Der gesamte Capacity Management Prozess versucht kontinuierlich kosteneffektiv die IT Ressourcen und Kapazitäten auf den sich fortwährend ändernden

Transkript

1 Der gesamte Capacity Management Prozess versucht kontinuierlich kosteneffektiv die IT Ressourcen und Kapazitäten auf den sich fortwährend ändernden Bedarf und die Anforderungen des Business anzupassen. Dies erfordert die Abstimmung und die Optimierung der aktuellen Ressourcen und die effektive Abschätzung und Planung von zukünftigen Ressourcen. Der Prozess sollte alle Technologiebereiche, sowohl Hardware als auch Software, für alle Komponenten und Umgebungen der IT- Technologie umfassen. Beim Capacity Management müssen auch die räumliche Planung und die Kapazität von Umgebungssystemen, sowie bestimmte Aspekte von Mitarbeiterressourcen berücksichtigt werden, jedoch nur, wenn Personalmangel dazu führt, dass SLA- oder OLA Ziele nicht erreicht werden. 26

2 Capacity Management ist maßgeblich ein Balance Akt: Balancieren von Kosten und benötigten Ressourcen Sicherstellen, dass die Beschaffung von Kapazitäten in Bezug auf die Business Anforderungen kostengerecht ist und den höchstmöglichen effizienten Gebrauch dieser Ressourcen sicherstellt. Balancieren von Bereitstellung und Bedarfsdeckung Sicherstellen, dass die verfügbare IT Abwicklungskapazität den Business Anforderung, aktuell und in der Zukunft, angeglichen wird. Es kann notwendig sein, den Bedarf für bestimmte Ressourcen zu managen oder zu beeinflussen. 27

3 Der Availability Management Prozess versucht kontinuierlich sicherzustellen, dass alle operationalen Services die vereinbarten Verfügbarkeitsziele erreichen, und dass neue oder veränderte Services so konzipiert sind, die beabsichtigten Ziele zu erfüllen, ohne dass die Leistung der bestehenden Services kompromittiert werden. 28

4 Verfügbarkeit : Sie wird für gewöhnlich in Prozent berechnet. Diese Berechnung basiert oft auf vereinbarten Servicezeiten und Ausfallzeiten. Zuverlässigkeit : Je größer die Zeit zwischen zwei Störungen ist, desto zuverlässiger ist der Service. Zuverlässigkeit wird in der Regel als MTBF oder MTBSI angegeben. Wartbarkeit : Fähigkeit einer IT-Komponente oder einem IT-Service wieder in einen funktionsfähigen Zustand zu gelangen. Die Wartbarkeit wird häufig als MTRS gemessen und berichtet. Servicefähigkeit : Die Fähigkeit eines Drittanbieters, die Bedingungen eines Vertrags einzuhalten. Dieser Vertrag umfasst den vereinbarten Umfang der Zuverlässigkeit, Wartbarkeit oder Verfügbarkeit. 29

5 30

6 Reaktive Aktivitäten : Monitoring, Messung, Analyse, Berichterstattung & Review der Service- & Komponentenverfügbarkeit; Untersuchen der Nicht-Verfügbarkeit von Komponenten und Services & Ergreifen von Abhilfemaßnahmen. Proaktive Aktivitäten : Risikobewertung & Risikomanagement; Implementieren Vertretbarer Gegenmaßnahmen; Planung & Design für neue & geänderte Services; Review aller neuen & geänderten Services & Testen aller Verfügbarkeits- & Ausfallsicherheitsmechanismen Die Serviceverfügbarkeit betrifft alle Aspekte der Verfügbarkeit und Nicht-Verfügbarkeit von Services und die Auswirkungen von Komponentenverfügbarkeit oder die potenziellen Auswirkungen der Nicht-Verfügbarkeit von Komponenten auf die Serviceverfügbarkeit. 31

7 Die Grafik stellt den erweiterten Incident Lebenszyklus dar - detaillierte Phasen im Lebenszyklus eines Incident. Die Phasen umfassen die Erkennung, Diagnose, Reparatur, Instandsetzung und die Wiederherstellung. Der erweiterte Incident-Lebenszyklus stellt alle Elemente dar, die an den Auswirkungen einer Störung/Incident beteiligt sind und veranschaulicht die Pläne zur Steuerung oder Reduzierung dieser Auswirkungen. 32

8 Die Business Continuity Strategie sollte vorrangig auf die Business- Prozesse und die damit in Zusammenhang stehenden Aspekte (z. B. Kontinuität der Business- Prozesse, Stetigkeit bei den Mitarbeitern, Fortbestand der Gebäude) ausgerichtet sein. Sobald die Business Continuity Strategie und die Rolle, die die IT Services in dieser Strategie spielen, feststehen, kann eine ITSCM-Strategie entwickelt werden, die die Business Continuity Strategie ermöglicht und unterstützt. 33

9 Ein Risiko wird anhand der Wahrscheinlichkeit einer Bedrohung, der Verwundbarkeit des Assets gegenüber dieser Bedrohung und der potenziellen Auswirkungen der Bedrohung gemessen. 34

10 35

11 Die BIA ermittelt den Art des Schadens oder Verlusts, z. B.: Einnahmenverlust, Zusatzkosten, Schädigung des Ansehens, Verlust von Wettbewerbsvorteilen, Verletzung von gesetzlichen Vorschriften, etc.. Wie das Ausmaß des Schadens oder Verlusts nach einer Serviceunterbrechung voraussichtlich zunehmen wird und zu welcher Zeit z. B. im Jahr die Unterbrechung am schwerwiegendsten sein wird. Den Zeitraum, in dem die Personalausstattung, Einrichtungen und Services auf einem Mindestniveau wiederhergestellt sein müssen und die Dauer, in der alle erforderlichen Business-Prozesse inklusive der unterstützenden Mitarbeiter, Einrichtungen und Services vollständig wiederhergestellt sein müssen. Die BIA ist die Aktivität im Business Continuity Management, die die Vital Business Functions und deren Abhängigkeiten identifiziert. Der Begriff Vital Business Function (Kritische Business- Funktion, VBF) steht für die entscheidenden Elemente des Business- Prozesses, die von einem IT Service unterstützt werden. 36

12 Phase 1 Initiierung: Festlegung der Richtlinie, Zuweisung von Ressourcen, Definition der Projektorganisation und Kontrollstruktur, Vereinbarung von Projekt- und Qualitätsplänen Phase 2 Anforderungen und Strategie: Anforderungen und Strategie definieren, Business-Auswirkungsanalyse und Risikoanalyse durchführen Phase 3 Implementierung: Erstellung von z. B. Notfallreaktionsplan, Schadenfeststellungsplan, Krisenmanagement- und Public Relations- Plan, Kommunikationsplan, Personalplan Phase 4 Laufender Betrieb: Weiterbildung, Bewusstsein und Schulung, regelmäßige Reviews und Tests Auslösen: Das Auslösen ist der ultimative Test der Business Continuity und ITSCM-Pläne. Wenn alle vorbereitenden Arbeiten erfolgreich ausgeführt wurden und alle Pläne erstellt und getestet sind, sollte das Auslösen eines Business Continuity Plans ein unkomplizierter Prozess sein. Wurden jedoch keine Tests durchgeführt, ist mit Ausfällen zu rechnen. 37

13 Vertraulichkeit: Informationen stehen nur autorisierten Personen zur Verfügung Integrität: Information ist vollständig, korrekt und gegen nicht autorisierte Veränderung geschützt Verfügbarkeit: Informationen sind immer wenn erforderlich verfügbar und nutzbar 38

14 Die Sicherheitsstrategie besteht aus den entwickelten Information Security Management Prozeduren zusammen mit den Methoden, Tools und Techniken. Der Security Manager stellt sicher, dass Technologien, Produkte und Services im Einsatz sind und eine allgemeine Security Richtlinie (Information Security Policy) entwickelt und für alle Stakeholder (Interessensgruppen) veröffentlicht wurde. 39

15 Der ISMS-Framework bildet die Grundlage zur Entwicklung eines kosteneffektiven Informationssicherheitsprogramms, das die Geschäftsziele unterstützt. Es beinhaltet die vier Ps (people, processes, products und partners). ISO ist der formale Standard, der als Grundlage für eine unabhängige Sicherheitszertifizierung herangezogen werden kann. Das oben dargestellte fünfstufige Kreislaufsystem ist der Basisprozess, der auch der Norm ISO zugrunde liegt. Information Security muss mit den Geschäftsprozessen und geschäftlichen Zielsetzungen synchronisiert werden. Darüber hinaus müssen alle Prozesse innerhalb der IT Sicherheitsaspekte beinhalten. IT-Sicherheit ist deshalb integraler Bestandteil der Corporate Governance. Alle IT-Servicelieferanten müssen deshalb über umfassende ISM- Leitlinie(n) verfügen und Sicherheitsverfahren betreiben, mit denen die Einhaltung der Leitlinien überwacht und durchgesetzt werden können. 40

16 Folgende Palette von Referenzinformationen in der SCD: Supplier-Kategorisierung und Verwaltung der Supplier and Contracts Database (SCD) Evaluierung und Einrichten neuer Supplier und Verträge Einrichten neuer Supplier Management und Performance von Suppliern und Verträgen Vertragserneuerung und -kündigung 41

17 Ziel von Supplier Management ist das Management der Lieferanten und der von ihnen unterstützten Services zur Sicherstellung einer gleichförmigen Qualität preiswerter Services für den Geschäftsbetrieb. Alle Aktivitäten des Prozesses sollten durch eine von der Lebenszyklusphase Service Strategy initiierten Strategie und Leitlinie für Lieferanten getrieben sein. Entscheidend ist dabei, dass die Planung und Ausführung von Lieferanten-Management-Prozessen in alle Phasen des Servicelebenszyklus involviert ist - von Strategy und Design, über Transition und Operation bis hin zur Phase der kontinuierlichen Verbesserung. Zur Sicherstellung von Konsistenz und Effektivität sollte eine zentrale Lieferanten- und Vertragsdatenbank (SCD) geführt werden. Die von den Lieferanten beigesteuerten Services sind ebenfalls Bestandteil des Serviceportfolios und des Servicekatalogs. Die Synchronisierung der Lieferantendienstleistungen mit den IT- Services und den geschäftlichen Dienstleistungen ist für die Auslieferung qualitativ hochwertiger IT-Services von essenzieller Wichtigkeit. 42

18 Evaluieren neuer Lieferanten und Verträge: Für alle Anforderungen sollte ein Geschäftsplan vorliegen, der Grundlage zur Auswahl neuer Lieferanten oder Verträge ist. Bei der Auswahl eines Lieferanten müssen eine Reihe von Faktoren berücksichtigt werden, wie zum Beispiel die bisherige Erfolgsgeschichte, die Leistungsfähigkeit, Referenzen, Kreditwürdigkeit und Unternehmensgröße in Relation zu den zu erbringenden Leistungen. Kategorisierung der Lieferanten und Pflege der Lieferanten- und Vertragsdatenbank (SCD) Der Aufwand zur Steuerung der Lieferanten und zur Pflege der Lieferantenbeziehungen hängt von ihrer Bedeutung ab (strategisch wichtig, taktisch wichtig, operational wichtig, Standardlieferant). Neue Lieferanten und Verträge aufnehmen Die Aufnahme neuer Lieferanten und Verträge in die SCD muss über das Change Management abgewickelt werden. Dies ist wichtig, damit die Risiken und Auswirkungen auf den Geschäftsbetrieb richtig eingeschätzt werden. 43