Sicherheit und Zuverlässigkeit sind die größten Tugenden bei der Arbeit mit modernen IT-Infrastrukturen. Gutes IT Service Continuity Management (ITSCM) sorgt dafür, dass Sie vor Ausfällen und Störungen gewappnet sind und Ihre geschäftskritischen IT-Services im Griff haben.
In diesem Leitfaden zeigt Ihnen IT-Experte Frank M. Marks, wie Sie ein effektives ITSCM planen implementieren und betreiben. Sie erfahren, wie Sie kritische Services identifizieren und absichern, IT-Risiken systematisch bewerten und minimieren, IT-Notfallpläne entwickeln und praktisch testen, Wiederanlaufzeiten optimieren und Compliance-Anforderungen erfüllen - und zwar ohne verkopfte Theorie, sondern mit vielen praktischen Beispielen, nutzbaren Templates und bewährten Tipps für die Umsetzung.
Aus dem Inhalt:
- IT-Notfallvorsorge
- IT-Risikomanagement
- Resilienzerhöhung
- Was tun im Worst Case?
- Policy schreiben
- Handbuch erstellen
- Awareness schaffen
- Interne und externe Schnittstellen
- Notfall-Dokumentation und Pläne
- Gap-Analyse
- ITSCM goes AI
- ITSCM in der Cloud
Inhaltsverzeichnis
Materialien zum Buch . . . 21
1. Einführung: Ihr Weg durch dieses Buch . . . 23
1. 1 . . . Besonderheiten dieses Ratgebers . . . 25
1. 2 . . . Ich möchte mich kurz vorstellen: Wer schreibt dieses Buch? . . . 27
1. 3 . . . Was Sie schon wissen sollten und was Sie lernen werden . . . 30
2. Motivation, Vorgaben und Anforderungen an ein ITSCM . . . 31
2. 1 . . . Was ist ITSCM? . . . 34
2. 2 . . . Ziele und Zweck eines ITSCM: Der Nutzen . . . 36
2. 3 . . . Was ist kein ITSCM? . . . 42
2. 4 . . . ITSCM und ITSCMS . . . 48
2. 5 . . . Der Zeitfaktor für die Umsetzung eines ITSCM . . . 48
2. 6 . . . Anforderungen und Erwartungen an ein ITSCM . . . 49
2. 7 . . . Regularien und Vorgaben aus Normen und Gesetzen . . . 50
2. 8 . . . Meldepflichten . . . 57
2. 9 . . . Zertifizierung im ITSCM . . . 58
2. 10 . . . Woran können Sie sich grundsätzlich orientieren? . . . 59
2. 11 . . . Weitere Vorgehensweise und Übungen . . . 60
3. Auf in die Praxis: Wie wird das ITSCM umgesetzt? . . . 63
3. 1 . . . Offizielle Benennung einer verantwortlichen Person . . . 63
3. 2 . . . Aufbau und Schulung des verantwortlichen Mitarbeiters . . . 66
3. 3 . . . Wo sollte das ITSCM organisatorisch verortet werden? . . . 77
3. 4 . . . Weitere Vorgehensweise und Übungen . . . 84
4. Die Policy schreiben: der Arbeitsauftrag . . . 85
4. 1 . . . Den Zweck und die Ziele eines ITSCM definieren . . . 86
4. 2 . . . Den Geltungsbereich bestimmen . . . 87
4. 3 . . . Allgemeine Definitionen . . . 88
4. 4 . . . Prozesse beschreiben . . . 97
4. 5 . . . Die Organisation für den Normal- und den Notbetrieb beschreiben . . . 97
4. 6 . . . Die wichtigsten Schnittstellen im Tagesgeschäft in Kurzform vorstellen . . . 98
4. 7 . . . Die drei Standard-Worst-Case-Szenarien kurz benennen . . . 99
4. 8 . . . Scoping: den Umfang eines ITSCM definieren . . . 100
4. 9 . . . Awareness-Maßnahmen und -Ziele kurz beschreiben . . . 101
4. 10 . . . Die Ressourcenfrage klären: Personal, Schulungen, Budget . . . 102
4. 11 . . . Die Sicherheit der Dokumentationen beschreiben . . . 104
4. 12 . . . Unterschrift und Commitment . . . 105
4. 13 . . . Mitgeltende Dokumente aufführen . . . 107
4. 14 . . . Weitere Vorgehensweise und Übungsaufgaben . . . 108
5. Das ITSCM in Ihrer Organisation: Die Ist-Aufnahme . . . 109
5. 1 . . . Die Bestandsaufnahme: Der Ist-Stand . . . 110
5. 2 . . . Ist ein Business Continuity Management (BCM) vorhanden? . . . 112
5. 3 . . . Ist ein Informationssicherheitsmanagement (ISM) vorhanden? . . . 119
5. 4 . . . Ist ein Change-Management (CM oder ChM) vorhanden? . . . 122
5. 5 . . . Ist ein Service-Level-Management (SLM) vorhanden? . . . 123
5. 6 . . . Gab es schon mal ein ITSCM? . . . 123
5. 7 . . . Ist ein Risikomanagement (RM) vorhanden? . . . 125
5. 8 . . . Ist ein Resilienz-Management (ReM) vorhanden? . . . 126
5. 9 . . . Ist ein Lieferanten- bzw. Dienstleistermanagement vorhanden? . . . 126
5. 10 . . . Ist eine Configuration Management Database (CMDB) vorhanden? . . . 127
5. 11 . . . Ist ein Skill- und Kapazitätsmanagement vorhanden? . . . 127
5. 12 . . . Ist ein IT-Architektur-Management (IT-AM) vorhanden? . . . 128
5. 13 . . . Vorhandene IT-Infrastrukturpläne sammeln und sichten . . . 128
5. 14 . . . Technikbereiche zu wichtigen IT-Services und IT-Infrastrukturen befragen . . . 132
5. 15 . . . Service-Desk (SD), Help-Desk (HD) und Hotline befragen . . . 132
5. 16 . . . Weitere Informationsquellen (Presse, Fachzeitschriften, Newsletter) . . . 133
5. 17 . . . Konsolidierung der Informationen . . . 133
5. 18 . . . Weitere Vorgehensweise und Übungen . . . 134
6. Das ITSCM planen: Der Soll-Zustand . . . 135
6. 1 . . . Der Ist/Soll-Abgleich . . . 136
6. 2 . . . Erste Vorsorgemaßnahmen dokumentieren . . . 137
6. 3 . . . ITSCM in der Kultur Ihrer Organisation etablieren . . . 139
6. 4 . . . Weitere Vorgehensweise und Übungen . . . 139
7. Die ITSCM-Organisation aufbauen . . . 141
7. 1 . . . Der Zeitfaktor für den Aufbau . . . 141
7. 2 . . . Kosten und Ressourcen . . . 143
7. 3 . . . Stellen besetzen (aber wen zuerst?) . . . 144
7. 4 . . . Mitarbeiter schulen . . . 146
7. 5 . . . Rollen definieren und detailliert beschreiben (Langfassung) . . . 147
7. 6 . . . Dokumente für den Normalbetrieb . . . 163
7. 7 . . . Dokumente für den Notbetrieb . . . 177
7. 8 . . . Wie organisiert man sich als ITSCM-Team? . . . 185
7. 9 . . . Weitere Vorgehensweise und Übungen . . . 193
8. Awareness (Bewusstsein) organisationsweit aufbauen . . . 195
8. 1 . . . Awareness herstellen . . . 197
8. 2 . . . Werbung . . . 200
8. 3 . . . Infoveranstaltungen: Vorträge, Schulungen, Workshops, Onboarding etc. . . . 205
8. 4 . . . Sprechstunden oder offener Austausch . . . 207
8. 5 . . . Awareness adressatengerecht und auf unterschiedlichen Ebenen vermitteln . . . 209
8. 6 . . . Fazit . . . 211
8. 7 . . . Weitere Vorgehensweise und Übungen . . . 211
9. Den ITSCM-Prozess definieren . . . 213
9. 1 . . . Den ITSCM-Prozess oder -Teilprozess beschreiben . . . 214
9. 2 . . . Der ITSCM-Lifecycle . . . 218
9. 3 . . . Der PDCA-Zyklus . . . 224
9. 4 . . . Den Kontinuierlichen Verbesserungsprozess (KVP) beschreiben . . . 225
9. 5 . . . Reifegradmodell aufbauen . . . 229
9. 6 . . . Weitere Vorgehensweise und Übungen . . . 232
10. Vernetzungen und Schnittstellen (intern und extern) . . . 235
10. 1 . . . Interne Vernetzung . . . 235
10. 2 . . . Externe Vernetzung . . . 273
10. 3 . . . Weitere Vorgehensweise und Übungen . . . 277
11. Die Gap-Analyse (Lücken- oder Differenzanalyse) . . . 279
11. 1 . . . Sinn und Zweck einer Gap-Analyse . . . 281
11. 2 . . . Mit Soll-Vorgaben eine Gap-Analyse durchführen . . . 282
11. 3 . . . Ohne Soll-Vorgaben eine Gap-Analyse durchführen . . . 293
11. 4 . . . Vorbereitung der Gap-Analyse . . . 303
11. 5 . . . Durchführung einer Gap-Analyse . . . 309
11. 6 . . . Auswertung einer Gap-Analyse . . . 314
11. 7 . . . Reporting an den Prozess-Owner (Sponsor, BCM etc.) . . . 316
11. 8 . . . Weitere Vorgehensweise und Übungen . . . 318
12. IT-Notfallvorsorgemaßnahmen (inklusive Tracking) . . . 321
12. 1 . . . Allgemeines Vorgehen . . . 321
12. 2 . . . IT-Notfallvorsorgemaßnahmenverfolgung aufbauen . . . 323
12. 3 . . . Weitere Vorgehensweise und Übungen . . . 328
13. IT-Risikomanagement (RA, BA) . . . 331
13. 1 . . . Auf BCM- oder ISM-Ergebnisse verweisen . . . 333
13. 2 . . . Als ITSCM eine Bedrohungsanalyse (BA) durchführen? . . . 333
13. 3 . . . Was macht man nun mit den ganzen Ergebnissen? . . . 335
13. 4 . . . Allgemeines Risikomanagement (RM) . . . 335
13. 5 . . . Praxisbeispiel: Eine Risikomeldung . . . 337
13. 6 . . . Weitere Vorgehensweise und Übungen . . . 338
14. Worst-Case-Szenarien (WCS) . . . 341
14. 1 . . . Was sind Worst-Case-Szenarien? . . . 342
14. 2 . . . Beispiele für Worst-Case-Szenarien . . . 343
14. 3 . . . Alternativen zu Worst-Case-Szenarien (Ansatz und Ideen) . . . 352
14. 4 . . . Weitere Vorgehensweise und Übungen . . . 354
15. Übungen und Tests . . . 355
15. 1 . . . Strategie, Konzept und Plan: Was wird wann wie getestet? . . . 357
15. 2 . . . Psychologische Aspekte und Soft-Skills beachten . . . 361
15. 3 . . . Anforderungen an Übungen und Tests . . . 361
15. 4 . . . Test-Arten definieren . . . 368
15. 5 . . . Erhöhung der Resilienz durch Übungen und Tests . . . 373
15. 6 . . . Weitere Vorgehensweise und Übungen . . . 374
16. Meldetechniken und Alarmierungsverfahren (Wege und Kanäle) . . . 375
16. 1 . . . Welche Alarmierungsverfahren gibt es? . . . 376
16. 2 . . . Welche zusätzlichen Alarmierungsverfahren sollte es geben? . . . 377
16. 3 . . . Wer muss wie wann und worüber informiert werden? . . . 377
16. 4 . . . Weitere Vorgehensweise und Übungen . . . 377
17. Notfallvorsorge durch Resilienz . . . 379
17. 1 . . . Technische Resilienz herstellen -- aber wie? . . . 381
17. 2 . . . Nicht technische Resilienz . . . 404
17. 3 . . . Weitere Vorgehensweise und Übungen . . . 411
18. Interne und externe (Notfall-)Kommunikation . . . 413
18. 1 . . . Wer soll kommunizieren? . . . 413
18. 2 . . . Strategien für die Kommunikation . . . 414
18. 3 . . . Kommunikationsrollen beschreiben . . . 416
18. 4 . . . Kollaborationstools und Kommunikationstools (inklusive Ausweichtools) festlegen . . . 416
18. 5 . . . Kommunikationswege und Kanäle beschreiben (inklusive Ausweichmöglichkeiten) . . . 420
18. 6 . . . Notfallkommunikation . . . 421
18. 7 . . . Notfallalarmierungstools . . . 424
18. 8 . . . Weitere Vorgehensweise und Übungen . . . 426
19. Das ITSCM-Handbuch erstellen . . . 427
19. 1 . . . Die Vor- und Nachteile eines ITSCM-Handbuches . . . 429
19. 2 . . . Inhalte und Aufbau eines ITSCM-Handbuchs . . . 431
19. 3 . . . Notfallbackup des ITSCM-Handbuches . . . 448
19. 4 . . . Weitere Vorgehensweise . . . 448
20. Das Tool . . . 451
20. 1 . . . Das Tool den Prozessen anpassen oder die Prozesse dem Tool? . . . 451
20. 2 . . . Warum brauchen Sie ein Tool? . . . 453
20. 3 . . . SaaS oder On Prem? . . . 456
20. 4 . . . Einführung eines Tools . . . 458
20. 5 . . . Betrieb eines Tools . . . 463
20. 6 . . . Exit-Strategie festlegen . . . 464
20. 7 . . . Einige Anbieter . . . 464
20. 8 . . . Weitere Vorgehensweise und Übungen . . . 468
21. Dokumentationen . . . 469
21. 1 . . . Notfallbackup der wichtigsten ITSCM-Dokumente . . . 472
21. 2 . . . Dokument-Arten . . . 474
21. 3 . . . Kontinuierlicher Verbesserungsprozess (KVP) für die Dokumentation . . . 479
21. 4 . . . Abhängigkeit der Dokumente (Dokumentenpyramide) . . . 479
21. 5 . . . Die Dokumentenablage (Wo? , Wer? , Aktualität?) . . . 482
21. 6 . . . Reporting an Prozess-Owner, Prozess-Sponsor, BCM und ISM . . . 484
21. 7 . . . Weitere Vorgehensweise und Übungen . . . 484
22. Datenschutz und Datensicherheit . . . 487
22. 1 . . . Das Sicherheitskonzept . . . 487
22. 2 . . . Archivierung und Aufbewahrungsfristen . . . 488
22. 3 . . . Weitere Vorgehensweise und Übungen . . . 489
23. Outsourcing eines ITSCM . . . 491
23. 1 . . . Vorteile . . . 492
23. 2 . . . Nachteile . . . 493
23. 3 . . . Ist Outsourcing eine Alternative? . . . 495
23. 4 . . . Weitere Vorgehensweise und Übungen . . . 496
24. Stolpersteine bei Einführung und Betrieb eines ITSCM . . . 499
24. 1 . . . Falsche Erwartungshaltungen . . . 499
24. 2 . . . Zu viele parallele Aufgaben . . . 500
24. 3 . . . Unklarer Auftrag bzw. unklare Aufgaben . . . 500
24. 4 . . . Doppelrollen . . . 501
24. 5 . . . Nebenbei arbeiten . . . 502
24. 6 . . . Fehlendes Commitment . . . 503
24. 7 . . . Die häufigsten Probleme im ITSCM . . . 503
24. 8 . . . Weitere Vorgehensweise und Übungen . . . 505
25. Qualitätsmessung und Controlling . . . 507
25. 1 . . . Self-Assessment . . . 507
25. 2 . . . Kennzahlen-Erhebung (KPIs) . . . 509
25. 3 . . . Metriken . . . 511
25. 4 . . . Reifegradmodell . . . 511
25. 5 . . . Audit . . . 512
25. 6 . . . Finaler Check-up . . . 516
25. 7 . . . Weitere Vorgehensweise und Übungen . . . 520
26. Cloud-Systeme im ITSCM . . . 523
26. 1 . . . Resilienz durch die Cloud . . . 524
26. 2 . . . Die Aufgaben des ITSCM . . . 527
26. 3 . . . Cloud-Systeme überwachen . . . 529
26. 4 . . . Weitere Vorgehensweise und Übungen . . . 531
27. Ausblick: To the future . . . . . . 533
27. 1 . . . Trends . . . 534
27. 2 . . . Megatrends . . . 538
27. 3 . . . ITSCM und KI . . . 542
27. 4 . . . Weitere Vorgehensweise und Übungen . . . 551
28. Schlussworte: Danke, und bis bald! . . . 553
28. 1 . . . Danksagungen . . . 553
28. 2 . . . Feedback . . . 556
28. 3 . . . Fazit . . . 556
28. 4 . . . Bis bald! . . . 558
Anhang . . . 561
A . . . Wichtige Links . . . 561
B . . . Glossar . . . 563
C . . . Lösungen zu den Übungsaufgaben . . . 607
Index . . . 611
