Upload
doannhi
View
224
Download
0
Embed Size (px)
Citation preview
Jimmy HeschlMai 09
Jimmy HeschlMai 09
BUSINESS ADVISORY SERVICE
INFORMATION RISK MANAGEMENT
IT-Governance
Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 2
AgendaAgenda
VorstellungVorstellung und Zielsetzung und Zielsetzung ÜÜberblick berblick üüber aktuelle Entwicklungen der ber aktuelle Entwicklungen der ITIT--GovernanceGovernanceNationale und Internationale Anforderungen an Nationale und Internationale Anforderungen an ITIT--Compliance Compliance Methoden / StandardsMethoden / Standards
ITILITILCOBIT COBIT ISO27001ISO27001weitere Standardsweitere StandardsIntegration von COBIT mit ITIL, ISO 27001, CMMI, etc Integration von COBIT mit ITIL, ISO 27001, CMMI, etc
Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 3
Über mich ...Über mich ...
KPMG KPMG -- Information Risk Management / ITInformation Risk Management / IT--AdvisoryAdvisoryMitglied im Vorstand der ISACA Mitglied im Vorstand der ISACA ÖÖsterreich sterreich Mitglied im COBIT Steering Committee, COBIT 5.0 CommitteeMitglied im COBIT Steering Committee, COBIT 5.0 CommitteeStudium Wirtschaftsinformatik in LinzStudium Wirtschaftsinformatik in LinzBuch: IT GovernanceBuch: IT GovernanceMitautor von COBIT 4.0 / 4.1Mitautor von COBIT 4.0 / 4.1ÜÜbersetzer von COBIT 4.0 fbersetzer von COBIT 4.0 füür den deutschen Sprachraumr den deutschen SprachraumAutor mehrerer Publikationen:Autor mehrerer Publikationen:
COBIT Mapping COBIT Mapping –– Overview of International IT Guidance, 2nd Edition Overview of International IT Guidance, 2nd Edition COBIT Mapping COBIT Mapping –– Mapping of ISO/IEC 17799:2000 with COBITMapping of ISO/IEC 17799:2000 with COBITMapping of ITIL v2 & v3Mapping of ITIL v2 & v3Mapping of ISO/IEC 17799:2005Mapping of ISO/IEC 17799:2005Board Briefing on IT GovernanceBoard Briefing on IT Governanceetc.etc.
CISA, CISM, CGEIT, ITIL Expert, ...CISA, CISM, CGEIT, ITIL Expert, ...Definition und PrDefinition und Prüüfung von IT Prozessen mit unterschiedlichen fung von IT Prozessen mit unterschiedlichen Standards (COSO, COBIT, ITIL, 17799, GSHB, ...) OrganisationenStandards (COSO, COBIT, ITIL, 17799, GSHB, ...) Organisationen
Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 4
Den Betrieb der IT erhaltenDen Betrieb der IT erhalten
NutzenNutzen
KostenKosten
Komplexität meisternKomplexität meistern
Mit der Organisation integrierenMit der Organisation integrieren
Einhaltung von GesetzenEinhaltung von Gesetzen
SicherheitSicherheit
Herausforderungen der ITHerausforderungen der IT
Viele Organisationen investieren Viele Organisationen investieren grogroßße Summen und Ressourcen in e Summen und Ressourcen in die IT.die IT.IT unterstIT unterstüützt die tzt die Unternehmensprozesse und hilft Unternehmensprozesse und hilft dabei, die Organisationsziele zu dabei, die Organisationsziele zu erreichen.erreichen.Die Herausforderungen der IT Die Herausforderungen der IT gehen von der Anpassung an die gehen von der Anpassung an die Unternehmenserfordernisse bis hin Unternehmenserfordernisse bis hin zum Management hochzum Management hoch--komplexer komplexer technologischer Risiken und technologischer Risiken und Chancen.Chancen.Die Organe der Organisationen Die Organe der Organisationen verfverfüügen gen üüber wenig Transparenz ber wenig Transparenz in die Ablin die Ablääufe der ITufe der IT--Abteilung(en).Abteilung(en).
Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 5
Was ist IT-Governance?Was ist IT-Governance?
UrsprungUrsprunggriechisch: kybernângriechisch: kybernânEin Schiff fEin Schiff füühren / leitenhren / leiten
Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 6
IT-Governance: DefinitionIT-Governance: Definition
CorporateGovernance
ITGovernance
Business
Informations-systeme
Für IT-Governance sind Vorstand und Geschäfts-führung verantwortlich. Sie ist integraler Bestandteil der Corporate Governance und besteht aus Führungs- und Organisationsstruk-turen sowie Prozessen, die sicherstellen, dass IT die Geschäftsstrategien und -ziele unterstützt und vorantreibt.
— IT Governance Institute
Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 7
Was ist IT-Governance?Was ist IT-Governance?
IT-GOVERNANCE
IT-MANAGEMENT
• Ziel: sicherstellen, dass die IT die Geschäftsstrategien und -ziele unterstützt und vorantreibt
• Methode: Führungs- und Organisationsstrukturen sowie Prozesse• Verantwortung: Vorstand und Geschäftsführung
Setze die Strategie um• Erhöhe die Automation (mache das Kerngeschäft
wirksam)• Senke Kosten (mache das Unternehmen wirtschaftlich)• Manage Risiken (Security, Verlässlichkeit und
Compliance)
Setze Ziele • IT arbeitet im Sinne des Kerngeschäfts (Alignment)• IT ermöglicht das Kerngeschäft (Enablement) und
maximiert den Nutzen (Value Delivery)• IT Ressourcen werden verantwortungsvoll eingesetzt• IT-bezogene Risiken werden angemessen gemanagt
Überführe die Richtung
in eine Strategie
Messe und Berichte
über Performance
Gib die Richtung vor
Evaluiere Performance
IT-GOVERNANCE
Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 8
IT-GovernanceIT-Governance
Direct and ControlDie klare Ausrichtung der Organisation, Prozesse und Ressourcen an gemeinsamen Zielen und das Monitoring der Zielerreichung
AktivitätenBeschreibung der notwendigen Aktivitäten zur Erreichung der Ziele
ZuständigkeitZuweisung von Ressourcen zu den Aktivitäten
VerantwortlichkeitÜbergabe und Übernahme der klaren Verantwortung für Aufgaben, Themen, Prozesse, etc, damit die Zielerreichung gewährleistet wird.
InternIT-ManagementUnternehmensleitung, GeschäftsführungAufsichtsratRisiko-ManagementIT-Prüfer
ExternGesetzgeberExterne PrüferKundenLieferanten und DienstleisterVerbundene Unternehmen
PrinzipienPrinzipien Betroffene und BeteiligteBetroffene und Beteiligte
9
Gesetze + Standards Gesetze + Standards
Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 10
IT Governance – Warum?IT Governance – Warum?
Fragen des Aufsichtsrats bezFragen des Aufsichtsrats bezüüglich ITglich ITVerfolgen wir die richtigen Vorhaben?Verfolgen wir die richtigen Vorhaben?Verfolgen wir die Vorhaben richtig?Verfolgen wir die Vorhaben richtig?Werden die Aufgaben grWerden die Aufgaben grüündlich erledigt?ndlich erledigt?Wird effizient gearbeitet?Wird effizient gearbeitet?Bestehen Risiken, die wir nicht kennen?Bestehen Risiken, die wir nicht kennen?Was passiert mit den Ressourcen, die fWas passiert mit den Ressourcen, die füür IT bereitstehen?r IT bereitstehen?
Druck auf das Unternehmen und die ITDruck auf das Unternehmen und die ITKostenkKostenküürzung, hrzung, hööhere Profite und Marktanteilhere Profite und MarktanteilHHööhere Funktionalithere Funktionalitäät und einfachere Bedienungt und einfachere BedienungHHööhere Verantwortung bezhere Verantwortung bezüüglich Datenschutz, etc.)glich Datenschutz, etc.)
Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 11
IT-Governance – Warum?IT-Governance – Warum?
§§ 81 AktG: Bericht des Vorstands an den Aufsichtsrat81 AktG: Bericht des Vorstands an den Aufsichtsrat§§ 82 AktG / 82 AktG / §§ 22 GmbHG: Internes Kontrollsystem22 GmbHG: Internes Kontrollsystem§§ 131 BAO: Ordnungsm131 BAO: Ordnungsmäßäßigkeit der Buchfigkeit der Buchfüührunghrung§§ 38 BWG: Bankgeheimnis38 BWG: Bankgeheimnis§§ 39 BWG: Sorgfaltspflicht und ORM39 BWG: Sorgfaltspflicht und ORM§§ 14 DSG: Datensicherheitsma14 DSG: Datensicherheitsmaßßnahmennahmen§§ 15 DSG: Anordnung durch den Arbeitgeber15 DSG: Anordnung durch den ArbeitgeberEmittentenEmittenten--ComplianceCompliance--Verordnung Verordnung –– ECVECVCorporate Governance Codex Corporate Governance Codex KonTraGKonTraGHIPAAHIPAA......
Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 12
Gartner’s Regulations and Related Standards Hype CycleGartner’s Regulations and Related Standards Hype Cycle
Solvency II
Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 13
IT Governance – AufgabenIT Governance – Aufgaben
Aufgaben des VorstandesAufgaben des VorstandesHerunterbrechen der Unternehmensstrategie und Herunterbrechen der Unternehmensstrategie und --ziele ziele ffüür die ITr die ITOrganisatorische Ausrichtung der IT Organisatorische Ausrichtung der IT ––ProzessorientierungProzessorientierungAufbau und Unterhalt des internen Kontrollsystems in Aufbau und Unterhalt des internen Kontrollsystems in der ITder ITMessung der ZielerreichungMessung der Zielerreichung
Setzen von messbaren
Zielen je Prozess
Ergebnis vergleichen
IT - Aktivitäten
Messen der Performance
Anpassen, falls nicht adäquat
14
StandardsStandards
Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 15
Frameworks und StandardsFrameworks und Standards
IT-Betrieb
IT Planung
Anw
endungs-Entw.
Risiko & Security
Projektmanagem
ent
Service Managem
ent
Qualitätsm
anagement
COSO
SarbanesOxley
Basel IISolvency II
8. EU AuditRichtlinie
AktG / GmbHG
COBITValIT
V-Modell
ISO1779927001
BS25999
PMIPRINCE2
ITILISO20000
SixSigmaISO9000
CMMI
Governance
Management
Betrieb
COBIT®
Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 16
1992 durch „The Committee of Sponsoring Organizations of the Treadway Commission”veröffentlicht
Gemeinsame Sprache über Kontrollen, Definitionen, Modelle
Unternehmensziele im Rahmen von COSO sind− Operations (Effektivität und Effizienz der Tätigkeiten der Unternehmung)− Financial Reporting (Erstellung von zuverlässigen Jahresabschlüssen)− Compliance (Einhaltung von Gesetzen und Regulationen)
Zielerreichung über die Ausgestaltung der Komponenten des Frameworks− Control Environment (Kontrollumfeld)− Risk Assessment (Risikobewertung)− Control Activities (Kontrollaktivitäten)− Information & Communication (Information & Kommunikation)− Monitoring (Überwachung)
Benchmark für interne Kontrollen und Verweis in SOXWeiterentwicklungen:− September 2004: Enterprise Risk Management (COSO II)− Juni 2006: Guidance for Smaller Public Companies Reporting on Internal Control over
Financial Reporting“
COSO (Internal Control - Integrated Framework)COSO (Internal Control - Integrated Framework)
17
ITILIT Infrastructure Library
ITILIT Infrastructure Library
Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 18
IncidentManagement
ProblemManagement
ChangeManagement
ReleaseManagement
ContinuityManagement
AvailabilityManagement
CapacityManagement
FinancialManagement
Service LevelManagement
Security Management
Configuration Management
ITIL - IT Infrastructure Library ITIL - IT Infrastructure Library
Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 19
ITIL V2 Service Delivery ProcessesITIL V2 Service Delivery Processes
Availability Management
Availability Management
Capacity ManagementCapacity
Management
IT Financial Management
IT Financial Management
IT ServiceContinuity
IT ServiceContinuity
SLA’s, OLA’s, SLR’sService requestsService catalogueSIPException reportsAudit reports
Availability PlanAMDBDesign CriteriaTargets/ThresholdsReportsAudit Reports
Capacity PlanCDBTargets/ThresholdsCapacity ReportsScheduleAudit Reports
Financial PlansTypes & ModelsCosts & ChargesReports Budgets & ForecastsAudit Reports
IT Continuity PlansBIA & Risk AnalysisDefine RequirementsControl CentersDR ContactsReportsAudit Reports
The Business, Customers & Users
RequirementsTargets
Achievements
QueriesEnquiries
CommunicationUpdatesReports
Service LevelManagement
Service LevelManagement
Man
agem
ent T
ools
Ale
rts,
Exc
eptio
ns, C
hang
es
Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 20
ITIL V2 Service Support ProcessesITIL V2 Service Support Processes
ManagementTools
DifficultiesQueries, Enquiries
CommunicationUpdates
Work-arounds
Service DeskService Desk
Incidents
Incidents
CMDB
Change ScheduleCAB MinutesChange StatisticsChange ReviewsAudit Reports
ReleasesCIs
RelationshipsProblemsKnown Errors Changes
CMDB ReportsCMDB StatisticsPolicy/StandardsAudit Reports
Release ScheduleRelease StatisticsRelease ReviewsSecure LibraryTesting standardsAudit Reports
Problem StatisticsTrend AnalysisProblem ReportsProblem ReviewsDiagnostic AidsAudit Reports
ProblemProblemService ReportsIncident statisticsAudit Reports
Releases
ReleaseRelease
The Business, Customers & Users
ChangesIncidentIncident
ChangeChange
Incidents
ConfigurationConfiguration
2121
The v3 Service Management Lifecycle
The v3 Service Management Lifecycle
Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 22
ITIL – Service LifecycleITIL – Service Lifecycle
Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 23
ITIL – Prozesse (Version 3)ITIL – Prozesse (Version 3)
• Financial Management• Return on Investment• Service Portfolio Mgmnt• Demand Management
SERVICE STRATEGY
• Event Management• Incident Management• Request Fulfilment• Problem Management • Access Management
SERVICE OPERATION
• 7-Step Improvement Process
CONTINUAL SERVICE IMPROVEMENT
• Service Catalogue Management• Service Level Management • Capacity Management • Availability Management• IT Service Continuity Management• Information Security Management• Supplier Management
SERVICE DESIGN
• Transition Planning and Support• Change Management• Service Asset & Configuration
Management• Release & Deployment
Management• Service Validation• Evaluation• Knowledge Management
SERVICE TRANSITION
24
COBITCOBIT
Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 25
COBITCOBIT
COBIT = Control Objectives for Information and Related COBIT = Control Objectives for Information and Related TechnologyTechnologyProzessorientiertes Framework fProzessorientiertes Framework füür die Steuerung vonr die Steuerung vonITIT--ProzessenProzessenHerausgegeben vom IT Governance Institute, frHerausgegeben vom IT Governance Institute, früüher ISACAher ISACAInhalt wird vom COBIT Steering Committee gesteuert und von Inhalt wird vom COBIT Steering Committee gesteuert und von UniversitUniversitääten, Experten aus den Bereichen ITten, Experten aus den Bereichen IT--Management, Management, Governance, Consulting und Audit entwickeltGovernance, Consulting und Audit entwickeltOrientiert sich an Unternehmenszielen und Orientiert sich an Unternehmenszielen und UnternehmenserfordernissenUnternehmenserfordernissenWerkzeug fWerkzeug füür Geschr Geschääftsfftsfüührung, IThrung, IT--Management und Management und ITIT--ProzessmanagerProzessmanagerBasiert auf einer Vielzahl internationaler StandardsBasiert auf einer Vielzahl internationaler StandardsDokumente auf www.isaca.org zum Download und als BDokumente auf www.isaca.org zum Download und als Büücher cher verfverfüügbargbar
Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 26
Unternehmensziele
IT Ziele
IT Prozesse
Der Ansatz von COBITDer Ansatz von COBIT
IT Prozesse(mit Verantwortlichen)
liefernInformation
Anwendungen
Infrastrukturund Personal
betreiben
benötigt
Unternehmensziel IT-Ziele
Finanz-perspektive
1 Marktanteil erhöhen 25 282 Erträge erhöhen 25 283 Rendite 244 Kapitalverwertung optimieren 145 Geschäftsrisiken managen 2 14 17 18 19 20 21 22
6 Kunden- und Serviceorientierung erhöhen 3 237 Kostengünstige Produkte und Services anbieten 5 248 Verfügbarkeit von Services 10 16 22 239 Agilität bei Reaktion auf sich ändernde Geschäftsanforderungen (time to market) 1 5 2510 Kostenoptimierung bei Serviceerbringung 7 8 10 24
11 Automatisierung und Integration der Wertschöpfungskette 6 7 8 1112 Geschäftsprozess überarbeiten und verbessern 6 7 8 1113 Prozesskosten reduzieren 7 8 13 15 2414 Compliance mit Gesetzen und Regulativen 2 19 20 21 22 26 2715 Transparenz 2 1816 Compliance mit internen Regelungen 2 1317 Betriebliche- und Mitarbeiterproduktivität steigern 7 8 11 13
18 Produkt-/Geschäftsinnovation 5 25 2819 Verlässliche und nützliche Informationen für strategische Entscheidungen erlangen 2 4 12 20 2620 Qualifizierte und motivierte MitarbeiterInnen einstellen und entwickeln 9
Lern- und Wachstums-perspektive
Finanz-perspektive
Kunden-perspektive
Interne Perspektive
ProzesseIT-Ziele1 Reagiere auf Geschäftsanforderungen in Übereinstimmung mit der Unternehmensstrategie PO1 PO2 PO4 PO10 AI1 AI6 AI7 DS1 DS3 ME12 Reagiere auf Anforderungen der Governance entsprechend der Geschäftsführungs-vorgaben PO1 PO4 PO10 ME1 ME33 Stelle die Enduser-Zufriedenheit mit den Serviceangeboten und Service Levels sicher PO8 AI4 DS1 DS2 DS7 DS8 DS10 DS134 Optimiere die Verwendung von Information PO2 DS115 Stelle IT-Agilität her PO2 PO4 PO7 AI3
6 Definiere, wie funktionale geschäftliche und Steuerungsanforderungen in wirksame und wirtschaftliche automatisierte Lösungen überführt werden. AI1 AI2 AI6
7 Beschaffe und unterhalte integrierte und standardisierte Anwendungssysteme PO3 AI2 AI58 Beschaffe und warte integrierte und standardisierte IT-Infrastruktur AI3 AI59 Beschaffe und erhalte IT-Skills, die der IT-Strategie entsprechen PO7 AI510 Stelle gegenseitig zufriedenstellende Lieferantenbeziehungen sicher DS211 Integriere die Anwendungen und Technologielösungen nahtlos in Geschäftsprozesse PO2 AI4 AI712 Stelle Transparenz und Verständnis von IT -Kosten, Nutzen, Strategie, Richtlinien und Service Levels sicher PO5 PO6 DS1 DS2 DS6 ME1 ME413 Stelle die angemessene Verwendung und Performance der Anwendungen und technischen Lösungen sicher PO6 AI4 AI6 AI7 DS7 DS814 Übernimm die Verantwortung für und schütze alle IT-Anlagen PO9 DS5 DS9 DS12 ME215 Optimiere IT-Infrastruktur, Ressourcen und Fähigkeiten PO3 AI3 DS3 DS7 DS916 Reduziere Mängel und Nacharbeit bei Lösungen und dem Servicebetrieb PO8 AI4 AI6 AI7 DS1017 Schütze die Erreichung der IT-Ziele PO9 DS10 ME218 Schaffe Klarheit über die Geschäftsauswirkungen der Risiken von IT-Zielen und -Ressourcen PO919 Stelle den Schutz von kritischen und vertraulichen Informationen vor unberechtigtem Zugriff sicher PO6 DS5 DS11 DS1220 Stelle sicher, dass automatischen Transaktionen und Informationsaustausch vertraut werden kann PO6 AI7 DS5
21 Stelle sicher, dass IT-Services und Infrastruktur Ausfällen auf Grund von Fehlern, bewussten Angriffen oder Katastrophen standhalten können und ihre Wiederherstellung gewährleistet ist PO6 AI7 DS4 DS5 DS12 DS13 ME2
22 Stelle sicher, dass der Einfluss einer IT-Service-Störung oder -Änderung auf das Geschäft minimiert ist PO6 AI6 DS4 DS1223 Stelle die Verfügbarkeit der IT-Services gemäß den Anforderungen sicher DS3 DS4 DS8 DS1324 Verbessere die Kosteneffizienz der IT und ihren Beitrag zum Unternehmenserfolg PO5 AI5 DS625 Setze Projekte pünktlich und im Budgetrahmen und unter Einhaltung der Qualitätsstandards um PO8 PO1026 Erhalte die Integrität der Informationen und die diese Informationen verarbeitende Infrastruktur AI6 DS527 Stelle die IT-Compliance mit Gesetzen und Vorschriften sicher DS11 ME2 ME3 ME4
28 Stelle sicher, dass die IT eine kosteneffiziente Servicequalität, eine kontinuierliche Verbesserung und Bereitschaft für zukünftige Veränderung zeigt PO5 DS6 ME1 ME3
Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 27
Unternehmens- und IT-Ziele - BeispielUnternehmens- und IT-Ziele - Beispiel
Unternehmensziel 8Verfügbarkeit von
Produkten
IT-Ziel 23
Stelle die Verfügbarkeit der IT-Services gemäß den Anforderungen sicher
IT-Ziel 22
Stelle sicher, dass der Einfluss einer IT-
Service-Störung oder IT-Änderung auf das Geschäft minimiert ist
IT-Ziel 16
Reduziere Mängel und Nacharbeit bei Lösungen und dem
Servicebetrieb
IT-Ziel 10
Stelle für beide zufrieden-stellende
Lieferantenbeziehungen sicher
DS2 PO8 AI4 AI6 AI7 DS10 PO6 AI6 DS4DS12 DS3DS4 DS8 DS13
BSC
B
SC --
PerspektivenPerspektiven
FinanzFinanz
ServiceService
InternIntern
Lernen und Lernen und WachstumWachstum
Archite
ktur
Archite
ktur
Incide
nt
Incide
nt
Knowled
ge
Knowled
ge
Chang
e
Chang
e
Releas
e &
Releas
e &
Deploy
ment
Deploy
ment
Problem
Problem
Policie
s
Policie
s
Chang
e
Chang
e
Physis
ch
Physis
ch
Kontin
uit
Kontin
uitäätt
Kontin
uit
Kontin
uitäätt
Kapaz
it
Kapaz
itäätt
Incide
nt
Incide
nt
Betrieb
Betrieb
Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 28
Vom Ziel zur ArchitekturVom Ziel zur Architektur
Unternehmensziele für IT
IT Ziele
Unternehmens-architektur für IT
bestimmen
messen
messen
bestimmen
IT Scorecard
Unternehmens- und Governance-Erfordernisse
Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 29
COBIT FrameworkCOBIT Framework
Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 30
COBIT IT-ProzesseCOBIT IT-Prozesse
INFORMATION
Monitor and Evaluate
Deliver and Support Acquire and
Implement
Plan and Organise
PO1 Define a strategic IT plan PO2 Define the information architecturePO3 Determine technological direction PO4 Define the IT processes, organisation and
relationships PO5 Manage the IT investment PO6 Communicate management aims and direction PO7 Manage IT human resources PO8 Manage quality PO9 Assess and manage IT risks PO10 Manage projects
AI1 Identify automated solutions AI2 Acquire and maintain application software AI3 Acquire and maintain technology infrastructure AI4 Enable operation and use AI5 Procure IT resources AI6 Manage changes AI7 Install and accredit solutions and changes
DS1 Define and manage service levels DS2 Manage third-party services DS3 Manage performance and capacity DS4 Ensure continuous service DS5 Ensure systems security DS6 Identify and allocate costs DS7 Educate and train users DS8 Manage service desk and incidents DS9 Manage the configuration DS10 Manage problems DS11 Manage data DS12 Manage the physical environment DS13 Manage operations
ME1 Monitor and evaluate IT performance ME2 Monitor and evaluate internal control ME3 Ensure regulatory compliance ME4 Provide IT governance
• Efficiency• Effectiveness• Confidentiality• Integrity• Availability• Compliance• Reliability
• Applications• Information• Infrastructure• People
IT RESSOURCES
Monitor and Evaluate
Plan and Organise
Acquire and Implement
Deliver and Support
Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 31
Bestandteile von Prozessen (1/5)Bestandteile von Prozessen (1/5)
Prozessbeschreibung
Domäne und Information-Criteria
IT-Ziele
Prozessziele
wichtige Aktivitäten
wichtige Metriken
IT Governance& IT-Resources
Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 32
Bestandteile von Prozessen (2/5)Bestandteile von Prozessen (2/5)
RACIRACI--Chart zur Darstellung der Verantwortlichkeiten, zBChart zur Darstellung der Verantwortlichkeiten, zB
Inputs und Outputs, zBInputs und Outputs, zB
Aktivitäten CEO
CFO
Busin
ess
Exec
utive
CIO
Ges
chäf
tspr
ozes
seig
ner
Leitu
ng B
etrie
bCh
ief A
rchi
tect
Leitu
ng E
ntwi
cklu
ngLe
itung
IT-A
dmin
istra
tion
Proj
ektb
üro
Com
plia
nce,
Aud
it,
Risk
und
Sec
urity
Serv
ice D
esk
/
Incid
ent M
anag
er
Erstelle Klassifikations- (Schweregrad und Auswirkung) und Eskalationsverfahren (funktional und hierarchisch) C C C C C C C A/RErkenne und erfasse Incidents / Serviceanfragen / Informationsanfragen A/RKlassifiziere, ermittle und diagnostiziere Anfragen I C C C I A/RBehebe, löse und schließe Incidents I R R R C A/RInformiere Benutzer (zB Statusaktualisierungen) I I A/RErstelle Managementauswertungen I I I I I I A/R
Funktionen
Von Inputs
AI4 Benutzer-, Betriebs-, Support-, technische und administrative Handbücher
AI6 Freigabe von Changes AI7 Configuration Items (Released) DS1 SLAs und OLAs DS4 Incident- und Katastrophen-Schwellwerte DS5 Definition Security Incidents DS9 Details zur IT-Konfiguration / Assets
DS10 Known Problems, Known Errors und Workarounds
DS13 Incident-Tickets
Outputs Nach Service-Requests/Request for Change AI6
Berichte über Incidents DS10 Berichte über Prozessperformance ME1
Berichte über Benutzerzufriedenheit DS7 ME1
Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 33
AktivitätenIT ProzesseUnternehmen
Ziel
eM
essg
röße
nBestandteile von Prozessen (3/5)Bestandteile von Prozessen (3/5)
Ziele und MessgrZiele und Messgrößößen und deren Verbindungen und deren Verbindung
• Installation und Betrieb eines Service Desk
• Überwachung und Berichterstattung von Trends
• Abstimmung der Lösungsprioritäten von Ereignissen mit Unternehmensanforderung
• Festlegung …
setze
• % der Ereignisse und Serviceanfragen, die reportet und mittels automatisierter Tools protokolliert wurden
• Anzahl der Schulungstage pro Service Desk MitarberInnen pro Jahr
• Anzahl der pro Service Desk MitarbeiterIn pro Stunde bearbeiteten Anrufe
• % der Ereignisse, die …
miss
treibe
• Analysiere, dokumentiere und eskaliere Incidentszeitgerecht
• Reagiere auf Anfragen exakt und zeitgerecht
• Führe regelmäßig Trendanalysen der Incidentsund Anfragen durch
setze
treibe• % der direkten Lösungen
basierend auf der Gesamtzahl der Anfragen
• % der erneut geöffneten Incidents
• Anteil der abgebrochenen Calls
• Durchschnittliche Dauer der Incidentsnach Schweregrad
• Durchschnittliche …
miss
• Benutzerzufriedenheit mit dem Erst-Support (Service Desk oder Knowledge Base)
• % der innerhalb einer vereinbarten/akzeptablen Zeitspanne gelösten Incidents
miss
• Kunden- und Serviceorientierung erhöhen
• Verfügbarkeit von Services• Prozesskosten reduzieren• Compliance mit internen
Regelungen herstellen
• Stelle die Enduser-Zufriedenheit mit Serviceangeboten und Service Levels sicher
• Stelle die angemessene Verwendung und Performance der Anwendungen und technischen Lösungen sicher
• Stelle …
setze
treibe
Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 34
Bestandteile von Prozessen (4/5)Bestandteile von Prozessen (4/5)
Control ObjectivesControl Objectives
Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 35
Bestandteile von Prozessen (5/5)Bestandteile von Prozessen (5/5)
Control PracticesControl Practices
Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 36
Reifegradmodell (Maturity Model)Reifegradmodell (Maturity Model)
0 .. Nicht existent0 .. Nicht existent1 .. Initial1 .. Initial2 .. Wiederholbar2 .. Wiederholbar3 .. Definiert3 .. Definiert4 .. Monitoringfunktionen4 .. Monitoringfunktionen5 .. Optimiert und Automatisiert5 .. Optimiert und Automatisiert
Derzeitiger StatusDerzeitiger Status
Internationaler StandardInternationaler Standard
Strategisches ZielStrategisches Ziel
SymboleSymbole ReifegradeReifegrade
0 1 2 3 4 5
Non-existent(nicht existent)
Initial(initial)
Repeatable(wiederholbar)
Defined(definiert)
Managed(gemanagt)
Optimised(optimiert)
Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 37
Reifegradmodell - AttributeReifegradmodell - Attribute
Bewusstsein und KommunikationBewusstsein und KommunikationPolicies, Standards und VerfahrenPolicies, Standards und VerfahrenWerkzeuge und AutomatisierungWerkzeuge und AutomatisierungSkills und ExpertiseSkills und ExpertiseZustZustäändigkeit und Verantwortlichkeitndigkeit und VerantwortlichkeitZielsetzung und MessungZielsetzung und Messung
Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 38
Generisches ReifegradmodellGenerisches Reifegradmodell
to-beimprovement measuresas-is
Awareness and Communication
Policies, Standards and
Procedures
Tools and Automation
Skills and Expertise
Responsibility and
Accountability
Goal Setting and Measurement
5
4
3
2
1
Overall Process Maturity
Maturity Attributes
Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 39
Reifegradmodell – IT-EbeneReifegradmodell – IT-Ebene
Lücken sind erkannt: Ist- zu Sollreife
Plan zur Verbesserung und Umsetzung
Prüfung, ob Ziele erreicht wurden
LLüücken sind cken sind erkannt: Isterkannt: Ist-- zu zu SollreifeSollreife
Plan zur Plan zur Verbesserung Verbesserung und Umsetzungund Umsetzung
PrPrüüfung, ob Ziele fung, ob Ziele erreicht wurdenerreicht wurden
Plan and Organize
012345PO 1
PO 2a
PO 2b
PO 3
PO 4
PO 5
PO 6
PO 7
PO 8
PO 9
PO 10
PO 11
Acquire and Implement
012345AI 1
AI 2
AI 2
AI 3
AI 4a
AI 4b
AI 5
AI 6a
AI 6b
AI 7
Deliver and Support
012345DS 1a
DS 1bDS 2
DS 3
DS 4
DS 5a
DS 5b
DS 5cDS 5d
DS 5eDS 5fDS 6DS 7DS 8
DS 9
DS 10
DS 11a
DS 11b
DS 12DS 13a
DS 13b
Monitor and Evaluate
012345ME 1
ME 2
ME 3
ME 4
40
ISO/IEC 27002:2005ISO/IEC 27002:2005
Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 41
ISO/IEC 27002:2005ISO/IEC 27002:2005
Historie:Historie:CoP for Security ManagementCoP for Security ManagementBS7799 Part 1BS7799 Part 1ISO 17799:2000, 2005ISO 17799:2000, 2005
Best Practice fBest Practice füür Informationsr Informations--SicherheitSicherheitHerausgegeben von der ISOHerausgegeben von der ISOZeitweise im Konflikt mit BSI Zeitweise im Konflikt mit BSI -- GrundschutzhandbuchGrundschutzhandbuchZertifizierung nach ISO/IEC 27001:2005 (BS7799 Part 2)Zertifizierung nach ISO/IEC 27001:2005 (BS7799 Part 2)
42
Integration von StandardsIntegration von Standards
Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 43
Die Stimme der anderen …Die Stimme der anderen …
Establish frameworks to ease Governance Establish frameworks to ease Governance ImplementationImplementation
First COBIT for overall governanceFirst COBIT for overall governanceThen ITIL for service delivery and managementThen ITIL for service delivery and managementThen ISO 17799 for information securityThen ISO 17799 for information securityBalanced Scorecard for measurement and Balanced Scorecard for measurement and communicationcommunication
Quelle: ForresterHelping Business Thrive On Technology Change
A Road Map To Comprehensive IT Governance by Craig Symons, Jan 2006
Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 44
COBIT & ITIL (v2)COBIT & ITIL (v2)
by Jimmy Heschl
21
43
65
7
21 43 65 87 109
21 43 65 87 109 1211 13
21
43
Plan and Organize
Acqu ireand
Imp le m
ent
Deliver and Support
Mon
it or
and
Eval
uate
Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 45
ServiceRequest Service request Verfahren
Erkennung und Aufzeichung
Klassifikation und erster Support
Nachforschung und Diagnose
Lösung und Wiederherstellung
Abschluss des Incident
Vera
ntw
ortu
ng, Ü
berw
achu
ng, V
erfo
lgun
g un
d Ko
mm
unik
atio
n de
r Lös
ung
Gegenüberstellung ITIL und COBITGegenüberstellung ITIL und COBIT
zB. Incident ManagementzB. Incident Management
DS8.2 Registration of customer queries (Registrierung von Kundenanfragen)
DS8.3 Incident escalation (Eskalation von Incidents)
DS8.4 Incident closure (Schließen von Incidents)
Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 46
V3 Highest-Level MappingV3 Highest-Level Mapping
INFORMATION
Monitor and Evaluate
Deliver and Support Acquire and
Implement
Plan and Organise
• Efficiency• Effectiveness• Confidentiality• Integrity• Availability• Compliance• Reliability
• Applications• Information• Infrastructure• People
IT RESSOURCES
Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 47
V3 High-Level MappingV3 High-Level Mapping
by Jimmy Heschl
21
43
65
721 43 65 87 109
21 43 65 87 109 1211 13
21
43
Plan and OrganiseAcquire and Im
plement
Deliver and Support
Moni
tor a
nd E
valu
ate
full none
COBIT processes addressed byIT Infrastucture Library v3
x x x
Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 48
V3 Detailled Mapping (excerpt)V3 Detailled Mapping (excerpt)
COBIT Control
Objective
Name
ITIL
Coverage
PO1 Define a Strategic IT Plan
SS 1 Introduction SS 2 Service management as a practice SS 3 Service Strategy principles SS 3.5 Service Strategy fundamentals SS 4 Service strategy …
A+
PO1.1 IT Value Management
SS 2.2 What are services? SS 3.1 Value creation SS 3.4 Service structures SS 4.4 Prepare for execution SS 5.1 Financial Management SS 5.2 Return on Investment SS 5.3 Service Portfolio Management
C
PO1.2 Business-IT Alignment
SS 2.1 What is service management SS 2.3 The business process SS 2.4 Principles of service management
C
PO1.3 Assessment of Current Capability and Performance
SS 4.4 Prepare for execution CSI 5.2 Assessments
C
PO1.4 IT Strategic Plan SS 3.3 Service provider types SS 3.5 Service Strategy fundamentals SS 4.1 Define the market SS 4.2 Develop the offerings SS 4.3 Develop strategic assets …
C
PO1.5 IT Tactical Plans SS 4.4 Prepare for execution SS 7.1 Implementation through the lifecycle SS 7.2 Strategy and Design …
C
Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 49
COBIT & ISO/IEC 27002:2005 COBIT & ISO/IEC 27002:2005
Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 50
COBIT & BSI Grundschutzhandbuch COBIT & BSI Grundschutzhandbuch
Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 51
COBIT & viele andere …COBIT & viele andere …
21
43
65
7
21
43
Acquire and M
aintainMon
itor
and
Eva
luat
e
21
43
65
72
14
3
Acquire and M
aintainMon
itor
and
Eva
luat
e
21
43
65
7
21
43
Acquire and M
aintainMon
itor
and
Eva
luat
e
21
43
65
72
14
3
Acquire and M
aintainMon
itor
and
Eva
luat
e
21
43
65
7
21
43
Acquire and M
aintainMon
itor
and
Eva
luat
e
21
43
65
7
21
43
Acquire and M
aintainMon
itor
and
Eva
luat
e2
14
36
57
21
43
Acquire and M
aintainMon
itor
and
Eva
luat
e
21
43
65
72
14
3
Acquire and M
aintainMon
itor
and
Eva
luat
e
Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 52
AusblickAusblick
Die Zeit ist reifDie Zeit ist reifFFüür nachvollziehbare und messbare ITr nachvollziehbare und messbare IT--ProzesseProzesseEinhaltung internationaler StandardsEinhaltung internationaler StandardsInterne Kontrollsysteme auch in der ITInterne Kontrollsysteme auch in der IT
Die Umsetzung erfordert (hohen) AufwandDie Umsetzung erfordert (hohen) AufwandNutzen ist auch kurzfristig zu erzielen (ROI hoch)Nutzen ist auch kurzfristig zu erzielen (ROI hoch)Professionelle UnterstProfessionelle Unterstüützung empfehlenswert tzung empfehlenswert ––besonders auch mit Prbesonders auch mit Prüüfungsfungs-- und Kontroll und Kontroll –– Know Know HowHow
Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 53© 2006 KPMG Alpen-Treuhand Austria Gruppe, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts.
Informationen dieser Präsentation haben informativen Charakter und stellen keinerlei Beratungsleistung dar. Alle Rechte vorbehalten. Printed in Austria. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.
KontaktKontaktJimmy HeschlJimmy HeschlIT AdvisoryIT AdvisoryKPMG WienKPMG Wien+43 (1) 361332 +43 (1) 361332 -- [email protected]@kpmg.atwww.kpmg.atwww.kpmg.at
Jimmy Heschl© 2008 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
Gedruckt in Österreich. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 54
AbkürzungsverzeichnisAbkürzungsverzeichnis
AC Application ControlAD Application DevelopmentAI Acquire and ImplementAICPA American Institute of CPAsAktG AktiengesetzBAO BundesabgabenordnungBCP Business Continuity/Contingency
PlanningBS British StandardBSC Balanced ScorecardBWG BankwesengesetzCAB Change Advisory BoardCAB/EC Change Advisory Board for
Emergency ChangesCEO Chief Executive OfficerCFO Chief Financial OfficerCI Configuration ItemCIO Chief Information OfficerCISA Certified Information Systems
AuditorCISM Certified Information Security
ManagerCMDB Configuration Management
DatabaseCMM Capability Maturity ModelCMMI Capability Maturity Model
IntegratedCMO Chief Marketing OfficerCOBIT Control Objectives for Information
and Related TechnologyCOSO Committee of Sponsoring
OrganisationsDB DatabaseDS Deliver and SupportDSG DatenschutzgesetzECV Emittenten-Compliance-
Verordnung
FAIT Fachgutachten zur Prüfung der ITFIPS Federal Information Processing
StandardFS DV Fachsenat für DatenverarbeitungFS HR Fachsenat für HandelsrechtFSC Forward Schedule of ChangesGoB Grundsätze ordnungsgemäßer
BuchführungGSHB GrundschutzhandbuchHIPAA Health Insurance Portability and
Accountability ActHW HardwareICOFR Internal Control Over Financial
ReportingICT Information and Communication
TechnologyIDS Intrusion Detection SystemIDW Institut der WirtschaftsprüferIEC International Electro technical
CommissionIFAC International Federation of
AccountantsIKS Internes KontrollsystemIRM Information Risk ManagementISA International Standards on
AuditingISACA Information Systems Audit and
Control AssociationISO International Standardisation
OrganisationISP Internet Service ProviderIT Informationstechnologie,
Information and related Technology
IT-BPM IT Baseline Protection ManualITGC IT General ControlsITGI IT Governance InstituteITIL IT Infrastructure Library
ITIM IT Infrastructure ManagementITSM IT Service ManagementKFS Kammer Fachsenat für
DatenverarbeitungKFS/DV1Fachgutachten 1 des KFSKFS/DV2Fachgutachten 2 des KFSKGI Key Goal IndicatorKonTraG Kontroll- und TransparenzgesetzKPI Key Performance IndicatorME Monitor and EvaluateNIST National Information Security and
TechnologyOP OperationPC Process ControlPCAOB Public Company Accounting
Oversight BoardPMBOK Project Management Body of
KnowledgePO Plan and OrganisePRINCE Projects in Controlled
EnvironmentsPS PrüfungsstandardPSA Projected Service Availability RFC Request for ChangeROI Return-On-InvestmentRZ RechenzentrumSAS Statement on Auditing StandardSD Service DeskSLA Service Level AgreementSLM Service Level ManagementSLR Service Level Requirements SOX Sarbanes Oxley ActSQP Service Quality PlanSW SoftwareUC Underpinning Contract