Inhaltsübersicht. Anhang 429

Transkript

1 xvii Inhaltsübersicht 1 Einleitung und Überblick 1 2 Was ist IT-Unternehmensarchitektur? 23 3 Zielmuster 37 4 Managementprozessmuster 61 5 Sichten und Informationsmodelle Compliance IT-Sicherheit 219 Von Florian Oelmaier 8 IT-Risikomanagement Makro-Architekturmuster Frameworks für IT-Unternehmensarchitektur IT-Management-Frameworks Werkzeuge für Enterprise Architecture Management Lean und Agile EAM Pragmatische Vorgehensweisen Einführungspfade für IT-Unternehmensarchitektur Ausblick 423 Anhang 429 A Checkliste für Richtlinien, Vorstudien und Architekturdokumente 431 B Textauszüge 437 C Abkürzungsverzeichnis 441 D Glossar 447 E Literatur 455 Stichwortverzeichnis 467

2 xviii Inhaltsübersicht

3 xix Inhaltsverzeichnis 1 Einleitung und Überblick Motivation des Buches Struktur des Buches Wer sollte dieses Buch lesen und warum? Eine Frage der Unternehmensgröße? IT-Unternehmensarchitekten Verantwortliche für Business Development IT-Vorstände Softwarearchitekten Alle anderen IT-Mitarbeiter Studierende Wie können Sie dieses Buch lesen? Einige Besonderheiten Sprache: Deutsch Verwendung von Wikipedia-Definitionen Was sich seit der ersten Auflage geändert hat Was ist IT-Unternehmensarchitektur? Das Substantiv: Unternehmensarchitektur als Struktur Geschäftsarchitektur IT-Unternehmensarchitektur Die Tätigkeit: Unternehmensarchitektur als Management Musterbasierter Ansatz für IT-Unternehmensarchitektur

4 xx Inhaltsverzeichnis 3 Zielmuster Business-IT-Alignment Bedeutung Dimensionen Zwischenbilanz Verbesserung der Ertragskraft und Kostenmanagement Verbesserung der Ertragskraft des Business Reduktion von IT-Kosten Optimierung mit Sourcing-Strategien Verbesserung Time-to-Market Verbesserung Kundenzufriedenheit Reduktion von Heterogenität Bewältigung von Fusionen Compliance, Sicherheit und Risikomanagement Managementprozessmuster IT-Strategieentwicklung Was ist eine Strategie? Ein kurzer Blick auf den Strategieprozess Wozu sollte eine IT-Strategie Aussagen machen? Herausforderungen bei der Umsetzung in der Praxis Der Maxime-Prozess Business-IT-Alignment herstellen mit Capabilities Was sind Capabilities? Investitionssteuerung mit Capabilities Wie kommt man zu einem sinnvollen Katalog von Capabilities? Wie kommt man zu den Bewertungen der Capabilities? Zwischenbilanz: Warum helfen Capabilities bei der strategischen Ausrichtung einer Anwendungslandschaft? Optimierung des Sourcings einer Anwendungslandschaft mit Capabilities Vergleich von Anwendungen mit Footprints Management des Anwendungsportfolios Grundlegende Begriffe zum Management des Anwendungsportfolios Management des Anwendungsportfolios als zyklischer Prozess

5 Inhaltsverzeichnis xxi 4.4 Erfassung der Ist-Anwendungslandschaft Umfang Typische Attribute für eine minimale Befüllung Erfassung von Schnittstellen: Ja oder Nein? Key Visual für die Anwendungslandschaft Tipps und Tricks Auswertungen des Anwendungsportfolios Anwendungslandschaft, Metriken und Dashboards Strategische Bebauungsplanung Grundsätzliches Vorgehen Erfassen der Anforderungen (Scoping) Analyse und Bewertung (Analysis) Erarbeiten der Zielbebauung Abstimmung (Design) Maßnahmenplanung (Plan Implementation) Zusammenfassung der strategischen Bebauungsplanung Management eines Serviceportfolios Managed Evolution Etablieren eines IT-Governance-Systems Was ist IT-Governance? Hierarchie von Governance-Systemen Stile von IT-Governance Hinzunahme des Unternehmenstyps Architektur-Governance Aufbauorganisation der IT-Governance und Architektur-Governance Entwicklung und Durchsetzung von Richtlinien Monitoring des Projektportfolios Projektbegleitung Über Reviews im Rahmen der Projektbegleitung SOA-Governance Schichten Operationale und technische SOA-Governance Business-Motivation für SOA Management von Fusionen Die Leiter der Integration Grundmuster von Anwendungskonsolidierungen Reduktion von Heterogenität

6 xxii Inhaltsverzeichnis 5 Sichten und Informationsmodelle Softwarekartografie als Grundlage der Systematisierung Typen von Softwarekarten Clusterkarten Prozessunterstützungskarten Intervallkarten Karten ohne Kartengrund Viewpoints und Viewpoint-Patterns Viewpoints in IEEE 1471 und TOGAF Viewpoint-Patterns Diskussion der Pattern-Qualität Informationsmodelle Das TOGAF Content Metamodel Hybride Wikis als Repository für IT-Unternehmensarchitektur Von Gloria Bondel und Prof. Dr. Florian Matthes 6 Compliance Was ist»compliance«? IT-Compliance im Kontext von Enterprise Compliance Exemplarische Compliance-Themen für die IT Basel II und III Solvency II Der Sarbanes-Oxley Act (SOX) KonTraG Aufbewahrungsfristen s sind archivierungspflichtig Stilllegung von DV-Systemen COBIT und Compliance Beispiel aus APO02 Managen der Strategie Beispiel aus APO03 Managen der Unternehmensarchitektur Der Clinger-Cohen Act

7 Inhaltsverzeichnis xxiii 7 IT-Sicherheit 219 Von Florian Oelmaier 7.1 Bedarfsgerechte Sicherheit Dimensionen von IT-Sicherheit Sicherheit: Security & Safety Grundwerte der Sicherheit Daten versus System/Verarbeitungslogik/Code Kategorien von Sicherheitsanforderungen Anforderungsquellen Technologie Organisation Prozesse Gesamtes Netzwerk Gehäuse, Hardware und Software Lebenszyklen einzelner Komponenten Wiederverwendung & Konfigurierbarkeit Betrachtung der Wertschöpfungskette Dienstleisterketten und Geschäftspartner, Berater End-to-End-Kommunikationswege Multinationaler Einsatz End-to-End in der Softwareentwicklung End-to-End im Betrieb Zwischenfazit Organisation zur IT-Sicherheit Sicherheit als Prozess Ebenen der IT-Sicherheit Andere Akteure der IT-Sicherheit Aufgaben der Unternehmensarchitektur Management der Informationssicherheit Sicherheitsstrategie Schutzbedarfs- oder Bedrohungsanalyse Schutzbedarfsanalyse Bedrohungsanalyse Prävention für Forensik & Notfallprozesse Entdeckung von Sicherheitsvorfällen Technische Vorbereitungen Rechtliche Vorbereitungen Vorgehensweise bei einem IT-Sicherheitsvorfall Prozedur für Ersthelfer Dokumentation, Test und Verifikation

8 xxiv Inhaltsverzeichnis 7.9 Aufgaben für IT-Unternehmensarchitekten Sicherheitsbebauung Typische funktionale Sicherheitsmaßnahmen Rollen und Rechte Logging Privacy by Design, Privacy by Default Updates, Apps, Sandboxing Typische nicht funktionale Sicherheitsmaßnahmen Modellierung von Schutzzonen Risikobewusste Einbindung von Anwendungen in die Netzwerkinfrastruktur Verschlüsselung auf Applikationsebene Verschlüsselung auf Netzwerkebene Einbindung in Infrastruktur- und Betriebssicherheit Sicherheitsbewusstes Codedesign IT-Risikomanagement Was ist Risikomanagement? Management von Risiken mit Total Risk Profiling Risikoregister für Anwendungen IT-Risikomanagement-Framework Risk IT Makro-Architekturmuster Blueprints und Architekturrichtlinien Abstützen auf Standards Beschreibungsmittel Marchitecture: der Marketingaspekt Beispiel: Facharchitektur für Versicherungen Beispiel zur Beschreibungstiefe einer Facharchitektur Einsatz und Nutzen einer Facharchitektur Abgrenzung zu Informationsarchitekturen Verwendung der Facharchitektur für die Bebauungsplanung Beispiele für technische Architekturmuster Beispiel: SOA Von Dirk Slama und Ralph Nelius Beispiel: Blueprint für Internetanwendungen Beispiel: Microservices und REST

9 Inhaltsverzeichnis xxv 10 Frameworks für IT-Unternehmensarchitektur Ordnungsrahmen für EAM- und IT-Management-Frameworks TOGAF 9.x Die Sicht von TOGAF 9.x auf IT-Unternehmensarchitektur Der Kern von TOGAF: die»architecture Development Method«(ADM) Abgleich von TOGAF mit Prozessclustern der IT-Unternehmensarchitektur Abdeckung weiterer Aufgabenbereiche durch TOGAF Sonstige nützliche Aspekte von TOGAF Künftige Versionen von TOGAF Zachman-Framework IT-Management-Frameworks COBIT Grobstruktur des COBIT-Prozessmodells Nutzen von COBIT für IT-Unternehmensarchitekten ITIL Werkzeuge für Enterprise Architecture Management Abwägungen beim Werkzeugeinsatz Umfang eines integrierten IT-Planungswerkzeugs Zu unterstützende Prozesse der IT-Unternehmensarchitektur Sonstige Prozesse des IT-Managements Schnittstellen eines IPIT zu anderen Arten von Werkzeugen Weitere funktionale Anforderungen an IPITs Nicht funktionale Anforderungen an IPITs Möglicher Umfang von Planungswerkzeugen Werkzeuge mit maximalem Umfang: das umfassende Informationssystem für die IT-Funktion? Werkzeuge mit realistischem Funktionsumfang: IPIT Werkzeuge mit mittlerem Funktionsumfang: Aufsätze auf bestehenden Lösungen Werkzeuge mit geringem Funktionsumfang: Ad-hoc-Werkzeuge nur für Bebauungsplanung Herkunft der Werkzeuge Marktsituation

10 xxvi Inhaltsverzeichnis 13 Lean und Agile EAM Lean und IT-Unternehmensarchitektur Lean-Prinzipien Lean auf Prozesse der IT-Unternehmensarchitektur anwenden Die Tätigkeit: agile Praktiken auf EAM-Prozesse anwenden Agiles Manifest und agile Prinzipien Abgleich Lean und Agile Das Substantiv: agile Softwarearchitektur Pragmatische Vorgehensweisen Angemessenes Budget für IT-Unternehmensarchitektur Zahlt sich IT-Unternehmensarchitektur aus? Wie groß sollte eine Architekturgruppe sein? Wie viel Ordnung muss sein? Wie sorgt man für die Reduktion von Komplexität? Wie viel Ordnung ist gut? Gibt es zu viel Ordnung? Gefahren für Unternehmensarchitekten Exkurs: Organisationsmuster für die IT-Funktion Auf die Beschaffungsseite fixierter IT-Vorstand Organigramm alten Stils Hierarchiedenken Chicken Race Mangelnde Offenheit Verzetteln: keine klare Strategie Inkonsequenz Zusammenarbeit mit Lösungsarchitekten Warum macht der IT-Unternehmensarchitekt nicht meine Projektarchitektur? Das Kostendilemma der Wiederverwendung Tipps und Tricks Architekturtickets Radar-Chart-Methode Chefmanagement

11 Inhaltsverzeichnis xxvii 15 Einführungspfade für IT-Unternehmensarchitektur IT-Unternehmensarchitektur für Großunternehmen Einführungspfade für IT-Unternehmensarchitektur mit und ohne Topmanagement-Unterstützung Wege in Konzernen mit dezentralen IT-Einheiten Ausblick 423 Anhang 429 A Checkliste für Richtlinien, Vorstudien und Architekturdokumente 431 A.1 Wer kann diese Checkliste verwenden und warum? A.2 Zu Beginn A.2.1 Reviewen ist eine Dienstleistung für den Autor A.2.2 Schreiben ist eine Dienstleistung für den Leser A.3 Kontrollfragen A.3.1 Kontrollfragen zur Geschichte, die das Dokument wiedergibt A.3.2 Formalia B Textauszüge 437 B.1 Auszug SOX Sections 302 und B.2 Auszug AO (Abgabenordnung) C Abkürzungsverzeichnis 441 D Glossar 447 E Literatur 455 Stichwortverzeichnis 467