Ein Blog zu ISO/IEC 20000 und ISO/IEC 27000 – meine Motivation

Als Consultant verfolge ich seit vielen Jahren, welche Veränderungen in hochdynamischer Weise das IT-Umfeld beeinflussen, von dem die Leistungskraft von Unternehmen und Verwaltung abhängen. Es ist nicht verwunderlich, dass man in meiner Phase des Berufslebens den Blick über einzelne IT-Projekte hinaus auch auf das "große Ganze" richtet. Da kommen dann Fragen auf wie etwa:

  • Was sind heute eigentlich Charakteristika von IT-Services und wie verändern sich diese mit den aktuellen Innovationszyklen?
  • Wann wird ein IT-Services so geleistet, dass "man" das als gut und richtig empfindet? Wer ist eigentlich "man"?
  • Wie organisiert man eine verbesserte Erbringung von Services oder eine Verbesserung des Services selbst? Was heißt eigentlich Verbesserung in einer Welt scheinbar unbegrenzter und rasant voranschreitender mobiler Möglichkeiten von Informationsverarbeitung? Wer definiert die Ansprüche?
  • Warum klappt die Service-Erbringung oder die Erzeugung von IT-Produkten bei manchen Firmen oder auch in bestimmten Lebensphasen eines Unternehmens offenbar besser als in anderen?
  • Was bedeuten IT- und Informationssicherheit in einer Welt zunehmend interdependenter Leistungen unterschiedlicher IT-Provider, die in Services zusammengeführt werden, auf die Menschen mit unterschiedlichen IT-Systemen zugreifen?

Der Hauptgrund, warum ich mich immmer öfter mit solchen Themen befasse, ist folgender:

Industrialisierung der IT

Aus meiner Sicht erleben wir zur Zeit eine massive Industrialisierung von IT. Viele IT-Dienste, die wir nutzen, sind bei genauerem Hinsehen eigentlich ein Konglomerat aus mehreren gekoppelten elementareren IT-Services, die z.T. völlig unterschiedlichen Lieferanten erbracht oder betrieben werden. Viel Dienste sind verteilt - sie finden in einer Welt aus Clouds, SAAS, HWAS, Webaukästen von Internet-Providern ssowieso nur noch selten am PC eines Arbeitsplatzes oder auf dem mobilen Device eines Anwenders statt. Zumindest nicht ausschließlich. Aber charakteristisch für die letzten Jahre ist eine Entwicklung, bei der Dienste auch immer seltener auf den Servern des hausinternen IT-Dienstleisters erbracht werden. Das hat im privaten und auch geschäftlichen Umfeld mit WEB 2.0-Anwendungen begonnen und setzt sich SAAS und über den Megatrend "Cloud" in andere Bereiche der IT-Leistungserbringung fort.

Die Vielfalt der dahinterliegenden, zugehörigen Betriebsprozesse lässt sich in ihrer Vielfalt immer schwerer überschauen. Was bedeutet das für den Endverbraucher, was für den einzelnen IT Dienstleister? Beide sind zunehmend in ein komplexes Netz von Abhängigkeiten eingebunden. IT wird also nicht nur auf der technischen Ebene zunehmend komplexer - nein, die Komplexität steigt heute vor allem auch auf der organisatorischen Ebene.

Früher ging man zum Schneider, um sich Kleider machen zu lassen. Vermögende leisteten sich gar einen eigenen Schneider. Heute kauft die Masse Konfektionsware von der Stange - aus Kostengründen und weil oftmals 70 oder 80% an Qualität als ausreichend empfunden werden.

Analog mietet man sich heute vorkonfektionierte Server irgendwo in einer Cloud, mietet anpassbare Software oder bastelt seinen Web-Auftritt mit mehr oder weniger schlechten Webbaukästen irgendwelcher Provider zusammen. Nicht nur private IT-Anwender nutzen Mobile-, Internet- und Server-Angebote von Anbietern für den Massenmarkt. Auch viele firmen- oder organisationsinterne IT-Dienstleister müssen sich früher oder später mit der Frage auseinandersetzen, welches ihr unveräußerliches Kerngeschäft ist und welche Services man (hoffentlich) kostengünstiger von externen Spezialisten erbringen lässt.

Notwendige Anpassungen des Managements von IT

Die immer stärkere Vernetzung unserer Gesellschaft und ihrer Wirtschaftsstrukturen führt zunehmend zu einer extrem heterogenen und ausdifferenzierten Leistungserbringung in der IT, in der ein kostenbewußter IT-Dienstleister interne Bausteine mit externen verbindet. Dies erfordert aus meiner Sicht jedoch auch eine unternehmerische IT-Governance und ein IT-Management, welches die damit einhergehenden resultierenden Herausforderungen ernst nimmt:

Ein Beispiel ist etwa ein integrierendes Service-Portfolio- und SLA-Management, dasdie externen Leistungserbringer auf dem erforderlichen Niveau in die eigene Leistungserbringung einbindet. Zu nennen ist vor allem aber auch ein Sicherheitsmanagement, das extern erbrachte IT-Dienste und deren Technik einbezieht und die damit verbundenen Risiken des Datentransfers und der Datenablage bei Diensteerbringern und Lieferanten kontrolliert. In einer vernetzten Welt wird neben dem Einsatz von Sicherheits- und Verschlüsselungstechniken auch die Kontrolle völlig anderer und neuer Risiken wie eine Bedrohung der Geschäftskontinuität durch unzureichende Service Level und unzureichende Sicherheitsregeln bei Providern bedeutsam. Dem muss durch ein entsprechendes Vertragsmanagement vorgebaut werden. Die notwendige Erweiterung des Blickwinkels ist aber auf beliebige Kernprozesse des IT-Geschäfts übertragbar.

Management heterogener "Supply Networks"

Im produzierenden Gewerbe spricht man von "Supply Chain Management" - in der IT wird man künftig vom Management komplexer "Supply-Networks" sprechen müssen. In einer globalisierten Welt mit extremem Kostendruck wird diese Entwicklung früher oder später Unternehmen aller Größenordnungen sowie große und kleine öffentliche Organisationen und Institutionen gleichermaßen betreffen. Kleinere Unternehmen und Organisationen vermutlich sogar früher als große. Und ich stehe sicher nicht allein mit der Prognose dar, dass insbesondere der öffentliche Dienst einem Trend zur vernetzten Leistungserbringung schon aus Kosten gründen, aber auch aus Nachwuchsmangel nicht entgehen wird.

Analysten und Forschungsinstitute verlangen die "Prozessfähigkeit" von Unternehmen und öffentlicher Verwaltung. Sie meinen damit die Verzahnung von Firmen- und Behördenprozessen. Die Situation ist eigentlich aber noch schlimmer: Unsere Unternehmen und Organisationen brauchen die "Prozessfähigkeit" jedoch auch in dem Sinne, dass die stützenden IT-Prozesse, die zu verzahnen sind, nicht mehr allein in den IT-Abteilungen der eigenen IT-Organisation, sondern von externen Providern erbracht, aber letztlich von uns selbst kontrolliert und verantwortet werden müssen. Und hier ist nicht die Fähigkeit zur Beherrschung Technik von Schnittstellen und Middleware gefragt, sondern vor allem die Kunst eines umfassenden IT Service Managements, welches auch Dienste im Griff hat, die woanders und von anderen erbracht werden, und Risiken kontrolliert behandelt, die an unterschiedlichen Knotenpunkten in einem "Supply-Netzwork" entstehen können.

Die Rolle von Normen als Leitlinien

Ich meine deshalb, dass sowohl IT Service Management wie auch ein kontrolliertes Information Security Management neben dem operativen technischen Betrieb künftig ein viel stärkeres Gewicht erhalten werden und erhalten müssen. Und hierbei werden Normen - nicht nur im Sinne von Zertifizierungsanforderungen sondern vor allem als Leitlinien - eine wachsende Rolle spielen. Dies bedeutet nicht, dass Normen per se gut sind. Die IT-Welt ist inzwischen einfach nur zu komplex, als dass man es sich leisten könnte, in Leitlinien gegossene Kondensate an "Best Practice Erfahrungen" zu ignorieren und "das Rad ständig neu zu erfinden". Und man muss keineswegs immer gleich eine Zertifizierung im Auge haben, wenn man sich an Normen orientiert ...

Zu nennen sind vor allem die Normen ISO 20000 für IT Service Management und ISO 27000 für Information Security Management. Meldungen wie die, dass US Bundesbehörden von bestimmten Zulieferern ISO 20000 und ISO 27000 Zertifizierungen verlangen, lassen zumindest aufhorchen - auch wenn einen Diskussion dazu geführt wird, wie eng man es damit eigentlich meint.

Ein Blog zum Meinungs- und Erfahrungsaustausch

Dieser Blog soll in ungezwungener Weise Meinungen und Erkenntnisse zur Bedeutung und zum Sinn oder auch Unsinn der Regelungen in den genannten Normen zur Diskussion stellen. Die Idee dazu kam im Zuge von Kursen bei der Fa. mITSM. In einem sehr intensiven und zugleich diskussionsreichen Ausbildungsrahmen meinte ich regelmäßig, den Bedarf zu einer freien Auseinandersetzung über verschiedene Aspekte der Normen zu spüren. Und zwar jenseits der Vorbereitung auf Zertifizierungsprüfungen. Warum also nicht einen Blog dazu anlegen?

Denn die Themen ITSM und ISMS sind so komplex und umfangreich, dass Lernen durch Meinungs- und Erfahrungsaustausch mindestens so wichtig ist wie der Erwerb von Zertifikaten.

Ich wünsche dabei viel Spaß!

Die Kommentarfunktion ist geschlossen.