ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten

Transkript

1 ISO & IKS Gemeinsamkeiten SAQ Swiss Association for Quality Martin Andenmatten 13.

2 Inhaltsübersicht IT als strategischer Produktionsfaktor Was ist IT Service Management ISO im Überblick ISO im Überblick IT Risiken am Beispiel des Beschaffungsprozesses Seite 2

3 IT ist der zentrale kritische Erfolgsfaktor für Unternehmen Nicht funktionierende IT-Systeme führen in der Regel zu unmittelbaren Produktionseinbussen Nicht-Verfügbarkeit führt somit zu finanziellen Verlusten oder auch zu erheblichen Imageschäden Seite 3

4 IT als Black-Box Box und damit Risikofaktor in Unternehmen Strategische Risiken Operative Risiken Informations Technologie Finanzielle Risiken Seite 4

5 Für jedes Problem eine Lösung? Reaktionen auf Crashes! Externe Regulatorien sollen sicherstellen operationelle Risiken zu erkennen und Schaden abzuwenden Bruchstückhafte interne Kontrollen erfüllen gerade die externen Vorgaben Zukunftsträchtig? Ausreichende Vorgaben? Seite 5

6 Von der Black-Box Box zur White- Box Strategische Risiken Informations Technologie Strategische Ebene Operative Ebene Analyse Kontrolle Operative Risiken Kommunikation Qualitätspolitik Prozesse Verbesserungen Planung Internes Audit Finanzielle Risiken Seite 6

7 Warum ist IT Service Management wichtig? Seite 7

8 IT Service Management ISO IT Service Management ist ein Prozess-Framework zur Planung, Steuerung, Kontrolle und Koordination aller IT relevanter Aktivitäten und Ressourcen mit dem einzigen Ziel, die operativen und strategischen Vorhaben eines Unternehmens zu unterstützen. Die vier Hauptziele des Service-Managements sind: Ausrichten der IT Services auf die gegenwärtigen und zukünftigen Anforderungen des Unternehmens und seiner Kunden Laufende Optimierung der Qualität (Verfügbarkeit, Performance, Sicherheit etc.) der erbrachten IT Services Reduzieren der Kosten der Service-Tätigkeit Gewährleistung der Compliance Seite 8

9 ISO20000 der ITSM Standard Management System im Überblick Seite 9

10 Strategische Ebene Analyse Anforderungen an ein Management System Verantwortlichkeit des Managements Anforderung an die Dokumentation Kompetenz, Awareness & Training Strategische Ebene Operative Ebene Analyse Kommunikation Kontrolle Verbesserungen Qualitätspolitik Prozesse Planung Internes Audit Seite 10

11 Strategische Ebene Planung Planung des IT Service Management & Services Die Service Management Planung setzt Kundenanforderungen in konkrete Service Ziele um Strategische Ebene Analyse Kommunikation Qualitätspolitik Planung Operative Ebene Prozesse Kontrolle Verbesserungen Internes Audit Ziele Ressourcen (Skills, Budget, Facilities, Tools) Prozesse Rollen & Verantwortlichkeiten Qualitätsmanagement Management Informationen Seite 11

12 Operative Ebene IT Service Mgmt & IT Services Implementierung der Service Management Ziele und des Service Management Plans Strategische Ebene Analyse Kommunikation Qualitätspolitik Planung Operative Ebene Prozesse Kontrolle Verbesserungen Internes Audit Zuweisung von Budget, Rollen, Verantwortlichkeiten Koordination der Service Mgmt Prozesse Führung von Teams (inkl. Service Desk & Betrieb) Identifikation & Handhabung von Service Risiken Seite 12

13 Taktische & Operative Ebene Übersicht ITSM Prozesse Security Management Availability & Continuity Management Release Processes Release Management Service Delivery Processes Service Level Management Service Reporting Control Processes Configuration Management Change Management Resolution Processes Incident Management Problem Management Capacity Management Budgeting & Accounting for IT Services Relationship Processes Business Relationship Management Supplier Management Strategische Ebene Operative Ebene Analyse Kommunikation Kontrolle Verbesserungen Qualitätspolitik Prozesse Planung Internes Audit Seite 13

14 Operative Ebene Audit & Kontrolle Überwachen, Messen und Review sowie kontinuierliche Verbesserung Erhöhung der Effektivität & Effizienz von Service Delivery & Service Management Strategische Ebene Analyse Kommunikation Qualitätspolitik Planung Operative Ebene Prozesse Kontrolle Verbesserungen Internes Audit Erreichte Service-Qualität im Vergleich mit den Zielen Kundenzufriedenheit Ressourcenauslastung und Trends Identifikation signifikanter Nonkonformitäten Seite 14

15 Übersicht ISO Information Security Management System Business Requirements Customer Requirements Governance Requirements Manage Security Management Responsibility PLAN Establish ISMS Business results Customer satisfaction Compliance Other processes e.g. Business, supplier, customer DO Implement and operate ISMS ACT Maintain and Improve ISMS Other processes e.g. Business supplier, customer CHECK Monitor, measure and review ISMS Seite 15

16 Information Security Mgmt System Das ISMS ist ein Management System, welches auf einem systematischen Business-Risk-Ansatz aufbaut, um die Informationssicherheit in Unternehmen einzurichten, zu betreiben, zu überwachen und kontinuierlich zu verbessern. Die drei Hauptziele des ISMS sind die Gewährleistung der: Verfügbarkeit Vertraulichkeit Integrität aller im Unternehmen eingesetzten Daten und Systeme. Seite 16

17 Beispiel Beschaffungsprozess Lieferantenauswahl Internet, Lieferanten-DB IT? Verfügbarkeit? Kommunikation? Bestellung ausführen Wareneingangs kontrolle Lieferantenbewertung IT Beschaffung SAP, FIBU, Budget Waren- Lieferung SAP Lieferanten- Datenbank IT IT IT??? Verzögerung aus nicht Verfügbarkeit? Kontrolle Aufgrund Dateninkonsistenzen? Verlust der Nachvollziehbarkeit? Einlagerung Verarbeitung Internet, Lieferanten-DB Rechnung Lieferant Accounting Zahlungs- Verkehr SAP Lagerbewirt- Schaftung IT IT?? Lieferbereitschaft? Verspätete Rechnungsstellung? Imageverlust? Seite 17

18 Beispiele von IT Risiken aus Sicht IKS Verzögerung/Verhinderung der Bestellauslösung durch Nicht- Verfügbarkeit der zugrundeligendenen IT Systeme (und damit Produktionsverzögerung) Anforderungen definiert & abgesichert? Verlust der Kontrolle über offene Bestellungen aufgrund von Datenverlust Sicherheits- & Recoverymassnahmen umgesetzt? Verlust der Nachvollziehbarkeit aufgrund undokumentierter Änderungen der Reporting-Applikationen Jede Änderung autorisiert und dokumentiert? Verspätete oder falsche Rechnungsstellung aufgrund von Störungen in der Buchhaltungsapplikation Support eingerichtet, erreichbar & kompetent? Einhaltung von Aufbewahrungsfristen bei elektronisch abgespeicherten Daten ( Anforderungen nicht vergessen!) Reproduzierbarkeit sichergestellt auch nach Technologiewechsel? Imageverlust aufgrund unzuverlässiger Abwicklung/schlechte Auskunftsbereitschaft durch IT Systeme Periodische Reviews und Zufriedenheitsanalysen? Seite 18

19 Enterprise wide Riskmanagement Auf Basis eines umfassenden Mgmt Systems! Auf Basis eines umfassenden Mgmt Systems nach ISO lassen sich vollständige und unternehmensweite Kontrollen zur Absicherung der strategischen & operationellen Risiken wirkungsvoll umsetzen ISO und ISO sind die extern überprüfbaren Nachweise innerhalb der IT- Organisation für diese Massnahmen Seite 19

20 Vielen Dank für Ihre Aufmerksamkeit Seite 20