangen aus dem Projekt SPICE (Software Process Improvement and Capability Determination) auf Basis der Erfahrungen mit unterschiedlichen Bewertungsmethoden. Der Standard basiert auf einem zweidimensionalen Modell: » In der Prozess-Dimension werden Prozesse für die

Softwareentwicklung festgelegt auf Basis des Softwarelebenszyklus der ISO 12207. ("Was wird getan")

» In der Capability-Dimension werden Reifegrade für die Prozesse definiert, die anhand von Attributen gemessen werden. ("Wie gut wird es getan")

Für die Softwareentwicklung liefert ISO 15504 damit ein Referenzprozessmodell sowie umfassende Anforderungen an die Prozessgestaltung. Im letzten Abschnitt dieses Dokuments wird näher auf die Anwendung der Capability-Dimension in Prozess-Assessments eingegangen. www.iso.org

UfAB Die Unterlage für die Ausschreibung und Bewertung von IT-Leistungen (UfAB) wurde von der KBSt als Hilfsmittel verfasst, um die IT-

http://www.iso.org/

Ausschreibungsverfahren in der Bundesverwaltung zu vereinheitlichen. Damit werden Standards insbesondere für den Sekundärprozess der Beschaffung, also für die Ausschreibung von IT-Bedarfen und die Auftragsvergabe formuliert. Die Entwicklung der UfAB begann Anfang der 80er Jahre. Das Rahmenwerk wird durch die KBSt kontinuierlich weiterentwickelt. Die aktuelle Version erweitert das bisherige UfAB-Rahmenwerk um Anforderungen an Rahmenvereinbarungen, Vorabbekanntmachungen, Dokumentation der Vergabe, Ausschreibung von Losen und Mitwirkung externer Partner im Ausschreibungsverfahren. www.kbst.bund.de

43

http://www.kbst.bund.de/

7 Standards für IT- und Prozessmanagement Die zuvor genannten Standards stellen Anforderungen an das Management in kritischen Prozessdomänen der IT. Darüber hinaus soll hier auf zwei Modelle hingewiesen werden, die prozessübergreifende Anforderungen an das Management formulieren. Das integrierte Management einer kunden- und serviceorientierten IT wird zunehmend mit dem Begriff „IT-Governance“ verbunden. Dieser Begriff verleiht dem Anspruch einen Namen, die IT als Instrument zur Umsetzung der Unternehmensstrategie zu verstehen und sie konsequent daran auszurichten. Dieser Ansatz ist weitgehend auch auf die Rolle der IT in den Bundesbehörden übertragbar, besteht das Ziel doch auch hier darin, Anforderungen der Verwaltung frühzeitig zu erkennen und die IT-Services konsequent darauf abzustimmen. Mit dem COBIT-Framework verfügt die IT-Leitung über einen Rahmen, der grundsätzliche Anforderungen an Prozesse in der IT formuliert. Neben Prozessen im IT-Service Management, in der IT-Beschaffung und im IT–Betrieb werden darüber hinaus Anforderungen an IT-Managementprozesse und an die Sicherstellung des Internen Kontrollsystems berücksichtigt. COBIT liefert somit ein Dach von Kontrollzielen für alle Managementdisziplinen in der IT. Prozessspezifische Standards berücksichtigen und konkretisieren diese weitgehend und liefern zusätzlich Empfehlungen für eine angemessene Prozessgestaltung. Zudem wird mit CMM (Capability Maturity Model) auf ein zweites Modell hingewiesen, der für die Bewertung der Prozessreife eingesetzt wird. Dieses Instrument definiert standardisierte Reifegrade, die auf alle Prozesse gleichermaßen angewendet werden können und den Fortschritt der Prozessentwicklung messbar machen. Dies ist deshalb ein Instrument, das insbesondere vom Qualitäts- und Prozessmanagement angewendet wird.

7.1 COBIT (IT-Governance Framework) CobiT (Control Objectives for Information and Related Technology) ist ein Modell zur effizienten und effektiven Überwachung und Steuerung der gesamten IT-Umgebung. Cobit stellt der IT-Governance (ganzheitliche IT-Steuerung) ein Instrument mit gängigen, generell akzeptierten Praktiken (best practices) zur Verfügung. Diese stellen sicher, dass » die eingesetzte Informationstechnologie die Geschäftsziele abdeckt » die Ressourcen verantwortungsvoll eingesetzt werden » die Risiken angemessen überwacht werden

7.1.1 Überblick

44

Gegenstand Der Standard regelt die Kontrolle der IT-Umgebung. Wie der Name bereits verrät, kommt CobiT aus dem Prüfungswesen. » Das international anerkannte Framework (Rahmenwerk) unterstützt

die IT-Governance, indem es eine umfassende Beschreibung der Kontrollziele für IT-Prozesse liefert und indem es Mittel benennt, mit denen die Wirksamkeit der Prozesse untersucht werden kann.

» Das Modell ermöglicht es, Risiken und Chancen in der

Bereitstellung von IT zu verstehen, zu bewerten und mit ihnen umzugehen.

Anwendung CobiT unterstützt in erster Linie das Management, die Lücken im Hinblick auf Kontrollanforderungen zu schließen und damit zusammenhängende Geschäftsrisiken zu behandeln. Das Modell befähigt zur Entwicklung klarer Handlungsansätze und Praktiken für die Steuerung der IT. » Balance zwischen Risiken und Investitionen kontrollieren: Die

Unternehmensleitung benötigt Informationen, um die innerbetrieblichen Verfahren und Abläufe zu kontrollieren und die Geschäftsprozesse zu steuern - mit den Kontrollfragen unterstützt CobiT das Management, hierfür das richtige Gleichgewicht zu finden.

» IT-Services steuern: Bei der Bereitstellung von IT-Services werden oft interne oder externe Dienstleister beauftragt. CobiT bietet ein Rahmenwerk, um die Sicherheit und Steuerbarkeit der IT-Services zu gewährleisten, unabhängig davon, ob diese extern oder intern erbracht werden.

» Innerbetriebliches Prüfungswesen: Für eine unabhängige Beurteilung der Qualität und Anwendbarkeit von Kontrollen werden Wirtschaftsprüfer und die IT-Revision durch CobiT unterstützt, indem die Ergebnisse strukturiert werden und Ratschläge zu Verbesserung innerbetrieblicher Kontrollmechanismen angeboten werden.

» Wissen zu IT-Governance aufbauen: Verantwortliche in der IT werden in die Lage versetzt, das notwendige Fachwissen aufzubauen und Empfehlungen zur Risikosenkung und zur Steuerung von Geschäftsprozessen anzubieten.

» IT-Service Management verbessern: CobiT hilft, das IT-Service Management kontinuierlich zu verbessern, indem es ein Rahmenwerk bereitstellt, das den kompletten Lebenszyklus von IT-Systemen und -Dienstleistungen beschreibt.

Historie CobiT wurde ursprünglich von der Organisation ISACF (Information Systems Audit and Control Foundation) entwickelt, dem Forschungsinstitut der ISACA (Information Systems Audit and Control Association). 1999 wurden die Aufgaben von ISACF für CobiT auf das IT-Governance Institut (ITGI) übertragen, welches ein unabhängiges Organ ist. Die Entwicklung von CobiT wurde 1994 begonnen und wird kontinuierlich weitergeführt. Die erste Version wurde 1996 veröffentlicht, weitere folgten 1996 und 2000.

Zertifizierung Die Zertifizierung einer Organisation nach CobiT ist grundsätzlich nicht möglich. Die ISACA ermöglicht Personen, die sich mit der Sicherheit, Kontrolle und Ordnungsmäßigkeit von Informationssystemen beschäftigen, ein

45

weltweit anerkanntes Zertifikat (im Bereich der Kontrolle und Revision in der IT) zu erlangen: CISA (Certified Information Systems Auditor) Im Unterscheid zu vielen anderen Zertifizierungen muss ein CISA sein Fachwissen durch regelmäßige, jährliche Weiterbildung nachweisen.

Referenz http://www.isaca.de http://www.isaca.org/cobit www.iso.org

46

http://www.isaca.de/

http://www.isaca.org/cobit

http://www.iso.org/

7.1.2 Grundkonzepte Zusammenhänge im CobiT-Modell Informationskriterien

ie tk th ici et lt hät f rli a ea h hu c icsQ t SiW

rIT

-Pro

zess

eDomänen

Prozesse

Aktivitäten necruosseR-TI P

erso

nal

Anw

endu

ngss

yste

me

nolo

gen

Tech

iA

nlag

enD

aten

Abbildung 16 CobiT-Struktur (Quelle: ISACA) Die obere Abbildung veranschaulicht die drei CobitT-Dimensionen. Zusammenhang:

1. IT Processes (Domänen, Prozesse, Aktivitäten) 2. Information Criteria (Informationskriterien) 3. IT Resources (IT-Ressourcen)

1. Die Prozessdimension gliedert sich in 4 Prozessdomänen: » Planung und Organisation » Beschaffung und Implementation » Betrieb und Unterstützung » Überwachung mit insgesamt 34 IT-Prozessen. Das CobiT-Rahmenwerk legt für jeden der IT-Prozesse fest, welche Kernaufgaben - Aktivitäten - definiert sein sollen. Die Prozessdomänen bilden einen Managementkreislauf. 2. Damit eine Institution ihre Geschäftsziele erreichen kann, müssen gemäß CobiT die Geschäftsprozesse bestimmte Informationskriterien erfüllen. CobiT definiert sieben von ihnen

47

und gruppiert sie in drei Kategorien: Qualität, Sicherheit, Ordnungsmäßigkeit. » Die Qualität der IT wird in den Kriterien der Effektivität und

Effizienz abgebildet » Die Sicherheitsanforderungen werden in den Kriterien

Vertraulichkeit, Verfügbarkeit, Integrität abgebildet » Die Ordnungsmäßigkeit wird einerseits im Kriterium

Zuverlässigkeit und andererseits mit der Einhaltung interner und externer Normen im Kriterium Einhaltung rechtlicher Erfordernisse abgebildet.

3. Eine der Kernaussagen von CobiT lautet, dass Geschäftsprozesse auf IT-Ressourcen basieren. Sie werden folgendermaßen zusammengefasst: » Daten » Anwendungen » Technologien » Anlagen » Personal Die für das Management der IT-Ressourcen zugrunde liegenden IT-Prozesse lassen sich in den vier bereits genannten Domänen zusammenfassen:

48

Abbildung 17 CobiT Domänen (Quelle: ISACA)

Control CobiT stellt ein Modell von generell anwendbaren und international Objectives akzeptierten Kontrollzielen (wesentlichsten Bestandteilen für ein (Kontrollziele) Kontrollsystem in der IT) bereit. Diese sollten erfüllt sein, um eine

verlässliche Anwendung der Informationstechnologie zu gewährleisten. Insgesamt werden 318 Kontrollziele definiert, 3 bis 30 wesentliche Kontrollziele je Prozess. Durch eine Auseinandersetzung mit diesen Vorgaben kann der Prozesseigner bzw. Prozessverantwortliche sicherstellen, dass die IT-Umgebung angemessen kontrolliert wird. Sie sind als ein Instrument zu verstehen, um klare und präzise Kontrolldefinitionen zur Sicherstellung einer effizienten und effektiven Ressourcenverwendung zu ermöglichen. Die nachfolgende Abbildung veranschaulicht den Zusammenhang eines übergeordneten Kontrollziels in der Form einer Geschäftsanforderung innerhalb eines bestimmten Prozesses. Die Erreichung dieser Geschäftsanforderung wird durch eine Kontroll-Aussage ermöglicht, für welche mögliche, anwendbare Kontroll-Praktiken gesucht werden sollten.

49

Die Kontrolle von

IT-Prozessen zur Erfüllung IT-Prozessenvon

Geschäfts-Geschäfts- wird ermöglicht anforderungenanforderungen durch

ontroll-KKontroll- unter Berück-aussagen sichtigung vonaussagen

KKontroll-ontroll-praktikenpraktiken

Abbildung 18 CobiT Control Objectives (Quelle: ISACA)

7.1.3 Aufbau

CobiT Das derzeitige CobiT-Modell besteht aus den folgenden Produktfamilie Dokumentationen:

Executive SummaryExecutive Summary

Framework ImplementationFramework Implementationfür high-level-Kontrollziele Tool Setfür high-level-Kontrollziele Tool Set

ManagementüberblickManagement Control Audit FallstudienManagement Control AuditGuidelines Objectives GuidelinesGuidelines Objectives Guidelines FAQ

PräsentationReifegradmodelle ImplementierungshandbuchKritische ErfolgsfaktorenKey Goal IndicatorsKey Performance Indicators

Abbildung 19 CobiT Produktfamilie (Quelle: ISACA) » Executive Summary (Management Kurzfassung): Diese

Dokumentation bietet einen kurzen Überblick über das CobiT-Rahmenwerk sowie den Zweck und beschreibt die Rolle von IT-Governance innerhalb eines Institutionsführungskontexts.

» Framework (Rahmenwerk): In der Framework-Dokumentation werden Kontrollziele für jeden Vorgang innerhalb der CobiT-Domänen beschrieben. Diese Dokumentation richtet sich an das gehobene Management in der IT

» Control Objectives (Kontrollziele): Diese Dokumentation enthält die bereits im Framework allgemein genannten Kontrollziele in einer tieferen Detaillierungsebene.

» Management Guidelines (Managementleitfaden): Hier wird dem Management ein Leitfaden für die Führung und Management von IT-Aktivitäten an die Hand gegeben. Das Ziel besteht darin, eine Balance zwischen dem Umgang mit Risiken und der Realisierung von Geschäftsvorteilen zu erzielen.

» Audit Guidelines (Revisionsrichtlinien): Diese Richtlinien ermöglichen die Überprüfung der IT-Prozesse im Vergleich zu den empfohlenen Kontrollzielen. Sie stellen eine Anleitung zur Vorbereitung von Revisionsplänen bereit.

» Implementation Toolset (Einführungswerkzeuge): Es beinhaltet die Erfahrungen (best practices) der Institutionen, welche CobiT bei sich eingeführt haben. Die Dokumentation richtet sich an erster Stelle an die IT- und Revisionsleiter sowie mittleres IT-Management.

50

7.2 CMM und ISO 15504 / SPiCE Wenn IT-Prozesse kontinuierlich zu verbessern sind, dann stellt sich die Frage, wie der Prozessverantwortliche diese Fähigkeit und den aktuellen Entwicklungsstand seines Prozesses nachweisen kann. Prozesse werden stufenweise entwickelt und optimiert. Einerseits sollen hierbei veränderte Anforderungen an den Prozess berücksichtigt werden. Andererseits soll die Leistung des Prozesses kontinuierlich verbessert werden. Wie entwickelt ein Prozess derzeit ist, hängt also vor allem von folgenden zentralen Aspekten ab:

1. Erfüllt der Prozess die wesentlichen fachlichen Anforderungen, um das Prozessergebnis in erforderlicher und konstanter Qualität zu liefern?

2. Wird der Prozess so gemanagt, dass veränderte Anforderungen frühzeitig erkannt und rechtzeitig bedient werden können sowie dass Qualität und Leistung des Prozesses messbar und steuerbar sind.

Je umfassender diese beiden Grundanforderungen erfüllt werden, um so reifer ist der Prozess in seiner Entwicklung. Mit CMM wurde für Prozesse ein Reifegradmodell entwickelt. Wenn man dieses im Prozessmanagement anwendet, kann folgender Nutzen generiert werden:

» Reifegrad der Prozesse wird über allgemeingültige und objektive Kriterien bewertbar

» Damit sind grundsätzliche Anforderungen an die Prozessentwicklung standardisiert

» Reife unterschiedlicher Prozesse wird vergleichbar, um die richtigen Prioritäten in der Prozessentwicklung setzen zu können

» Mittelfristige Ziele für eine gezielte Prozessweiterentwicklung sind besser identifizierbar, konkretisierbar und priorisierbar

Unabhängig davon, ob Prozessverantwortliche auch Reifegradbewertungen für ihren Prozess durchführen, sollten sie sich mit dem Reifegradmodell auseinandersetzen, um die wesentlichen Ziele und Stufen der Prozessentwicklung zu kennen. Da CMM ein primär für die Prozesse der Softwareentwicklung entwickeltes Modell ist, soll hier vor allem auf die Fähigkeiten- (Capability) und Reifegraddimension (Maturity) eingegangen werden, die auf andere Prozesse grundsätzlich übertragbar ist. In diesem Zusammenhang soll darauf hingewiesen werden, dass auch Ansätze für CMM-Adaptionen, z.B. für das IT-Service Management und für das IT-Security Management verfügbar sind. Das auf Basis CMM weiterentwickelte CMMI® (Capability Maturity Model Integration) wurde in den Standard ISO 15504 überführt, der nachfolgend im Überblick beschrieben wird.

7.2.1 Überblick Gegenstand ISO 15504 liefert ein allgemeingültiges Modell für die Konzeption und

Durchführung von Assessments zur Prozessbewertung. Prozesse werden hinsichtlich ihrer Fähigkeit bewertet, ihre Anforderungen qualitativ und quantitativ zu erfüllen. Dies erfordert ein wirksames

51

Prozessmanagement. Deshalb dienen derartige Assessments auch zur Bewertung der Fähigkeit, Prozesse gemäß Anforderungen entwickeln und managen zu können. Der Standard beschreibt,

» welche grundsätzlichen Indikatoren zur Prozessbewertung heranzuziehen sind,

» wie diese auf konkrete Prozesse anzuwenden sind, » wie ein Assessment-Modell für diese Prozesse erstellt wird, » welche Aufgaben im Rahmen eines Assessments durchzuführen

sind, » welche Eingangsinformationen in diesen Schritten zu

berücksichtigen sind, » welche Ergebnisse das Assessment liefern soll » und welche Rollen, Verantwortungen und Fähigkeiten für die

Durchführung benötigt werden.

Anwendung Die Durchführung von Prozess-Assessments ist in verschiedenen Situationen zu empfehlen: Schwachstellenanalyse: Im Vorfeld von Prozessverbesserungsmaßnahmen ermitteln Assessments bestehende Lücken in der Prozessgestaltung. Dies können unzureichende Prozessregelungen sein, die dazu führen, dass der Prozess fachliche Anforderungen nicht vollständig erfüllen kann. Dies können auch Lücken im Prozessmanagement sein, die die Planbarkeit und Steuerbarkeit des Prozesses beeinträchtigen. Sind solche Abweichungen ermittelbar, können die Ziele für eine stufenweise Prozessverbesserung konkretisiert werden. Damit wird die Komplexität der Verbesserungsmaßnahmen und damit auch das Umsetzungsrisiko reduziert, weil das „Drehen großer Räder“ verhindert werden kann und nahe liegende Weiterentwicklungsziele höher priorisierbar sind. Projektdefinition und Projektziele sind konkretisierbar. Gleichzeitig ergibt sich aus dem Reifegradmodell eine langfristige Roadmap für die schrittweise Prozessentwicklung in bewährten Etappen. Post Implementation Review (PIR): ITIL empfiehlt nach umfangreichen Changes einen PIR. Dieser soll das Ergebnis dieser Änderungen überprüfen, um Abweichungen von den ursprünglichen Zielen sichtbar zu machen und Erfahrungen aus der Umsetzung für ähnliche Vorhaben zu sichern. Auch Prozessveränderungen sind Changes, die oft komplex sind. Nach der Implementation neuer oder geänderter Prozesse kann der PIR in Form eines Prozess-Assessments durchgeführt werden. Audit: Audits durch die IT-Revision oder durch externe Gutachter können auf Grundlage dieses Prozessbewertungsansatzes durchgeführt werden, um Anforderungen an Prozesse auf einer objektiven Grundlage zu überprüfen und die Bewertung mit standardisierten Assessment-Methoden durchzuführen. Benchmarking: Für einen Reifegradvergleich der Prozesse untereinander oder eines konkreten Prozesses in unterschiedlichen Organisationen hinsichtlich Erfüllung formaler Anforderungen kann das Assessment-Modell genutzt werden. Damit wird der Handlungsbedarf

52

in einzelnen Prozessen durch Vergleich mit Benchmarking-Referenzen priorisierbar.

Historie 1986 begann das Software Engineering Institute (SEI) der Carnegie Mellon University mit der Entwicklung eines Bewertungsmodells für die Reife von Softwareentwicklungsprozessen. Initiator dieses Vorhabens war das US-Verteidigungsministerium. 1991 wurde das Capability Maturity Model in seiner ersten Version veröffentlicht. Dieses wurde anschließend weiterentwickelt. Kurz vor Veröffentlichung der Hauptversion 2.0 wurde diese abgebrochen und ein Folgeprojekt unter dem Titel CMMI gestartet, dessen Ergebnisse 2000 als Pilot veröffentlicht wurden. 2002 wurde CMMI unter dem Namen Capability Maturity Model Integration ® freigegeben. CMMI® definiert Anforderungen an integrierte Prozesse zur Produktentwicklung. Für Herbst 2006 ist die CMMI®-Version 1.1 angekündigt. Die Unterstützung des Vorläufermodells CMM ist inzwischen ausgelaufen. Das SPICE-Projekt hat auf Basis CMMI® 1998 einen Technischen Report veröffentlicht, der ein Modell zur Ermittlung der Prozessreife empfiehlt und dafür die im ISO 12207 definierten Software-Lebenszyklusprozesse zugrunde legt.. Dieser Technische Report wurde in den ISO-Standard 15504 überführt, der Anforderungen an die Konzeption und Durchführung von Prozess-Assessments regelt.

Zertifizierung Eine Zertifizierung von Softwaremanagementprozessen nach ISO 15504 (SPiCE) ist möglich. Das Prozessbewertungsmodell (Assessment-Modell) wird häufig im Rahmen von Self Assessments – also selbst durchgeführten (meist durch Berater unterstützte) Selbstbewertungen angewendet.

Referenzen www.iso.org (ISO 15504) http://www.sei.cmu.edu/cmmi/ (CMMI®)

53

http://www.iso.org/

http://www.sei.cmu.edu/cmmi/

7.2.2 Grundkonzepte Assessment Modell

ISO 15504 beschreibt die Aufgabe von Prozessbewertungen wie folgt:

Prozess-Assessment

liefert lieferterfordert

Prozess-Prozess- fähigkeiten-Verbesserung motiviert ermittlung

Abbildung 20 Aufgabe von Prozess-Assessments (Quelle: ISO)

Die nachfolgende Abbildung beschreibt die Zusammenhänge des Assessment-Modells. Für ein definiertes Prozessmodell wird auf Grundlage des Standard-Bewertungsmodells (Measurement Framework) ein Assessment-Modell mit konkreten Bewertungskriterien abgeleitet. Dieses wird in einem mehrstufigen Assessment-Prozess angewendet. Für die Schritte im Assessment-Prozess sind Eingangsgrößen, Assessment-Ergebnisse sowie Rollen und deren Verantwortung definiert:

Prozess-Referenzmodell- Bewertungsmodell

Modell

Prozess-Assessment-

Modell

ASSESSMENT Input ErgebnissePROZESS

Rollen und Verantwortung

Abbildung 21 Struktur der Assessment-Empfehlungen (Quelle: ISO)

Capability Das Modell setzt sich aus einer Prozessdimension und einer Modell Fähigkeitendimension zusammen. ISO 15504 wendet das Modell auf

54

Softwareentwicklungsprozesse an und übernimmt hierfür ein Prozessreferenzmodell für Softwarelebenszyklusprozesse, das auf ISO 12207 beruht. Hierfür werden ca. 40 Prozesse berücksichtigt, die in verschiedenen Prozessbereichen zusammengefasst sind (z.B. Prozess „Software testing“ in der Gruppe „Engineering Process Group“). Das Modell kann grundsätzlich auch auf andere Prozesse (z.B. im IT-Service- und Security Management) angewendet werden.

CAPABILITY Dimension

ISO 15504-2Level 5 Optimizing ISO 12207

AMD1 & AMD2Level 4 Predictable

Level 3 Established Process ReferenceModel (PRM)

Level 2 Managed

Level 1 Performed PROCESS DimensionLevel 0 Incomplete

Prozesse

Prozessdomänen (-bereiche)

Abbildung 22 Prozesse und deren Fähigkeiten in ISO 15504 (Quelle: ISO) Die Capability-Dimension definiert nun grundsätzliche Fähigkeitsgrade eines jeden Prozesses. Die Stufen beschreiben, wie der Prozess von seinem Ausgangszustand schrittweise entwickelt wird.

Capability Die Fähigkeitsgrade sind für jeden einzelnen Prozess ermittelbar. Auf Levels jeder Entwicklungsstufe sind hierfür Anforderungen erfüllt, auf deren

Grundlage das Fähigkeitenniveau des Prozesses festgestellt wird. Die folgende Abbildung beschreibt die Fähigkeitsgrade in ISO 15504.

55

Fähigkeitsstufe Beschreibung

Der Prozess unterliegt der kontinuierlichen Verbesserung; er Level 5 Optimizingbesitzt die Fähigkeit der Selbstoptimierung

Der Prozess wird quantitativ gemanagt; Abweichungen von Level 4 Predictibleden Ergebnisanforderungen werden statistisch kontrolliert

Der Prozess ist standardisiert; seine Elemente sowie Level 3 Establishednotwendige Voraussetzungen sind definiert

Der Prozess ist gemanagt; er wird geplant und überwacht; Level 2 ManagedVerantwortungen sind festgelegt

Der Prozess ist zweckgemäß; er kann seine grundsätzlichen, Level 1 Performedspezifischen Anforderungen erfüllen

Der Prozess ist nicht implementiert. Vereinzelte Praktiken Level 0 Incompletekönnen sich bereits entwickelt haben.

Abbildung 23 Prozess-Fähigkeitsgrade (Quelle: ISO)

Maturity Das CMMI-Modell definiert zudem Maturity Levels Reifegrade. Hierbei Levels wird berücksichtigt, dass

1. bestimmte Ziele meist nur im Zusammenwirken verschiedener Prozesse erfüllbar sind und

2. die Entwicklung eines Prozesses meist von der Fähigkeit anderer Prozesse abhängt, bestimmten Input zu liefern und diese deshalb Mindestfähigkeiten besitzen müssen.

Maturity Levels (Reifegrade) beschreiben den Entwicklungsstand eines ganzen Prozessgebiets (Menge mehrerer im Zusammenhang zu betrachtender Prozesse). Die Maturity Levels sind wie folgt definiert:

» Maturity Level 5 Optimizing » Maturity Level 4 Quantitativly Managed / Predictible » Maturity Level 3 Defined / Established » Maturity Level 2 Managed » Maturity Level 1 Initial

Seit einiger Zeit werden CMM-Ableitungen entwickelt, die das Modell z.B. auf Managementfelder wie IT-Service Management Prozesse oder auf Information Security Management Prozesse anwenden. Diese konkretisieren Anforderungen für die Capability- und Maturity-Levels in diesen Managementdisziplinen, sind aber noch selten als internationale Standards normiert.

56

7.2.3 Aufbau Nachfolgend wird der Aufbau der ISO 15504 Norm zusammengefasst:

Part 1Concepts & vocabulary

Part 1Concepts & vocabulary

Part 2Performing an assessment

Part 2Performing an assessment

Part 4Guidance on use for process

improvement and processcapability determination

Part 4Guidance on use for process

improvement and processcapability determination

Part 3Guidance on performing an

assessment

Part 3Guidance on performing an

assessment

Part 5An exemplar process

assessment model based uponISO 12207 AMD 1&2

Part 5An exemplar process

assessment model based uponISO 12207 AMD 1&2

Abbildung 24 Aufbau ISO 15504 (Quelle: ISO)

ISO 15504-1 IT Process Assessment – Part 1: Concepts and vocabulary

» Concept » Conformance

ISO 15504-2 IT Process Assessment – Part 2: Performing an assessment » Performing an assessment » Measurement framework for process capability » Models for process assessment » Mechanisms for verification of conformity

ISO 15504-3 IT Process Assessment – Part 3: Guidance on performing an assessment » Overview of process assessment » Guidance on requirements for performing an assessment » Measurement framework for process capability » Process reference models » Selecting and using assessment tools » Guidance on competency of assessors » Guidance on verification of conformity

ISO 15504-4 IT Process Assessment – Part 4: Guidance on use for improving process » Introduction » Utilizing process assessment » Process improvement » Process capability determination

57

ISO 15504-5 IT Process Assessment – Part 5: An exemplar Process Assessment Model » Overview of the exemplar process assessment model » The process dimension and process performance indicators (level 1) » Process capability indicators (level 1-5)

7.3 Weiterführende Standards IT-Service Für das IT-Service Management existiert ein adaptiertes CMM. Das IT-CMM Service CMM überträgt die für Softwareprozesse entwickelten

Strukturen und Assessment-Praktiken auf die ITSM-Prozessdisziplinen gemäß ITIL Best Practices. Das Modell ist seit Januar 2005 in der Version 1.0 verfügbar. Angewendet wird es vor allem in mittleren und großen IT-Organisationen. Die ersten Assessments wurden bislang vor allem in den Niederlanden durchgeführt. http://www.itservicecmm.org/

SSE-CMM Für das Sicherheitsmanagement in der IT existiert ebenso ein adaptiertes CMM. Das Systems Security Engineering CMM überträgt das Maturity-Modell auf die kontinuierliche Verbesserung der Managementdisziplinen im Security Engineering. http://www.sse-cmm.org/

58

http://www.itservicecmm.org/

http://www.sse-cmm.org/

8 Glossar Begriff Erklärung

Anwender ITIL definiert Anwender als Nutzer von IT-Services. Dies sind i.d.R. die Mitarbeiter des Kunden (siehe Kunde).

Assessment Verfahren bzw. Maßnahmen zur systematischen Bewertung eines Sachverhalts. Prozess-Assessments können insbesondere zur Bewertung der Angemessenheit, Wirksamkeit oder Leistungsfähigkeit von Prozessen durchgeführt werden.

Best Practice Praktisch bewährte und wirtschaftliche Managementverfahren und Prozeduren

BS British Standard, Standards der British Standards Institution

BS Institution British Standards Institution, Britische Standardisierungsorganisation

BSI Bundesamt für Sicherheit in der Informationstechnologie

Compliance Fähigkeit einer Organisation, formale Anforderungen zu erfüllen, die aus Gesetzen, Verträgen, Richtlinien, Normen und sonstigen Regelungen resultieren

Controls Hier: Maßnahmen Die Begriffe Control objectives und Controls werden im ISO/IEC 17799 sowie im COBIT-Framework verwendet.

Control englisch: Kontrollziele Objectives Dieser Begriff wird bei CobiT verwendet. Im eigentlichen Sinne sind

hier Steuerungsvorgaben gemeint.

ITGS IT-Grundschutz (Standard des Bundesamtes für Sicherheit in der Informationstechnik)

Hacker Angreifer auf IT-Systeme mit dem Ziel, Sicherheitsbarrieren zu überwinden

ICT Information and Communications Technology

ISMS Informationssicherheitsmanagementsystem

ISO International Standards Organisation Internationale Organisation für Normung

IKS Internes Kontrollsystem; Systematik zur Gewährleistung sicherer Organisationen und zur Wahrnehmung der Kontrollpflichten durch das Management. Die Kontrollinstrumente werden eingesetzt, um die Angemessenheit und Wirksamkeit der Prozesse zu prüfen und Risiken vorzubeugen, die sich aus der Umgehung bestehender Regelungen ergeben können.

IT- Englisch: Rahmenwerk für die IT-Steuerung Governance Framework

59

60

Begriff Erklärung

ITIL Information Technology Infrastructure Library Anerkannte Best Practice und Defacto-Standard für Gestaltung,

Implementierung und Management wesentlicher Steuerungsprozesse in der IT

IT-Service Bereitstellung eines oder mehrer IT-Systeme incl. Benötigter Leistungen der IT zur Unterstützung von Geschäftsprozessen.

ITSM Information Technology Service Management Zusammenfassung integrierter Managementdisziplinen zur Steuerung und Unterstützung von IT-Services

Kunde ITIL definiert den Kunden als Auftraggeber für IT-Services. Dies kann die Leitung externer Organisationen oder interner wie z.B. der Fachabteilungen sein. ITIL grenzt den Kunden vom Anwender (User) ab.

OGC Office of Government Commerce

PDCA Von Dr. Edward D. Deming entwickeltes Modell, das einen geschlossenen Managementkreislauf für die kontinuierliche Verbesserung im Rahmen des Total Quality Managements beschreibt. Es gliedert den Zyklus in die Phasen plan, do, check act.

SAM Software Asset Management Prozess für das effektive Management, die Kontrolle und den Schutz der Softwarewerte in einer Organisation

Self Assessment, das die Verantwortlichen in ihrer Organisation Assessment selbständig durchführen oder beauftragen, um Aussagen über den

Handlungsbedarf in ihrem Verantwortungsbereich abzuleiten.

Tailoring Hier: Anpassbarkeit („Zuschneiden“) des V-Modells zur Durchführung eines konkreten Projekts in einer Institution

Tabelle 1: Glossar

studie: itil und standards für it-prozesse

Documents