IT-Governance - Institute of Bioinformatics - Homepage · 2010-03-19 · COBIT Mapping – Mapping...

27
Jimmy Heschl Mai 09 Jimmy Heschl Mai 09 BUSINESS ADVISORY SERVICE INFORMATION RISK MANAGEMENT IT-Governance Jimmy Heschl © 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 2 Agenda Agenda Vorstellung Vorstellung und Zielsetzung und Zielsetzung Überblick berblick über aktuelle Entwicklungen der ber aktuelle Entwicklungen der IT IT- Governance Governance Nationale und Internationale Anforderungen an Nationale und Internationale Anforderungen an IT IT- Compliance Compliance Methoden / Standards Methoden / Standards ITIL ITIL COBIT COBIT ISO27001 ISO27001 weitere Standards weitere Standards Integration von COBIT mit ITIL, ISO 27001, CMMI, etc Integration von COBIT mit ITIL, ISO 27001, CMMI, etc

Transcript of IT-Governance - Institute of Bioinformatics - Homepage · 2010-03-19 · COBIT Mapping – Mapping...

Page 1: IT-Governance - Institute of Bioinformatics - Homepage · 2010-03-19 · COBIT Mapping – Mapping of ISO/IEC 17799:2000 with COBIT Mapping of ITIL v2 & v3 ... Gedruckt in Österreich.

Jimmy HeschlMai 09

Jimmy HeschlMai 09

BUSINESS ADVISORY SERVICE

INFORMATION RISK MANAGEMENT

IT-Governance

Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.

Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 2

AgendaAgenda

VorstellungVorstellung und Zielsetzung und Zielsetzung ÜÜberblick berblick üüber aktuelle Entwicklungen der ber aktuelle Entwicklungen der ITIT--GovernanceGovernanceNationale und Internationale Anforderungen an Nationale und Internationale Anforderungen an ITIT--Compliance Compliance Methoden / StandardsMethoden / Standards

ITILITILCOBIT COBIT ISO27001ISO27001weitere Standardsweitere StandardsIntegration von COBIT mit ITIL, ISO 27001, CMMI, etc Integration von COBIT mit ITIL, ISO 27001, CMMI, etc

Page 2: IT-Governance - Institute of Bioinformatics - Homepage · 2010-03-19 · COBIT Mapping – Mapping of ISO/IEC 17799:2000 with COBIT Mapping of ITIL v2 & v3 ... Gedruckt in Österreich.

Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.

Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 3

Über mich ...Über mich ...

KPMG KPMG -- Information Risk Management / ITInformation Risk Management / IT--AdvisoryAdvisoryMitglied im Vorstand der ISACA Mitglied im Vorstand der ISACA ÖÖsterreich sterreich Mitglied im COBIT Steering Committee, COBIT 5.0 CommitteeMitglied im COBIT Steering Committee, COBIT 5.0 CommitteeStudium Wirtschaftsinformatik in LinzStudium Wirtschaftsinformatik in LinzBuch: IT GovernanceBuch: IT GovernanceMitautor von COBIT 4.0 / 4.1Mitautor von COBIT 4.0 / 4.1ÜÜbersetzer von COBIT 4.0 fbersetzer von COBIT 4.0 füür den deutschen Sprachraumr den deutschen SprachraumAutor mehrerer Publikationen:Autor mehrerer Publikationen:

COBIT Mapping COBIT Mapping –– Overview of International IT Guidance, 2nd Edition Overview of International IT Guidance, 2nd Edition COBIT Mapping COBIT Mapping –– Mapping of ISO/IEC 17799:2000 with COBITMapping of ISO/IEC 17799:2000 with COBITMapping of ITIL v2 & v3Mapping of ITIL v2 & v3Mapping of ISO/IEC 17799:2005Mapping of ISO/IEC 17799:2005Board Briefing on IT GovernanceBoard Briefing on IT Governanceetc.etc.

CISA, CISM, CGEIT, ITIL Expert, ...CISA, CISM, CGEIT, ITIL Expert, ...Definition und PrDefinition und Prüüfung von IT Prozessen mit unterschiedlichen fung von IT Prozessen mit unterschiedlichen Standards (COSO, COBIT, ITIL, 17799, GSHB, ...) OrganisationenStandards (COSO, COBIT, ITIL, 17799, GSHB, ...) Organisationen

Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.

Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 4

Den Betrieb der IT erhaltenDen Betrieb der IT erhalten

NutzenNutzen

KostenKosten

Komplexität meisternKomplexität meistern

Mit der Organisation integrierenMit der Organisation integrieren

Einhaltung von GesetzenEinhaltung von Gesetzen

SicherheitSicherheit

Herausforderungen der ITHerausforderungen der IT

Viele Organisationen investieren Viele Organisationen investieren grogroßße Summen und Ressourcen in e Summen und Ressourcen in die IT.die IT.IT unterstIT unterstüützt die tzt die Unternehmensprozesse und hilft Unternehmensprozesse und hilft dabei, die Organisationsziele zu dabei, die Organisationsziele zu erreichen.erreichen.Die Herausforderungen der IT Die Herausforderungen der IT gehen von der Anpassung an die gehen von der Anpassung an die Unternehmenserfordernisse bis hin Unternehmenserfordernisse bis hin zum Management hochzum Management hoch--komplexer komplexer technologischer Risiken und technologischer Risiken und Chancen.Chancen.Die Organe der Organisationen Die Organe der Organisationen verfverfüügen gen üüber wenig Transparenz ber wenig Transparenz in die Ablin die Ablääufe der ITufe der IT--Abteilung(en).Abteilung(en).

Page 3: IT-Governance - Institute of Bioinformatics - Homepage · 2010-03-19 · COBIT Mapping – Mapping of ISO/IEC 17799:2000 with COBIT Mapping of ITIL v2 & v3 ... Gedruckt in Österreich.

Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.

Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 5

Was ist IT-Governance?Was ist IT-Governance?

UrsprungUrsprunggriechisch: kybernângriechisch: kybernânEin Schiff fEin Schiff füühren / leitenhren / leiten

Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.

Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 6

IT-Governance: DefinitionIT-Governance: Definition

CorporateGovernance

ITGovernance

Business

Informations-systeme

Für IT-Governance sind Vorstand und Geschäfts-führung verantwortlich. Sie ist integraler Bestandteil der Corporate Governance und besteht aus Führungs- und Organisationsstruk-turen sowie Prozessen, die sicherstellen, dass IT die Geschäftsstrategien und -ziele unterstützt und vorantreibt.

— IT Governance Institute

Page 4: IT-Governance - Institute of Bioinformatics - Homepage · 2010-03-19 · COBIT Mapping – Mapping of ISO/IEC 17799:2000 with COBIT Mapping of ITIL v2 & v3 ... Gedruckt in Österreich.

Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.

Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 7

Was ist IT-Governance?Was ist IT-Governance?

IT-GOVERNANCE

IT-MANAGEMENT

• Ziel: sicherstellen, dass die IT die Geschäftsstrategien und -ziele unterstützt und vorantreibt

• Methode: Führungs- und Organisationsstrukturen sowie Prozesse• Verantwortung: Vorstand und Geschäftsführung

Setze die Strategie um• Erhöhe die Automation (mache das Kerngeschäft

wirksam)• Senke Kosten (mache das Unternehmen wirtschaftlich)• Manage Risiken (Security, Verlässlichkeit und

Compliance)

Setze Ziele • IT arbeitet im Sinne des Kerngeschäfts (Alignment)• IT ermöglicht das Kerngeschäft (Enablement) und

maximiert den Nutzen (Value Delivery)• IT Ressourcen werden verantwortungsvoll eingesetzt• IT-bezogene Risiken werden angemessen gemanagt

Überführe die Richtung

in eine Strategie

Messe und Berichte

über Performance

Gib die Richtung vor

Evaluiere Performance

IT-GOVERNANCE

Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.

Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 8

IT-GovernanceIT-Governance

Direct and ControlDie klare Ausrichtung der Organisation, Prozesse und Ressourcen an gemeinsamen Zielen und das Monitoring der Zielerreichung

AktivitätenBeschreibung der notwendigen Aktivitäten zur Erreichung der Ziele

ZuständigkeitZuweisung von Ressourcen zu den Aktivitäten

VerantwortlichkeitÜbergabe und Übernahme der klaren Verantwortung für Aufgaben, Themen, Prozesse, etc, damit die Zielerreichung gewährleistet wird.

InternIT-ManagementUnternehmensleitung, GeschäftsführungAufsichtsratRisiko-ManagementIT-Prüfer

ExternGesetzgeberExterne PrüferKundenLieferanten und DienstleisterVerbundene Unternehmen

PrinzipienPrinzipien Betroffene und BeteiligteBetroffene und Beteiligte

Page 5: IT-Governance - Institute of Bioinformatics - Homepage · 2010-03-19 · COBIT Mapping – Mapping of ISO/IEC 17799:2000 with COBIT Mapping of ITIL v2 & v3 ... Gedruckt in Österreich.

9

Gesetze + Standards Gesetze + Standards

Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.

Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 10

IT Governance – Warum?IT Governance – Warum?

Fragen des Aufsichtsrats bezFragen des Aufsichtsrats bezüüglich ITglich ITVerfolgen wir die richtigen Vorhaben?Verfolgen wir die richtigen Vorhaben?Verfolgen wir die Vorhaben richtig?Verfolgen wir die Vorhaben richtig?Werden die Aufgaben grWerden die Aufgaben grüündlich erledigt?ndlich erledigt?Wird effizient gearbeitet?Wird effizient gearbeitet?Bestehen Risiken, die wir nicht kennen?Bestehen Risiken, die wir nicht kennen?Was passiert mit den Ressourcen, die fWas passiert mit den Ressourcen, die füür IT bereitstehen?r IT bereitstehen?

Druck auf das Unternehmen und die ITDruck auf das Unternehmen und die ITKostenkKostenküürzung, hrzung, hööhere Profite und Marktanteilhere Profite und MarktanteilHHööhere Funktionalithere Funktionalitäät und einfachere Bedienungt und einfachere BedienungHHööhere Verantwortung bezhere Verantwortung bezüüglich Datenschutz, etc.)glich Datenschutz, etc.)

Page 6: IT-Governance - Institute of Bioinformatics - Homepage · 2010-03-19 · COBIT Mapping – Mapping of ISO/IEC 17799:2000 with COBIT Mapping of ITIL v2 & v3 ... Gedruckt in Österreich.

Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.

Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 11

IT-Governance – Warum?IT-Governance – Warum?

§§ 81 AktG: Bericht des Vorstands an den Aufsichtsrat81 AktG: Bericht des Vorstands an den Aufsichtsrat§§ 82 AktG / 82 AktG / §§ 22 GmbHG: Internes Kontrollsystem22 GmbHG: Internes Kontrollsystem§§ 131 BAO: Ordnungsm131 BAO: Ordnungsmäßäßigkeit der Buchfigkeit der Buchfüührunghrung§§ 38 BWG: Bankgeheimnis38 BWG: Bankgeheimnis§§ 39 BWG: Sorgfaltspflicht und ORM39 BWG: Sorgfaltspflicht und ORM§§ 14 DSG: Datensicherheitsma14 DSG: Datensicherheitsmaßßnahmennahmen§§ 15 DSG: Anordnung durch den Arbeitgeber15 DSG: Anordnung durch den ArbeitgeberEmittentenEmittenten--ComplianceCompliance--Verordnung Verordnung –– ECVECVCorporate Governance Codex Corporate Governance Codex KonTraGKonTraGHIPAAHIPAA......

Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.

Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 12

Gartner’s Regulations and Related Standards Hype CycleGartner’s Regulations and Related Standards Hype Cycle

Solvency II

Page 7: IT-Governance - Institute of Bioinformatics - Homepage · 2010-03-19 · COBIT Mapping – Mapping of ISO/IEC 17799:2000 with COBIT Mapping of ITIL v2 & v3 ... Gedruckt in Österreich.

Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.

Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 13

IT Governance – AufgabenIT Governance – Aufgaben

Aufgaben des VorstandesAufgaben des VorstandesHerunterbrechen der Unternehmensstrategie und Herunterbrechen der Unternehmensstrategie und --ziele ziele ffüür die ITr die ITOrganisatorische Ausrichtung der IT Organisatorische Ausrichtung der IT ––ProzessorientierungProzessorientierungAufbau und Unterhalt des internen Kontrollsystems in Aufbau und Unterhalt des internen Kontrollsystems in der ITder ITMessung der ZielerreichungMessung der Zielerreichung

Setzen von messbaren

Zielen je Prozess

Ergebnis vergleichen

IT - Aktivitäten

Messen der Performance

Anpassen, falls nicht adäquat

14

StandardsStandards

Page 8: IT-Governance - Institute of Bioinformatics - Homepage · 2010-03-19 · COBIT Mapping – Mapping of ISO/IEC 17799:2000 with COBIT Mapping of ITIL v2 & v3 ... Gedruckt in Österreich.

Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.

Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 15

Frameworks und StandardsFrameworks und Standards

IT-Betrieb

IT Planung

Anw

endungs-Entw.

Risiko & Security

Projektmanagem

ent

Service Managem

ent

Qualitätsm

anagement

COSO

SarbanesOxley

Basel IISolvency II

8. EU AuditRichtlinie

AktG / GmbHG

COBITValIT

V-Modell

ISO1779927001

BS25999

PMIPRINCE2

ITILISO20000

SixSigmaISO9000

CMMI

Governance

Management

Betrieb

COBIT®

Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.

Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 16

1992 durch „The Committee of Sponsoring Organizations of the Treadway Commission”veröffentlicht

Gemeinsame Sprache über Kontrollen, Definitionen, Modelle

Unternehmensziele im Rahmen von COSO sind− Operations (Effektivität und Effizienz der Tätigkeiten der Unternehmung)− Financial Reporting (Erstellung von zuverlässigen Jahresabschlüssen)− Compliance (Einhaltung von Gesetzen und Regulationen)

Zielerreichung über die Ausgestaltung der Komponenten des Frameworks− Control Environment (Kontrollumfeld)− Risk Assessment (Risikobewertung)− Control Activities (Kontrollaktivitäten)− Information & Communication (Information & Kommunikation)− Monitoring (Überwachung)

Benchmark für interne Kontrollen und Verweis in SOXWeiterentwicklungen:− September 2004: Enterprise Risk Management (COSO II)− Juni 2006: Guidance for Smaller Public Companies Reporting on Internal Control over

Financial Reporting“

COSO (Internal Control - Integrated Framework)COSO (Internal Control - Integrated Framework)

Page 9: IT-Governance - Institute of Bioinformatics - Homepage · 2010-03-19 · COBIT Mapping – Mapping of ISO/IEC 17799:2000 with COBIT Mapping of ITIL v2 & v3 ... Gedruckt in Österreich.

17

ITILIT Infrastructure Library

ITILIT Infrastructure Library

Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.

Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 18

IncidentManagement

ProblemManagement

ChangeManagement

ReleaseManagement

ContinuityManagement

AvailabilityManagement

CapacityManagement

FinancialManagement

Service LevelManagement

Security Management

Configuration Management

ITIL - IT Infrastructure Library ITIL - IT Infrastructure Library

Page 10: IT-Governance - Institute of Bioinformatics - Homepage · 2010-03-19 · COBIT Mapping – Mapping of ISO/IEC 17799:2000 with COBIT Mapping of ITIL v2 & v3 ... Gedruckt in Österreich.

Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.

Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 19

ITIL V2 Service Delivery ProcessesITIL V2 Service Delivery Processes

Availability Management

Availability Management

Capacity ManagementCapacity

Management

IT Financial Management

IT Financial Management

IT ServiceContinuity

IT ServiceContinuity

SLA’s, OLA’s, SLR’sService requestsService catalogueSIPException reportsAudit reports

Availability PlanAMDBDesign CriteriaTargets/ThresholdsReportsAudit Reports

Capacity PlanCDBTargets/ThresholdsCapacity ReportsScheduleAudit Reports

Financial PlansTypes & ModelsCosts & ChargesReports Budgets & ForecastsAudit Reports

IT Continuity PlansBIA & Risk AnalysisDefine RequirementsControl CentersDR ContactsReportsAudit Reports

The Business, Customers & Users

RequirementsTargets

Achievements

QueriesEnquiries

CommunicationUpdatesReports

Service LevelManagement

Service LevelManagement

Man

agem

ent T

ools

Ale

rts,

Exc

eptio

ns, C

hang

es

Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.

Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 20

ITIL V2 Service Support ProcessesITIL V2 Service Support Processes

ManagementTools

DifficultiesQueries, Enquiries

CommunicationUpdates

Work-arounds

Service DeskService Desk

Incidents

Incidents

CMDB

Change ScheduleCAB MinutesChange StatisticsChange ReviewsAudit Reports

ReleasesCIs

RelationshipsProblemsKnown Errors Changes

CMDB ReportsCMDB StatisticsPolicy/StandardsAudit Reports

Release ScheduleRelease StatisticsRelease ReviewsSecure LibraryTesting standardsAudit Reports

Problem StatisticsTrend AnalysisProblem ReportsProblem ReviewsDiagnostic AidsAudit Reports

ProblemProblemService ReportsIncident statisticsAudit Reports

Releases

ReleaseRelease

The Business, Customers & Users

ChangesIncidentIncident

ChangeChange

Incidents

ConfigurationConfiguration

Page 11: IT-Governance - Institute of Bioinformatics - Homepage · 2010-03-19 · COBIT Mapping – Mapping of ISO/IEC 17799:2000 with COBIT Mapping of ITIL v2 & v3 ... Gedruckt in Österreich.

2121

The v3 Service Management Lifecycle

The v3 Service Management Lifecycle

Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.

Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 22

ITIL – Service LifecycleITIL – Service Lifecycle

Page 12: IT-Governance - Institute of Bioinformatics - Homepage · 2010-03-19 · COBIT Mapping – Mapping of ISO/IEC 17799:2000 with COBIT Mapping of ITIL v2 & v3 ... Gedruckt in Österreich.

Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.

Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 23

ITIL – Prozesse (Version 3)ITIL – Prozesse (Version 3)

• Financial Management• Return on Investment• Service Portfolio Mgmnt• Demand Management

SERVICE STRATEGY

• Event Management• Incident Management• Request Fulfilment• Problem Management • Access Management

SERVICE OPERATION

• 7-Step Improvement Process

CONTINUAL SERVICE IMPROVEMENT

• Service Catalogue Management• Service Level Management • Capacity Management • Availability Management• IT Service Continuity Management• Information Security Management• Supplier Management

SERVICE DESIGN

• Transition Planning and Support• Change Management• Service Asset & Configuration

Management• Release & Deployment

Management• Service Validation• Evaluation• Knowledge Management

SERVICE TRANSITION

24

COBITCOBIT

Page 13: IT-Governance - Institute of Bioinformatics - Homepage · 2010-03-19 · COBIT Mapping – Mapping of ISO/IEC 17799:2000 with COBIT Mapping of ITIL v2 & v3 ... Gedruckt in Österreich.

Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.

Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 25

COBITCOBIT

COBIT = Control Objectives for Information and Related COBIT = Control Objectives for Information and Related TechnologyTechnologyProzessorientiertes Framework fProzessorientiertes Framework füür die Steuerung vonr die Steuerung vonITIT--ProzessenProzessenHerausgegeben vom IT Governance Institute, frHerausgegeben vom IT Governance Institute, früüher ISACAher ISACAInhalt wird vom COBIT Steering Committee gesteuert und von Inhalt wird vom COBIT Steering Committee gesteuert und von UniversitUniversitääten, Experten aus den Bereichen ITten, Experten aus den Bereichen IT--Management, Management, Governance, Consulting und Audit entwickeltGovernance, Consulting und Audit entwickeltOrientiert sich an Unternehmenszielen und Orientiert sich an Unternehmenszielen und UnternehmenserfordernissenUnternehmenserfordernissenWerkzeug fWerkzeug füür Geschr Geschääftsfftsfüührung, IThrung, IT--Management und Management und ITIT--ProzessmanagerProzessmanagerBasiert auf einer Vielzahl internationaler StandardsBasiert auf einer Vielzahl internationaler StandardsDokumente auf www.isaca.org zum Download und als BDokumente auf www.isaca.org zum Download und als Büücher cher verfverfüügbargbar

Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.

Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 26

Unternehmensziele

IT Ziele

IT Prozesse

Der Ansatz von COBITDer Ansatz von COBIT

IT Prozesse(mit Verantwortlichen)

liefernInformation

Anwendungen

Infrastrukturund Personal

betreiben

benötigt

Unternehmensziel IT-Ziele

Finanz-perspektive

1 Marktanteil erhöhen 25 282 Erträge erhöhen 25 283 Rendite 244 Kapitalverwertung optimieren 145 Geschäftsrisiken managen 2 14 17 18 19 20 21 22

6 Kunden- und Serviceorientierung erhöhen 3 237 Kostengünstige Produkte und Services anbieten 5 248 Verfügbarkeit von Services 10 16 22 239 Agilität bei Reaktion auf sich ändernde Geschäftsanforderungen (time to market) 1 5 2510 Kostenoptimierung bei Serviceerbringung 7 8 10 24

11 Automatisierung und Integration der Wertschöpfungskette 6 7 8 1112 Geschäftsprozess überarbeiten und verbessern 6 7 8 1113 Prozesskosten reduzieren 7 8 13 15 2414 Compliance mit Gesetzen und Regulativen 2 19 20 21 22 26 2715 Transparenz 2 1816 Compliance mit internen Regelungen 2 1317 Betriebliche- und Mitarbeiterproduktivität steigern 7 8 11 13

18 Produkt-/Geschäftsinnovation 5 25 2819 Verlässliche und nützliche Informationen für strategische Entscheidungen erlangen 2 4 12 20 2620 Qualifizierte und motivierte MitarbeiterInnen einstellen und entwickeln 9

Lern- und Wachstums-perspektive

Finanz-perspektive

Kunden-perspektive

Interne Perspektive

ProzesseIT-Ziele1 Reagiere auf Geschäftsanforderungen in Übereinstimmung mit der Unternehmensstrategie PO1 PO2 PO4 PO10 AI1 AI6 AI7 DS1 DS3 ME12 Reagiere auf Anforderungen der Governance entsprechend der Geschäftsführungs-vorgaben PO1 PO4 PO10 ME1 ME33 Stelle die Enduser-Zufriedenheit mit den Serviceangeboten und Service Levels sicher PO8 AI4 DS1 DS2 DS7 DS8 DS10 DS134 Optimiere die Verwendung von Information PO2 DS115 Stelle IT-Agilität her PO2 PO4 PO7 AI3

6 Definiere, wie funktionale geschäftliche und Steuerungsanforderungen in wirksame und wirtschaftliche automatisierte Lösungen überführt werden. AI1 AI2 AI6

7 Beschaffe und unterhalte integrierte und standardisierte Anwendungssysteme PO3 AI2 AI58 Beschaffe und warte integrierte und standardisierte IT-Infrastruktur AI3 AI59 Beschaffe und erhalte IT-Skills, die der IT-Strategie entsprechen PO7 AI510 Stelle gegenseitig zufriedenstellende Lieferantenbeziehungen sicher DS211 Integriere die Anwendungen und Technologielösungen nahtlos in Geschäftsprozesse PO2 AI4 AI712 Stelle Transparenz und Verständnis von IT -Kosten, Nutzen, Strategie, Richtlinien und Service Levels sicher PO5 PO6 DS1 DS2 DS6 ME1 ME413 Stelle die angemessene Verwendung und Performance der Anwendungen und technischen Lösungen sicher PO6 AI4 AI6 AI7 DS7 DS814 Übernimm die Verantwortung für und schütze alle IT-Anlagen PO9 DS5 DS9 DS12 ME215 Optimiere IT-Infrastruktur, Ressourcen und Fähigkeiten PO3 AI3 DS3 DS7 DS916 Reduziere Mängel und Nacharbeit bei Lösungen und dem Servicebetrieb PO8 AI4 AI6 AI7 DS1017 Schütze die Erreichung der IT-Ziele PO9 DS10 ME218 Schaffe Klarheit über die Geschäftsauswirkungen der Risiken von IT-Zielen und -Ressourcen PO919 Stelle den Schutz von kritischen und vertraulichen Informationen vor unberechtigtem Zugriff sicher PO6 DS5 DS11 DS1220 Stelle sicher, dass automatischen Transaktionen und Informationsaustausch vertraut werden kann PO6 AI7 DS5

21 Stelle sicher, dass IT-Services und Infrastruktur Ausfällen auf Grund von Fehlern, bewussten Angriffen oder Katastrophen standhalten können und ihre Wiederherstellung gewährleistet ist PO6 AI7 DS4 DS5 DS12 DS13 ME2

22 Stelle sicher, dass der Einfluss einer IT-Service-Störung oder -Änderung auf das Geschäft minimiert ist PO6 AI6 DS4 DS1223 Stelle die Verfügbarkeit der IT-Services gemäß den Anforderungen sicher DS3 DS4 DS8 DS1324 Verbessere die Kosteneffizienz der IT und ihren Beitrag zum Unternehmenserfolg PO5 AI5 DS625 Setze Projekte pünktlich und im Budgetrahmen und unter Einhaltung der Qualitätsstandards um PO8 PO1026 Erhalte die Integrität der Informationen und die diese Informationen verarbeitende Infrastruktur AI6 DS527 Stelle die IT-Compliance mit Gesetzen und Vorschriften sicher DS11 ME2 ME3 ME4

28 Stelle sicher, dass die IT eine kosteneffiziente Servicequalität, eine kontinuierliche Verbesserung und Bereitschaft für zukünftige Veränderung zeigt PO5 DS6 ME1 ME3

Page 14: IT-Governance - Institute of Bioinformatics - Homepage · 2010-03-19 · COBIT Mapping – Mapping of ISO/IEC 17799:2000 with COBIT Mapping of ITIL v2 & v3 ... Gedruckt in Österreich.

Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.

Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 27

Unternehmens- und IT-Ziele - BeispielUnternehmens- und IT-Ziele - Beispiel

Unternehmensziel 8Verfügbarkeit von

Produkten

IT-Ziel 23

Stelle die Verfügbarkeit der IT-Services gemäß den Anforderungen sicher

IT-Ziel 22

Stelle sicher, dass der Einfluss einer IT-

Service-Störung oder IT-Änderung auf das Geschäft minimiert ist

IT-Ziel 16

Reduziere Mängel und Nacharbeit bei Lösungen und dem

Servicebetrieb

IT-Ziel 10

Stelle für beide zufrieden-stellende

Lieferantenbeziehungen sicher

DS2 PO8 AI4 AI6 AI7 DS10 PO6 AI6 DS4DS12 DS3DS4 DS8 DS13

BSC

B

SC --

PerspektivenPerspektiven

FinanzFinanz

ServiceService

InternIntern

Lernen und Lernen und WachstumWachstum

Archite

ktur

Archite

ktur

Incide

nt

Incide

nt

Knowled

ge

Knowled

ge

Chang

e

Chang

e

Releas

e &

Releas

e &

Deploy

ment

Deploy

ment

Problem

Problem

Policie

s

Policie

s

Chang

e

Chang

e

Physis

ch

Physis

ch

Kontin

uit

Kontin

uitäätt

Kontin

uit

Kontin

uitäätt

Kapaz

it

Kapaz

itäätt

Incide

nt

Incide

nt

Betrieb

Betrieb

Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.

Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 28

Vom Ziel zur ArchitekturVom Ziel zur Architektur

Unternehmensziele für IT

IT Ziele

Unternehmens-architektur für IT

bestimmen

messen

messen

bestimmen

IT Scorecard

Unternehmens- und Governance-Erfordernisse

Page 15: IT-Governance - Institute of Bioinformatics - Homepage · 2010-03-19 · COBIT Mapping – Mapping of ISO/IEC 17799:2000 with COBIT Mapping of ITIL v2 & v3 ... Gedruckt in Österreich.

Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.

Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 29

COBIT FrameworkCOBIT Framework

Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.

Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 30

COBIT IT-ProzesseCOBIT IT-Prozesse

INFORMATION

Monitor and Evaluate

Deliver and Support Acquire and

Implement

Plan and Organise

PO1 Define a strategic IT plan PO2 Define the information architecturePO3 Determine technological direction PO4 Define the IT processes, organisation and

relationships PO5 Manage the IT investment PO6 Communicate management aims and direction PO7 Manage IT human resources PO8 Manage quality PO9 Assess and manage IT risks PO10 Manage projects

AI1 Identify automated solutions AI2 Acquire and maintain application software AI3 Acquire and maintain technology infrastructure AI4 Enable operation and use AI5 Procure IT resources AI6 Manage changes AI7 Install and accredit solutions and changes

DS1 Define and manage service levels DS2 Manage third-party services DS3 Manage performance and capacity DS4 Ensure continuous service DS5 Ensure systems security DS6 Identify and allocate costs DS7 Educate and train users DS8 Manage service desk and incidents DS9 Manage the configuration DS10 Manage problems DS11 Manage data DS12 Manage the physical environment DS13 Manage operations

ME1 Monitor and evaluate IT performance ME2 Monitor and evaluate internal control ME3 Ensure regulatory compliance ME4 Provide IT governance

• Efficiency• Effectiveness• Confidentiality• Integrity• Availability• Compliance• Reliability

• Applications• Information• Infrastructure• People

IT RESSOURCES

Monitor and Evaluate

Plan and Organise

Acquire and Implement

Deliver and Support

Page 16: IT-Governance - Institute of Bioinformatics - Homepage · 2010-03-19 · COBIT Mapping – Mapping of ISO/IEC 17799:2000 with COBIT Mapping of ITIL v2 & v3 ... Gedruckt in Österreich.

Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.

Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 31

Bestandteile von Prozessen (1/5)Bestandteile von Prozessen (1/5)

Prozessbeschreibung

Domäne und Information-Criteria

IT-Ziele

Prozessziele

wichtige Aktivitäten

wichtige Metriken

IT Governance& IT-Resources

Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.

Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 32

Bestandteile von Prozessen (2/5)Bestandteile von Prozessen (2/5)

RACIRACI--Chart zur Darstellung der Verantwortlichkeiten, zBChart zur Darstellung der Verantwortlichkeiten, zB

Inputs und Outputs, zBInputs und Outputs, zB

Aktivitäten CEO

CFO

Busin

ess

Exec

utive

CIO

Ges

chäf

tspr

ozes

seig

ner

Leitu

ng B

etrie

bCh

ief A

rchi

tect

Leitu

ng E

ntwi

cklu

ngLe

itung

IT-A

dmin

istra

tion

Proj

ektb

üro

Com

plia

nce,

Aud

it,

Risk

und

Sec

urity

Serv

ice D

esk

/

Incid

ent M

anag

er

Erstelle Klassifikations- (Schweregrad und Auswirkung) und Eskalationsverfahren (funktional und hierarchisch) C C C C C C C A/RErkenne und erfasse Incidents / Serviceanfragen / Informationsanfragen A/RKlassifiziere, ermittle und diagnostiziere Anfragen I C C C I A/RBehebe, löse und schließe Incidents I R R R C A/RInformiere Benutzer (zB Statusaktualisierungen) I I A/RErstelle Managementauswertungen I I I I I I A/R

Funktionen

Von Inputs

AI4 Benutzer-, Betriebs-, Support-, technische und administrative Handbücher

AI6 Freigabe von Changes AI7 Configuration Items (Released) DS1 SLAs und OLAs DS4 Incident- und Katastrophen-Schwellwerte DS5 Definition Security Incidents DS9 Details zur IT-Konfiguration / Assets

DS10 Known Problems, Known Errors und Workarounds

DS13 Incident-Tickets

Outputs Nach Service-Requests/Request for Change AI6

Berichte über Incidents DS10 Berichte über Prozessperformance ME1

Berichte über Benutzerzufriedenheit DS7 ME1

Page 17: IT-Governance - Institute of Bioinformatics - Homepage · 2010-03-19 · COBIT Mapping – Mapping of ISO/IEC 17799:2000 with COBIT Mapping of ITIL v2 & v3 ... Gedruckt in Österreich.

Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.

Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 33

AktivitätenIT ProzesseUnternehmen

Ziel

eM

essg

röße

nBestandteile von Prozessen (3/5)Bestandteile von Prozessen (3/5)

Ziele und MessgrZiele und Messgrößößen und deren Verbindungen und deren Verbindung

• Installation und Betrieb eines Service Desk

• Überwachung und Berichterstattung von Trends

• Abstimmung der Lösungsprioritäten von Ereignissen mit Unternehmensanforderung

• Festlegung …

setze

• % der Ereignisse und Serviceanfragen, die reportet und mittels automatisierter Tools protokolliert wurden

• Anzahl der Schulungstage pro Service Desk MitarberInnen pro Jahr

• Anzahl der pro Service Desk MitarbeiterIn pro Stunde bearbeiteten Anrufe

• % der Ereignisse, die …

miss

treibe

• Analysiere, dokumentiere und eskaliere Incidentszeitgerecht

• Reagiere auf Anfragen exakt und zeitgerecht

• Führe regelmäßig Trendanalysen der Incidentsund Anfragen durch

setze

treibe• % der direkten Lösungen

basierend auf der Gesamtzahl der Anfragen

• % der erneut geöffneten Incidents

• Anteil der abgebrochenen Calls

• Durchschnittliche Dauer der Incidentsnach Schweregrad

• Durchschnittliche …

miss

• Benutzerzufriedenheit mit dem Erst-Support (Service Desk oder Knowledge Base)

• % der innerhalb einer vereinbarten/akzeptablen Zeitspanne gelösten Incidents

miss

• Kunden- und Serviceorientierung erhöhen

• Verfügbarkeit von Services• Prozesskosten reduzieren• Compliance mit internen

Regelungen herstellen

• Stelle die Enduser-Zufriedenheit mit Serviceangeboten und Service Levels sicher

• Stelle die angemessene Verwendung und Performance der Anwendungen und technischen Lösungen sicher

• Stelle …

setze

treibe

Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.

Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 34

Bestandteile von Prozessen (4/5)Bestandteile von Prozessen (4/5)

Control ObjectivesControl Objectives

Page 18: IT-Governance - Institute of Bioinformatics - Homepage · 2010-03-19 · COBIT Mapping – Mapping of ISO/IEC 17799:2000 with COBIT Mapping of ITIL v2 & v3 ... Gedruckt in Österreich.

Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.

Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 35

Bestandteile von Prozessen (5/5)Bestandteile von Prozessen (5/5)

Control PracticesControl Practices

Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.

Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 36

Reifegradmodell (Maturity Model)Reifegradmodell (Maturity Model)

0 .. Nicht existent0 .. Nicht existent1 .. Initial1 .. Initial2 .. Wiederholbar2 .. Wiederholbar3 .. Definiert3 .. Definiert4 .. Monitoringfunktionen4 .. Monitoringfunktionen5 .. Optimiert und Automatisiert5 .. Optimiert und Automatisiert

Derzeitiger StatusDerzeitiger Status

Internationaler StandardInternationaler Standard

Strategisches ZielStrategisches Ziel

SymboleSymbole ReifegradeReifegrade

0 1 2 3 4 5

Non-existent(nicht existent)

Initial(initial)

Repeatable(wiederholbar)

Defined(definiert)

Managed(gemanagt)

Optimised(optimiert)

Page 19: IT-Governance - Institute of Bioinformatics - Homepage · 2010-03-19 · COBIT Mapping – Mapping of ISO/IEC 17799:2000 with COBIT Mapping of ITIL v2 & v3 ... Gedruckt in Österreich.

Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.

Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 37

Reifegradmodell - AttributeReifegradmodell - Attribute

Bewusstsein und KommunikationBewusstsein und KommunikationPolicies, Standards und VerfahrenPolicies, Standards und VerfahrenWerkzeuge und AutomatisierungWerkzeuge und AutomatisierungSkills und ExpertiseSkills und ExpertiseZustZustäändigkeit und Verantwortlichkeitndigkeit und VerantwortlichkeitZielsetzung und MessungZielsetzung und Messung

Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.

Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 38

Generisches ReifegradmodellGenerisches Reifegradmodell

to-beimprovement measuresas-is

Awareness and Communication

Policies, Standards and

Procedures

Tools and Automation

Skills and Expertise

Responsibility and

Accountability

Goal Setting and Measurement

5

4

3

2

1

Overall Process Maturity

Maturity Attributes

Page 20: IT-Governance - Institute of Bioinformatics - Homepage · 2010-03-19 · COBIT Mapping – Mapping of ISO/IEC 17799:2000 with COBIT Mapping of ITIL v2 & v3 ... Gedruckt in Österreich.

Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.

Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 39

Reifegradmodell – IT-EbeneReifegradmodell – IT-Ebene

Lücken sind erkannt: Ist- zu Sollreife

Plan zur Verbesserung und Umsetzung

Prüfung, ob Ziele erreicht wurden

LLüücken sind cken sind erkannt: Isterkannt: Ist-- zu zu SollreifeSollreife

Plan zur Plan zur Verbesserung Verbesserung und Umsetzungund Umsetzung

PrPrüüfung, ob Ziele fung, ob Ziele erreicht wurdenerreicht wurden

Plan and Organize

012345PO 1

PO 2a

PO 2b

PO 3

PO 4

PO 5

PO 6

PO 7

PO 8

PO 9

PO 10

PO 11

Acquire and Implement

012345AI 1

AI 2

AI 2

AI 3

AI 4a

AI 4b

AI 5

AI 6a

AI 6b

AI 7

Deliver and Support

012345DS 1a

DS 1bDS 2

DS 3

DS 4

DS 5a

DS 5b

DS 5cDS 5d

DS 5eDS 5fDS 6DS 7DS 8

DS 9

DS 10

DS 11a

DS 11b

DS 12DS 13a

DS 13b

Monitor and Evaluate

012345ME 1

ME 2

ME 3

ME 4

40

ISO/IEC 27002:2005ISO/IEC 27002:2005

Page 21: IT-Governance - Institute of Bioinformatics - Homepage · 2010-03-19 · COBIT Mapping – Mapping of ISO/IEC 17799:2000 with COBIT Mapping of ITIL v2 & v3 ... Gedruckt in Österreich.

Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.

Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 41

ISO/IEC 27002:2005ISO/IEC 27002:2005

Historie:Historie:CoP for Security ManagementCoP for Security ManagementBS7799 Part 1BS7799 Part 1ISO 17799:2000, 2005ISO 17799:2000, 2005

Best Practice fBest Practice füür Informationsr Informations--SicherheitSicherheitHerausgegeben von der ISOHerausgegeben von der ISOZeitweise im Konflikt mit BSI Zeitweise im Konflikt mit BSI -- GrundschutzhandbuchGrundschutzhandbuchZertifizierung nach ISO/IEC 27001:2005 (BS7799 Part 2)Zertifizierung nach ISO/IEC 27001:2005 (BS7799 Part 2)

42

Integration von StandardsIntegration von Standards

Page 22: IT-Governance - Institute of Bioinformatics - Homepage · 2010-03-19 · COBIT Mapping – Mapping of ISO/IEC 17799:2000 with COBIT Mapping of ITIL v2 & v3 ... Gedruckt in Österreich.

Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.

Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 43

Die Stimme der anderen …Die Stimme der anderen …

Establish frameworks to ease Governance Establish frameworks to ease Governance ImplementationImplementation

First COBIT for overall governanceFirst COBIT for overall governanceThen ITIL for service delivery and managementThen ITIL for service delivery and managementThen ISO 17799 for information securityThen ISO 17799 for information securityBalanced Scorecard for measurement and Balanced Scorecard for measurement and communicationcommunication

Quelle: ForresterHelping Business Thrive On Technology Change

A Road Map To Comprehensive IT Governance by Craig Symons, Jan 2006

Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.

Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 44

COBIT & ITIL (v2)COBIT & ITIL (v2)

by Jimmy Heschl

21

43

65

7

21 43 65 87 109

21 43 65 87 109 1211 13

21

43

Plan and Organize

Acqu ireand

Imp le m

ent

Deliver and Support

Mon

it or

and

Eval

uate

Page 23: IT-Governance - Institute of Bioinformatics - Homepage · 2010-03-19 · COBIT Mapping – Mapping of ISO/IEC 17799:2000 with COBIT Mapping of ITIL v2 & v3 ... Gedruckt in Österreich.

Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.

Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 45

ServiceRequest Service request Verfahren

Erkennung und Aufzeichung

Klassifikation und erster Support

Nachforschung und Diagnose

Lösung und Wiederherstellung

Abschluss des Incident

Vera

ntw

ortu

ng, Ü

berw

achu

ng, V

erfo

lgun

g un

d Ko

mm

unik

atio

n de

r Lös

ung

Gegenüberstellung ITIL und COBITGegenüberstellung ITIL und COBIT

zB. Incident ManagementzB. Incident Management

DS8.2 Registration of customer queries (Registrierung von Kundenanfragen)

DS8.3 Incident escalation (Eskalation von Incidents)

DS8.4 Incident closure (Schließen von Incidents)

Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.

Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 46

V3 Highest-Level MappingV3 Highest-Level Mapping

INFORMATION

Monitor and Evaluate

Deliver and Support Acquire and

Implement

Plan and Organise

• Efficiency• Effectiveness• Confidentiality• Integrity• Availability• Compliance• Reliability

• Applications• Information• Infrastructure• People

IT RESSOURCES

Page 24: IT-Governance - Institute of Bioinformatics - Homepage · 2010-03-19 · COBIT Mapping – Mapping of ISO/IEC 17799:2000 with COBIT Mapping of ITIL v2 & v3 ... Gedruckt in Österreich.

Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.

Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 47

V3 High-Level MappingV3 High-Level Mapping

by Jimmy Heschl

21

43

65

721 43 65 87 109

21 43 65 87 109 1211 13

21

43

Plan and OrganiseAcquire and Im

plement

Deliver and Support

Moni

tor a

nd E

valu

ate

full none

COBIT processes addressed byIT Infrastucture Library v3

x x x

Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.

Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 48

V3 Detailled Mapping (excerpt)V3 Detailled Mapping (excerpt)

COBIT Control

Objective

Name

ITIL

Coverage

PO1 Define a Strategic IT Plan

SS 1 Introduction SS 2 Service management as a practice SS 3 Service Strategy principles SS 3.5 Service Strategy fundamentals SS 4 Service strategy …

A+

PO1.1 IT Value Management

SS 2.2 What are services? SS 3.1 Value creation SS 3.4 Service structures SS 4.4 Prepare for execution SS 5.1 Financial Management SS 5.2 Return on Investment SS 5.3 Service Portfolio Management

C

PO1.2 Business-IT Alignment

SS 2.1 What is service management SS 2.3 The business process SS 2.4 Principles of service management

C

PO1.3 Assessment of Current Capability and Performance

SS 4.4 Prepare for execution CSI 5.2 Assessments

C

PO1.4 IT Strategic Plan SS 3.3 Service provider types SS 3.5 Service Strategy fundamentals SS 4.1 Define the market SS 4.2 Develop the offerings SS 4.3 Develop strategic assets …

C

PO1.5 IT Tactical Plans SS 4.4 Prepare for execution SS 7.1 Implementation through the lifecycle SS 7.2 Strategy and Design …

C

Page 25: IT-Governance - Institute of Bioinformatics - Homepage · 2010-03-19 · COBIT Mapping – Mapping of ISO/IEC 17799:2000 with COBIT Mapping of ITIL v2 & v3 ... Gedruckt in Österreich.

Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.

Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 49

COBIT & ISO/IEC 27002:2005 COBIT & ISO/IEC 27002:2005

Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.

Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 50

COBIT & BSI Grundschutzhandbuch COBIT & BSI Grundschutzhandbuch

Page 26: IT-Governance - Institute of Bioinformatics - Homepage · 2010-03-19 · COBIT Mapping – Mapping of ISO/IEC 17799:2000 with COBIT Mapping of ITIL v2 & v3 ... Gedruckt in Österreich.

Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.

Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 51

COBIT & viele andere …COBIT & viele andere …

21

43

65

7

21

43

Acquire and M

aintainMon

itor

and

Eva

luat

e

21

43

65

72

14

3

Acquire and M

aintainMon

itor

and

Eva

luat

e

21

43

65

7

21

43

Acquire and M

aintainMon

itor

and

Eva

luat

e

21

43

65

72

14

3

Acquire and M

aintainMon

itor

and

Eva

luat

e

21

43

65

7

21

43

Acquire and M

aintainMon

itor

and

Eva

luat

e

21

43

65

7

21

43

Acquire and M

aintainMon

itor

and

Eva

luat

e2

14

36

57

21

43

Acquire and M

aintainMon

itor

and

Eva

luat

e

21

43

65

72

14

3

Acquire and M

aintainMon

itor

and

Eva

luat

e

Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.

Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 52

AusblickAusblick

Die Zeit ist reifDie Zeit ist reifFFüür nachvollziehbare und messbare ITr nachvollziehbare und messbare IT--ProzesseProzesseEinhaltung internationaler StandardsEinhaltung internationaler StandardsInterne Kontrollsysteme auch in der ITInterne Kontrollsysteme auch in der IT

Die Umsetzung erfordert (hohen) AufwandDie Umsetzung erfordert (hohen) AufwandNutzen ist auch kurzfristig zu erzielen (ROI hoch)Nutzen ist auch kurzfristig zu erzielen (ROI hoch)Professionelle UnterstProfessionelle Unterstüützung empfehlenswert tzung empfehlenswert ––besonders auch mit Prbesonders auch mit Prüüfungsfungs-- und Kontroll und Kontroll –– Know Know HowHow

Page 27: IT-Governance - Institute of Bioinformatics - Homepage · 2010-03-19 · COBIT Mapping – Mapping of ISO/IEC 17799:2000 with COBIT Mapping of ITIL v2 & v3 ... Gedruckt in Österreich.

Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.

Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 53© 2006 KPMG Alpen-Treuhand Austria Gruppe, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts.

Informationen dieser Präsentation haben informativen Charakter und stellen keinerlei Beratungsleistung dar. Alle Rechte vorbehalten. Printed in Austria. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.

KontaktKontaktJimmy HeschlJimmy HeschlIT AdvisoryIT AdvisoryKPMG WienKPMG Wien+43 (1) 361332 +43 (1) 361332 -- [email protected]@kpmg.atwww.kpmg.atwww.kpmg.at

Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.

Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 54

AbkürzungsverzeichnisAbkürzungsverzeichnis

AC Application ControlAD Application DevelopmentAI Acquire and ImplementAICPA American Institute of CPAsAktG AktiengesetzBAO BundesabgabenordnungBCP Business Continuity/Contingency

PlanningBS British StandardBSC Balanced ScorecardBWG BankwesengesetzCAB Change Advisory BoardCAB/EC Change Advisory Board for

Emergency ChangesCEO Chief Executive OfficerCFO Chief Financial OfficerCI Configuration ItemCIO Chief Information OfficerCISA Certified Information Systems

AuditorCISM Certified Information Security

ManagerCMDB Configuration Management

DatabaseCMM Capability Maturity ModelCMMI Capability Maturity Model

IntegratedCMO Chief Marketing OfficerCOBIT Control Objectives for Information

and Related TechnologyCOSO Committee of Sponsoring

OrganisationsDB DatabaseDS Deliver and SupportDSG DatenschutzgesetzECV Emittenten-Compliance-

Verordnung

FAIT Fachgutachten zur Prüfung der ITFIPS Federal Information Processing

StandardFS DV Fachsenat für DatenverarbeitungFS HR Fachsenat für HandelsrechtFSC Forward Schedule of ChangesGoB Grundsätze ordnungsgemäßer

BuchführungGSHB GrundschutzhandbuchHIPAA Health Insurance Portability and

Accountability ActHW HardwareICOFR Internal Control Over Financial

ReportingICT Information and Communication

TechnologyIDS Intrusion Detection SystemIDW Institut der WirtschaftsprüferIEC International Electro technical

CommissionIFAC International Federation of

AccountantsIKS Internes KontrollsystemIRM Information Risk ManagementISA International Standards on

AuditingISACA Information Systems Audit and

Control AssociationISO International Standardisation

OrganisationISP Internet Service ProviderIT Informationstechnologie,

Information and related Technology

IT-BPM IT Baseline Protection ManualITGC IT General ControlsITGI IT Governance InstituteITIL IT Infrastructure Library

ITIM IT Infrastructure ManagementITSM IT Service ManagementKFS Kammer Fachsenat für

DatenverarbeitungKFS/DV1Fachgutachten 1 des KFSKFS/DV2Fachgutachten 2 des KFSKGI Key Goal IndicatorKonTraG Kontroll- und TransparenzgesetzKPI Key Performance IndicatorME Monitor and EvaluateNIST National Information Security and

TechnologyOP OperationPC Process ControlPCAOB Public Company Accounting

Oversight BoardPMBOK Project Management Body of

KnowledgePO Plan and OrganisePRINCE Projects in Controlled

EnvironmentsPS PrüfungsstandardPSA Projected Service Availability RFC Request for ChangeROI Return-On-InvestmentRZ RechenzentrumSAS Statement on Auditing StandardSD Service DeskSLA Service Level AgreementSLM Service Level ManagementSLR Service Level Requirements SOX Sarbanes Oxley ActSQP Service Quality PlanSW SoftwareUC Underpinning Contract