Frameworks für das IT Management. Erste Auflage

Transkript

1 Frameworks für das IT Management Erste Auflage

2 6 ISO/IEC ITSM-Standard ISO/IEC ist der offizielle Standard für IT Service Management. Copyrightinhaber: International Standards Organization (ISO): Verbreitung: Formale Zertifizierung gemäß dem Standard wächst rapide. Obwohl der ursprüngliche Standard in Großbritannien entwickelt wurde, ist er international angenommen worden, wobei nur ca. 30 Prozent der ersten Welle der Zertifizierten in Großbritannien ansässig sind. Ursprung/Geschichte: Vor der Übernahme durch die International Standards Organization (ISO) und International Electrotechnical Commission (IEC) ursprünglich als British Standard BS15000 entwickelt, wurde er ebenso durch die Standardisierungsinstitutionen in Australien (AS 8018), Ungarn, Südafrika und Südkorea übernommen. Wann: Version 1 im Jahre 2000 veröffentlicht, Version 2 im Jahre 2002 veröffentlicht. Mitglieder im Komitee: Das Komitee der British Standards Institution besteht aus IT Service Management-Experten von Anbieter- und Anwenderorganisationen, dem itsmf und aus relevanten Institutionen des öffentlichen Sektors wie CCTA (jetzt Teil des OGC) und dem nationalen Audit Office. Das gleiche Komitee arbeitete mit einer Gruppe von Service-Providern als, Early Adopter zusammen, die Version 1 gewissermaßen auf die Probe stellten. Zertifizierungsinstitutionen: Das formale Zertifizierungsprogramm für Organisationen, die ihre Konformität zu den Anforderungen des ISO/IEC nachweisen möchten, gehört zur Zeit dem itsmf und wird von ihm verwaltet. Anzahl zertifizierter Über 70 Organisationen haben in den ersten 18 Monaten der Organisationen: Verfügbarkeit des Programms seit dem ersten Erscheinen des BS15000 eine Zertifizierung erreicht. Von Ivor Macfarlane 6.1 Ursprung/Geschichte Ursprünglich wurde der Standard von einem Komitee der British Standard Institution entwickelt und im Jahre 2000 als BS veröffentlicht. Diese Gruppe der British Standards Institution bestand aus IT Service Management-Experten von Anbieter- und Anwenderorganisationen, dem itsmf und aus relevanten Institutionen des öffentlichen Sektors wie CCTA (jetzt Teil des OGC) und dem nationalen Audit Office. Das gleiche Komitee arbeitete mit einer Gruppe von Service-Providern als Early Adopter zusammen, die Version 1 gewissermaßen auf die Probe

3 66 Frameworks für das IT Management stellten. Ausgehend von dieser Übung ging das Komitee im Jahre 2002 zur Entwicklung und Aufbereitung der Version 2 über. Innerhalb von drei Jahren wird der ISO/IEC für eine Erneuerung durch SC7, das verantwortliche ISO-Komitee, fällig werden, es ist aber wahrscheinlich, dass er bis dahin substanziell unverändert bleiben wird. 6.2 Wo wird ISO/IEC eingesetzt? ISO/IEC ist geeignet für alle IT-Services anbietenden Organisationen. Es ist für alle Branchen und alle Organisationsgrößen außer für die Kleinsten geeignet (für welche eine weit reichende ISO 9000-Zertifizierung wahrscheinlich sinnvoller ist). Obwohl der traditionelle Nutzen eines Standards darin liegt, eine formale Zertifizierung zu erreichen, ist das Produkt darüber hinaus als Benchmark und Anleitung, um Best-Practice- Prozesse zu implementieren, von Nutzen. Die inhärente Natur eines Standards unzweideutig ausgedrückte Anforderungen erlaubt aussagekräftige Vergleiche mehrerer Zeitabschnitte, welche ein Maß für Verbesserungen der Prozesse eines Service Providers liefern. Die Zahl der formalen Zertifizierungen gemäß dem Standard wächst rapide, wobei über 70 Organisationen in den ersten 18 Monaten der Verfügbarkeit des Programms seit dem ersten Erscheinen des BS15000 eine Zertifizierung erreicht haben. Obwohl der ursprüngliche Standard in Großbritannien entwickelt wurde, ist er international angenommen worden, wobei nur ca. 30 Prozent der ersten Welle der Zertifizierten in Großbritannien ansässig sind. 6.3 Beschreibung und Hauptgrafiken ISO ist ein Management-Standard, welcher die Etablierung und Pflege von Prozessen sowie die Mechanismen zur Sicherung ihrer Relevanz und Verbesserung adressiert. Der Hauptinhalt des Standards gehört der International Standards Organization und wird von ihr gemanagt, nationale Standardisierungsinstitutionen veröffentlichen diesen Inhalt, ergänzt um national relevante Inhalte wie Literaturangaben und Quellenangaben, jedoch direkt. In Großbritannien ist er beispielsweise als BS ISO/IEC 2000 veröffentlicht. Der Standard umfasst zwei Teile: Teil 1 - Spezifikation. Dies sind die dokumentierten Anforderungen, denen eine Organisation entsprechen muss, um eine formale Zertifizierung gemäß ISO/IEC zu erreichen. Part 2 - Code of Practice: Ausführung und Erklärung der Anforderungen aus Teil 1. Beiden Teilen liegt eine gemeinsame Struktur zugrunde: Anwendungsbereich Begriffe und Definitionen Anforderungen an ein Managementsystem Planung und Implementierung von Service Management Planung und Implementierung neuer oder veränderter Services Service Delivery-Prozesse

4 ISO/IEC ITSM-Standard 67 Relationship-Prozesse Resolution-Prozesse Control-Processes Release-Prozesse. Die Beziehungen der Schlüsselprozesse, die in den nachfolgenden Abschnitten beschrieben werden, sind in Abbildung 6.1 verdeutlicht. Service Delivery-Prozesse Capacity-Management Service Continuityund Availability- Management Service Level Management Service-Reporting Control-Prozesse Configuration-Management Change-Management Information Security Management Budgeting und Accounting für IT-Services Release-Prozess Release-Management Resolution-Prozesse Incident-Management Problem-Management Relationship-Prozesse Business Relationship Management Supplier-Management Abbildung 6.1 Service Management-Prozesse Wie Abbildung 6.1 zeigt, gibt es vier Arten von Schlüsselprozessen, die alle in Beziehung zur fünften Art von Prozessen, den Control-Prozessen, stehen. Für alle Prozesse gibt es ein definiertes Ziel und Spezifikationen. Der Service Delivery-Prozess besteht aus: Service Level Management Service-Reporting Service Continuity- und Availability-Management Budgeting und Accounting für IT-Services Capacity-Management Information Security Management Die Relationship-Prozesse sind: Business Relationship Management Supplier-Management

5 68 Frameworks für das IT Management Die Resolution-Prozesse sind: Incident-Management Problem-Management Die Control-Prozesse sind: Configuration-Management Change-Management Der letzte Prozess, der Release-Prozess, ist einzig als der Release-Management-Prozess definiert. Wie jeglicher Standard wird ISO primär als Nachweis der Konformität zu Best-Practices genutzt, Ergänzend zu den Hauptelementen guten IT Service Managements, fordert er von Service Providern ebenfalls, die Implementierung der Plan-Do-Check-Act -Methodik (Qualitätszyklus von Deming) sowie deren Anwendung auf ihre Service Management-Prozesse. Dies verankert kontinuierliche Serviceverbesserung beim Service Provider und stellt so sicher, dass die Prozesse der Organisation sich entwickeln, reifen und sich an die Kundenanforderungen anpassen, Fehler und Versäumnisse vermieden werden und jene, die bewältigt wurden, nicht wieder auftreten. Business- Anforderungen Kunden- Anforderungen Managementverantwortlichkeit PLAN Service Management planen Business- Ergebnisse Kundenzufriedenheit Anforderungen für neue oder geänderte Services Andere Prozesse (Business-Lieferanten und Kunden) ACT Kontinuierliche Verbesserung DO Service Management implementieren Neuer oder geänderter Service Andere Prozesse (Business-Lieferanten und Kunden) Andere Teams (z. B. Sicherheit) CHECK Überwachen, messen und reviewen Team- und Mitarbeiterzufriedenheit Abbildung 6.2 Plan-Do-Check-Act für Service Management-Prozesse Vorteile Der Hauptzweck für Organisationen liegt in dem Nachweis, dass ein Service Provider den Anforderungen des Standards entspricht. Dies wiederum kann aus einem oder mehreren Gründen geschehen, wie zum Beispiel:

6 ISO/IEC ITSM-Standard 69 als Fokus auf interne Leistung eine konkreter Nachweis von relevanten und angemessenen Prozessen und Ansätzen innerhalb des Service Providers Nachweis von Compliance, um gegenüber bestehenden oder neuen Kunden Glaubwürdigkeit vorzuweisen formale Anforderungen von Kunden die fordern, dass ihr Service Provider formal akzeptierten Best-Practices entspricht Geschäftspolitik dass die Organisation als Ganzes mit allen zutreffenden internationalen Standards konform geht. Ergänzend zum formalen Nachweis von Konformität nutzen viele Organisationen ISO/IEC intern, um Ziele der Leistungsfähigkeit zu identifizieren, an denen sie sich selbst messen wollen. Obwohl in diesem Fall die Konformität noch nicht für alle Elemente des Standards erreicht ist, können nichtsdestoweniger Verbesserungen der Konformität intern oder durch den Einsatz externer Berater gemessen und eine schrittweise Verbesserung über die Zeit nachgewiesen werden. Die Hauptelemente des ISO/IEC (Teile 1 und 2 des Standards) werden durch eine Reihe von Dokumenten, die von der British Standards Institution (BSI) veröffentlicht wurden, unterstützt, einschließlich: BIP0015 Arbeitsbuch zur Selbstbewertung. Dieses Buch enthält einige Leitlinien für die Bewertung einer Organisation hinsichtlich ihrer Konformität zum Standard und legt die Elemente des ISO/IEC wirkungsvoll in Form von Fragen dar. Manager s guide to service management ein einführendes Buch, das darauf abzielt, Managern die Bedeutung sowie die Elemente von IT Service Management bewusst zu machen. Achieving ISO/IEC eine Buchreihe, die spezifische Leitlinien zur Implementierung und Pflege von Prozessen, die zum Standard konform sind, gibt Zertifizierungsprogramm Für Organisationen, die ihre Konformität zum ISO/IEC nachweisen möchten, existiert ein formales Zertifizierungsprogramm. Dieses Programm gehört zur Zeit dem itsmf und wird von ihm verwaltet. Um den Titel eines ISO/IEC Zertifikats zu erhalten, muss ein Service Provider allen Anforderungen des ersten Teils des Standards entsprechen. Der Anwendungsbereich des Standards kann jedoch durch jeden anderen Faktor begrenzt werden, der die zu zertifizierende Einheit abgrenzt, beispielsweise: Geografische Lage Begrenzung auf Services, die von oder für eine bestimmte Niederlassung, Gruppe von Niederlassungen, Stadt usw. erbracht wird Kunden/Zielgruppe Begrenzung auf Services, die für eine oder mehrere Kundengruppen oder eine bestimmte Abteilung der Organisation erbracht werden Sprache oder anderes abgrenzendes Element Individuelle Qualifizierung und verfügbare Trainings Erfahrene ISO 9000-Auditoren, die formelle ISO/IEC Audits durchführen oder eine registrierte Zertifizierungsinstitution (Registered Certification Body, RCB) gemäß dem itsmf- Programm werden möchten, müssen einen durch das itsmf anerkannten Trainingskurs absolvieren.

7 70 Frameworks für das IT Management Diejenigen, die Organisationen (als interne oder externe Berater oder direkt an einem Projekt zur Erreichung einer ISO/IEC Zertifizierung einer Organisation arbeiten) beraten möchten, können einen vom itsmf anerkannten Trainingskurs besuchen, der ihnen das Ablegen einer Prüfung erlaubt, die zu einer formellen Qualifikation führt. Dieser Kurs dauert einschließlich der Prüfung üblicherweise drei Tage. In der Branche haben bereits viele Personen diese Qualifizierung erhalten und das Training wird von vielen Anbietern für Trainings für IT Service Management angeboten. Details des aktuellen Programms sind auf den Webseiten zu finden (siehe Abschnitt 6.8.2). 6.4 Ansatz/How-To ISO/IEC kann von jedem Service Provider angewendet werden, der Konformität mit Best-Practices im IT Service Management nachweisen möchte. Der Grad und der Umfang der Anwendung erstrecken sich über ein Spektrum von Formalität, Kosten und Sichtbarkeit: interner Vergleich, ein informaler Vergleich der tatsächlichen Praxis mit Anforderungen der ISO/IEC und Übernahme einiger jener Praktiken, wobei von der Anleitung und ergänzenden Konzepten, die in Teil 2 (Code of Practice) ausgeführt sind, sowie von unterstützender Dokumentation Gebrauch gemacht wird. internes Benchmarking Nutzung des Standards und seiner unterstützenden Dokumentation, insbesondere des Arbeitsbuchs zur Selbstbewertung, um den Grad der Konformität zu ermitteln. Durch einen Verbesserungsprozess kann bei einer wiederholten Bewertung ein höherer Grad der Konformität gezeigt werden und auf diese Weise Verbesserung nachgewiesen werden. formelle Zertifizierung gemäß dem offiziellen Programm zeigt das Einhalten von Best- Practices. Obwohl ISO/IEC einige Richtlinien enthält, insbesondere im Code of Practice und der ergänzenden Dokumentation, ist es in erster Linie ein Maß für die Prozesskonformität, die von einer Organisation erreicht werden kann, und weniger ein Mittel zur Erreichung dieser Prozesskonformität. Organisationen, die eine formelle ISO/IEC Zertifizierung anstreben, benötigen zumindest ein erfolgreiches Programm zur Serviceverbesserung, dass alle schwachen Bereiche behandelt und die Prozesse so verbessert, dass sie konform mit den Anforderungen des Standards sind. Die Kosten, die für eine Organisation für die Erreichung von Konformität anfielen, würden die Folgenden einschließen: Mitarbeiterschulung typischerweise Awareness-Schulungen für IT Service Management (in der Praxis häufig als ITIL-Awareness, ITIL-Foundation oder Schulung auf Managerebene) Kosten der Verbesserung zum Beispiel zusätzliche Arbeitskräfte als Ersatz für diejenigen, die Verbesserungen identifizieren und implementieren, externe Berater Bewertung durch eine registrierte Zertifizierungsinstitution für einen formellen Audit gemäß dem Standard

8 ISO/IEC ITSM-Standard Relevanz für das IT Management In dem Standard geht es insgesamt um Service Management und ist deswegen von zentraler Bedeutung. Er hängt von keinem spezifischen Ansatz ab, Bewertungen werden stattdessen auf die derzeitigen Prozesse hin vorgenommen; und zwar unabhängig davon, welche Methoden, Richtlinien oder Techniken vom Service Provider eingesetzt wurden, um die Prozesse zu entwickeln und zu pflegen. 6.6 Stärken und Schwächen Es ist noch früh im Leben dieser Standardfamilie, die Abnahme ist jedoch bereits erheblich und wachsend. Mit einer bedeutenden, weltweiten Übernahme bietet ISO/IEC der Gemeinschaft einen abgestimmten und akzeptierten Kern von Best-Practices. Um eine weit reichende und umfassende Abdeckung zu erzielen, spricht der Standard nur die allgemeingültigen Kernelemente der Service Management-Prozesse an und kann so nie die Gesamtheit von Prozessen/Prozeduren beschrieben, die ein bestimmter Service Provider benötigt, um effektive und effiziente kundenorientierte Services zu erbringen. 6.7 Querverweise/Beziehungen Wie zuvor erwähnt, beurteilt der ISO/IEC die implementierten Prozesse, nicht die Mittel zu ihrer Erreichung und ist daher mit jedwedem Mechanismus kompatibel. Es gibt jedoch eine erhebliche historische Synergie mit den ITIL-Richtlinien. Die ursprüngliche Version des BS15000 wurde zeitgleich mit der ITIL-Version 2 und mit einer Überlappung der Autoren der beiden Produkte entwickelt. Die herrschende Meinung der Branche hat verkündet, dass die beabsichtigte Struktur, der Ansatz sowie der Inhalt der ITIL-Version 3, die zu Beginn des Jahres 2007 veröffentlicht werden soll, konsistent zu den Anforderungen von ISO/IEC sein wird. Die Beziehung zwischen ISO/IEC und ITIL, die zeigt, dass die ITIL-Richtlinien die Details liefern, die den Standard untermauern, wird in Abbildung 6.3 verdeutlicht.

9 72 Frameworks für das IT Management Zu erzielender Qualitätsstandard Einführung in Service Management und Managementüberblick Prozessdefinitionen ISO/IEC Standard BIP 0005 Manager's Guide von der BSI ITIL-Best-Practices ISO/IEC Zertifizierungsprogramm, gemanagt von der ISO BS Arbeitsbuch zur Selbstbewertung BIP 0015 OGC Fragebogen & Reifegrad Angepasste und lokale Dokumente Interne Prozesse / Arbeitsanweisungen Abbildung 6.3 Beziehung zwischen dem ISO/IEC und ITIL 6.8 Links und Literatur Bücher und Artikel zum ISO ISO/IEC A Pocket Guide (2006). J. van Bon (chief editor) et al. Zaltbommel: Van Haren Publishing for itsmf Webseiten zum ISO Informationen zu ergänzenden Publikationen des BSI können hier abgerufen oder genau wie der Standard selbst durch viele itsmf-buchläden beschafft werden. - Details des Zertifizierungsprogramms können hier abgerufen werden. Weitere Informationen über ISO-Standards im Allgemeinen.

10 IV Impressum Titel: Eine Veröffentlichung von: Redaktion: Verlag: Frameworks für das IT Management itsmf International Jan van Bon (Chefredakteur) Tieneke Verheijen (Redakteurin) Van Haren Publishing, Zaltbommel, ISBN(13): Auflage: Design und Layout: Druck: Originalversion in Englische Sprache Frameworks for IT Management Erste Ausgabe, erste Auflage, September 2006 Erste Ausgabe, zweite Auflage, November 2006 Deutsche Übersetzung: Erste Ausgabe, erste Auflage, September 2007 CO2 Premedia, Amersfoort - NL Wilco, Amersfoort - NL Für weitere Informationen über Van Haren Publishing senden Sie bitte eine an: info@vanharen.net Das itsmf International hat durch ihr International Publications Executive Sub Committee (IPESC), das sich aus einem Ausschuss von Mitgliedern globaler itsmf-landesverbände zusammensetzt, diesem Buch die formale Befürwortung des itsmf International zuteil werden lassen. itsmf International 2006 Alle Rechte vorbehalten. Kein Teil dieses Werkes darf in irgendeiner Form, sei es durch Druck, Fotokopie, Mikrofilm oder in einem anderen Verfahren ohne vorherige schriftliche Genehmigung des Verlages reproduziert oder verarbeitet, übersetzt, vervielfältigt oder verbreitet werden. Obwohl diese Veröffentlichung mit großer Sorgfalt zusammengestellt wurde, übernehmen weder die Autoren noch die Herausgeber oder der Verlag eine Haftung für Schäden, die infolge von eventuellen Fehlern oder Unvollständigkeiten in dieser Veröffentlichung entstehen. HINWEISE AUF EINGETRAGENE WARENZEICHEN PRINCE2, M_o_R and ITIL sind Registered Trade Marks und Registered Community Trade Marks des Office of Government Commerce und sind im U.S. Patent and Trademark Office registriert. CobiT ist ein eingetragenes Warenzeichen der/des Information Systems Audit and Control Association (ISACA)/IT Governance Institute (ITGI). Das PMBoK ist ein eingetragenes Warenzeichen des Project Management Institute (PMI). etom ist ein eingetragenes Warenzeichen des TeleManagement Forum.