Jimmy Heschl

Jimmy Heschl

April 2011

IT-Governance

Jimmy Heschl - 2

Agenda

Vorstellung und Zielsetzung

Überblick über aktuelle Entwicklungen der

IT-Governance

Nationale und Internationale Anforderungen an

IT-Compliance

Methoden / Standards

ITIL

COBIT

ISO27001

weitere Standards

Integration von COBIT mit ITIL, ISO 27001, etc

Jimmy Heschl - 3

Jimmy Heschl

Studium Wirtschaftsinformatik in Linz bwin Interactive AG Vorher: KPMG, EY, Stieglbrauerei Mitglied im Vorstand der ISACA Österreich Mitglied im COBIT Steering Committee, COBIT 5.0 Task Force Buch: IT Governance Mitautor von COBIT 4.0 / 4.1 Übersetzer von COBIT 4.0 für den deutschen Sprachraum Autor mehrerer Publikationen:

COBIT Mapping – Overview of International IT Guidance, 2nd Edition

Mapping of ITIL v2 & v3 Mapping of ISO/IEC 17799:2005 Board Briefing on IT Governance etc.

CISA, CISM, CGEIT, ITIL Service Management, ... Definition und Prüfung von IT Prozessen mit

unterschiedlichen Standards (COSO, COBIT, ITIL, 2700x, GSHB, ...) in unterschiedlichen Organisationen

Jimmy Heschl - 4

Leader in online gaming

• World’s leading provider of online Sports Betting

• One of the largest Poker networks

• Integrated gaming portal in 22 languages

• Active in 25 core markets

• Elements of success: brand and technology

Jimmy Heschl - 5

World-class performance

• >2.1m active customers (FY08)

• EURm 420,9 gross gaming revenues (FY09)

• Daily Page Views: >15m

• Daily Unique Visitors (peak): 980.000

• >70.000 payment transactions per day

• Number of servers: 6.500

• Data Centers: 9

Jimmy Heschl - 6

Flagship product: Sportsbetting

Europe‘s largest betting line-up

> 90 different sports covered

> 14.000 bets offered simultaneously

> 1 million placed bets per day

3,000 live events and 800 hours' live sports

programming each month

Jimmy Heschl - 7

Poker – Casino – Games

Europe‘s largest poker platform

• Up to 45.000 concurrent players

• Poker platform to handle ~ 250k users

• bwin offers extensive range of Casino games

• Constantly adding new games to portfolio

Jimmy Heschl - 8

Handling of payment transactions and issue

of prepaid cards

Advanced payment solutions

Complete range of payment services

Internally (bwin) and externally (merchants)

Comprehensive risk management and fraud prevention

‖Kalixa" prepaid Mastercard

Access to 1.2 million cash dispensers worldwide

Jimmy Heschl

IT-Governance

Warum und was ist das?

Jimmy Heschl - 10

Den Betrieb der IT erhalten

Nutzen

Kosten

Komplexität meistern

Mit der Organisation integrieren

Einhaltung von Gesetzen

Sicherheit

Herausforderungen der IT

Viele Organisationen investieren große Summen und Ressourcen in die IT.

IT unterstützt die Unternehmensprozesse und hilft dabei, die Organisationsziele zu erreichen.

Die Herausforderungen der IT gehen von der Anpassung an die Unternehmenserfordernisse bis hin zum Management hoch-komplexer technologischer Risiken und Chancen.

Die Organe der Organisationen verfügen über wenig Transparenz in die Abläufe der IT-Abteilung(en).

Jimmy Heschl - 11

Was ist IT-Governance?

Ursprung

griechisch: kybernân

Ein Schiff führen / leiten

Jimmy Heschl - 12

IT-Governance: Definition

Corporate

Governance

IT

Governance

Business

Informations

-systeme

Für IT-Governance sind Vorstand und Geschäfts-

führung verantwortlich. Sie ist integraler Bestandteil der Corporate Governance und besteht aus Führungs- und Organisationsstruk-turen sowie Prozessen, die sicherstellen, dass IT die Geschäftsstrategien und -ziele unterstützt und vorantreibt.

— IT Governance Institute

Jimmy Heschl - 13

Was ist IT-Governance?

IT-GOVERNANCE

IT-MANAGEMENT

• Ziel: sicherstellen, dass die IT die Geschäftsstrategien und -ziele unterstützt und

vorantreibt

• Methode: Führungs- und Organisationsstrukturen sowie Prozesse

• Verantwortung: Vorstand und Geschäftsführung

Setze die Strategie um • Erhöhe die Automation (mache das Kerngeschäft

wirksam)

• Senke Kosten (mache das Unternehmen wirtschaftlich)

• Manage Risiken (Security, Verlässlichkeit und

Compliance)

Setze Ziele • IT arbeitet im Sinne des Kerngeschäfts (Alignment)

• IT ermöglicht das Kerngeschäft (Enablement) und

maximiert den Nutzen (Value Delivery)

• IT Ressourcen werden verantwortungsvoll eingesetzt

• IT-bezogene Risiken werden angemessen gemanagt

Überführe

die Richtung

in eine

Strategie

Messe und

Berichte

über

Performance

Gib die

Richtung vor

Evaluiere

Performance

IT-GOVERNANCE

Jimmy Heschl - 14

IT-Governance

Direct and Control

Die klare Ausrichtung der Organisation, Prozesse und Ressourcen an gemeinsamen Zielen und das Monitoring der Zielerreichung

Aktivitäten

Beschreibung der notwendigen Aktivitäten zur Erreichung der Ziele

Zuständigkeit

Zuweisung von Ressourcen zu den Aktivitäten

Verantwortlichkeit

Übergabe und Übernahme der klaren Verantwortung für Aufgaben, Themen, Prozesse, etc, damit die Zielerreichung gewährleistet wird.

Intern

IT-Management

Unternehmensleitung,

Geschäftsführung

Aufsichtsrat

Risiko-Management

IT-Prüfer

Extern

Gesetzgeber

Externe Prüfer

Kunden

Lieferanten und Dienstleister

Verbundene Unternehmen

Betroffene und Beteiligte Prinzipien Betroffene und Beteiligte Prinzipien

Jimmy Heschl

Gesetze + Standards

Jimmy Heschl - 16

IT Governance – Warum?

Fragen des Aufsichtsrats bezüglich IT

Verfolgen wir die richtigen Vorhaben?

Verfolgen wir die Vorhaben richtig?

Werden die Aufgaben gründlich erledigt?

Wird effizient gearbeitet?

Bestehen Risiken, die wir nicht kennen?

Was passiert mit den Ressourcen, die für IT bereitstehen?

Druck auf das Unternehmen und die IT

Kostenkürzung, höhere Profite und Marktanteil

Höhere Funktionalität und einfachere Bedienung

Höhere Verantwortung bezüglich Datenschutz, etc.)

Jimmy Heschl - 17

IT-Governance – Warum?

§ 81 AktG: Bericht des Vorstands an den Aufsichtsrat

§ 82 AktG / § 22 GmbHG: Internes Kontrollsystem

§ 131 BAO: Ordnungsmäßigkeit der Buchführung

§ 38 BWG: Bankgeheimnis

§ 39 BWG: Sorgfaltspflicht und ORM

§ 14 DSG: Datensicherheitsmaßnahmen

§ 15 DSG: Anordnung durch den Arbeitgeber

Emittenten-Compliance-Verordnung – ECV

Corporate Governance Codex

KonTraG

...

Jimmy Heschl - 18

Gartner’s Regulations and Related

Standards Hype Cycle

Solvency II

Jimmy Heschl - 19

IT-Governance – Warum?

Fragen des Vorstandes bezüglich IT

Verfolgen wir die richtigen Vorhaben?

Verfolgen wir die Vorhaben richtig?

Werden die Aufgaben gründlich erledigt?

Wird effizient gearbeitet?

Gehen wir vernünftig mit den Ressourcen um?

Werden die Ziele erreicht?

Erkennen wir Chancen und ergreifen wir sie?

Druck auf das Unternehmen und die IT

Kostenkürzung, höhere Profite und Marktanteil

Höhere Funktionalität und einfachere Bedienung

Höhere Verantwortung bezüglich Datenschutz, etc.)

Jimmy Heschl - 20

IT-Governance

Erfolgreiche Unternehmen verstehen die Risiken und realisieren den Nutzen der IT und erreichen einen Weg, um

die IT-Strategie der Unternehmensstrategie anzupassen,

die Strategie und Ziele der IT in der Organisation herunter zu brechen,

Organisationsstrukturen zu etablieren, welche die Umsetzung von Strategien und Zielen ermöglichen,

Konstruktive Beziehungen und Kommunikation zwischen Kerngeschäft, IT und externen Partnern zu betreiben und

die IT-Performance zu messen.

Jimmy Heschl - 21

IT-Governance Focus Areas

Resource

Management

Focus

Areas

Jimmy Heschl - 22

IT Governance Focus Areas (1)

Strategic Alignment (Strategische Ausrichtung)

Sicherstellung des Verbunds von Unternehmens- und IT Zielen

Festlegung, Beibehaltung und Validierung des Wertbeitrags

Abgleich zwischen operativem Betrieb des Unternehmens und jenem der IT

Value Delivery (Schaffen von Werten/Nutzen)

Realisierung des Wertbeitrags im Leistungszyklus

Sicherstellung der Generierung des strategisch geplanten Nutzen

Kostenoptimierung

Erbringung des intrinsischen Nutzen der IT

Resource Management (Ressourcenmanagement)

Optimierung von Investitionen in IT-Ressourcen

geregeltes Management von IT-Ressourcen

Optimierung von Wissen und Infrastruktur

Jimmy Heschl - 23

IT Governance Focus Areas (2)

Risk Management (Risikomanagement)

Risiko-Awareness bei der Unternehmensleitung

Verständnis über die Risikobereitschaft (engl: risk appetite)

Verständnis für Compliance-Erfordernisse

Transparenz über die für das Unternehmen wichtigsten Risiken

Integration der Verantwortlichkeit für Risikomanagement in der Organisation

Verfahren: Reduzieren, Transferieren, Akzeptieren, Vermeiden

Performance Measurement (Messen von Performance)

Verfolgen und überwachen der Umsetzung der Strategie und von Projekten

Verwendung von Ressourcen

Prozessperformance (Balanced Scorecard)

Leistungserbringung (engl: Service Delivery)

Jimmy Heschl - 24

Conformance

Performance

Es geht um Balance

Performance

Verbesserung der Profitabilität, Effizienz, Effektivität und Wachstum

Conformance

Einhaltung von Gesetzen, internen Vorgaben und Prüfungs-Erfordernissen

Governance erfordert einen Ausgleich zwischen Performance und Conformance nach den Vorgaben der Geschäftsführung

Jimmy Heschl - 25

IT Governance – Aufgaben

Aufgaben des Vorstandes

Herunterbrechen der Unternehmensstrategie und -ziele

für die IT

Organisatorische Ausrichtung der IT –

Prozessorientierung

Aufbau und Unterhalt des internen Kontrollsystems in

der IT

Messung der Zielerreichung

Setzen von

messbaren

Zielen je

Prozess

Ergebnis

vergleichenIT - Aktivitäten

Messen der Performance

Anpassen, falls nicht adäquat

Jimmy Heschl

Standards

Jimmy Heschl - 27

Frameworks und Standards

IT-Betrieb

IT P

lan

un

g

An

we

nd

un

gs-E

ntw

.

Ris

iko

& S

ecu

rity

Pro

jek

tma

na

ge

me

nt

Se

rvic

e M

an

ag

em

en

t

Qu

alitä

tsm

an

ag

em

en

t

COSO

Sarbanes

OxleyBasel II

Solvency II

8. EU Audit

Richtlinie

AktG /

GmbHG

COBIT

ValIT

V-

ModellISO

17799

27001

BS

25999PMI

PRINCE2

ITILISO20000

SixSigma

ISO9000

CMMI

Governance

Management

Betrieb

COBIT®

Jimmy Heschl - 28

1992 durch „The Committee of Sponsoring Organizations of the Treadway Commission‖ veröffentlicht

Gemeinsame Sprache über Kontrollen, Definitionen, Modelle

Unternehmensziele im Rahmen von COSO sind

Operations (Effektivität und Effizienz der Tätigkeiten der Unternehmung)

Financial Reporting (Erstellung von zuverlässigen Jahresabschlüssen)

Compliance (Einhaltung von Gesetzen und Regulationen)

Zielerreichung über die Ausgestaltung der Komponenten des Frameworks

Control Environment (Kontrollumfeld)

Risk Assessment (Risikobewertung)

Control Activities (Kontrollaktivitäten)

Information & Communication (Information & Kommunikation)

Monitoring (Überwachung)

Benchmark für interne Kontrollen und Verweis in SOX

Weiterentwicklungen:

September 2004: Enterprise Risk Management (COSO II)

Juni 2006: Guidance for Smaller Public Companies Reporting on Internal Control over Financial Reporting―

COSO (Internal Control - Integrated

Framework)

Jimmy Heschl

ITIL IT Infrastructure Library

Jimmy Heschl - 30

Incident

Management

Problem

Management

Change

Management

Release

Management

Continuity

Management

Availability

Management

Capacity

Management

Financial

Management

Service Level

Management

Security Management

Configuration

Management

ITIL - IT Infrastructure Library

Jimmy Heschl - 31

ITIL V2 Service Delivery Processes

Availability

Management

Capacity

Management

IT Financial

Management

IT Service

Continuity

SLA’s, OLA’s, SLR’s

Service requests

Service catalogue

SIP

Exception reports

Audit reports

Availability Plan

AMDB

Design Criteria

Targets/Thresholds

Reports

Audit Reports

Capacity Plan

CDB

Targets/Thresholds

Capacity Reports

Schedule

Audit Reports

Financial Plans

Types & Models

Costs & Charges

Reports

Budgets & Forecasts

Audit Reports

IT Continuity Plans

BIA & Risk Analysis

Define Requirements

Control Centers

DR Contacts

Reports

Audit Reports

The Business, Customers &

Users

Requirements

Targets

Achievements

Queries

Enquiries

Communication

Updates

Reports

Service Level

Management

Man

ag

em

en

t To

ols

Ale

rts,

Excep

tio

ns,

Ch

an

ges

Jimmy Heschl - 32

ITIL V2 Service Support Processes

Management

Tools Difficulties

Queries, Enquiries

Communication

Updates

Work-arounds

Service Desk

Incidents

Incidents

CMDB

Change Schedule

CAB Minutes

Change Statistics

Change Reviews

Audit Reports

Releases

CIs

Relationships Problems

Known Errors Changes

CMDB Reports

CMDB Statistics

Policy/Standards

Audit Reports

Release Schedule

Release Statistics

Release Reviews

Secure Library

Testing standards

Audit Reports

Problem Statistics

Trend Analysis

Problem Reports

Problem Reviews

Diagnostic Aids

Audit Reports

Problem

Service Reports

Incident statistics

Audit Reports

Releases

Release

The Business, Customers & Users

Changes Incident

Change

Incidents

Configuration

Jimmy Heschl

The v3 Service Management Lifecycle

Jimmy Heschl - 34

ITIL – Service Lifecycle

Jimmy Heschl - 35

ITIL – Prozesse (Version 3)

• Financial Management

• Return on Investment

• Service Portfolio Mgmnt

• Demand Management

SERVICE STRATEGY

• Event Management

• Incident Management

• Request Fulfilment

• Problem Management

• Access Management

SERVICE OPERATION

• 7-Step Improvement Process

CONTINUAL SERVICE

IMPROVEMENT

• Service Catalogue Management

• Service Level Management

• Capacity Management

• Availability Management

• IT Service Continuity Management

• Information Security Management

• Supplier Management

SERVICE DESIGN

• Transition Planning and Support

• Change Management

• Service Asset & Configuration

Management

• Release & Deployment

Management

• Service Validation

• Evaluation

• Knowledge Management

SERVICE TRANSITION

Jimmy Heschl

COBIT

Jimmy Heschl - 37

COBIT

COBIT = Control Objectives for Information and Related Technology

Prozessorientiertes Framework für die Steuerung von IT-Prozessen

Herausgegeben vom IT Governance Institute, früher ISACA

Inhalt wird vom COBIT Steering Committee gesteuert und von Universitäten, Experten aus den Bereichen IT-Management, Governance, Consulting und Audit entwickelt

Orientiert sich an Unternehmenszielen und Unternehmenserfordernissen

Werkzeug für Geschäftsführung, IT-Management und IT-Prozessmanager

Basiert auf einer Vielzahl internationaler Standards

Dokumente auf www.isaca.org zum Download und als Bücher verfügbar

Jimmy Heschl - 38

Unternehmensziele

IT Ziele

IT Prozesse

Der Ansatz von COBIT

IT Prozesse(mit Verantwortlichen)

liefernInformation

Anwendungen

Infrastruktur

und Personal

betreiben

benötigt

Unternehmensziel IT-Ziele

Finanz-

perspektive

1 Marktanteil erhöhen 25 28

2 Erträge erhöhen 25 28

3 Rendite 24

4 Kapitalverwertung optimieren 14

5 Geschäftsrisiken managen 2 14 17 18 19 20 21 22

6 Kunden- und Serviceorientierung erhöhen 3 23

7 Kostengünstige Produkte und Services anbieten 5 24

8 Verfügbarkeit von Services 10 16 22 23

9 Agilität bei Reaktion auf sich ändernde Geschäftsanforderungen (time to market) 1 5 25

10 Kostenoptimierung bei Serviceerbringung 7 8 10 24

11 Automatisierung und Integration der Wertschöpfungskette 6 7 8 11

12 Geschäftsprozess überarbeiten und verbessern 6 7 8 11

13 Prozesskosten reduzieren 7 8 13 15 24

14 Compliance mit Gesetzen und Regulativen 2 19 20 21 22 26 27

15 Transparenz 2 18

16 Compliance mit internen Regelungen 2 13

17 Betriebliche- und Mitarbeiterproduktivität steigern 7 8 11 13

18 Produkt-/Geschäftsinnovation 5 25 28

19 Verlässliche und nützliche Informationen für strategische Entscheidungen erlangen 2 4 12 20 26

20 Qualifizierte und motivierte MitarbeiterInnen einstellen und entwickeln 9

Lern- und

Wachstums-

perspektive

Finanz-

perspektive

Kunden-

perspektive

Interne

Perspektive

ProzesseIT-Ziele

1 Reagiere auf Geschäftsanforderungen in Übereinstimmung mit der Unternehmensstrategie PO1 PO2 PO4 PO10 AI1 AI6 AI7 DS1 DS3 ME1

2 Reagiere auf Anforderungen der Governance entsprechend der Geschäftsführungs-vorgaben PO1 PO4 PO10 ME1 ME3

3 Stelle die Enduser-Zufriedenheit mit den Serviceangeboten und Service Levels sicher PO8 AI4 DS1 DS2 DS7 DS8 DS10 DS13

4 Optimiere die Verwendung von Information PO2 DS11

5 Stelle IT-Agilität her PO2 PO4 PO7 AI3

6Definiere, wie funktionale geschäftliche und Steuerungsanforderungen in wirksame und wirtschaftliche automatisierte Lösungen überführt

werden.AI1 AI2 AI6

7 Beschaffe und unterhalte integrierte und standardisierte Anwendungssysteme PO3 AI2 AI5

8 Beschaffe und warte integrierte und standardisierte IT-Infrastruktur AI3 AI5

9 Beschaffe und erhalte IT-Skills, die der IT-Strategie entsprechen PO7 AI5

10 Stelle gegenseitig zufriedenstellende Lieferantenbeziehungen sicher DS2

11 Integriere die Anwendungen und Technologielösungen nahtlos in Geschäftsprozesse PO2 AI4 AI7

12 Stelle Transparenz und Verständnis von IT -Kosten, Nutzen, Strategie, Richtlinien und Service Levels sicher PO5 PO6 DS1 DS2 DS6 ME1 ME4

13 Stelle die angemessene Verwendung und Performance der Anwendungen und technischen Lösungen sicher PO6 AI4 AI6 AI7 DS7 DS8

14 Übernimm die Verantwortung für und schütze alle IT-Anlagen PO9 DS5 DS9 DS12 ME2

15 Optimiere IT-Infrastruktur, Ressourcen und Fähigkeiten PO3 AI3 DS3 DS7 DS9

16 Reduziere Mängel und Nacharbeit bei Lösungen und dem Servicebetrieb PO8 AI4 AI6 AI7 DS10

17 Schütze die Erreichung der IT-Ziele PO9 DS10 ME2

18 Schaffe Klarheit über die Geschäftsauswirkungen der Risiken von IT-Zielen und -Ressourcen PO9

19 Stelle den Schutz von kritischen und vertraulichen Informationen vor unberechtigtem Zugriff sicher PO6 DS5 DS11 DS12

20 Stelle sicher, dass automatischen Transaktionen und Informationsaustausch vertraut werden kann PO6 AI7 DS5

21Stelle sicher, dass IT-Services und Infrastruktur Ausfällen auf Grund von Fehlern, bewussten Angriffen oder Katastrophen standhalten können

und ihre Wiederherstellung gewährleistet istPO6 AI7 DS4 DS5 DS12 DS13 ME2

22 Stelle sicher, dass der Einfluss einer IT-Service-Störung oder -Änderung auf das Geschäft minimiert ist PO6 AI6 DS4 DS12

23 Stelle die Verfügbarkeit der IT-Services gemäß den Anforderungen sicher DS3 DS4 DS8 DS13

24 Verbessere die Kosteneffizienz der IT und ihren Beitrag zum Unternehmenserfolg PO5 AI5 DS6

25 Setze Projekte pünktlich und im Budgetrahmen und unter Einhaltung der Qualitätsstandards um PO8 PO10

26 Erhalte die Integrität der Informationen und die diese Informationen verarbeitende Infrastruktur AI6 DS5

27 Stelle die IT-Compliance mit Gesetzen und Vorschriften sicher DS11 ME2 ME3 ME4

28Stelle sicher, dass die IT eine kosteneffiziente Servicequalität, eine kontinuierliche Verbesserung und Bereitschaft für zukünftige Veränderung

zeigtPO5 DS6 ME1 ME3

Jimmy Heschl - 39

Unternehmens- und IT-Ziele - Beispiel

Unternehmensziel 8

Verfügbarkeit von

Produkten

IT-Ziel 23

Stelle die

Verfügbarkeit der IT-

Services gemäß den

Anforderungen sicher

IT-Ziel 22

Stelle sicher, dass der

Einfluss einer IT-

Service-Störung oder

IT-Änderung auf das

Geschäft minimiert ist

IT-Ziel 16

Reduziere Mängel

und Nacharbeit bei

Lösungen und dem

Servicebetrieb

IT-Ziel 10

Stelle für beide

zufrieden-

stellende

Lieferantenbezie

hungen sicher

DS2 PO8 AI4 AI6 AI7 DS10 PO6 AI6 DS4 DS12 DS3 DS4 DS8 DS13

BS

C -

Pe

rsp

ektiv

en

Finanz

Service

Intern

Lernen und

Wachstum

Jimmy Heschl - 40

Vom Ziel zur Architektur

Unternehmensziele

für IT

IT Ziele

Unternehmens-

architektur für IT

bestimmen

messen

messen

bestimmen

IT S

co

rec

ard

Unternehmens- und

Governance-

Erfordernisse

Jimmy Heschl - 41

COBIT Framework

Jimmy Heschl - 42

COBIT IT-Prozesse

INFORMATION

Monitor and

Evaluate

Deliver and

Support Acquire and

Implement

Plan and

Organise

PO1 Define a strategic IT plan

PO2 Define the information architecture

PO3 Determine technological direction

PO4 Define the IT processes, organisation and

relationships

PO5 Manage the IT investment

PO6 Communicate management aims and direction

PO7 Manage IT human resources

PO8 Manage quality

PO9 Assess and manage IT risks

PO10 Manage projects

AI1 Identify automated solutions

AI2 Acquire and maintain application software

AI3 Acquire and maintain technology infrastructure

AI4 Enable operation and use

AI5 Procure IT resources

AI6 Manage changes

AI7 Install and accredit solutions and changes

DS1 Define and manage service levels

DS2 Manage third-party services

DS3 Manage performance and capacity

DS4 Ensure continuous service

DS5 Ensure systems security

DS6 Identify and allocate costs

DS7 Educate and train users

DS8 Manage service desk and incidents

DS9 Manage the configuration

DS10 Manage problems

DS11 Manage data

DS12 Manage the physical environment

DS13 Manage operations

ME1 Monitor and evaluate IT performance

ME2 Monitor and evaluate internal control

ME3 Ensure regulatory compliance

ME4 Provide IT governance

• Efficiency • Effectiveness • Confidentiality • Integrity • Availability • Compliance • Reliability

• Applications • Information • Infrastructure • People

IT RESSOURCES

Monitor and Evaluate

Plan and Organise

Acquire and Implement

Deliver and Support

Jimmy Heschl - 43

Bestandteile von Prozessen (1/5)

Prozessbeschreibung

Domäne und

Information-Criteria

IT-Ziele

Prozessziele

wichtige Aktivitäten

wichtige Metriken

IT Governance

& IT-Resources

Jimmy Heschl - 44

Bestandteile von Prozessen (2/5)

RACI-Chart zur Darstellung der Verantwortlichkeiten, zB

Inputs und Outputs, zB

Aktivitäten CE

O

CFO

Busi

ness

Exe

cutiv

eC

IO

Gesc

häftsp

roze

sseig

ner

Leitu

ng B

etrie

bC

hie

f A

rchite

ctLeitu

ng E

ntw

ickl

ung

Leitu

ng IT-A

dm

inis

tratio

n

Pro

jekt

büro

Com

plia

nce

, A

udit,

Ris

k und S

ecu

rity

Serv

ice D

esk

/

Inci

dent M

anager

Erstelle Klassifikations- (Schweregrad und Auswirkung) und

Eskalationsverfahren (funktional und hierarchisch) C C C C C C C A/R

Erkenne und erfasse Incidents / Serviceanfragen / Informationsanfragen A/R

Klassifiziere, ermittle und diagnostiziere Anfragen I C C C I A/R

Behebe, löse und schließe Incidents I R R R C A/R

Informiere Benutzer (zB Statusaktualisierungen) I I A/R

Erstelle Managementauswertungen I I I I I I A/R

Funktionen

Von Inputs

AI4 Benutzer-, Betriebs-, Support-, technische und administrative Handbücher

AI6 Freigabe von Changes

AI7 Configuration Items (Released)

DS1 SLAs und OLAs

DS4 Incident- und Katastrophen-Schwellwerte

DS5 Definition Security Incidents

DS9 Details zur IT-Konfiguration / Assets

DS10 Known Problems, Known Errors und Workarounds

DS13 Incident-Tickets

Outputs Nach Service-Requests/Request for Change

AI6

Berichte über Incidents DS10

Berichte über Prozessperformance

ME1

Berichte über Benutzerzufriedenheit

DS7 ME1

Jimmy Heschl - 45

Aktivitäten IT Prozesse Unternehmen

Zie

le

Me

ss

grö

ßen

Bestandteile von Prozessen (3/5)

Ziele und Messgrößen und deren Verbindung

Installation und Betrieb eines

Service Desk

Überwachung und

Berichterstattung von Trends

Abstimmung der

Lösungsprioritäten von

Ereignissen mit

Unternehmensanforderung

Festlegung …

setze

% der Ereignisse und

Serviceanfragen, die reportet

und mittels automatisierter Tools

protokolliert wurden

Anzahl der Schulungstage pro

Service Desk MitarberInnen pro

Jahr

Anzahl der pro Service Desk

MitarbeiterIn pro Stunde

bearbeiteten Anrufe

% der Ereignisse, die …

miss

Analysiere, dokumentiere

und eskaliere

Incidentszeitgerecht

Reagiere auf Anfragen exakt

und zeitgerecht

Führe regelmäßig

Trendanalysen der

Incidentsund Anfragen durch

setze

% der direkten Lösungen

basierend auf der

Gesamtzahl der Anfragen

% der erneut geöffneten

Incidents

Anteil der abgebrochenen

Calls

Durchschnittliche Dauer der

Incidentsnach Schweregrad

Durchschnittliche …

miss

Benutzerzufriedenheit mit

dem Erst-Support (Service

Desk oder Knowledge Base)

% der innerhalb einer

vereinbarten/akzeptablen

Zeitspanne gelösten

Incidents

miss

Kunden- und

Serviceorientierung erhöhen

Verfügbarkeit von Services

Prozesskosten reduzieren

Compliance mit internen

Regelungen herstellen

Stelle die Enduser-

Zufriedenheit mit

Serviceangeboten und

Service Levels sicher

Stelle die angemessene

Verwendung und

Performance der

Anwendungen und

technischen Lösungen sicher

Stelle …

setze

Jimmy Heschl - 46

Bestandteile von Prozessen (4/5)

Control Objectives

Jimmy Heschl - 47

Bestandteile von Prozessen (5/5)

Control Practices

Jimmy Heschl - 48

Reifegradmodell (Maturity Model)

0 .. Nicht existent

1 .. Initial

2 .. Wiederholbar

3 .. Definiert

4 .. Monitoringfunktionen

5 .. Optimiert und Automatisiert

Derzeitiger Status

Internationaler Standard

Strategisches Ziel

Symbole Reifegrade

0 1 2 3 4 5

Non-existent

(nicht existent)

Initial

(initial)

Repeatable

(wiederholbar)

Defined

(definiert)

Managed

(gemanagt)

Optimised

(optimiert)

Jimmy Heschl - 49

Reifegradmodell - Attribute

Bewusstsein und Kommunikation

Policies, Standards und Verfahren

Werkzeuge und Automatisierung

Skills und Expertise

Zuständigkeit und Verantwortlichkeit

Zielsetzung und Messung

Jimmy Heschl - 50

Generisches Reifegradmodell

to-be

improvement measures

as-is

Awareness and

Communication

Policies,

Standards and

Procedures

Tools and

Automation

Skills and

Expertise

Responsibility

and

Accountability

Goal Setting and

Measurement

5

4

3

2

1

Overall

Process

Maturity

Maturity Attributes

Jimmy Heschl - 51

Reifegradmodell – IT-Ebene

Lücken sind

erkannt: Ist- zu

Sollreife

Plan zur

Verbesserung

und Umsetzung

Prüfung, ob Ziele

erreicht wurden

Plan and Organize

0

1

2

3

4

5

PO 1

PO 2a

PO 2b

PO 3

PO 4

PO 5

PO 6

PO 7

PO 8

PO 9

PO 10

PO 11

Acquire and Implement

0

1

2

3

4

5

AI 1

AI 2

AI 2

AI 3

AI 4a

AI 4b

AI 5

AI 6a

AI 6b

AI 7

Deliver and Support

0

1

2

3

4

5

DS 1a

DS 1bDS 2

DS 3

DS 4

DS 5a

DS 5b

DS 5c

DS 5d

DS 5eDS 5fDS 6

DS 7

DS 8

DS 9

DS 10

DS 11a

DS 11b

DS 12

DS 13aDS 13b

Monitor and Evaluate

0

1

2

3

4

5

ME 1

ME 2

ME 3

ME 4

Jimmy Heschl

ISO/IEC 27002:2005

Jimmy Heschl - 53

ISO/IEC 27002:2005

Historie:

CoP for Security Management

BS7799 Part 1

ISO 17799:2000, 2005

Best Practice für Informations-Sicherheit

Herausgegeben von der ISO

Zeitweise im Konflikt mit BSI - Grundschutzhandbuch

Zertifizierung nach ISO/IEC 27001:2005 (BS7799 Part 2)

Jimmy Heschl - 54

Inhalt (1)

Security Policy

Eine Security Policy gibt die Richtung vor

Enthält das Commitment und die Unterstützung des Managements

Ist in der gesamten Organisation kommuniziert

Organizing information security

Unterstützung durch das Management

Koordination der Aktivitäten

Vertraulichkeitsvereinbarungen

Kontakt mit öffentlichen Stellen

Unabhängiger Review

Risiken aus der Verbindung mit Drittparteien

Jimmy Heschl - 55

Inhalt (2)

Asset Management

Inventar der Assets

Verantwortung für Assets (benannter Eigner)

Klassifikation von Informationen

Human Resources

Sicherheitserfordernisse für Mitarbeiter

Verantwortlichkeit für Security

Vertraulichkeitsvereinbarungen

Screening von Personal

Schulung und Training zu Information Security

Prozess für das Reporting von Security Incidents, Schwachstellen und Software-Fehlern

Formaler Disziplinarprozess

Regelungen für Beendigung und Wechsel

Jimmy Heschl - 56

Inhalt (3)

Physiche Sicherheit und Schutz vor Umwelteinflüssen

Sichere und angemessen abesichterte Bereiche (Büros, zentrale

Einrichtungen, Bereiche zur Anlieferung)

Schutz gegen Verlust, Beschädigung und Kompromittierung

Anordnung von Stromzufuhr

Sicherheit von Verkabelungen

Wartung der Einrichtungen

Einrichtungen, die außerhalb der zentralen Anlagen installiert sind

Vernichtung oder Wiederverwendung von Informationen

Allgemeine Controls zum Schutz von Einrichtungen (Clear Desk

Policy, Clear Screen Policy, …)

Jimmy Heschl - 57

Inhalt (4)

Management von Kommunikation und Betrieb

Dokumentierte Verfahren

Dokumentierte Changes inklusive Incident Management

Funktionstrennung

Vorausbestimmung des Kapazitätsbedarfs

Akzeptanzkriterien für neue Systeme

Kapazitätsplanung

Bösartige Software

Backup von Informationen

Logging von Fehlern, die durch Betriebsmitarbeiter verursacht wurden

Aufbau und Betrieb von Netzwerken

Schutz und Vernichtung von sensiblen Informationen

Verwendung von E-Commerce Diensten

Logging von relevanten Aktivitäten

Bewertung der Wirksamkeit der Controls

Jimmy Heschl - 58

Inhalt (5)

Zugriffsschutz

Erteilung von Zugriff zu Information

Formale Zugriffsschutz Policy

Regeln für den Zugriffsschutz

Management von Benutzern

Definition von Verantwortlichkeiten

Schutz von vernetzten Services, Betriebssystem und Anwendungen

Zugriff ist auf autorisierte User beschränkt

Überwachung von Systemzugriffen und –verwendung

Mobile Rechner und Teleworking

Jimmy Heschl - 59

Inhalt (6)

Beschaffung, Entwicklung und Wartung von Systemen

Definition von Security-Anforderungen

Eingabe-, Verarbeitungs- und Ausgabekontrollen

Verwendung von Kryptographie

Sicherheit von und Zugriff zu Systemdateien

Absicherung von Einrichtungen im Entwicklungs- und Supportbereich

Information Security Incident Management

Reporting von Incidents und Schwachstellen

Verantwortlichkeiten

Verfahren

Jimmy Heschl - 60

Inhalt (7)

Business Continuity Management

Verhinderungen von Unterbrechungen der Business-

Prozesse

Übergeordnetes BCP

Durchführung eines Business Impact Assessments

Test, Wartung und Beurteilung des BCP

Compliance

Identifikation von gesetzlichen Anforderungen

Compliance mit gesetzlichen Anforderungen

Compliance mit der Security Policy

Jimmy Heschl

Integration von Standards

Jimmy Heschl - 62

Die Stimme der anderen …

Establish frameworks to ease Governance

Implementation

First COBIT for overall governance

Then ITIL for service delivery and management

Then ISO 17799 for information security

Balanced Scorecard for measurement and

communication

Quelle: Forrester

Helping Business Thrive On Technology Change

A Road Map To Comprehensive IT Governance

by Craig Symons, Jan 2006

Jimmy Heschl - 63

COBIT & ITIL (v2)

by Jimmy Heschl

2

1

4

3

6

5

7

2 1 4 3 6 5 8 7 10 9

2 1 4 3 6 5 8 7 10 9 12 11 13

2

1

4

3 Plan and Organize

A c q

u i r e a n

d I m

p l e m

e n t

Deliver and Support

M o n i t

o r

a n d E

v a l u

a t e

A

cq

uire

an

d M

ain

tain

M

on

ito

r a

nd

Ev

alu

ate

Deliver and Support

Plan and Organize

1 2 3 4 5 6 7 8 9 10 11 12 13

12

34

12

34

56

1 2 3 4 5 6 7 8 9 10 11

CobiT and ITIL by Jimmy Heschl

1 11 Good coverage Partly addressed No or weak coverage on Process-Level

Coverage of CobiT Processes by ITIL Processes

Se

rvic

e S

up

po

rt

Se

rvic

e S

up

po

rt

Se

rvic

e S

up

po

rt

Se

rvic

e S

up

po

rt

Se

rvic

e S

up

po

rt

Se

rvic

e S

up

po

rt

Se

rvic

e D

eliv

ery

Se

rvic

e D

eliv

ery

Se

rvic

e D

eliv

ery

Se

rvic

e D

eliv

ery

Se

rvic

e D

eliv

ery

Se

rvic

e D

esk

Incid

en

t

Ma

na

ge

me

nt

Pro

ble

m

Ma

na

ge

me

nt

Ch

an

ge

Ma

na

ge

me

nt

Re

lea

se

Ma

na

ge

me

nt

Co

nfig

ura

tio

n

Ma

na

ge

me

nt

Se

rvic

e L

eve

l

Ma

na

ge

me

nt

Ava

ilab

ility

Ma

na

ge

me

nt

Ca

pa

city

Ma

na

ge

me

nt

Fin

an

cia

l

Ma

na

ge

me

nt

Co

ntin

uity

Ma

na

ge

me

nt

Jimmy Heschl - 64

Service

RequestService request Verfahren

Erkennung und Aufzeichung

Klassifikation und erster Support

Nachforschung und Diagnose

Lösung und Wiederherstellung

Abschluss des Incident

Ve

ran

two

rtu

ng

, Ü

be

rwa

ch

un

g, V

erf

olg

un

g

un

d K

om

mu

nik

ation

de

r L

ösu

ng

Gegenüberstellung ITIL und COBIT

zB. Incident Management

DS8.2 Registration of customer queries

(Registrierung von Kundenanfragen)

DS8.3 Incident escalation

(Eskalation von Incidents)

DS8.4 Incident closure

(Schließen von Incidents)

Jimmy Heschl - 65

V3 Highest-Level Mapping

INFORMATION

Monitor and

Evaluate

Deliver and

Support Acquire and

Implement

Plan and

Organise

• Efficiency • Effectiveness • Confidentiality • Integrity • Availability • Compliance • Reliability

• Applications • Information • Infrastructure • People

IT RESSOURCES

Jimmy Heschl - 66

V3 High-Level Mapping

by Jimmy Heschl

21

43

65

721 43 65 87 109

21 43 65 87 109 1211 13

21

43

Plan and OrganiseA

cqu

ire and

Imp

lemen

t

Deliver and Support

Mo

nit

or

and

Eva

luat

e

full none

COBIT processes addressed by

IT Infrastucture Library v3

x x x

Jimmy Heschl - 67

V3 Detailled Mapping (excerpt)

COBIT

Control

Objective

Name

ITIL

Coverage

PO1 Define a Strategic

IT Plan

SS 1 Introduction

SS 2 Service management as a practice

SS 3 Service Strategy principles

SS 3.5 Service Strategy fundamentals

SS 4 Service strategy

…

A+

PO1.1 IT Value

Management

SS 2.2 What are services?

SS 3.1 Value creation

SS 3.4 Service structures

SS 4.4 Prepare for execution

SS 5.1 Financial Management

SS 5.2 Return on Investment

SS 5.3 Service Portfolio Management

C

PO1.2 Business-IT

Alignment

SS 2.1 What is service management

SS 2.3 The business process

SS 2.4 Principles of service management

C

PO1.3 Assessment of

Current Capability

and Performance

SS 4.4 Prepare for execution

CSI 5.2 Assessments

C

PO1.4 IT Strategic Plan SS 3.3 Service provider types

SS 3.5 Service Strategy fundamentals

SS 4.1 Define the market

SS 4.2 Develop the offerings

SS 4.3 Develop strategic assets

…

C

PO1.5 IT Tactical Plans SS 4.4 Prepare for execution

SS 7.1 Implementation through the lifecycle

SS 7.2 Strategy and Design

…

C

Jimmy Heschl - 68

by Jimmy Heschl

21

43

65

7

21 43 65 87 109

21 43 65 87 109 1211 13

21

43

Plan and Organize

Acq

uire a

nd

Main

tain

Deliver and Support

Mon

itor

an

d E

valu

ate

CobiT 4.0 processes addressed by

ISO/IEC 17799:2005

COBIT & ISO/IEC 27002:2005

Jimmy Heschl - 69

by Jimmy Heschl

21

43

65

7

21 43 65 87 109

21 43 65 87 109 1211 13

21

43

Plan and Organize

Acq

uire a

nd

Ma

inta

in

Deliver and Support

Mo

nit

or

an

d E

va

lua

te

CobiT 4.0 processes addressed by

IT Baseline Protection Manual

COBIT & BSI Grundschutzhandbuch

Jimmy Heschl - 70

COBIT & viele andere …

by Jimmy Heschl

21

43

65

7

21 43 65 87 109

21 43 65 87 109 1211 13

21

43

Plan and Organize

Acq

uire a

nd

Ma

inta

in

Deliver and Support

Mo

nit

or

an

d E

va

lua

te

CobiT 4.0 processes addressed by

COSO Internal Control -

Integrated Framework

by Jimmy Heschl

21

43

65

7

21 43 65 87 109

21 43 65 87 109 1211 13

21

43

Plan and Organize

Acq

uire a

nd

Ma

inta

in

Deliver and Support

Mo

nit

or

an

d E

va

lua

te

CobiT 4.0 processes addressed by

FIPS PUB 200

by Jimmy Heschl

21

43

65

7

21 43 65 87 109

21 43 65 87 109 1211 13

21

43

Plan and Organize

Acq

uire a

nd

Ma

inta

in

Deliver and Support

Mo

nit

or

an

d E

va

lua

te

CobiT 4.0 processes addressed by

ISO/IEC TR 13335

by Jimmy Heschl

21

43

65

7

21 43 65 87 109

21 43 65 87 109 1211 13

21

43

Plan and Organize

Acq

uire a

nd

Ma

inta

in

Deliver and Support

Mo

nit

or

an

d E

va

lua

te

CobiT 4.0 processes addressed by

ISO/IEC 15408:2005

by Jimmy Heschl

21

43

65

7

21 43 65 87 109

21 43 65 87 109 1211 13

21

43

Plan and Organize

Acq

uire a

nd

Ma

inta

in

Deliver and Support

Mo

nit

or

an

d E

va

lua

te

CobiT 4.0 processes addressed by

PRINCE2

by Jimmy Heschl

21

43

65

7

21 43 65 87 109

21 43 65 87 109 1211 13

21

43

Plan and Organize

Acq

uire a

nd

Ma

inta

in

Deliver and Support

Mo

nit

or

an

d E

va

lua

te

CobiT 4.0 processes addressed by

PMBOK©

by Jimmy Heschl

21

43

65

7

21 43 65 87 109

21 43 65 87 109 1211 13

21

43

Plan and Organize

Acq

uire a

nd

Ma

inta

in

Deliver and Support

Mo

nit

or

an

d E

va

lua

te

CobiT 4.0 processes addressed by

TickIT

by Jimmy Heschl

21

43

65

7

21 43 65 87 109

21 43 65 87 109 1211 13

21

43

Plan and Organize

Acq

uire a

nd

Ma

inta

in

Deliver and Support

Mo

nit

or

an

d E

va

lua

te

CobiT 4.0 processes addressed by

CMMI

by Jimmy Heschl

21

43

65

7

21 43 65 87 109

21 43 65 87 109 1211 132

14

3

Plan and Organize

Acq

uire a

nd

Ma

inta

in

Deliver and Support

Mo

nit

or

an

d E

va

lua

te

CobiT 4.0 processes addressed by

NIST 800-14

Jimmy Heschl - 71

Ausblick

Die Zeit ist reif

Für nachvollziehbare und messbare IT-Prozesse

Einhaltung internationaler Standards

Interne Kontrollsysteme auch in der IT

Die Umsetzung erfordert (hohen) Aufwand

Nutzen ist auch kurzfristig zu erzielen (ROI hoch)

Professionelle Unterstützung empfehlenswert –

besonders auch mit Prüfungs- und Kontroll – Know

How

Jimmy Heschl - 72

Kontakt

Jimmy Heschl - 73

Abkürzungsverzeichnis

AC Application Control AD Application Development AI Acquire and Implement AICPA American Institute of CPAs AktG Aktiengesetz BAO Bundesabgabenordnung BCP Business Continuity/Contingency

Planning BS British Standard BSC Balanced Scorecard BWG Bankwesengesetz CAB Change Advisory Board CAB/EC Change Advisory Board for

Emergency Changes CEO Chief Executive Officer CFO Chief Financial Officer CI Configuration Item CIO Chief Information Officer CISA Certified Information Systems

Auditor CISM Certified Information Security

Manager CMDB Configuration Management

Database CMM Capability Maturity Model CMMI Capability Maturity Model

Integrated CMO Chief Marketing Officer COBIT Control Objectives for Information

and Related Technology COSO Committee of Sponsoring

Organisations DB Database DS Deliver and Support DSG Datenschutzgesetz ECV Emittenten-Compliance-

Verordnung

FAIT Fachgutachten zur Prüfung der IT FIPS Federal Information Processing

Standard FS DV Fachsenat für Datenverarbeitung FS HR Fachsenat für Handelsrecht FSC Forward Schedule of Changes GoB Grundsätze ordnungsgemäßer

Buchführung GSHB Grundschutzhandbuch HIPAA Health Insurance Portability and

Accountability Act HW Hardware ICOFR Internal Control Over Financial

Reporting ICT Information and Communication

Technology IDS Intrusion Detection System IDW Institut der Wirtschaftsprüfer IEC International Electro technical

Commission IFAC International Federation of

Accountants IKS Internes Kontrollsystem IRM Information Risk Management ISA International Standards on

Auditing ISACA Information Systems Audit and

Control Association ISO International Standardisation

Organisation ISP Internet Service Provider IT Informationstechnologie,

Information and related Technology

IT-BPM IT Baseline Protection Manual ITGC IT General Controls ITGI IT Governance Institute ITIL IT Infrastructure Library

ITIM IT Infrastructure Management ITSM IT Service Management KFS Kammer Fachsenat für

Datenverarbeitung KFS/DV1 Fachgutachten 1 des KFS KFS/DV2 Fachgutachten 2 des KFS KGI Key Goal Indicator KonTraG Kontroll- und Transparenzgesetz KPI Key Performance Indicator ME Monitor and Evaluate NIST National Information Security and

Technology OP Operation PC Process Control PCAOB Public Company Accounting

Oversight Board PMBOK Project Management Body of

Knowledge PO Plan and Organise PRINCE Projects in Controlled

Environments PS Prüfungsstandard PSA Projected Service Availability RFC Request for Change ROI Return-On-Investment RZ Rechenzentrum SAS Statement on Auditing Standard SD Service Desk SLA Service Level Agreement SLM Service Level Management SLR Service Level Requirements SOX Sarbanes Oxley Act SQP Service Quality Plan SW Software UC Underpinning Contract