Materialien zum Buch ... 19

1. Einführung: Ihr Weg durch dieses Buch ... 21

1.1 ... Besonderheiten dieses Ratgebers ... 24

1.2 ... Ich möchte mich kurz vorstellen: Wer schreibt dieses Buch? ... 25

1.3 ... Was Sie schon wissen sollten und was Sie lernen werden ... 27

2. Motivation, Vorgaben und Anforderungen an ein ITSCM ... 29

2.1 ... Was ist ITSCM? ... 32

2.2 ... Ziele und Zweck eines ITSCM: Der Nutzen ... 34

2.3 ... Was ist kein ITSCM? ... 40

2.4 ... ITSCM und ITSCMS ... 44

2.5 ... Der Zeitfaktor für die Umsetzung eines ITSCM ... 45

2.6 ... Anforderungen und Erwartungen an ein ITSCM ... 45

2.7 ... Regularien und Vorgaben aus Normen und Gesetzen ... 46

2.8 ... Meldepflichten ... 53

2.9 ... Zertifizierung im ITSCM ... 54

2.10 ... Woran können Sie sich grundsätzlich orientieren? ... 55

2.11 ... Weitere Vorgehensweise und Übungen ... 56

3. Auf in die Praxis: Wie wird das ITSCM umgesetzt? ... 57

3.1 ... Offizielle Benennung einer verantwortlichen Person ... 57

3.2 ... Aufbau und Schulung des verantwortlichen Mitarbeiters ... 59

3.3 ... Wo sollte das ITSCM organisatorisch verortet werden? ... 71

3.4 ... Weitere Vorgehensweise und Übungen ... 77

4. Die Policy schreiben: Der Arbeitsauftrag ... 79

4.1 ... Den Zweck und die Ziele eines ITSCM definieren ... 80

4.2 ... Den Geltungsbereich bestimmen ... 81

4.3 ... Allgemeine Definitionen ... 82

4.4 ... Prozesse beschreiben ... 91

4.5 ... Die Organisation für den Normal- und den Notbetrieb beschreiben ... 91

4.6 ... Die wichtigsten Schnittstellen im Tagesgeschäft in Kurzform vorstellen ... 92

4.7 ... Die fünf Standard-Worst-Case-Szenarien kurz benennen ... 93

4.8 ... Scoping: den Umfang eines ITSCM definieren ... 94

4.9 ... Awareness-Maßnahmen und -Ziele kurz beschreiben ... 95

4.10 ... Die Ressourcenfrage klären: Personal, Schulungen, Budget ... 96

4.11 ... Die Sicherheit der Dokumentationen beschreiben ... 98

4.12 ... Unterschrift und Commitment ... 99

4.13 ... Mitgeltende Dokumente aufführen ... 101

4.14 ... Weitere Vorgehensweise und Übungsaufgaben ... 101

5. Das ITSCM in Ihrer Organisation: Die Ist-Aufnahme ... 103

5.1 ... Die Bestandsaufnahme: Der Ist-Stand ... 104

5.2 ... Ist ein Business Continuity Management (BCM) vorhanden? ... 105

5.3 ... Ist ein Informationssicherheitsmanagement (ISM) vorhanden? ... 113

5.4 ... Ist ein Change-Management (CM oder ChM) vorhanden? ... 115

5.5 ... Ist ein Service-Level-Management (SLM) vorhanden? ... 116

5.6 ... Gab es schon mal ein ITSCM? ... 116

5.7 ... Ist ein Risikomanagement (RM) vorhanden? ... 118

5.8 ... Ist ein Resilienz-Management (ReM) vorhanden? ... 119

5.9 ... Ist ein Lieferanten- bzw. Dienstleistermanagement vorhanden? ... 119

5.10 ... Ist eine Configuration Management Database (CMDB) vorhanden? ... 120

5.11 ... Ist ein Skill- und Kapazitätsmanagement vorhanden? ... 120

5.12 ... Ist ein IT-Architektur-Management (IT-AM) vorhanden? ... 120

5.13 ... Vorhandene IT-Infrastrukturpläne sammeln und sichten ... 121

5.14 ... Technikbereiche zu wichtigen IT-Services und IT-Infrastrukturen befragen ... 124

5.15 ... Service-Desk (SD), Help-Desk (HD) und Hotline befragen ... 125

5.16 ... Weitere Informationsquellen (Presse, Fachzeitschriften, Newsletter) ... 125

5.17 ... Konsolidierung der Informationen ... 125

5.18 ... Weitere Vorgehensweise und Übungen ... 126

6. Das ITSCM planen: Der Soll-Zustand ... 127

6.1 ... Der Ist/Soll-Abgleich ... 128

6.2 ... Erste Vorsorgemaßnahmen dokumentieren ... 129

6.3 ... ITSCM in der Kultur Ihrer Organisation etablieren ... 131

6.4 ... Weitere Vorgehensweise und Übungen ... 131

7. Die ITSCM-Organisation aufbauen ... 133

7.1 ... Der Zeitfaktor für den Aufbau ... 133

7.2 ... Kosten und Ressourcen ... 135

7.3 ... Stellen besetzen (aber wen zuerst?) ... 136

7.4 ... Mitarbeiter schulen ... 138

7.5 ... Rollen definieren und detailliert beschreiben (Langfassung) ... 138

7.6 ... Dokumente für den Normalbetrieb ... 153

7.7 ... Dokumente für den Notbetrieb ... 165

7.8 ... Wie organisiert man sich als ITSCM-Team? ... 173

7.9 ... Weitere Vorgehensweise und Übungen ... 181

8. Awareness (Bewusstsein) organisationsweit aufbauen ... 183

8.1 ... Awareness herstellen ... 185

8.2 ... Werbung ... 187

8.3 ... Infoveranstaltungen: Vorträge, Schulungen, Workshops, Onboarding etc. ... 191

8.4 ... Sprechstunden oder offener Austausch ... 194

8.5 ... Awareness adressatengerecht und auf unterschiedlichen Ebenen vermitteln ... 195

8.6 ... Fazit ... 197

8.7 ... Weitere Vorgehensweise und Übungen ... 198

9. Den ITSCM-Prozess definieren ... 199

9.1 ... Den ITSCM-Prozess oder -Teilprozess beschreiben ... 200

9.2 ... Der ITSCM-Lifecycle ... 203

9.3 ... Der PDCA-Zyklus ... 209

9.4 ... Den Kontinuierlichen Verbesserungsprozess (KVP) beschreiben ... 210

9.5 ... Reifegradmodell aufbauen ... 214

9.6 ... Weitere Vorgehensweise und Übungen ... 216

10. Vernetzungen und Schnittstellen (intern und extern) ... 219

10.1 ... Interne Vernetzung ... 219

10.2 ... Externe Vernetzung ... 255

10.3 ... Weitere Vorgehensweise und Übungen ... 259

11. Die Gap-Analyse (Lücken- oder Differenzanalyse) ... 261

11.1 ... Sinn und Zweck einer Gap-Analyse ... 263

11.2 ... Mit Soll-Vorgaben eine Gap-Analyse durchführen ... 264

11.3 ... Ohne Soll-Vorgaben eine Gap-Analyse durchführen ... 274

11.4 ... Vorbereitung der Gap-Analyse ... 284

11.5 ... Durchführung einer Gap-Analyse ... 288

11.6 ... Auswertung einer Gap-Analyse ... 293

11.7 ... Reporting an den Prozess-Owner (Sponsor, BCM etc.) ... 295

11.8 ... Weitere Vorgehensweise und Übungen ... 297

12. IT-Notfallvorsorgemaßnahmen (inklusive Tracking) ... 299

12.1 ... Allgemeines Vorgehen ... 299

12.2 ... IT-Notfallvorsorgemaßnahmenverfolgung aufbauen ... 301

12.3 ... Weitere Vorgehensweise und Übungen ... 306

13. IT-Risikomanagement (RA, BA) ... 307

13.1 ... Auf BCM- oder ISM-Ergebnisse verweisen ... 308

13.2 ... Als ITSCM eine Bedrohungsanalyse (BA) durchführen? ... 309

13.3 ... Was macht man nun mit den ganzen Ergebnissen? ... 311

13.4 ... Allgemeines Risikomanagement (RM) ... 311

13.5 ... Praxisbeispiel: Eine Risikomeldung ... 313

13.6 ... Weitere Vorgehensweise und Übungen ... 314

14. Worst-Case-Szenarien (WCS) ... 315

14.1 ... Was sind Worst-Case-Szenarien? ... 316

14.2 ... Beispiele für Worst-Case-Szenarien ... 317

14.3 ... Alternativen zu Worst-Case-Szenarien (Ansatz und Ideen) ... 333

14.4 ... Weitere Vorgehensweise und Übungen ... 335

15. Übungen und Tests ... 337

15.1 ... Strategie, Konzept und Plan: Was wird wann wie getestet? ... 339

15.2 ... Psychologische Aspekte und Soft-Skills beachten ... 342

15.3 ... Anforderungen an Übungen und Tests ... 343

15.4 ... Test-Arten definieren ... 349

15.5 ... Erhöhung der Resilienz durch Übungen und Tests ... 354

15.6 ... Weitere Vorgehensweise und Übungen ... 355

16. Meldetechniken und Alarmierungsverfahren (Wege und Kanäle) ... 357

16.1 ... Welche Alarmierungsverfahren gibt es? ... 358

16.2 ... Welche zusätzlichen Alarmierungsverfahren sollte es geben? ... 359

16.3 ... Wer muss wie wann und worüber informiert werden? ... 359

16.4 ... Weitere Vorgehensweise und Übungen ... 359

17. Notfallvorsorge durch Resilienz ... 361

17.1 ... Technische Resilienz herstellen -- aber wie? ... 363

17.2 ... Nicht technische Resilienz ... 385

17.3 ... Weitere Vorgehensweise und Übungen ... 391

18. Interne und externe (Notfall-)Kommunikation ... 393

18.1 ... Wer soll kommunizieren? ... 393

18.2 ... Strategien für die Kommunikation ... 394

18.3 ... Kommunikationsrollen beschreiben ... 396

18.4 ... Kollaborationstools und Kommunikationstools (inklusive Ausweichtools) festlegen ... 396

18.5 ... Kommunikationswege und Kanäle beschreiben (inklusive Ausweichmöglichkeiten) ... 400

18.6 ... Notfallkommunikation ... 401

18.7 ... Notfallalarmierungstools ... 403

18.8 ... Weitere Vorgehensweise und Übungen ... 405

19. Das ITSCM-Handbuch erstellen ... 407

19.1 ... Die Vor- und Nachteile eines ITSCM-Handbuches ... 409

19.2 ... Inhalte und Aufbau eines ITSCM-Handbuchs ... 411

19.3 ... Notfallbackup des ITSCM-Handbuches ... 428

19.4 ... Weitere Vorgehensweise ... 428

20. Das Tool ... 431

20.1 ... Das Tool den Prozessen anpassen oder die Prozesse dem Tool? ... 431

20.2 ... Warum brauchen Sie ein Tool? ... 433

20.3 ... SaaS oder On Prem? ... 436

20.4 ... Einführung eines Tools ... 438

20.5 ... Betrieb eines Tools ... 442

20.6 ... Exit-Strategie festlegen ... 443

20.7 ... Einige Anbieter ... 443

20.8 ... Weitere Vorgehensweise und Übungen ... 446

21. Dokumentationen ... 449

21.1 ... Notfallbackup der wichtigsten ITSCM-Dokumente ......