Für ein perfektes Zusammenspiel zwischen Service Request und Access-/Identity Management

Größe: px
Ab Seite anzeigen:

Download "Für ein perfektes Zusammenspiel zwischen Service Request und Access-/Identity Management"

Transkript

1 Service Request und Access-/Identity Management Für ein perfektes Zusammenspiel zwischen Service Request und Access-/Identity Management Sonderdruck aus itsm Heft Nr. 25 September 2013 Peter Bergmann Klaus Kirchner Oliver Hast User Access Management ist noch immer eine ungeliebte Disziplin. Wenig integrative Abläufe und ein hoher Anteil manueller Arbeit in der Administration kennzeichnen den unbefriedigenden Status in vielen Unternehmen. Die Autoren arbeiten die organisatorischen Zusammenhänge, ausgehend von Business Rollen über ein Regelwerk bis hin zu intelligenten Implementierungen auf. Sie zeigen konzeptionell und mit einem Anwendungsbeispiel, dass die hohen regulatorischen Anforderungen durchaus bedient und die enorme Zahl von Änderungstransaktionen durch einen hohen Automatisierungsgrad bis hin zu einer Zero Administration sicher und zuverlässig bewältigt werden können. So oder so ähnlich könnte es in Ihrem Unternehmen auch sein Always online sofort und ohne Einschränkungen spiegelt aktuell die Erwartungshaltung von IT- Nutzern in Unternehmen wider. Die starke Vernetzung der Anwender mit den unterschiedlichsten Anwendungen und Unternehmensinformationen lässt fast schon keinen (Ein)-Widerspruch mehr zu. Wer da mal eben auf Rollen, Profile und Rechte besteht, stört nur; ist unverbesserlich. Dabei birgt gerade der permanente Zugriff auf digital abgelegte Datenbestände die Gefahr des Missbrauchs und der Manipulation. Um Konflikten aus dem Weg zu gehen, wird lieber mal das allumfassende Administrationsrecht ungeduldigen Anwendern eingeräumt; denn Einschränkungen durch Berechtigungsprofile bedeuten nur mehr Arbeit und endlose Diskussionen. Noch besser fühlen sich jene Anwender, die wegen der nicht vorhandenen bzw. ungeklärten Profilvorgaben gleich Ineffizienz oder die totale Arbeitsunfähigkeit reklamieren. Natürlich nur solange, bis sie endlich die umfänglichen Rechte erhalten haben. Anzutreffende Normalität ist immer noch die manuelle Vergabe von Zugängen bzw. Berechtigungen; Tippfehler inklusive. Es kann dann schon einmal vorkommen, dass Anwender sich im Unternehmen an unterschiedliche Usernames zu gewöhnen haben Schmidt mit dt (oder doch nicht?), mit ie (oder war es mit einem h?). Häufig unter Zeitdruck werden ein paar Rechte bzw. Zugänge vergeben, die weder dokumentiert noch genehmigt, potentielle Scheunentore für ungeregelten Zugriff oder gar Missbrauch werden können. Ein durchaus richtiger Umstand, der gerade in größeren Unternehmen anzutreffen ist, ist die verteilte Verantwortung in der Systemadministration. Das gilt insbesondere für das User Access Management. Auch wenn die Gewaltenteilung Missbrauch erschwert, so steckt dahinter meist keine Absicht. Denn verteilte Verantwortlichkeiten sind eher das Ergebnis einer starren Organisation und nicht von der Idee getrieben, die Vergabe von Rechten und Zugängen auf mehrere Schultern zu verteilen und damit mehr kritische Prüfungen zu erzwingen. Gerade deshalb lässt sich das User Access Management sehr häufig als unklar und intransparent beschreiben. Und was einmal eingerichtet wurde, bleibt meistens auch so: Don t touch user rights!. Wer fragt schon danach, ob Anwender mit simplen SQL-Statements sich umfassende Berichte erstellen und diese unkontrolliert weitergeben können (dürfen?). Nur in wenigen Unternehmen vor allem in regulierten Branchen wie

2 2 Service Request und Access-/Identity Management Banken, Versicherungen oder in der Pharma-Industrie prüfen Dritte, also unabhängige Instanzen regelmäßig und konsequent das User Access Management. Bleibt noch der als SPoC (Single Point of Contact) installierte Service Desk: Im Sinne der Kundenzufriedenheit werden Anforderungen für Systemzugänge oder erweiterte Rechte ganz unkompliziert abgearbeitet. Wie die Erfahrungen zeigen, werden in nur wenigen Unternehmen Vorgänge, also Tickets, für Arbeiten im Berechtigungsmanagement so dokumentiert, dass nachvollziehbare Analysen über Anforderung, Genehmigung und Ausführung möglich sind. Fragen über Fragen Nicht nur in informationssensiblen Unternehmen sollten die Verantwortlichen recht genau wissen, wer in welchem Umfang Zugang zu Anwendungen bzw. Datenbeständen hat. Immer öfter werden Ausschreibungen nur dann gewonnen, Aufträge nur an Unternehmen vergeben, wenn der Nachweis der Compliance, vor allem im Identity- und Access Management, erbracht werden kann. Um es deutlich zu sagen: Die Umsetzung der regulatorischen Anforderungen obliegt nicht primär der Unternehmens-IT, sondern ist eine Aufgabe der Unternehmens-Leitung, die wiederum auf die Hilfe der IT angewiesen ist. Identity- bzw. Access Management ist kein Selbstzweck, sondern dient der rein fachlichen Umsetzung der Vorgaben aus der Geschäftstätigkeit des Unternehmens. Die Probleme in der Praxis treten oftmals genau dann auf, wenn wegen der administrativen Pflege im Rahmen des Berechtigungsmanagements auch gleich die alleinige Gesamtverantwortung für das User Access Management an die Unternehmens-IT übertragen wird. Aber eines ist gewiss: es kommt der Moment, an dem ein Auditor / Revisor oder gar ein Sicherheitsvorfall Auslöser für ganz valide Fragen ist, auf die die Verantwortlichen belastbare Antworten liefern müssen: Wissen Sie, wer sich an Ihren Systemen anmelden darf? Wer hat das genehmigt? Können Sie nachvollziehen, wer die Anforderungen ausgelöst und genehmigt hat? Kennen Sie die Rechte (Profile) aller Anwender in allen Ihren Systemen? Welche int./ext. Mitarbeiter, Praktikanten, Lieferanten usw. arbeiten für Sie? Wie viele Mitarbeiter haben aktuell bei Ihnen administrative Rechte? Welche Mitarbeiter wären das, die Kontrollen umgehen könnten? Greifen ausgeschiedene Mitarbeiter weiterhin auf Ihre Unternehmensdaten zu? Besitzen Sie mehr Lizenzen als Mitarbeiter? Ist das ein Problem für Sie? Kennen Sie einen inoffiziellen Weg, um an Berechtigungen zu kommen; verraten Sie ihn? Haben Sie geheiratet? Wie lange dauert es, bis alle Accounts aktualisiert sind? Wie viele Mitarbeiter sind an der manuellen Pflege von Berechtigungen aktiv beteiligt? Wenn Ihre Wirtschaftsprüfer danach fragen, welche Antworten haben Sie? Der Pflegeaufwand wird durch neu hinzukommende Systeme und gleichzeitig stärker werdende Fluktuation im Unternehmen exponentiell steigen. Die immer engeren Kooperationen und ständig wechselnde Geschäfts- und Outsourcingpartner führen zu einem Wirrwarr an Profilen, Berechtigungen und User- Accounts. Hinzu kommen die Generation Praktikum, immer neue Projekte mit Externen sowie regelmäßige Reorganisationen. Berücksichtigt man nun noch Berater, Interim Manager sowie Wirtschaftsprüfer und Provider mit ihren unterschiedlichen Arbeitsanforderungen, dürfen sich jene Unternehmen glücklich schätzen, die heute schon ein funktionierendes Identity- und Access Management implementiert haben. Es braucht das Bewusstsein, dass sich Berechtigungen nur in einem Lebenszyklus verwalten lassen, dass klar geregelte Verantwortungen notwendig sind und eine angemessene Automation beim Identity Access Management erforderlich ist. Mit diesem Verständnis wird es möglich, die ausufernde Komplexität zu beherrschen. Dann lassen sich Latenz- und Durchlaufzeiten zur Bearbeitung von Berechtigungsanfragen und die Dauer von Auditierungen reduzieren und schlussendlich operative Risiken durch inkorrekte Berechtigungen minimieren. Erst dann wird es möglich sein, ausufernde Komplexität zu beherrschen. Nur in diesem Gesamtverständnis lassen sich Latenz- und Durchlaufzeiten zur Bearbeitung von Berechtigungsanfragen und Vorbereitung bzw. Durchführung von Auditierungen reduzieren und schlussendlich operative Risiken durch inkorrekte Berechtigungen minimieren. itsm Heft 25 September 2013

3 Service Request und Access-/Identity Management 3 Gesetze, Vorgaben und Empfehlungen Auch wenn für Branchen mit hohen Sicherheitsansprüchen dedizierte Regeln und Vorgaben gelten, so lassen sich die Prinzipien einer IT-Compliance auf alle Unternehmen übertragen. Der Gesetzgeber in Deutschland hat vorgebaut und mit dem Bundesdatenschutzgesetz, dem Telekommunikationsgesetz und mit den Grundsätzen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) für alle Branchen strikte Vorgaben erlassen. Compliance Der Begriff Compliance steht für die Einhaltung von gesetzlichen Bestimmungen, regulatorischer Standards und Erfüllung weiterer, wesentlicher und in der Regel vom Unternehmen selbst gesetzter ethischer Standards und Anforderungen. Zitat: Eberhard Krügler Quelle: wikipedia.de Das Identity und Access Management (IAM) sah sich stets wachsenden regulatorischen Anforderungen gegenüber. Und es ist weiterhin mit der Erhöhung der Frequenz loser Einzelprüfungen und komplexer Validierungen zu rechnen. Gefordert sind nun hochgradig automatisierte und durchgängig gestaltete Prozesse. Dabei dürfen sich Prozesse und die Rechtevergabe verkomplizieren. Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme Regulatorische Anforderungen für alle Branchen legt bspw. das Finanzministerium über die Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) für alle Unternehmen fest. Diese sind 1995 erstmals veröffentlicht worden und werden seit 2005, geführt durch eine Projektgruppe der Arbeitsgemeinschaft für wirtschaftliche Verwaltung (AWV), regelmäßig überarbeitet. Die GoBS beschäftigen sich auch mit Verfahrenstechniken wie Scannen und Datenübernahmen und enthalten die Vorgaben für die Verfahrensdokumentation, die zum Nachweis des ordnungsmäßigen Betriebes der Systeme erforderlich sind (weitergehende Informationen findet sich unter Beispiel Banken und Finanzdienstleister Für das Identity und Access Management in Banken und bei Finanzdienstleistern macht der Gesetzgeber Vorgaben, die über Mindestanforderungen an das Risikomanagement (MaRisk) an die Unternehmen adressiert werden. Die allgemeinen und besonderen organisatorischen Pflichten für Finanzinstitute aus dem Kreditwesengesetz (KWG) sind darin konkretisiert. Besonders hilfreich für ein revisionssicheres User Access Management ist im Banken- und Finanzumfeld die Kenntnis der Mindestanforderungen an das Risikomanagement, abgekürzt MaRisk. Diese Vorgaben sind detailliert und prüfungsfest, und sollten daher auch in anderen Branchen berücksichtigt werden. MaRisk Die Mindestanforderungen an das Risikomanagement, abgekürzt MaRisk (BA), sind Verwaltungsanweisungen, die mit einem Rundschreiben der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) für die Ausgestaltung des Risikomanagements in deutschen Kreditinstituten veröffentlicht wurden. Sie wurden von der BaFin erstmals mit Rundschreiben 18/2005 vom MaRisk: Relevante Auszüge aus dem Rundschreiben der BaFin AT 5: Organisationsrichtlinien [Es ist] sicherzustellen, dass die Geschäftsaktivitäten auf der Grundlage von Organisationsrichtlinien betrieben werden (z. B. Handbücher, Arbeitsanweisungen oder Arbeitsablaufbeschreibungen). AT 6 Dokumentation Geschäfts-, Kontroll- und Überwachungsunterlagen sind systematisch und für sachkundige Dritte nachvollziehbar abzufassen und [ ] aufzubewahren. Quelle: rs_1210_marisk_ba.htm AT 7.2 Technisch-organisatorische Ausstattung Die IT-Systeme [ ] und die zugehörigen IT-Prozesse müssen die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten sicherstellen. Für diese Zwecke ist bei der Ausgestaltung der IT-Systeme und der zugehörigen IT-Prozesse grundsätzlich auf gängige Standards abzustellen, insbesondere sind Prozesse für eine angemessene IT-Berechtigungsvergabe einzurichten, die sicherstellen, dass jeder Mitarbeiter nur über die Rechte verfügt, die er für seine Tätigkeit benötigt; die Zusammenfassung von Berechtigungen in einem Rollenmodell ist möglich. Die Eignung der IT-Systeme und der zugehörigen Prozesse ist regelmäßig von den fachlich und technisch zuständigen Mitarbeitern zu überprüfen.

4 4 Service Request und Access-/Identity Management 20. Dezember 2005 veröffentlicht und zuletzt am 14. Dezember 2012 durch das Rundschreiben 10/2012 (BA) geändert. Quelle: Bundesanstalt für Finanzdienstleistungsaufsicht n.de Lösungsansätze in der Diskussion Vergegenwärtigt man sich mögliche Lösungsansätze, so wird schnell klar, dass vor allem organisatorische Aufgabenstellungen zu bewältigen sind. Die technische Implementierung spielt dabei eine untergeordnete Rolle. Im Folgenden konzentrieren wir uns deshalb auf wesentliche Aspekte des zu entwickelnden Fachkonzepts, welches die Herausforderungen an ein regelkonformes User Access Management in der Gesamtheit abdeckt. Zunächst muss das Anforderungsgerüst klar benannt und mit allen Beteiligten abgestimmt sein. Dazu ist ein möglichst konkretes Bild zum aktuellen User Access Management zu erarbeiten. Die folgende Checkliste unterstützt mit möglichen Fragestellungen die IST-Analyse: Unterliegt das Unternehmen regulatorischen Vorgaben? Gelten somit spezielle gesetzgeberische bzw. branchenbezogene Vorgaben, die zwingend zu berücksichtigen sind? Gibt die Unternehmensorganisation für alle Bereiche, Abteilungen oder Standorte verbindliche Organigramme, Kostenstellen- und Gebäudepläne heraus? Welche Business Rollen gibt es bereits im Unternehmen? Wie werden diese beschrieben? Organisieren und vereinfachen Sie bereits die Verwaltung von Rollen, Identitäten, Systemen und Organisationseinheiten in Entitäten (Gruppen)? Abbildung 1: Schematische Abbildung des Integrationsmodells Welche Organisationseinheiten tragen für welche Entitäten/Identitäten die Verantwortung? Wer ist für deren Pflege im Unternehmen verantwortlich? Existiert bereits ein Regelwerk zur Weitergabe bzw. Verteilung von Informationen in Bezug auf Entitäten/Identitäten? Wer ist für den Erhalt und die Entwicklung des Regelwerks verantwortlich? Verfügt die Organisation definierte Verfahren zur Pflege von Entitäten/Identitäten und Berechtigungsprofilen in Anwendungssystemen? Unterliegen diese Verfahren einem Mehraugenprinzip? Finden regelmäßig Überprüfungen zur Zuverlässigkeit des Verfahrens statt? Existieren eine direkte Kopplung zum Service Management und damit eine ticketbasierte Steuerung von allen Veränderungsvorgängen? Können Anforderungen, Genehmigungen und Veränderungen zum User Access Management historisch nachvollzogen werden? Es kristallisieren sich bereits erste Schwerpunkte einer belastbaren User Access Management Lösung heraus. Die Abbildung 1 zeigt das Integrationsmodell in der Übersicht, welches das Grundverständnis für die der folgenden Lösungsbesprechung bildet. Das Service- und das Identity-/Access Management zwei Säulen einer Lösung Auf der Seite des Service Managements setzt das Konzept auf einen ausgereiften Servicekatalog mit Geschäftsvorfällen für das IAM auf. Initiieren dürfen berechtigte Anwendergruppen Änderungsvorgänge, die über den gesamten Lebenszyklus hinweg Identitäten anlegen bzw. verändern und publizieren (provisionieren). Das jeweils dazu parallel laufende Ticket dokumentiert exakt im ITSM-System, WAS verändert wurde. Das Identity- und Access Management System beinhaltet hingegen das Regelwerk, also WIE der Informationsfluss der Veränderungen stattfindet. Unter anderem legen Vorgaben im Regelwerk fest, welche Prozesse angestoßen werden. Über Parameter erhalten Prozessinstanzen Eigenschaften, die die mit Änderungsinformationen zu versorgenden Anwendungen/Systeme festlegen. Flexibel eingerichtet kann ein Pflegevorgang von jedem der angeschlossenen Systeme aus gestartet werden. Dreh- und Angelpunkt ist das Regelwerk des Identity-/Access Management Systems, abgebildet in einem eigenen Verteilungssystem. Wahlweise kreiert dieses System per Event ein Ticket im ITSM-System oder ein Anwender einer berechtigten Gruppe startet aus einem Service Request Management (SRM) heraus per Ticket einen Änderungsvorgang. itsm Heft 25 September 2013

5 Service Request und Access-/Identity Management 5 Als Grundverständnis des Zusammenspiels dient nach dem ITIL -Framework *1) der Prozess Request Fulfillment aus der Service Operation. Nach Abbildung Nr. 2 wird jede Änderung, unabhängig der Herkunft, durch eine Anfrage (Request) gestartet und durchläuft die Phasen Genehmigung, Verteilung und Abnahme. Einzelaspekte des Lösungskonzepts Als Voraussetzung des Lösungsverständnisses verdeutlicht die Abbildung 3 die Verwurzelung in das Organisationsmanagement. Business Rollen sind hier der Ausgangspunkt für das User Access Management in den Unternehmen. Verlassen wir einmal die grundsätzliche Flughöhe und schauen wir uns die Elemente des Konzepts im Detail an. Die Einzelbetrachtungen verstehen sich als notwendige Voraussetzungen für die Gesamtlösung: Das Organisation Management ist als zentrale Plattform für Personen- und Organisationsdaten eine Grundlage für ein automatisiertes Identity und Access Management. Bestandeile können Personalstammdaten, Kostenstellen, Kommunikationsdaten oder die Unternehmensorganisation für Abteilungen, Strukturen oder Standorte sein. Hinzu kommen Kontaktinformationen für externe Mitarbeiter, Auszubildende, Praktikanten, Lieferanten und sonstige Geschäftspartner. Das Identity Management besteht zunächst aus Entitäten. Diese können zum Beispiel Personen, Organisationseinheiten, Funktionen, Rollen, Anwendungen/ Systeme, Accounts oder Standorte sein. Jede dieser Entitäten unterliegt einem eigenen Lebenszyklus. Identitäten repräsentieren jeweils eine Entität. So wird ein Mitarbeiter der Entität Person zugeordnet. Identitäten unterliegen ebenso einem eigenen Lebenszyklus. Das Access Management (neben dem Request Fulfillment und dem Event Management ein weiterer ITIL Prozess aus der Service Operation) legt fest, wie jemand zu seinen Systemrollen bzw. Berechtigungen kommt. Es setzt auf Berechtigungsprofile vorhandener Anwendungen auf und nimmt lediglich die Zuordnung, Veränderung oder Sperrung von Berechtigungen/Rollen/ Profilen zu/von Anwendern (Usern) vor. Nachhaltige Implementierungen sehen zyklische Re- Zertifizierungen für das Access Management vor und erlauben einen hohen Automationsgrad der Änderungsprozesse. Aufgrund der engen Verknüpfung mit den Business Rollen kennt das Access Management alle Accounts von Personenidentitäten. Das Regelwerk im Identity- /Accessmanagement definiert alle Verteilungsprinzipien von Identity- oder Access Informationen. Es kennt alle Entitäten sowie deren Stamm- und zusätzliche Attributinformationen sowie die hierarchischen Festlegungen für die Informationsflüsse. Insbesondere steuern die Regelwerke das Zusammenspiel der unterschiedlichen Lebenszyklen und stoßen zwischen dem Organisationsmanagement und dem Identity Management Veränderungen einzelner Identitäten an. Das Service Asset und Configuration Management (SACM) ist eine weitere Voraussetzung für das Zusammenspiel mit dem Identity-/Access Management. Intelligente Workflows zweigen in die Configuration Management Database (CMDB) ab und prüfen vor der Verteilung (Veränderung) den aktuellen Status der zu versorgenden Anwendungen/Systeme. Damit wird sichergestellt, dass keine stillgelegten Anwendungen/ Systeme mehr verändert werden. Bereits durchgeführte bzw. abgeschlossene Revisionen behalten somit ihre Gültigkeit. Der Servicekatalog als zentrales Instrument im Service Management wird mit Geschäftsvorfällen für die Abdeckung von Änderungsanforderungen für Identitäten vervollständigt. Als grundlegende Geschäftsvorfälle verstehen sich Neuanlage, Veränderung (allgemein oder attributspezifisch), Sperrung bzw. Austritt, wobei auch weitere Vorfälle zur Umsetzung geschäftlicher Anforderungen vorstellbar sind. Abbildung 2: Integration von Service Request und Access Management Für das Zusammenspiel mit dem Identity-/Access Management wird mit eigenen Geschäftsvorfällen der Bereich der Service Requests erweitert, so dass im ITSM-System Ereignisse für die Generierung von *1) ITIL ist eine registrierte Marke von Axelos Limited

6 6 Service Request und Access-/Identity Management Tickets abgebildet werden können. erheblich das Potential manuell verursachter Fehler. Das Event Management im Service Management definiert Ereignisse, mit denen Prozesse instanziiert werden. Ein Ereignis vereint Informationen zum Servicetyp, zum Geschäftsvorfall, zum Prozess- bzw. Tickettyp, zu möglichen Workflows und zu SLAs mit KPIs, Prioritäten und Gewichtungen. Im Zusammenspiel zwischen dem Service Request und dem Identity-/Access Management kann die Ticketeröffnung im ITSM-System oder aus einer vorgenommenen Änderung an einer Identität in einem der angeschlossenen Quellsysteme entsprechend dem Regelwerk heraus automatisiert erfolgen. Konsequent umgesetzt, werden alle Änderungsvorgänge im ITSM-System mit einem Ticket protokolliert, sodass später nachvollzogen werden kann, wer Anfragen gestellt, die Genehmigungen erteilt und die Änderungen (sofern manuell, ansonsten via Workflow) durchgeführt hat. Darüber hinaus lassen sich durch das Protokollieren (loggen) von möglicherweise unberechtigten Zugriffsversuchen leichter Sicherheitsvorfälle oder Regelverstöße identifizieren. Die Systemhierarchie/-landschaft legt mögliche Informationsflüsse fest und bindet alle relevanten Anwendungen/Systeme in die Verteilung von Identity-/Access Informationen ein. Je nach der Architektur des Verteilungssystems werden Änderungsinformationen von den Quellsystemen direkt oder von Übergabestellen abgeholt und ausgewertet. Initiiert werden kann ein Verteilungsvorgang durch eine Änderung oder durch ein Service Request Ticket aus dem Service Desk heraus. Die technische Verteilung nehmen Konnektoren vor, die hochgradig automatisiert eine nahezu Zero Administration erlauben. Damit reduziert sich Nutzenbetrachtung der Gesamtlösung IT-Organisationen verfügen inzwischen flächendeckend über ITSM-Infrastrukturen und sind so organisiert, dass fällige Erweiterungen für das Zusammenspiel mit dem Identity-/Access Management problemlos und mit geringem Aufwand bewerkstelligt werden können. Der Service Desk wird in die Lage versetzt, eingegangene Aufträge als reguläre Service Requests zu behandeln und in Tickets umzuwandeln. Gleiches trifft für Anwendergruppen mit Self Service Berechtigungen ebenfalls zu. Vollständig implementiert weist das User Access Management keine Lücken bzgl. der Bearbeitung von Anfragen auf. Die Abbildung 4 verweist auf die direkte Integration von Organisations- und sonstigen Stammdaten in die Verwaltung von Identitäten und Regeln. Neu ist in dieser Lösung die Verknüpfung über einen Service Katalog und den Berechtigungsanfragen mit dem Service Request Management. Die Interaktionen zwischen dem ITSM- und dem Verteilungssystem sichern vor Berechtigungsvergaben, dass jeder Vorgang ticketbasiert dokumentiert wird. Moderne ITSM-Systeme erlauben das automatisierte Öffnen und ggf. Schließen von Tickets, die von Veränderungen über das Verteilungssystem ausgelöst wurden. Laut den Vorgaben des Regelwerks werden automatisiert die Verteilungsszenarien gestartet. Es können Einzelaktivitäten (Änderungen) oder auch komplexe Workflows mit Genehmigungsinstanzen aufgerufen werden. Je nach Art um Umfang der aufgerufenen Ereignisse beinhalten die Einzelaufgaben letztlich nur die zum jeweiligen Zeitpunkt notwendigen Interaktionen, typischerweise als Webservices ausgelegt, mit dem ITSM-System. Als problematisch, und dem Anspruch einer weitgehenden Zero Administration zuwider, erweisen sich Anwendungen/Systeme, die Pflegearbeiten an Berechtigungen von außen (z. B. toolunterstützt) gar nicht zulassen. Schon aus architektonischen Gründen sollten Überlegungen einer Konsolidierung angestellt werden. Berücksichtigt man die konsequente Umsetzung aller Handlungsempfehlungen, erntet das Unternehmen die Früchte der Anstrengungen. Die Vorteile liegen auf der Hand: Abbildung 3: Logischer Aufbau/Ablauf von Business-Rollen bis zu Systemberechtigungen itsm Heft 25 September 2013

7 Service Request und Access-/Identity Management 7 Abbildung 4: Prinzipielles Schichtenmodell Zugriffe bzw. Zugänge für jede/s Anwendung/System sind geregelt, bekannt und können jederzeit und hochgradig automatisiert verändert werden; zyklische Re-Zertifizierungen sorgen dafür, dass die unternehmensspezifischen Anforderungen an die Compliance erfüllt werden; die Unternehmens-IT bzw. die Verantwortlichen für das Berechtigungswesen werden stark entlastet; die Zugänge und die Benutzerkonten ausscheidender Mitarbeiter werden vollständig und automatisiert deaktiviert; alle Änderungsvorgänge werden protokolliert und sind nachträglich auswertbar; die Einhaltung der Compliance und spezifischer Vorgaben kann lückenlos nachgewiesen werden. Anwendungsbeispiel mit der syscovery Savvy Suite Insbesondere die Finanzbranche, ITK Anbieter und Energieversorger unterliegen strengen gesetzlichen Rahmenbedingungen und haben daher besondere Anforderungen an ein zuverlässiges Identity-/Access Management. Dieses muss einer hohen Dynamik, resultierend aus inhomogenen Landschaften und einer großen Fluktuation der Identitäten und ihrer Berechtigungen Rechnung tragen. hinweg geht. Das Integrationsmodell für IAM Lösungen ist daher an unabhängigen, aber gleichzeitig über Regeln miteinander verknüpfbaren Lebenszyklus-Prozessen ausgerichtet. Im Rahmen des Integrationsmodells vergleicht die Savvy Suite Soll-Bestände aus den gesetzten Personalsystemen (HR) mit den im eigenen Organisationsmanagement geführten Identitäten, erkennt Änderungen und löst die mit dem Kunden konzeptionierten Identity-Prozesse aus. Neben den automatisch ausgelösten Life-Cycle-Prozessen bieten Webmasken den Anwendern zusätzliche Einstiegspunkte für Änderungsprozesse, die sich aus HR Systemen nicht automatisch ableiten oder nicht in anderen führenden Systemen verwaltete Personen, wie zum Beispiel externe Mitarbeiter, betreffen. Über Regelwerke leiten sich SRM-Prozesse für Accounts oder sonstige IT Services sowie Access Management Prozesse automatisch aus dem Identity Life-Cycle-Prozess ab. Nicht alle Änderungsabläufe lassen sich aufgrund von Regelwerken abbilden. Die Savvy Suite stellt dazu intelligente Kataloge bereit. Für den nicht IT-affinen Anwender bieten die Kataloge und Bestandssichten die Einstiegspunkte in entsprechende SRM und Access Management Prozesse. Die Abbildung 5 zeigt einen Assistenten zur Bestellung neuer Rollen für verwaltete Anwendungen. Je nach Kundeszenario, Services und Automatisierungsgrad erfolgt die Provisionierung (Verteilung) direkt in die entsprechenden Zielsysteme über systemnahe Fulfillment-Systeme oder über angebundene ITSM-Systeme. Ausgangspunkt aller in der Savvy Suite abgebildeten Lebenszyklen, Regeln und Prozesse sind die Entitäten und somit das verwaltete und transparente einzelne Viele Unternehmen setzen hierbei zur Abbildung regelkonformer Service Request Management (SRM) und Identity-/Access Management (IAM) Prozesse auf Basis standardisierter Servicekataloge das Produkt syscovery Savvy Suite der syscovery Business Solutions GmbH ein. Die Savvy Suite kommt insbesondere auch dann zum Einsatz, wenn es um ein sicheres Access Management und die Verknüpfung von Identity- und Access-Prozessen über den gesamten Lebenszyklus Abbildung 5: Savvy suite Anwenderfrontend

8 8 Service Request und Access-/Identity Management Business Objekt. Dieses kann ein(e) System/Anwendung, ein Mitarbeiter, ein Account, eine Organisationseinheit, ein Standort, eine Rolle oder Berechtigung sein. Berechtigungen, die nicht auf Grund von Regeln vergeben werden können, müssen dort beantragt und freigegeben werden, wo der Bedarf auftritt, ohne das durch Rückfragen oder manuelle Eingriffe zusätzlicher Aufwand entsteht. Während mehrstufige Genehmigungsprozesse gängige Praxis sind, nutzen viele Kunden weitere Mechanismen zur Einhaltung von Sicherheitsrichtlinien, wie zum Beispiel Re-Zertifizierungsprozesse. Um neben der Umsetzung der Sicherheitsrichtlinien auch Kostensenkungen durch effizientere Verwendung von Lizenzen und Accounts zu realisieren, werden organisatorische und zyklische Re-Zertifizierungsprozesse eingesetzt. Je nach Service sind die Mitarbeiter selbst, ihre Vorgesetzten, Applikation-Owner oder andere Rolleninhaber in diese Re-Zertifizierungen eingebunden. Die Erfahrungen aus abgeschlossenen Projekten zeigen, dass sich mit der Savvy Suite das skizzierte Lösungskonzept für ein regelkonformes User Access Management trotz hoher Individualität mit einer am Markt erhältlichen seit mehreren Jahren im Einsatz befindlichen Standardsoftware umsetzen lässt. Der Erfolg liegt hierbei in den Faktoren Automatisierung, Compliance und Transparenz. Bei Kunden zwischen 800 und über internen/externen Mitarbeitern und mit teilweise mehr als SRM und Access Management Transaktionen pro Monat, liegt ein wesentlicher Implementierungsschwerpunkt in den Schnittstellen zum Anwender. Elektronische Workflows unterstützen einen hohen Automatisierungsgrad und sorgen für weniger manuelle und fehleranfällige Abläufe. SPONSOR itsmf LIVE! Managed User Mehr Informationen unter: Tel Die Aretas GmbH und der Savvy Hersteller syscovery Business Solutions GmbH präsentieren Ihre Lösungen beim itsmf LIVE! Event Managed User am bei der Commerzbank in Frankfurt/Main Peter Bergmann führt als Experte und Ideenlieferant IT-Organisationen zu einer Anwender-orientierten Sicht-, Arbeits- und Denkweise. Im Mittelpunkt seiner Arbeit steht die Orientierung an systemischen Arbeitsformen und Prozessen. Ausgestattet mit einer Vision, Business Support Services ohne starre IT-Organisationen für Unternehmen greifbar zu machen, stärkt er vor allem Handlungsebenen im IT-Management und begeistert Mitarbeiter für neue Formen und Rollen im Service Management. Peter Bergmann, Geschäftsführender Gesellschafter der aretas München GmbH. Klaus Kirchner ist mit seiner branchenübergreifenden Erfahrung in den Themen IT Architektur und Service Lifecycle Management bei der syscovery Business Solutions GmbH als Business Architect tätig. Aktuell und im Rahmen verschiedener Vorträge beschäftigt er sich schwerpunktmäßig mit den Themen IT Governance und Service Lifecycle Management im Outsourcing. Seine berufliche Karriere startete er bei der syscovery im Jahr 2007 nach seinem Abschluss zum Diplom-Wirtschaftsinformatiker an der TU Darmstadt. Oliver Hast ist seit 1996 Unternehmensberater mit Schwerpunkten in der Entwicklung und der Anwendung von Organisationsmodellen in IT Organisationen. Zuletzt unterstützte er die Einführung von Verbesserungen im Projektmanagement nach CMMI in der Konzern IT der Volkswagen AG. Ausbildung, Zertifizierungen und Praxiserfahrung aus internationalen Projekten runden sein P r o fi la b. itsm Heft 25 September 2013

syscovery Savvy Suite Whitepaper Identity and Access Management

syscovery Savvy Suite Whitepaper Identity and Access Management syscovery Savvy Suite Whitepaper Identity and Access Management whitepaper identity und access management 0C Können Sie die Frage beantworten, welcher Mitarbeiter welche Art von Berechtigung hat? stellen

Mehr

Governance, Risk & Compliance für den Mittelstand

Governance, Risk & Compliance für den Mittelstand Governance, Risk & Compliance für den Mittelstand Die Bedeutung von Steuerungs- und Kontrollsystemen nimmt auch für Unternehmen aus dem Mittelstand ständig zu. Der Aufwand für eine effiziente und effektive

Mehr

your IT in line with your Business Geschäftsprozessmanagement (GPM)

your IT in line with your Business Geschäftsprozessmanagement (GPM) your IT in line with your Business Geschäftsprozessmanagement (GPM) Transparenz schaffen und Unternehmensziele effizient erreichen Transparente Prozesse für mehr Entscheidungssicherheit Konsequente Ausrichtung

Mehr

Informationssicherheit und Compliance-Erfüllung econet Der Weg zum sicheren Umgang mit Informationen und Zugriffsrechten Wohl nirgends in der IT sind gewachsene Strukturen riskanter, als in Dateisystemen

Mehr

syscovery Savvy Suite Whitepaper Service Lifecycle Management

syscovery Savvy Suite Whitepaper Service Lifecycle Management syscovery Savvy Suite Whitepaper Service Lifecycle Management whitepaper service lifecycle management 0C Können Sie die Frage beantworten, welcher Mitarbeiter welche Art von IT-Services hat? stellen sie

Mehr

Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten.

Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten. AT 9 der MaRisk Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten. MC-Bankrevision, www.mc-bankrevision.de Stand 18.04.2013 1 Outsourcing nach AT 9 der MaRisk

Mehr

CellCo integrated Rules & Regulations

CellCo integrated Rules & Regulations CellCo integrated Rules & Regulations Integrierte Kontrolle des System Change Management im SAP ERP CellCo ir&r: Die intelligente und integrierte Lösung für klare Regeln im System Es ist Best Practice,

Mehr

Integriertes Service Management

Integriertes Service Management Live Demo PPPvorlage_sxUKMvo-05.00.potx santix AG Mies-van-der-Rohe-Straße 4 80807 München www.santix.de santix AG Themen Beteiligte Prozesse Service Catalog Management Change Management Asset und Configuration

Mehr

IDENTITY & ACCESS MANAGEMENT. Marc Burkhard CEO

IDENTITY & ACCESS MANAGEMENT. Marc Burkhard CEO IDENTITY & ACCESS MANAGEMENT Marc Burkhard CEO Die drei wichtigsten Eckpfeiler Access Management Identity Management IAM Prozesse ACCESS MANAGEMENT Die Ebenen Identity & Access Management Applikation Directories,

Mehr

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014 : die Versicherung Ihres IT Service Management Christian Köhler, Service Manager, Stuttgart, 03.07.2014 Referent Christian Köhler AMS-EIM Service Manager Geschäftsstelle München Seit 2001 bei CENIT AG

Mehr

DURCHGÄNGIGE SAP CHANGE- UND RELEASE-PROZESSE EINFACH UMSETZEN

DURCHGÄNGIGE SAP CHANGE- UND RELEASE-PROZESSE EINFACH UMSETZEN THEGUARD! SMARTCHANGE CHANGE PROCESS DURCHGÄNGIGE SAP CHANGE- UND RELEASE-PROZESSE EINFACH UMSETZEN DURCHGÄNGIGE SAP CHANGE- UND RELEASE-PROZESSE EINFACH UMSETZEN THEGUARD! SMARTCHANGE I CHANGE PROCESS

Mehr

GÖRG Wir beraten Unternehmer.

GÖRG Wir beraten Unternehmer. GÖRG Partnerschaft von Rechtsanwälten München Berlin Essen Frankfurt/M. Köln München GÖRG Wir beraten Unternehmer. Unternehmerfrühstück 18. Februar 2009 C o m p l i a n c e IT - Compliance Rechtliche Aspekte

Mehr

Muster-Angebotsinformation

Muster-Angebotsinformation Muster-Angebotsinformation Einsatzanalyse SAP Berechtigungs-Management & Compliance 3-Tages Proof-of-Concept Seite 1 Inhalt 1 Management Summary... 3 1.1 Technische Rahmenbedingungen... 3 1.2 Ziele der

Mehr

Identity Management an der Freien Universität Berlin

Identity Management an der Freien Universität Berlin Elektronische Administration und Services Identity Management an der Freien Universität Berlin Transparenz und Effizienz für Exzellenz Dr. Christoph Wall Leiter elektronische Administration und Services

Mehr

wikima4 mesaforte firefighter for SAP Applications

wikima4 mesaforte firefighter for SAP Applications 1 wikima4 mesaforte firefighter for SAP Applications Zusammenfassung: Effizienz, Sicherheit und Compliance auch bei temporären Berechtigungen Temporäre Berechtigungen in SAP Systemen optimieren die Verfügbarkeit,

Mehr

KuppingerCole und Beta Systems untersuchen in aktueller Studie die Treiber von Identity Access Management und Governance in der Finanzindustrie

KuppingerCole und Beta Systems untersuchen in aktueller Studie die Treiber von Identity Access Management und Governance in der Finanzindustrie P R E S S E M I T T E I L U N G KuppingerCole und Beta Systems untersuchen in aktueller Studie die Treiber von Identity Access Management und Governance in der Finanzindustrie KWG und MaRisk sind die mit

Mehr

IT SERVICE MANAGEMENT IN DEUTSCHLAND 2013

IT SERVICE MANAGEMENT IN DEUTSCHLAND 2013 Fallstudie: FrontRange IDC Market Brief-Projekt IT SERVICE MANAGEMENT IN DEUTSCHLAND 2013 Die Cloud als Herausforderung frontrange Fallstudie: Inventx Informationen zum Unternehmen Inventx ist ein Schweizer

Mehr

Gruppen E-Mail Software SAP AD-Account Domain Stammdaten Organisation Dateiablagen Computer Location MS SharePoint Effiziente und sichere Verwaltung von Identitäten, Rechten und IT-Diensten Der econet

Mehr

digital business solution Microsoft Integration

digital business solution Microsoft Integration digital business solution Microsoft Integration 1 Nie war effizientes Dokumentenmanagement einfacher: Perfekt integriert in die bekannten Oberflächen aus Microsoft Office, Microsoft Dynamics AX, NAV und

Mehr

digital business solution Qualitätsmanagement

digital business solution Qualitätsmanagement digital business solution Qualitätsmanagement 1 Gutes Qualitätsmanagement setzt eine durchgängige, verpflichtende, nachvollziehbare Verwaltung von Informationen im gesamten Unternehmen voraus. Daher bietet

Mehr

Hybrid ITSM Because Having Only One Option Isn t An Option

Hybrid ITSM Because Having Only One Option Isn t An Option Hybrid ITSM Because Having Only One Option Isn t An Option Seit über 20 Jahren spezialisiert sich FrontRange Solutions auf die Entwicklung von Software zur Steigerung von IT-Effizienz und Wertschöpfung.

Mehr

Integriertes Service Management

Integriertes Service Management Servicebestellung bis zur Abrechnung PPPvorlage_sxUKMvo-05.00.potx santix AG Mies-van-der-Rohe-Straße 4 80807 München www.santix.de santix AG Themen Ziel-Workflow Service Catalog Change Configuration und

Mehr

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance IT-Governance Standards und ihr optimaler Einsatz bei der Implementierung von IT-Governance Stand Mai 2009 Disclaimer Die Inhalte der folgenden Seiten wurden von Severn mit größter Sorgfalt angefertigt.

Mehr

FORUM Gesellschaft für Informationssicherheit mbh. GenoBankSafe-IT Der IT-Sicherheitsmanager

FORUM Gesellschaft für Informationssicherheit mbh. GenoBankSafe-IT Der IT-Sicherheitsmanager FORUM Gesellschaft für Informationssicherheit mbh GenoBankSafe-IT Der IT-Sicherheitsmanager Was leistet die Software und wozu wird sie benötigt? GenoBankSafe-IT bietet ein vollständiges IT-Sicherheitskonzept

Mehr

INFORMATIK-BESCHAFFUNG

INFORMATIK-BESCHAFFUNG Leistungsübersicht Von Anbietern unabhängige Entscheidungsgrundlagen Optimale Evaluationen und langfristige Investitionen Minimierte technische und finanzielle Risiken Effiziente und zielgerichtete Beschaffungen

Mehr

CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke

CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke Vorstellung - Ihr Referent Prof. Dr. Thomas Jäschke Professor für Wirtschaftsinformatik an der FOM Hochschule für Oekonomie & Management

Mehr

E-Mail Software AD-Account Domain Gruppen Stammdaten Organisation Dateiablagen Computer Location Effiziente und sichere Verwaltung von Identitäten, Rechten und IT-Diensten Der und für Einsteiger Identitäten,

Mehr

IDV Assessment- und Migration Factory für Banken und Versicherungen

IDV Assessment- und Migration Factory für Banken und Versicherungen IDV Assessment- und Migration Factory für Banken und Versicherungen Erfassung, Analyse und Migration von Excel- und AccessAnwendungen als User-Selfservice. Sind Ihre Excel- und Access- Anwendungen ein

Mehr

Ein Blick in die Zukunft! Prozessmanagement BPM Lösungen Nautilus

Ein Blick in die Zukunft! Prozessmanagement BPM Lösungen Nautilus Ein Blick in die Zukunft! Prozessmanagement BPM Lösungen Nautilus Oder ein Blick in die Glaskugel! Trends aus unserem Beratungsgeschäft Aktuelle Themen BPMN, UML, EPK als Modellierungsmethode Versionsmanagement

Mehr

Automatisierung von IT-Infrastruktur für

Automatisierung von IT-Infrastruktur für 1 Automatisierung von IT-Infrastruktur für DataCore CITRIX VMware Microsoft und viele andere Technologien Christian Huber Potsdam 2 Automatisierung hinter fast jeder Anforderung Anforderungen an die IT

Mehr

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen IT-DIENST- LEISTUNGEN Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen TÜV SÜD Management Service GmbH IT-Prozesse bilden heute die Grundlage für Geschäftsprozesse.

Mehr

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS 5. IT-Grundschutz-Tag 23.11.2011 Björn Schulz Agenda 1. Einleitung + Ausgangslage 2. Anforderungen 3. IT-Strukturanalyse 4. Fazit

Mehr

Software EMEA Performance Tour 2013. Berlin, Germany 17-19 June

Software EMEA Performance Tour 2013. Berlin, Germany 17-19 June Software EMEA Performance Tour 2013 Berlin, Germany 17-19 June Change & Config Management in der Praxis Daniel Barbi, Solution Architect 18.06.2013 Einführung Einführung Wer bin ich? Daniel Barbi Seit

Mehr

OTRS-TFS-Konnektor. Whitepaper. Autor: advanto Software GmbH Mittelstraße 10 39114 Magdeburg

OTRS-TFS-Konnektor. Whitepaper. Autor: advanto Software GmbH Mittelstraße 10 39114 Magdeburg OTRS-TFS-Konnektor Whitepaper Autor: advanto Software GmbH Mittelstraße 10 39114 Magdeburg Tel: 0391 59801-0 Fax: 0391 59801-10 info@advanto-software.de Stand: Mai 2015 Inhaltsverzeichnis 1 Idee... 3 2

Mehr

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Autor: Frank Schönefeld Gültig ab: 23.03.2015 / Ersetzte Ausgabe: 29.05.2012 Seite 1 von 5 Vorwort Unsere Kunden und Beschäftigten müssen

Mehr

P R E S S E M I T T E I L U N G

P R E S S E M I T T E I L U N G PRESSEMITTEILUNG KuppingerCole und Beta Systems ermitteln in gemeinsamer Studie die technische Reife von Identity Access Management und Governance in der Finanzindustrie Identity Provisioning als Basistechnologie

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

FORUM Gesellschaft für Informationssicherheit mbh. ForumBankSafe-IT Der IT-Sicherheitsmanager

FORUM Gesellschaft für Informationssicherheit mbh. ForumBankSafe-IT Der IT-Sicherheitsmanager FORUM Gesellschaft für Informationssicherheit mbh ForumBankSafe-IT Der IT-Sicherheitsmanager Was leistet die Software und wozu wird sie benötigt? ForumBankSafe-IT einführen ForumBankSafe-IT bietet ein

Mehr

Managed File Transfer in der Kunststoffverarbeitenden Industrie

Managed File Transfer in der Kunststoffverarbeitenden Industrie Managed File Transfer in der Kunststoffverarbeitenden Industrie Sichere Alternativen zu FTP, ISDN und E-Mail Verzahnung von Büro- und Produktionsumgebung Verschlüsselter Dateitransfer in der Fertigung

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

Workflowmanagement. Business Process Management

Workflowmanagement. Business Process Management Workflowmanagement Business Process Management Workflowmanagement Workflowmanagement Steigern Sie die Effizienz und Sicherheit Ihrer betrieblichen Abläufe Unternehmen mit gezielter Optimierung ihrer Geschäftsaktivitäten

Mehr

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Inhalt 1: Revision als Manager von Risiken geht das? 2 : Was macht die Revision zu einem Risikomanager im Unternehmen 3 : Herausforderungen

Mehr

OPAQ Optimized Processes And Quality

OPAQ Optimized Processes And Quality OPAQ Optimized Processes And Quality Einführung IT Service Management Prozesse und System bei der SICK AG : Central Department IT CIO Office Dr. Jan Hadenfeld IT Service Manager 19. September 2007 Agenda

Mehr

pro.s.app package archivelink for d.3 Einfache Aktenverwaltung mit SAP ArchiveLink

pro.s.app package archivelink for d.3 Einfache Aktenverwaltung mit SAP ArchiveLink pro.s.app package archivelink for d.3 Einfache Aktenverwaltung mit SAP ArchiveLink 1 Mit der Lösung pro.s.app package archivelink for d.3 werden für das SAP- und das d.3-system vorkonfigurierte Strukturen

Mehr

plain it Sie wirken mit

plain it Sie wirken mit Sie wirken mit Was heisst "strategiewirksame IT"? Während früher die Erhöhung der Verarbeitungseffizienz im Vordergrund stand, müssen IT-Investitionen heute einen messbaren Beitrag an den Unternehmenserfolg

Mehr

Prüfungsbericht. IDEAL Lebensversicherung a.g. Berlin

Prüfungsbericht. IDEAL Lebensversicherung a.g. Berlin Prüfungsbericht IDEAL Lebensversicherung a.g. Berlin Prüfungsbericht zur Angemessenheit des Compliance-Management- Systems der IDEAL Lebensversicherung a.g. zur Umsetzung geeigneter Grundsätze und Maßnahmen

Mehr

Quick-Wins identifizieren!

Quick-Wins identifizieren! Identity-Management im Fokus: Quick-Wins identifizieren! Michael Watzl Leiter Vertrieb TESIS SYSware GmbH Stand A50/2 http://www.tesis.de/sysware TESIS SYSware Kernkompetenz und Portfolio Portfolio: Identity-Management

Mehr

Textbausteine und Vorlagen mit System

Textbausteine und Vorlagen mit System Betriebliche Praxis Textbausteine und Vorlagen mit System Word, Textbausteine, Dokumentvorlagen, Dokumentenmanagement-System (DMS), Freigabe-Workflow Die Erstellung von geschäftlichen Schriftstücken, die

Mehr

Integration mit. Wie AristaFlow Sie in Ihrem Unternehmen unterstützen kann, zeigen wir Ihnen am nachfolgenden Beispiel einer Support-Anfrage.

Integration mit. Wie AristaFlow Sie in Ihrem Unternehmen unterstützen kann, zeigen wir Ihnen am nachfolgenden Beispiel einer Support-Anfrage. Integration mit Die Integration der AristaFlow Business Process Management Suite (BPM) mit dem Enterprise Information Management System FILERO (EIMS) bildet die optimale Basis für flexible Optimierung

Mehr

ITIL V3 zwischen Anspruch und Realität

ITIL V3 zwischen Anspruch und Realität ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager & ISO 20000 Consultant 9. März 2009 IT-Service Management ISO 20000, ITIL Best Practices, Service

Mehr

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen!

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Autor: Thomas Halfmann Halfmann Goetsch Peither AG Mit GAMP 5 wurde im Jahr 2005 der risikobasierte Ansatz in die Validierung computergestützter

Mehr

SAP Dienstleistung. PART Business Solution GmbH. Unterer Talweg 46 86179 Augsburg. PART Business Solution GmbH

SAP Dienstleistung. PART Business Solution GmbH. Unterer Talweg 46 86179 Augsburg. PART Business Solution GmbH SAP Dienstleistung PART Business Solution GmbH Unterer Talweg 46 86179 Augsburg PART Business Solution GmbH SAP Dienstleistung SAP ERP Datenarchivierung Seite 3 Tax Compliance in SAP Seite 6 Applikationsbetreuung

Mehr

digital business solution Microsoft Integration

digital business solution Microsoft Integration digital business solution Microsoft Integration 1 Nie war effizientes Dokumentenmanagement einfacher: Perfekt integriert in die bekannten Oberflächen aus Microsoft Office, Microsoft Dynamics AX, NAV und

Mehr

und Auftraggeber als zentraler Erfolgsfaktor

und Auftraggeber als zentraler Erfolgsfaktor 12 Fachartikel Entkopplung der Prozessmodelle zwischen Outsourcingnehmer und Auftraggeber als zentraler Erfolgsfaktor Sonderdruck aus itsm Heft Nr. 27 März 2014 Klaus Kirchner IT-Organisationen müssen

Mehr

Was ist SAM? Warum brauche ich SAM? Schritte zur Einführung Mögliche Potentiale Fragen

Was ist SAM? Warum brauche ich SAM? Schritte zur Einführung Mögliche Potentiale Fragen Software Asset Management (SAM) Vorgehensweise zur Einführung Bernhard Schweitzer Manager Professional Services Agenda Was ist SAM? Warum brauche ich SAM? Schritte zur Einführung Mögliche Potentiale Fragen

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

Rollenspezifische Verhaltenstrainings

Rollenspezifische Verhaltenstrainings Rollenspezifische Verhaltenstrainings ITIL V3 EXPERT ALL-IN-1 (SS, SD, ST, SO, CSI, MALC) In nur 10 Arbeitstagen zum ITIL V3 Expert Der ITIL V3 Expert All-in-1 ist ideal für Manager, die schnell eine umfassende

Mehr

SAP Simple Service Request. Eine Beratungslösung der SAP Consulting SAP Deutschland SE & Co. KG

SAP Simple Service Request. Eine Beratungslösung der SAP Consulting SAP Deutschland SE & Co. KG SAP Simple Service Request Eine Beratungslösung der SAP Consulting SAP Deutschland SE & Co. KG IT Service Management mit SAP Solution Manager SAP Solution Manager deckt alle Prozesse im IT Service Management

Mehr

Geschäftsprozessmanagement

Geschäftsprozessmanagement Geschäftsprozessmanagement Der INTARGIA-Ansatz Whitepaper Dr. Thomas Jurisch, Steffen Weber INTARGIA Managementberatung GmbH Max-Planck-Straße 20 63303 Dreieich Telefon: +49 (0)6103 / 5086-0 Telefax: +49

Mehr

Dokumentenprozesse Optimieren

Dokumentenprozesse Optimieren managed Document Services Prozessoptimierung Dokumentenprozesse Optimieren Ihre Dokumentenprozesse sind Grundlage Ihrer Wettbewerbsfähigkeit MDS Prozessoptimierung von KYOCERA Document Solutions Die Bestandsaufnahme

Mehr

Anwenderforum E-Government QuickCheck:ITIL 18.02.2010/Berlin

Anwenderforum E-Government QuickCheck:ITIL 18.02.2010/Berlin Anwenderforum E-Government QuickCheck:ITIL 18.02.2010/Berlin INFORA GmbH Martin Krause Cicerostraße 21 10709 Berlin Tel.: 030 893658-0 Fax: 030 89093326 Mail: info@infora.de www.infora.de Agenda Die Ausgangssituation

Mehr

MM-2-111-403-00. IT-Sicherheit

MM-2-111-403-00. IT-Sicherheit MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 MM-2-111-403-00 IT-Sicherheit Seite: 1 / 8 MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 Ziel

Mehr

Amtliches Mitteilungsblatt

Amtliches Mitteilungsblatt Nr. 13/12 Amtliches Mitteilungsblatt der HTW Berlin Seite 119 13/12 26. April 2012 Amtliches Mitteilungsblatt Seite Grundsätze der Informationssicherheit der HTW Berlin vom 18. April 2012.................

Mehr

protecting companies from the inside out

protecting companies from the inside out protecting companies from the inside out 1 Integriertes Berechtigungsmanagement Futuredat IT Forum 15. Mai 2014 80% der Daten liegen unstrukturiert als ppt, doc und excel vor Quelle: Meryll Lynch 80% der

Mehr

Integriertes Dokumentenmanagement. www.pbu-cad.de info@pbu-cad.de

Integriertes Dokumentenmanagement. www.pbu-cad.de info@pbu-cad.de Integriertes Dokumentenmanagement Dokumente webbasiert und integriert verwalten RuleDesigner bietet eine modular aufgebaute, integrierte und bereichsübergreifende Umgebung für das Dokumentenmanagement

Mehr

ITSM (BOX & CONSULTING) Christian Hager, MSc

ITSM (BOX & CONSULTING) Christian Hager, MSc ITSM (BOX & CONSULTING) Christian Hager, MSc INHALT Ausgangssituation ITSM Consulting ITSM Box Zentrales Anforderungsmanagement Beispielhafter Zeitplan Nutzen von ITSM Projekten mit R-IT Zusammenfassung

Mehr

Application Lifecycle Management

Application Lifecycle Management Die Leidenschaft zur Perfektion Application Lifecycle Management SAP Solution Manager Agenda Einführung in den SAP Solution Manager Funktionsbereiche des SAP Solution Managers IT Service Management Übersicht

Mehr

Integriertes Configuration Management

Integriertes Configuration Management Integriertes Configuration Management Zusammenspiel zwischen SCCD und IEM PPPvorlage_sxUKMvo-05.00.potx santix AG Mies-van-der-Rohe-Straße 4 80807 München www.santix.de santix AG Themen Schnittstellen

Mehr

Enterprise Architecture Management für Krankenhäuser. Transparenz über die Abhängigkeiten von Business und IT

Enterprise Architecture Management für Krankenhäuser. Transparenz über die Abhängigkeiten von Business und IT Enterprise Architecture Management für Krankenhäuser Transparenz über die Abhängigkeiten von Business und IT HERAUSFORDERUNG Gestiegener Wettbewerbsdruck, höhere Differenzierung im Markt, die konsequente

Mehr

MEHRWERK. Archivierung

MEHRWERK. Archivierung MEHRWERK ierung Warum Langzeitarchivierung? Seitdem die gesetzlichen Anforderungen an die elektronische Speicherung von Informationen unter anderem in den Grundsätzen zum Datenzugriff und zur Prüfbarkeit

Mehr

Maintenance & Re-Zertifizierung

Maintenance & Re-Zertifizierung Zertifizierung nach Technischen Richtlinien Maintenance & Re-Zertifizierung Version 1.2 vom 15.06.2009 Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 22899 9582-0

Mehr

Uptime Services AG Brauerstrasse 4 CH-8004 Zürich Tel. +41 44 560 76 00 Fax +41 44 560 76 01 www.uptime.ch. ARTS Workflow.

Uptime Services AG Brauerstrasse 4 CH-8004 Zürich Tel. +41 44 560 76 00 Fax +41 44 560 76 01 www.uptime.ch. ARTS Workflow. Uptime Services AG Brauerstrasse 4 CH-8004 Zürich Tel. +41 44 560 76 00 Fax +41 44 560 76 01 www.uptime.ch ARTS Workflow Funktionalitäten 22.05.2014 Sie möchten Informationen in Ihrem Betrieb anderen Stellen

Mehr

(Qualitätsmanagement-Richtlinie vertragszahnärztliche Versorgung - ZÄQM-RL)

(Qualitätsmanagement-Richtlinie vertragszahnärztliche Versorgung - ZÄQM-RL) Richtlinie des Gemeinsamen Bundesausschusses über grundsätzliche Anforderungen an ein einrichtungsinternes Qualitätsmanagement in der vertragszahnärztlichen Versorgung (Qualitätsmanagement-Richtlinie vertragszahnärztliche

Mehr

GDP4U. Intelligente Ideen für Finanzinstitute

GDP4U. Intelligente Ideen für Finanzinstitute GDP4U Intelligente Ideen für Finanzinstitute --> GDP4U Die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU 147 Abs. 6 AO) verpflichten Finanzinstitute, den Finanzbehörden den

Mehr

Service Orientierung organisiertes IT Service Management in der BWI IT auf Basis ITIL

Service Orientierung organisiertes IT Service Management in der BWI IT auf Basis ITIL Orientierung organisiertes IT Management in der BWI IT auf Basis ITIL 97. AFCEA-Fachveranstaltung Diensteorientierung aber mit Management Heiko Maneth, BWI IT Delivery, Leitung Prozessarchitektur und -management

Mehr

InitiativeTracker Maßnahmen und Einkaufserfolge

InitiativeTracker Maßnahmen und Einkaufserfolge InitiativeTracker Maßnahmen und Einkaufserfolge planen, forecasten und messen Alle Projekte im Blick Fortschritte mitverfolgbar Plan-, Forecast- & Ist-Daten 5-stufiger Härtegradprozess Genehmigungen /

Mehr

bi-cube Aktiver Compliance - Monitor (ACM)

bi-cube Aktiver Compliance - Monitor (ACM) INSTITUT FÜR SYSTEM- MANAGEMENT bi-cube Aktiver Compliance - Monitor (ACM) ism- Architektur Team ism GmbH 2010 Definition: Compliance Compliance bedeutet die Einhaltung von Verhaltensmaßregeln, Gesetzen

Mehr

Identitätsmanagement für Hybrid-Cloud-Umgebungen an Hochschulen

Identitätsmanagement für Hybrid-Cloud-Umgebungen an Hochschulen Identitätsmanagement für Hybrid-Cloud-Umgebungen an Hochschulen Erfahrungen im Münchner Wissenschaftsnetz Silvia Knittl, Wolfgang Hommel {knittl,hommel}@mnm-team.org Agenda Hybrid Cloud im Münchner Wissenschaftsnetz

Mehr

digital business solution Elektronische Archivierung

digital business solution Elektronische Archivierung digital business solution Elektronische Archivierung 1 Weniger Papier im Archiv, mehr Transparenz in den Geschäftsabläufen, rechtsund revisionssichere Ablage sämtlicher Unternehmensinformationen auf zertifizierten

Mehr

Process INQuiries Management System. Schnelle Klärung von Nachfragen und Reklamationen im Zahlungsverkehr

Process INQuiries Management System. Schnelle Klärung von Nachfragen und Reklamationen im Zahlungsverkehr Process INQuiries Management System Schnelle Klärung von Nachfragen und Reklamationen im Zahlungsverkehr Kostenreduzierung Effizienzsteigerung Kundenzufriedenheit Risikominimierung Ertragssteigerung Reduktion

Mehr

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen Rainer Benne Benne Consulting GmbH Audit Research Center ARC-Institute.com 2014 Audit Research Center ARC-Institute.com Referent Berufserfahrung

Mehr

RISIKO- ORIENTIERTES IAM. Erfahren. Zuverlässig. Innovativ.

RISIKO- ORIENTIERTES IAM. Erfahren. Zuverlässig. Innovativ. RISIKO- ORIENTIERTES IAM. Erfahren. Zuverlässig. Innovativ. RISIKOORIENTIERTES IAM. ERFAHREN 20+ Jahre IAM ZUVERLÄSSIG Leistungsstarkes Provisioning INNOVATIV Risikozentrierte Governance 50 % der größten

Mehr

digital business solution d3.ecm archivelink package for SAP ERP

digital business solution d3.ecm archivelink package for SAP ERP digital business solution d3.ecm archivelink package for SAP ERP 1 Mit der Lösung d.3ecm archivelink package for SAP ERP werden für das SAPund das d.3ecm-system vorkonfigurierte Strukturen zur Verfügung

Mehr

Vorwort Organisationsrichtlinie IT-Sicherheit

Vorwort Organisationsrichtlinie IT-Sicherheit Vorwort Organisationsrichtlinie IT-Sicherheit Diese Richtlinie regelt die besonderen Sicherheitsbedürfnisse und -anforderungen des Unternehmens sowie die Umsetzung beim Betrieb von IT-gestützten Verfahren

Mehr

Die digitale Projektakte bei der Otto Group Solution Provider (OSP) Dresden GmbH

Die digitale Projektakte bei der Otto Group Solution Provider (OSP) Dresden GmbH Die digitale Projektakte bei der Otto Group Solution Provider (OSP) Dresden GmbH Michaela Witt Otto Group Solution Provider Dresden GmbH Fon: +49 (0)351 49723 0 Fax: +49 (0)351 49723 119 Web: www.ottogroup.com

Mehr

SAP BusinessObjects Solutions for Governance, Risk and Compliance

SAP BusinessObjects Solutions for Governance, Risk and Compliance SAP BusinessObjects Solutions for Governance, Risk and Compliance B4: Berechtigungsvergabe datenschutz- und compliancekonform gestalten mit SAP BusinessObjects Access Control und SAP Netweaver Identity

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

EFFIZIENTES ENTERPRISE SERVICE MANAGEMENT: FLEXIBEL, ITIL-KONFORM UND OUT OF THE BOX

EFFIZIENTES ENTERPRISE SERVICE MANAGEMENT: FLEXIBEL, ITIL-KONFORM UND OUT OF THE BOX THEGUARD! SERVICEDESK EFFIZIENTES ENTERPRISE SERVICE : FLEXIBEL, ITIL-KONFORM UND OUT OF THE BOX EFFIZIENTES ENTERPRISE SERVICE : FLEXIBEL, ITIL-KONFORM UND OUT OF THE BOX THEGUARD! SERVICEDESK Im Fokus

Mehr

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009 EUO-SOX (UÄG) Was bedeutet es für IT? Juni 2009 Agenda Herausforderungen bei der Umsetzung von Compliance Bedeutung von Standards Zusammenspiel zwischen Finanzen und IT Umsetzung Lernbuchweg Umsetzung

Mehr

Einführung von. SAP Netweaver Identity Management. bei der. Öffentlichen Versicherung Braunschweig

Einführung von. SAP Netweaver Identity Management. bei der. Öffentlichen Versicherung Braunschweig Einführung von SAP Netweaver Identity Management bei der Öffentlichen Versicherung Braunschweig Axel Vetter (Braunschweig IT), Jörn Kaplan (Acando) Seite 1 Agenda Die Öffentliche Versicherung / Braunschweig

Mehr

Teil- und Vollautomatisierung von Standard Changes mittels Service Katalog und Workflow Engine. Matthias Federmann Continental AG

Teil- und Vollautomatisierung von Standard Changes mittels Service Katalog und Workflow Engine. Matthias Federmann Continental AG Teil- und Vollautomatisierung von Standard Changes mittels Service Katalog und Workflow Engine Matthias Federmann Continental AG Zur Person Name: Matthias Federmann Wohnort: Regensburg Ausbildung: Berufseinstieg:

Mehr

digital business solution E-Mail-Management

digital business solution E-Mail-Management digital business solution E-Mail-Management 1 E-Mail-Management von d.velop ist weit mehr als nur die Archivierung elektronischer Post. Geschäftsrelevante Nachrichten und Anhänge werden inhaltlich ausgelesen

Mehr

Auftragsprojekte von der Anfrage bis zur Abrechnung erfolgreich managen - Maßgeschneiderte Qualifizierung der Projekt- und Bauleiter -

Auftragsprojekte von der Anfrage bis zur Abrechnung erfolgreich managen - Maßgeschneiderte Qualifizierung der Projekt- und Bauleiter - Auftragsprojekte von der Anfrage bis zur Abrechnung erfolgreich managen - Maßgeschneiderte Qualifizierung der Projekt- und Bauleiter - FOCUS Team KG Besenbruchstraße 16 42285 Wuppertal Tel.: 0202 28394-0

Mehr

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung 5. November 2012 2012 ISACA & fischer IT GRC Beratung & Schulung. All rights reserved 2 Agenda Einführung Konzepte und Prinzipien

Mehr

Service Management leicht gemacht!

Service Management leicht gemacht! 1 4. FIT-ÖV - 01. Juli 2009 in Aachen Service Management leicht gemacht! Integration, Steuerung und Bewertung von Servicepartnern in der ÖV Dipl.-Inf. Michael H. Bender BRAIN FORCE SOFTWARE GmbH SolveDirect

Mehr

Testfragen PRINCE2 Foundation

Testfragen PRINCE2 Foundation Testfragen PRINCE2 Foundation Multiple Choice Prüfungsdauer: 20 Minuten Hinweise zur Prüfung 1. Sie sollten versuchen, alle 25 Fragen zu beantworten. 2. Zur Beantwortung der Fragen stehen Ihnen 20 Minuten

Mehr

Inhaltsverzeichnis. office@gundg.at

Inhaltsverzeichnis. office@gundg.at Version 1.0.7 2011-2014 G&G research Inhaltsverzeichnis Inhaltsverzeichnis... 1 Allgemeine Eigenschaften des Softwarepakets... 2 Berechtigungen, Datenschutz, Datensicherheit... 2 Arbeitsbereiche... 3 Brandschutzkatalog...

Mehr

Peter Hake, Microsoft Technologieberater

Peter Hake, Microsoft Technologieberater Peter Hake, Microsoft Technologieberater Risiken / Sicherheit Autos Verfügbarkeit Richtlinien Service Points Veränderungen Brücken Straßen Bahn Menschen Messe Airport Konsumenten Kennt die IT-Objekte,

Mehr

PINQ. Process INQuiries Management System. Ready for SWIFTNet Exceptions and Investigations

PINQ. Process INQuiries Management System. Ready for SWIFTNet Exceptions and Investigations PINQ Process INQuiries Management System Ready for SWIFTNet Exceptions and Investigations Kostenreduzierung Effizienzsteigerung Kundenzufriedenheit Risikominimierung Ertragssteigerung Reduktion von Prozesskosten

Mehr

Implementierung sicher und schnell

Implementierung sicher und schnell im Überblick SAP Services SAP Business One SAP Accelerated Implementation Program Herausforderungen Implementierung sicher und schnell Mit Methode sicher zum Ziel Mit Methode sicher zum Ziel Ihr Unternehmen

Mehr