ISO/IEC 2000 und 27000 im Umfeld anderer Frameworks/Standards

Es ist ganz instruktiv, sich einmal ein graphische Übersicht darüber zu verschaffen, wie sich die Standards ISO/IEC 20000 und ISO/IEC 27000 in die Landschaft anderer Normen und Frameworks einbetten, die einen Einfluss auf IT-Management haben. Ich habe mir hierzu mal meine eigene Skizze angefertigt.

Die Pfeile sollen dabei Folgendes andeuten:

  • Die Managementsysteme, die in den Normen ISO/IEC 20000 und 27000 beschrieben werden, orientieren sich an grundlegenden Regeln für Qualitätsmanagementsysteme. Die ISO 9000 hat hierauf also einen fundamentalen Einfluss.
  • Die Norm ISO/IEC 27000 inkludiert grundlegende Prinzipien eines Risiko-Managements beim Aufbau eines Management-Systems für Informationssicherheit.
  • Die Norm ISO/IEC 20000 ist stark von ITL V2 beeinflusst und weist auch einen großen Überlapp mit ITIL V3 auf.

Wer bessere Vorschläge zur Darstellung hat, möge sie gerne hochladen.

Frameworkuebersicht

In einem kommenden Beitrag werde ich die hier genannten Frameworks mal in tabellarischer Form mit einer Kurzbeschreibung versehen.

Wieso sollten IT-Verantwortliche sich mit ISO/IEC 20000 und 27000 befassen?

Sie sind Manager bei einem IT-Service-Provider. Sie bedienen firmeninterne Kunden und/oder externe Kunden mit IT-Services. Ihre Strukturen sind seit Jahren gewachsen. Das Anforderungsspektrum ändert sich zwar stetig, aber sie haben Ihren operativen Betrieb gut im Griff. Eine Anforderung an eine Zertifizierung wurde bislang nicht an Sie oder den IT-Bereich gestellt. Die Kunden jammern immer mal wieder - aber Beschwerden über das Übliche hinaus sind Ihnen erspart geblieben.

Warum also sollten Sie sich überhaupt mit Norm und Standards der ISO/IEC 20000- oder der ISO 27000-Reihe befassen?

Aus meiner Sicht kann es hierfür eine ganze Reihe guter Gründe geben. Ich liste mal einige auf, die mir nicht zuletzt aufgrund eigener Erfahrungen am Herzen liegen :

Kostendruck und IT-Industrialisierung zwingen zur Integration externer Dienste

Die zunehmende Industrialisierung von IT macht weder vor Systeminfrastrukturen noch Softwareangeboten halt. Es entwickeln sich Spezialisten, die dem Markt ein wachsendes Spektrum an Servern, Infrastruktur und auch Software-Diensten kostengünstig von der (virtuellen) Stange einer "Cloud" anbieten. Im Zuge einer Steigerung der Kosteneffizienz kann es bei aller gebotenen Skepsis durchaus sinnvoll sein oder werden, Angebote externer Dienstleister mit den ureigensten IT-Angeboten zu verzahnen und zu kombinieren.

Dies ist nicht nur im Sinne einer Portfolio-Erweiterung sondern auch im Sinne einer Fokussierung auf Kernkompetenzen zu verstehen. Man muss zur Erbringung von IT-Dienstleistungen nicht alles selber leisten, wenn dies andere bei hinreichender Qualität kostengünstiger können. Für den Endkunden zählt die Homogenität und die Leistungsfähigkeit des letztlich gewünschten Dienstespektrums und oftmals nicht, wer genau den Dienst oder Teile davon erbringt. Solange dabei seine Leistungskriterien erfüllt und seine berechtigten Sicherheitsinteressen nicht kompromittiert werden ....

Die dann entstehenden komplexen Abhängigkeiten bzgl. der komplexer werdenden Interaktion verteilter Produkte, der homogenen Serviceerbringung gegenüber dem eigenen Endkunden, bzgl. der reibungslosen Zulieferung von Diensten und der Erbringung des notwendigen Supports verlangen jedoch ein umfassendes und effektives Management der gesamten Liefer- und Produktionskette. Ein einheitlicher Supplier-Management-Ansatz ist gefragt - nicht nur bzgl. des Managements von SLAs. Im besonderen muss auch das Risiko- und Sicherheitsmanagement die externen Lieferketten einbeziehen. ISO 20000-1 und auch ISO 27001 bieten hierfür Leitlinien.

ITIL - ja, aber bitte kompakt !

ITIL ist für Sie als IT-Verantwortlicher ein Dauer-Thema. Sie wissen um die Bedeutung von Best Practice Modellen für IT Prozess-Management und vermuten, dass man Sie eines Tages auch mal daran messen könnte. Aber ITIL V2 und V3 erscheinen Ihnen außerordentlich umfassend und daher zu umfangreich und zu komplex. Sie möchten sich zunächst auf die essentiellen Prozesse des Managements Ihrer IT Services konzentrieren. Das ITIL-nahe ISO 20000 liefert Ihnen auch hierfür eine Richtschnur (s.u.).

Die Nähe der ISO 20000 zu ITIL (insbesondere zu ITIL V2) ist an vielen Stellen unübersehbar. Zudem wurde beim Entwurf von ITIL V3 u.a. auch das Ziel verfolgt, sich enger an die ISO 20000 anzunähern. Das kommt in ITIL V3 z.B. auch im übergreifenden Prinzip des "Continual Service Improvement" und zugehöriger Management-Prozesse zum Ausdruck. Grundsätzlich sind viele ISO/IEC 20000-Prozesse in ITIL noch deutlich feiner untergliedert. ISO/IEC 20000-1 ist dafür kompakt und auf Mindestanforderungen komprimiert. Im Gegenzug werden dort dafür Verantwortlichkeiten und Aufgaben des Managements sehr ausgeprägt behandelt.

IT Sicherheitsmanagement ist von grundsätzlicher Bedeutung

Von der Sicherheit Ihrer IT-Services und der dort behandelten Daten ist das Geschäft Ihrer internen und externen Kunden abhängig. Als IT-Verantwortlicher begreifen Sie Risiko-Management und darauf aufbauende Sicherheitsmaßnahmen für die Infor­mationswerte ihres Unternehmens oder Ihrer Organisation deshalb als essentielle Teile Ihres Business- und IT-Managements. Unerkannte und unbehandelte Schwächen können und wol­len Sie sich in einer zunehmend komplexeren, vernetzten und anfälligen IT-Welt nicht leisten. Sie möchten Ihr Risiko- und Sicherheitsmanagement deshalb systematisch strukturieren und dabei an Best Practice basierten Normen ausrichten. ISO 20000 und im Detail die ISO 27000 geben Ihnen hierzu Richtlinien an die Hand und zeigen ein Minimum an zu etablierenden "Controls" auf.

Kontinuierliche Verbesserung und Vorbereitung auf künftige Herausforderungen

Die systematische Verbesserung der IT-Service-Qualität und des IT-Sicherheitsniveaus ist heute eine grundlegende Anforderung an ein effektives IT-Management – unabhängig von der Branche, Ihrer Rolle als interner oder externer IT-Service-Provider oder einem konkreten Zertifizierungs­bedarf. Das Prinzip der kontinuierlichen Verbesserung ist grundlegend für Qualitätsmanagement und in beiden Normen wie in auch in ITIL V3 zentral verankert. Eine Etablierung und Überwachung strukturierter Verbesserungs-Zyklen in Ihrem IT-Management-System erscheint Ihnen nicht zuletzt auch deshalb als sinnvoll, weil Sie in den Ablauf der Prozessverbesserung neue Herausforderungen systematisch und kontrolliert integrieren können.

Verbesserung der Kundenorientierung

Die Ansprüche von Kunden ändern sich ständig. Oftmals sogar unbewusst. Dies hat nicht zuletzt mit der Vielfalt des IT-Angebots im Internet zu tun. Fast automatisch verschieben sich die Erwartungen von Internet-Benutzern hinsichtlich der Bedienbarkeit und des Umfangs von IT-Services. Die Ansprüche wachsen und das betrifft nicht nur die (Web-) Oberflächen sondern vor allem die angebotene Service-Tiefe und Service-Vernetzung. Wissen wir IT-Verantwortlichen angesichts der Dynamik heutiger Angebote eigentlich noch, was unser Kunden wirklich von uns erwarten? Kümmern wir uns in hinreichendem Maße darum? Erfassen wir die Kundenzufriedenheit? Betreiben wir ein angemessenes Kunden-Management? Und im Zuge davon ein zukunftsorientiertes Anforderungs- und Service Portfolio Management?

Kundenzufriedenheit verbessert Markt- und Auftragschancen; sie sichert die eigene Finanzierung. IT ist in der Regel kein Selbstzweck; sie dient internen wie externen Kunden. Die genannten Normen helfen und zwingen uns, kundenorientiertes IT Service Management zu betreiben.

Benchmarking - auch unabhängig von Zertifizierungen

Eine systematische Analyse und Bewertung Ihrer IT-Management-Prozesse sowie ein Messen des Service-Ma­nagements an den genannten Normen hilft Ihnen, Schwachpunkte in den Bereichen Gover­nance, Steuerung, Effektivität und Effizienz sowie Sicherheit des operativen Betriebs aufzudecken und diesen gegenzusteuern. Die Vorgaben und Standards der ISO/IEC 20000-Reihe eignen sich sehr gut als Grundlage für eine unabhängige Bewertung des eigenen IT-Service Managements. Die ISO 27000 bettet sich hierbei nahtlos ein und hilft u.a. mit seinem Katalog an "Control Objectives" und "Controls", das eigene Risiko- und Informations-Sicherheitsmanagement gezielt zu hinterfragen.

Revisionen

In vielen öffentlichen Organisationen aber auch Unternehmen spielen interne und auch externe Revisionen eine wichtige Rolle. Die Ausrichtung des Geschäfts und der sie unterstützenden Prozesse an unternehmensweiten Qualitäts- und übergreifenden Sicherheitsrichtlinien wie auch an ergänzenden Codices und gesetzlichen Vorgaben schlägt heute regelmäßig mittel- und unmittelbar auf die IT durch. Nicht zuletzt die Anforderungen internationaler Standards werden von Revisoren und Auditoren gerne in den eigenen Katalog der zu überprüfenden Kriterien an Prozesse und Dienste integriert.

Ein grundsätzliches Vorgehen beim IT-Management nach anerkannten Normen sowie die damit verbundene Erfüllung von Dokumentations- und Aufzeichnungs-Anforderungen helfen Ihnen deshalb bzgl. interner und externer Revisionen in jeder Hinsicht.

Projekte und der Übergang neuer Services in den operativen Betrieb

IT-Projekte befassen sich in der Regel mit der Erstellung neuer oder der Änderung vorhandener IT-Services. Für die nahtlose Eingliederung neuer Produkte und Services in Ihr Service-Portfolio muss bereits während der zugehörigen Projektphasen der spätere operative Betrieb berücksichtigt werden. Kenntnisse zu einem effektiven und qualitätsorientierten Service-Management sind daher auch für Ihre Projektmanager von Interesse. Insbesondere das Zusammenspiel von Projekten mit IT-Management-Prozessen wie u.a. etwa dem Change Management und dem Release Management muss in einer lebendigen IT-Projektlandschaft verstanden und organisiert werden./p>

Zentralisierung der IT und Standardisierung der Betriebs- und Management-Prozesse

In vielen Unternehmen sind in den letzten Jahrzehnten dezentrale IT-Strukturen gewachsen. Dies hatte in großen Organisationen einerseits etwas mit einer auf der organisatorischen Ebene falsch verstandenen Politik der Bildung unabhängiger Profit-Center zu tun. Andererseits ist die Bildung dezentraler IT-Service-Zentren auch ein Reflex auf vermeintlich hochspezifische Anforderungen von Fachbereichen. In vielen Fällen entpuppt sich das heute als ein kostenträchtiger Irrtum. Unternehmen wie öffentliche Organisationen steuern zunehmend durch eine Zentralisierung von IT-Service-Erbringung gegen. Bis hin zum kooperativen, gemeinsamen Betrieb von Rechenzentren. Die dann zur weiteren Steigerung der Kosteneffizienz wiederum externe Dienstleister einbinden .... Im Zuge der Zusammenführung von IT-Services bei einem zentralen Provider ergibt sich typischerweise eine schwierige Gemenge- und Interessenlage. Das gleiche geschieht, wenn im Rahmen von Fusionen gewachsene IT-Service-Dienstleister der unterschiedlichen Unternehmen miteinander verschmolzen werden sollen. Jenseits des Personalübergangs und der schwierigen Zusammenführung von technischer Infrastruktur erweisen sich gerade bislang gelebte und gewachsene Prozesse sowie das grundlegende Verständnis von IT-Organisation oftmals als wenig kompatibel. Hier hilft eine Orientierung an und Einigung auf anerkannte Normen und Standards - allein schon im sprachlichen Umgang miteinander.

Die Zentralisierung und Zusammenführung gewachsener IT-Dienstleistungsstrukturen stellt jenseits der technischen Schwierigkeiten jedes IT-Management auf den Prüfstand - selbst dann, wenn bereits ein ITSM-System etabliert wurde. Sind die vorhandenen zentralen Prozesse hinreichend strukturiert und gleichzeitig flexibel genug, neue Dienste zu integrieren? Wie kann der operative Betrieb der unter einem organisatorischen Dach zusammenzuführenden Dienste möglichst nahtlos weitergeführt werden muss? Ist die vorhandene Dokumentation der Prozesse hinreichend? Sind die vorhandenen Prozesse überhaupt miteinander vergleichbar? Wie lassen sich gewachsene und spezifisch ausdifferenzierte Rollen auf die definierten Rollen des ITSM abbilden? Welche neuen Sicherheitsanforderungen kommen auf den zentralen Dienstleister zu? Spätestens jetzt würde sich eine Standardisierung des IT-Service-Managements auszahlen.

Die Ausrichtung an Standards für IT-Service- und Sicherheits-Management macht Service-Integration und künftige Kooperationen oder Fusionen auf der Ebene der IT-Organisation besser handhabbar. Sie erleichtert ferner die Integration neuer Mitarbeiter durch durch ein einheitliches Prozess- und ggf. auch Rollenverständnis. Die Beschäftigung mit IT-Management-Standards ist daher eine gute Investition in die Zukunft.

Vorbereitung auf zunehmende Zertifizierungsanforderungen

Im öffentlichen Sektor, im Automobilbereich, in der Luftfahrtindustrie und im Finanzsektor wachsen die Anforderungen bzgl. einer ISO-20000- und ISO-27000-Zertifizierung zuliefernder Unternehmen und auch interner IT-Dienstleister. Gerade ein systematisches Risikomanagement und ein entsprechendes Management der Informationssicherheit gewinnen an Bedeutung - über die gesamte Liefer- und Produktions-Kette hinweg. Dies hat natürlich damit zu tun, dass Planung, Beschaffung, Lieferung, Rohstoff-Veredelung und Produktion in fast allen Branchen immer stärker IT-gestützt ablaufen. Beigetragen zum Interesse an Zertifizierungen von Informationssicherheitsmanagement-Systemen haben aber nicht zuletzt auch Skandale im Management von großen Unternehmen, die direkt oder indirekt die IT, die Datensicherheit und den Datenschutz betrafen. Hinzu kommt eine zunehmende Vielfalt an Bedrohungen, die direkt mit der Verteilung, Vernetzung und Komplexität von IT-Diensten wächst.

Führung - Engagement des Managements und der Mitarbeiter

Nach landläufiger Meinung stellen Normen eine „trockene“ Ange­legenheit dar und führen bei ihrer Umsetzung zu zusätzlichen Arbeitsbelastungen. Ich meine dagegen, dass die gemeinsame Gestaltung und die systematische Verbesserung der Prozesse, die den Alltag der IT-Schaffenden prägen, eher etwas mit Freude, Motivation und auch Anerkennung der beruflichen Kompetenz der Betroffenen zu tun haben sollten. Das bewusste Leben, das Anwenden, Ausgestalten und das Verbessern definierter IT-Prozesse durch Ihrer Mitarbeiterinnen und Mitarbeiter sind zudem Teil der beruflichen Mitarbeiter-Qualifizierung und -Motivation.

Sie möchten zudem das Engagement des Managements für die Qualität systematischer und strukturierter IT-Service-Erbringung demonstrieren und im beschriebenen Sinne auch an ihre Teams vermitteln. Die Ausrichtung an messbaren Zielen und eine entsprechende Führung sind Ihnen dabei wichtig.

Die genannten Normen können Ihnen gute Führung nicht abnehmen - sie helfen aber dabei, Zielorientierung über fundamentale Prozesselemente im Management-System zu verankern. Sie motivieren ferner zur Integration unterschiedlicher Aktivitäten und Interessen unter einem qualitätsorientierten Prozessansatz, zu dem alle Mitarbeiter auf der Basis fundierten Wissens und eines einheitlichen Verständnisses beitragen können und sollen.

Ich meine, bereits dieser begrenzte Katalog an potentiellen Gründen verdeutlicht, dass eine Auseinandersetzung mit ITSM- und ISMS-Normen und Standards nicht nur interessant ist, sondern für IT-Manager fast ein "Muss" darstellt.

Beim Versuch, im eigenen IT-Umfeld ein strukturiertes, systematisches, qualitäts- und kundenorientiertes IT-Service und Sicherheitsmanagement zu etablieren, muss man das Rad nicht neu erfinden. Die genannten ISO-Standardreihen sind nicht zuletzt auch das Ergebnis eines Versuches, die grundlegend erforderlichen Strukturen auf Basis von "Best Practice"-Ansätzen kompakt darzustellen.

Ein Blog zu ISO/IEC 20000 und ISO/IEC 27000 – meine Motivation

Als Consultant verfolge ich seit vielen Jahren, welche Veränderungen in hochdynamischer Weise das IT-Umfeld beeinflussen, von dem die Leistungskraft von Unternehmen und Verwaltung abhängen. Es ist nicht verwunderlich, dass man in meiner Phase des Berufslebens den Blick über einzelne IT-Projekte hinaus auch auf das "große Ganze" richtet. Da kommen dann Fragen auf wie etwa:

  • Was sind heute eigentlich Charakteristika von IT-Services und wie verändern sich diese mit den aktuellen Innovationszyklen?
  • Wann wird ein IT-Services so geleistet, dass "man" das als gut und richtig empfindet? Wer ist eigentlich "man"?
  • Wie organisiert man eine verbesserte Erbringung von Services oder eine Verbesserung des Services selbst? Was heißt eigentlich Verbesserung in einer Welt scheinbar unbegrenzter und rasant voranschreitender mobiler Möglichkeiten von Informationsverarbeitung? Wer definiert die Ansprüche?
  • Warum klappt die Service-Erbringung oder die Erzeugung von IT-Produkten bei manchen Firmen oder auch in bestimmten Lebensphasen eines Unternehmens offenbar besser als in anderen?
  • Was bedeuten IT- und Informationssicherheit in einer Welt zunehmend interdependenter Leistungen unterschiedlicher IT-Provider, die in Services zusammengeführt werden, auf die Menschen mit unterschiedlichen IT-Systemen zugreifen?

Der Hauptgrund, warum ich mich immmer öfter mit solchen Themen befasse, ist folgender:

Industrialisierung der IT

Aus meiner Sicht erleben wir zur Zeit eine massive Industrialisierung von IT. Viele IT-Dienste, die wir nutzen, sind bei genauerem Hinsehen eigentlich ein Konglomerat aus mehreren gekoppelten elementareren IT-Services, die z.T. völlig unterschiedlichen Lieferanten erbracht oder betrieben werden. Viel Dienste sind verteilt - sie finden in einer Welt aus Clouds, SAAS, HWAS, Webaukästen von Internet-Providern ssowieso nur noch selten am PC eines Arbeitsplatzes oder auf dem mobilen Device eines Anwenders statt. Zumindest nicht ausschließlich. Aber charakteristisch für die letzten Jahre ist eine Entwicklung, bei der Dienste auch immer seltener auf den Servern des hausinternen IT-Dienstleisters erbracht werden. Das hat im privaten und auch geschäftlichen Umfeld mit WEB 2.0-Anwendungen begonnen und setzt sich SAAS und über den Megatrend "Cloud" in andere Bereiche der IT-Leistungserbringung fort.

Die Vielfalt der dahinterliegenden, zugehörigen Betriebsprozesse lässt sich in ihrer Vielfalt immer schwerer überschauen. Was bedeutet das für den Endverbraucher, was für den einzelnen IT Dienstleister? Beide sind zunehmend in ein komplexes Netz von Abhängigkeiten eingebunden. IT wird also nicht nur auf der technischen Ebene zunehmend komplexer - nein, die Komplexität steigt heute vor allem auch auf der organisatorischen Ebene.

Früher ging man zum Schneider, um sich Kleider machen zu lassen. Vermögende leisteten sich gar einen eigenen Schneider. Heute kauft die Masse Konfektionsware von der Stange - aus Kostengründen und weil oftmals 70 oder 80% an Qualität als ausreichend empfunden werden.

Analog mietet man sich heute vorkonfektionierte Server irgendwo in einer Cloud, mietet anpassbare Software oder bastelt seinen Web-Auftritt mit mehr oder weniger schlechten Webbaukästen irgendwelcher Provider zusammen. Nicht nur private IT-Anwender nutzen Mobile-, Internet- und Server-Angebote von Anbietern für den Massenmarkt. Auch viele firmen- oder organisationsinterne IT-Dienstleister müssen sich früher oder später mit der Frage auseinandersetzen, welches ihr unveräußerliches Kerngeschäft ist und welche Services man (hoffentlich) kostengünstiger von externen Spezialisten erbringen lässt.

Notwendige Anpassungen des Managements von IT

Die immer stärkere Vernetzung unserer Gesellschaft und ihrer Wirtschaftsstrukturen führt zunehmend zu einer extrem heterogenen und ausdifferenzierten Leistungserbringung in der IT, in der ein kostenbewußter IT-Dienstleister interne Bausteine mit externen verbindet. Dies erfordert aus meiner Sicht jedoch auch eine unternehmerische IT-Governance und ein IT-Management, welches die damit einhergehenden resultierenden Herausforderungen ernst nimmt:

Ein Beispiel ist etwa ein integrierendes Service-Portfolio- und SLA-Management, dasdie externen Leistungserbringer auf dem erforderlichen Niveau in die eigene Leistungserbringung einbindet. Zu nennen ist vor allem aber auch ein Sicherheitsmanagement, das extern erbrachte IT-Dienste und deren Technik einbezieht und die damit verbundenen Risiken des Datentransfers und der Datenablage bei Diensteerbringern und Lieferanten kontrolliert. In einer vernetzten Welt wird neben dem Einsatz von Sicherheits- und Verschlüsselungstechniken auch die Kontrolle völlig anderer und neuer Risiken wie eine Bedrohung der Geschäftskontinuität durch unzureichende Service Level und unzureichende Sicherheitsregeln bei Providern bedeutsam. Dem muss durch ein entsprechendes Vertragsmanagement vorgebaut werden. Die notwendige Erweiterung des Blickwinkels ist aber auf beliebige Kernprozesse des IT-Geschäfts übertragbar.

Management heterogener "Supply Networks"

Im produzierenden Gewerbe spricht man von "Supply Chain Management" - in der IT wird man künftig vom Management komplexer "Supply-Networks" sprechen müssen. In einer globalisierten Welt mit extremem Kostendruck wird diese Entwicklung früher oder später Unternehmen aller Größenordnungen sowie große und kleine öffentliche Organisationen und Institutionen gleichermaßen betreffen. Kleinere Unternehmen und Organisationen vermutlich sogar früher als große. Und ich stehe sicher nicht allein mit der Prognose dar, dass insbesondere der öffentliche Dienst einem Trend zur vernetzten Leistungserbringung schon aus Kosten gründen, aber auch aus Nachwuchsmangel nicht entgehen wird.

Analysten und Forschungsinstitute verlangen die "Prozessfähigkeit" von Unternehmen und öffentlicher Verwaltung. Sie meinen damit die Verzahnung von Firmen- und Behördenprozessen. Die Situation ist eigentlich aber noch schlimmer: Unsere Unternehmen und Organisationen brauchen die "Prozessfähigkeit" jedoch auch in dem Sinne, dass die stützenden IT-Prozesse, die zu verzahnen sind, nicht mehr allein in den IT-Abteilungen der eigenen IT-Organisation, sondern von externen Providern erbracht, aber letztlich von uns selbst kontrolliert und verantwortet werden müssen. Und hier ist nicht die Fähigkeit zur Beherrschung Technik von Schnittstellen und Middleware gefragt, sondern vor allem die Kunst eines umfassenden IT Service Managements, welches auch Dienste im Griff hat, die woanders und von anderen erbracht werden, und Risiken kontrolliert behandelt, die an unterschiedlichen Knotenpunkten in einem "Supply-Netzwork" entstehen können.

Die Rolle von Normen als Leitlinien

Ich meine deshalb, dass sowohl IT Service Management wie auch ein kontrolliertes Information Security Management neben dem operativen technischen Betrieb künftig ein viel stärkeres Gewicht erhalten werden und erhalten müssen. Und hierbei werden Normen - nicht nur im Sinne von Zertifizierungsanforderungen sondern vor allem als Leitlinien - eine wachsende Rolle spielen. Dies bedeutet nicht, dass Normen per se gut sind. Die IT-Welt ist inzwischen einfach nur zu komplex, als dass man es sich leisten könnte, in Leitlinien gegossene Kondensate an "Best Practice Erfahrungen" zu ignorieren und "das Rad ständig neu zu erfinden". Und man muss keineswegs immer gleich eine Zertifizierung im Auge haben, wenn man sich an Normen orientiert ...

Zu nennen sind vor allem die Normen ISO 20000 für IT Service Management und ISO 27000 für Information Security Management. Meldungen wie die, dass US Bundesbehörden von bestimmten Zulieferern ISO 20000 und ISO 27000 Zertifizierungen verlangen, lassen zumindest aufhorchen - auch wenn einen Diskussion dazu geführt wird, wie eng man es damit eigentlich meint.

Ein Blog zum Meinungs- und Erfahrungsaustausch

Dieser Blog soll in ungezwungener Weise Meinungen und Erkenntnisse zur Bedeutung und zum Sinn oder auch Unsinn der Regelungen in den genannten Normen zur Diskussion stellen. Die Idee dazu kam im Zuge von Kursen bei der Fa. mITSM. In einem sehr intensiven und zugleich diskussionsreichen Ausbildungsrahmen meinte ich regelmäßig, den Bedarf zu einer freien Auseinandersetzung über verschiedene Aspekte der Normen zu spüren. Und zwar jenseits der Vorbereitung auf Zertifizierungsprüfungen. Warum also nicht einen Blog dazu anlegen?

Denn die Themen ITSM und ISMS sind so komplex und umfangreich, dass Lernen durch Meinungs- und Erfahrungsaustausch mindestens so wichtig ist wie der Erwerb von Zertifikaten.

Ich wünsche dabei viel Spaß!