xiü Inhaltsverzeichnis 1 Einleitung 1 2 Einführung und Grundlagen 5 2.1 Die neue Rolle der IT 5 2.2 Trends und Treiber 7 2.2.1 Wertbeitrag von IT 7 2.2.2 IT-Business-Alignment 12 2.2.3 CompÜance 14 2.2.4 Risikomanagement 16 2.2.5 Prozess- und Serviceorientierung 17 2.3 Geschäftsarchitektur für IT-Governance 18 2.4 IT-Governance: Begriff und Aufgaben 21 2.5 Unterstützende Referenzmodelle 24 2.6 Akzeptanz von IT-Governance 26 2.6.1 Weltweite Untersuchungen 26 2.6.2 Ergebnisübersicht 27 2.6.3 Die Ergebnisse der ITGI-Studie 29 2.6.3.1 Bedeutung der IT 29 2.6.3.2 Problembereiche der IT 31 2.6.3.3 Stand der Umsetzung von IT-Governance 32 2.6.3.4 Nutzungsgrad der Referenzmodelle und Methoden 35 2.6.3.5 Bekanntheitsgrad und Bedeutung von COBlT 35
xv 3.3.8 Controls 78 3.3.8.1 Controls der Geschäftsseite 19 3.3.8.2 Controls für Applikationen 79 3.3.8.3 Controls für die IT-Infrastruktur 81 3.3.8.4 Controls für IT-Prozesse 82 3.3.9 Das COBlT-Reifegradmodell 83 3.4 Das COBlT-Gesamtmodell 86 3.4.1 Makrostruktur: Prozessorientierte Anordnung der Kontrollbereiche 86 3.4.2 MikroStruktur: Der Aufbau der IT-Prozesse 88 3.4.2.1 High-Level-Kontrollziel 88 3.4.2.2 Detaillierte Kontroilziele 91 3.4.2.3 Management-Richtlinien 92 3.4.2.4 Maturitätsmodell 95 3.4.3 Funktionalität der IT-Prozesse 96 3.5 COBlT-Produkte 98 3.5.1 Überblick 98 3.5.2 Implementation Guide 99 3.5.3 COBiT-Quickstart 100 3.5.4 COBlT-Online 101 3.6 COBlT und COSO 102 3.7 Anwendungsbeispiel Sarbanes-Oxley Act 106 3.7.1 Der Sarbanes-Oxley Act (SOX) 106 3.7.2 Herstellung von SOX-Compliance 108 3.7.2.1 Vorgehensweise 109 3.7.2.2 Planung und Eingrenzung der IT-Controls 110 3.7.2.3 Bewertung der Risiken 112 3.7.2.4 Dokumentation der Controls 114 3.7.2.5 Evaluierung der Effektivität der Controls 117 3.8 Zertifizierung und Qualifizierung 119 3.9 Einordnung und Bewertung 119 3.10 Die inkrementell verbesserte Version COBIT 4.1 121
xiv Inhaltsverzeichnis 3 Das CoBiT-Referenzmodell 39 3-1 Einleitung und Übersicht 40 3.1.1 Entstehung und Geschichte 40 3.1.2 Zielsetzungen und Zielgruppen 41 3.1.3 (Basis-)Referenzmodelle und Standards 44 3.1.4 Die COBlT-IT-Governance-Perspektive 46 3.1.4.1 IT-Governance-Grundverständnis 46 3.1.4.2 IT-Governance-Prozess 46 3.2 COBlT-Merkmale 47 3.2.1 Best Practices 47 3.2.2 Geschäftsorientierung 49 3.2.3 Prozessorientierung 50 3.2.4 Steuerungs- und Kontrollorientierung 51 3.2.5 Risikoorientierung 53 3.2.6 Operationalisierung von Leistungen und Risiken... 54 3.3 COBlT-Komponenten 54 3.3.1 Der CoBlT-Informationsraum 55 3.3.2 Kontrollziele 56 3.3.3 IT-Ressourcen 57 3.3.4 Informationskriterien 59 3.3.5 Kontrollbereiche und IT-Prozesse 60 3.3.5.1 Planung und Organisation 60 3.3.5.2 Beschaffung und Implementierung 61 3.3.5.3 Lieferung und Unterstützung 62 3.3.5.4 Überwachung und Evaluierung 63 3.3.5.5 Relevanz der Kontrollbereiche für die Kernbereiche 64 3.3.6 Interdependenzen im CoBlT-Informationsraum... 67 3.3.7 Ziele, Erfolgsmessung und IT-Geschäftsarchitektur 70 3.3.7.1 Zielarten und Metriken im Überblick 70 3.3.7.2 Geschäftsziele 70 3.3.7.3 IT-Ziele 71 3.3.7.4 IT-Ziele und IT-Prozesse 74 3.3.7.5 IT-Ziele, Prozess- und Aktivitätsziele 75 3.3.7.6 IT-Ziele und IT-Geschäftsarchitektur 77
xv 3.3.8 Controls 78 3.3.8.1 Controls der Geschäftsseite 79 3.3.8.2 Controls für Applikationen 79 3.3.8.3 Controls für die IT-Infrastruktur 81 3.3.8.4 Controls für IT-Prozesse 82 3.3.9 Das COBlT-Reifegradmodell 83 3.4 Das COBlT-Gesamtmodell 86 3.4.1 Makrostruktur: Prozessorientierte Anordnung der Kontrollbereiche 86 3.4.2 MikroStruktur: Der Aufbau der IT-Prozesse 88 3.4.2.1 High-Level-Kontrollziel 88 3.4.2.2 Detaillierte Kontrollziele 91 3.4.2.3 Management-Richtlinien 92 3.4.2.4 Maturitätsmodell 95 3.4.3 Funktionalität der IT-Prozesse 96 3.5 COBiT-Produkte 98 3.5.1 Überblick 98 3.5.2 Implementation Guide 99 3.5.3 COBlT-Quickstart 100 3.5.4 COBlT-Online 101 3.6 COBlT und COSO 102 3.7 Anwendungsbeispiel Sarbanes-Oxley Act 106 3.7.1 Der Sarbanes-Oxley Act (SOX) 106 3.7.2 Herstellung von SOX-Compliance 108 3.7.2.1 Vorgehensweise 109 3.7.2.2 Planung und Eingrenzung der IT-Controls 110 3.7.2.3 Bewertung der Risiken 112 3.7.2.4 Dokumentation der Controls 114 3.7.2.5 Evaluierung der Effektivität der Controls 117 3.8 Zertifizierung und Qualifizierung 119 3.9 Einordnung und Bewertung 119 3.10 Die inkrementell verbesserte Version COBIT 4.1 121
4 DasVal-IT-Referenzmodell 123 4.1 Einleitung und Übersicht 123 4.2 Aufbau des Val-IT-Referenzrnodells 125 4.2.1 Val-IT-Leitprinzipien 126 4.2.2 Val-IT-Prozesse 127 4.2.2.1 Werte-Governance 127 4.2.2.2 Portfoliomanagement 127 4.2.2.3 Investitionsmanagement 128 4.2.3 Schlüssel-Managementpraktiken 129 4.3 Beziehung zwischen COBlT und Val-IT 131 4.4 Der Business Gase 133 4.4.1 Ziele, Nutzen und Aufgaben 133 4.4.2 Komponenten des Business Case 134 4.4.3 Entwicklung und Wartung 136 4.4.3.1 Schritt 1: Faktensammlung 136 4.4.3.2 Schritt 2: Alignment 138 4.4.3.3 Schritt 3: Finanzanalyse I 139 4.4.3.4 Schritt 4: Finanzanalyse II 141 4.4.3.5 Schritt 5: Risiken 141 4.4.3.6 Schritt 6: Risikooptimierung 143 4.4.3.7 Schritt 7: Dokumentation 144 4.4.3.8 Schritt 8: Wartung 146 4.5 Einordnung und Bewertung 147 5 Weitere IT-Govemance-Referenzmodelle 149 5.1 Das ITIL-Referenzmodell 149 5.1.1 Einleitung und Übersicht 149 5.1.1.1 Entstehung und Geschichte 149 5.1.1.2 Ziele, Merkmale und Zielgruppen 150 5.1.1.3 Serviceorientierung 152 5.1.1.4 Struktur von ITIL 153 5.1.2 Die ITIL-Moduie 155 5.1.2.1 Die Geschäftsperspektive (Business Perspective) 155 5.1.2.2 Serviceunterstützung (Service Support)... 156 5.1.2.3 Servicebereitstellung (Service Delivery)... 162 5.1.2.4 Infrastrukturrnanagement 166 5.1.2.5 Sicherheitsmanagement 167
xvii 5.1.2.6 Implementierungsplanung des Servicemanagements 168 5.1.2.7 Anwendungsmanagement 168 5.1.3 ITIL-Zertifizierung 169 5.1.4 Einordnung und Bewertung 170 5.1.5 Ausblick auf ITIL V 3 171 5.2 ISO/IEC 20000 172 5.2.1 Ziele und Zielgruppen 173 5.2.2 Struktur von ISO/IEC 20000 174 5.2.2.1 Prozessgruppen 175 5.2.2.2 Bestandteile des Standards 176 5.2.2.3 Zertifizierung 177 5.2.2.4 Vor- und Nachteile 178 5.2.2.5 Einordnung und Bewertung 178 5.3 Informationssicherheits-Management 179 5.3.1 Sicherheitsstandards 180 5.3.1.1 Der Standard ISO/IEC 13335 181 5.3.1.2 Der Standard ISO/IEC 17799 182 5.3.1.3 Der Standard ISO/IEC 27001 183 5.3.1.4 Die Standardfamilie ISO/IEC 27000 184 5.3.2 Einordnung und Bewertung 185 5.4 CMMI 186 5.4.1 Einleitung und Übersicht 186 5.4.2 CMMI-Komponenten 187 5.4.3 Einordnung und Bewertung 188 6 SOA-Governance 189 6.1 Einleitung und Übersicht 189 6.2 Governance-Herausforderung SOA 191 6.3 SOA-Governance-Aufgabenbereiche 194 6.3.1 SOA-Conformance 196 6.3.2 SOA-Lifecycie-Management 197 6.4 Ein Maturitätsmodell für die SOA-Governance 198 6.5 SOA-Governance-Infrastruktur 201
7 Vergleich und Integration von Referenzmodellen 205 7.1 Einleitung und Übersicht 205 7.2 Vergleich der Referenzmodelle 207 7.2.1 Vergleich mittels zweidimensionaler Matrizen... 207 7.2.2 Vergleich mittels Merkmalkatalogen 209 7.2.2.1 Vergleich nach Walter/Krcmar 209 7.2.2.2 Vergleich nach Hochstein/Hunziker 211 7.3 Kombination und Integration der Referenzmodelle 214 7.3.1 Abgleich von COBlT, ITIL und ISO 17799 214 7.3.2 Das Integrationsprojekt COBlTMapping 217 7.4 Bewertung 223 8 Praxisbeispiel: Bewertung von Applikationsportfolios und IT-Prozessen 225 8.1 Ausgangssituation und Aufgabenstellung 225 8.2 Vorgehensweise im Projekt 228 8.2.1 Applikationen und ihre Bewertung 229 8.2.2 Reifegrad ausgewählter Prozesse 236 8.3 Zusammenfassung 241 9 Schlussbetrachtung 243 Abkürzungsverzeichnis 245 Literaturverzeichnis 249 Index 257
PPN: 252647459 Titel: Referenzmodelle für IT-Governance : strategische Effektivität und Effizienz mit COBIT, ITIL & Co / Wolfgang Johannsen; Matthias Goeken. Mit einem Praxisbericht von Daniel Just... -. - Heidelberg : dpunkt-verl., 2007 ISBN: 3-89864-397-2; 978-3-89864-397-9 Bibliographischer Datensatz im SWB-Verbund