ITIL, ISPL, COBIT, ISO, MOF, SCP

Standards und ihre Beziehungen

Ullrike Buhl5.5.2004 in München

Seite 2

Agenda

1. Schwerpunkte der einzelnen Standards

und die Zertifizierungsmöglichkeiten

2. Gegenüberstellung / Unterschiede

3. Abgrenzung oder Ergänzung -

Wege zum Zusammenspiel

4. Nutzen und Mehrwert in der Praxis

Seite 3

ITIL Service Management

Information Technologie Infrastructure Library

w de-facto Standard zur Planung und Umsetzung von Service-Management Prozessenw Besitzer: OGC in England

Unterstützer: itSMF internationalw Zertifizierungen: Mitarbeiter, Tools, Prozesse

1. Schwerpunkte

Seite 4

Dienstleistungen

IT-Prozesse nach ITIL

IT-Verfahren

Funktionsbereiche

GeschäftsprozesseKunden /

Fachbereiche

IT-Organisation

ITIL1. Schwerpunkte

Seite 5

ITIL Gesamt

Information Technologie Infrastructure Library

1. Schwerpunkte

• ITIL Service Support• ITIL Service Delivery• ICT Infrastructure Management• Planning to implement Service Management• Application Management• Software Asset Management• Security Management• The Business Perspective

Seite 6

ISPL

Information Services Procurement Library

w „best practice“ für das Management von Akquise-Prozessen

w Besitzer: EXIN, FAST, ID Research, SEMA, TIEKE

Unterstützer: itSMF International (SIG)w Zertifizierungen: Mitarbeiter

1. Schwerpunkte

Seite 7

ISPL

Produkte

w Trainingsw Zertifizierungen (Foundation, Procurement Mgr.)w Database (best practice information; www.marex.fi)w Tool mit Templates (Risk Mgmt., Delivery Planning)w Web Server (www.fast.de/ispl)w User Group (SIG des itSMF)w Bücher

(Managing Acquisition Process, Specifying deliveries, Managing Risks and Planning deliverables, Dictionary)

1. Schwerpunkte

Seite 8

ISPL1. Schwerpunkte

Start AcquisitionBeschaffung

AbschlussAcquisition

Zieldefinition

Planung

Auswahl

Vertrags-verwaltung

Vertragsende

für ongoing services, projects

Seite 9

COBIT

Controled OBjectives for Information and related

Technology

w International anerkannter Standard für IT, Sicherheit, Qualitätssicherung und Ordnungsmäßigkeit

w Besitzer: ISACA w Zertifizierung / Audit:

Reifegradmessungen der Prozesse durch zertifizierte Auditoren

1. Schwerpunkte

Seite 10

In COBIT integrierte Quelleninsgesamt 41 nationale und internationale Standards

w Technische Standards von ISO, EDIFACT, usw.

w Codes of conduct herausgegeben durch EU, OECD, ISACA, usw.

w Qualifikationskriterien für IT-Systeme und -Prozesse: ITSEC, TCSEC, ISO 9000, SPICE, TickIT, ITIL , Common Criteria, usw.

w Berufsstandards in interner Kontrolle und Revision: COSO Report, IFAC, AICPA, IIA, ISACA, PCIE, GAO Standards, usw.

w Industrie-Praktiken und Anforderungen von Industrie-gremien (ESF, I4) und staatlich-gesponsorten Plattformen (IBAG, NIST, DTI), usw.

w Neue industrie-spezifische Anforderungen aus den Umfeld Banken, Electronic Commerceund IT-Herstellern

Seite 11

COBIT1. Schwerpunkte

Seite 12

COBITw DS10 - Umgang mit Problemen und Zwischenfällen

n Kontrolle über den IT-ProzessUmgang mit Problemen und Zwischenfällen

n zur Erfüllung der GeschäftsanforderungenSicherstellen, dass Probleme und Zwischenfälle gelöst und dass die Ursache zur Vermeidung von Wiederholungen untersucht wird

n wird ermöglicht durchein Problemmeldewesen, das alle Zwischenfälle aufzeichnet und weiterverfolgt.

n Dabei werden berücksichtigt• ausreichende Prüfspur von

Problemen und Lösungen• rechtzeitige Erledigung von

festgestellten Problemen• Eskalationsverfahren• Berichte über Vorfälle

Seite 13

COBIT

w Critical Success Factorsn die Wahrscheinlichkeit des

Prozesserfolges zu erhöhenn beobachtbare Charakteristik

der Organisation und der Prozesse

n fokussieren auf Schaffen, Behalten und Fördern von Wissen, Fähigkeiten und Verhalten

DS10 - Critical Success Factors• There is clear integration of problem

management with availability and changemanagement

• Accessibility to configuration data, as well as theability to keep track of problems for eachconfiguration component, is provided

• An accurate means of communicating problemincidents , symptoms, diagnosis and solutions to the proper support personnel is in place

• Accurate means exist to communicate to usersand IT the exceptional events and symptoms thatneed to be reported to problem management

• Training is provided to support personnel in problem resolution techniques

• Up-to-date roles and responsibilities charts areavailable to support incident management

• There is vendor involvement during probleminvestigation and resolution

• Post-facto analysis of problem handlingprocedures is applied

Seite 14

COBIT

w Key Goal Indicatorsn beschreiben das Ergebnis

eines Prozesses z.B.messbar nach dem Eintreten von…; Messung«wovon»;

n sind Indikatoren für den Erfolg eines Prozesses

DS10 - Key Goal Indicators• A measured reduction of the impact of

problems and incidents on IT resources

• A measured reduction in the elapsedtime from initial symptom report to problem resolution

• A measured reduction in unresolvedproblems and incidents

• A measured increase in the number of problems avoided through pre-emptive fixes

• Reduced time lag betweenidentification and escalation of high-risk problems and incidents

Seite 15

COBIT

w Key Performance Indicatorsn messen, “wie gut” ein Prozess

funktioniertn sagen die Wahrscheinlichkeit

von Erfolg oder Misserfolg voraus

n werden in präzisen messbaren Werten ausgedrückt

n sollten einen wichtigen Beitrag zur Verbesserung des IT Prozesses leisten

DS10 - Key Performance Indicators

• Elapsed time from initial symptomrecognition to entry in the problemmanagement system

• Elapsed time between problemrecording and resolution or escalation

• Elapsed time between evaluation and application of vendor patches

• Percent of reported problems withalready known resolution approaches

• Frequency of coordination meetingswith change management and availability management personnel

• Frequency of component problemanalysis reporting

• Reduced number of problems notcontrolled through formal problemmanagement

Seite 16

COBIT

w Reifegradmodell

Seite 17

DS10 - Maturity Model

0 Non-existentThere is no awareness of the need for managing problems and incidents. The problem-solving process is informal and usersand IT staff deal individually with problems on a case-by-case basis.

1 Initial/Ad HocThe organisation has recognised that there is a need to solve problems and evaluate incidents. Key knowledgeable individualsprovide some assistance with problems relating to their area of expertise and responsibility. The information is not shared withothers and solutions vary from one support person to another, resulting in additional problem creation and loss of productive time, while searching for answers. Management frequently changes the focus and direction of the operations and technical support staff.

2 Repeatable but IntuitiveThere is a wide awareness of the need to manage IT related problems and incidents within both the business units and information services function. The resolution process has evolved to a point where a few key individuals are responsible formanaging the problems and incidents occurring. Information is shared among staff; however, the process remains unstructured, informal and mostly reactive. The service level to the user community varies and is hampered by insufficient structured knowledgeavailable to the problem solvers. Management reporting of incidents and analysis of problem creation is limited and informal.

3 Defined ProcessThe need for an effective problemmanagement system is accepted and evidenced by budgets for the staffing, training and support of response teams. Problem solving, escalation and resolution processes have been standardised, but are notsophisticated. Nonetheless, users have received clear communications on where and how to report on problems and incidents. The recording and tracking of problems and their resolutions is fragmented within the response team, using the available toolswithout centralisation or analysis. Deviations from established norms or standards are likely to go undetected.

4 Managed and MeasurableThe problem management process is understood at all levels within the organisation. Responsibilities and ownership are clearand established. Methods and procedures are documented, communicated and measured for effectiveness. The majority of problems and incidents are identified, recorded, reported and analysed for continuous improvement and are reported to stakeholders. Knowledge and expertise are cultivated, maintained and developed to higher levels as the function is viewed as an asset and major contributor to the achievement of IT objectives. The incident response capability is tested periodically. Problem and incident management is well integrated with interrelated processes, such as change, availability and configurationmanagement, and assists customers in managing data, facilities and operations.

5 OptimisedThe problem management process has evolved into a forward-looking and proactive one, contributing to the IT objectives. Problems are anticipated and may even be prevented. Knowledge is maintained, through regular contacts with vendors and experts, regarding patterns of past and future problems and incidents. The recording, reporting and analysis of problems and resolutions is automated and fully integrated with configuration data management. Most systems have been equipped withautomatic detection and warning mechanism, which are continuously tracked and evaluated.

Seite 18

ISO

International Organisation for Standardization

(Oder ISOS = griechisch für „Gleich“)

• Weltweit anerkannter Standard zur Qualitätssicherung und Qualitätsverbesserung

• Besitzer: ISO• Zertifizierungen: Prozesse durch TÜV, DEKRA

1. Schwerpunkte

Seite 19

ISO 9001:20001. Schwerpunkte

Implementierungsschritte1. Ziele definieren2. Erwartungen identifizieren3. Informationen über ISO 9000 sammeln und verbreiten4. Standards ins Management einführen / Awareness5. Themenbereiche zur Umsetzung festlegen6. Ist- und Gap-Analyse durchführen7. Prozesse definieren8. Schwachstellenbehebung und Prozessdefinition planen9. Prozesse und Verbesserungen implementieren10. Interne Assessments festlegen und durchführen11. Ggf. Zertifizierung durchführen

Seite 20

ISO 9001:20001. Schwerpunkte

DIN = Deutschland; EN = Euronorm; ISO = International

DIN EN ISO 9000

• Einführung in das Qualitätsmanagement

• Grundlagen für QM-Systeme

• Begriffserläuterung zu QM und Qualität

• Überblick hinsichtlich qualitätsbezogener Ziele und Verantwortlichkeiten

• Beschreibung von Funktion und Nutzen der Dokumentation

Seite 21

ISO 9001:20001. Schwerpunkte

DIN EN ISO 9001(Basis zur Zertifizierung)

• Festlegung der Forderungen an ein QM-System

• Hinweise und Forderungen zum normkonformen Aufbau eines QM-Systems

• Hinweise zur Weiterentwicklung (KVP) des QM-Systems

• Erläuterung zum Ausschluß bestimmter Forderungen

Seite 22

ISO 9001:20001. Schwerpunkte

DIN EN ISO 9004

• Leitfaden zur Wirksamkeit und Wirtschaftlichkeit

• Schwerpunkte sind:Leistungsverbesserung der OrganisationVerbesserung der Zufriedenheit der Kunden

Seite 23

MOF

Microsoft Operations Framework

w Strukturierte Vorgehensweise zum erfolgreichen Betrieb einer IT-Infrastruktur mit Microsoft Produkten (basierend auf ITIL)

w Besitzer: Microsoft Corporationw Zertifizierung: keine

1. Schwerpunkte

Seite 24

MOF1. Schwerpunkte

Service Level ManagementAvailability Management

Capacity ManagementSecurity Management

Infrastructure EngineeringFinancial Management

Workforce ManagementService Continuity Management

Service DeskIncident ManagementProblem Management

Change ManagementConfiguration ManagementRelease Management

Service Monitoring & ControlSystem AdministrationNetwork AdministrationDirectory Service AdministrationSecurity AdministrationStorage ManagementJob Scheduling

InfrastrukturSicherheitPartnerSupport

Release

Support Partner

BetriebSicherheit

Seite 25

MOF

Risikomodell

w Feststellen der Risiken (Dokumentation)w Analyse der erkannten Risikenw Planung von Maßnahmen zur Vermeidung des

Eintretens oder Minimierung der Auswirkungw Nachverfolgen des Erfolgs

der Maßnahmenw Steuern, um ggf. auf veränderte

Situationen zu reagieren

1. Schwerpunkte

Seite 26

SCP

Support Center Practices

w Ein Verfahren, das den Schwerpunkt auf die Qualitätsbeurteilung von Supportleistungen legt

w Besitzer: ServiceStrategies Corporationw Zertifizierung: Bewertung der Effektivität des

Kundensupports anhand Leistungsstandards der Branche (SSPA = Service an Support

Professional Association)

1. Schwerpunkte

Seite 27

SCP1. Schwerpunkte

Seite 28

SCP

Qualitätskriterienw Customer Feedback

Umgang mit Kundenzufriedenheitsanalysen (Sammlung, Analyse, Reaktion)

w CRMUmgang mit Kundenerwartungen, proaktive Kommunikation

w Performance MetricsWie wird Support-Performance gemessen; Zielsetzung und Überwachung der Messkriterien

w Training ProgrammsWelche Ausbildungsprogramme gibt es für die Mitarbeiter und (wie) werden sie umgesetzt

w People ProgrammsUmgang mit Mitarbeiterzufriedenheit, Motivation

1. Schwerpunkte

Seite 29

SCP

Qualitätskriterienw Corporate Commitment and Strategic Direction

„Management als Sponsor“, Unternehmenskultur-Anpassungw Productivity Tools

Wird der Prozess durch Tooleinsatz sinnvoll unterstütztw Electronic Service Delivery

Werden Services auch elektronisch bereitgestelltw Total Quality Management

Welche Verfahren zur Qualitätskontrolle und –verbesserungwerden eingesetzt

w Release & DevelopmentWie ist die Schnittstelle zur Entwicklung definiert

w Sales InterfacesWie ist die Schnittstelle zum Vertrieb definiert

1. Schwerpunkte

Seite 30

Unterschied: Anzahl Prozesse (?)w ITIL: 11w COBIT: 34w MOF: 20w ISPL: „1“ (?)w SCP: keine vorgegebenen Prozessew ISO: keine vorgegebenen Prozesse

Vergleichskriterien2. Gegenüberstellung / Unterschiede

Seite 31

Gemeinsamkeiten: Ziele für allew Prozessorientierungw Qualität der Ergebnissew Messbarkeit / Überprüfbarkeitw Serviceorientierungw Transparenz in Ablauf und Ergebnis

w Vergleichbarkeit / Bewertbarkeit

Vergleichskriterien2. Gegenüberstellung / Unterschiede

Seite 32

Ausrichtungw ITIL: Ausrichtung auf IT-Service Management

Prozesse in einer IT-Organisationw ISPL: Ausrichtung auf Akquise-Prozesse im

Unternehmenw COBIT: Ausrichtung auf Sicherheit, Qualitätssicherung

in einer IT-Organisationw ISO: Ausrichtung auf Qualitätsverbesserung allgemeinw MOF: Ausrichtung auf IT-Service Management in einer

IT-Organisation mit Microsoft-Umgebungw SCP: Ausrichtung auf Supportleistungen aller Art in

Unternehmen

Vergleichskriterien2. Gegenüberstellung / Unterschiede

Seite 33

ITIL / MOFw MOF Prozesse und ITILOptimierung:Service Level ManagementAvailability ManagementCapacity ManagementSecurity ManagementFinancial MangementService Continuity Management

Support:Incident ManagementProblem Management

Änderung:Change ManagementConfiguration ManagementRelease Management

Optimierung:Infrastructure EngineeringWorkforce Management

Betrieb:Service Monitoring & ControlSystem AdministrationNetwork AdministrationDirectory Service AdministrationSecurity AdministrationStorage ManagementJob Scheduling

Seite 34

ITIL / COBITw COBIT Prozesse und ITIL

Planung & OrganisationPO1 Definition eines strategischen Plans für IT PO2 Definition der InformationsarchitekturPO3 Bestimmung der technologischen RichtungPO4 Definition der IT-Organisation und ihrer BeziehungenPO5 Verwaltung der IT-InvestitionenPO6 Kommunikation von Unternehmenszielen und -richtungPO7 PersonalwesenPO8 Sicherstellung der Einhaltung von externen AnforderungenPO9 RisikobeurteilungPO10 ProjektmanagementPO11 Qualitätsmanagement

Beschaffung und ImplementationBE1 Identifikation von automatisierten LösungenBE2 Beschaffung und Unterhalt von AnwendungssoftwareBE3 Beschaffung und Unterhalt der technischen ArchitekturBE4 Entwicklung und Unterhalt von IT-VerfahrenBE5 Installation und Akkreditierung von SystemenBE6 Änderungswesen

Auslieferung und UnterstützungAU1 Definition und Management von DienstleistungsgradenAU2 Handhabung der Dienste von DrittparteienAU3 Leistungs- und KapazitätsmanagementAU4 Sicherstellen der kontinuierlichen DienstleistungAU5 Sicherstellen der SystemsicherheitAU6 Identifizierung und Zuordnung von KostenAU7 Aus- und Weiterbildung von BenutzernAU8 Unterstützung und Beratung von IT-KundenAU9 KonfigurationsmanagementAU10 Umgang mit Problemen und VorfällenAU11 Verwaltung von DatenAU12 Verwaltung von EinrichtungenAU13 Management der Produktion

ÜberwachungÜ1 Überwachung der ProzesseÜ2 Beurteilung der Angemessenheit der internen KontrollenÜ3 Erlangen einer unabhängigen BestätigungÜ4 Für eine unabhängige Revision sorgen

Seite 35

Positionierung3. Abgrenzung oder Ergänzung – Wege zum Zusammenspiel

K KUNDE ☺

Akquise/Einkauf Service

Prozessdefinition Betrieb

QS und OptimierungErstellung v. Dienstleistungen

ITIL ITIL / MOF

COBITSCP

ISPL

Zertifizierung: ISO / ITIL Zertifizierung: SCP

Kundensupport

Seite 36

w Nutzung von „best practices“w Empfehlungen nutzen oder bewusst verwerfenw Vergleichbarkeit in Bewertung wird geschaffen

(wo gewünscht)w Messbarkeit und Transparenz ist gewährleistetw Service- und Dienstleistungsorientierungw è zufriedene Kunden !!!

Überlegter + sinnvoller Einsatz4. Nutzen und Mehrwert in der Praxis

Seite 37

w Bis Ende 2004 werden weltweit ca. 25% der IT-Organisationen COBIT einsetzen;bis Ende 2006: über 40%

w Weltweit führen zur Zeit nur 10% der IT-Organisationen Assessments der eigenen Prozesse durch

w Auf Grund der erkannten Abhängigkeiten zwischen Geschäftsprozessen und IT-Prozessen wird inzwischen bei der Kosten-Nutzen-Analyse von Assessments von einem ROI von über 400% ausgegangen

Ein paar Zahlen (Meta-Group; 05/2003)

4. Nutzen und Mehrwert in der Praxis

Seite 38

Was gibt es noch ?w SPICE

Internationaler Standard für Software ProcessAssessment

w SIX SIGMAProzess mit Schwerpunkt auf der Entwicklung und Auslieferung von „perfekten“ Produkten und Services

w MSFFramework zur schnelleren Implementierung von Microsoft IT-Lösungen

w PRINCE2Projekt-Management Methode zur erfolgreichen Durchführung von Projekten aller Art

w …

Seite 39

? ? ?