www.intelliExperts.de – Erfahren Sie die wichtigsten Punkte rund um IT-Governance: Unterschiede, Frameworks, Standards und vieles mehr.
Unternehmen unterliegen heute vielen Vorschriften, die den Schutz vertraulicher Informationen, die finanzielle Rechenschaftspflicht und die Datenaufbewahrung regeln. Außerdem stehen sie unter dem Druck von Aktionären, Stakeholdern und Kunden.
Um sicherzustellen, dass sie die internen und externen Anforderungen erfüllen, implementieren viele Unternehmen ein formales IT-Governance.
IT-Governance (ITG) bietet eine Struktur, um die IT-Strategie mit der Geschäftsstrategie abzustimmen. Durch die Einhaltung eines formalen Rahmens können Organisationen messbare Ergebnisse bei der Erreichung ihrer Strategien erzielen. Ein formales Programm berücksichtigt die Interessen der Stakeholder sowie die Bedürfnisse der Mitarbeiter und die Prozesse, denen sie folgen. IT-Governance ist ein integraler Bestandteil der gesamten Unternehmensführung.
Abgrenzung zwischen IT-Governance und IT-Management
Die Begriffe IT-Governance und IT-Management werden oft in ähnlichen Zusammenhängen verwendet, unterscheiden sich jedoch deutlich voneinander. Während sich das IT-Management mit der Planung, Organisation, Steuerung und Lenkung von IT-Ressourcen beschäftigt, hat die Governance ihren Fokus auf der Verantwortung der IT und ihrer Fähigkeit zur Erreichung der Unternehmensziele beizutragen. Einfacher ausgedrückt kümmert sich das IT-Management um konkrete Fragestellungen, wie IT-Lösungen einzusetzen sind. Die Governance beantwortet die Fragen, was die IT für den Unternehmenserfolg leisten kann und welche Rahmenbedingungen hierfür durch das Management zu schaffen sind.
Ziel der IT-Governance
Ziel der IT-Governance ist es, ein Verständnis für die Bedeutung und Wichtigkeit der IT zur Umsetzung der Unternehmensziele und der Unternehmensstrategie zu schaffen. Den Verantwortlichen der IT sollen die Ziele des Managements bekannt sein. Hierfür stellt die Governance eine Struktur bereit, die es dem IT-Bereich ermöglicht, die Anforderungen des Managements und der Unternehmensstrategie zu erfüllen. Kernaspekte der Governance sind die Steigerung des Unternehmenserfolgs und die Minimierung der durch die IT entstehenden Risiken. Die komplette IT-Infrastruktur soll so ausgerichtet sein, dass die strategischen Ziele des Unternehmens im Fokus stehen. Es findet eine ständige Überprüfung und Abwägung von Kosten und Nutzen der IT statt. Ressourcen werden fortlaufend optimiert. Um mögliche Risiken zu entschärfen, berücksichtigt das Risikomanagement unter anderem die Fortführung der Unternehmensprozesse in einem Krisenfall (Business Continuity) und das anschließende Disaster Recovery.
Der Begriff Disaster Recovery umfasst alle Maßnahmen, die nach einem Ausfall von Komponenten in der Informationstechnik eingeleitet werden. Dazu zählen sowohl die Datenwiederherstellung als auch das Ersetzen nicht mehr benutzbarer Infrastruktur oder Hardware und die ggfs. notwendige Anpassung der Organisation.
Normen
ISO/IEC 38500:2015
Hierbei handelt es sich um einen internationalen Standard für die Governance der Informationstechnologie. Er wurde gemeinsam von der Internationalen Organisation für Normung und der Internationalen Elektrotechnischen Kommission veröffentlicht.
ISO/IEC 38500: 2015 enthält Leitprinzipien, die einen effektiven, effizienten und akzeptablen Einsatz von Informationstechnologie (IT) in Organisationen fördern soll. Dieser Standard definiert IT-Governance als essentiellen Bestandteil der Geschäftsprozesse in Unternehmen und sieht die Verantwortung hierfür der Unternehmensführung.
ISO /IEC 20000
Dieser Standard beschäftigt sich mit der Umsetzung des IT-Service-Management. Der Standard dient sozusagen als messbares Qualitätskriterium für das IT-Service-Management. ISO/IEC 20000 spezifiziert dazu die notwendigen Mindestanforderungen an Prozesse, die eine Organisation umsetzen muss. Erst dann kann die Organisation IT-Services in definierter Qualität bereitstellen und managen. Das Regelwerk dahinter besteht aus mehreren Teilen, die beiden wichtigsten sind:
ISO/IEC 20000-1 dient zur Definition der Anforderungen, die ein (IT-)Service-Managementsystem erfüllen muss, um zertifiziert werden zu können.
ISO/IEC 20000-2 schlägt Best Practices vor, die den Unternehmen bei der Umsetzung helfen.
ISO/IEC-27000-Reihe
Die ISO/IEC-27000-Reihe bezeichnet mehrere Standards, welche die Informationssicherheit in Unternehmen regeln. Am bekanntesten ist ISO/IEC 27001. Darin wird die Bereitstellung von Anforderungen für ein Informations-Sicherheits-Management-System (ISMS) geregelt.
Rahmenwerke
COBIT als Governance
Für die Umsetzung der IT-Governance im Unternehmen existieren einige unterstützende Richtlinien und Rahmenwerke. Die wichtigste Rolle nimmt dabei COBIT ein. COBIT steht für „Control Objectives for Information and related Technology“ und ist das weltweit führende Rahmenwerk für die IT-Governance. COBIT stellt ein Referenzmodell mit 37 typischen IT-Prozessen zu Verfügung, wie sie in heutigen Unternehmen vorzufinden sind. Im Vordergrund von COBIT steht nicht, wie die Anforderungen umgesetzt werden, sondern was im Unternehmen umzusetzen ist.
Ursprünglich wurde COBIT 1996 vom internationalen Verband der IT-Prüfer (ISACA – Information Systems Audit and Control Association) entwickelt und hat sich zu einem anerkannten Werkzeug zur Steuerung der IT aus Sicht der Unternehmensführung entwickelt. Mittlerweile existieren mehrere Editionen von COBIT. Die aktuelle Fassung ist COBIT 5.0, die 2012 veröffentlicht wurde. Sie beinhaltet fünf grundlegende Prinzipien für das Management und die Governance der IT im Unternehmen. Die fünf Prinzipien sind
- die Erfüllung der Anforderungen der einzelnen Anspruchsgruppen,
- die Abdeckung des gesamten Unternehmensbereichs,
- die Anwendung eines einheitlichen und integrierten Rahmenwerks,
- die Umsetzung eines ganzheitlichen Ansatzes und
- die Abgrenzung zwischen Governance und Management.
COBIT basiert auf einem Top-Down-Ansatz. Zunächst werden die Unternehmensziele definiert. Sie bestimmen die IT-Ziele und beeinflussen die komplette Architektur der IT. Die Messung der Zielerreichung erfolgt in umgekehrter Reihenfolge Bottom-Up. Hierfür sind in den einzelnen IT-Prozessen Mess- und Zielgrößen definiert.
Die folgenden Rahmenwerke werden neben COBIT am häufigsten verwendet.
ITIL: Die „Information Technology Infrastructure Library“ konzentriert sich auf das IT-Service-Management. Es soll sicherstellen, dass IT-Services die Kernprozesse des Unternehmens unterstützen. ITIL besteht aus fünf Sets von Management-Best-Practices für Service-Strategie, Design, Transition (z. B. Change Management), Betrieb und kontinuierliche Service-Verbesserung. ITIL managt IT-Services über den gesamten Lebenszyklus hinweg. Das Rahmenwerk bietet eine Sammlung vordefinierter Prozesse, Funktionen und Rollen, die in der IT-Infrastruktur mittlerer und großer Unternehmen vorkommen. Eine Kernanforderung an die Prozesse ist die Messbarkeit. Die Zuweisung der jeweiligen Tätigkeiten erfolgt anhand von Rollen und Funktionen. Bei ITIL handelt es sich um Vorschläge für Best Practices, die dann entsprechend der Bedürfnisse des jeweiligen Unternehmens angepasst werden.
FAIR: Factor Analysis of Information Risk (FAIR) ist ein relativ neues Modell, das Unternehmen bei der Quantifizierung von Risiken unterstützt. Der Fokus liegt auf Cybersicherheit und operationellen Risiken, mit dem Ziel, Entscheidungen auf der Basis besserer Informationen zu treffen. Obwohl es neuer ist als die anderen hier erwähnten Rahmenwerke, hat es bei Fortune-500-Unternehmen bereits viel Anklang gefunden.
TOGAF: The Open Group Architecture Framework (TOGAF) beschäftigt sich vorwiegend mit der Struktur von Organisationen. Es bietet quasi ein Modell für Entwurf, Planung, Implementierung und Wartung von Unternehmensarchitekturen. Unternehmen können damit effiziente Architekturen planen und/oder bestehende Strukturen optimieren.
IT-Grundschutz-Kataloge: Speziell in Deutschland gibt es noch die IT-Grundschutz-Kataloge. Hierbei handelt es sich um eine Sammlung von Dokumenten des deutschen Bundesamtes für Sicherheit in der Informationstechnik (BSI). Sie sollen der Erkennung und Bekämpfung sicherheitsrelevanter Schwachstellen in IT-Umgebungen dienen. Für Unternehmen und Behörden bilden die IT-Grundschutz-Kataloge die Basis zum Erlangen einer entsprechenden Zertifizierung. Die Zertifizierung bestätigt einem Unternehmen, geeignete Maßnahmen zur Absicherung seiner IT-Systeme gegen IT-Sicherheitsbedrohungen unternommen zu haben.
Fazit
Grundsätzlich geht es bei IT Governance um das Verstehen der IT aus der Perspektive der Unternehmensprozesse und um das Verstehen der Bedeutung der IT für die Erreichung der Unternehmensziele. Dabei gilt es ganz allgemeine Fragen zu beantworten. Beispielsweise: Passt die IT sinnvoll und optimal zur aktuellen Unternehmensstrategie? Sollte die IT inhouse betrieben oder ganz oder in Teilen ausgelagert werden? Werden Datenschutzbestimmungen durchgängig eingehalten? Wie kann die IT Unternehmensprozesse optimieren? Im Anschluss definiert man Prozesse, die die Umsetzung der IT Governance innerhalb des Unternehmens regeln. Sie umfassen im Rahmen des Risikomanagements auch konkrete Maßnahmen zur Risikominimierung. Diese sollen sicherstellen, dass die IT beispielsweise durch Unterbrechungen oder Ausfälle nicht die Unternehmensprozesse nachhaltig beeinträchtigt. Die Umsetzung der IT-Governance-Prozesse ist dann meist die Aufgabe des IT-Managements im Unternehmen.
Quelle: Photo 55331872 © Info40555 | Dreamstime.com
Danke für den interessanten und informativen Beitrag. Gut zu wissen, das IT-Governance eine Struktur bietet, um die IT-Strategie mit der Geschäftsstrategie abzustimmen und somit, durch die Einhaltung eines formalen Rahmens, der Organisationen messbare Ergebnisse bei der Erreichung ihrer Strategien erzielt. Wir suchen gerade für unser Unternehmen einen IT-Service, der uns in dem gesamten Bereich IT helfen kann. Den für uns als Laien, wird das Thema wirklich langsam zu komplex.