Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Transkript

1 Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat sich über die Jahre deutlich weiter entwickelt und bildet heute einen integralen Bestandteil der Geschäftsprozesse nahezu aller Unternehmen. Es ist auch nicht mehr zeitgemäß, nur die Technologie zu betrachten; vielmehr müssen heute die Informations-Systeme ganzheitlich gesehen werden. Sie bilden einen essenziellen lebensnotwendigen Bestandteil der Wertschöpfungskette eines Unternehmens. Die Informations-Systeme unterstützen unmittelbar die Geschäftsprozesse. Daher ist es von grundlegender Bedeutung, das Management von Informations-Systemen (IS) auf das Management der Geschäftsprozesse (Business Process Management (BPM)) abzustimmen. Ziele sind hier die Verbesserung der Qualität der IS Services in Hinblick auf die Geschäftsziele der Unternehmen, eine Verringerung der IS Risiken, eine schnellere Erbringung, auch von neuen, IS Services und letztendlich die Reduzierung der Kosten von Informations-Systemen. Dies sind teilweise konträre Zielsetzungen und ihre Erreichung bedarf einer sorgfältigen Steuerung und Kontrolle. Während in früheren Jahren nahezu ausschließlich das Technologie- Management betrachtet wurde (Netzwerke, Computer-Systeme), wandelte sich die Sichtweise im Laufe der Jahre hin zu einer Service orientierten Betrachtung der Informations-Systeme. Ein quasi-standardisiertes Modell für die Prozesse innerhalb der Informations-Technologie wird bei vielen Unternehmen eingeführt. Diese Vorgehensweise basiert auf dem Standard ITIL des britischen Office of Government Commerce. Dieser ist für einen ganzheitlichen IS Management-Ansatz aber nicht ausreichend, da er zwar die IT Prozesse sehr gut abdeckt, die Verbindung von Geschäftsprozessen zur IT aber nur unzureichend berücksichtigt. Des Weiteren gibt er keine Hilfestellung bei der Erfassung von Metriken von Informations-Systeme, die aber zu deren umfassender Steuerung notwendig sind. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

2 Hier kommt eine vergleichsweise neue Standardisierungsbemühung des IT Governance Institute zum Zuge, der COBIT Standard in der aktuellen Version 4. COBIT steht für Control Objectives for Information and related Technology und soll eine ganzheitliche Steuerung und Kontrolle von Informations-Systemen im Sinne einer IT Governance, als Bestandteil einer Corporate Governance, ermöglichen. Unter IT Governance versteht man dabei nach der Definition des IT Governance Institute die Führung, Organisationsstrukturen und Prozesse, die sicherstellen, dass die IT die Unternehmensstrategie und die Unternehmensziele unterstützt. IT Governance wird damit ganz deutlich zu einer Aufgabe der Unternehmensführung. Die wichtigsten Standards zur Unterstützung der Implementierung einer IT Governance in einem Unternehmen sind COBIT Version 4 des IT Governance Institute, ITIL des Office of Government Commerce (UK), ISO/IEC der International Standards Organisation. Diese Standards weisen gewisse Überschneidungen auf und haben auf unterschiedlichen Gebieten des IS Managements ihre Stärken (und Schwächen). COBIT ist der Standard für die Steuerung und Kontrolle von Informations-Systemen in Hinblick auf eine IT Governance. ITIL ist der Standard für Prozesse in der Informations-Technologie. ISO/IEC ist der Sicherheits-Standard für Informations-Systeme. Er entspricht dem britischen Standard BS 7799 (Teil 1). Autor: Dr. Gerd Frenzen Coromell GmbH Seite 2 von 5

3 Betrachtet man nun, welche Bereiche von Informations-Systemen die oben genannten Standards abdecken, so kommt man zu folgender Feststellung. Organisations-Strukturen und Rollen: hier spielen ITIL und, mit Einschränkungen, ISO/IEC ihre Stärken aus Steuerung und Kontrolle: ist die Domäne von COBIT Metriken: ist ebenfalls die Domäne von COBIT Prozesse: ist die Domäne von ITIL und, mit Einschränkungen, von COBIT sowie ISO/IEC Technologie: wird von ITIL berücksichtigt Faktor Mensch: hier macht keiner der Standards konkrete Aussagen Die unterschiedlichen Organisationen sind bemüht, ihre Standards aufeinander abzustimmen. Dennoch gibt es Überschneidungen in unterschiedlichen Bereichen. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 3 von 5

4 Zur Erreichung einer ganzheitlichen Steuerung und Kontrolle von Informations-Systemen im Sinne einer IT Governance und der oben aufgezeigten Ziele bietet sich die nachfolgend skizzierte Vorgehensweise an. Health Check (COBIT und ISO/IEC 17799) IT Assessment COBIT konforme Steuerungsziele und Metriken ITIL konforme Prozesse ISO/IEC 1799 konforme Vorgehensweise und Kontrollen Abbildung: Vorgehensweise Man führt einen so genannten Health Check nach COBIT und nach ISO/IEC durch. Daran anschließend identifiziert man die Schwächen der IT Prozesse mittels eines IT Assessments. Zur Verbesserung der IT Prozesse setzt man ITIL konforme Vorgehensweisen auf. Man setzt ISO/IEC konforme Vorgehensweisen und Kontrollen auf um das Sicherheits-Management zu verbessern. COBIT wird benutzt um die vom IS Management benötigten Steuerungsziele und Metriken zu definieren. Die Organisationsstrukturen kann man den ITIL Standards entnehmen. Die Verbindung der drei Standards COBIT, ITIL und ISO/IEC ermöglicht ein umfassendes Management von Informations-Systemen im Sinne einer IT Governance. Diese wiederum ist Bestandteil einer übergeordneten Corporate Governance. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 4 von 5

5 Referenzen: - COBIT 4 th Edition, IT Governance Institute, IT Governance für Geschäftsführer und Vorstände, IT Governance Institute, ITIL Publikationen des Office of Government Commerce (UK) - ISO/IEC 17799:2000, Information technology Code of practice for information security management - ISO/IEC 17799:2005, Leitfaden zum Management von Informationssicherheit - BS , entspricht ISO/IEC 17799: BS , Zertifizierung von Informationssicherheits- Managementsystemen Autor: Dr. Gerd Frenzen Coromell GmbH Seite 5 von 5