S I M P L I F Y C O M P L E X I T Y
IT- (Risiko) Management
Markus Müller
IT-SECURITY COMMUNITY
XCHANGE 2011
Seite 2 © 2011 calpana business consulting RESTRICTED
� calpana business consulting ist Entwickler und Hersteller der Risikomanagement- bzw. Decision Engineering Methodologie CRISAM®.
� Wir konzentrieren uns als Software- und Beratungsunternehmen ausschließlich auf Risiko- und Sicherheitsmanagement aus einer Unternehmensgesamtsicht.
� Derzeit beschäftigen wir 12 Vollzeitmitarbeiter, wobei etwa die Hälfte mit der Entwicklung und Weiterentwicklung der Methode CRISAM® beschäftigt ist.
� Wir verstehen uns als international tätiges Unternehmen, indem wir Partner bei der Umsetzung von Projekten unterstützen und unsere Kunden in deren strategischen Zielmärkten rund um den Globus begleiten.
� DI Dr.Dr. Manfred Stallinger, MBA gründete 2005 das Unternehmen, das seither als eigentümergeführtes Unternehmen seine Kompetenz am Unternehmensstandort in Linz bündelt.
Seite 3 © 2011 calpana business consulting RESTRICTED
� Herausforderung IT-Risiko Management
� BCM
� Service Level Management
Seite 4 © 2011 calpana business consulting RESTRICTED
Herausforderung IT-(Risiko) Management
1. Wie viel IT braucht das Unternehmen
wirklich?
2. Ist die IT im Unternehmen sicher genug?
3. Ist das Unternehmen bezogen auf IT-
Sicherheit überinvestiert?
4. Sind alle relevanten Risiken zueinander
ausgewogen, oder verursacht die IT ein
höheres Risiko als andere wichtige
Unternehmensbereiche?
Seite 5 © 2011 calpana business consulting RESTRICTED
Wozu IT-Notfallmanagement?
� „Bei uns ist noch nie etwas passiert.“
� „Uns kann nichts passieren.“
� „Wir sind eh versichert.“
� „Wir sind zu groß um unterzugehen.“
� „Wir werden überleben – das war schon immer so.“
� „Wir haben so schon genug zu tun. Wozu sich damit zusätzlich belasten.“
Seite 6 © 2011 calpana business consulting RESTRICTED
IT-Notfallmanagement setzt sich zunehmend auch in Standards als eigene Disziplin durch
BSI-Standard 100-4 (Notfallmanagement)
BS 25999 (Business Continuity
Management)ISO 27001
(Information Security Management)
ISO 20000 (IT-Servicemanagement)
BCI GPG08 (Business Continuity
Management)
BS… British StandardBSI…Bundesamt für Sicherheit in der InformationstechnikCOBIT…Control Objectives for Information and related TechnologyISO…International Standardization OrganizationITIL … IT Infrastructure LibraryBCI…Business Continuity InstituteGPG…Good Practices Guide
ISO 22399 Guideline for incident
preparedness and operational continuity
management
ISO 27031 Guidelines for information and communications
technology readiness for business continuity
ITIL (IT Service Continuity
Management)
COBIT (DS4 EnsureContinous Service)
Unternehmensweit IT-Spezifisch
Seite 7 © 2011 calpana business consulting RESTRICTED
IT-Notfallmanagement ist Teil des übergeordneten Business Continuity Managements
� BSI-Standard 100-4� Das Notfallmanagement ist ein Managementprozess mit dem Ziel, gravierende Risiken für
das Unternehmen, die das Überleben gefährden, frühzeitig zu erkennen und Maßnahmen dagegen zu etablieren. Es umfasst das geplante und organisierte Vorgehen, um die Widerstandsfähigkeit der (zeit-)kritischen Geschäftsprozesse eines Unternehmens nachhaltig zu steigern, auf Schadensereignisse angemessen reagieren und die Geschäftstätigkeiten so schnell wie möglich wieder aufnehmen zu können.
� Das Notfallmanagement wird auch als „Business Continuity Management“ (BCM) oder „betriebliches Kontinuitätsmanagement“ bezeichnet.
� IT-Notfallmanagement ist ein Teil des Notfallmanagements.
� ITIL V3 IT Service Continuity Management (ITSCM)� Der Prozess, der für die Verwaltung von Risiken verantwortlich ist, die zu schwerwiegenden
Auswirkungen auf IT Services führen können.
� Das ITSCM stellt sicher, dass der IT Service Provider stets ein Mindestmaß an vereinbarten Service Levels bereitstellen kann, indem die Risiken auf ein akzeptables Maß reduziert werden und eine Wiederherstellungsplanung für IT Services erfolgt.
� Das ITSCM sollte so konzipiert sein, dass es das Business Continuity Management (BCM) unterstützt.
Seite 8 © 2011 calpana business consulting RESTRICTED
Je nach Auswirkung auf das Unternehmen werden für ein Notfallereignis unterschiedliche Begriffe angewendet
Katastrophe
•Zeitlich und örtlich nicht begrenzt
•Katastrophenschutz gefordert
•Im Unternehmen als Krise behandelt
Krise
•Auf Unternehmen beschränkt
•Einmaligkeit des Ereignisses
•Notfälle können zu Krisen eskalieren
Notfall
•Geschäftsbetrieb ist stark beeinträchtigt
•SLAs können nicht eingehalten werden
•Es entstehen hohe bis sehr hohe Schäden
Störung
•Prozesse oder Ressourcen funktionieren nicht
•Geringe Schäden entstehen
•Durch standardisierten IT-Prozess behoben
� Mögliche Ursachen
� Feuer
� Blitzeinschlag
� Wasserschaden
� Einbruch
� Stromausfall
� Terror
� Virusinfektion / Wurm aus dem Internet
� Sabotage
� Vandalismus
� Eingeschränkter Zugang
� Epidemien
� Erdbeben
Seite 9 © 2011 calpana business consulting RESTRICTED
Der BSI-Standard 100-4 setzt sich im deutschen Sprachraum zunehmend durch
� Version 1.0 wurde 2008 vom deutschen Bundesamt für Sicherheit in der Informationstechnik herausgegeben
� 123 Seiten
� Gliederung entsprechend Notfallmanagement-Prozess
Seite 10 © 2011 calpana business consulting RESTRICTED
Der Notfallmanagement-Prozess nach BSI-Standard 100-4 deckt alle Aspekte des Notfallmanagements ab
• Zuständigkeiten, Art und Umfang festlegen• Abhängigkeiten und Anforderungen identifizieren• Voraussetzungen schaffen, Leitlinien festlegen
Initiierung des Notfallmanagements
Konzeption
Umsetzung des Notfallvorsorgekonzepts
Notfallbewältigung
Tests und Übungen
Aufrechterhaltung und Verbesserungdes Notfallmanagements
Fort
sch
reib
un
g d
er
No
tfal
lpla
nu
ng
un
d V
ors
org
em
aßn
ahm
en
Be
seit
igu
ng
de
r A
bw
eic
hu
nge
n
Seite 11 © 2011 calpana business consulting RESTRICTED
Die Leitlinie zum Notfallmanagement beschreibt, warum ein Notfallmanagement etabliert werden soll und welche Ziele damit angestrebt werden.
� Empfehlungen� Einbeziehung der Fachbereiche sinnvoll
� Notfallbeauftragter koordiniert
� Kurz & prägnant
� Inhalte� Definition und Stellenwert des Notfallmanagements
� Zielsetzung
� Kernaussagen der Notfallstrategie
� Geltungsbereich
� Zugrunde gelegtes Vorgehensmodell / Standards
� Notfallorganisation mit den wichtigsten Rollen und deren Zuständigkeiten
� Verpflichtung der Institutionsleitung, durch regelmäßige Überprüfungen, Tests und Übungen, das Notfallmanagement zu optimieren
� Relevante Gesetze, Richtlinien und Vorschriften, die zu beachten sind
� Übernahme der Verantwortung durch oberste Leitung
Seite 12 © 2011 calpana business consulting RESTRICTED
Der Notfallmanagement-Prozess nach BSI-Standard 100-4 deckt alle Aspekte des Notfallmanagements ab
• Zuständigkeiten, Art und Umfang festlegen• Abhängigkeiten und Anforderungen identifizieren• Voraussetzungen schaffen, Leitlinien festlegen
• Übergreifendes Notfallkonzept (-handbuch) erstellen
Initiierung des Notfallmanagements
Konzeption
Umsetzung des Notfallvorsorgekonzepts
Notfallbewältigung
Tests und Übungen
Aufrechterhaltung und Verbesserungdes Notfallmanagements
Fort
sch
reib
un
g d
er
No
tfal
lpla
nu
ng
un
d V
ors
org
em
aßn
ahm
en
Be
seit
igu
ng
de
r A
bw
eic
hu
nge
n
Seite 13 © 2011 calpana business consulting RESTRICTED
Die Business Impact Analyse (BIA) stellt den Bezug zum Unternehmen her
� Für jeden relevanten Prozess werden die Auswirkungen von vordefinierten Szenarien untersucht und klassifiziert
� Ergebnis für das IT-Notfallmanagement sind � die Wiederanlaufpunkte der
Geschäftsprozesse,
� eine Priorisierung für den Wiederanlauf und damit die
� Kritikalität der Geschäftsprozesse festzulegen und die
� benötigten Ressourcen zu identifizieren.
� Ergebnis für das IT-Risikomanagement sind� Schadenshöhen und
� Schadensverteilungen
Seite 14 © 2011 calpana business consulting RESTRICTED
Zur Bewertung der potentiellen Schäden bei der Schadensanalyse werden Schadenskategorien verwendet
Kategorie Auswirkung für Bewertung „Hoch“
Finanzielle Auswirkungen Der Schaden bewirkt beachtliche finanzielle Verluste, ist jedoch nicht existenzbedrohend (z. B. Verlust unter 20-30% des Umsatzes)
Beeinträchtigung der Aufgabenerfüllung
Nicht tolerierbare Unterbrechungen bzw. Einschränkungen / Minderung der Arbeitsqualität / Fristversäumnisse nach außen wirksam / Rückstandsaufholung nicht innerhalb der normalenArbeitszeit möglich / andere Organisationseinheiten oder Vertragspartner werden in ihrer Arbeit erheblich gestört, auch dort müssen Rückstände aufgeholt werden / Konventionalstrafen in akzeptablem Rahmen
Verstoß gegen Gesetze,etc.
Verstoß gegen Gesetze und Bestimmungen mit tolerierbaren Konsequenzen / Verstöße werden auch außerhalb der Institution bemerkt
Negative Innen- und Außenwirkung
Störungen bzw. Ausfälle werden von Kunden und Geschäftspartnern deutlich bemerkt und in der Brache wahrgenommen / Image und Vertrauen in die Institution sind bei einzelnen Kunden und Geschäftspartnern beeinträchtig / Image- bzw. Vertrauensverluste sind mit hohem Aufwand wieder auszugleichen / einzelne Kunden und Geschäftspartner ziehen Konsequenzen und beenden die Geschäftsbeziehung / merkliche Verluste von Marktanteilen / Verluste sind mitAufwand wieder zurückzugewinnen
� Schadenskategorien� unbedeutend, gering, mittel, hoch, sehr hoch
� Definition für Schadenskategorie „Hoch“ (Beispiel)
Seite 15 © 2011 calpana business consulting RESTRICTED
Ergebnis der Schadensanalyse inkl. Bericht in CRISAM®
Seite 16 © 2011 calpana business consulting RESTRICTED
Anschließend Festlegung der maximal tolerierbaren Ausfallzeit (MTA), der Wiederanlaufzeit (WAZ) und des Wiederanlauf-Niveaus
Kapazität
Ereignis
100%
Wieder-
anlauf-
niveau
letzte Datensicherung
max. zulässiger
Datenverlust
Wiederanlaufzeit (WAZ) =
Recovery Time Objective (RTO)Notbetriebszeit
max. tolerierbare Ausfallszeit
(MTA)
Zeit
0%
Wiederherstellungszeit
Notbetrieb
Wiederherstellung
Wiederanlauf
Reaktionszeit
Rückführung
Nacharbeiten
NormalbetriebNormalbetrieb
Innerhalb dieser muss der Wiederanlauf
spätestens erfolgen
Seite 17 © 2011 calpana business consulting RESTRICTED
Identifikation und Bewertung der Risiken in CRISAM®
� Systematische Risikoerfassung mit standardisierten Katalogen und Berücksichtigung der Abhängigkeiten von IT-Services
Seite 18 © 2011 calpana business consulting RESTRICTED
Das Notfallvorsorgekonzept bildet die Grundlage zur Umsetzung der Kontinuitätsstrategien
� Inhalte� Allgemeines
� Definitionen
� Genehmigungsverfahren
� Organisation und Vorgehensmodell� Ziele, Zuständigkeiten, Kompetenzen und Einordnung in
andere Managementsysteme
� Beschreibung der Notfallvorsorge- und Notfallbewältigungsorganisation
� Beschreibung der Ablauforganisation und der Umsetzung
� Geschäftsprozess- und Schadensanalyse� Notfallszenarien und ihre Auswirkungen
� Kritische Geschäftsprozesse und deren Wiederanlauf-Anforderungen
� Kontinuitätsstrategien
� Organisatorische und technische Vorsorgemaßnahmen
� Dokumentation von Vorsorgemaßnahmen wie die Meldetechnik, im Notfall relevante Vereinbarungen, …
� Aufrechterhaltung und Kontrolle
Seite 19 © 2011 calpana business consulting RESTRICTED
Der Notfallmanagement-Prozess nach BSI-Standard 100-4 deckt alle Aspekte des Notfallmanagements ab
• Zuständigkeiten, Art und Umfang festlegen• Abhängigkeiten und Anforderungen identifizieren• Voraussetzungen schaffen, Leitlinien festlegen
• Übergreifendes Notfallkonzept (-handbuch) erstellen
• Notfallorganisation und Notfallprozess einführen• Technische und organisatorische Maßnahmen umsetzen
Initiierung des Notfallmanagements
Konzeption
Umsetzung des Notfallvorsorgekonzepts
Notfallbewältigung
Tests und Übungen
Aufrechterhaltung und Verbesserungdes Notfallmanagements
Fort
sch
reib
un
g d
er
No
tfal
lpla
nu
ng
un
d V
ors
org
em
aßn
ahm
en
Be
seit
igu
ng
de
r A
bw
eic
hu
nge
n
Seite 20 © 2011 calpana business consulting RESTRICTED
Bei der Umsetzung des Notfallvorsorgekonzepts werden die Maßnahmen geplant, durchgeführt und überwacht
� Kosten- und Aufwandsschätzung� Wie viel? Wie lange?
� Festlegung der Umsetzungsreihenfolge der Maßnahmen� Wann?
� Festlegung der Aufgaben und der Verantwortung� Wer?
� Realisierungsbegleitende Maßnahmen� Sensibilisierungs- und Schulungsmaßnahmen müssen rechtzeitig eingeplant werden
Seite 21 © 2011 calpana business consulting RESTRICTED
Der Notfallmanagement-Prozess nach BSI-Standard 100-4 deckt alle Aspekte des Notfallmanagements ab
• Zuständigkeiten, Art und Umfang festlegen• Abhängigkeiten und Anforderungen identifizieren• Voraussetzungen schaffen, Leitlinien festlegen
• Übergreifendes Notfallkonzept (-handbuch) erstellen
• Notfallorganisation und Notfallprozess einführen• Technische und organisatorische Maßnahmen umsetzen
• Notfallorganisation und Notfallprozess eingeführt• Bei Eintreten eines Notfalles wird vorbereitetes
Notfallmanagement genutzt
Initiierung des Notfallmanagements
Konzeption
Umsetzung des Notfallvorsorgekonzepts
Notfallbewältigung
Tests und Übungen
Aufrechterhaltung und Verbesserungdes Notfallmanagements
Fort
sch
reib
un
g d
er
No
tfal
lpla
nu
ng
un
d V
ors
org
em
aßn
ahm
en
Be
seit
igu
ng
de
r A
bw
eic
hu
nge
n
Seite 22 © 2011 calpana business consulting RESTRICTED
DerNotfallbewältigungsprozess
� Zentrale Meldestelle� Rund um die Uhr erreichbar
� Eindeutig definierte Meldewege
� Meldung nach vorher definiertem Format� Zeitpunkt und Ort des Ereignisses,
� meldende Person oder Stelle,
� eventuell betroffene Personen, Bereiche oder Prozesse,
� mögliche Ursache oder Auslöser sowie
� die aktuellen Auswirkungen.
Seite 23 © 2011 calpana business consulting RESTRICTED
Sobald ein Schadensereignis eine gewisse Schwelle übersteigt, wird dessen Bewältigung an die dafür Zuständigen eskaliert
� Beispiele für Alarm- oder Eskalationsstufen
� Sofortmaßnahmen� Werden sofort eingeleitet (Feuerwehr, Polizei, Rettung, etc.)
� Die Rollen und Verantwortlichkeiten sind auch im Vorfeld zu planen
� Alarmierungs- und Eskalationsverfahren� Es muss im Vorfeld festgelegt werden, wer wann wen alarmiert
� Der Alarmierende muss die Alarmierung inkl. Namen und deren Erreichbarkeit und Verfügbarkeit dokumentieren
Eskalationsstufe Beispiele
1 – Normalbetrieb -
2 – Störmeldungen Ereignisse, die gemeldet, geprüft, dokumentiert und gegebenenfalls behoben werden müssen.
3 – Voralarm Ereignisse, die bereits erste Gefahren abwehrende oder Risiko reduzierende Maßnahmen erfordern, z. B. singulärer Brandlöschung.
4 – Notfall Ereignisse, die den Geschäftsbetrieb stark beeinträchtigt und nicht mehr innerhalb der geforderten Zeit behoben werden können
5 – Krise Ereignisse mit Krisenpotential, die eine übergeordnete Koordinierung erfordern und die Existenz der Institution oder Leben gefährden.
6 – Katastrophe Großschadensereignisse, die nicht auf die Institution beschränkt sind.
Seite 24 © 2011 calpana business consulting RESTRICTED
Das Notfallhandbuch ist die Gesamtheit aller für die Notfallbewältigung benötigter Dokumente und fasst die benötigten Strukturen, Informationen, Maßnahmen und Aktionen nach Eintritt eines Notfalles und zur Wiederaufnahme des Geschäfts zusammen
� Einleitung� Allgemeine Informationen: Name der Organisation, Geltungsbereich, etc.� Dokumentenkontrolle: Version, Verteiler, Verantwortliche, Klassifizierung
� Sofortmaßnahmen� Konkrete Aufgaben für einzelne Personen/Rollen im Notfall� Handlungsanweisungen für spezielle Notfälle
� Krisenmanagement� Rollen, Zuständigkeiten und Kompetenzen� Meldewege und Eskalation� Krisenstabsraum / Lagezentrum� Krisenstabsarbeit� Lagebeurteilung� Dokumentation im Krisenstab� Deeskalation� Analyse und Bewertung der Notfallbewältigung
� Kommunikation und Öffentlichkeitsarbeit im Krisenfall
� Wiederherstellung� Wiederherstellung der Bürofläche� Wiederherstellung der Infrastruktur� Wiederherstellung der IT� Wiederherstellung der Kommunikationsanbindungen
� Geschäftsfortführung� Verfügbarkeitsanforderungen der Organisationseinheiten� Geschäftsfortführungspläne� Analyse des Wiederanlaufs und der Wiederherstellung
� Anhang� Erreichbarkeit der Notfallteam-Mitarbeiter� Notrufnummern � Weitere/unterstützende Pläne und Listen
Seite 25 © 2011 calpana business consulting RESTRICTED
Der Notfallmanagement-Prozess nach BSI-Standard 100-4 deckt alle Aspekte des Notfallmanagements ab
• Zuständigkeiten, Art und Umfang festlegen• Abhängigkeiten und Anforderungen identifizieren• Voraussetzungen schaffen, Leitlinien festlegen
• Übergreifendes Notfallkonzept (-handbuch) erstellen
• Notfallorganisation und Notfallprozess einführen• Technische und organisatorische Maßnahmen umsetzen
• Notfallorganisation und Notfallprozess eingeführt• Bei Eintreten eines Notfalles wird vorbereitetes
Notfallmanagement genutzt
• Notfallübungen ansetzen• Organisation und Prozesse überprüfen und bewerten
Initiierung des Notfallmanagements
Konzeption
Umsetzung des Notfallvorsorgekonzepts
Notfallbewältigung
Tests und Übungen
Aufrechterhaltung und Verbesserungdes Notfallmanagements
Fort
sch
reib
un
g d
er
No
tfal
lpla
nu
ng
un
d V
ors
org
em
aßn
ahm
en
Be
seit
igu
ng
de
r A
bw
eic
hu
nge
n
Seite 26 © 2011 calpana business consulting RESTRICTED
Um die Angemessenheit, Effizienz und Aktualität der Pläne, Strukturen und Maßnahmen sicherzustellen, sind regelmäßig Tests und Übungen durchzuführen
� Wozu Übungen� Bestätigen zugrunde gelegter Annahmen
� Trainieren von Abläufen
� Erkennen, ob die Notfalldokumentation brauchbar ist
� Erkennen, ob die Rollen verstanden werden
� Erkennen, ob die Alternativlösungen funktionieren
� Verbessern der Handlungssicherheit der Beteiligten
� Übungsplanung erforderlich
� Übungsarten
Seite 27 © 2011 calpana business consulting RESTRICTED
Der Notfallmanagement-Prozess nach BSI-Standard 100-4 deckt alle Aspekte des Notfallmanagements ab
• Zuständigkeiten, Art und Umfang festlegen• Abhängigkeiten und Anforderungen identifizieren• Voraussetzungen schaffen, Leitlinien festlegen
• Übergreifendes Notfallkonzept (-handbuch) erstellen
• Notfallorganisation und Notfallprozess einführen• Technische und organisatorische Maßnahmen umsetzen
• Notfallorganisation und Notfallprozess eingeführt• Bei Eintreten eines Notfalles wird vorbereitetes
Notfallmanagement genutzt
• Notfallübungen ansetzen• Organisation und Prozesse überprüfen und bewerten
• Ergebnisse aus Tests und Übungen auswerten, Abweichungen beseitigen und Verbesserungsmaßnahmen einleiten
• Notfall nacharbeiten, zusätzliche Vorsorgemaßnahmen bewerten und umsetzen
Initiierung des Notfallmanagements
Konzeption
Umsetzung des Notfallvorsorgekonzepts
Notfallbewältigung
Tests und Übungen
Aufrechterhaltung und Verbesserungdes Notfallmanagements
Fort
sch
reib
un
g d
er
No
tfal
lpla
nu
ng
un
d V
ors
org
em
aßn
ahm
en
Be
seit
igu
ng
de
r A
bw
eic
hu
nge
n
Seite 28 © 2011 calpana business consulting RESTRICTED
Nur die kontinuierliche Aktualisierung und Verbesserung ermöglichen ein effektives Notfallmanagement
� Aufrechterhaltung� Kontinuierliche Überwachung, Steuerung
und Aktualisierung des Notfallmanagements
� Beispiele für Kennzahlen� Anzahl durchgeführter Übungen
(erfolgreich/nicht erfolgreich)
� Anzahl durchgeführter Tests (erfolgreich/nicht erfolgreich)
� Anzahl aufgetretener Notfälle (davon erfolgreich bewältigt)
� Anzahl durchgeführter Schulungen
� erforderliche Zeit zur Alarmierung des Krisenstabs
� Anzahl reduzierter Risiken im Vergleich zur Gesamtanzahl der Risiken
� Überprüfungen� Selbstbewertung
� Interne Revision
� Externe Revision
� Informationsfluss und Managementbewertung� Informieren des Managements über den
aktuellen Stand und die Entwicklung des Notfallmanagements
� Aspekte� Test- und Übungsergebnisse
� Vorschläge zu Maßnahmen nach bewältigten Notfällen
� Maßnahmenstatus
� Risiken
� neue Lösungen zur Verbesserung der Effektivität
� Ergebnisse des Schulungs- und Sensibilisierungsprogramms
� neue Standards oder Best Practices
Seite 29 © 2011 calpana business consulting RESTRICTED
CRISAM® BCM Catalog
� Enthält alle Bausteine und Kontrollziele zur Bewertung Ihres Business-Continuity-Management-Systems (BCMS)
� Entwickelt und herausgegeben durch governance & continuuuitygmbh
� Behandelt den gesamten BCM Lebenszyklus
� Detaillierte Abdeckung durch über 150 Kontrollziele.
� Basiert auf umfangreicher Praxiserfahrung.
� Enthält umfangreiche Bewertungsleitfäden.
Seite 30 © 2011 calpana business consulting RESTRICTED
Service Level Management
� Der Prozess, der für das Verhandeln von Service Level Agreements sowie deren Einhaltung verantwortlich ist.
� Das SLM soll sicherstellen, dass alle IT Service Management Prozesse, Operational Level Agreements und Underpinning Contracts für die vereinbarten Service Level Ziele angemessen sind.
� SLM ist für das Monitoring und die Berichterstattung in Bezug auf Service Levels sowie für die regelmäßige Durchführung von Kunden-Reviews zuständig.
Seite 31 © 2011 calpana business consulting RESTRICTED
Konzepte und Begriff im Service Level Management
� Service Level� Messbare und nachweisbare Ergebnisse, die im Hinblick auf ein oder mehrere Service
Level Ziele erreicht werden. Der Begriff „Service Level“ wird im Sprachgebrauch auch als Synonym für Service Level Ziel (Service Level Target) verwendet.
� Service Level Anforderung (Service Level Requirement, SLR)� Eine Kundenanforderung für einen Aspekt eines IT Service
� SLR werden zur Aushandlung vereinbarter Service Level Ziele eingesetzt
� Service Level Vereinbarung (Service Level Agreement, SLA)� Eine Vereinbarung zwischen einem IT Service Provider und einem Kunden. Das SLA
beschreibt den jeweiligen IT Service, dokumentiert Service Level Ziele und legt die Verantwortlichkeiten des IT Service Providers und des Kunden fest. Ein einzelnes SLA kann mehrere IT Services oder mehrere Kunden abdecken.
� Vereinbarung auf Betriebsebene (Operational Level Agreement, OLA)� Eine Vereinbarung zwischen einem IT Service Provider und einem anderen Teil derselben
Organisation. Ein OLA unterstützt die Bereitstellung von IT Services durch den IT Service Provider für den Kunden (z.B. zum Einkauf, um Hardware innerhalb vereinbarter Zeitspannen zu erhalten).
Seite 32 © 2011 calpana business consulting RESTRICTED
Einordnen der Begriffe
Abteilung X Lieferant B
UnderpinningContract (UC)
Operational Level Agreement (OLA)
IT Service Provider
Abteilung Y
Operational Level Agreement (OLA)
Lieferant A
UnderpinningContract (UC)
Kunde
Service Level Agreement (SLA)
Seite 33 © 2011 calpana business consulting RESTRICTED
Input, Aktivitäten und Output im SLM
Service Level Agreement (SLA)
Operational Level Agreement (OLA)
Nachfrage des Kunden
Service Level Requirement (SLR)Bedarf identifizieren
Definieren
Vertraglich festlegen:- verhandeln
-erstellen-anpassen-festlegen
Überwachender Service Level
Evaluieren
Service Spezifikation
Service Quality Plan
Service Reports
Serviceverbesserungs-plan (SIP)
Seite 34 © 2011 calpana business consulting RESTRICTED
Entwurf eines SLM Frameworks
� Servicebasierte SLA‘s� Ein SLA für einen Service
� Einfache Administration aber oft nicht ausreichend flexibel
� Kundenbasierte SLA‘s� Ein SLA für einen Kunden oder eine Gruppe von Kunden
� Von Kunden häufig bevorzugt
� Multilevel SLA‘s� Auslagern von spezifischen Anpassungen in eigenen SLA‘s
� Z.B. 3-stufigGlobal SLA
(für alle Kunden)
Kunden SLA (Kunden-spezifisch)
Individual SLA(Service-spezifisch)
Seite 35 © 2011 calpana business consulting RESTRICTED
Kennzahlen und kritische Erfolgsfaktoren
� Kennzahlen� Laufende Verringerung von Verletzungen von Service Level Zielen
� Selbst verursacht
� Durch OLA-Verletzung verursacht
� Durch UC-Verletzung verursacht
� Gesteigerte Kundenzufriedenheit
� Anteil der Services, die von SLA‘s erfasst sind und mit SLA‘s gesteuert werden
� Kritische Erfolgsfaktoren� Gesamtbetrachtung der IT-Services, keine punktuellen SLA‘s
� Intakte Schnittstelle zu den Anwendern und zu den Fachbereichen
� Entwickelter Dienstleistungsgedanke
� Kostenverrechnung auf SLA basierend (nicht pauschal) einführen
� Kein künstliches „Hochschrauben“ der Anforderungen
� Marketing, Hervorhebung des Beitrags der IT zum Unternehmenserfolg
Seite 36 © 2011 calpana business consulting RESTRICTED
SLM-Prozess in CRISAM®
IMPLEMENTIERUNG
Schritt 6
RISIKOMANAGEMENT
Schritt 4 und 5
strategisch operativ
RISIKOPOLITIKSchritt 1
GELTUNGSBEREICH
Schritt 2
RISIKOANALYSE
Schritt 3
CRISAM® quantifiziert die Zielvorgabe aus Managementsicht
CRISAM® spezifiziert den geforderten Service Level aus Nutzersicht
CRISAM® strukturiert den IT-Service und macht ihn messbar
CRISAM® liefert Berichte über die Erfüllung des SLA‘s
CRISAM® identifiziert die erforderlichen ToDo‘s, um den SLA punktgenau erfüllen
zu können
Seite 37 © 2011 calpana business consulting RESTRICTED
Zusammengefasste Beiträge des IT Risikomanagements zum IT Management
1. Trotz Kostendruck die richtigen und notwendigen Investitionen und Maßnahmenherausfinden.
2. Die geforderte Betriebssicherheit und Zuverlässigkeit sicherstellen.
3. Erforderliche Notfallvorsorgen, Notfallhandbücher und Notfallplanung bereitstellen.
4. Die nötige Transparenz und Nachvollziehbarkeit für Informationssicherheit in unternehmensübergreifenden Geschäftsprozessen herstellen.
5. Die vom Service Provider gelieferte Service-Qualität(SLA-Management) überprüfen.
6. Die kontinuierliche Verbesserung der Prozessqualität sicherstellen.
7. Die Komplexität und Vernetztheit der IT bewältigen.