IT-Compliance: Die praktische Umsetzung von Compliance-Anforderungen mit Hilfe von Best Practices

Größe: px
Ab Seite anzeigen:

Download "IT-Compliance: Die praktische Umsetzung von Compliance-Anforderungen mit Hilfe von Best Practices"

Transkript

1 IT-Compliance: Die praktische Umsetzung von Compliance-Anforderungen mit Hilfe von Best Practices Autoren: Alexander Meisel, Presales Consultant, iet Solutions Ralf Buchsein, Geschäftsführer, KESS DV-Beratung

2 Inhaltsverzeichnis Einleitung... 3 Was ist IT-Compliance?... 3 Welche Unternehmen unterliegen Compliance-Anforderungen?... 3 IT-Governance und IT-Compliance: Klärung der Begrifflichkeiten... 4 Der Nutzen von IT-Compliance für Unternehmen... 4 Risiko-Management ist keine Kür, sondern Pflicht... 5 IT-Compliance: Unterstützung durch ITIL, ISO und COBIT... 6 Über COBIT... 7 Über ITIL... 7 Über die ISO-Normen... 8 Die Zusammenführung der Best Practices... 8 Nutzenbeispiel: Configuration Management... 9 Erstellung von CMDB und Baseline...10 Identifikation und Wartung von Configuration Items und Überprüfung der Datenqualität...10 Wirtschaftlicher Nutzen für Unternehmen...11 Nutzenbeispiel: Change Management Wirtschaftlicher Nutzen für Unternehmen...13 Nutzenbeispiel: Service Level Management Wirtschaftlicher Nutzen für Unternehmen...14 Zusammenfassung: Maßnahmen zur Sicherstellung der IT-Compliance Anhang 1: Quellen Anhang 2: Einige Gesetze und Vorgaben zur IT Compliance , iet Solutions in Zusammenarbeit mit KESS DV-Beratung Seite 2 von 17

3 Einleitung Die IT nimmt in den Kerngeschäftsprozessen einen hohen Stellenwert ein. Die Geschäftsprozessunterstützung der IT Services reicht von Vertriebsprozessen, über Buchhaltungs- und Logistikprozesse bis hin zum Betrieb von Fertigungsanlagen. Ein Ausfall der IT Services kann große Schäden verursachen und zum Beispiel die Produktion stilllegen oder sogar den Fortbestand des Unternehmens gefährden, falls die Störung länger andauert. Aus diesem Grund rät Gartner dringend dazu, eine Business Impact Analyse durchzuführen, um die Überlebensfähigkeit des Unternehmens im Krisenfall sicherzustellen. 28% der auf dem Business Continuity Management Summit 2007 von Gartner befragten Information Security und Risk Management Spezialisten berichteten, dass ihre letzte Disaster Recovery Übung die angestrebten Ziele erreichte. 61% der Befragten gaben jedoch an, dass es bei den Tests zu Problemen kam 1. Risiko-Management als Teil der Unternehmensführung wurde in den vergangenen Jahren vor allem im Zusammenhang mit spektakulären Pleiten und Korruptionsaffären diskutiert. Diese haben die Gesetzgeber dazu bewogen, den Umgang mit Unternehmensrisiken gesetzlich zu steuern. Aus einer Vielzahl dieser Gesetze wie zum Beispiel KonTraG 2, SOX, 8. EU-Richtlinie (auch als EuroSOX bezeichnet) und Branchen-Vorgaben wie zum Beispiel GxP leiten sich hohe Anforderungen an den IT-Bereich ab. Eine absolute Sicherheit für Unternehmen und IT kann und wird es nie geben durch ein vorbeugendes IT Service Management kann jedoch ein größtmögliches Maß an Sicherheit und Schadensvermeidung sichergestellt werden. Was ist IT-Compliance? Unter Compliance versteht man die Gesamtheit aller Maßnahmen, um das rechtlich und ethisch korrekte Verhalten von Firmen, Organen und Mitarbeitern zu gewährleisten. Darunter werden alle Handlungen zusammengefasst, welche die dauerhafte Einhaltung von Gesetzen, branchenspezifischen Richtlinien und Unternehmenskodizes für die Unternehmensführung beschreiben. Compliance soll das Untenehmen vor Fehlverhalten bewahren, welches zu Image-Schäden und dem Verfehlen von Unternehmenszielen führen kann. Sie soll außerdem die Interessen von Mitarbeitern, Kunden und Handelspartnern schützen. Welche Unternehmen unterliegen Compliance-Anforderungen? In erster Linie sind Aktiengesellschaften und GmbHs betroffen, da hier Geschäftsführer und Vorstände persönlich für die Einhaltung der gesetzlichen Regelungen haftbar gemacht werden können. 1 Quelle: Gartner Inc., 2007 BCM Survey Results 2 Alle in diesem Dokument genannten Gesetze und Richtlinien werden im Anhang 2 erläutert. 2008, iet Solutions in Zusammenarbeit mit KESS DV-Beratung Seite 3 von 17

4 Bei deren Missachtung drohen zivil- und strafrechtliche Sanktionen. So sieht das Bundesdatenschutzgesetz eine Freiheitsstrafe von bis zu zwei Jahren oder eine Geldstrafe bei Zuwiderhandlung vor. Durch Richtlinien wie Basel II zur Kreditvergabe oder die 8. EU-Richtlinie zur Regelung von Unternehmensabschlüssen besteht jedoch für nahezu jedes Unternehmen Handlungsbedarf in Sachen Compliance. Die Überprüfung der Einhaltung erfolgt durch interne Prüfungen wie Revisionen sowie durch externe Prüfungen durch Wirtschafts-/Abschlussprüfer, Börsenaufsicht etc. Ernst & Young identifizierte in seiner Studie Strategic Business Risk: 2008 The Top 10 Risks for Global Business regulatorische Anforderungen als eines der größten Risiken für Unternehmen. IT-Governance und IT-Compliance: Klärung der Begrifflichkeiten Aus den Compliance-Anforderungen an die Unternehmensführung leiten sich hohe Anforderungen an alle Unternehmensbereiche und vor allem auch an die IT ab. Diese Anforderungen an die IT werden unter dem Begriff der IT-Compliance zusammengefasst. Der Begriff IT-Compliance ist nicht normiert. Das IT-Governance Institute definiert IT-Compliance als Einhaltung und Umsetzung von regulatorischen Anforderungen im weitesten Sinne mit dem Ziel eines verantwortungsvollen Umgangs mit allen Aspekten der Informationstechnik. Im Rahmen der IT-Compliance werden neben technischen Faktoren auch alle relevanten Schnittstellen der IT betrachtet wie zum Beispiel die Beziehungen zu externen Lieferanten. IT-Compliance hat die Einhaltung der übergeordneten Compliance-Anforderungen an das Unternehmen IT-seitig zu gewährleisten. Sie ist ein Teilbereich der IT-Governance, welche alle Maßnahmen zur Organisation, Steuerung und Kontrolle der IT-Systeme beschreibt. Welchen Stellenwert IT-Governance und Compliance heute innehaben belegt die Studie "IT-Governance Global Status Report 2008". Für diese Studie befragte das IT-Governance Institute (ITGI) 750 C-Level Manager aus 23 Ländern zu IT-Governance. 34% der Befragten sind derzeit dabei, Prozesse und Abläufe zur IT-Governance zu implementieren. Das sind gut 50% mehr als noch zwei Jahre zuvor. Der Nutzen von IT-Compliance für Unternehmen An der Einhaltung von Gesetzen und Richtlinien führt kein Weg vorbei; IT-Compliance bietet aber auch Chancen. Eine sichere IT-Umgebung bewirkt wirtschaftliche Vorteile und sichert den Fortbestand des Unternehmens durch die Reduzierung von Risiken. Untersuchungen zufolge geben Firmen ohne ein effizientes Lizenz Management bis zu 60% zu viel für ihre Software aus und ca. 80% des IT-Budgets fließen in die Wartung der IT-Infrastruktur. 2008, iet Solutions in Zusammenarbeit mit KESS DV-Beratung Seite 4 von 17

5 Mit der Etablierung von Prozessen, Kontrollen und Steuerungsmechanismen zur IT-Compliance können Firmen wirtschaftlichen Nutzen realisieren wie zum Beispiel: 1. Kosteneinsparungen, durch: Erkennen von Überlizenzierung und ein umsichtigeres Lizenz-Management Ermitteln nicht genutzter Soft- und Hardware und deren Umverteilung oder Kündigung Reduzierung von Ausfällen in den Kerngeschäftsprozessen durch Ausrichtung der Service Level an den Prozessen 2. Steigerung der Produktivität, durch: optimierte Ausrichtung der IT Services an den Geschäftsanforderungen Risiko-Management ist keine Kür, sondern Pflicht Hintergrund vieler Compliance-Anforderungen ist die Reduzierung von Risiken. Eines der wichtigsten Gesetze in diesem Zusammenhang ist der Sarbanes-Oxley-Act (SOX). Mit diesem Gesetz reagierte die amerikanische Regierung auf eine Reihe von Bilanzskandalen wie zum Beispiel WorldCom, der größten Firmenpleite innerhalb der USA. Für das Risiko-Management im Unternehmen ist ein internes Kontrollsystem (IKS) die Basis zur Unternehmenslenkung. Abschlussprüfer kontrollieren die vorhandenen Überwachungssysteme inklusive der etablierten Risiko-Management-Prozesse sowie den zugehörigen Risiko-Früherkennungssystemen. Im Mai 2006 erließ die EU die 8. EU-Richtlinie über Abschlussprüfungen von Jahresabschlüssen und konsolidierten Abschlüssen. Mit der 8. EU-Richtlinie werden neue und erweiterte Regelungen für Wirtschaftsprüfer in ihrer Rolle als Abschlussprüfer in Kraft gesetzt. Die Anforderungen von EuroSOX haben auch Konsequenzen für den IT-Bereich. So muss die IT die Steuerung der Infrastruktur, der Applikationsentwicklung und der -pflege sicherstellen, alle relevanten Daten und Dokumente archivieren sowie die Kontrolle und Sicherheit des Berichtswesens gewährleisten. Die 8. EU-Richtlinie ist bis spätestens 29. Juli 2008 in nationales Recht umzuwandeln und relevant für alle Kapitalgesellschaften und Unternehmen von so genannter öffentlicher Bedeutung. Ein Artikel der Computerwoche vom 11. Juni 2008 tituliert IT-Chefs nehmen EuroSOX auf die leichte Schulter. Der Bericht macht deutlich, dass sich über 50% der befragten Unternehmen der Anforderungen, die mit EuroSOX auf sie zukommen, nicht bewusst sind. Doch nicht alle Anforderungen, die hier definiert werden, sind gänzlich neu. So fordert bereits das KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) eine umfassende IT- und TK-Dokumentation und das HGB die Einhaltung der Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS), mit der Erstellung einer Verfahrensdokumentation für jedes IT-System. Letztendlich führen alle Anforderungen zum Aufbau eines internen Kontrollsystems bestehend aus systematisch gestalteten organisatorischen Maßnahmen und 2008, iet Solutions in Zusammenarbeit mit KESS DV-Beratung Seite 5 von 17

6 Kontrollen. Diese dienen der Einhaltung von Richtlinien und zur Abwehr von Schäden, die durch Mitarbeiter oder Dritte verursacht werden können. Alle Maßnahmen und Kontrollen können sowohl technischer als auch organisatorischer Art sein. IT-Compliance: Unterstützung durch ITIL, ISO und COBIT Für den "IT-Governance Global Status Report 2008" des ITGI wurde das Management zu seinen Prioritäten und Aktivitäten hinsichtlich der IT-Governance, sowie zur Notwendigkeit unterstützender Tools und Services befragt. 24% der Befragten gaben an, die IT Infrastructure Library (ITIL) und die ISO zur Umsetzung der IT-Governance zu nutzen. Die Kenntnis des COBIT-Frameworks hat die 50%-Marke überschritten und sich seit 2005 fast verdoppelt. Die Verwendung von COBIT hat sich von 8% im Jahr 2005 auf 16% verdoppelt. Dieses Ergebnis legt nahe, dass ein Großteil der Unternehmen auf mehr als einen Best Practice Ansatz setzt, um IT-Governance umzusetzen. Zum selben Ergebnis kommt eine Umfrage der Enterprise Strategy Group (ESG) aus dem Jahr Die ESG befragte Unternehmen aus den USA mit mehr als 1000 Mitarbeitern zur Nutzung von Best Practices und den Gründen. Die am häufigsten genannten Best Practices waren ITIL, ISO/IEC und COBIT. Interessantes Resultat der ESG-Umfrage: Für 76% der Unternehmen, die sich an allen drei Richtlinien orientieren, waren hohe regulatorische Anforderungen der Grund für die Projekte und Investitionen. Im Gegensatz dazu gaben nur 44% der Unternehmen, die sich ausschließlich nach ITIL richten, an, diese wegen regulatorischer Anforderungen umzusetzen. Bei der Ausrichtung an Best Practices gilt es also, die eigenen Ziele und Anforderungen genau zu prüfen, um dann die geeigneten Steuerungssysteme und Prozesse zu implementieren. ITIL stellt hierzu heraus: Ein wirkungsvolles IT Service Management entsteht durch die Nutzung von Best Practices (Standards) und deren Ausrichtung an den spezifischen Fähigkeiten der eigenen Organisation. Abbildung 1: Überschneidung von ITIL, COBIT, ISO und COSO, ISACA 2008, iet Solutions in Zusammenarbeit mit KESS DV-Beratung Seite 6 von 17

7 Über COBIT COBIT ist ein international anerkannter Standard für Sicherheit, Qualität und Ordnungsmäßigkeit in der Informationstechnologie. High-Level Control Objectives dokumentieren das Ziel eines Prozesses und definieren die zu erreichende Mindestanforderung. Zusätzlich sind detaillierte Control Objectives beschrieben, welche als Best Practices für das Management des jeweiligen Prozesses angesehen werden. Beispiel für den Prozess Manage Changes (COBIT, A16 Manage Changes) Die High-Level Control Objectives fordern als Zielsetzung, dass sämtliche Changes an der Infrastruktur und den Applikationen in der produktiven Umgebung nach standardisierten Methoden und Verfahren vorgenommen werden. Dazu zählen auch Notfall- Changes und Patches. Jeder Change muss vor der Implementierung aufgezeichnet, bewertet und autorisiert sowie nach der Implementierung anhand der geplanten Ergebnisse überprüft werden. Diese Aktivitäten schließen Changes an Verfahren, Prozessen, Systemen und Services ein. Durch diese Aktivitäten sollen Risiken minimiert Abbildung 2: Kernbereiche der ITwerden, wie zum Beispiel negative Auswirkungen auf Governance, A16, COBIT 4.1 die Stabilität und Integrität der Produktivumgebung. COBIT definiert für den Prozess Manage Changes insgesamt sechs detaillierte Control Objectives. Eines der detaillierten Control Objectives lautet Notfall Changes (A16.3: Emergency Changes). Dieses Control Objective fordert, einen Prozess für die Definition, Aufnahme, Beurteilung und Genehmigung von Notfall-Changes zu erstellen. Dokumentationen und Tests können unter Umständen auch nach der Implementierung erfolgen. Die COBIT Control Objectives stellen für Auditoren wesentliche Kriterien für die Überprüfung und Beurteilung der implementierten IT-Prozesse dar. Über ITIL Auch wenn ITIL gern als Standard bezeichnet wird, so ist ITIL nur ein Satz an Best Practice Leitlinien für das IT Service Management. ITIL umfasst Richtlinien zur Bereitstellung qualitätsbasierter IT Services sowie zu den unterstützenden Prozessen und Maßnahmen. In ITIL V3 wird erstmals der gesamte Service Lifecycle von IT Services beschrieben. Dies schließt bewährte Methoden und notwendige Aufgaben wie das Risiko-Management ein. 2008, iet Solutions in Zusammenarbeit mit KESS DV-Beratung Seite 7 von 17

8 Mit der Version 3 gehen die ITIL Best Practices einen Schritt weiter als bisher: So wird nicht mehr eine bessere Ausrichtung der IT-Organisation an den Geschäftsprozessen und Kundenanforderungen angestrebt, sondern die Integration von IT und Business. Diese Integration ist vor allem in der zentralen Publikation Service Strategy beschrieben, die sich u.a. mit dem Thema der IT-Governance auseinandersetzt. Die Unterstützung eines Geschäftsprozesses wird in ITIL als Service bezeichnet. In der Definition für den Service findet sich die angestrebte Business-Integration wieder: Eine Möglichkeit, einen Mehrwert für Kunden zu erbringen, indem das Erreichen der von den Kunden angestrebten Ergebnisse erleichtert oder gefördert wird. Dabei müssen die Kunden selbst keine Verantwortung für bestimmte Kosten und Risiken tragen. In dieser Definition werden die Erbringung eines Mehrwertes für den Kunden und die angestrebten Ergebnisse herausgestellt. Konkretisiert für den Bereich der IT definiert ITIL IT Services wie folgt: Ein Service, der für einen oder mehrere Kunden von einem IT Service Provider bereitgestellt wird. Ein IT Service basiert auf dem Einsatz der Informationstechnologie und unterstützt die Business-Prozesse des Kunden. Ein IT Service besteht aus einer Kombination von Personen, Prozessen und Technologie und sollte in einem Service Level Agreement definiert werden. Über die ISO-Normen Eine Reihe von ISO-Normen ist komplementär zu ITIL zu betrachten und liefert messbare und zertifizierbare Qualitätskriterien für IT Service Management und IT-Sicherheit. Dazu gehören die ISO sowie die ISO Die ISO beschreibt Kontrollmechanismen für die Informationssicherheit während die ISO als messbarer Qualitätsstandard für das IT Service Management dient. Dazu werden in der ISO Mindestanforderungen an Prozesse spezifiziert, um IT Services in definierter Qualität bereitstellen zu können. Neu hinzugekommen ist die ISO/IEC (1) für "Corporate Governance in Information Technology". Diese ISO-Normen stehen nicht in Wettbewerb zu Best Practices wie zum Beispiel ITIL. ITIL definiert Leitlinien für das IT Service Management, enthält aber keine Mindestanforderungen. Deshalb kann auf Basis von ITIL keine Zertifizierung des IT Service Managements vorgenommen werden. Diese ermöglichen nur die ISO-Normen. So ergänzen sich Best Practices und ISO-Normen. Die Zusammenführung der Best Practices Allen Gesetzen und Richtlinien gemeinsam ist die Forderung nach dem Aufbau eines internen Kontrollsystems und eines Risiko-Managements. Als Best Practices unterstützen hierbei die ITIL Best Practices ebenso wie die ISO/IEC und oder das COBIT Framework. 2008, iet Solutions in Zusammenarbeit mit KESS DV-Beratung Seite 8 von 17

9 Ob Unternehmen sich an einer Richtlinie orientieren oder eine Mischform aus mehreren Best Practices wählen - für die Sicherstellung der IT-Compliance sind folgende Prozesse vorrangig, die sowohl in COBIT, als auch in ITIL und den ISO- Normen beschrieben sind: Configuration Management: Dokumentation der IT Services und deren Komponenten Change Management: Bewertung von Auswirkungen und Steuerung von Änderungen IT Service Continuity Management: Auswirkung auf die Geschäftsprozesse bei Ausfällen und Notfällen Service Level Management: Definition der IT Services und der Anforderungen der Geschäftsprozesse Availability Management: Gewährleistung eines kosteneffektiven und definierten Verfügbarkeitsniveaus für die IT Services Nutzenbeispiel: Configuration Management Das Configuration Management beschreibt den Prozess, der die Anforderungen des Unternehmens an die IT bezüglich der Maintenance und Optimierung von IT-Infrastruktur, Ressourcen und des Leistungsnachweises der IT-Anlagen erfüllt. Dies wird sichergestellt durch die Etablierung und Aufrechterhaltung eines Repository (COBIT) bzw. laut ITIL eines Configuration Management Systems (CMS), das aus mehreren Configuration Management Databases (CMDB) bestehen kann. Im CMS liegen Informationen, Konfigurationsdaten und Relationen der IT-Infrastruktur vor. Ziel des Configuration Management ist es: ein CMS zu etablieren Configuration Items (CIs) zu identifizieren und aktuell und korrekt zu halten die Datenqualität zu prüfen einen entsprechenden Prozess und Verantwortlichkeiten festzulegen und zu leben Mit der Lösung iet CMDB Discovery & Intelligence bietet iet Solutions eine Tool- Unterstützung zur Umsetzung der in COBIT definierten Control Objectives an, die sich auch in ITIL finden: Erstellung des zentralen Repositories/der CMDB und der Baseline Identifikation und Wartung von Configuration Items Überprüfung der Datenqualität 2008, iet Solutions in Zusammenarbeit mit KESS DV-Beratung Seite 9 von 17

10 Erstellung von CMDB und Baseline Mit der Lösung iet CMDB Discovery erfassen IT-Verantwortliche den gesamten IT-Bestand - schnell und vollständig. Diese Lösung arbeitet agentenlos und ermittelt umfassende Informationen über das gesamte IT-Inventar inklusive Konfigurationsdaten, installierter Software, Hardware-Komponenten sowie Relationen zwischen Hardware-Komponenten. Die Praxis zeigt, dass es nicht sinnvoll ist, die CMDB initial mit allen vom Discovery-System gefundenen Daten zu füllen, sondern nach IT Services getrennt vorzugehen und die CMDB sukzessive zu erweitern (siehe iet Solutions Whitepaper CMDB in 5 Schritten ). Identifikation und Wartung von Configuration Items und Überprüfung der Datenqualität iet CMDB Intelligence ist eine intelligente Schnittstelle zwischen tatsächlicher IT-Infrastruktur und Configuration Management Database. Nach der Ermittlung des IT-Bestands über iet CMDB Discovery oder bereits im Unternehmen vorhandene Discovery-Lösungen werden die ermittelten Daten über einen Import-Server in eine IST-Datenbank, die sogenannte Inventory Staging Area geschrieben. Über Filter kann die Menge der in die CMDB zu importierenden Informationen beschränkt und zum Beispiel Daten wie detaillierte BIOS- Informationen vom Import ausgenommen werden. Abbildung 3: Die Lösung iet CMDB Discovery & Intelligence ermöglicht die Erstellung und Wartung einer korrekten und aktuellen CMDB. iet CMDB Intelligence zeigt beim Import der Daten in die CMDB Unterschiede zwischen tatsächlich ermittelten Assets und Konfigurationsdaten und bereits in der CMDB erfassten Informationen auf. Durch diesen Soll-/Ist-Vergleich werden Unterschiede sofort ersichtlich. 2008, iet Solutions in Zusammenarbeit mit KESS DV-Beratung Seite 10 von 17

11 Abbildung 4: iet CMDB Intelligence stellt die CMDB grafisch dar und kennzeichnet Unterschiede zwischen tatsächlicher Infrastruktur und CMDB. Wirtschaftlicher Nutzen für Unternehmen Mit der Einführung von Configuration Management kann wirtschaftlicher Nutzen für das Unternehmen realisiert werden durch erhöhte Transparenz und Nachvollziehbarkeit von Änderungen an der IT-Infrastruktur, die zu verbesserter Qualität und Minderung von Risiken und Störungen beitragen. Des Weiteren wirkt sich ein effizienter Prozess in einem reduzierten zeitlichen und finanziellen Aufwand für externe und interne Audits aus. Mit iet CMDB Discovery & Intelligence können Unternehmen die in COBIT definierten Leistungs- und Ziel-Indikatoren für das Configuration Management messen und damit den Anforderungen externer und interner Revisoren nachkommen. Nutzenbeispiel: Change Management Die Notwendigkeit, IT Services kontinuierlich anzubieten, erfordert die Entwicklung und Aufrechterhaltung von IT Service Continuity Plänen, die ausgelagerte Aufbewahrung von Sicherungskopien und das regelmäßige Testen von Notfallplänen. Ein wirksamer IT Service Continuity Management Prozess minimiert die Auswirkungen von Unterbrechungen auf die IT Services sowie die mögliche Beeinträchtigung der Geschäftsprozesse im Fall einer Störung. Notfallpläne müssen regelmäßig durch die Simulation eines Ernstfalls getestet und gegebenenfalls überarbeitet werden. Des Weiteren muss bei jedem Change geprüft werden, ob er sich auf den Notfallplan auswirkt. 2008, iet Solutions in Zusammenarbeit mit KESS DV-Beratung Seite 11 von 17

12 Die ISO sagt aus, dass sämtliche Informationen zur Verfügbarkeit und Service-Kontinuität mit den Verfügbarkeits- und Service-Kontinuitätsplänen verknüpft sein und mit dem Change Management interagieren müssen. Durch die Hinterlegung von IT Service Continuity Plänen in der CMDB kann im IT Service Management System die Verlinkung zu den IT Services hergestellt werden. Im Rahmen des Change-Prozesses ist damit auch sichergestellt, dass die Aktualisierung der Notfallpläne nach der Durchführung von Changes nicht vergessen wird. Das Change Management stellt sicher, dass Änderungen in einer kontrollierten Weise registriert, bewertet, autorisiert, priorisiert, geplant, geprüft, durchgeführt, dokumentiert und nach der Durchführung überprüft werden. Dies wird erreicht durch die Festlegung und Kommunikation von Verfahren für Änderungen an IT Services und Configuration Items. Vor allem die revisionssichere Dokumentation von Changes ist eine wesentliche Compliance-Anforderung. Mit iet ITSM Change Management verfügen Unternehmen über einen revisionssicheren Nachweis darüber, wann welche Komponente geändert wurde, wer diese Änderung durchgeführt hat, ob es zu dieser Änderung einen autorisierten Change gibt und von wem dieser autorisiert wurde. In der Configuration Management Database von iet ITSM können Notfallpläne als Configuration Items hinterlegt werden und durchlaufen damit den Change-Prozess. Abbildung 5: Change Management Modul in iet ITSM, iet Solutions Abbildung 6: Darstellung des Notfallplanes in der grafischen CMDB von iet ITSM, iet Solutions 2008, iet Solutions in Zusammenarbeit mit KESS DV-Beratung Seite 12 von 17

13 Wirtschaftlicher Nutzen für Unternehmen Mit einem strukturierten Change Management vermeiden Unternehmen negative Auswirkungen auf ihre IT Services durch ein verbessertes Risiko-Management. Kosten können im Vorfeld genauer abgeschätzt und Ressourcen wirtschaftlicher eingesetzt werden. Unternehmen erhöhen die Qualität ihrer IT Services durch Verminderung nicht autorisierter oder fehlerhafter Changes sowie durch die Reduzierung von Incidents infolge eines schlecht analysierten Changes. Dies kann zu einer erheblich höheren Verfügbarkeit des IT Services für das Business und zu Zeiteinsparungen im Support führen. Nutzenbeispiel: Service Level und Availability Management Über den Prozess Service Level Management wird sichergestellt, dass das Serviceangebot der IT mit den Serviceanforderungen des Kunden in Einklang gebracht wird. Die vertragliche Vereinbarung der Serviceleistungen in Form von Service Level Agreements definiert die gewünschten und zu erreichenden Service Levels. Das Service Level Management enthält auch die Überwachung von Service Levels sowie die zeitnahe Berichterstattung über deren Erreichung. Die Zielerreichung wird unter anderem gemessen anhand: des Zufriedenheitsgrads der Kunden in puncto Erreichung der Service Level Ziele der Anzahl geleisteter Services, die nicht im Service Katalog enthalten sind der Anzahl formeller Überprüfungen der Service Level Agreements mit der Unternehmensleitung Um die vereinbarten Ziele bei der Bereitstellung der IT Services zu erreichen, werden häufig externe Leistungen wie zum Beispiel die Bereitstellung eines WAN (Wide Area Network) benötigt. Hierfür werden in der Regel Verträge mit externen Lieferanten (sogenannte Underpinning Contracts) abgeschlossen. Im Rahmen der Abschlussprüfungen sind diese Beziehungen zu externen Lieferanten darzustellen. Insbesondere im Rahmen des Risiko-Managements sind externe Lieferanten zu bewerten und es ist zu prüfen, welche Auswirkungen sich auf IT Services ergeben, wenn ein extern bezogener Service ausfällt bzw. nicht mehr in der geforderten Leistung oder Qualität bereitgestellt wird. In engem Zusammenhang mit dem Service Level Management steht das Availability Management. Das Availability Management stellt die benötigte Kapazität und Performance zur Erbringung der IT Services bereit und prüft, ob diese ausreichen, um die Leistungen entsprechend der Service Level Agreements zu erbringen. Performance und Kapazität von IT-Ressourcen müssen geplant werden, um sicherzustellen, dass kostenmäßig begründbare Kapazität und Performance verfügbar ist, um den in den Service Level Agreements festgelegten Workload zu bewältigen. 2008, iet Solutions in Zusammenarbeit mit KESS DV-Beratung Seite 13 von 17

14 Kapazitäts- und Performance-Pläne sollten geeignete Modellierungstechniken anwenden, um ein Modell der derzeitigen und künftigen Performance, Kapazität und des Durchsatzes der IT-Ressourcen zu erhalten. Mit iet ITSM Service Level Management und iet ITSM Availability Management können Unternehmen: Service Level Agreements inklusive Preisvereinbarungen verwalten und deren Einhaltung kontrollieren Operational Level Agreements und Underpinning Contracts inklusive Preisvereinbarungen verwalten Verfügbarkeiten messen, Downtimes berechnen sowie mean time to repair (MTTR) und mean time between failure (MTBF) auswerten Ziel-Abweichungen identifizieren Abbildung 7: Abweichung vom Service Level in iet ITSM, iet Solutions Wirtschaftlicher Nutzen für Unternehmen Die Einführung von Service Level Management stellt sicher, dass die vereinbarten Services mit transparenten Kosten und Leistungen wirtschaftlich erbracht werden können. Firmen gewährleisten damit, dass ihr Service-Katalog mit den Markt- bzw. Kundenanforderungen in Einklang ist. Die Einhaltung der Servicequalität und deren Berichterstattung ist zu jedem Zeitpunkt gewährleistet und Unternehmen haben ihre Dienstleistungsvereinbarungen stets unter Kontrolle. 2008, iet Solutions in Zusammenarbeit mit KESS DV-Beratung Seite 14 von 17

15 Zusammenfassung: Maßnahmen zur Sicherstellung der IT-Compliance 1. Risiko-Bewertung durchführen Identifikation und Analyse der Risiken: technisch, menschlich, rechtlich anhand gesetzlicher Rahmenbedingungen und Richtlinien Risikoquellen strukturieren - Grad der Gefährdung in Relation zu den Kosten setzen, die durch die Gefahrenvermeidung entstehen 2. Management-Systeme und Prozesse zur Kontrolle und Steuerung von Risiken etablieren strategische Maßnahmen treffen, zum Beispiel o Ernennung eines Chief Information Security Officer (CISO) oder Compliance Managers o Erlass, Entwicklung und Verbesserung verbindlicher Unternehmensrichtlinien wichtige Bestandteile aller Maßnahmen: o Etablierung der Prozesse Configuration Management, Change Management, IT Service Continuity Management, Service Level Management, Availability Management o vertragliche Absicherung der Verfügbarkeit durch Service Level Agreements o wirksame Fall-Back-Strategie für Systemausfälle, zum Beispiel redundante Vorhaltung von Servern ständige Überwachung, um schnell und flexibel auf eventuell entstehende Sicherheitslücken reagieren zu können Entwicklung von Kontrollverfahren und Kommunikationsabläufen für IT- Sicherheit und getroffene Maßnahmen operative Maßnahmen treffen: Einrichtung von Virenschutz, Firewall, Content-Filter, Verschlüsselungen und Zugangsregelungen zu Systemen und Räumen geeignete Systeme und Tools etablieren 3. Schulung der Mitarbeiter 4. Testen, Testen, Testen Überprüfen der Sicherheitsmaßnahmen und Notfallpläne unter realen Bedingungen (Ernstfall simulieren) 5. Kontinuierliche Verbesserung fortwährende Anpassung der Sicherheitsmaßnahmen an veränderte Rahmenbedingungen 2008, iet Solutions in Zusammenarbeit mit KESS DV-Beratung Seite 15 von 17

16 Anhang 1: Quellen Studie "IT-Governance Global Status Report 2008", IT-Governance Institute (ITGI) Strategic Business Risk: The Top 10 Risks for Global Business, Ernst & Young, 2007 COBIT 4.0, IT-Governance Institute, deutsche Übersetzung von KPMG Austria, 2005 IT-Management mit ITIL V3. Strategien, Kennzahlen, Umsetzung, 2. Auflage 2008, ISBN-13: learnitil v3, Pocket Book, Serview GmbH, 2008 SC Magazine US, Artikel ISO, ITIL and COBIT triple play fosters optimal security management execution, Umfrage zu Business Continuity Management (BCM) and Disaster Recovery (DR), 2007, Gartner Inc. IT-Chefs nehmen EuroSOX auf die leichte Schulter, , Anhang 2: Einige Gesetze und Vorgaben zur IT Compliance (in alphabetischer Reihenfolge) Basel II - europäische Banken- und Kapitaladäquanzrichtlinie: sieht vor, dass Banken vor einer Entscheidung über die Kreditvergabe an ein Unternehmen eine umfassende Bonitätsbewertung vornehmen müssen / Bei diesem Rating bewertet die Bank unter anderem die operationellen Risiken, dazu gehören auch die IT-Risiken. BDSG Bundesdatenschutzgesetz: regelt den Umgang mit personenbezogenen Daten, die insbesondere in EDV-Systemen verarbeitet werden / Paragraf 9 des BDSG verpflichtet die Wirtschaft, technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten zu treffen. EuroSOX: wird häufig als Begriff für die 8. EU-Richtlinie verwendet, siehe 8. EU-Richtlinie GxP: bezeichnet alle Richtlinien für "gute Arbeitspraxis", welche insbesondere in der Medizin, der Pharmazie und der pharmazeutischen Chemie Bedeutung haben / Die Food and Drug Administration (FDA) kontrolliert zum Schutz der Verbraucher Herstellung, Lagerung und Verkauf von Produkten der Pharma- und Nahrungsmittelindustrie; betrifft Unternehmen in den USA, Töchter US-amerikanischer Firmen und Unternehmen, die ihre Produkte auf dem US-Markt vertreiben. GDPdU - Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen: Gesetzgebung rund um digitale Steuerprüfung, revisionssichere Langzeitarchivierung von Geschäftsdaten nach HGB/AO und GDPdU, Aufbewahrungsvorschriften nach Abgabenordnung und GDPdU GmbH-Gesetz: Geschäftsführern einer GmbH wird im GmbH-Gesetz die Sorgfalt eines ordentlichen Geschäftsmannes auferlegt ( 43 Abs. 1 GmbHG). GOB - Gesetz zur ordnungsgemäßen Buchführung: Regeln zur Buchführung und Bilanzierung, die sich auf Richtigkeit, Klarheit, und Vollständigkeit beziehen 2008, iet Solutions in Zusammenarbeit mit KESS DV-Beratung Seite 16 von 17

17 IT-Grundschutzhandbuch des Bundesamts für die Sicherheit in der Informationstechnik: regelt die Einhaltung bestimmter Sicherheitsstandards, welche die Verfügbarkeit, Vertraulichkeit und Integrität von Informationen durch Sicherheitsvorkehrungen in beziehungsweise bei der Anwendung von informationstechnischen Systemen oder Komponenten betreffen KonTraG: Gesetz zur Kontrolle und Transparenz im Unternehmensbereich / Der Vorstand einer Aktiengesellschaft muss "insbesondere ein Überwachungssystem einrichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden", so Paragraf 91 Absatz 2 des Aktiengesetzes. Diese Vorschrift gilt nicht nur für Aktien-, sondern auch für andere Kapitalgesellschaften, also auch und insbesondere für die GmbH. SigG - Signaturgesetz: bestimmt den Einsatz der elektronischen (digitalen) Signatur zum Beispiel beim Erstellen und Versenden digitaler Rechnungen SOX Sarbanes-Oxley-Act (USA): US-Gesetz zur verbindlichen Regelung der Unternehmensberichterstattung; betrifft Unternehmen in den USA sowie Töchter US-amerikanischer Firmen TKG: Telekommunikationsgesetz beim Bundesministerium der Justiz TMG - Telemediengesetz: regelt die rechtlichen Rahmenbedingungen für sogenannte Telemedien in Deutschland / Zu den Telemedien gehören nahezu alle Angebote im Internet wie Webshops, Online-Auktionshäuser, Suchmaschinen, Webmail-Dienste, Informationsdienste, Podcasts, Chatrooms, Communities und Webportale. Auch private Websites und Blogs gelten als Telemedien. 8. EU Richtlinie: Richtlinien der Europäischen Kommission, die an die US-amerikanische SOX-Gesetzgebung angelehnt sind / Dabei geht es um Vorgaben für nationale Gesetze über Aktionärssicherheit sowie unabhängige Rechnungs- und Abschlussprüfung von Unternehmen bestimmter Rechtsformen (insbesondere in den öffentlich gehandelten Aktiengesellschaften). Die 8. EU-Richtlinie fordert ein wirksames internes Kontrollsystem und damit auch Risiko-Management von den Unternehmen. iet Solutions GmbH Boschetsrieder Str München Deutschland Tel.: +49/89/ Fax: +49/89/ Copyright iet Solutions, Alle Rechte vorbehalten. ietsolutions, iet und das iet Logo sind eingetragene Warenzeichen von iet Solutions, LLC in den USA und/oder anderen Ländern. Sonstige Produkte, Marken und Warenzeichen sind Eigentum der jeweiligen Eigentümer/Unternehmen. ITIL is a Registered Trade Mark, and a Registered Community Trade Mark of the Office of Government Commerce, and is Registered in the U.S. Patent and Trademark Office KESS DV-Beratung GmbH Josef-Dietzgen-Straße Hennef Tel.: +49/2242/ Fax: +49/2242/ , iet Solutions in Zusammenarbeit mit KESS DV-Beratung Seite 17 von 17

ITIL IT Infrastructure Library

ITIL IT Infrastructure Library ITIL IT Infrastructure Library Einführung in das IT-Service-Management Andreas Linhart - 2009 Agenda IT-Service-Management Der ITIL-Ansatz Lizenzen & Zertifizierungen ITIL-Prozessmodell (v2) Service Support

Mehr

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Unsere IT ist doch sicher! Wozu ISO 27001? RBP Seminar, LRZ München, 27.10.2011 Marc Heinzmann, plan42 GmbH ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein Beratungsunternehmen ohne

Mehr

CRAMM. CCTA Risikoanalyse und -management Methode

CRAMM. CCTA Risikoanalyse und -management Methode CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick

Mehr

I T I L. ITIL ein systematisches und professionelles Vorgehen für. das Management von IT Dienstleistungen. Andreas Henniger.

I T I L. ITIL ein systematisches und professionelles Vorgehen für. das Management von IT Dienstleistungen. Andreas Henniger. I T I L ITIL ein systematisches und professionelles Vorgehen für das Management von IT Dienstleistungen. 1 ITIL Was ist ITIL? ITIL wurde von der Central Computing and Telecommunications Agency (CCTA) entwickelt,

Mehr

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten ISO & IKS Gemeinsamkeiten SAQ Swiss Association for Quality Martin Andenmatten 13. Inhaltsübersicht IT als strategischer Produktionsfaktor Was ist IT Service Management ISO 20000 im Überblick ISO 27001

Mehr

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009 EUO-SOX (UÄG) Was bedeutet es für IT? Juni 2009 Agenda Herausforderungen bei der Umsetzung von Compliance Bedeutung von Standards Zusammenspiel zwischen Finanzen und IT Umsetzung Lernbuchweg Umsetzung

Mehr

IT-Compliance. Ein kompakter Überblick präsentiert von. bitzer digital-media consulting. Köln 2006

IT-Compliance. Ein kompakter Überblick präsentiert von. bitzer digital-media consulting. Köln 2006 IT-Compliance präsentiert von bitzer digital-media consulting Köln 2006 bitzer digital-media consulting Venloerstr. 13-15 50672 Köln Tel: 0221-9520554 Mail: fb@bdcon.de Web: www.bdcon.de (c) bitzer digital-media

Mehr

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5 Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat

Mehr

GRC-Modell für die IT Modul GRC-Organisation 1

GRC-Modell für die IT Modul GRC-Organisation 1 GRC-Modell für die IT Modul GRC-Organisation 1 Autor Bernd Peter Ludwig Wirtschaftsinformatiker, CGEIT, CISM, CRISC Dieser Artikel und das dort beschriebene Modul sind urheberrechtlich geschützt () Die

Mehr

GRC Governance Risk & Compliance

GRC Governance Risk & Compliance GRC Governance Risk & Compliance Ansätze zur Unternehmenssteuerung aus Sicht der Wirtschaftsprüfung 27. März 2012 WP StB Heinz-Georg Kämpchen RWGV GRC 27. März 2012 WP StB Heinz-Georg Kämpchen Inhalt.

Mehr

Vorlesung Hochschule Esslingen IT-Winter School 2013

Vorlesung Hochschule Esslingen IT-Winter School 2013 Service - ITIL V3 Leitfaden für Vorlesung für Vorlesung Vorlesung Hochschule Esslingen IT-Winter School 2013 Einführung in die IT Infrastructure Library (ITIL) Agenda 1 Was ist ITIL? 2 Wieso ITIL, mit

Mehr

ITIL V3 zwischen Anspruch und Realität

ITIL V3 zwischen Anspruch und Realität ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager & ISO 20000 Consultant 9. März 2009 IT-Service Management ISO 20000, ITIL Best Practices, Service

Mehr

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance IT-Governance Standards und ihr optimaler Einsatz bei der Implementierung von IT-Governance Stand Mai 2009 Disclaimer Die Inhalte der folgenden Seiten wurden von Severn mit größter Sorgfalt angefertigt.

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit Elektronische Signatur praktischer Nutzen für Unternehmen Grundlagen der Informationssicherheit Knut Haufe Studium der Wirtschaftsinformatik an der Technischen Universität Ilmenau Vom Bundesamt für Sicherheit

Mehr

A) Initialisierungsphase

A) Initialisierungsphase Einleitung Die folgenden Seiten beschreiben in Kurzform die mit jedem Schritt verbundenen Aufgaben, die beim ersten Durchlauf zu bearbeiten sind. Zu Beginn eines ISIS12-Projekts legen das Unternehmen und

Mehr

Governance, Risk & Compliance für den Mittelstand

Governance, Risk & Compliance für den Mittelstand Governance, Risk & Compliance für den Mittelstand Die Bedeutung von Steuerungs- und Kontrollsystemen nimmt auch für Unternehmen aus dem Mittelstand ständig zu. Der Aufwand für eine effiziente und effektive

Mehr

INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM

INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM AGENDA Vorbemerkungen A. Grundlagen I. Was ist ein Risikomanagementsystem (RMS)? II. Was

Mehr

Audit in real life Auf was sollte man vorbereitet sein?

Audit in real life Auf was sollte man vorbereitet sein? IT ADVISORY Audit in real life Auf was sollte man vorbereitet sein? Novell Security Event 03.04.2008 v3 FINAL DRAFT DI Christian Focke Supervisor IT Advisory Wien Agenda Motivation Die Konsequenz Was ist

Mehr

Datenschutz & Datensicherheit

Datenschutz & Datensicherheit Datenschutz & Datensicherheit IT und Haftungsfragen 1 Vorstellung Holger Filges Geschäftsführer der Filges IT Beratung Beratung und Seminare zu IT Sicherheit, Datenschutz und BSI Grundschutz Lizenzierter

Mehr

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Inhalt 1: Revision als Manager von Risiken geht das? 2 : Was macht die Revision zu einem Risikomanager im Unternehmen 3 : Herausforderungen

Mehr

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes IT-Prüfung nach dem COBIT- Ansatz Erfahrungen des oö. Landesrechnungshofes Oö. Landesrechnungshof Landesrechnungshof ist zuständig für die Prüfung von IT-Organisationen des Landes und von Beteiligungsunternehmen

Mehr

Strategisches IT-Management mit dem COBIT Framework. Markus Gronerad, Scheer Management 1.8.2014

Strategisches IT-Management mit dem COBIT Framework. Markus Gronerad, Scheer Management 1.8.2014 Strategisches IT-Management mit dem COBIT Framework Markus Gronerad, Scheer Management 1.8.2014 Was ist strategisches IT-Management? IT-Management Das (operative) IT-Management dient der Planung, Beschaffung,

Mehr

ISO 20000: Die CMDB im Betrieb und ihr Beitrag zu einem funktionierenden ITSM-System

ISO 20000: Die CMDB im Betrieb und ihr Beitrag zu einem funktionierenden ITSM-System ISO 20000: Die CMDB im Betrieb und ihr Beitrag zu einem funktionierenden ITSM-System 7. INFORMATION-SECURITY-SYMPOSIUM, WIEN 2011 DI Markus Hefler, BSc, Florian Hausleitner 1 Agenda 1. Kurze Vorstellung

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

Planung und Umsetzung von IT-Compliance in Unternehmen

Planung und Umsetzung von IT-Compliance in Unternehmen Planung und Umsetzung von IT-Compliance in Unternehmen Ein kurzer Überblick über die wichtigsten Regelungen. Zu meiner Person Dipl. Informatiker (IANAL) Seit mehr als 15 Jahren unterstütze ich Unternehmen

Mehr

01 IT-Governance Strategische Unternehmensziele durch IT-Compliance

01 IT-Governance Strategische Unternehmensziele durch IT-Compliance Seite 1 Inhaltsçbersicht 01 IT-Governance Strategische Unternehmensziele durch IT-Compliance optimal unterstçtzen 01200 IT Governance und IT Compliance die wichtigsten GW Normen und Regelwerke 01250 COBIT

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

ITIL in 60 Minuten. Jörn Clausen. joernc@gmail.com. Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules.

ITIL in 60 Minuten. Jörn Clausen. joernc@gmail.com. Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules. ITIL in 60 Minuten Jörn Clausen joernc@gmail.com Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules. Elizabeth Swann: Hang the code, and hang the rules. They re

Mehr

Überblick über existierende Vorschriften, Gesetze und Normen

Überblick über existierende Vorschriften, Gesetze und Normen 5 Überblick über existierende Vorschriften, Gesetze und Normen Als Reaktion auf die ansteigende Anzahl der bekannt werdenden Fälle skandalöser Betriebsführungen, hat der Gesetzgeber eine Fülle von neuen

Mehr

Modul 2: Geschäftsprozesse, SLA, ITIL und CMDB (Fortsetzung)

Modul 2: Geschäftsprozesse, SLA, ITIL und CMDB (Fortsetzung) Modul 2: Geschäftsprozesse, SLA, ITIL und CMDB (Fortsetzung) M. Leischner Netzmanagement Folie 1 Was haben wir letzte Stunde gelernt? - Wiederholung Erklären Sie folgende Begriffe: Grundidee Netz als Fabrik

Mehr

Rechtsanwalt Dr. Mathis Hoffmann SUFFEL & DE BUHR, Jena. Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena

Rechtsanwalt Dr. Mathis Hoffmann SUFFEL & DE BUHR, Jena. Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena Rechtsgrundlagen der IT-Sicherheit Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena Einführungsbeispiel OLG Hamm MMR 2004, 487 Problem: Existiert ein Regelwerk, dessen Beachtung die zivil-

Mehr

4. PQM-Dialog: Qualitätszertifizierungen Vorgehen und Erfahrungen FH Kufstein Tirol 16. November 2012

4. PQM-Dialog: Qualitätszertifizierungen Vorgehen und Erfahrungen FH Kufstein Tirol 16. November 2012 ZUVERLÄSSIGE UND EFFIZIENTE ZERTIFIZIERUNGEN: TOOLUNTERSTÜTZES, INTEGRIERTES MANAGEMENTSYSTEM ZUR COMPLIANCE MIT REGULARIEN IM QUALITÄTS- UND RISIKOMANAGEMENT 4. PQM-Dialog: Qualitätszertifizierungen Vorgehen

Mehr

Inhaltsverzeichnis. Praxisbuch IT-Dokumentation

Inhaltsverzeichnis. Praxisbuch IT-Dokumentation Inhaltsverzeichnis zu Praxisbuch IT-Dokumentation von Georg und Manuela Reiss ISBN (Buch): 978-3-446-43780-7 ISBN (E-Book): 978-3-446-43833-0 Weitere Informationen und Bestellungen unter http://www.hanser-fachbuch.de/978-3-446-43780-7

Mehr

EXIN IT Service Management Foundation Bridge based on ISO/IEC 20000

EXIN IT Service Management Foundation Bridge based on ISO/IEC 20000 Musterexamen EXIN IT Service Management Foundation Bridge based on ISO/IEC 20000 Ausgabe November 2013 Copyright 2013 EXIN All rights reserved. No part of this publication may be published, reproduced,

Mehr

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014 : die Versicherung Ihres IT Service Management Christian Köhler, Service Manager, Stuttgart, 03.07.2014 Referent Christian Köhler AMS-EIM Service Manager Geschäftsstelle München Seit 2001 bei CENIT AG

Mehr

Energieeffiziente IT

Energieeffiziente IT EnergiEEffiziente IT - Dienstleistungen Audit Revision Beratung Wir bieten eine energieeffiziente IT Infrastruktur und die Sicherheit ihrer Daten. Wir unterstützen sie bei der UmsetZUng, der Revision

Mehr

IT-Risikomanagement. IT-Risikomanagement: Ballast oder Wertschöpfung? .verursacht nur Kosten und bringt nichts ein!

IT-Risikomanagement. IT-Risikomanagement: Ballast oder Wertschöpfung? .verursacht nur Kosten und bringt nichts ein! IT Ri ik IT-Risikomanagement: t Ballast B ll t oder d Wertschöpfung? W t hö f? IT-Risikomanagement.verursacht nur Kosten und bringt nichts ein!.macht sowieso niemand!.prüft ja sowieso keiner!.stresst nur

Mehr

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin Software EMEA Performance Tour 2013 17.-19 Juni, Berlin In 12 Schritten zur ISo27001 Tipps & Tricks zur ISO/IEC 27001:27005 Gudula Küsters Juni 2013 Das ISO Rennen und wie Sie den Halt nicht verlieren

Mehr

Managements. Änderungsprozess. Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY

Managements. Änderungsprozess. Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY Grundlagen des Change Managements Anforderungen und Möglichkeiten für einen sauberen Änderungsprozess Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY Hauptrisikofaktoren für IT-Sicherheit Patches

Mehr

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7 vii 1 Einleitung 1 Teil I COBIT verstehen 5 2 Entwicklung und Bedeutung von COBIT 7 2.1 ISACA und das IT Governance Institute....................... 7 2.2 Entstehung von COBIT, Val IT und Risk IT....................

Mehr

IT Service Management

IT Service Management IT Service Management Die IT Infrastructure Library (ITIL) Frank Klapper, CIO-IT IT,, Universität t Bielefeld München, 08.03.2006 IT Service Management: Notwendigkeit und Definition Informationen haben

Mehr

Das Oracle Release- und Patch- Management unter ITIL in der Praxis

Das Oracle Release- und Patch- Management unter ITIL in der Praxis Das Oracle Release- und Patch- Management unter ITIL in der Praxis Kunde: DOAG Ort: Stuttgart Datum: 03.06.2008 Reiner Wolf, Trivadis AG Reiner.Wolf@trivadis.com Basel Baden Bern Lausanne Zürich Düsseldorf

Mehr

Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik

Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik Entwicklung und Evaluation eines Vorgehensmodells zur Optimierung des IT-Service im Rahmen eines IT-Assessment Framework Oliver

Mehr

Aktuelle Themen der Informatik

Aktuelle Themen der Informatik Aktuelle Themen der Informatik Change Management Michael Epple AI 8 Inhalt: 1. Einführung 2. Begriffsbestimmungen 3. Ablauf des Change Management Prozesses 4. Zusammenhang zwischen Change Management, Configuration

Mehr

Dr. Christian Thiel. Institut für Informations- und Prozessmanagement FHS ST. Gallen

Dr. Christian Thiel. Institut für Informations- und Prozessmanagement FHS ST. Gallen Dr. Christian Thiel Institut für Informations- und Prozessmanagement FHS ST. Gallen Und was meinst Du mit IT Sicherheit? Was ist IT-Sicherheit aus rechtlicher Sicht? Definition in 2 Abs. 2 BSI-Gesetz:

Mehr

Überblick zur ISO/IEC 20000 Norm

Überblick zur ISO/IEC 20000 Norm Überblick zur ISO/IEC 20000 Norm Der internationale IT Service Management Standard Gegenwärtig ist nicht nur in Deutschland eine Tendenz zu erkennen, dass große IT- Unternehmen und auch Kunden von ihren

Mehr

1 Welcher Service Operation Prozesse fehlen? Incident Management, Problem

1 Welcher Service Operation Prozesse fehlen? Incident Management, Problem 1 Welcher Service Operation Prozesse fehlen? Incident Management, Problem Management, Access Management a. Event Management b. Service Desk c. Facilities Management d. Change Management e. Request Fulfilment

Mehr

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen Rainer Benne Benne Consulting GmbH Audit Research Center ARC-Institute.com 2014 Audit Research Center ARC-Institute.com Referent Berufserfahrung

Mehr

IT Service Management und IT Sicherheit

IT Service Management und IT Sicherheit 5. FIT-ÖV V am 9.2. in Bochum IT Management und IT Sicherheit Volker Mengedoht krz Lemgo Logo IT- Management und IT-Sicherheit Agenda 1. Einführung - Definitionen 2. IT- Management (ITSM) und IT Infrastructure

Mehr

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Die neue Welt der Managed Security Services DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Agenda Über Antares Aktuelle Sicherheitsanforderungen Externe Sicherheitsvorgaben Managed Security Log

Mehr

Modul 1 Modul 2 Modul 3

Modul 1 Modul 2 Modul 3 Schaffen Sie Transparenz, Struktur und Zukunftssicherheit für Ihre IT durch modulare IT-Audits Die Unternehmens- und IT-Leitung benötigt ein verständliches Tool für die aktive Steuerung und Entwicklung

Mehr

Rechtliche Anforderungen am Beispiel der E-Mail-Archivierung

Rechtliche Anforderungen am Beispiel der E-Mail-Archivierung Rechtliche Anforderungen am Beispiel der E-Mail-Archivierung KUMAtronik Systemhaus GmbH Vortrag zur symantec-veranstaltung am 24.04.2007 (it.sec) Inhalt: 1. Rechtliche Anforderungen an E-Mails 2. Compliance-Anforderungen

Mehr

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen IT-DIENST- LEISTUNGEN Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen TÜV SÜD Management Service GmbH IT-Prozesse bilden heute die Grundlage für Geschäftsprozesse.

Mehr

Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager (ITIL) & ISO 20000 Consultant. 13. Januar 2011

Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager (ITIL) & ISO 20000 Consultant. 13. Januar 2011 ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager (ITIL) & ISO 20000 Consultant 13. Januar 2011 IT Service Management ISO 20000, ITIL, Process Modelling,

Mehr

Gemeinsamkeiten, Unterschiede, Nutzen. Referent: Klaus P. Steinbrecher. 2010 KPS Consulting LLC, Angel Fire, NM, 87710 USA

Gemeinsamkeiten, Unterschiede, Nutzen. Referent: Klaus P. Steinbrecher. 2010 KPS Consulting LLC, Angel Fire, NM, 87710 USA Gemeinsamkeiten, Unterschiede, Nutzen Referent: Klaus P. Steinbrecher, Angel Fire, NM, 87710 USA 1 Was ist ITIL? Kurze Historie, Zielvorstellung Vorschrift oder Empfehlung? Unterschied zwischen V2 und

Mehr

Governance, Risk, Compliance (GRC) & SOA Identity Management. 14.02.2008 Sebastian Rohr, KCP sr@kuppingercole.de

Governance, Risk, Compliance (GRC) & SOA Identity Management. 14.02.2008 Sebastian Rohr, KCP sr@kuppingercole.de Governance, Risk, Compliance (GRC) & SOA Identity Management 14.02.2008 Sebastian Rohr, KCP sr@kuppingercole.de Agenda Management von Identitäten IAM, GRC was ist das? SOA wo ist der Bezug? Seite 2 Die

Mehr

WENDIA ITSM EXPERT TALK

WENDIA ITSM EXPERT TALK WENDIA ITSM EXPERT TALK WENDIA ITSM WHITEPAPER IT SERVICE MANAGEMENT BASISWISSEN: IN EINFACHEN SCHRITTEN ZUR CMDB Wer, Wie, Was: Die CMDB als Herzstück eines funktionierenden IT Service Management Die

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Das Interne Kontrollsystem aus Prozessperspektive DI Martin von Malottke, MBA Wien, 15. April 2010

Das Interne Kontrollsystem aus Prozessperspektive DI Martin von Malottke, MBA Wien, 15. April 2010 Das Interne Kontrollsystem aus Prozessperspektive DI Martin von Malottke, MBA Wien, 15. April 2010 Agenda Zielsetzung Information zum IKS Unser Ansatz Ihr Nutzen Kontakt 2 1. Zielsetzung Zielsetzung Der

Mehr

Informationen zur Datensicherheit gemäß ISO 27001. Daten- & Informationssicherheit. Ein Unternehmen der

Informationen zur Datensicherheit gemäß ISO 27001. Daten- & Informationssicherheit. Ein Unternehmen der Informationen zur Datensicherheit gemäß ISO 27001. Daten- & Informationssicherheit abs Fondsplattform schafft Informationssicherheit Die Sicherheit sensitiver Daten gehört zu den grundlegenden Anforderungen

Mehr

Ulrich Heun, CARMAO GmbH. CARMAO GmbH 2013 1

Ulrich Heun, CARMAO GmbH. CARMAO GmbH 2013 1 Ulrich Heun, CARMAO GmbH CARMAO GmbH 2013 1 Roter Faden Mit wem haben Sie es heute zu tun? Was ist Informationssicherheit? ISMS nach ISO 27001 ISMS und ITIL CARMAO GmbH 2013 2 CARMAO Das Unternehmen Gegründet

Mehr

Consulting Services Effiziente Sicherheitsprozesse nach Mass.

Consulting Services Effiziente Sicherheitsprozesse nach Mass. Consulting Services Effiziente Sicherheitsprozesse nach Mass. Angemessene, professionelle Beratung nach internationalen Sicherheitsstandards. Effektive Schwachstellenerkennung und gezielte Risikominimierung.

Mehr

Modul 5: Service Transition Teil 1

Modul 5: Service Transition Teil 1 Modul 5: Service Transition Teil 1 1. Ziel, Wert und Aufgaben von Service Transition? 2. Prozess: Projektmanagement (Transition Planning and Support) 3. Prozess: Change Management 4. Prozess: Change-Evaluierung

Mehr

MUSTERLÖSUNGEN, H.P. KÖNIGS, SPRINGER VIEWEG IT-RISIKOMANAGEMENT MIT SYSTEM, 4. AUFLAGE KONTROLLFRAGEN UND AUFGABEN ZU KAPITEL 4

MUSTERLÖSUNGEN, H.P. KÖNIGS, SPRINGER VIEWEG IT-RISIKOMANAGEMENT MIT SYSTEM, 4. AUFLAGE KONTROLLFRAGEN UND AUFGABEN ZU KAPITEL 4 MUSTERLÖSUNGEN, H.P. KÖNIGS, SPRINGER VIEWEG IT-RISIKOMANAGEMENT MIT SYSTEM, 4. AUFLAGE KONTROLLFRAGEN UND AUFGABEN ZU KAPITEL 4 Lösung zu Frage 1 Das St. Galler Management-Modell unterscheidet die drei

Mehr

CISA/CISM/CGEIT und die COBIT-Zertifikate

CISA/CISM/CGEIT und die COBIT-Zertifikate INFORMATION RISK MANAGEMENT CISA/CISM/CGEIT und die COBIT-Zertifikate von Markus Gaulke Stand: Oktober 2008 ADVISORY 2004 KPMG Deutsche Treuhand-Gesellschaft Aktiengesellschaft Wirtschaftsprüfungsgesellschaft,

Mehr

IT-Sicherheitsmanagement

IT-Sicherheitsmanagement Hagenberg Univ.-Doz.DI ingrid.schaumueller@liwest.at 1 Kennen Sie diese Situation? 2 Heute finden wir meist...... gute technische Einzellösungen... spontane Aktionen bei Bekanntwerden neuer Bedrohungen...

Mehr

Risikomanagement Gesetzlicher Rahmen 2007. SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor. Risikomanagement

Risikomanagement Gesetzlicher Rahmen 2007. SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor. Risikomanagement SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor Risikomanagement Gesetzlicher Rahmen IBR INSTITUT FÜR BETRIEBS- UND REGIONALÖKONOMIE Thomas Votruba, Leiter MAS Risk Management, Projektleiter, Dozent

Mehr

Service Management schrittweise und systematisch umsetzen. Andreas Meyer und Dr. Andreas Knaus santix AG Wien, 24. Juni 2009 IBM Software Experience

Service Management schrittweise und systematisch umsetzen. Andreas Meyer und Dr. Andreas Knaus santix AG Wien, 24. Juni 2009 IBM Software Experience Service schrittweise und systematisch umsetzen Andreas Meyer und Dr. Andreas Knaus santix AG Wien, 24. Juni 2009 IBM Software Experience santix in Kürze santix ist Unternehmensberatung und Lösungsanbieter

Mehr

ITIL. fyj Springer. Peter T.Köhler. Das IT-Servicemanagement Framework. Mit 209 Abbildungen

ITIL. fyj Springer. Peter T.Köhler. Das IT-Servicemanagement Framework. Mit 209 Abbildungen Peter T.Köhler 2008 AGI-Information Management Consultants May be used for personal purporses only or by libraries associated to dandelon.com network. ITIL Das IT-Servicemanagement Framework Mit 209 Abbildungen

Mehr

ITILin60Minuten. Jörn Clausen joernc@gmail.com. Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules.

ITILin60Minuten. Jörn Clausen joernc@gmail.com. Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules. ITILin60Minuten Jörn Clausen joernc@gmail.com Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules. Elizabeth Swann: Hang the code, and hang the rules. They re more

Mehr

ITSM (BOX & CONSULTING) Christian Hager, MSc

ITSM (BOX & CONSULTING) Christian Hager, MSc ITSM (BOX & CONSULTING) Christian Hager, MSc INHALT Ausgangssituation ITSM Consulting ITSM Box Zentrales Anforderungsmanagement Beispielhafter Zeitplan Nutzen von ITSM Projekten mit R-IT Zusammenfassung

Mehr

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten?

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Hamburg/Osnabrück/Bremen 18./25./26. November 2014 Gerd Malert Agenda 1. Kernziele des Gesetzesentwurfes 2.

Mehr

IT-Sicherheit. IT-Sicherheit im Spannungsfeld von Kosten/Aufwand und Compliance/Nutzen. Informationsrechtstag 2006 / Seite 1 von 22

IT-Sicherheit. IT-Sicherheit im Spannungsfeld von Kosten/Aufwand und Compliance/Nutzen. Informationsrechtstag 2006 / Seite 1 von 22 IT-Sicherheit IT-Sicherheit im Spannungsfeld von Kosten/Aufwand und Compliance/Nutzen Informationsrechtstag 2006 / Seite 1 von 22 BASF IT Services Wir stellen uns vor Gründung einer europaweiten IT-Organisation

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Praxiswissen COBIT. Grundlagen und praktische Anwendung in der Unternehmens-IT. von Markus Gaulke. 2., akt. u. überarb. Aufl.

Praxiswissen COBIT. Grundlagen und praktische Anwendung in der Unternehmens-IT. von Markus Gaulke. 2., akt. u. überarb. Aufl. Praxiswissen COBIT Grundlagen und praktische Anwendung in der Unternehmens-IT von Markus Gaulke 2., akt. u. überarb. Aufl. Praxiswissen COBIT Gaulke schnell und portofrei erhältlich bei beck-shop.de DIE

Mehr

ITSM Beratung. Der Trainerstab der Mannschaft. Christian Stilz, Project Manager

ITSM Beratung. Der Trainerstab der Mannschaft. Christian Stilz, Project Manager ITSM Beratung Der Trainerstab der Mannschaft Christian Stilz, Project Manager matrix technology AG, 20. Januar 2011 Agenda Klassische Ausgangslage und was man daraus lernen sollte. Wichtige Lösungsansätze:

Mehr

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen -

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Agenda Die BDGmbH Gründe für eine ISO 27001 Zertifizierung Was ist die ISO 27001? Projektablauf Welcher Nutzen konnte erzielt werden? Seite 2

Mehr

Informationssicherheit im mittelstand. Bavarian IT Security & Safety Cluster

Informationssicherheit im mittelstand. Bavarian IT Security & Safety Cluster Informationssicherheit im mittelstand... > Bavarian IT Security & Safety Cluster > ein PROdUKt des BayeRisCHen it-sicherheits- ClUsteRs e.v. der Bayerische it-sicherheitscluster e.v. Der Bayerische It-sicherheitscluster

Mehr

Service Transition. Martin Beims. WKV SS13 Karsten Nolte. Mittwoch, 19. Juni 13

Service Transition. Martin Beims. WKV SS13 Karsten Nolte. Mittwoch, 19. Juni 13 Service Transition Martin Beims WKV SS13 Karsten Nolte Inhalt Einführung & Ziele Transition Planning & Support Change Management Service Asset & Configuration Management Release & Deployment Management

Mehr

Modul 3: Service Transition Teil 3

Modul 3: Service Transition Teil 3 Modul 3: Service Transition Teil 3 1. Ziel, Wert und Aufgaben von Service Transition? 2. Prozess: Projektmanagement (Transition Planning and Support) 3. Prozess: Change Management 4. Prozess: Change-Evaluierung

Mehr

Microsoft Solutions Framework. Daniel Dengler CN7. Unterschied MSF - MOF Microsoft Solutions Framework

Microsoft Solutions Framework. Daniel Dengler CN7. Unterschied MSF - MOF Microsoft Solutions Framework Einführung MSF MOF Microsoft Solutions Framework Microsoft Operations Framework Daniel Dengler CN7 Agenda Unterschied MSF - MOF Microsoft Solutions Framework Elementare Komponenten grundlegende Richtlinien

Mehr

IT-Strategie der zentralen Leistungserbringer der UZH 2014-2016

IT-Strategie der zentralen Leistungserbringer der UZH 2014-2016 Universität Zürich Prorektorat Rechts- und Künstlergasse 15 CH-8001 Zürich Telefon +41 44 634 57 44 www.rww.uzh.ch IT-Strategie der zentralen Leistungserbringer der UZH 2014-2016 Version vom 6. Juni 2014

Mehr

Compliance im Rechnungswesen Anforderungen an die IT

Compliance im Rechnungswesen Anforderungen an die IT Information Risk Management Compliance im Rechnungswesen Anforderungen an die IT Dietmar Hoffmann Köln, 3. Mai 2007 ADVISORY Inhalt 1 Überblick 2 Rechtliche Rahmenbedingungen 3 Auswirkungen 4 Prüfungen

Mehr

INFORMATIKZENTRUM DER SPARKASSEN- ORGANISATION GMBH

INFORMATIKZENTRUM DER SPARKASSEN- ORGANISATION GMBH INFORMATIKZENTRUM DER SPARKASSEN- ORGANISATION GMBH GmbH 2011 INFORMATIKZENTRUM DER SPARKASSEN- ORGANISATION GMBH Sicherer IT-Betrieb Produkt für ein ganzheitliches Informationssicherheits-Management Name

Mehr

Internes Kontrollsystem in der IT

Internes Kontrollsystem in der IT Internes Kontrollsystem in der IT SOA 404 und SAS 70 stellen neue Anforderungen an Qualität und Sicherheit der IT 2007 by Siemens AG. All rights reserved. Neue Sicherheitsanforderungen durch SOX ENRON,

Mehr

Infoblatt Security Management

Infoblatt Security Management NCC Guttermann GmbH Wolbecker Windmühle 55 48167 Münster www.nccms.de 4., vollständig neu bearbeitete Auflage 2014 2013 by NCC Guttermann GmbH, Münster Umschlag unter Verwendung einer Abbildung von 123rf

Mehr

ITPS ITpreneurship Synergien im IT-Management unter wirtschaftlichen Aspekten

ITPS ITpreneurship Synergien im IT-Management unter wirtschaftlichen Aspekten ITPS ITpreneurship Synergien im IT-Management unter wirtschaftlichen Aspekten 1 ITpreneurship Beratungsangebot für eine unternehmerisch-wirtschaftliche IT-Optimierung In fast allen Unternehmen hat die

Mehr

Vorstellung der Software GRC-Suite i RIS

Vorstellung der Software GRC-Suite i RIS Vorstellung der Software GRC-Suite i RIS Systemgestütztes Governance-, Risk- und Compliance- sowie Security-, Business Continuity- und Audit- Inhalt Überblick Architektur der GRC-Suite i RIS Einsatz-Szenarien

Mehr

GI FG SECMGT Frankfurt 26.06.2009 Bernd Ewert

GI FG SECMGT Frankfurt 26.06.2009 Bernd Ewert BCM im Überblick GI FG SECMGT Frankfurt 26.06.2009 Bernd Ewert consequa GmbH Unternehmensstandort Hamburg gegründet 1.4. 2005 langjährige Beratungserfahrungen Business Continuity / IT-Recovery Information

Mehr

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte Risiken und Haftungsfragen für Sicherheits- und Führungskräfte mag. iur. Maria Winkler Geschäftsführerin der IT & Law Consulting GmbH SSI-Fachtagung vom 28.10.2010 Unternehmenssicherheit - Neue Herausforderungen

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

Sourcing Modell Phase 4

Sourcing Modell Phase 4 Sourcing Modell Phase 4 Ausgabe vom: 1.3.2013 Dok.Nr.: SwissICT FG Sourcing & Cloud 4 Phasen Modell Phase 4 Verteiler: Allgemeines: Status in Arbeit in Prüfung genehmigt zur Nutzung X Name Alex Oesch Matthias

Mehr

IT-Compliance Management und Identity Management Aktuelle Trends

IT-Compliance Management und Identity Management Aktuelle Trends IT-Compliance Management und Identity Management Aktuelle Trends Kurzbefragung Deutschland, April 2009 Matthias Zacher Senior Advisor matthias.zacher@experton-group.com Inhalt Themenabgrenzung Stichprobencharakteristika

Mehr

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2 Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität datenschutz cert GmbH Version 1.2 Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO

Mehr

INSTITUT FÜR SYSTEM- MANAGEMENT. Compliance. Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism

INSTITUT FÜR SYSTEM- MANAGEMENT. Compliance. Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism INSTITUT FÜR SYSTEM- MANAGEMENT Compliance Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism ism GmbH 2010 Definition: Compliance Compliance die Bedeutung allgemein:

Mehr

IT-Service-Management mit ITIL 2011 Edition

IT-Service-Management mit ITIL 2011 Edition Roland Böttcher IT-Service-Management mit ITIL 2011 Edition Einführung, Zusammenfassung und Übersicht der elementaren Empfehlungen 3., aktualisierte Auflage Heise Prof. Dr. Roland Böttcher roland.boettcher@hs-bochum.de

Mehr

Kursinformationen ITIL Zertifizierung Foundation Certificate in IT-Service Management

Kursinformationen ITIL Zertifizierung Foundation Certificate in IT-Service Management Kursinformationen ITIL Zertifizierung Foundation Certificate in IT-Service Ort: FH Bonn-Rhein-Sieg, Grantham-Allee 20, 53757 Sankt Augustin Termine: 01.03-02.03.06 täglich 9.00-17.00 Uhr Veranstalter:

Mehr

E-Mailarchivierung für den Mittelstand

E-Mailarchivierung für den Mittelstand E-Mailarchivierung für den Mittelstand SaaS-Lösung von PIRONET NDH PIRONET NDH Datacenter GmbH 1 E-Mailarchivierung Agenda: E-Mailarchivierung warum? Wer muss archivieren? Welche E-Mails sind zu archivieren?

Mehr