IT-Service-Management mit FitSM (eBook)

Anselm Rohrer ist seit 2003 Geschäftsführer der consectra GmbH und als Lehrbeauftragter an mehreren Hochschulen tätig. Seine thematischen Schwerpunkte bilden pragmatische Ansätze im IT-Service-Management und in der Informationssicherheit sowie bei der Kopplung beider Ansätze. Er hat ein Diplom in Wirtschaftsinformatik und einen Master in Praktischer Informatik, ist zertifizierter ITIL-Expert, FitSM-Expert und Auditor für ISO/IEC 20000-1 und ISO/IEC 27001. Dierk Söllner ist seit 1992 in verschiedenen Positionen bei IT-Dienstleistern und IT-Beratungsunternehmen aktiv. Seit 2011 konzentriert er sich als Berater, Trainer und Coach auf die Themen IT-Service-Management und agile Organisationsentwicklung. Er ist als Trainer für Scrum beim TÜV Süd Examination Institute und für DevOps bei der DevOps Agile Skills Association (DASA) akkreditiert. Im IT-Service-Management ist er als Trainer für ITIL und FitSM tätig, hat einen Lehrauftrag zum agilen IT-Service- Management an der NORDAKADEMIE Hamburg und unterstützt aktiv die Arbeitsgruppe "FitSM" im ITEMO e.V. Seit Jahren ist er im Organisationsteam des Regionalforums Niedersachsen des itSMF aktiv, leitet das Fachforum "itSMPe – Personalentwicklung" und hat die Geschichtensammlung "Perspektivwechsel im IT Service Management" herausgegeben.

Geleitwort 5
Vorwort 7
Motivation für das Buch 7
Zielsetzung 8
Struktur 9
Zielgruppen 9
Danksagungen 10
Kontakt 11
1 Einführung 21
1.1 Historie von FitSM 22
1.2 Der Aufbau von FitSM 24
FitSM-Standard/Kern 24
Einführungshilfen 24
Abb. 1–1 FitSM – Aufbau und Bestandteile 25
1.3 FitSM als leichtgewichtiger Ansatz 26
Service-Management-System 26
Praktikable Ermittlung des Ist-Zustandes 26
Einfache Struktur von FitSM 26
Anwendungsbereich 27
Unternehmensorganisation und -größe 27
Anwendbarkeit 27
Zentrale Anforderungen 28
2 Grundlegende Konzepte 29
2.1 Wichtige Begriffe 29
2.1.1 IT-Service-Management 29
2.1.2 Service-Management-System (SMS) 29
Abb. 2–1 Zusammenhang zwischen Service-Management-System und Prozessen 30
2.1.3 Service-Management-Plan 30
2.1.4 IT-Service, Service-Provider und Service Level 30
Abb. 2–2 Nutzen eines Service 31
2.2 Prozessmanagement 32
Abb. 2–3 Ebenen im Prozessmanagement 33
Abb. 2–4 FitSM-Prozesse im Überblick 34
2.3 Einführung in die Beispielfirma Bikes & more
Abb. 2–5 Organigramm der IT-Abteilung von Bikes & more
2.4 Das FitSM-Rollenkonzept 37
Abb. 2–6 Zuordnung der Rollen in FitSM 38
2.4.1 Rollen im Service-Management-System 38
2.4.2 Rollen im Service 39
2.4.3 Rollen im Prozess 39
Abb. 2–7 Rollenmodell gemäß FitSM-3 41
2.4.4 Das RACI-Modell 41
2.4.5 Anwendung des Rollenkonzeptes bei Bikes & more
3 Allgemeine Anforderungen 45
3.1 GR1 – Verpflichtung und Verantwortung des Topmanagements 47
3.1.1 GR1.1 – Nachweis des Engagements des Topmanagements 47
3.1.2 GR1.2 – Inhalte einer Service-Management-Richtlinie 48
3.2 GR2 – Art und Umfang der Dokumentation 49
3.2.1 GR2.1 – Umfang und Inhalt der Dokumentation des Service-Management-Systems 50
3.2.2 GR2.2 – Umfang und Inhalt der Prozessdokumentation 50
3.2.3 GR2.3 – Dokumentation der Prozessergebnisse 51
3.2.4 GR2.4 – Management der Dokumentation 52
3.3 GR3 – Definition des Anwendungsbereichs des Service-Managements 53
3.4 Kontinuierliche Verbesserung (Plan-Do-Check-Act) 55
Abb. 3–1 Erhöhung des Reifegrades über den PDCA-Zyklus 55
3.4.1 GR4 – Planung des Service-Managements 56
GR4.1 – Pflege eines Service-Management-Plans 57
GR4.2 – Inhalte des Service-Management-Plans 58
GR4.3 – Zusammenwirken aller Pläne 59
3.4.2 GR5 – Implementierung des Service-Managements 59
GR5.1– Umsetzung des Service-Management-Plans 60
GR5.2 – Praktische Umsetzung der Prozesse 60
3.4.3 GR6 – Überwachen und Überprüfen des Service-Managements 61
GR6.1 – Effektivität und Leistungsfähigkeit des Service-Management-Systems 61
GR6.2 – Beurteilung und Prüfung des Service-Management-Systems 62
3.4.4 GR7 – Kontinuierliche Verbesserung des Service-Managements 62
GR7.1 – Behandlung von Abweichungen und Nichterfüllung der Ziele 63
GR7.2 – Planung und Umsetzung von Verbesserung 63
3.5 Umsetzung der allgemeinen Anforderungen bei Bikes & more
SMS-Richtlinie 64
SMS-Planung 65
Reviewplan 66
4 Anbieten und Vereinbaren 67
Abb. 4–1 FitSM-Prozess »Anbieten und Vereinbaren« 67
4.1 PR7 – Customer Relationship Management 68
4.1.1 Prozessbeschreibung 68
Abb. 4–2 Aktivitäten im Prozess Customer Relationship Management 70
4.1.2 Rollen im Prozess 70
4.1.3 Anforderungen 71
PR7.1 – Identifikation der Kunden 71
PR7.2 – Regelung der Kundenbetreuung 72
PR7.3 – Kommunikation mit dem Kunden 72
PR7.4 – Service-Review mit den Kunden 73
PR7.5 – Beschwerdemanagement 74
PR7.6 – Verwaltung der Kundenzufriedenheit 74
4.1.4 Beispielfirma Bikes & more
Die Rollenverteilung 75
Kunde 75
Service-Review-Meetings 76
4.2 PR1 – Service Portfolio Management 76
4.2.1 Prozessbeschreibung 76
Abb. 4–3 Vom Serviceportfolio zum Kunden 76
Abb. 4–4 Aktivitäten im Prozess Service Portfolio Management 78
4.2.2 Rollen im Prozess 78
4.2.3 Anforderungen 79
PR1.1 – Pflege eines Serviceportfolios 79
PR1.2 – Planung des Designs und der Transition 80
PR1.3 – Inhalte der Planung 80
PR1.4 – Identifikation der Organisation zur Serviceerbringung 81
4.2.4 Beispielfirma Bikes & more
Die Rollenverteilung 82
Dokumente 82
4.3 PR2 – Service Level Management 82
4.3.1 Prozessbeschreibung 83
Abb. 4–5 Servicevereinbarungen und deren Beziehungen 85
Abb. 4–6 Aktivitäten im Prozess Service Level Management 86
4.3.2 Rollen im Prozess 86
4.3.3 Anforderungen 87
PR2.1 – Pflege eines Servicekataloges 87
PR2.2 – Vereinbarung von Service Level Agreements 88
PR2.3 – Überprüfung der Service Level Agreements 88
PR2.4 – Bewertung der Zielerreichung der SLAs 89
PR2.5 – Absicherung durch OLAs und UAs 89
PR2.6 – Überprüfung der OLAs und UAs 90
PR2.7 – Bewertung der Zielerreichung der OLAs und UAs) 90
4.3.4 Beispielfirma Bikes & more
Die Rollenverteilung 91
Servicekatalog 91
Service Level Agreements 92
Operational Level Agreements (OLAs) 92
Underpinning Agreements (UAs) 93
Überprüfung von SLAs, OLAs und UAs 93
5 Planen und Sicherstellen 95
Abb. 5–1 FitSM-Prozess »Planen und Sicherstellen« 95
5.1 PR8 – Supplier Relationship Management 96
5.1.1 Prozessbeschreibung 96
Abb. 5–2 Aktivitäten im Prozess Supplier Management 96
5.1.2 Rollen im Prozess 97
5.1.3 Anforderungen 97
PR8.1 – Identifikation der Zulieferer 97
PR8.2 – Management der Beziehungen 98
PR8.3 – Kommunikation mit den Zulieferern 98
PR8.4 – Überwachung der Zulieferer 99
5.1.4 Beispielfirma Bikes & more
Die Rollenverteilung 100
Einrichtung einer Lieferantendatenbank 100
5.2 PR4 – Service Availability & Continuity Management
5.2.1 Prozessbeschreibung 101
Abb. 5–3 Risikobewertung anhand von Risikoklassen 103
Abb. 5–4 Aktivitäten im Prozess Service Availability & Continuity Management
5.2.2 Rollen im Prozess 104
5.2.3 Anforderungen 105
PR4.1 – Berücksichtigung der SLAs 106
PR4.2 – Erstellung von Plänen 106
PR4.3 – Risikomanagement für Verfügbarkeit und Kontinuität 107
PR4.4 – Überwachung der Verfügbarkeit 107
5.2.4 Beispielfirma Bikes & more
Die Rollenverteilung 108
Anforderungen an die Verfügbarkeit 108
Messen und Berichten der Verfügbarkeit 108
Anforderungen an die Kontinuität 109
Risikoidentifikation und -behandlung 109
5.3 PR5 – Capacity Management 110
5.3.1 Prozessbeschreibung 110
Abb. 5–5 Aktivitäten im Prozess Capacity Management 111
5.3.2 Rollen im Prozess 111
5.3.3 Anforderungen 112
PR5.1 – Berücksichtigung der SLAs 113
PR5.2 – Erstellung von Kapazitätsplänen 113
PR5.3 – Inhalte der Kapazitätsplanung 114
PR5.4 – Überwachung der Kapazitäten 114
5.3.4 Beispielfirma Bikes & more
Die Rollenverteilung 115
Identifikation der Kapazitätsanforderungen 115
Überwachung der Kapazitätsauslastung 116
Erstellung von Kapazitätsplänen 116
6 Überwachen und Ausrollen 117
Abb. 6–1 FitSM-Prozess »Überwachen und Ausrollen« 117
6.1 PR13 – Release & Deployment Management
6.1.1 Prozessbeschreibung 118
Abb. 6–2 Aktivitäten im Prozess Release & Deployment Management
6.1.2 Rollen im Prozess 120
6.1.3 Anforderungen 120
PR13.1 – Release-Richtlinie 121
PR13.2 – Planung der Produktivsetzung 121
PR13.3 – Test der Releases 122
PR13.4 – Erstellung und Überprüfung von Abnahmekriterien 122
PR13.5 – Fehlerkorrekturpläne 122
PR13.6 – Überprüfung der Releases 123
6.1.4 Beispielfirma Bikes & more
Die Rollenverteilung 123
Die Release-Richtlinie 124
6.2 PIR12 – Change Management 125
6.2.1 Prozessbeschreibung 125
Abb. 6–3 Aktivitäten im Prozess Change Management 128
6.2.2 Rollen im Prozess 128
6.2.3 Anforderungen 130
PR12.1 – Erfassung und Klassifikation der Änderungen 130
PR12.2 – Beurteilung und Genehmigung von Änderungen 131
PR12.3 – Post Implementation Review 131
PR12.4 – Notfall-Changes 132
PR12.5 – Bewertung von Änderungsanträgen 133
PR12.6 – Zeitplan geplanter Änderungen 133
PR12.7 – Fehlerkorrekturpläne 134
6.2.4 Beispielfirma Bikes & more
Die Rollenverteilung 134
Abgrenzung der relevanten Infrastruktur 135
Der Änderungsantrag 135
Die Genehmigung 135
Durchführungsplanung 136
Fehlerkorrekturplanung 136
Post Implementation Review 136
Der Notfall-Change 137
Der Änderungskalender 137
Standard-Changes 137
6.3 PR11 – Configuration Management 138
6.3.1 Prozessbeschreibung 138
Abb. 6–4 Beispielhafter Ausschnitt einer CMDB (vom Service zum Configuration Item) 139
Kritische Erfolgsfaktoren 140
CMDB: physische und virtuelle Ausgestaltung 140
Abb. 6–5 Aktivitäten im Prozess Configuration Management 141
6.3.2 Rollen im Prozess 141
6.3.3 Anforderungen 142
PR11.1 – Definition von Typen für Konfigurationselemente 142
PR11.2 – Detaillierungsgrad der Dokumentation 143
PR11.3 – Dokumentation in einer CMDB 143
PR11.4 – Überwachung von Änderungen 144
PR11.5 – Überprüfung der CMDB-Inhalte 145
PR11.6 – Configuration Baseline 145
6.3.4 Beispielfirma Bikes & more
Die Rollenverteilung 146
Festlegung der CIs und ihrer Beziehungen 146
Aufbau der CMDB 147
Pflege der CMDB 147
Regelmäßige Prüfung der Aktualität 148
Erstellung einer Configuration Baseline 148
7 Beseitigen und Vorbeugen 149
Abb. 7–1 FitSM-Prozess »Beseitigen und Vorbeugen« 149
7.1 PR9 – Incident & Service Request Management
7.1.1 Prozessbeschreibung 150
Aufzeichnung 151
Klassifikation (Klassifizierung, Classification) 151
Abb. 7–2 Ermittlung der Priorität aus Auswirkung und Dringlichkeit 153
Analyse 153
Gegebenenfalls Eskalation 153
Wiederherstellung des Service 154
Abschluss 154
Major Incident 154
Transparenz 154
Abb. 7–3 Aktivitäten im Prozess Incident & Service Request Management
7.1.2 Rollen im Prozess 155
7.1.3 Anforderungen 156
PR9.1 – Erfassung und Klassifikation von Incidents und Service-Requests 157
PR9.2 – Priorisierung von Incidents und Service-Requests 157
PR9.3 – Eskalation von Incidents und Service-Requests 158
PR9.4 – Abschluss von Incidents und Service-Requests 159
PR9.5 – Unterstützung des Supportpersonals 159
PR9.6 – Anwenderinformation 160
PR9.7 – Behandlung von schwerwiegenden Incidents 161
7.1.4 Beispielfirma Bikes & more
Die Rollenverteilung 161
Die Erstellung von Tickets 162
Klassifikation (Kaegorisierung und Priorisierung) 162
Priorität 1 163
Priorität 2 163
Priorität 3 163
Major Incident 163
Analyse und Wiederherstellung 164
Eskalation 164
Abschluss 164
Weboberfläche für Anwender 165
7.2 PR10 – Problem Management 165
7.2.1 Prozessbeschreibung 165
Prozessschritte 166
Abb. 7–4 Ablauf des Problem Management anhand eines Beispiels 167
Ein praktisches Beispiel zur Veranschaulichung 167
Eine Datenbank für bekannte Fehler (Known Error Database, KEDB) 168
Abb. 7–5 Aktivitäten im Prozess Problem Management 169
7.2.2 Rollen im Prozess 169
7.2.3 Anforderungen 170
PR10.1 – Identifikation von Problemen 170
PR10.2 – Behandlung von Problemen 171
PR10.3 – Erfassung von bekannten Fehlern 171
PR10.4 – Dokumentation von bekannten Fehlern 172
7.2.4 Beispielfirma Bikes & more
Die Rollenverteilung 172
Regelmäßige Analyse der Incidents 173
Der Prozessablauf 173
8 Berichten und Verbessern 175
Abb. 8–1 FitSM-Prozess »Berichten und Verbessern« 175
8.1 PR3 – Service Reporting Management 176
8.1.1 Prozessbeschreibung 176
Abb. 8–2 Aktivitäten im Prozess Service Reporting Management 177
8.1.2 Rollen im Prozess 177
8.1.3 Anforderungen 178
PR3.1 – Spezifikation der Serviceberichte 178
PR3.2 – Inhalte der Servicespezifikationen 179
PR3.3 – Erstellung der Serviceberichte 180
8.1.4 Beispielfirma Bikes & more
Die Rollenverteilung 180
Ermittlung des Ist-Zustandes 181
Zukünftige Berichtserstellung 181
Aufbau und Frequenz der Serviceberichte 181
8.2 PR14 – Continual Service Improvement Management 182
8.2.1 Prozessbeschreibung 182
Abb. 8–3 Aktivitäten im Prozess Continual Service Improvement 184
8.2.2 Rollen im Prozess 184
8.2.3 Anforderungen 184
PR14.1 – Identifikation und Erfassung von Verbesserungspotenzialen 185
PR14.2 – Bewertung und Genehmigung von Verbesserungspotenzialen 185
8.2.4 Beispielfirma Bikes & more
Die Rollenverteilung 186
Verbesserung des Service-Management-Systems 186
Verbesserung der Prozesse und deren Aktivitäten 186
Verbesserung der Services 187
Kontrolle der Regelmäßigkeit 187
9 Schützen und Absichern 189
Abb. 9–1 FitSM-Prozess »Schützen und Absichern« 189
9.1 PR6 – Information Security Management 190
9.1.1 Prozessbeschreibung 190
Abb. 9–2 Aktivitäten im Prozess Information Security Management 193
9.1.2 Rollen im Prozess 193
9.1.3 Anforderungen 195
PR6.1 – Richtlinien zur Informationssicherheit 195
PR6.2 – Umsetzung von Maßnahmen zur Informationssicherheit 196
PR6.3 – Überprüfung der Richtlinien und Maßnahmen 196
PR6.4 – Behandlung von Ereignissen und Vorfällen 197
PR6.5 – Zugangs- und Zugriffskontrolle 198
9.1.4 Beispielfirma Bikes & more
Die Rollenverteilung 198
Erstellung einer Leitlinie 199
Identifikation und Umsetzung von Maßnahmen (Controls) 199
Erstellung von Richtlinien 199
Awareness 199
Verwaltung von Zugriffsrechten 200
Umgang mit sicherheitsrelevanten Ereignissen und Vorfällen 200
Regelmäßige Überprüfung 200
10 Die praktische Umsetzung 201
10.1 Der Nutzen von IT-Service-Management 201
Gleichbleibende Erzielung gewünschter Ergebnisse (Output) 201
Optimierung der Zielerreichung (Effektivität) 202
Optimierung des Mitteleinsatzes (Effizienz) 202
Klare Abgrenzung von Verantwortlichkeiten 202
Verbesserung der Zusammenarbeit 203
Einheitliche Begrifflichkeiten 203
Gelebte Informationssicherheit 203
Prozesse passen zu Werkzeugen 203
Transparenz gegenüber dem Controlling 204
Klare Absprachen mit Kunden 204
Insourcing/Outsourcing 204
Bessere Reputation 205
10.2 Potenzielle Risiken 205
Zu viel Bürokratie 205
Mangelnde Werkzeugnutzung aufgrund hoher Komplexität 205
Zu viele verschiedene Werkzeuge 205
Zu viele Prozesse werden zeitgleich eingeführt 206
Mangelnde Qualitätssicherung 206
IT-Mitarbeiter sträuben sich gegen Veränderungen 206
Prozesse sind zu detailliert 207
Prozesse und deren Aktivitäten wurden nicht verstanden 207
Prozesse und deren Aktivitäten werden bewusst umgangen 208
Management bekennt sich nicht zum IT-Service-Management 208
Zu viele neue Begrifflichkeiten 208
Trau keiner Statistik … 208
10.3 Vorgehensweise bei der Einführung 209
Anwendungsbereich definieren und Verantwortlichkeiten zuweisen 209
Rahmen für Dokumente und Gestaltung festlegen 210
IT-Mitarbeiter einbeziehen 210
Identifikation der IT-Services 212
Ist-Aufnahme gelebter Abläufe 213
Identifikation der einzuführenden Prozesse 213
Die Rollen Prozessverantwortlicher und Prozessmanager zuweisen 215
Um- bzw. Neugestaltung der einzelnen Prozesse 216
Werkzeug auswählen 217
Schulung 219
Implementierung der einzelnen Prozesse 220
Langfristige Qualitätssicherung 221
10.4 Föderierte IT-Infrastrukturen 222
Abb. 10–1 Mögliche Strukturen in Föderationen 223
11 Kontinuierliche Verbesserung und Auditierung 225
11.1 Internes Audit – Ermittlung des Reifegrades 226
11.2 Externes Audit 227
11.3 Zertifizierung durch ein externes Audit 228
12 Verwandte Standards und Rahmenwerke 231
Abb. 12–1 Verwandte Standards und Rahmenwerke im IT-Service-Management 231
12.1 Überblick ausgewählter Standards und Rahmenwerke 231
12.2 IT-Service-Management 233
12.2.1 ISO/IEC 20000 233
12.2.2 ITIL® 235
12.2.3 COBIT 235
12.3 Information Security Management 236
12.3.1 ISO/IEC 27000 ff. 236
Anhang der ISO/IEC 27001 237
12.3.2 ISIS12 239
12.4 Qualitätssicherung 240
12.4.1 ISO 9000 ff. 240
DIN EN ISO 9000 »Qualitätsmanagementsysteme – Grundlagen und Begriffe« 241
DIN EN ISO 9001 »Qualitätsmanagementsysteme – Anforderungen« 241
DIN EN ISO 9004 »Leiten und Lenken für den nachhaltigen Erfolg einer Organisation – Ein Qualitätsmanagementansatz« 242
12.4.2 CMMI 242
12.4.3 ISO/IEC 15504 243
12.4.4 Auditierung (EN ISO 19011, EN ISO/IEC 17021) 244
13 FitSM-Personenzertifizierungen 245
Abb. 13–1 Qualifizierungsschema von FitSM 245
13.1 Die FitSM-Foundation-Prüfung 246
13.1.1 Prüfungsanforderungen und -ablauf 246
13.1.2 Musterprüfung Foundation 247
13.1.3 Lösungsschlüssel Foundation 252
13.2 Die FitSM-Advanced-Prüfungen 255
13.2.1 Prüfungsanforderungen und -ablauf 255
13.2.2 Musterprüfung »Advanced Service Planning and Delivery« 256
13.2.3 Lösungsschlüssel »Advanced Service Planning and Delivery« 268
13.2.4 Musterprüfung »Advanced Service Operation and Control« 272
13.2.5 Lösungsschlüssel »Advanced Service Operation and Control« 283
Anhang 287
A Glossar 289
B Abbildungsverzeichnis 301
C Quellen und weiterführende Informationen 303
Index 305
www.dpunkt.de 0