ITSCM Beratung

Unser Vorgehensmodell für IT Service Continuity Management basiert auf unseren langjährigen Projekterfahrungen und den Best-Practice-Modellen der Branche. Auf den nächsten Seiten beschreiben wir die einzelnen Stufen des Modells, das ein etabliertes ITSCM in Ihrem Unternehmen zum Ziel hat.

Die Informations- und Kommunikationstechnologie (IuK) ist aus unserem Leben nicht mehr wegzudenken. Trotzdem kommt es immer wieder zu IT-Ausfällen, die zum Teil auch von der Öffentlichkeit wahrgenommen werden, wenn z. B. Bankautomaten streiken, Check-Ins sich am Flughafen verzögern, falsche Rentenbescheide verschickt werden oder Handy-Telefonate nicht möglich sind.

Das Ziel des ITSCM-Prozesses ist es, eine Organisation zu befähigen, nach einem Ausfall von IT-Services auf Basis eines IT-Notfalls einen vorher festgelegten und vereinbarten IT Service Level wieder zur Verfügung zu stellen und die minimalen geschäftlichen Erfordernisse zu unterstützen. Seit 2011 steht mit der ISO 27031 eine internationale Norm für die IT-Notfallplanung ITSCM) zur Verfügung. Schon der Titel „Information technology — Security techniques — Guidelines for information and communication technology readiness for business continuity“ verweist darauf, dass es von Anfang an eine enge Zusammenarbeit der Disziplinen BCM und ITSCM im Unternehmen geben muss.

Wir berücksichtigen diese Schnittstellenproblematik in unserem ITSCM-Vorgehensmodell. Dieses hat zum Ziel, in Form eines Projektes den ITSCM-Prozess im Unternehmen zu etablieren. Neben unseren praktischen Erfahrungen aus über 20 Jahren Beratungstätigkeit fließen stets Anforderungen aus den Prozessbeschreibungen nach ITIL „ITSCM“, aus der Informationssicherheit (vor allem nach ISO 27001) und aus Standards wie dem deutschen BSI Standard 100-4 „Notfallmanagement“ in unsere Konzepte mit ein.

ITSCM-Vorgehensmodell

 ITSCM Initiierung

Die Initiierung ist die Basis für ein erfolgreiches IT-Notfallplanungsprojekt. In Form einer ITSCM-Policy beauftragt das Management die IT-Abteilung mit der Umsetzung des ITSCM im Unternehmen. In einer ITSCM-Richtlinie werden die benötigten Prozessschritte dokumentiert. Ferner werden Maßnahmen zur Aufrechterhaltung des ITSCM-Prozesses, seiner Überwachung (Monitoring) und seiner kontinuierlichen Verbesserung festgelegt.

 Analyse und Konzept

In der Phase "Analyse und Konzept" geht es darum, die Ziele und Lösungen für die Wiederanlaufplanungen festzulegen.
 

Gap-Analyse

In der Analysephase werden die Soll-Anforderungen an die Verfügbarkeit der IT-Services (IT-Applikationen) aus dem BCM aufgenommen und mit den aktuell realisierten Möglichkeiten für eine IT-Notfallvorsorge abgeglichen. Das wichtigste Kriterium an die Verfügbarkeit im Notbetrieb ist die Wiederanlaufzeit (RTO) eines IT-Service. Diese kann aus einer Business Impact Analyse, aus Service Level Agreements sowie aus Schutzbedarfsanalysen abgeleitet werden. In einigen IT-Bereichen liegen die für die Analyse benötigten Dokumentationen noch nicht vor. In diesen Fällen setzen wir erprobte alternative Methoden zur Datenerhebung ein.

ITSC-Lösungskonzept

Das ITSC-Lösungskonzept beschreibt die ausgewählten Lösungsoptionen. Diese Lösungsoptionen dienen als Grundlage für die Erstellung der ITSC-Pläne.

 Implementierung

In der Phase der Implementierung werden die abgestimmten Maßnahmen (IT Service Continuity Strategie) in die Praxis umgesetzt.

IT Präventivmaßnahmen

Im Rahmen der IT Präventivmaßnahmen werden beispielsweise zusätzliche Datensicherungen eingerichtet, WAN-Anbindungen realisiert, Cluster-Systeme aufgebaut, Ausweicharbeitsplätze eingerichtet oder auch neue RZ-Standorte angemietet. Priorität bei der Umsetzung haben Maßnahmen, die für sehr viele IT-Services Verfügbarkeitsverbesserungen erbringen und ferner Maßnahmen, die hohe Schadens-Risiken mindern.

Krisen- und ITSCM-Organisation

Für den Notfall ist eine eigenständige ITSCM-Organisation zu etablieren. Ziel dieser Organisation ist die eindeutige, schnelle Entscheidungsfindung in kritischen Situationen auf Basis weniger Hierarchiestufen. Ferner wird für diese IT-Notfall-Organisation ein eigenständiges Eskalationsverfahren definiert.

ITSCM-Prozesse und Schnittstellen

Um die, nach Abschluss des Projektes ständig anfallenden Aufgaben, in den Regelbetrieb übergeben zu können, sind Steuerprozesse zu definieren.

 Planung

Im Rahmen der Planung wird der ITSC-Plan erstellt. Dieser kann je nach Anzahl und Größe der Rechenzentren aus diversen Einzeldokumenten bestehen. In jedem Fall müssen  die für alle Szenarien gleichermaßen geltenden Abläufe zum IT-Krisenmanagement beschrieben werden.

Je Ausfallszenario (z. B. Ausfall RZ-Raum 1, Ausfall WAN etc.) sollte es ein Szenario-Handbuch geben. Dieses beinhaltet detaillierte technische Beschreibungen zum Wiederanlauf (Recovery) der IT-Services. Die Beschreibungen müssen mit den Krisenkoordinationsplänen und den Plänen der IT-Dienstleister abgestimmt sein.

 Validierung

Die regelmäßige Durchführung aussagekräftiger IT-Continuity-Tests ist entscheidend für die Einschätzung der Qualität der IT-Notfallpläne. So kann beurteilt werden, ob die vorgehaltenen redundanten Ressourcen und die Wiederanlaufpläne eine reale Notfallbewältigung ermöglichen würden.

Eine Test- und Übungsstrategie spezifiziert die Festlegungen aus der ITSCM-Policy hinsichtlich der Häufigkeit und des Umfangs der durchzuführenden IT-Continuity-Tests und Übungen. Zur Vereinfachung der Testplanungen werden Testarten definiert (z. B. Funktions- und Realtests).

In Form von Testkonzepten wird dargelegt, wie welche IT-Ressourcen zu testen sind (Art der Abschaltung oder Umschaltung, Risiken bei der Testdurchführung etc.).
In der Testplanung werden für jeweils ein Jahr die konkreten Tests (inkl. des Initialtests) terminiert und deren Testziele definiert.

 Initialtest

Vor der Überführung des ITSCM-Projektes in den Betrieb ist ein sogenannter "Initialtest" durchzuführen. Den Umfang des Testes bestimmt die zuvor festgelegte Testplanung. Wichtig für den Initialtest ist, dass alle Planungsaktivitäten im Zusammenhang mit dem Test durchgeführt werden:

  • Testziele festlegen

  • Testvorarbeiten planen

  • Testdurchführung planen

  • Testauswertung und -nachbereitung planen