itil, ispl, cobit, iso, mof, scp -...
TRANSCRIPT
ITIL, ISPL, COBIT, ISO, MOF, SCP
Standards und ihre Beziehungen
Ullrike Buhl5.5.2004 in München
Seite 2
Agenda
1. Schwerpunkte der einzelnen Standards
und die Zertifizierungsmöglichkeiten
2. Gegenüberstellung / Unterschiede
3. Abgrenzung oder Ergänzung -
Wege zum Zusammenspiel
4. Nutzen und Mehrwert in der Praxis
Seite 3
ITIL Service Management
Information Technologie Infrastructure Library
w de-facto Standard zur Planung und Umsetzung von Service-Management Prozessenw Besitzer: OGC in England
Unterstützer: itSMF internationalw Zertifizierungen: Mitarbeiter, Tools, Prozesse
1. Schwerpunkte
Seite 4
Dienstleistungen
IT-Prozesse nach ITIL
IT-Verfahren
Funktionsbereiche
GeschäftsprozesseKunden /
Fachbereiche
IT-Organisation
ITIL1. Schwerpunkte
Seite 5
ITIL Gesamt
Information Technologie Infrastructure Library
1. Schwerpunkte
• ITIL Service Support• ITIL Service Delivery• ICT Infrastructure Management• Planning to implement Service Management• Application Management• Software Asset Management• Security Management• The Business Perspective
Seite 6
ISPL
Information Services Procurement Library
w „best practice“ für das Management von Akquise-Prozessen
w Besitzer: EXIN, FAST, ID Research, SEMA, TIEKE
Unterstützer: itSMF International (SIG)w Zertifizierungen: Mitarbeiter
1. Schwerpunkte
Seite 7
ISPL
Produkte
w Trainingsw Zertifizierungen (Foundation, Procurement Mgr.)w Database (best practice information; www.marex.fi)w Tool mit Templates (Risk Mgmt., Delivery Planning)w Web Server (www.fast.de/ispl)w User Group (SIG des itSMF)w Bücher
(Managing Acquisition Process, Specifying deliveries, Managing Risks and Planning deliverables, Dictionary)
1. Schwerpunkte
Seite 8
ISPL1. Schwerpunkte
Start AcquisitionBeschaffung
AbschlussAcquisition
Zieldefinition
Planung
Auswahl
Vertrags-verwaltung
Vertragsende
für ongoing services, projects
Seite 9
COBIT
Controled OBjectives for Information and related
Technology
w International anerkannter Standard für IT, Sicherheit, Qualitätssicherung und Ordnungsmäßigkeit
w Besitzer: ISACA w Zertifizierung / Audit:
Reifegradmessungen der Prozesse durch zertifizierte Auditoren
1. Schwerpunkte
Seite 10
In COBIT integrierte Quelleninsgesamt 41 nationale und internationale Standards
w Technische Standards von ISO, EDIFACT, usw.
w Codes of conduct herausgegeben durch EU, OECD, ISACA, usw.
w Qualifikationskriterien für IT-Systeme und -Prozesse: ITSEC, TCSEC, ISO 9000, SPICE, TickIT, ITIL , Common Criteria, usw.
w Berufsstandards in interner Kontrolle und Revision: COSO Report, IFAC, AICPA, IIA, ISACA, PCIE, GAO Standards, usw.
w Industrie-Praktiken und Anforderungen von Industrie-gremien (ESF, I4) und staatlich-gesponsorten Plattformen (IBAG, NIST, DTI), usw.
w Neue industrie-spezifische Anforderungen aus den Umfeld Banken, Electronic Commerceund IT-Herstellern
Seite 11
COBIT1. Schwerpunkte
Seite 12
COBITw DS10 - Umgang mit Problemen und Zwischenfällen
n Kontrolle über den IT-ProzessUmgang mit Problemen und Zwischenfällen
n zur Erfüllung der GeschäftsanforderungenSicherstellen, dass Probleme und Zwischenfälle gelöst und dass die Ursache zur Vermeidung von Wiederholungen untersucht wird
n wird ermöglicht durchein Problemmeldewesen, das alle Zwischenfälle aufzeichnet und weiterverfolgt.
n Dabei werden berücksichtigt• ausreichende Prüfspur von
Problemen und Lösungen• rechtzeitige Erledigung von
festgestellten Problemen• Eskalationsverfahren• Berichte über Vorfälle
Seite 13
COBIT
w Critical Success Factorsn die Wahrscheinlichkeit des
Prozesserfolges zu erhöhenn beobachtbare Charakteristik
der Organisation und der Prozesse
n fokussieren auf Schaffen, Behalten und Fördern von Wissen, Fähigkeiten und Verhalten
DS10 - Critical Success Factors• There is clear integration of problem
management with availability and changemanagement
• Accessibility to configuration data, as well as theability to keep track of problems for eachconfiguration component, is provided
• An accurate means of communicating problemincidents , symptoms, diagnosis and solutions to the proper support personnel is in place
• Accurate means exist to communicate to usersand IT the exceptional events and symptoms thatneed to be reported to problem management
• Training is provided to support personnel in problem resolution techniques
• Up-to-date roles and responsibilities charts areavailable to support incident management
• There is vendor involvement during probleminvestigation and resolution
• Post-facto analysis of problem handlingprocedures is applied
Seite 14
COBIT
w Key Goal Indicatorsn beschreiben das Ergebnis
eines Prozesses z.B.messbar nach dem Eintreten von…; Messung«wovon»;
n sind Indikatoren für den Erfolg eines Prozesses
DS10 - Key Goal Indicators• A measured reduction of the impact of
problems and incidents on IT resources
• A measured reduction in the elapsedtime from initial symptom report to problem resolution
• A measured reduction in unresolvedproblems and incidents
• A measured increase in the number of problems avoided through pre-emptive fixes
• Reduced time lag betweenidentification and escalation of high-risk problems and incidents
Seite 15
COBIT
w Key Performance Indicatorsn messen, “wie gut” ein Prozess
funktioniertn sagen die Wahrscheinlichkeit
von Erfolg oder Misserfolg voraus
n werden in präzisen messbaren Werten ausgedrückt
n sollten einen wichtigen Beitrag zur Verbesserung des IT Prozesses leisten
DS10 - Key Performance Indicators
• Elapsed time from initial symptomrecognition to entry in the problemmanagement system
• Elapsed time between problemrecording and resolution or escalation
• Elapsed time between evaluation and application of vendor patches
• Percent of reported problems withalready known resolution approaches
• Frequency of coordination meetingswith change management and availability management personnel
• Frequency of component problemanalysis reporting
• Reduced number of problems notcontrolled through formal problemmanagement
Seite 16
COBIT
w Reifegradmodell
Seite 17
DS10 - Maturity Model
0 Non-existentThere is no awareness of the need for managing problems and incidents. The problem-solving process is informal and usersand IT staff deal individually with problems on a case-by-case basis.
1 Initial/Ad HocThe organisation has recognised that there is a need to solve problems and evaluate incidents. Key knowledgeable individualsprovide some assistance with problems relating to their area of expertise and responsibility. The information is not shared withothers and solutions vary from one support person to another, resulting in additional problem creation and loss of productive time, while searching for answers. Management frequently changes the focus and direction of the operations and technical support staff.
2 Repeatable but IntuitiveThere is a wide awareness of the need to manage IT related problems and incidents within both the business units and information services function. The resolution process has evolved to a point where a few key individuals are responsible formanaging the problems and incidents occurring. Information is shared among staff; however, the process remains unstructured, informal and mostly reactive. The service level to the user community varies and is hampered by insufficient structured knowledgeavailable to the problem solvers. Management reporting of incidents and analysis of problem creation is limited and informal.
3 Defined ProcessThe need for an effective problemmanagement system is accepted and evidenced by budgets for the staffing, training and support of response teams. Problem solving, escalation and resolution processes have been standardised, but are notsophisticated. Nonetheless, users have received clear communications on where and how to report on problems and incidents. The recording and tracking of problems and their resolutions is fragmented within the response team, using the available toolswithout centralisation or analysis. Deviations from established norms or standards are likely to go undetected.
4 Managed and MeasurableThe problem management process is understood at all levels within the organisation. Responsibilities and ownership are clearand established. Methods and procedures are documented, communicated and measured for effectiveness. The majority of problems and incidents are identified, recorded, reported and analysed for continuous improvement and are reported to stakeholders. Knowledge and expertise are cultivated, maintained and developed to higher levels as the function is viewed as an asset and major contributor to the achievement of IT objectives. The incident response capability is tested periodically. Problem and incident management is well integrated with interrelated processes, such as change, availability and configurationmanagement, and assists customers in managing data, facilities and operations.
5 OptimisedThe problem management process has evolved into a forward-looking and proactive one, contributing to the IT objectives. Problems are anticipated and may even be prevented. Knowledge is maintained, through regular contacts with vendors and experts, regarding patterns of past and future problems and incidents. The recording, reporting and analysis of problems and resolutions is automated and fully integrated with configuration data management. Most systems have been equipped withautomatic detection and warning mechanism, which are continuously tracked and evaluated.
Seite 18
ISO
International Organisation for Standardization
(Oder ISOS = griechisch für „Gleich“)
• Weltweit anerkannter Standard zur Qualitätssicherung und Qualitätsverbesserung
• Besitzer: ISO• Zertifizierungen: Prozesse durch TÜV, DEKRA
1. Schwerpunkte
Seite 19
ISO 9001:20001. Schwerpunkte
Implementierungsschritte1. Ziele definieren2. Erwartungen identifizieren3. Informationen über ISO 9000 sammeln und verbreiten4. Standards ins Management einführen / Awareness5. Themenbereiche zur Umsetzung festlegen6. Ist- und Gap-Analyse durchführen7. Prozesse definieren8. Schwachstellenbehebung und Prozessdefinition planen9. Prozesse und Verbesserungen implementieren10. Interne Assessments festlegen und durchführen11. Ggf. Zertifizierung durchführen
Seite 20
ISO 9001:20001. Schwerpunkte
DIN = Deutschland; EN = Euronorm; ISO = International
DIN EN ISO 9000
• Einführung in das Qualitätsmanagement
• Grundlagen für QM-Systeme
• Begriffserläuterung zu QM und Qualität
• Überblick hinsichtlich qualitätsbezogener Ziele und Verantwortlichkeiten
• Beschreibung von Funktion und Nutzen der Dokumentation
Seite 21
ISO 9001:20001. Schwerpunkte
DIN EN ISO 9001(Basis zur Zertifizierung)
• Festlegung der Forderungen an ein QM-System
• Hinweise und Forderungen zum normkonformen Aufbau eines QM-Systems
• Hinweise zur Weiterentwicklung (KVP) des QM-Systems
• Erläuterung zum Ausschluß bestimmter Forderungen
Seite 22
ISO 9001:20001. Schwerpunkte
DIN EN ISO 9004
• Leitfaden zur Wirksamkeit und Wirtschaftlichkeit
• Schwerpunkte sind:Leistungsverbesserung der OrganisationVerbesserung der Zufriedenheit der Kunden
Seite 23
MOF
Microsoft Operations Framework
w Strukturierte Vorgehensweise zum erfolgreichen Betrieb einer IT-Infrastruktur mit Microsoft Produkten (basierend auf ITIL)
w Besitzer: Microsoft Corporationw Zertifizierung: keine
1. Schwerpunkte
Seite 24
MOF1. Schwerpunkte
Service Level ManagementAvailability Management
Capacity ManagementSecurity Management
Infrastructure EngineeringFinancial Management
Workforce ManagementService Continuity Management
Service DeskIncident ManagementProblem Management
Change ManagementConfiguration ManagementRelease Management
Service Monitoring & ControlSystem AdministrationNetwork AdministrationDirectory Service AdministrationSecurity AdministrationStorage ManagementJob Scheduling
InfrastrukturSicherheitPartnerSupport
Release
Support Partner
BetriebSicherheit
Seite 25
MOF
Risikomodell
w Feststellen der Risiken (Dokumentation)w Analyse der erkannten Risikenw Planung von Maßnahmen zur Vermeidung des
Eintretens oder Minimierung der Auswirkungw Nachverfolgen des Erfolgs
der Maßnahmenw Steuern, um ggf. auf veränderte
Situationen zu reagieren
1. Schwerpunkte
Seite 26
SCP
Support Center Practices
w Ein Verfahren, das den Schwerpunkt auf die Qualitätsbeurteilung von Supportleistungen legt
w Besitzer: ServiceStrategies Corporationw Zertifizierung: Bewertung der Effektivität des
Kundensupports anhand Leistungsstandards der Branche (SSPA = Service an Support
Professional Association)
1. Schwerpunkte
Seite 27
SCP1. Schwerpunkte
Seite 28
SCP
Qualitätskriterienw Customer Feedback
Umgang mit Kundenzufriedenheitsanalysen (Sammlung, Analyse, Reaktion)
w CRMUmgang mit Kundenerwartungen, proaktive Kommunikation
w Performance MetricsWie wird Support-Performance gemessen; Zielsetzung und Überwachung der Messkriterien
w Training ProgrammsWelche Ausbildungsprogramme gibt es für die Mitarbeiter und (wie) werden sie umgesetzt
w People ProgrammsUmgang mit Mitarbeiterzufriedenheit, Motivation
1. Schwerpunkte
Seite 29
SCP
Qualitätskriterienw Corporate Commitment and Strategic Direction
„Management als Sponsor“, Unternehmenskultur-Anpassungw Productivity Tools
Wird der Prozess durch Tooleinsatz sinnvoll unterstütztw Electronic Service Delivery
Werden Services auch elektronisch bereitgestelltw Total Quality Management
Welche Verfahren zur Qualitätskontrolle und –verbesserungwerden eingesetzt
w Release & DevelopmentWie ist die Schnittstelle zur Entwicklung definiert
w Sales InterfacesWie ist die Schnittstelle zum Vertrieb definiert
1. Schwerpunkte
Seite 30
Unterschied: Anzahl Prozesse (?)w ITIL: 11w COBIT: 34w MOF: 20w ISPL: „1“ (?)w SCP: keine vorgegebenen Prozessew ISO: keine vorgegebenen Prozesse
Vergleichskriterien2. Gegenüberstellung / Unterschiede
Seite 31
Gemeinsamkeiten: Ziele für allew Prozessorientierungw Qualität der Ergebnissew Messbarkeit / Überprüfbarkeitw Serviceorientierungw Transparenz in Ablauf und Ergebnis
w Vergleichbarkeit / Bewertbarkeit
Vergleichskriterien2. Gegenüberstellung / Unterschiede
Seite 32
Ausrichtungw ITIL: Ausrichtung auf IT-Service Management
Prozesse in einer IT-Organisationw ISPL: Ausrichtung auf Akquise-Prozesse im
Unternehmenw COBIT: Ausrichtung auf Sicherheit, Qualitätssicherung
in einer IT-Organisationw ISO: Ausrichtung auf Qualitätsverbesserung allgemeinw MOF: Ausrichtung auf IT-Service Management in einer
IT-Organisation mit Microsoft-Umgebungw SCP: Ausrichtung auf Supportleistungen aller Art in
Unternehmen
Vergleichskriterien2. Gegenüberstellung / Unterschiede
Seite 33
ITIL / MOFw MOF Prozesse und ITILOptimierung:Service Level ManagementAvailability ManagementCapacity ManagementSecurity ManagementFinancial MangementService Continuity Management
Support:Incident ManagementProblem Management
Änderung:Change ManagementConfiguration ManagementRelease Management
Optimierung:Infrastructure EngineeringWorkforce Management
Betrieb:Service Monitoring & ControlSystem AdministrationNetwork AdministrationDirectory Service AdministrationSecurity AdministrationStorage ManagementJob Scheduling
Seite 34
ITIL / COBITw COBIT Prozesse und ITIL
Planung & OrganisationPO1 Definition eines strategischen Plans für IT PO2 Definition der InformationsarchitekturPO3 Bestimmung der technologischen RichtungPO4 Definition der IT-Organisation und ihrer BeziehungenPO5 Verwaltung der IT-InvestitionenPO6 Kommunikation von Unternehmenszielen und -richtungPO7 PersonalwesenPO8 Sicherstellung der Einhaltung von externen AnforderungenPO9 RisikobeurteilungPO10 ProjektmanagementPO11 Qualitätsmanagement
Beschaffung und ImplementationBE1 Identifikation von automatisierten LösungenBE2 Beschaffung und Unterhalt von AnwendungssoftwareBE3 Beschaffung und Unterhalt der technischen ArchitekturBE4 Entwicklung und Unterhalt von IT-VerfahrenBE5 Installation und Akkreditierung von SystemenBE6 Änderungswesen
Auslieferung und UnterstützungAU1 Definition und Management von DienstleistungsgradenAU2 Handhabung der Dienste von DrittparteienAU3 Leistungs- und KapazitätsmanagementAU4 Sicherstellen der kontinuierlichen DienstleistungAU5 Sicherstellen der SystemsicherheitAU6 Identifizierung und Zuordnung von KostenAU7 Aus- und Weiterbildung von BenutzernAU8 Unterstützung und Beratung von IT-KundenAU9 KonfigurationsmanagementAU10 Umgang mit Problemen und VorfällenAU11 Verwaltung von DatenAU12 Verwaltung von EinrichtungenAU13 Management der Produktion
ÜberwachungÜ1 Überwachung der ProzesseÜ2 Beurteilung der Angemessenheit der internen KontrollenÜ3 Erlangen einer unabhängigen BestätigungÜ4 Für eine unabhängige Revision sorgen
Seite 35
Positionierung3. Abgrenzung oder Ergänzung – Wege zum Zusammenspiel
K KUNDE ☺
Akquise/Einkauf Service
Prozessdefinition Betrieb
QS und OptimierungErstellung v. Dienstleistungen
ITIL ITIL / MOF
COBITSCP
ISPL
Zertifizierung: ISO / ITIL Zertifizierung: SCP
Kundensupport
Seite 36
w Nutzung von „best practices“w Empfehlungen nutzen oder bewusst verwerfenw Vergleichbarkeit in Bewertung wird geschaffen
(wo gewünscht)w Messbarkeit und Transparenz ist gewährleistetw Service- und Dienstleistungsorientierungw è zufriedene Kunden !!!
Überlegter + sinnvoller Einsatz4. Nutzen und Mehrwert in der Praxis
Seite 37
w Bis Ende 2004 werden weltweit ca. 25% der IT-Organisationen COBIT einsetzen;bis Ende 2006: über 40%
w Weltweit führen zur Zeit nur 10% der IT-Organisationen Assessments der eigenen Prozesse durch
w Auf Grund der erkannten Abhängigkeiten zwischen Geschäftsprozessen und IT-Prozessen wird inzwischen bei der Kosten-Nutzen-Analyse von Assessments von einem ROI von über 400% ausgegangen
Ein paar Zahlen (Meta-Group; 05/2003)
4. Nutzen und Mehrwert in der Praxis
Seite 38
Was gibt es noch ?w SPICE
Internationaler Standard für Software ProcessAssessment
w SIX SIGMAProzess mit Schwerpunkt auf der Entwicklung und Auslieferung von „perfekten“ Produkten und Services
w MSFFramework zur schnelleren Implementierung von Microsoft IT-Lösungen
w PRINCE2Projekt-Management Methode zur erfolgreichen Durchführung von Projekten aller Art
w …
Seite 39
? ? ?