Upload
ledien
View
214
Download
0
Embed Size (px)
Citation preview
Jimmy Heschl - 2
Agenda
Vorstellung und Zielsetzung
Überblick über aktuelle Entwicklungen der
IT-Governance
Nationale und Internationale Anforderungen an
IT-Compliance
Methoden / Standards
ITIL
COBIT
ISO27001
weitere Standards
Integration von COBIT mit ITIL, ISO 27001, etc
Jimmy Heschl - 3
Jimmy Heschl
Studium Wirtschaftsinformatik in Linz bwin Interactive AG Vorher: KPMG, EY, Stieglbrauerei Mitglied im Vorstand der ISACA Österreich Mitglied im COBIT Steering Committee, COBIT 5.0 Task Force Buch: IT Governance Mitautor von COBIT 4.0 / 4.1 Übersetzer von COBIT 4.0 für den deutschen Sprachraum Autor mehrerer Publikationen:
COBIT Mapping – Overview of International IT Guidance, 2nd Edition
Mapping of ITIL v2 & v3 Mapping of ISO/IEC 17799:2005 Board Briefing on IT Governance etc.
CISA, CISM, CGEIT, ITIL Service Management, ... Definition und Prüfung von IT Prozessen mit
unterschiedlichen Standards (COSO, COBIT, ITIL, 2700x, GSHB, ...) in unterschiedlichen Organisationen
Jimmy Heschl - 4
Leader in online gaming
• World’s leading provider of online Sports Betting
• One of the largest Poker networks
• Integrated gaming portal in 22 languages
• Active in 25 core markets
• Elements of success: brand and technology
Jimmy Heschl - 5
World-class performance
• >2.1m active customers (FY08)
• EURm 420,9 gross gaming revenues (FY09)
• Daily Page Views: >15m
• Daily Unique Visitors (peak): 980.000
• >70.000 payment transactions per day
• Number of servers: 6.500
• Data Centers: 9
Jimmy Heschl - 6
Flagship product: Sportsbetting
Europe‘s largest betting line-up
> 90 different sports covered
> 14.000 bets offered simultaneously
> 1 million placed bets per day
3,000 live events and 800 hours' live sports
programming each month
Jimmy Heschl - 7
Poker – Casino – Games
Europe‘s largest poker platform
• Up to 45.000 concurrent players
• Poker platform to handle ~ 250k users
• bwin offers extensive range of Casino games
• Constantly adding new games to portfolio
Jimmy Heschl - 8
Handling of payment transactions and issue
of prepaid cards
Advanced payment solutions
Complete range of payment services
Internally (bwin) and externally (merchants)
Comprehensive risk management and fraud prevention
‖Kalixa" prepaid Mastercard
Access to 1.2 million cash dispensers worldwide
Jimmy Heschl - 10
Den Betrieb der IT erhalten
Nutzen
Kosten
Komplexität meistern
Mit der Organisation integrieren
Einhaltung von Gesetzen
Sicherheit
Herausforderungen der IT
Viele Organisationen investieren große Summen und Ressourcen in die IT.
IT unterstützt die Unternehmensprozesse und hilft dabei, die Organisationsziele zu erreichen.
Die Herausforderungen der IT gehen von der Anpassung an die Unternehmenserfordernisse bis hin zum Management hoch-komplexer technologischer Risiken und Chancen.
Die Organe der Organisationen verfügen über wenig Transparenz in die Abläufe der IT-Abteilung(en).
Jimmy Heschl - 12
IT-Governance: Definition
Corporate
Governance
IT
Governance
Business
Informations
-systeme
Für IT-Governance sind Vorstand und Geschäfts-
führung verantwortlich. Sie ist integraler Bestandteil der Corporate Governance und besteht aus Führungs- und Organisationsstruk-turen sowie Prozessen, die sicherstellen, dass IT die Geschäftsstrategien und -ziele unterstützt und vorantreibt.
— IT Governance Institute
Jimmy Heschl - 13
Was ist IT-Governance?
IT-GOVERNANCE
IT-MANAGEMENT
• Ziel: sicherstellen, dass die IT die Geschäftsstrategien und -ziele unterstützt und
vorantreibt
• Methode: Führungs- und Organisationsstrukturen sowie Prozesse
• Verantwortung: Vorstand und Geschäftsführung
Setze die Strategie um • Erhöhe die Automation (mache das Kerngeschäft
wirksam)
• Senke Kosten (mache das Unternehmen wirtschaftlich)
• Manage Risiken (Security, Verlässlichkeit und
Compliance)
Setze Ziele • IT arbeitet im Sinne des Kerngeschäfts (Alignment)
• IT ermöglicht das Kerngeschäft (Enablement) und
maximiert den Nutzen (Value Delivery)
• IT Ressourcen werden verantwortungsvoll eingesetzt
• IT-bezogene Risiken werden angemessen gemanagt
Überführe
die Richtung
in eine
Strategie
Messe und
Berichte
über
Performance
Gib die
Richtung vor
Evaluiere
Performance
IT-GOVERNANCE
Jimmy Heschl - 14
IT-Governance
Direct and Control
Die klare Ausrichtung der Organisation, Prozesse und Ressourcen an gemeinsamen Zielen und das Monitoring der Zielerreichung
Aktivitäten
Beschreibung der notwendigen Aktivitäten zur Erreichung der Ziele
Zuständigkeit
Zuweisung von Ressourcen zu den Aktivitäten
Verantwortlichkeit
Übergabe und Übernahme der klaren Verantwortung für Aufgaben, Themen, Prozesse, etc, damit die Zielerreichung gewährleistet wird.
Intern
IT-Management
Unternehmensleitung,
Geschäftsführung
Aufsichtsrat
Risiko-Management
IT-Prüfer
Extern
Gesetzgeber
Externe Prüfer
Kunden
Lieferanten und Dienstleister
Verbundene Unternehmen
Betroffene und Beteiligte Prinzipien Betroffene und Beteiligte Prinzipien
Jimmy Heschl - 16
IT Governance – Warum?
Fragen des Aufsichtsrats bezüglich IT
Verfolgen wir die richtigen Vorhaben?
Verfolgen wir die Vorhaben richtig?
Werden die Aufgaben gründlich erledigt?
Wird effizient gearbeitet?
Bestehen Risiken, die wir nicht kennen?
Was passiert mit den Ressourcen, die für IT bereitstehen?
Druck auf das Unternehmen und die IT
Kostenkürzung, höhere Profite und Marktanteil
Höhere Funktionalität und einfachere Bedienung
Höhere Verantwortung bezüglich Datenschutz, etc.)
Jimmy Heschl - 17
IT-Governance – Warum?
§ 81 AktG: Bericht des Vorstands an den Aufsichtsrat
§ 82 AktG / § 22 GmbHG: Internes Kontrollsystem
§ 131 BAO: Ordnungsmäßigkeit der Buchführung
§ 38 BWG: Bankgeheimnis
§ 39 BWG: Sorgfaltspflicht und ORM
§ 14 DSG: Datensicherheitsmaßnahmen
§ 15 DSG: Anordnung durch den Arbeitgeber
Emittenten-Compliance-Verordnung – ECV
Corporate Governance Codex
KonTraG
...
Jimmy Heschl - 19
IT-Governance – Warum?
Fragen des Vorstandes bezüglich IT
Verfolgen wir die richtigen Vorhaben?
Verfolgen wir die Vorhaben richtig?
Werden die Aufgaben gründlich erledigt?
Wird effizient gearbeitet?
Gehen wir vernünftig mit den Ressourcen um?
Werden die Ziele erreicht?
Erkennen wir Chancen und ergreifen wir sie?
Druck auf das Unternehmen und die IT
Kostenkürzung, höhere Profite und Marktanteil
Höhere Funktionalität und einfachere Bedienung
Höhere Verantwortung bezüglich Datenschutz, etc.)
Jimmy Heschl - 20
IT-Governance
Erfolgreiche Unternehmen verstehen die Risiken und realisieren den Nutzen der IT und erreichen einen Weg, um
die IT-Strategie der Unternehmensstrategie anzupassen,
die Strategie und Ziele der IT in der Organisation herunter zu brechen,
Organisationsstrukturen zu etablieren, welche die Umsetzung von Strategien und Zielen ermöglichen,
Konstruktive Beziehungen und Kommunikation zwischen Kerngeschäft, IT und externen Partnern zu betreiben und
die IT-Performance zu messen.
Jimmy Heschl - 22
IT Governance Focus Areas (1)
Strategic Alignment (Strategische Ausrichtung)
Sicherstellung des Verbunds von Unternehmens- und IT Zielen
Festlegung, Beibehaltung und Validierung des Wertbeitrags
Abgleich zwischen operativem Betrieb des Unternehmens und jenem der IT
Value Delivery (Schaffen von Werten/Nutzen)
Realisierung des Wertbeitrags im Leistungszyklus
Sicherstellung der Generierung des strategisch geplanten Nutzen
Kostenoptimierung
Erbringung des intrinsischen Nutzen der IT
Resource Management (Ressourcenmanagement)
Optimierung von Investitionen in IT-Ressourcen
geregeltes Management von IT-Ressourcen
Optimierung von Wissen und Infrastruktur
Jimmy Heschl - 23
IT Governance Focus Areas (2)
Risk Management (Risikomanagement)
Risiko-Awareness bei der Unternehmensleitung
Verständnis über die Risikobereitschaft (engl: risk appetite)
Verständnis für Compliance-Erfordernisse
Transparenz über die für das Unternehmen wichtigsten Risiken
Integration der Verantwortlichkeit für Risikomanagement in der Organisation
Verfahren: Reduzieren, Transferieren, Akzeptieren, Vermeiden
Performance Measurement (Messen von Performance)
Verfolgen und überwachen der Umsetzung der Strategie und von Projekten
Verwendung von Ressourcen
Prozessperformance (Balanced Scorecard)
Leistungserbringung (engl: Service Delivery)
Jimmy Heschl - 24
Conformance
Performance
Es geht um Balance
Performance
Verbesserung der Profitabilität, Effizienz, Effektivität und Wachstum
Conformance
Einhaltung von Gesetzen, internen Vorgaben und Prüfungs-Erfordernissen
Governance erfordert einen Ausgleich zwischen Performance und Conformance nach den Vorgaben der Geschäftsführung
Jimmy Heschl - 25
IT Governance – Aufgaben
Aufgaben des Vorstandes
Herunterbrechen der Unternehmensstrategie und -ziele
für die IT
Organisatorische Ausrichtung der IT –
Prozessorientierung
Aufbau und Unterhalt des internen Kontrollsystems in
der IT
Messung der Zielerreichung
Setzen von
messbaren
Zielen je
Prozess
Ergebnis
vergleichenIT - Aktivitäten
Messen der Performance
Anpassen, falls nicht adäquat
Jimmy Heschl - 27
Frameworks und Standards
IT-Betrieb
IT P
lan
un
g
An
we
nd
un
gs-E
ntw
.
Ris
iko
& S
ecu
rity
Pro
jek
tma
na
ge
me
nt
Se
rvic
e M
an
ag
em
en
t
Qu
alitä
tsm
an
ag
em
en
t
COSO
Sarbanes
OxleyBasel II
Solvency II
8. EU Audit
Richtlinie
AktG /
GmbHG
COBIT
ValIT
V-
ModellISO
17799
27001
BS
25999PMI
PRINCE2
ITILISO20000
SixSigma
ISO9000
CMMI
Governance
Management
Betrieb
COBIT®
Jimmy Heschl - 28
1992 durch „The Committee of Sponsoring Organizations of the Treadway Commission‖ veröffentlicht
Gemeinsame Sprache über Kontrollen, Definitionen, Modelle
Unternehmensziele im Rahmen von COSO sind
Operations (Effektivität und Effizienz der Tätigkeiten der Unternehmung)
Financial Reporting (Erstellung von zuverlässigen Jahresabschlüssen)
Compliance (Einhaltung von Gesetzen und Regulationen)
Zielerreichung über die Ausgestaltung der Komponenten des Frameworks
Control Environment (Kontrollumfeld)
Risk Assessment (Risikobewertung)
Control Activities (Kontrollaktivitäten)
Information & Communication (Information & Kommunikation)
Monitoring (Überwachung)
Benchmark für interne Kontrollen und Verweis in SOX
Weiterentwicklungen:
September 2004: Enterprise Risk Management (COSO II)
Juni 2006: Guidance for Smaller Public Companies Reporting on Internal Control over Financial Reporting―
COSO (Internal Control - Integrated
Framework)
Jimmy Heschl - 30
Incident
Management
Problem
Management
Change
Management
Release
Management
Continuity
Management
Availability
Management
Capacity
Management
Financial
Management
Service Level
Management
Security Management
Configuration
Management
ITIL - IT Infrastructure Library
Jimmy Heschl - 31
ITIL V2 Service Delivery Processes
Availability
Management
Capacity
Management
IT Financial
Management
IT Service
Continuity
SLA’s, OLA’s, SLR’s
Service requests
Service catalogue
SIP
Exception reports
Audit reports
Availability Plan
AMDB
Design Criteria
Targets/Thresholds
Reports
Audit Reports
Capacity Plan
CDB
Targets/Thresholds
Capacity Reports
Schedule
Audit Reports
Financial Plans
Types & Models
Costs & Charges
Reports
Budgets & Forecasts
Audit Reports
IT Continuity Plans
BIA & Risk Analysis
Define Requirements
Control Centers
DR Contacts
Reports
Audit Reports
The Business, Customers &
Users
Requirements
Targets
Achievements
Queries
Enquiries
Communication
Updates
Reports
Service Level
Management
Man
ag
em
en
t To
ols
Ale
rts,
Excep
tio
ns,
Ch
an
ges
Jimmy Heschl - 32
ITIL V2 Service Support Processes
Management
Tools Difficulties
Queries, Enquiries
Communication
Updates
Work-arounds
Service Desk
Incidents
Incidents
CMDB
Change Schedule
CAB Minutes
Change Statistics
Change Reviews
Audit Reports
Releases
CIs
Relationships Problems
Known Errors Changes
CMDB Reports
CMDB Statistics
Policy/Standards
Audit Reports
Release Schedule
Release Statistics
Release Reviews
Secure Library
Testing standards
Audit Reports
Problem Statistics
Trend Analysis
Problem Reports
Problem Reviews
Diagnostic Aids
Audit Reports
Problem
Service Reports
Incident statistics
Audit Reports
Releases
Release
The Business, Customers & Users
Changes Incident
Change
Incidents
Configuration
Jimmy Heschl - 35
ITIL – Prozesse (Version 3)
• Financial Management
• Return on Investment
• Service Portfolio Mgmnt
• Demand Management
SERVICE STRATEGY
• Event Management
• Incident Management
• Request Fulfilment
• Problem Management
• Access Management
SERVICE OPERATION
• 7-Step Improvement Process
CONTINUAL SERVICE
IMPROVEMENT
• Service Catalogue Management
• Service Level Management
• Capacity Management
• Availability Management
• IT Service Continuity Management
• Information Security Management
• Supplier Management
SERVICE DESIGN
• Transition Planning and Support
• Change Management
• Service Asset & Configuration
Management
• Release & Deployment
Management
• Service Validation
• Evaluation
• Knowledge Management
SERVICE TRANSITION
Jimmy Heschl - 37
COBIT
COBIT = Control Objectives for Information and Related Technology
Prozessorientiertes Framework für die Steuerung von IT-Prozessen
Herausgegeben vom IT Governance Institute, früher ISACA
Inhalt wird vom COBIT Steering Committee gesteuert und von Universitäten, Experten aus den Bereichen IT-Management, Governance, Consulting und Audit entwickelt
Orientiert sich an Unternehmenszielen und Unternehmenserfordernissen
Werkzeug für Geschäftsführung, IT-Management und IT-Prozessmanager
Basiert auf einer Vielzahl internationaler Standards
Dokumente auf www.isaca.org zum Download und als Bücher verfügbar
Jimmy Heschl - 38
Unternehmensziele
IT Ziele
IT Prozesse
Der Ansatz von COBIT
IT Prozesse(mit Verantwortlichen)
liefernInformation
Anwendungen
Infrastruktur
und Personal
betreiben
benötigt
Unternehmensziel IT-Ziele
Finanz-
perspektive
1 Marktanteil erhöhen 25 28
2 Erträge erhöhen 25 28
3 Rendite 24
4 Kapitalverwertung optimieren 14
5 Geschäftsrisiken managen 2 14 17 18 19 20 21 22
6 Kunden- und Serviceorientierung erhöhen 3 23
7 Kostengünstige Produkte und Services anbieten 5 24
8 Verfügbarkeit von Services 10 16 22 23
9 Agilität bei Reaktion auf sich ändernde Geschäftsanforderungen (time to market) 1 5 25
10 Kostenoptimierung bei Serviceerbringung 7 8 10 24
11 Automatisierung und Integration der Wertschöpfungskette 6 7 8 11
12 Geschäftsprozess überarbeiten und verbessern 6 7 8 11
13 Prozesskosten reduzieren 7 8 13 15 24
14 Compliance mit Gesetzen und Regulativen 2 19 20 21 22 26 27
15 Transparenz 2 18
16 Compliance mit internen Regelungen 2 13
17 Betriebliche- und Mitarbeiterproduktivität steigern 7 8 11 13
18 Produkt-/Geschäftsinnovation 5 25 28
19 Verlässliche und nützliche Informationen für strategische Entscheidungen erlangen 2 4 12 20 26
20 Qualifizierte und motivierte MitarbeiterInnen einstellen und entwickeln 9
Lern- und
Wachstums-
perspektive
Finanz-
perspektive
Kunden-
perspektive
Interne
Perspektive
ProzesseIT-Ziele
1 Reagiere auf Geschäftsanforderungen in Übereinstimmung mit der Unternehmensstrategie PO1 PO2 PO4 PO10 AI1 AI6 AI7 DS1 DS3 ME1
2 Reagiere auf Anforderungen der Governance entsprechend der Geschäftsführungs-vorgaben PO1 PO4 PO10 ME1 ME3
3 Stelle die Enduser-Zufriedenheit mit den Serviceangeboten und Service Levels sicher PO8 AI4 DS1 DS2 DS7 DS8 DS10 DS13
4 Optimiere die Verwendung von Information PO2 DS11
5 Stelle IT-Agilität her PO2 PO4 PO7 AI3
6Definiere, wie funktionale geschäftliche und Steuerungsanforderungen in wirksame und wirtschaftliche automatisierte Lösungen überführt
werden.AI1 AI2 AI6
7 Beschaffe und unterhalte integrierte und standardisierte Anwendungssysteme PO3 AI2 AI5
8 Beschaffe und warte integrierte und standardisierte IT-Infrastruktur AI3 AI5
9 Beschaffe und erhalte IT-Skills, die der IT-Strategie entsprechen PO7 AI5
10 Stelle gegenseitig zufriedenstellende Lieferantenbeziehungen sicher DS2
11 Integriere die Anwendungen und Technologielösungen nahtlos in Geschäftsprozesse PO2 AI4 AI7
12 Stelle Transparenz und Verständnis von IT -Kosten, Nutzen, Strategie, Richtlinien und Service Levels sicher PO5 PO6 DS1 DS2 DS6 ME1 ME4
13 Stelle die angemessene Verwendung und Performance der Anwendungen und technischen Lösungen sicher PO6 AI4 AI6 AI7 DS7 DS8
14 Übernimm die Verantwortung für und schütze alle IT-Anlagen PO9 DS5 DS9 DS12 ME2
15 Optimiere IT-Infrastruktur, Ressourcen und Fähigkeiten PO3 AI3 DS3 DS7 DS9
16 Reduziere Mängel und Nacharbeit bei Lösungen und dem Servicebetrieb PO8 AI4 AI6 AI7 DS10
17 Schütze die Erreichung der IT-Ziele PO9 DS10 ME2
18 Schaffe Klarheit über die Geschäftsauswirkungen der Risiken von IT-Zielen und -Ressourcen PO9
19 Stelle den Schutz von kritischen und vertraulichen Informationen vor unberechtigtem Zugriff sicher PO6 DS5 DS11 DS12
20 Stelle sicher, dass automatischen Transaktionen und Informationsaustausch vertraut werden kann PO6 AI7 DS5
21Stelle sicher, dass IT-Services und Infrastruktur Ausfällen auf Grund von Fehlern, bewussten Angriffen oder Katastrophen standhalten können
und ihre Wiederherstellung gewährleistet istPO6 AI7 DS4 DS5 DS12 DS13 ME2
22 Stelle sicher, dass der Einfluss einer IT-Service-Störung oder -Änderung auf das Geschäft minimiert ist PO6 AI6 DS4 DS12
23 Stelle die Verfügbarkeit der IT-Services gemäß den Anforderungen sicher DS3 DS4 DS8 DS13
24 Verbessere die Kosteneffizienz der IT und ihren Beitrag zum Unternehmenserfolg PO5 AI5 DS6
25 Setze Projekte pünktlich und im Budgetrahmen und unter Einhaltung der Qualitätsstandards um PO8 PO10
26 Erhalte die Integrität der Informationen und die diese Informationen verarbeitende Infrastruktur AI6 DS5
27 Stelle die IT-Compliance mit Gesetzen und Vorschriften sicher DS11 ME2 ME3 ME4
28Stelle sicher, dass die IT eine kosteneffiziente Servicequalität, eine kontinuierliche Verbesserung und Bereitschaft für zukünftige Veränderung
zeigtPO5 DS6 ME1 ME3
Jimmy Heschl - 39
Unternehmens- und IT-Ziele - Beispiel
Unternehmensziel 8
Verfügbarkeit von
Produkten
IT-Ziel 23
Stelle die
Verfügbarkeit der IT-
Services gemäß den
Anforderungen sicher
IT-Ziel 22
Stelle sicher, dass der
Einfluss einer IT-
Service-Störung oder
IT-Änderung auf das
Geschäft minimiert ist
IT-Ziel 16
Reduziere Mängel
und Nacharbeit bei
Lösungen und dem
Servicebetrieb
IT-Ziel 10
Stelle für beide
zufrieden-
stellende
Lieferantenbezie
hungen sicher
DS2 PO8 AI4 AI6 AI7 DS10 PO6 AI6 DS4 DS12 DS3 DS4 DS8 DS13
BS
C -
Pe
rsp
ektiv
en
Finanz
Service
Intern
Lernen und
Wachstum
Jimmy Heschl - 40
Vom Ziel zur Architektur
Unternehmensziele
für IT
IT Ziele
Unternehmens-
architektur für IT
bestimmen
messen
messen
bestimmen
IT S
co
rec
ard
Unternehmens- und
Governance-
Erfordernisse
Jimmy Heschl - 42
COBIT IT-Prozesse
INFORMATION
Monitor and
Evaluate
Deliver and
Support Acquire and
Implement
Plan and
Organise
PO1 Define a strategic IT plan
PO2 Define the information architecture
PO3 Determine technological direction
PO4 Define the IT processes, organisation and
relationships
PO5 Manage the IT investment
PO6 Communicate management aims and direction
PO7 Manage IT human resources
PO8 Manage quality
PO9 Assess and manage IT risks
PO10 Manage projects
AI1 Identify automated solutions
AI2 Acquire and maintain application software
AI3 Acquire and maintain technology infrastructure
AI4 Enable operation and use
AI5 Procure IT resources
AI6 Manage changes
AI7 Install and accredit solutions and changes
DS1 Define and manage service levels
DS2 Manage third-party services
DS3 Manage performance and capacity
DS4 Ensure continuous service
DS5 Ensure systems security
DS6 Identify and allocate costs
DS7 Educate and train users
DS8 Manage service desk and incidents
DS9 Manage the configuration
DS10 Manage problems
DS11 Manage data
DS12 Manage the physical environment
DS13 Manage operations
ME1 Monitor and evaluate IT performance
ME2 Monitor and evaluate internal control
ME3 Ensure regulatory compliance
ME4 Provide IT governance
• Efficiency • Effectiveness • Confidentiality • Integrity • Availability • Compliance • Reliability
• Applications • Information • Infrastructure • People
IT RESSOURCES
Monitor and Evaluate
Plan and Organise
Acquire and Implement
Deliver and Support
Jimmy Heschl - 43
Bestandteile von Prozessen (1/5)
Prozessbeschreibung
Domäne und
Information-Criteria
IT-Ziele
Prozessziele
wichtige Aktivitäten
wichtige Metriken
IT Governance
& IT-Resources
Jimmy Heschl - 44
Bestandteile von Prozessen (2/5)
RACI-Chart zur Darstellung der Verantwortlichkeiten, zB
Inputs und Outputs, zB
Aktivitäten CE
O
CFO
Busi
ness
Exe
cutiv
eC
IO
Gesc
häftsp
roze
sseig
ner
Leitu
ng B
etrie
bC
hie
f A
rchite
ctLeitu
ng E
ntw
ickl
ung
Leitu
ng IT-A
dm
inis
tratio
n
Pro
jekt
büro
Com
plia
nce
, A
udit,
Ris
k und S
ecu
rity
Serv
ice D
esk
/
Inci
dent M
anager
Erstelle Klassifikations- (Schweregrad und Auswirkung) und
Eskalationsverfahren (funktional und hierarchisch) C C C C C C C A/R
Erkenne und erfasse Incidents / Serviceanfragen / Informationsanfragen A/R
Klassifiziere, ermittle und diagnostiziere Anfragen I C C C I A/R
Behebe, löse und schließe Incidents I R R R C A/R
Informiere Benutzer (zB Statusaktualisierungen) I I A/R
Erstelle Managementauswertungen I I I I I I A/R
Funktionen
Von Inputs
AI4 Benutzer-, Betriebs-, Support-, technische und administrative Handbücher
AI6 Freigabe von Changes
AI7 Configuration Items (Released)
DS1 SLAs und OLAs
DS4 Incident- und Katastrophen-Schwellwerte
DS5 Definition Security Incidents
DS9 Details zur IT-Konfiguration / Assets
DS10 Known Problems, Known Errors und Workarounds
DS13 Incident-Tickets
Outputs Nach Service-Requests/Request for Change
AI6
Berichte über Incidents DS10
Berichte über Prozessperformance
ME1
Berichte über Benutzerzufriedenheit
DS7 ME1
Jimmy Heschl - 45
Aktivitäten IT Prozesse Unternehmen
Zie
le
Me
ss
grö
ßen
Bestandteile von Prozessen (3/5)
Ziele und Messgrößen und deren Verbindung
Installation und Betrieb eines
Service Desk
Überwachung und
Berichterstattung von Trends
Abstimmung der
Lösungsprioritäten von
Ereignissen mit
Unternehmensanforderung
Festlegung …
setze
% der Ereignisse und
Serviceanfragen, die reportet
und mittels automatisierter Tools
protokolliert wurden
Anzahl der Schulungstage pro
Service Desk MitarberInnen pro
Jahr
Anzahl der pro Service Desk
MitarbeiterIn pro Stunde
bearbeiteten Anrufe
% der Ereignisse, die …
miss
Analysiere, dokumentiere
und eskaliere
Incidentszeitgerecht
Reagiere auf Anfragen exakt
und zeitgerecht
Führe regelmäßig
Trendanalysen der
Incidentsund Anfragen durch
setze
% der direkten Lösungen
basierend auf der
Gesamtzahl der Anfragen
% der erneut geöffneten
Incidents
Anteil der abgebrochenen
Calls
Durchschnittliche Dauer der
Incidentsnach Schweregrad
Durchschnittliche …
miss
Benutzerzufriedenheit mit
dem Erst-Support (Service
Desk oder Knowledge Base)
% der innerhalb einer
vereinbarten/akzeptablen
Zeitspanne gelösten
Incidents
miss
Kunden- und
Serviceorientierung erhöhen
Verfügbarkeit von Services
Prozesskosten reduzieren
Compliance mit internen
Regelungen herstellen
Stelle die Enduser-
Zufriedenheit mit
Serviceangeboten und
Service Levels sicher
Stelle die angemessene
Verwendung und
Performance der
Anwendungen und
technischen Lösungen sicher
Stelle …
setze
Jimmy Heschl - 48
Reifegradmodell (Maturity Model)
0 .. Nicht existent
1 .. Initial
2 .. Wiederholbar
3 .. Definiert
4 .. Monitoringfunktionen
5 .. Optimiert und Automatisiert
Derzeitiger Status
Internationaler Standard
Strategisches Ziel
Symbole Reifegrade
0 1 2 3 4 5
Non-existent
(nicht existent)
Initial
(initial)
Repeatable
(wiederholbar)
Defined
(definiert)
Managed
(gemanagt)
Optimised
(optimiert)
Jimmy Heschl - 49
Reifegradmodell - Attribute
Bewusstsein und Kommunikation
Policies, Standards und Verfahren
Werkzeuge und Automatisierung
Skills und Expertise
Zuständigkeit und Verantwortlichkeit
Zielsetzung und Messung
Jimmy Heschl - 50
Generisches Reifegradmodell
to-be
improvement measures
as-is
Awareness and
Communication
Policies,
Standards and
Procedures
Tools and
Automation
Skills and
Expertise
Responsibility
and
Accountability
Goal Setting and
Measurement
5
4
3
2
1
Overall
Process
Maturity
Maturity Attributes
Jimmy Heschl - 51
Reifegradmodell – IT-Ebene
Lücken sind
erkannt: Ist- zu
Sollreife
Plan zur
Verbesserung
und Umsetzung
Prüfung, ob Ziele
erreicht wurden
Plan and Organize
0
1
2
3
4
5
PO 1
PO 2a
PO 2b
PO 3
PO 4
PO 5
PO 6
PO 7
PO 8
PO 9
PO 10
PO 11
Acquire and Implement
0
1
2
3
4
5
AI 1
AI 2
AI 2
AI 3
AI 4a
AI 4b
AI 5
AI 6a
AI 6b
AI 7
Deliver and Support
0
1
2
3
4
5
DS 1a
DS 1bDS 2
DS 3
DS 4
DS 5a
DS 5b
DS 5c
DS 5d
DS 5eDS 5fDS 6
DS 7
DS 8
DS 9
DS 10
DS 11a
DS 11b
DS 12
DS 13aDS 13b
Monitor and Evaluate
0
1
2
3
4
5
ME 1
ME 2
ME 3
ME 4
Jimmy Heschl - 53
ISO/IEC 27002:2005
Historie:
CoP for Security Management
BS7799 Part 1
ISO 17799:2000, 2005
Best Practice für Informations-Sicherheit
Herausgegeben von der ISO
Zeitweise im Konflikt mit BSI - Grundschutzhandbuch
Zertifizierung nach ISO/IEC 27001:2005 (BS7799 Part 2)
Jimmy Heschl - 54
Inhalt (1)
Security Policy
Eine Security Policy gibt die Richtung vor
Enthält das Commitment und die Unterstützung des Managements
Ist in der gesamten Organisation kommuniziert
Organizing information security
Unterstützung durch das Management
Koordination der Aktivitäten
Vertraulichkeitsvereinbarungen
Kontakt mit öffentlichen Stellen
Unabhängiger Review
Risiken aus der Verbindung mit Drittparteien
Jimmy Heschl - 55
Inhalt (2)
Asset Management
Inventar der Assets
Verantwortung für Assets (benannter Eigner)
Klassifikation von Informationen
Human Resources
Sicherheitserfordernisse für Mitarbeiter
Verantwortlichkeit für Security
Vertraulichkeitsvereinbarungen
Screening von Personal
Schulung und Training zu Information Security
Prozess für das Reporting von Security Incidents, Schwachstellen und Software-Fehlern
Formaler Disziplinarprozess
Regelungen für Beendigung und Wechsel
Jimmy Heschl - 56
Inhalt (3)
Physiche Sicherheit und Schutz vor Umwelteinflüssen
Sichere und angemessen abesichterte Bereiche (Büros, zentrale
Einrichtungen, Bereiche zur Anlieferung)
Schutz gegen Verlust, Beschädigung und Kompromittierung
Anordnung von Stromzufuhr
Sicherheit von Verkabelungen
Wartung der Einrichtungen
Einrichtungen, die außerhalb der zentralen Anlagen installiert sind
Vernichtung oder Wiederverwendung von Informationen
Allgemeine Controls zum Schutz von Einrichtungen (Clear Desk
Policy, Clear Screen Policy, …)
Jimmy Heschl - 57
Inhalt (4)
Management von Kommunikation und Betrieb
Dokumentierte Verfahren
Dokumentierte Changes inklusive Incident Management
Funktionstrennung
Vorausbestimmung des Kapazitätsbedarfs
Akzeptanzkriterien für neue Systeme
Kapazitätsplanung
Bösartige Software
Backup von Informationen
Logging von Fehlern, die durch Betriebsmitarbeiter verursacht wurden
Aufbau und Betrieb von Netzwerken
Schutz und Vernichtung von sensiblen Informationen
Verwendung von E-Commerce Diensten
Logging von relevanten Aktivitäten
Bewertung der Wirksamkeit der Controls
Jimmy Heschl - 58
Inhalt (5)
Zugriffsschutz
Erteilung von Zugriff zu Information
Formale Zugriffsschutz Policy
Regeln für den Zugriffsschutz
Management von Benutzern
Definition von Verantwortlichkeiten
Schutz von vernetzten Services, Betriebssystem und Anwendungen
Zugriff ist auf autorisierte User beschränkt
Überwachung von Systemzugriffen und –verwendung
Mobile Rechner und Teleworking
Jimmy Heschl - 59
Inhalt (6)
Beschaffung, Entwicklung und Wartung von Systemen
Definition von Security-Anforderungen
Eingabe-, Verarbeitungs- und Ausgabekontrollen
Verwendung von Kryptographie
Sicherheit von und Zugriff zu Systemdateien
Absicherung von Einrichtungen im Entwicklungs- und Supportbereich
Information Security Incident Management
Reporting von Incidents und Schwachstellen
Verantwortlichkeiten
Verfahren
Jimmy Heschl - 60
Inhalt (7)
Business Continuity Management
Verhinderungen von Unterbrechungen der Business-
Prozesse
Übergeordnetes BCP
Durchführung eines Business Impact Assessments
Test, Wartung und Beurteilung des BCP
Compliance
Identifikation von gesetzlichen Anforderungen
Compliance mit gesetzlichen Anforderungen
Compliance mit der Security Policy
Jimmy Heschl - 62
Die Stimme der anderen …
Establish frameworks to ease Governance
Implementation
First COBIT for overall governance
Then ITIL for service delivery and management
Then ISO 17799 for information security
Balanced Scorecard for measurement and
communication
Quelle: Forrester
Helping Business Thrive On Technology Change
A Road Map To Comprehensive IT Governance
by Craig Symons, Jan 2006
Jimmy Heschl - 63
COBIT & ITIL (v2)
by Jimmy Heschl
2
1
4
3
6
5
7
2 1 4 3 6 5 8 7 10 9
2 1 4 3 6 5 8 7 10 9 12 11 13
2
1
4
3 Plan and Organize
A c q
u i r e a n
d I m
p l e m
e n t
Deliver and Support
M o n i t
o r
a n d E
v a l u
a t e
A
cq
uire
an
d M
ain
tain
M
on
ito
r a
nd
Ev
alu
ate
Deliver and Support
Plan and Organize
1 2 3 4 5 6 7 8 9 10 11 12 13
12
34
12
34
56
1 2 3 4 5 6 7 8 9 10 11
CobiT and ITIL by Jimmy Heschl
1 11 Good coverage Partly addressed No or weak coverage on Process-Level
Coverage of CobiT Processes by ITIL Processes
Se
rvic
e S
up
po
rt
Se
rvic
e S
up
po
rt
Se
rvic
e S
up
po
rt
Se
rvic
e S
up
po
rt
Se
rvic
e S
up
po
rt
Se
rvic
e S
up
po
rt
Se
rvic
e D
eliv
ery
Se
rvic
e D
eliv
ery
Se
rvic
e D
eliv
ery
Se
rvic
e D
eliv
ery
Se
rvic
e D
eliv
ery
Se
rvic
e D
esk
Incid
en
t
Ma
na
ge
me
nt
Pro
ble
m
Ma
na
ge
me
nt
Ch
an
ge
Ma
na
ge
me
nt
Re
lea
se
Ma
na
ge
me
nt
Co
nfig
ura
tio
n
Ma
na
ge
me
nt
Se
rvic
e L
eve
l
Ma
na
ge
me
nt
Ava
ilab
ility
Ma
na
ge
me
nt
Ca
pa
city
Ma
na
ge
me
nt
Fin
an
cia
l
Ma
na
ge
me
nt
Co
ntin
uity
Ma
na
ge
me
nt
Jimmy Heschl - 64
Service
RequestService request Verfahren
Erkennung und Aufzeichung
Klassifikation und erster Support
Nachforschung und Diagnose
Lösung und Wiederherstellung
Abschluss des Incident
Ve
ran
two
rtu
ng
, Ü
be
rwa
ch
un
g, V
erf
olg
un
g
un
d K
om
mu
nik
ation
de
r L
ösu
ng
Gegenüberstellung ITIL und COBIT
zB. Incident Management
DS8.2 Registration of customer queries
(Registrierung von Kundenanfragen)
DS8.3 Incident escalation
(Eskalation von Incidents)
DS8.4 Incident closure
(Schließen von Incidents)
Jimmy Heschl - 65
V3 Highest-Level Mapping
INFORMATION
Monitor and
Evaluate
Deliver and
Support Acquire and
Implement
Plan and
Organise
• Efficiency • Effectiveness • Confidentiality • Integrity • Availability • Compliance • Reliability
• Applications • Information • Infrastructure • People
IT RESSOURCES
Jimmy Heschl - 66
V3 High-Level Mapping
by Jimmy Heschl
21
43
65
721 43 65 87 109
21 43 65 87 109 1211 13
21
43
Plan and OrganiseA
cqu
ire and
Imp
lemen
t
Deliver and Support
Mo
nit
or
and
Eva
luat
e
full none
COBIT processes addressed by
IT Infrastucture Library v3
x x x
Jimmy Heschl - 67
V3 Detailled Mapping (excerpt)
COBIT
Control
Objective
Name
ITIL
Coverage
PO1 Define a Strategic
IT Plan
SS 1 Introduction
SS 2 Service management as a practice
SS 3 Service Strategy principles
SS 3.5 Service Strategy fundamentals
SS 4 Service strategy
…
A+
PO1.1 IT Value
Management
SS 2.2 What are services?
SS 3.1 Value creation
SS 3.4 Service structures
SS 4.4 Prepare for execution
SS 5.1 Financial Management
SS 5.2 Return on Investment
SS 5.3 Service Portfolio Management
C
PO1.2 Business-IT
Alignment
SS 2.1 What is service management
SS 2.3 The business process
SS 2.4 Principles of service management
C
PO1.3 Assessment of
Current Capability
and Performance
SS 4.4 Prepare for execution
CSI 5.2 Assessments
C
PO1.4 IT Strategic Plan SS 3.3 Service provider types
SS 3.5 Service Strategy fundamentals
SS 4.1 Define the market
SS 4.2 Develop the offerings
SS 4.3 Develop strategic assets
…
C
PO1.5 IT Tactical Plans SS 4.4 Prepare for execution
SS 7.1 Implementation through the lifecycle
SS 7.2 Strategy and Design
…
C
Jimmy Heschl - 68
by Jimmy Heschl
21
43
65
7
21 43 65 87 109
21 43 65 87 109 1211 13
21
43
Plan and Organize
Acq
uire a
nd
Main
tain
Deliver and Support
Mon
itor
an
d E
valu
ate
CobiT 4.0 processes addressed by
ISO/IEC 17799:2005
COBIT & ISO/IEC 27002:2005
Jimmy Heschl - 69
by Jimmy Heschl
21
43
65
7
21 43 65 87 109
21 43 65 87 109 1211 13
21
43
Plan and Organize
Acq
uire a
nd
Ma
inta
in
Deliver and Support
Mo
nit
or
an
d E
va
lua
te
CobiT 4.0 processes addressed by
IT Baseline Protection Manual
COBIT & BSI Grundschutzhandbuch
Jimmy Heschl - 70
COBIT & viele andere …
by Jimmy Heschl
21
43
65
7
21 43 65 87 109
21 43 65 87 109 1211 13
21
43
Plan and Organize
Acq
uire a
nd
Ma
inta
in
Deliver and Support
Mo
nit
or
an
d E
va
lua
te
CobiT 4.0 processes addressed by
COSO Internal Control -
Integrated Framework
by Jimmy Heschl
21
43
65
7
21 43 65 87 109
21 43 65 87 109 1211 13
21
43
Plan and Organize
Acq
uire a
nd
Ma
inta
in
Deliver and Support
Mo
nit
or
an
d E
va
lua
te
CobiT 4.0 processes addressed by
FIPS PUB 200
by Jimmy Heschl
21
43
65
7
21 43 65 87 109
21 43 65 87 109 1211 13
21
43
Plan and Organize
Acq
uire a
nd
Ma
inta
in
Deliver and Support
Mo
nit
or
an
d E
va
lua
te
CobiT 4.0 processes addressed by
ISO/IEC TR 13335
by Jimmy Heschl
21
43
65
7
21 43 65 87 109
21 43 65 87 109 1211 13
21
43
Plan and Organize
Acq
uire a
nd
Ma
inta
in
Deliver and Support
Mo
nit
or
an
d E
va
lua
te
CobiT 4.0 processes addressed by
ISO/IEC 15408:2005
by Jimmy Heschl
21
43
65
7
21 43 65 87 109
21 43 65 87 109 1211 13
21
43
Plan and Organize
Acq
uire a
nd
Ma
inta
in
Deliver and Support
Mo
nit
or
an
d E
va
lua
te
CobiT 4.0 processes addressed by
PRINCE2
by Jimmy Heschl
21
43
65
7
21 43 65 87 109
21 43 65 87 109 1211 13
21
43
Plan and Organize
Acq
uire a
nd
Ma
inta
in
Deliver and Support
Mo
nit
or
an
d E
va
lua
te
CobiT 4.0 processes addressed by
PMBOK©
by Jimmy Heschl
21
43
65
7
21 43 65 87 109
21 43 65 87 109 1211 13
21
43
Plan and Organize
Acq
uire a
nd
Ma
inta
in
Deliver and Support
Mo
nit
or
an
d E
va
lua
te
CobiT 4.0 processes addressed by
TickIT
by Jimmy Heschl
21
43
65
7
21 43 65 87 109
21 43 65 87 109 1211 13
21
43
Plan and Organize
Acq
uire a
nd
Ma
inta
in
Deliver and Support
Mo
nit
or
an
d E
va
lua
te
CobiT 4.0 processes addressed by
CMMI
by Jimmy Heschl
21
43
65
7
21 43 65 87 109
21 43 65 87 109 1211 132
14
3
Plan and Organize
Acq
uire a
nd
Ma
inta
in
Deliver and Support
Mo
nit
or
an
d E
va
lua
te
CobiT 4.0 processes addressed by
NIST 800-14
Jimmy Heschl - 71
Ausblick
Die Zeit ist reif
Für nachvollziehbare und messbare IT-Prozesse
Einhaltung internationaler Standards
Interne Kontrollsysteme auch in der IT
Die Umsetzung erfordert (hohen) Aufwand
Nutzen ist auch kurzfristig zu erzielen (ROI hoch)
Professionelle Unterstützung empfehlenswert –
besonders auch mit Prüfungs- und Kontroll – Know
How
Jimmy Heschl - 73
Abkürzungsverzeichnis
AC Application Control AD Application Development AI Acquire and Implement AICPA American Institute of CPAs AktG Aktiengesetz BAO Bundesabgabenordnung BCP Business Continuity/Contingency
Planning BS British Standard BSC Balanced Scorecard BWG Bankwesengesetz CAB Change Advisory Board CAB/EC Change Advisory Board for
Emergency Changes CEO Chief Executive Officer CFO Chief Financial Officer CI Configuration Item CIO Chief Information Officer CISA Certified Information Systems
Auditor CISM Certified Information Security
Manager CMDB Configuration Management
Database CMM Capability Maturity Model CMMI Capability Maturity Model
Integrated CMO Chief Marketing Officer COBIT Control Objectives for Information
and Related Technology COSO Committee of Sponsoring
Organisations DB Database DS Deliver and Support DSG Datenschutzgesetz ECV Emittenten-Compliance-
Verordnung
FAIT Fachgutachten zur Prüfung der IT FIPS Federal Information Processing
Standard FS DV Fachsenat für Datenverarbeitung FS HR Fachsenat für Handelsrecht FSC Forward Schedule of Changes GoB Grundsätze ordnungsgemäßer
Buchführung GSHB Grundschutzhandbuch HIPAA Health Insurance Portability and
Accountability Act HW Hardware ICOFR Internal Control Over Financial
Reporting ICT Information and Communication
Technology IDS Intrusion Detection System IDW Institut der Wirtschaftsprüfer IEC International Electro technical
Commission IFAC International Federation of
Accountants IKS Internes Kontrollsystem IRM Information Risk Management ISA International Standards on
Auditing ISACA Information Systems Audit and
Control Association ISO International Standardisation
Organisation ISP Internet Service Provider IT Informationstechnologie,
Information and related Technology
IT-BPM IT Baseline Protection Manual ITGC IT General Controls ITGI IT Governance Institute ITIL IT Infrastructure Library
ITIM IT Infrastructure Management ITSM IT Service Management KFS Kammer Fachsenat für
Datenverarbeitung KFS/DV1 Fachgutachten 1 des KFS KFS/DV2 Fachgutachten 2 des KFS KGI Key Goal Indicator KonTraG Kontroll- und Transparenzgesetz KPI Key Performance Indicator ME Monitor and Evaluate NIST National Information Security and
Technology OP Operation PC Process Control PCAOB Public Company Accounting
Oversight Board PMBOK Project Management Body of
Knowledge PO Plan and Organise PRINCE Projects in Controlled
Environments PS Prüfungsstandard PSA Projected Service Availability RFC Request for Change ROI Return-On-Investment RZ Rechenzentrum SAS Statement on Auditing Standard SD Service Desk SLA Service Level Agreement SLM Service Level Management SLR Service Level Requirements SOX Sarbanes Oxley Act SQP Service Quality Plan SW Software UC Underpinning Contract