Wieso sollten IT-Verantwortliche sich mit ISO/IEC 20000 und 27000 befassen?

Sie sind Manager bei einem IT-Service-Provider. Sie bedienen firmeninterne Kunden und/oder externe Kunden mit IT-Services. Ihre Strukturen sind seit Jahren gewachsen. Das Anforderungsspektrum ändert sich zwar stetig, aber sie haben Ihren operativen Betrieb gut im Griff. Eine Anforderung an eine Zertifizierung wurde bislang nicht an Sie oder den IT-Bereich gestellt. Die Kunden jammern immer mal wieder - aber Beschwerden über das Übliche hinaus sind Ihnen erspart geblieben.

Warum also sollten Sie sich überhaupt mit Norm und Standards der ISO/IEC 20000- oder der ISO 27000-Reihe befassen?

Aus meiner Sicht kann es hierfür eine ganze Reihe guter Gründe geben. Ich liste mal einige auf, die mir nicht zuletzt aufgrund eigener Erfahrungen am Herzen liegen :

Kostendruck und IT-Industrialisierung zwingen zur Integration externer Dienste

Die zunehmende Industrialisierung von IT macht weder vor Systeminfrastrukturen noch Softwareangeboten halt. Es entwickeln sich Spezialisten, die dem Markt ein wachsendes Spektrum an Servern, Infrastruktur und auch Software-Diensten kostengünstig von der (virtuellen) Stange einer "Cloud" anbieten. Im Zuge einer Steigerung der Kosteneffizienz kann es bei aller gebotenen Skepsis durchaus sinnvoll sein oder werden, Angebote externer Dienstleister mit den ureigensten IT-Angeboten zu verzahnen und zu kombinieren.

Dies ist nicht nur im Sinne einer Portfolio-Erweiterung sondern auch im Sinne einer Fokussierung auf Kernkompetenzen zu verstehen. Man muss zur Erbringung von IT-Dienstleistungen nicht alles selber leisten, wenn dies andere bei hinreichender Qualität kostengünstiger können. Für den Endkunden zählt die Homogenität und die Leistungsfähigkeit des letztlich gewünschten Dienstespektrums und oftmals nicht, wer genau den Dienst oder Teile davon erbringt. Solange dabei seine Leistungskriterien erfüllt und seine berechtigten Sicherheitsinteressen nicht kompromittiert werden ....

Die dann entstehenden komplexen Abhängigkeiten bzgl. der komplexer werdenden Interaktion verteilter Produkte, der homogenen Serviceerbringung gegenüber dem eigenen Endkunden, bzgl. der reibungslosen Zulieferung von Diensten und der Erbringung des notwendigen Supports verlangen jedoch ein umfassendes und effektives Management der gesamten Liefer- und Produktionskette. Ein einheitlicher Supplier-Management-Ansatz ist gefragt - nicht nur bzgl. des Managements von SLAs. Im besonderen muss auch das Risiko- und Sicherheitsmanagement die externen Lieferketten einbeziehen. ISO 20000-1 und auch ISO 27001 bieten hierfür Leitlinien.

ITIL - ja, aber bitte kompakt !

ITIL ist für Sie als IT-Verantwortlicher ein Dauer-Thema. Sie wissen um die Bedeutung von Best Practice Modellen für IT Prozess-Management und vermuten, dass man Sie eines Tages auch mal daran messen könnte. Aber ITIL V2 und V3 erscheinen Ihnen außerordentlich umfassend und daher zu umfangreich und zu komplex. Sie möchten sich zunächst auf die essentiellen Prozesse des Managements Ihrer IT Services konzentrieren. Das ITIL-nahe ISO 20000 liefert Ihnen auch hierfür eine Richtschnur (s.u.).

Die Nähe der ISO 20000 zu ITIL (insbesondere zu ITIL V2) ist an vielen Stellen unübersehbar. Zudem wurde beim Entwurf von ITIL V3 u.a. auch das Ziel verfolgt, sich enger an die ISO 20000 anzunähern. Das kommt in ITIL V3 z.B. auch im übergreifenden Prinzip des "Continual Service Improvement" und zugehöriger Management-Prozesse zum Ausdruck. Grundsätzlich sind viele ISO/IEC 20000-Prozesse in ITIL noch deutlich feiner untergliedert. ISO/IEC 20000-1 ist dafür kompakt und auf Mindestanforderungen komprimiert. Im Gegenzug werden dort dafür Verantwortlichkeiten und Aufgaben des Managements sehr ausgeprägt behandelt.

IT Sicherheitsmanagement ist von grundsätzlicher Bedeutung

Von der Sicherheit Ihrer IT-Services und der dort behandelten Daten ist das Geschäft Ihrer internen und externen Kunden abhängig. Als IT-Verantwortlicher begreifen Sie Risiko-Management und darauf aufbauende Sicherheitsmaßnahmen für die Infor­mationswerte ihres Unternehmens oder Ihrer Organisation deshalb als essentielle Teile Ihres Business- und IT-Managements. Unerkannte und unbehandelte Schwächen können und wol­len Sie sich in einer zunehmend komplexeren, vernetzten und anfälligen IT-Welt nicht leisten. Sie möchten Ihr Risiko- und Sicherheitsmanagement deshalb systematisch strukturieren und dabei an Best Practice basierten Normen ausrichten. ISO 20000 und im Detail die ISO 27000 geben Ihnen hierzu Richtlinien an die Hand und zeigen ein Minimum an zu etablierenden "Controls" auf.

Kontinuierliche Verbesserung und Vorbereitung auf künftige Herausforderungen

Die systematische Verbesserung der IT-Service-Qualität und des IT-Sicherheitsniveaus ist heute eine grundlegende Anforderung an ein effektives IT-Management – unabhängig von der Branche, Ihrer Rolle als interner oder externer IT-Service-Provider oder einem konkreten Zertifizierungs­bedarf. Das Prinzip der kontinuierlichen Verbesserung ist grundlegend für Qualitätsmanagement und in beiden Normen wie in auch in ITIL V3 zentral verankert. Eine Etablierung und Überwachung strukturierter Verbesserungs-Zyklen in Ihrem IT-Management-System erscheint Ihnen nicht zuletzt auch deshalb als sinnvoll, weil Sie in den Ablauf der Prozessverbesserung neue Herausforderungen systematisch und kontrolliert integrieren können.

Verbesserung der Kundenorientierung

Die Ansprüche von Kunden ändern sich ständig. Oftmals sogar unbewusst. Dies hat nicht zuletzt mit der Vielfalt des IT-Angebots im Internet zu tun. Fast automatisch verschieben sich die Erwartungen von Internet-Benutzern hinsichtlich der Bedienbarkeit und des Umfangs von IT-Services. Die Ansprüche wachsen und das betrifft nicht nur die (Web-) Oberflächen sondern vor allem die angebotene Service-Tiefe und Service-Vernetzung. Wissen wir IT-Verantwortlichen angesichts der Dynamik heutiger Angebote eigentlich noch, was unser Kunden wirklich von uns erwarten? Kümmern wir uns in hinreichendem Maße darum? Erfassen wir die Kundenzufriedenheit? Betreiben wir ein angemessenes Kunden-Management? Und im Zuge davon ein zukunftsorientiertes Anforderungs- und Service Portfolio Management?

Kundenzufriedenheit verbessert Markt- und Auftragschancen; sie sichert die eigene Finanzierung. IT ist in der Regel kein Selbstzweck; sie dient internen wie externen Kunden. Die genannten Normen helfen und zwingen uns, kundenorientiertes IT Service Management zu betreiben.

Benchmarking - auch unabhängig von Zertifizierungen

Eine systematische Analyse und Bewertung Ihrer IT-Management-Prozesse sowie ein Messen des Service-Ma­nagements an den genannten Normen hilft Ihnen, Schwachpunkte in den Bereichen Gover­nance, Steuerung, Effektivität und Effizienz sowie Sicherheit des operativen Betriebs aufzudecken und diesen gegenzusteuern. Die Vorgaben und Standards der ISO/IEC 20000-Reihe eignen sich sehr gut als Grundlage für eine unabhängige Bewertung des eigenen IT-Service Managements. Die ISO 27000 bettet sich hierbei nahtlos ein und hilft u.a. mit seinem Katalog an "Control Objectives" und "Controls", das eigene Risiko- und Informations-Sicherheitsmanagement gezielt zu hinterfragen.

Revisionen

In vielen öffentlichen Organisationen aber auch Unternehmen spielen interne und auch externe Revisionen eine wichtige Rolle. Die Ausrichtung des Geschäfts und der sie unterstützenden Prozesse an unternehmensweiten Qualitäts- und übergreifenden Sicherheitsrichtlinien wie auch an ergänzenden Codices und gesetzlichen Vorgaben schlägt heute regelmäßig mittel- und unmittelbar auf die IT durch. Nicht zuletzt die Anforderungen internationaler Standards werden von Revisoren und Auditoren gerne in den eigenen Katalog der zu überprüfenden Kriterien an Prozesse und Dienste integriert.

Ein grundsätzliches Vorgehen beim IT-Management nach anerkannten Normen sowie die damit verbundene Erfüllung von Dokumentations- und Aufzeichnungs-Anforderungen helfen Ihnen deshalb bzgl. interner und externer Revisionen in jeder Hinsicht.

Projekte und der Übergang neuer Services in den operativen Betrieb

IT-Projekte befassen sich in der Regel mit der Erstellung neuer oder der Änderung vorhandener IT-Services. Für die nahtlose Eingliederung neuer Produkte und Services in Ihr Service-Portfolio muss bereits während der zugehörigen Projektphasen der spätere operative Betrieb berücksichtigt werden. Kenntnisse zu einem effektiven und qualitätsorientierten Service-Management sind daher auch für Ihre Projektmanager von Interesse. Insbesondere das Zusammenspiel von Projekten mit IT-Management-Prozessen wie u.a. etwa dem Change Management und dem Release Management muss in einer lebendigen IT-Projektlandschaft verstanden und organisiert werden./p>

Zentralisierung der IT und Standardisierung der Betriebs- und Management-Prozesse

In vielen Unternehmen sind in den letzten Jahrzehnten dezentrale IT-Strukturen gewachsen. Dies hatte in großen Organisationen einerseits etwas mit einer auf der organisatorischen Ebene falsch verstandenen Politik der Bildung unabhängiger Profit-Center zu tun. Andererseits ist die Bildung dezentraler IT-Service-Zentren auch ein Reflex auf vermeintlich hochspezifische Anforderungen von Fachbereichen. In vielen Fällen entpuppt sich das heute als ein kostenträchtiger Irrtum. Unternehmen wie öffentliche Organisationen steuern zunehmend durch eine Zentralisierung von IT-Service-Erbringung gegen. Bis hin zum kooperativen, gemeinsamen Betrieb von Rechenzentren. Die dann zur weiteren Steigerung der Kosteneffizienz wiederum externe Dienstleister einbinden .... Im Zuge der Zusammenführung von IT-Services bei einem zentralen Provider ergibt sich typischerweise eine schwierige Gemenge- und Interessenlage. Das gleiche geschieht, wenn im Rahmen von Fusionen gewachsene IT-Service-Dienstleister der unterschiedlichen Unternehmen miteinander verschmolzen werden sollen. Jenseits des Personalübergangs und der schwierigen Zusammenführung von technischer Infrastruktur erweisen sich gerade bislang gelebte und gewachsene Prozesse sowie das grundlegende Verständnis von IT-Organisation oftmals als wenig kompatibel. Hier hilft eine Orientierung an und Einigung auf anerkannte Normen und Standards - allein schon im sprachlichen Umgang miteinander.

Die Zentralisierung und Zusammenführung gewachsener IT-Dienstleistungsstrukturen stellt jenseits der technischen Schwierigkeiten jedes IT-Management auf den Prüfstand - selbst dann, wenn bereits ein ITSM-System etabliert wurde. Sind die vorhandenen zentralen Prozesse hinreichend strukturiert und gleichzeitig flexibel genug, neue Dienste zu integrieren? Wie kann der operative Betrieb der unter einem organisatorischen Dach zusammenzuführenden Dienste möglichst nahtlos weitergeführt werden muss? Ist die vorhandene Dokumentation der Prozesse hinreichend? Sind die vorhandenen Prozesse überhaupt miteinander vergleichbar? Wie lassen sich gewachsene und spezifisch ausdifferenzierte Rollen auf die definierten Rollen des ITSM abbilden? Welche neuen Sicherheitsanforderungen kommen auf den zentralen Dienstleister zu? Spätestens jetzt würde sich eine Standardisierung des IT-Service-Managements auszahlen.

Die Ausrichtung an Standards für IT-Service- und Sicherheits-Management macht Service-Integration und künftige Kooperationen oder Fusionen auf der Ebene der IT-Organisation besser handhabbar. Sie erleichtert ferner die Integration neuer Mitarbeiter durch durch ein einheitliches Prozess- und ggf. auch Rollenverständnis. Die Beschäftigung mit IT-Management-Standards ist daher eine gute Investition in die Zukunft.

Vorbereitung auf zunehmende Zertifizierungsanforderungen

Im öffentlichen Sektor, im Automobilbereich, in der Luftfahrtindustrie und im Finanzsektor wachsen die Anforderungen bzgl. einer ISO-20000- und ISO-27000-Zertifizierung zuliefernder Unternehmen und auch interner IT-Dienstleister. Gerade ein systematisches Risikomanagement und ein entsprechendes Management der Informationssicherheit gewinnen an Bedeutung - über die gesamte Liefer- und Produktions-Kette hinweg. Dies hat natürlich damit zu tun, dass Planung, Beschaffung, Lieferung, Rohstoff-Veredelung und Produktion in fast allen Branchen immer stärker IT-gestützt ablaufen. Beigetragen zum Interesse an Zertifizierungen von Informationssicherheitsmanagement-Systemen haben aber nicht zuletzt auch Skandale im Management von großen Unternehmen, die direkt oder indirekt die IT, die Datensicherheit und den Datenschutz betrafen. Hinzu kommt eine zunehmende Vielfalt an Bedrohungen, die direkt mit der Verteilung, Vernetzung und Komplexität von IT-Diensten wächst.

Führung - Engagement des Managements und der Mitarbeiter

Nach landläufiger Meinung stellen Normen eine „trockene“ Ange­legenheit dar und führen bei ihrer Umsetzung zu zusätzlichen Arbeitsbelastungen. Ich meine dagegen, dass die gemeinsame Gestaltung und die systematische Verbesserung der Prozesse, die den Alltag der IT-Schaffenden prägen, eher etwas mit Freude, Motivation und auch Anerkennung der beruflichen Kompetenz der Betroffenen zu tun haben sollten. Das bewusste Leben, das Anwenden, Ausgestalten und das Verbessern definierter IT-Prozesse durch Ihrer Mitarbeiterinnen und Mitarbeiter sind zudem Teil der beruflichen Mitarbeiter-Qualifizierung und -Motivation.

Sie möchten zudem das Engagement des Managements für die Qualität systematischer und strukturierter IT-Service-Erbringung demonstrieren und im beschriebenen Sinne auch an ihre Teams vermitteln. Die Ausrichtung an messbaren Zielen und eine entsprechende Führung sind Ihnen dabei wichtig.

Die genannten Normen können Ihnen gute Führung nicht abnehmen - sie helfen aber dabei, Zielorientierung über fundamentale Prozesselemente im Management-System zu verankern. Sie motivieren ferner zur Integration unterschiedlicher Aktivitäten und Interessen unter einem qualitätsorientierten Prozessansatz, zu dem alle Mitarbeiter auf der Basis fundierten Wissens und eines einheitlichen Verständnisses beitragen können und sollen.

Ich meine, bereits dieser begrenzte Katalog an potentiellen Gründen verdeutlicht, dass eine Auseinandersetzung mit ITSM- und ISMS-Normen und Standards nicht nur interessant ist, sondern für IT-Manager fast ein "Muss" darstellt.

Beim Versuch, im eigenen IT-Umfeld ein strukturiertes, systematisches, qualitäts- und kundenorientiertes IT-Service und Sicherheitsmanagement zu etablieren, muss man das Rad nicht neu erfinden. Die genannten ISO-Standardreihen sind nicht zuletzt auch das Ergebnis eines Versuches, die grundlegend erforderlichen Strukturen auf Basis von "Best Practice"-Ansätzen kompakt darzustellen.