Prozesse und Zuständigkeiten definieren
Grundsätzlich geht es bei IT Governance um das gegenseitige Verstehen: Einerseits die IT aus der Perspektive der Unternehmensprozesse. Andererseits die Bedeutung der IT für die Erreichung der Unternehmensziele. Dabei gilt es zunächst, ganz allgemeine Fragen zu beantworten. Beispielsweise: Passt die IT sinnvoll und optimal zur aktuellen Unternehmensstrategie? Sollte die IT inhouse betrieben oder ganz oder in Teilen ausgelagert werden? Werden Datenschutzbestimmungen durchgängig eingehalten? Wie kann die IT Unternehmensprozesse optimieren?
Im Anschluss definiert man Prozesse, die die Umsetzung der IT Governance innerhalb des Unternehmens regeln. Sie umfassen im Rahmen des Risikomanagements auch konkrete Maßnahmen zur Risikominimierung. Diese sollen sicherstellen, dass die IT beispielsweise durch Unterbrechungen oder Ausfälle nicht die Unternehmensprozesse nachhaltig beeinträchtigt. Die Umsetzung der IT-Governance-Prozesse ist dann meist die Aufgabe des IT-Managements im Unternehmen.
Zusammenarbeit mit externen Partnern einbeziehen
Heute laufen IT-Systeme zunehmend in der Cloud. Das heißt, sie sind nicht mehr komplett unter der physischen Kontrolle des einzelnen Unternehmens. Das hat in den letzten Jahren wesentlich dazu beigetragen, die strategischen Unternehmensziele vieler Firmen zu optimieren. Denn sie konnten durch die Auslagerung der internen Systeme in die Cloud ihre IT-Kosten nachhaltig senken und ihre Effizienz deutlich steigern.
Durch die Zusammenarbeit mit externen Cloud-Providern wie plusserver können Unternehmen sich heute zunehmend auf ihre Kernkompetenzen fokussieren. Das hilft ihnen dabei, agiler und wettbewerbsfähiger zu sein. Doch es bedeutet nicht, dass die IT Governance keine Rolle mehr spielt. Deshalb ist es von Bedeutung, dass externe Partner hier einbezogen werden und diese unterstützen.
Gesetzliche und regulatorische Vorschriften einhalten
IT-Systeme zählen heute mehr denn je zur kritischen Infrastruktur in Unternehmen. Deshalb gibt es inzwischen eine Reihe von gesetzlichen Vorschriften, welche Unternehmen im Rahmen der IT Governance einhalten müssen. Die Rahmenbedingungen, basierend auf Gesetzen, behördlichen Vorgaben, Verordnungen, Richtlinien und Standards, sind mittlerweile sehr komplex.
Eine Reihe von Regelwerken und Frameworks soll daher bei der Umsetzung und Einhaltung der diversen IT-Governance-Vorgaben unterstützen. Unternehmen und externe Dienstleister können sich entsprechend von unabhängigen Institutionen zertifizieren lassen.
Die wichtigsten IT Governance Frameworks
ISO/IEC 38500:2015
Hierbei handelt es sich um einen internationalen Standard für die Governance der Informationstechnologie. Er wurde gemeinsam von der Internationalen Organisation für Normung und der Internationalen Elektrotechnischen Kommission veröffentlicht. ISO/IEC 38500: 2015 enthält Leitprinzipien, die einen effektiven, effizienten und akzeptablen Einsatz von Informationstechnologie (IT) in Organisationen fördern soll. Dieser Standard definiert IT-Governance als essentiellen Bestandteil der Geschäftsprozesse in Unternehmen und sieht die Verantwortung hierfür der Unternehmensführung.
COBIT
COBIT gilt als eines der wichtigsten Frameworks für die Umsetzung der IT-Governance. Es wurde von der Information Systems Audit and Control Association (ISACA) erstellt. COBIT umfasst ein Prozessmodell mit generell anwendbaren und international akzeptierten IT-prozessbezogenen Anforderungen. Das Framework definiert dabei nicht vorrangig wie diese Anforderungen umzusetzen sind, sondern vielmehr was umzusetzen ist.
Die jeweiligen Prozesspraktiken sind in COBIT nach einem Modell strukturiert, das alle IT-Funktionen umfasst. Insgesamt werden 40 Governance- und Managementziele unterschieden. Sie lassen sich alle den fünf grundlegenden Prinzipien für das Management und die Governance der IT im Unternehmen zuordnen.
Diese fünf Grundprinzipien sind:
- die Erfüllung der Anforderungen der einzelnen Anspruchsgruppen
- die Abdeckung des gesamten Unternehmensbereichs
- die Anwendung eines einheitlichen und integrierten Rahmenwerks
- die Umsetzung eines ganzheitlichen Ansatzes
- die Abgrenzung zwischen Governance und Management
Letztes Jahr wurde mit COBIT 2019 der Nachfolger der bis dahin gültigen Version COBIT 5 eingeführt. Der Schwerpunkt der Weiterentwicklung lag besonders darin, das COBIT 5 Framework vor allem für mittelständische Unternehmen leichter adaptierbar zu machen. Zudem flossen aktuelle Themen wie DevOps und Agilität sowie Cloud in die Weiterentwicklung mit ein.
ISO /IEC 20000
Dieser Standard beschäftigt sich mit der Umsetzung des IT-Service-Management. Der Standard dient sozusagen als messbares Qualitätskriterium für das IT-Service-Management. ISO/IEC 20000 spezifiziert dazu die notwendigen Mindestanforderungen an Prozesse, die eine Organisation umsetzen muss. Erst dann kann die Organisation IT-Services in definierter Qualität bereitstellen und managen. Das Regelwerk dahinter besteht aus mehreren Teilen, die beiden wichtigsten sind:
- ISO/IEC 20000-1 zur Definition der Anforderungen, die ein (IT-)Service-Managementsystem erfüllen muss, um zertifiziert werden zu können.
- ISO/IEC 20000-2 für Best Practices, die den Unternehmen bei der Umsetzung helfen.
ITIL
TOGAF
ISO/IEC-27000-Reihe
Die ISO/IEC-27000-Reihe bezeichnet mehrere Standards, welche die Informationssicherheit in Unternehmen regeln. Am bekanntesten ist ISO/IEC 27001. Darin wird die Bereitstellung von Anforderungen für ein Informations-Sicherheits-Management-System (ISMS) geregelt.
IT-Grundschutz-Kataloge
Speziell in Deutschland gibt es noch die IT-Grundschutz-Kataloge. Hierbei handelt es sich um eine Sammlung von Dokumenten des deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI). Sie sollen der Erkennung und Bekämpfung sicherheitsrelevanter Schwachstellen in IT-Umgebungen dienen. Für Unternehmen und Behörden bilden die IT-Grundschutz-Kataloge die Basis zum Erlangen einer entsprechenden Zertifizierung. Die Zertifizierung bestätigt einem Unternehmen, geeignete Maßnahmen zur Absicherung seiner IT-Systeme gegen IT-Sicherheitsbedrohungen unternommen zu haben.
Über den Autor
Erfahren Sie mehr
Blog
Lösungsansätze für Ihre selbstbestimmte Modernisierung mit der Cloud
Blog
Sichere Cloud: Wirksamkeit des BSI C5 bestätigt
Download
Lösungsansätze für Datenhoheit in der Cloud
Lösungen
Cloud-Migraton strategisch angehen
Unternehmen
Zertifikate und Testate von plusserver
Warum plusserver
Cloud für den Mittelstand
Haben Sie noch Fragen?
Senden Sie mir einfach eine Nachricht mit Ihrem Anliegen und ich melde mich schnellstmöglich zurück.
