IT-Governance. Agenda. Vorstellung und Zielsetzung Überblick

Transkript

1 BUSINESS ADVISORY SERVICE IT-Governance INFORMATION RISK MANAGEMENT Jimmy Heschl Februar 2008 Agenda Vorstellung und Zielsetzung Überblick über aktuelle Entwicklungen der IT Governance Nationale und Internationale Anforderungen an IT Compliance Methoden / Standards ITIL CobiT ISO27001 weitere Standards Integration von CobiT mit ITIL, ISO 27001, CMMI, etc Jimmy Heschl 2

2 Über mich... KPMG - Information Risk / IT-Advisory Mitglied im Vorstand der ISACA Österreich Mitglied im CobiT Steering Committee Mitglied bei ITSMF, ARGE-Daten, p-m-a, p Studium Wirtschaftsinformatik in Linz Buch: IT Governance Mitautor von CobiT 4.0 / 4.1 Übersetzer von CobiT 4.0 für f r den deutschen Sprachraum Autor mehrerer Publikationen: CobiT Mapping Overview of International IT Guidance,, 2nd Edition CobiT Mapping Mapping of ISO/IEC 17799:2000 with CobiT Mapping of ITIL (V3 derzeit im Laufen) Mapping of ISO/IEC 17799:2005 Board Briefing on IT Governance etc. CISA, CISM, CGEIT, ITIL Service,... Definition und Prüfung von IT Prozessen mit unterschiedlcihen Standards (COSO, CobiT, ITIL, 17799, GSHB,...) in unterschiedlichen Organisationen Jimmy Heschl 3 Herausforderungen der IT Viele Organisationen investieren große e Summen und Ressourcen in die IT. IT unterstützt tzt die Unternehmensprozesse und hilft dabei, die Organisationsziele zu erreichen. Die Herausforderungen der IT gehen von der Anpassung an die Unternehmenserfordernisse bis hin zum hoch-komplexer technologischer Risiken und Chancen. Die Organe der Organisationen verfügen über wenig Transparenz in die Abläufe der IT-Abteilung(en Abteilung(en). Den Betrieb der der IT IT erhalten Nutzen Kosten Komplexität meistern Mit Mit der der Organisation integrieren Einhaltung von von Gesetzen Sicherheit Jimmy Heschl 4

3 Was ist IT-Governance? Ursprung griechisch: kybernân Ein Schiff führen f / leiten Jimmy Heschl 5 IT-Governance: Definition Corporate Governance IT Governance Business Informations -systeme Für IT-Governance sind Vorstand und Geschäftsführung verantwortlich. Sie ist integraler Bestandteil der Corporate Governance und besteht aus Führungs- und Organisationsstrukturen sowie Prozessen, die sicherstellen, dass IT die Geschäftsstrategien und -ziele unterstützt und vorantreibt. IT Governance Institute Jimmy Heschl 6

4 Was ist IT-Governance? IT-GOVERNANCE Evaluiere Performance IT-GOVERNANCE Setze Ziele IT arbeitet im Sinne des Kerngeschäfts (Alignment) IT ermöglicht das Kerngeschäft (Enablement) und maximiert den Nutzen (Value Delivery) IT Ressourcen werden verantwortungsvoll eingesetzt IT-bezogene Risiken werden angemessen gemanagt Gib die Richtung vor Messe und Berichte über Performance Setze die Strategie um Erhöhe die Automation (mache das Kerngeschäft wirksam) Senke Kosten (mache das Unternehmen wirtschaftlich) Manage Risiken (Security, Verlässlichkeit und Compliance) IT-MANAGEMENT Überführe die Richtung in eine Strategie Ziel: sicherstellen, dass die IT die Geschäftsstrategien und -ziele unterstützt und vorantreibt Methode: Führungs- und Organisationsstrukturen sowie Prozesse Verantwortung: Vorstand und Geschäftsführung Jimmy Heschl 7 IT-Governance Prinzipien Betroffene und Beteiligte Direct and Control Die klare Ausrichtung der Organisation, Prozesse und Ressourcen an gemeinsamen Zielen und das Monitoring der Zielerreichung Aktivitäten Beschreibung der notwendigen Aktivitäten zur Erreichung der Ziele Zuständigkeit Zuweisung von Ressourcen zu den Aktivitäten Verantwortlichkeit Übergabe und Übernahme der klaren Verantwortung für Aufgaben, Themen, Prozesse, etc, damit die Zielerreichung gewährleistet wird. Intern IT- Unternehmensleitung, Geschäftsführung Aufsichtsrat Risiko- IT-Prüfer Extern Gesetzgeber Externe Prüfer Kunden Lieferanten und Dienstleister Verbundene Unternehmen Jimmy Heschl 8

5 Gesetze + Standards 9 IT Governance Warum? Fragen des Aufsichtsrats bezüglich IT Verfolgen wir die richtigen Vorhaben? Verfolgen wir die Vorhaben richtig? Werden die Aufgaben gründlich erledigt? Wird effizient gearbeitet? Bestehen Risiken, die wir nicht kennen? Was passiert mit den Ressourcen, die für f r IT bereitstehen? Druck auf das Unternehmen und die IT Kostenkürzung, höhere h here Profite und Marktanteil Höhere Funktionalität t und einfachere Bedienung Höhere Verantwortung bezüglich Datenschutz, etc.) Jimmy Heschl 10

6 IT-Governance Warum? 81 AktG: : Bericht des Vorstands an den Aufsichtsrat 82 AktG / 22 GmbHG: : Internes Kontrollsystem 131 BAO: Ordnungsmäß äßigkeit der Buchführung hrung 38 BWG: Bankgeheimnis 39 BWG: Sorgfaltspflicht und ORM 14 DSG: Datensicherheitsmaßnahmen nahmen 15 DSG: Anordnung durch den Arbeitgeber Emittenten-Compliance Compliance-Verordnung ECV Corporate Governance Codex KonTraG HIPAA... Jimmy Heschl 11 Gartner s Regulations and Related Standards Hype Cycle Solvency II Jimmy Heschl 12

7 IT Governance Aufgaben Aufgaben des Vorstandes Herunterbrechen der Unternehmensstrategie und -ziele für r die IT Organisatorische Ausrichtung der IT Prozessorientierung Aufbau und Unterhalt des internen Kontrollsystems in der IT Anpassen, falls nicht adäquat Messung der Zielerreichung Setzen von messbaren Zielen je Prozess Ergebnis vergleichen IT - Aktivitäten Messen der Performance Jimmy Heschl 13 Standards 14

8 Standards und Good-Practices Governance Basel II Solvency II AktG / GmbHG COSO Sarbanes Oxley COBIT 8. EU Audit Richtlinie Betrieb COBIT ValIT CMMI IT Planung Service Projektmanagement Risiko & Security Anwendungs-Entw. IT-Betrieb Qualitätsmanagement SixSigma ISO9000 V- Modell ISO BS PMI PRINCE2 ITIL ISO20000 Source: PINK Jimmy Heschl 15 COSO (Internal Control - Integrated Framework) 1992 durch The Committee of Sponsoring Organizations of the Treadway Commission veröffentlicht Gemeinsame Sprache über Kontrollen, Definitionen, Modelle Unternehmensziele im Rahmen von COSO sind Operations (Effektivität und Effizienz der Tätigkeiten der Unternehmung) Financial Reporting (Erstellung von zuverlässigen Jahresabschlüssen) Compliance (Einhaltung von Gesetzen und Regulationen) Zielerreichung über die Ausgestaltung der Komponenten des Frameworks Control Environment (Kontrollumfeld) Risk Assessment (Risikobewertung) Control Activities (Kontrollaktivitäten) Information & Communication (Information & Kommunikation) Monitoring (Überwachung) Benchmark für interne Kontrollen und Verweis in SOX Weiterentwicklungen: September 2004: Enterprise Risk (COSO II) Juni 2006: Guidance for Smaller Public Companies Reporting on Internal Control over Financial Reporting Jimmy Heschl 16

9 ITIL IT Infrastructure Library 17 ITIL - IT Infrastructure Library Security Financial Capacity Service Level Incident Configuration Problem Change Availability Continuity Release Jimmy Heschl 18

10 ITIL V2 Service Delivery Processes SLA s, OLA s, SLR s Service requests Service catalogue SIP Exception reports Audit reports The Business, Customers & Users Queries Enquiries Communication Updates Reports Service Level Service Level Requirements Targets Achievements Availability Availability Capacity Capacity IT IT Financial Financial IT Service IT Service Continuity Continuity Availability Plan AMDB Design Criteria Targets/Thresholds Reports Audit Reports Capacity Plan CDB Targets/Thresholds Capacity Reports Schedule Audit Reports Financial Plans Types & Models Costs & Charges Reports Budgets & Forecasts Audit Reports IT Continuity Plans BIA & Risk Analysis Define Requirements Control Centers DR Contacts Reports Audit Reports Tools Alerts, Exceptions, Changes Jimmy Heschl 19 ITIL V2 Service Support Processes Tools Incidents Incidents Difficulties Queries, Enquiries The Business, Customers & Users Communication Updates Work-arounds Incident Service Desk Changes Service Reports Incident statistics Audit Reports Problem Statistics Trend Analysis Problem Reports Problem Reviews Diagnostic Aids Audit Reports Problem Change Schedule CAB Minutes Change Statistics Change Reviews Audit Reports Change Release Schedule Release Statistics Release Reviews Secure Library Testing standards Audit Reports Release Releases Configuration CMDB Reports CMDB Statistics Policy/Standards Audit Reports CMDB Incidents Problems Known Errors Changes Releases CIs Relationships Jimmy Heschl 20

11 The v3 Service Lifecycle ITIL Service Lifecycle Jimmy Heschl 22

12 ITIL Prozesse (Version 3) SERVICE STRATEGY Financial Return on Investment Service Portfolio Mgmnt Demand SERVICE DESIGN Service Catalogue Service Level Capacity Availability IT Service Continuity Information Security Supplier SERVICE OPERATION Event Incident Request Fulfilment Problem Access CONTINUAL SERVICE IMPROVEMENT 7-Step Improvement Process SERVICE TRANSITION Transition Planning and Support Change Service Asset & Configuration Release & Deployment Service Validation Evaluation Knowledge Jimmy Heschl 23 CobiT 24

13 CobiT CobiT = Control Objectives for Information and Related Technology Prozessorientiertes Framework für f r die Steuerung von IT Prozessen Herausgegeben vom IT Governance Institute, früher ISACA Inhalt wird vom CobiT Steering Committee gesteuert und von Universitäten, ten, Experten aus den Bereichen IT, Governance, Consulting und Audit entwickelt Orientiert sich an Unternehmenszielen und Unternehmenserfordernissen Werkzeug für f r Geschäftsf ftsführung, IT und IT Prozessmanager Basiert auf einer Vielzahl internationaler Standards Dokumente auf zum Download und als Bücher B verfügbar Jimmy Heschl 25 Unterstützung durch CobiT Unternehmensziele IT Prozesse (mit Verantwortlichen) IT Ziele IT Prozesse liefern betreiben benötigt Information Anwendungen Infrastruktur und Personal Unternehmensziel IT-Ziele 1 Marktanteil erhöhen Erträge erhöhen Finanzperspektive 3 Rendite 24 4 Kapitalverwertung optimieren 14 5 Geschäftsrisiken managen Kunden- und Serviceorientierung erhöhen Kostengünstige Produkte und Services anbieten 5 24 Kundenperspektive 8 Verfügbarkeit von Services Agilität bei Reaktion auf sich ändernde Geschäftsanforderungen (time to market) Kostenoptimierung bei Serviceerbringung Automatisierung und Integration der Wertschöpfungskette Geschäftsprozess überarbeiten und verbessern Prozesskosten reduzieren Interne 14 Compliance mit Gesetzen und Regulativen Perspektive 15 Transparenz Compliance mit internen Regelungen Betriebliche- und Mitarbeiterproduktivität steigern Lern- und 18 Produkt-/Geschäftsinnovation Wachstumsperspektive 19 Verlässliche und nützliche Informationen für strategische Entscheidungen erlangen Qualifizierte und motivierte MitarbeiterInnen einstellen und entwickeln 9 IT-Ziele Prozesse 1 Reagiere auf Geschäftsanforderungen in Übereinstimmung mit der Unternehmensstrategie PO1 PO2 PO4 PO10 AI1 AI6 AI7 DS1 DS3 ME1 2 Reagiere auf Anforderungen der Governance entsprechend der Geschäftsführungs-vorgaben PO1 PO4 PO10 ME1 ME3 3 Stelle die Enduser-Zufriedenheit mit den Serviceangeboten und Service Levels sicher PO8 AI4 DS1 DS2 DS7 DS8 DS10 DS13 4 Optimiere die Verwendung von Information PO2 DS11 5 Stelle IT-Agilität her PO2 PO4 PO7 AI3 Definiere, wie funktionale geschäftliche und Steuerungsanforderungen in wirksame und wirtschaftliche automatisierte Lösungen überführt 6 AI1 AI2 AI6 werden. 7 Beschaffe und unterhalte integrierte und standardisierte Anwendungssysteme PO3 AI2 AI5 8 Beschaffe und warte integrierte und standardisierte IT-Infrastruktur AI3 AI5 9 Beschaffe und erhalte IT-Skills, die der IT-Strategie entsprechen PO7 AI5 10 Stelle gegenseitig zufriedenstellende Lieferantenbeziehungen sicher DS2 11 Integriere die Anwendungen und Technologielösungen nahtlos in Geschäftsprozesse PO2 AI4 AI7 12 Stelle Transparenz und Verständnis von IT -Kosten, Nutzen, Strategie, Richtlinien und PO5 PO6 DS1 Service Levels sicher DS2 DS6 ME1 ME4 13 Stelle die angemessene Verwendung und Performance der Anwendungen und technischen Lösungen sicher PO6 AI4 AI6 AI7 DS7 DS8 14 Übernimm die Verantwortung für und schütze alle IT-Anlagen PO9 DS5 DS9 DS12 ME2 15 Optimiere IT-Infrastruktur, Ressourcen und Fähigkeiten PO3 AI3 DS3 DS7 DS9 16 Reduziere Mängel und Nacharbeit bei Lösungen und dem PO8 AI4 AI6 AI7 DS10 Servicebetrieb 17 Schütze die Erreichung der IT-Ziele PO9 DS10 ME2 18 Schaffe Klarheit über die Geschäftsauswirkungen der Risiken von IT-Zielen und -Ressourcen PO9 19 Stelle den Schutz von kritischen und vertraulichen Informationen vor unberechtigtem Zugriff sicher PO6 DS5 DS11 DS12 20 Stelle sicher, dass automatischen Transaktionen und Informationsaustausch vertraut werden kann PO6 AI7 DS5 Stelle sicher, dass IT-Services und Infrastruktur Ausfällen auf Grund von Fehlern, bewussten Angriffen oder Katastrophen standhalten können 21 PO6 AI7 DS4 DS5 DS12 DS13 ME2 und ihre Wiederherstellung gewährleistet ist 22 Stelle sicher, dass der Einfluss einer IT-Service-Störung oder -Änderung auf das Geschäft minimiert ist PO6 AI6 DS4 DS12 23 Stelle die Verfügbarkeit der IT-Services gemäß den Anforderungen sicher DS3 DS4 DS8 DS13 24 Verbessere die Kosteneffizienz der IT und ihren Beitrag zum Unternehmenserfolg PO5 AI5 DS6 25 Setze Projekte pünktlich und im Budgetrahmen und unter Einhaltung der Qualitätsstandards PO8 PO10 um 26 Erhalte die Integrität der Informationen und die diese Informationen verarbeitende Infrastruktur AI6 DS5 27 Stelle die IT-Compliance mit Gesetzen und Vorschriften sicher DS11 ME2 ME3 ME4 Stelle sicher, dass die IT eine kosteneffiziente Servicequalität, eine kontinuierliche Verbesserung und Bereitschaft für zukünftige Veränderung 28 PO5 DS6 ME1 ME3 zeigt Jimmy Heschl 26

14 Unternehmens- und IT-Ziele - Beispiel Finanz BSC - Perspektiven Service Intern Lernen und Wachstum Unternehmensziel 6 Verfügbarkeit von Produkten IT-Ziel 10 IT-Ziel 16 IT-Ziel 22 IT-Ziel 23 Stelle für beide zufriedenstellende Lieferantenbezie hungen sicher Reduziere Mängel und Nacharbeit bei Lösungen und dem Servicebetrieb Stelle sicher, dass der Einfluss einer IT- Service-Störung oder IT-Änderung auf das Geschäft minimiert ist Stelle die Verfügbarkeit der IT- Services gemäß den Anforderungen sicher DS2 PO8 AI4 AI6 AI7 DS10 PO6 AI6 DS12 DS4 DS4 DS3 DS8 DS13 Architektur Architektur Incident Incident Knowledge Knowledge Change Change Release Release & Deployment Deployment Problem Problem Policies Policies Change Change Physisch Physisch Kontinuität Kontinuität Kapazität Incident Incident Betrieb Betrieb Jimmy Heschl 27 Vom Ziel zur Architektur Unternehmens- und Governance- Erfordernisse Unternehmensziele für IT bestimmen messen bestimmen IT Ziele messen Unternehmensarchitektur für IT IT Scorecard Jimmy Heschl 28

15 CobiT Framework Jimmy Heschl 29 CobiT IT-Prozesse Plan and Organise Define a strategic IT plan Define the information architecture Determine technological direction Define the IT processes, organisation and relationships PO5 Manage the IT investment PO6 Communicate management aims and direction PO7 Manage IT human resources PO8 Manage quality PO9 Assess and manage IT risks PO10 Manage projects INFORMATION Monitor and Evaluate ME1 ME2 ME3 ME4 PO1 PO2 PO3 PO4 Monitor and evaluate IT performance Monitor and evaluate internal control Ensure regulatory compliance Provide IT governance Monitor and Evaluate Efficiency Effectiveness Confidentiality Integrity Availability Compliance Reliability IT RESSOURCES Deliver and Support DS1 Define and manage service levels DS2 Manage third-party services DS3 Manage performance and capacity DS4 Ensure continuous service DS5 Ensure systems security DS6 Identify and allocate costs DS7 Educate and train users DS8 Manage service desk and incidents DS9 Manage the configuration DS10 Manage problems DS11 Manage data DS12 Manage the physical environment DS13 Manage operations Deliver and Support Plan and Organise Applications Information Infrastructure People Acquire and Implement Acquire and Implement AI1 AI2 AI3 AI4 AI5 AI6 AI7 Identify automated solutions Acquire and maintain application software Acquire and maintain technology infrastructure Enable operation and use Procure IT resources Manage changes Install and accredit solutions and changes Jimmy Heschl 30

16 Bestandteile von Prozessen (1/5) Prozessbeschreibung Domäne und Information-Criteria IT Ziele Prozessziele wichtige Aktivitäten wichtige Metriken IT Governance & IT Resources Jimmy Heschl 31 Bestandteile von Prozessen (2/5) RACI-Chart Chart zur Darstellung der Verantwortlichkeiten, zb Funktionen CEO Aktivitäten Erstelle Klassifikations- (Schweregrad und Auswirkung) und Eskalationsverfahren (funktional und hierarchisch) C C C C C C C A/R Erkenne und erfasse Incidents / Serviceanfragen / Informationsanfragen A/R Klassifiziere, ermittle und diagnostiziere Anfragen I C C C I A/R Behebe, löse und schließe Incidents I R R R C A/R Informiere Benutzer (zb Statusaktualisierungen) I I A/R Erstelle auswertungen I I I I I I A/R CFO Business Executive CIO Geschäftsprozesseigner Leitung Betrieb Chief Architect Leitung Entwicklung Leitung IT-Administration Projektbüro Compliance, Audit, Risk und Security Service Desk / Incident Manager Inputs und Outputs, zb Von Inputs Benutzer-, Betriebs-, Support-, technische AI4 und administrative Handbücher AI6 Freigabe von Changes AI7 Configuration Items (Released) DS1 SLAs und OLAs DS4 Incident- und Katastrophen-Schwellwerte DS5 Definition Security Incidents DS9 Details zur IT-Konfiguration / Assets Known Problems, Known Errors und DS10 Workarounds DS13 Incident-Tickets Outputs Service-Requests/Request for Change Berichte über Incidents Berichte über Prozessperformance Berichte über Benutzerzufriedenheit Nach AI6 DS10 ME1 DS7 ME1 Jimmy Heschl 32

17 Bestandteile von Prozessen (3/5) Ziele und Messgröß ößen und deren Verbindung Unternehmen IT Prozesse Aktivitäten Ziele Kunden- und Serviceorientierung erhöhen Verfügbarkeit von Services Prozesskosten reduzieren Compliance mit internen Regelungen herstellen Stelle die Enduser- Zufriedenheit mit Serviceangeboten und Service Levels sicher Stelle die angemessene setze Verwendung und Performance der Anwendungen und technischen Lösungen sicher Stelle setze Analysiere, dokumentiere und eskaliere Incidentszeitgerecht Reagiere auf Anfragen exakt und zeitgerecht Führe regelmäßig Trendanalysen der Incidentsund Anfragen durch Installation und Betrieb eines Service Desk Überwachung und Berichterstattung von Trends Abstimmung der setze Lösungsprioritäten von Ereignissen mit Unternehmensanforderung Festlegung treibe miss treibe miss treibe miss Messgrößen Benutzerzufriedenheit mit dem Erst-Support (Service Desk oder Knowledge Base) % der innerhalb einer vereinbarten/akzeptablen Zeitspanne gelösten Incidents % der direkten Lösungen basierend auf der Gesamtzahl der Anfragen % der erneut geöffneten Incidents Anteil der abgebrochenen Calls Durchschnittliche Dauer der Incidentsnach Schweregrad Durchschnittliche % der Ereignisse und Serviceanfragen, die reportet und mittels automatisierter Tools protokolliert wurden Anzahl der Schulungstage pro Service Desk MitarberInnen pro Jahr Anzahl der pro Service Desk MitarbeiterIn pro Stunde bearbeiteten Anrufe % der Ereignisse, die Jimmy Heschl 33 Bestandteile von Prozessen (4/5) Control Objectives Jimmy Heschl 34

18 Bestandteile von Prozessen (5/5) Control Practices Jimmy Heschl 35 Reifegradmodell (Maturity Model) Non-existent (nicht existent) Initial (initial) Repeatable (wiederholbar) Defined (definiert) Managed (gemanagt) Optimised (optimiert) Symbole Derzeitiger Status Internationaler Standard Strategisches Ziel Reifegrade 0.. Nicht existent 1.. Initial 2.. Wiederholbar 3.. Definiert 4.. Monitoringfunktionen 5.. Optimiert und Automatisiert Jimmy Heschl 36

19 Reifegradmodell - Attribute Bewusstsein und Kommunikation Policies, Standards und Verfahren Werkzeuge und Automatisierung Skills und Expertise Zuständigkeit und Verantwortlichkeit Zielsetzung und Messung Jimmy Heschl 37 Generisches Reifegradmodell Overall Process Maturity Policies, Awareness and Standards and Communication Procedures Maturity Attributes Tools and Automation Skills and Expertise Responsibility Goal Setting and and Measurement Accountability to-be improvement measures as-is Jimmy Heschl 38

20 Reifegradmodell IT Ebene PO 10 PO 9 PO 11 Plan and Organize PO PO 2a PO 2b PO 3 AI 6b Acquire and Implement AI 7 AI AI 2 AI 2 Lücken sind erkannt: Ist- zu Sollreife PO 8 PO 4 AI 6a AI 3 PO 7 PO 6 PO 5 Deliver and Support AI 5 AI 4b Monitor and Evaluate AI 4a Plan zur Verbesserung und Umsetzung DS 11b DS 11a DS 10 DS 9 DS 13b DS 13a DS 12 DS 8 DS 7 DS 6 DS 1a DS 1b DS 2 DS 3 DS 4 DS 5a DS 5b DS 5c DS 5d DS 5e DS 5f ME 4 ME ME 3 ME 2 Prüfung, ob Ziele erreicht wurden Jimmy Heschl 39 ISO/IEC 27002:

21 ISO/IEC 27002:2005 Historie: CoP for Security BS7799 Part 1 ISO 17799:2000, 2005 Best Practice für f r Informations-Sicherheit Herausgegeben von der ISO Zeitweise im Konflikt mit BSI - Grundschutzhandbuch Zertifizierung nach ISO/IEC 27001:2005 (BS7799 Part 2) Jimmy Heschl 41 Integration von Standards 42

22 Die Stimme der anderen Establish frameworks to ease Governance Implementation First CobiT for overall governance Then ITIL for service delivery and management Then ISO for information security Balanced Scorecard for measurement and communication Quelle: Forrester Helping Business Thrive On Technology Change A Road Map To Comprehensive IT Governance by Craig Symons, Jan 2006 Jimmy Heschl 43 CobiT & ITIL (v2) Plan and Organize Monitor and Evaluate by Jimmy Heschl Deliver and Support Acquire and Implement Jimmy Heschl 44

23 Gegenüberstellung ITIL und CobiT zb. Incident Erkennung und Aufzeichung Verantwortung, Überwachung, Verfolgung und Kommunikation der Lösung Klassifikation und erster Support Service Request Nachforschung und Diagnose Lösung und Wiederherstellung Abschluss des Incident Service request Verfahren DS8.2 Registration of customer queries (Registrierung von Kundenanfragen) DS8.3 Incident escalation (Eskalation von Incidents) DS8.4 Incident closure (Schließen von Incidents) Jimmy Heschl 45 V3 Highest-Level Mapping INFORMATION Monitor and Evaluate Efficiency Effectiveness Confidentiality Integrity Availability Compliance Reliability IT RESSOURCES Plan and Organise Deliver and Support Applications Information Infrastructure People Acquire and Implement Jimmy Heschl 46

24 V3 High-Level Mapping Monitor and Evaluate Plan and Organise COBIT processes addressed by IT Infrastucture Library v3 by Jimmy Heschl Deliver and Support x x x full none Acquire and Implement Jimmy Heschl 47 V3 Detailled Mapping (excerpt) Control Objective PO1 PO1.1 PO1.2 PO1.3 COBIT Name Define a Strategic IT Plan IT Value Business-IT Alignment Assessment of Current Capability and Performance ITIL SS 1 Introduction SS 2 Service management as a practice SS 3 Service Strategy principles SS 3.5 Service Strategy fundamentals SS 4 Service strategy SS 2.2 What are services? SS 3.1 Value creation SS 3.4 Service structures SS 4.4 Prepare for execution SS 5.1 Financial SS 5.2 Return on Investment SS 5.3 Service Portfolio SS 2.1 What is service management SS 2.3 The business process SS 2.4 Principles of service management SS 4.4 Prepare for execution CSI 5.2 Assessments PO1.4 IT Strategic Plan SS 3.3 Service provider types SS 3.5 Service Strategy fundamentals SS 4.1 Define the market SS 4.2 Develop the offerings SS 4.3 Develop strategic assets PO1.5 IT Tactical Plans SS 4.4 Prepare for execution SS 7.1 Implementation through the lifecycle SS 7.2 Strategy and Design Coverage A+ C C C C C Jimmy Heschl 48

25 CobiT & ISO/IEC 27002:2005 Jimmy Heschl 49 CobiT & BSI Grundschutzhandbuch Jimmy Heschl 50

26 CobiT & viele andere Monitor and Evaluate Acquire and Maintain Monitor and Evaluate Acquire and Maintain Monitor and Evaluate Acquire and Maintain Monitor and Evaluate Monitor and Evaluate Acquire and Maintain Acquire and Maintain Monitor and Evaluate Acquire and Maintain Monitor and Evaluate Acquire and Maintain Monitor and Evaluate Acquire and Maintain Monitor and Evaluate Acquire and Maintain Jimmy Heschl 51 Ausblick Die Zeit ist reif Für r nachvollziehbare und messbare IT Prozesse Einhaltung internationaler Standards Interne Kontrollsysteme auch in der IT Die Umsetzung erfordert (hohen) Aufwand Nutzen ist auch kurzfristig zu erzielen (ROI hoch) Professionelle Unterstützung tzung empfehlenswert besonders auch mit Prüfungs fungs- und Kontroll Know How Jimmy Heschl 52

27 Kontakt Jimmy Heschl Information Risk KPMG Wien +43 (1) KPMG Austria Alpen-Treuhand GmbH, österreichisches Austria Gruppe, Mitglied österreichisches von KPMG Mitglied International, von KPMG einer International, Genossenschaft einer schweizerischen Genossenschaft Rechts. schweizerischen Alle Rechte Rechts. vorbehalten. Informationen dieser Präsentation haben Gedruckt informativen Österreich. Charakter KPMG und und stellen das keinerlei KPMG-Logo Beratungsleistung sind eingetragene dar. Markenzeichen Alle Rechte vorbehalten. von KPMG Printed International. in Austria. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. Jimmy Heschl 53 Abkürzungsverzeichnis AC Application Control AD Application Development AI Acquire and Implement AICPA American Institute of CPAs AktG Aktiengesetz BAO Bundesabgabenordnung BCP Business Continuity/Contingency Planning BS British Standard BSC Balanced Scorecard BWG Bankwesengesetz CAB Change Advisory Board CAB/EC Change Advisory Board for Emergency Changes CEO Chief Executive Officer CFO Chief Financial Officer CI Configuration Item CIO Chief Information Officer CISA Certified Information Systems Auditor CISM Certified Information Security Manager CMDB Configuration Database CMM Capability Maturity Model CMMI Capability Maturity Model Integrated CMO Chief Marketing Officer CobiT Control Objectives for Information and Related Technology COSO Committee of Sponsoring Organisations DB Database DS Deliver and Support DSG Datenschutzgesetz ECV Emittenten-Compliance- Verordnung FAIT FIPS FS DV FS HR FSC GoB GSHB HIPAA HW ICOFR ICT IDS IDW IEC IFAC IKS IRM ISA ISACA ISO ISP IT IT-BPM ITGC ITGI ITIL Fachgutachten zur Prüfung der IT Federal Information Processing Standard Fachsenat für Datenverarbeitung Fachsenat für Handelsrecht Forward Schedule of Changes Grundsätze ordnungsgemäßer Buchführung Grundschutzhandbuch Health Insurance Portability and Accountability Act Hardware Internal Control Over Financial Reporting Information and Communication Technology Intrusion Detection System Institut der Wirtschaftsprüfer International Electro technical Commission International Federation of Accountants Internes Kontrollsystem Information Risk International Standards on Auditing Information Systems Audit and Control Association International Standardisation Organisation Internet Service Provider Informationstechnologie, Information and related Technology IT Baseline Protection Manual IT General Controls IT Governance Institute IT Infrastructure Library ITIM IT Infrastructure ITSM IT Service KFS Kammer Fachsenat für Datenverarbeitung KFS/DV1 Fachgutachten 1 des KFS KFS/DV2 Fachgutachten 2 des KFS KGI Key Goal Indicator KonTraG Kontroll- und Transparenzgesetz KPI Key Performance Indicator ME Monitor and Evaluate NIST National Information Security and Technology OP Operation PC Process Control PCAOB Public Company Accounting Oversight Board PMBOK Project Body of Knowledge PO Plan and Organise PRINCE Projects in Controlled Environments PS Prüfungsstandard PSA Projected Service Availability RFC Request for Change ROI Return-On-Investment RZ Rechenzentrum SAS Statement on Auditing Standard SD Service Desk SLA Service Level Agreement SLM Service Level SLR Service Level Requirements SOX Sarbanes Oxley Act SQP Service Quality Plan SW Software UC Underpinning Contract Jimmy Heschl 54