Otto-von-Guericke-Universität Magdeburg. Fakultät für Informatik Institut für Technische und Betriebliche Informationssysteme (ITI) Diplomarbeit

Transkript

1 Otto-von-Guericke-Universität Magdeburg Fakultät für Informatik Institut für Technische und Betriebliche Informationssysteme (ITI) Diplomarbeit Entwicklung eines Modells für die Verfügbarkeitsbewertung auf Basis generischer Referenzmodelle Verfasser: Tobias Goldschmidt 30. Januar 2009 Gutachter: Prof. Dr.-Ing. Jana Dittmann (Universität Magdeburg) Prof. Dr.-Ing. Miroslaw Malek (Humboldt-Universität zu Berlin) Betreuer: Dr. rer. nat. Uwe Laude (Bundesamt für Sicherheit in der Informationstechnik, BSI) Fakultät für Informatik Postfach 4120, D Magdeburg Germany

2 Goldschmidt, Tobias: Entwicklung eines Modells für die Verfügbarkeitsbewertung auf Basis generischer Referenzmodelle Diplomarbeit, Otto-von-Guericke-Universität Magdeburg, 2009.

3 MARKEN Marken Die IT Infrastructure Library ITIL R ist eine eingetragene Gemeinschaftsmarke des Oce of Government Commerce, welche beim US Patent and Trademark Oce registriert ist. Das Software-Engineering Institute SEI R ist eine Service Marke der Carnegie Mellon University. Das Capability Maturity Model CMM R, Carnegie Mellon und Capability Maturity Model Integration CMMI R sind beim U.S. Patent and Trademark Oce durch die Carnegie Mellon University registriert. Control Objectives for Information and Related Technology CobiT R ist eine Marke der Information Systems Audit and Control Association und des IT-Governance Institute. Capability Maturity Model Integration for IT-Operation CITIL R ist eine registrierte Marke der wibas IT-Maturity Services GmbH. Microsoft Operation Framework MOF R ist ein Produkt der Microsoft Corporation. Software Process Improvement and Capability determination SPiCE R ist eine ISO Norm für die Softwareprozessbeurteilung. Im weiteren Verlauf der Diplomarbeit werden diese Markenzeichen nicht angegeben sowie zur Erhöhung der Lesbarkeit, auf deren ausführliche Schreibweise verzichtet. Alle oben nicht aufgeführten Marken werden nur bei Erstnennung mit Markenzeichen aufgeführt. Dies berechtigt aber nicht zu der Annahme, dass alle in dieser Ausarbeitung genannten Marken im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürfen. Selbstständigkeitserklärung Hiermit erkläre ich, die vorliegende Arbeit selbstständig und nur mit den erlaubten und gekennzeichneten Hilfsmitteln angefertigt zu haben. Bonn, Januar 2009 Tobias Goldschmidt I

4 VORWORT Vorwort Verlässlichkeit (vergleiche Anhang E) ist der Überbegri, den alle generischen Referenzmodelle (vergleiche Abschnitt 1.1.3) adressieren. Diesem Begri unterzuordnen ist der Begri der Verfügbarkeit (vergleiche Anhang E) als einer für den Kunden wahrnehmbarer Grundwert. Durch den stetigen Wettbewerb in der Zeit fortwährenden Verbesserungsbedarfs wird es immer wichtiger, ezient und eektiv zu arbeiten. In der Informationstechnologie (IT) werden so genannte generische Referenzmodelle eingesetzt, welche dazu dienen, Prozesse einer Organisation in einer idealisierten Form (Best Practice (vergleiche Abschnitt 1.1.4)) zu beschreiben. Gerade für die Geschäftsprozesse einer IT-Organisation bilden diese Sammlungen wertvolle Referenzen, um ihre Aktivitäten eektiver und ezienter auszuführen. Diese zu Standards verdichteten Werke wurden oft auf Grundlage von Best Practices entwickelt und dienen als idealisierte Vorlage, anhand derer IT-Organisation (vergleiche Anhang E) spezisch angepasst werden muss. In der IT hat man es vorwiegend mit IT-Services (vergleiche Anhang E) zu tun, die die Geschäftsprozesse unterstützen. Diese IT-Services müssen technisch und organisatorisch implementiert, gewartet und betrieben werden, um exibel auf geänderte Bedürfnisse und auftretende Fehler reagieren zu können. Für den erfolgreichen Betrieb von IT-Services werden qualitativ hochwertige Prozesse und Betriebsabläufe benötigt, die durch qualiziertes Personal erbracht und durch geeignete Softwaretools unterstützt werden müssen. Nur so kann dauerhaft sichergestellt werden, dass IT-Services mit der benötigten Verlässlichkeit erbracht werden. Diese Ausarbeitung untersucht fünf Prozessmodelle (vergleiche Abschnitt 1.1.3) aus angrenzenden Disziplinen (IT-Führung, IT-Entwicklung und IT-Betrieb). Konkret werden dabei Indikatoren (vergleiche Abschnitt 2.9) der betrachteten (de facto) Standards ITIL, CMMI, CobiT, MOF und SPiCE bezüglich Personal und Organisation speziell hinsichtlich der Verfügbarkeitssicherung untersucht. Die Nutzung der in den Standards vorhandenen Indikatoren zur sinnvollen Bewertung von IST-Zuständen der IT-Sicherheit (vergleiche Anhang E) ist derzeit ein konzeptionell dynamisches Entwicklungsfeld. II

5 DANKSAGUNG Danksagung Es ist mir ein Anliegen, mich bei Herrn Prof. Dr. M. Malek für die spontane Bereitschaft zur Übernahme des Gutachtens zu bedanken. In gleicher Weise gilt Frau Prof. Dr. J. Dittmann mein Dank. Herausheben möchte ich vor allem meinen Betreuer Herrn Dr. Uwe Laude, der mir diese Diplomarbeit ermöglichte, mich bei der Erstellung unterstützte und motivierte sowie mit seinem Fachwissen immer zur Seite stand. Herrn Dr. Christian Ruge sowie Herrn Dipl.-Ing.(FH) Andreas Herbolsheimer danke ich für ihre konstruktiven Anmerkungen, die mir sehr geholfen haben. Allen anderen ungenannten Mitarbeitern des Referates 115 des Bundesamtes für Sicherheit in der Informationstechnik sowie dessen Referatsleiter, Herrn K. Klinner, möchte ich ebenfalls meinen Dank aussprechen. Sie haben mich alle während der letzten zwölf Monate freundlich aufgenommen, Interesse gezeigt, mit Informationen versorgt und mich sehr unterstützt. Bedanken möchte ich mich auch für die fachliche Fortbildung und das Knüpfen neuer Kontakte, die mir durch das BSI ermöglicht wurden. Dank gebührt ebenfalls der BearingPoint GmbH, hier besonders Frau Dipl.-Wirt.-Inf. Kerstin Kiehl sowie Herrn Armin Heinrich vom MSH - Medien System Haus GmbH & Co. KG für ihre verwendete Zeit und kommunizierten Unterlagen. Letztendlich gibt es kein Wort, welches den Dank an meine Verlobte Julia Schneider beschreiben könnte, die mir auch in schwierigen Zeiten Mut zugesprochen hat, immer für mich da war und mich vor allem in der Endphase zur Weihnachtszeit immer mit frischem Nervenfutter versorgte. Der Unterstützung meiner Eltern, Schwiegereltern in spe und meines Bruders Andreas konnte ich ebenfalls sicher sein. III

6 INHALTSVERZEICHNIS Inhaltsverzeichnis Marken Selbstständigkeitserklärung Vorwort Danksagung Inhaltsverzeichnis Abbildungsverzeichnis Tabellenverzeichnis Übersetzungsglossar Abkürzungsverzeichnis I I II III IV IX XII XV XVII Motivation und Zielstellung der Arbeit 1 1. Einleitung Begriichkeiten Prozess Modell Referenzmodell Best Practice Reifegrad / Fähigkeitsgrad Eine Auswahl generischer Referenzmodelle Betrachtete generische Referenzmodelle für das Bewertungsmodell 7 CMMI ITIL CMMI-ITIL (CITIL) ISO/IEC SPiCE IV

7 INHALTSVERZEICHNIS CobiT MOF Weitere relevante generische Referenzmodelle und Normen MITO ISO ISO ISO/IEC ISO/IEC ISO/IEC Überschneidungen der beschriebenen Referenzmodelle und Normen Abhängigkeiten der Referenzmodelle Einordnung der Verfügbarkeit Methodik Überblick Methodischer Ansatz Identizierung relevanter Prozessgebiete Eigenschaften der identizierten Prozessgebiete Change Management Conguration Management Problem Management Incident Management IT-Service Continuity Management Service Level Management Capacity Management Release Management Availability Management Einordnung IT-Organisation und IT-Personal in die Ebenenstruktur der Verfügbarkeitsermittlung Mapping am Beispiel von Change Management Mapping der Referenzmodelle auf die identizierten Prozessgebiete Auswahl der generischen Referenzmodelle Arten von Indikatoren V

8 INHALTSVERZEICHNIS Zum Umgang mit Indikatoren Erhebung von Indikatoren Erweiterter Sinn von Indikatoren Reduzierung der Indikatoren (KO-Kriterien) Qualitative Bewertung der Indikatoren (Bewertungskriterien) Das Gewichtungskonzept Graphentheoretische Zentralitätsmaÿe Degree-Zentralität Closeness-Zentralität Betweenness-Zentralität Schleifenanalyse Sequenzanalyse zur Prioritätsbestimmung Sequence Pattern Discovery Der Teiresias-Algorithmus Ähnlichkeitsanalyse Rangkorrelationskoezient nach Spearman Fähigkeits- und Reifegrade Maslowsche Bedürfnispyramide Fähigkeitsgrade Reifegrade Einordnung der Indikatoren Ergebnis Begriichkeiten in der Diplomarbeit Mapping der Referenzmodelle Erhebung, Reduktion und Bewertung der Indikatoren Anwendung KO Kriterien Anwendung der Bewertungsmatrix In- und Outputanalyse Gewichtung der relevanten Prozessgebiete in CobiT Berechnung der Zentralitätsmaÿe Degree-Zentralität Closeness-Zentralität VI

9 INHALTSVERZEICHNIS Betweenness-Zentralität Schleifenanalyse Sequenzanalyse Gewichtung der relevanten Prozessgebiete Rangkorrelation der relevanten Prozessgebiete in CobiT Abbildung der einzelnen Prozessgebiete auf Fähigkeitsgrade im Excel-Sheet Abbildung der relevanten neun Prozessgebiete auf Reifegrade im Excel-Sheet Diskussion Bewertung der Indikatoren Nutzen der Referenzmodelle Fehlende Flexibilität von SPiCE bezüglich ITSM (ITIL) Unterschiede von CMMI und CobiT Schwierigkeiten bei der Erstellung der Indikatorenliste Nutzen und Interpretation von Indikatoren Fehler und Vollständigkeit der Indikatoren am Beispiel IT-Sicherheit Die Conguration Management Database als zentrale Datenerhebungsquelle Umsetzung des Incident Managements in der Praxis Gewichtungskonzept Anwendungsbereiche der Graphentheorie Gewichtung der neun relevanten Prozessgebiete Abgrenzung Sequenz Alignment vom Teiresias-Algorithmus Fähigkeits- und Reifegrade IT-Sicherheit und Reifegradmodelle Beispiel für ein Indikator-basiertes Bewertungssystem zur Ermittlung der Einhaltung von rechtlichen Anforderungen konform ISO ISO Auditierung nach ISO und Indikator-basierte Bewertung Akzeptanz von IT-Service Management VII

10 INHALTSVERZEICHNIS 5. Zusammenfassung und Ausblick 151 Literaturverzeichnis 153 A. Originale Bewertungstabellen 162 B. Konsolidierte Bewertungstabellen 181 C. Quell- und Pseudocode 193 C.1. Quellcode der einzelnen Bewertungstabellen C.2. 4 Phasen des Teiresias-Algorithmus im Pseudocode D. Ergebnistabellen 213 E. Definitionen 234 VIII

11 ABBILDUNGSVERZEICHNIS Abbildungsverzeichnis 1.1. Ein Prozess ( c TOM Jochen Enterprises) Aufbau CMMI v Aufbau ITIL v3 aus [16] Verbesserungsmodell von ISO/IEC SPiCE aus [13] CobiT v4.0 Referenzmodell aus [19] MOF v3 Überblick aus [20] Überdeckungen der Referenzmodelle und Normen Abhängigkeitsgeecht der Referenzmodelle und Normen Einordnung der Verfügbarkeit Methodische Vorgehensweise Untersuchungsbereich bei der Hochverfügbarkeitsanalyse nach [30] Zusammenhang der Verfügbarkeit auf den unterschiedlichen Ebenen, erweitert auf der Grundlage nach [103] Mapping der Prozessgebiete am Beispiel Change Management Mappingtabelle ITIL v3 auf CobiT v4.0 aus [32] Key-Performance-Indicators und Key-Goal-Indicators KO-Selektionskriterien mit Indikatorbeispielen Bewertungsmatrix für alle Indikatoren Methodisches Vorgehen bei der Sequenzanalyse von CobiT aus Verfügbarkeitssicht Fähigkeitsgrade Reifegrade Einordnung der Indikatoren CobiT aus Verfügbarkeitssicht Graphische Darstellung des nach Betweenness-Zentralität gewichteten Graphen von CobiT aus Verfügbarkeitssicht Schleifenanalyse des Graphen von CobiT aus Verfügbarkeitssicht Rangkorrelationskoezient (N=10, p=0,05) von CobiT aus Verfügbarkeitssicht IX

12 ABBILDUNGSVERZEICHNIS 3.5. Startseite des Excel-Sheets Fokuserweiterung ITIL v Rolle der CMDB nach ITIL ( c ITIL v2 Service Support, Seite 151) Google Algorithmus zur Priorisierung von Suchergebnissen aus [84] Integrationsebene von Technik und Prozessen Beispielfrage zur Beurteilung des rechtlichen Aspektes Datenschutz nach [85] Rechtliche Matrix aus [85] Rechtliche Anforderungen mit zugehöriger auszuwählender Liste von Information Security Controls aus [85] A.1. Bewertungstabelle für Availability Management - Teil A.2. Bewertungstabelle für Availability Management - Teil 2 (zusätzliche Erläuterungen [100]) A.3. Bewertungstabelle für Capacity Management - Teil A.4. Bewertungstabelle für Capacity Management - Teil 2 (zusätzliche Erläuterungen [100]) A.5. Bewertungstabelle für Change Management - Teil A.6. Bewertungstabelle für Change Management - Teil 2 (zusätzliche Erläuterungen [100]) A.7. Bewertungstabelle für Conguration Management - Teil A.8. Bewertungstabelle für Conguration Management - Teil 2 (zusätzliche Erläuterungen [100]) A.9. Bewertungstabelle für Incident Management - Teil A.10. Bewertungstabelle für Incident Management - Teil 2 (zusätzliche Erläuterungen [100]) A.11. Bewertungstabelle für IT Service Continuity Management - Teil A.12. Bewertungstabelle für IT Service Continuity Management - Teil 2 (zusätzliche Erläuterungen [100]) A.13. Bewertungstabelle für Problem Management - Teil A.14. Bewertungstabelle für Problem Management - Teil 2 (zusätzliche Erläuterungen [100]) A.15. Bewertungstabelle für Release Management - Teil X

13 ABBILDUNGSVERZEICHNIS A.16. Bewertungstabelle für Release Management - Teil 2 (zusätzliche Erläuterungen [100]) A.17. Bewertungstabelle für Service Level Management - Teil A.18. Bewertungstabelle für Service Level Management - Teil 2 (zusätzliche Erläuterungen [100]) B.1. Konsolidierte Indikatorenliste für Availability Management B.2. Konsolidierte Indikatorenliste für Capacity Management B.3. Konsolidierte Indikatorenliste für Change Management - Teil B.4. Konsolidierte Indikatorenliste für Change Management - Teil B.5. Konsolidierte Indikatorenliste für Conguration Management - Teil B.6. Konsolidierte Indikatorenliste für Conguration Management - Teil B.7. Konsolidierte Indikatorenliste für Incident Management B.8. Konsolidierte Indikatorenliste für IT Service Continuity Management. 189 B.9. Konsolidierte Indikatorenliste für Problem Management B.10. Konsolidierte Indikatorenliste für Release Management B.11. Konsolidierte Indikatorenliste für Service Level Management C.1. Pseudocode des Teiresias-Algorithmus [64] D.1. Firmeninterner ITIL v3 Blueprint von BearingPoint persönlich kommuniziert D.2. Einordnung der einzelnen Prozessgebiete auf Fähigkeitsgrade am Beispiel von Incident Management - Teil D.3. Einordnung der einzelnen Prozessgebiete auf Fähigkeitsgrade am Beispiel von Incident Management - Teil XI

14 TABELLENVERZEICHNIS Tabellenverzeichnis 1.1. Zertizierungsmöglichkeiten auf Basis generischer Referenzmodelle Mapping ITIL v2 - ITIL v3 auf Basis von [31] Relevante Prozessgebiete - ehemals Service Support Relevante Prozessgebiete - ehemals Service Delivery Auszug der Indikatoren von SPiCE Lite [ITSM] für CHM nach [75], [76], [77] und [78] Abbildung der einzelnen Prozessgebiete auf deniertes Alphabet Transformierte Eingabeschleifen für das Prozessgebiet AI Mögliche Sequenzen für L = 3 und W = Beispiel für P refixes von Sequenzen für L = Beispiel für Suffixes von Sequenzen für L = Berechnung von P refix und Suffix von Sequenzen für L = Beispiel für P refix W ise Less aus [63] Beispiel für Suffix W ise Less aus [63] Vergleich Maslow'sche Bedürfnishierarchie mit Reifegradmodellen nach [92] Beschreibung der Prozessgebiete von CobiT aus Verfügbarkeitssicht In- und Outputanalyse von CobiT - Teil In- und Outputanalyse von CobiT - Teil In- und Outputanalyse von CobiT - Teil Adjazenzmatrix von CobiT aus Verfügbarkeitssicht Degree-Zentralität von CobiT aus Verfügbarkeitssicht Distanzzmatrix von CobiT aus Verfügbarkeitssicht Closeness Zentralitäten von CobiT aus Verfügbarkeitssicht Betweenness Zentralitäten von CobiT aus Verfügbarkeitssicht Gewichtung von CobiT aus Verfügbarkeitssicht nach der Betweenness-Zentralität Schleifenanalyse von CobiT aus Verfügbarkeitssicht XII

15 TABELLENVERZEICHNIS Schleifenauswertung von CobiT aus Verfügbarkeitssicht Vorkommen jedes Prozessgebietes innerhalb aller Schleifen von CobiT aus Verfügbarkeitssicht Auswertung des Vorkommen jedes Prozessgebietes innerhalb aller Schleifen von CobiT aus Verfügbarkeitssicht Priorisierung der Prozessgebiete Adjazenzmatrix der relevanten Prozessgebiete Berechnung des Rangkorrelationskoezienten von CobiT aus Verfügbarkeitssicht Gewichtung von Indikatoren Von der CMDB unterstützte Funktionen bezüglich der relevanten Prozessgebiete Priorisierung der relevanten Prozessgebiete - Ergebnistabelle Eingabeschleifen Alignment Reifegradmodell am Beispiel Monitoring D.1. Mappingtabelle D.2. Vergleich In- und Outputs von CobiT aus Verfügbarkeitssicht von Seite der Inputs mit von Seite der Outputs D.3. Gewichtung von CobiT aus Verfügbarkeitssicht nach der Closeness-Zentralität D.4. Sequenzanalyse AI1 (mit Eingabeschleifen) D.5. Sequenzanalyse AI2 (mit Eingabeschleifen) D.6. Sequenzanalyse AI3 (mit Eingabeschleifen) D.7. Sequenzanalyse AI4 (mit Eingabeschleifen) D.8. Sequenzanalyse AI5 (mit 990 Eingabeschleifen) D.9. Sequenzanalyse AI6 (mit Eingabeschleifen) D.10. Sequenzanalyse AI7 (mit Eingabeschleifen) D.11. Sequenzanalyse DS1 (mit Eingabeschleifen) D.12. Sequenzanalyse DS3 (mit Eingabeschleifen) D.13. Sequenzanalyse DS4 (mit Eingabeschleifen) D.14. Sequenzanalyse DS7 (mit Eingabeschleifen) XIII

16 TABELLENVERZEICHNIS D.15. Sequenzanalyse DS8 (mit Eingabeschleifen) D.16. Sequenzanalyse DS9 (mit Eingabeschleifen) D.17. Sequenzanalyse DS10 (mit Eingabeschleifen) D.18. Sequenzanalyse DS11 (mit Eingabeschleifen) D.19. Sequenzanalyse DS12 (mit Eingabeschleifen) D.20. Sequenzanalyse DS13 (mit Eingabeschleifen) D.21. Sequenzanalyse ME1 (mit Eingabeschleifen) D.22. Sequenzanalyse ME2 (mit Eingabeschleifen) D.23. Sequenzanalyse ME4 (mit Eingabeschleifen) D.24. Sequenzanalyse PO2 (mit Eingabeschleifen) D.25. Sequenzanalyse PO3 (mit Eingabeschleifen) D.26. Sequenzanalyse PO4 (mit Eingabeschleifen) D.27. Sequenzanalyse PO7 (mit Eingabeschleifen) D.28. Sequenzanalyse PO8 (mit Eingabeschleifen) D.29. Sequenzanalyse PO9 (mit Eingabeschleifen) D.30. Sequenzanalyse PO10 (mit Eingabeschleifen) D.31. Distanzzmatrix von ITIL v3 aus Verfügbarkeitssicht D.32. Closeness Zentralitäten von ITIL v3 aus Verfügbarkeitssicht D.33. Gewichtung von ITIL v3 aus Verfügbarkeitssicht nach der Closeness-Zentralität D.34. Betweenness Zentralitäten von ITIL v3 aus Verfügbarkeitssicht D.35. Gewichtung von ITIL v3 aus Verfügbarkeitssicht nach der Betweenness-Zentralität D.36. Rangkorrelationsmatrix (N = 10, p < 0, 05) von CobiT aus Verfügbarkeitssicht D.37. Ähnlichkeiten der Prozessgebiete bezüglich ihreres Informationsusses 228 D.38. Priorisierung der relevanten Prozessgebiete anhand der mappenden Prozessgebiete von CobiT aus Verfügbarkeitssicht - Teil D.39. Priorisierung der relevanten Prozessgebiete anhand der mappenden Prozessgebiete von CobiT aus Verfügbarkeitssicht - Teil D.40. Priorisierung der relevanten Prozessgebiete anhand der mappenden Prozessgebiete von CobiT aus Verfügbarkeitssicht - Teil XIV

17 ÜBERSETZUNGSGLOSSAR Übersetzungsglossar Appraisal Begutachtung Assessment IST-Stand-Bestimmung Availability Verfügbarkeit Availability Management Verfügbarkeitsmanagement 1 Balancing Loops negative Rückkopplungsschleifen Best Practice bewährte Praxis Capability Level Fähigkeitsgrad Capacity Management Kapazitätsmanagement 1 Change Management Änderungsmanagement 1 Condentiality Vertraulichkeit Conguration Management Kongurationsmanagement 1 Continuous Representation Kontinuierliche Repräsentation Dependability Verlässlichkeit Early Fault Detection Fehlerfrüherkennung Error Störung Failure Ausfall Fault Fehler Fault Forecasting Fehlervorhersage Fault Prevention Fehlerprävention Fault Removal Fehlerentfernung Fault Tolerance Fehlertoleranz Generic Goal Generisches Ziel Generic Practice Generische Praktik Information and Communications Technology Informations- und Kommunikationstechnologie Incident Management Störungsmanagement 1 Information Security Management System Informationssicherheitsmanagementsystem Input Eingabe Instantaneous Availability Unmittelbare Verfügbarkeit Integrity Integrität 1 Übersetzung des BSI XV

18 ÜBERSETZUNGSGLOSSAR Intervall Call Availability Intervall-Call Verfügbarkeit IT-Service Continuity Management Kontinuitätsmanagement Maintainability Wartbarkeit managen steuern, lenken Management Steuerung Mapping inhaltliche Abbildung Maturity Level Reifegrad Model Modell Output Ausgabe Pattern Sequenz Pattern Discovery Entdecken von Sequenzen Pattern Finding / Pattern Recognition Finden von Sequenzen Prex Präx Problem Management Problemmanagement 1 Process Area Prozessgebiet Process Manager Prozess-Manager Process Owner Prozessverantwortlicher Reinforcing Loops positive Rückkopplungsschleifen Release Management Versionsmanagement 1 Reliability Zuverlässigkeit Safety Betriebssicherheit Service Availability Service-Verfügbarkeit Service Delivery Leistungserbringung 2 Service Level Management Lieferbereitschaftsmanagement Service Lifecycle Service Lebenszyklus Service Support Serviceunterstützung 2 Specic Goal Spezisches Ziel Specic Practice Spezische Praktik Staged Representation Gestufte Repräsentation Steady-State Availability Stationäre Verfügbarkeit Threats Bedrohungen 2 Übersetzung des OGC-Amt für Tätigkeiten des Fiskus XVI

19 ABKÜRZUNGSVERZEICHNIS Abkürzungsverzeichnis AM BSI CAB CAM CHM CI CITIL CM CMDB CMMI CMMI-ITIL CobiT GS HV ICT IM ISACA ISMS IT ITIL ITSC ITSCM ITSM KGI KPI MITO MOF MTTF MTTR OGC OLA PA PM Availability Management Bundesamt für Sicherheit in der Informationstechnik Change Advisory Board Capacity Management Change Management Conguration Item siehe CMMI-ITIL Conguration Management Conguration Management Database Capability Maturity Model Integration CMMI for IT-Operation Control Objectives for Information and Related Technology Grundschutz Hochverfügbarkeit Information and Communications Technology Incident Management Information Systems Audit and Control Association Information Security Management System Informationstechnologie IT Infrastructure Library IT-Service Continuity IT-Service Continuity Management IT-Service Management Key Goal Indicator Key Performance Indicator Maturity Model for IT-Operation Microsoft Operation Framework Mean Time To Failures Mean Time To Repair Oce of Government Commerce Operation Level Agreement Process Areas Problem Management XVII

20 ABKÜRZUNGSVERZEICHNIS RfC RM RSKM SAGA SAQ SEI SIP SLA SLM SPiCE SPiCE Lite [ITSM] V Request For Change Release Management Risiko Management Standards und Architekturen für E-Government-Anwendungen Swiss Association for Quality Software Engineering Institute Service Improvement Program Service Level Agreement Service Level Management Software Process Improvement and Capability determination Software Process Improvement and Capability determination speziell für IT-Service Management Verfügbarkeit XVIII

21 MOTIVATION Motivation und Zielstellung der Arbeit Nach [1] hat sich die Leistungsfähigkeit von Systemen (vergleiche Anhang E) in der IT in den letzten Jahrzehnten um Gröÿenordnungen erhöht. Gleichzeitig sind die Komplexität, Dynamik sowie die Kosten bei Ausfällen dieser Systeme signikant gestiegen. Des Weiteren steigt der Bedarf an Steuerungsinstrumenten hinsichtlich kritischer Geschäftsprozesse, IT-Revision und IT-Konsolidierung. Gründe hierfür sind unter anderem die zunehmende Integration bestehender legacy Systems in neue Systeme und das Hinzufügen neuer Funktionalitäten, ohne die Wechselwirkung mit bereits bestehenden Komponenten vollständig zu verstehen. Traditionelle Methoden zur Erfassung und Analyse des Systemzustandes sowie zur Erhöhung der System-Verfügbarkeit zeigen sich der hohen Komplexität und Interkonnektivität industriell eingesetzter Systeme zunehmend nicht mehr gewachsen. Analytische Ansätze skalieren oft nicht in dem Maÿe, wie es für reale Systeme nötig wäre und scheitern häug am prohibitiven Umfang von Freiheitsgraden. Im Bereich der Bewertung der Verfügbarkeit von IT-Services stehen wir vor der Herausforderung, dass auf der einen Seite mathematische Modelle existieren, die im Detail die Verfügbarkeit von einzelnen Komponenten ermitteln, aber bei Verfügbarkeitsaussagen für komplexe Systeme wegen ihrer Detaillierung in der Praxis nicht anwendbar sind. Auf der anderen Seite liegen generische Referenzmodelle für die IT-Service-Organisation vor, die wegen ihrer hohen Abstraktionsebene eine Verfügbarkeitsbewertung in der Praxis nicht zulassen. Diese Diplomarbeit basiert auf der vorangegangenen Studienarbeit Organisationsbewertung hinsichtlich Verfügbarkeit -Ein Ansatz zur Konsolidierung relevanter Referenzmodelle- und versucht den Transfer mathematischer Ansätze auf die generischen Ansätze zu leisten und in einem Prototyp die Eignung des Konzeptes darzulegen. Konkret werden dabei Indikatoren bezüglich Personal und Organisation von fünf generischen Referenzmodellen aus angrenzenden Disziplinen untersucht, um eine Grundlage für die Bewertung der Verfügbarkeit von IT-Services in IT-Systemen zu 1