Änderungsmanagement: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
Keine Bearbeitungszusammenfassung |
||
Zeile 62: | Zeile 62: | ||
[ISO/IEC 20000]], Das Visible OPS-Handbuch: ITIL-Implementierung in 4 praktischen und überprüfbaren Schritten | [ISO/IEC 20000]], Das Visible OPS-Handbuch: ITIL-Implementierung in 4 praktischen und überprüfbaren Schritten | ||
(Vollständige Buchzusammenfassung), und [[ITIL]] bieten alle wertvolle Anleitungen zur Implementierung eines effizienten und effektiven Änderungsmanagementprogramms für die Informationssicherheit. | (Vollständige Buchzusammenfassung), und [[ITIL]] bieten alle wertvolle Anleitungen zur Implementierung eines effizienten und effektiven Änderungsmanagementprogramms für die Informationssicherheit. | ||
[[IT-Service-Management]] |
Version vom 1. November 2023, 09:43 Uhr
- Änderungsmanagement
Haupt: Change Management (ITSM)
Das Änderungsmanagement ist ein formaler Prozess zur Steuerung und Kontrolle von Änderungen an der Informationsverarbeitungsumgebung.
Dazu gehören Änderungen an Desktop-Computern, dem Netzwerk, Servern und Software. Ziel des Änderungsmanagements ist es, die mit Änderungen an der Informationsverarbeitungsumgebung verbundenen Risiken zu verringern und die Stabilität und Zuverlässigkeit der Verarbeitungsumgebung bei Änderungen zu verbessern. Es ist nicht das Ziel des Änderungsmanagements, die Durchführung notwendiger Änderungen zu verhindern oder zu behindern.
Jede Änderung der Informationsverarbeitungsumgebung birgt ein gewisses Risiko. Selbst scheinbar einfache Änderungen können unerwartete Auswirkungen haben. Eine der vielen Aufgaben des Managements ist das Management von Risiken.
Das Änderungsmanagement ist ein Instrument zur Bewältigung der Risiken, die durch Änderungen in der Informationsverarbeitungsumgebung entstehen. Ein Teil des Änderungsmanagementprozesses stellt sicher, dass Änderungen nicht zu einem ungünstigen Zeitpunkt durchgeführt werden, wenn sie kritische Geschäftsprozesse stören oder mit anderen Änderungen kollidieren könnten.
Nicht jede Änderung muss verwaltet werden.
Einige Arten von Änderungen sind Teil der täglichen Routine der Informationsverarbeitung und folgen einem vordefinierten Verfahren, wodurch das Gesamtrisiko für die Verarbeitungsumgebung verringert wird. Das Anlegen eines neuen Benutzerkontos oder die Bereitstellung eines neuen Desktop-Computers sind Beispiele für Änderungen, die im Allgemeinen kein Änderungsmanagement erfordern.
- Die Verlagerung von Benutzerdateifreigaben oder die Aufrüstung des E-Mail-Servers stellen jedoch ein wesentlich höheres Risiko für die Verarbeitungsumgebung dar und gehören nicht zu den alltäglichen Aktivitäten.
- Die entscheidenden ersten Schritte beim Änderungsmanagement sind (a) die Definition der Änderung (und die Kommunikation dieser Definition) und (b) die Festlegung des Umfangs des Änderungssystems.
Das Änderungsmanagement wird normalerweise von einem Änderungsprüfungsausschuss überwacht, der sich aus Vertretern der wichtigsten Geschäftsbereiche zusammensetzt, Sicherheit, Netzwerke, Systemadministratoren, Datenbankadministratoren, Anwendungsentwickler, Desktop-Support und Helpdesk.
- Die Aufgaben des Änderungsprüfungsausschusses können durch den Einsatz einer automatisierten Workflow-Anwendung erleichtert werden.
- Die Aufgabe des Änderungsprüfungsausschusses besteht darin, sicherzustellen, dass die dokumentierten Änderungsmanagementverfahren der Organisation befolgt werden.
Der Änderungsmanagementprozess sieht wie folgt aus
- Antrag: Jeder kann eine Änderung beantragen.
- Die Person, die den Änderungsantrag stellt, kann oder muss nicht dieselbe Person sein, die die Analyse durchführt oder die Änderung umsetzt.
- Wenn ein Änderungsantrag eingeht, kann er einer Vorprüfung unterzogen werden, um festzustellen, ob die beantragte Änderung mit dem Geschäftsmodell und den Praktiken des Unternehmens vereinbar ist, und um den Umfang der für die Umsetzung der Änderung erforderlichen Ressourcen zu ermitteln.
- Genehmigen: Das Management leitet das Unternehmen und kontrolliert die Zuteilung von Ressourcen, daher muss das Management Änderungsanträge genehmigen und jeder Änderung eine Priorität zuweisen.
- Die Geschäftsleitung kann einen Änderungsantrag ablehnen, wenn die Änderung nicht mit dem Geschäftsmodell, den Industriestandards oder bewährten Verfahren vereinbar ist.
- Die Geschäftsleitung kann einen Änderungsantrag auch ablehnen, wenn die Änderung mehr Ressourcen erfordert, als für die Änderung zugewiesen werden können.
- Plan: Die Planung einer Änderung umfasst die Ermittlung des Umfangs und der Auswirkungen der vorgeschlagenen Änderung, die Analyse der Komplexität der Änderung, die Zuweisung von Ressourcen sowie die Entwicklung, Prüfung und Dokumentation von Implementierungs- und Back-Out-Plänen.
Es müssen die Kriterien festgelegt werden, anhand derer eine Entscheidung über einen Rückzug getroffen wird.
- Test: Jede Änderung muss in einer sicheren Testumgebung getestet werden, die die tatsächliche Produktionsumgebung genau widerspiegelt, bevor die Änderung auf die Produktionsumgebung angewendet wird.
- Auch der Backout-Plan muss getestet werden.
- Zeitplan: Ein Teil der Verantwortung des Änderungsprüfungsausschusses besteht darin, bei der Planung von Änderungen zu helfen, indem er das vorgeschlagene Implementierungsdatum auf mögliche Konflikte mit anderen geplanten Änderungen oder kritischen Geschäftsaktivitäten überprüft.
- Kommunizieren: Sobald eine Änderung geplant wurde, muss sie kommuniziert werden.
- Die Kommunikation soll anderen die Möglichkeit geben, den Änderungsprüfungsausschuss an andere Änderungen oder kritische Geschäftsaktivitäten zu erinnern, die bei der Planung der Änderung übersehen worden sein könnten.
- Eine weitere Aufgabe des Änderungsprüfungsausschusses besteht darin, sicherzustellen, dass die geplanten Änderungen denjenigen mitgeteilt werden, die von der Änderung betroffen sind oder anderweitig ein Interesse an der Änderung haben.
- Umsetzung: Zum festgelegten Datum und Zeitpunkt müssen die Änderungen umgesetzt werden.
Ein Teil des Planungsprozesses bestand darin, einen Implementierungsplan, einen Testplan und einen Ausweichplan zu entwickeln.
Sollte die Implementierung der Änderung scheitern, die Tests nach der Implementierung fehlschlagen oder andere "drop dead"-Kriterien erfüllt sein, sollte der Ausstiegsplan umgesetzt werden.
- Dokumentieren: Alle Änderungen müssen dokumentiert werden.
Die Dokumentation umfasst den ursprünglichen Änderungsantrag, seine Genehmigung, die ihm zugewiesene Priorität, die Durchführung, Die Dokumentation umfasst den ursprünglichen Änderungsantrag, seine Genehmigung, die ihm zugewiesene Priorität, die Implementierungs-, Test- und Back-Out-Pläne, die Ergebnisse der Kritik des Änderungsprüfungsausschusses, das Datum/die Uhrzeit der Implementierung der Änderung, wer sie durchgeführt hat und ob die Änderung erfolgreich durchgeführt wurde, fehlgeschlagen ist oder verschoben wurde.
- Überprüfung nach der Änderung: Der Änderungsprüfungsausschuss sollte eine Überprüfung der Änderungen nach der Implementierung durchführen.
Es ist besonders wichtig, gescheiterte und zurückgestellte Änderungen zu überprüfen.
- Der Prüfungsausschuss sollte versuchen, die aufgetretenen Probleme zu verstehen und nach Verbesserungsmöglichkeiten zu suchen.
Einfach zu befolgende und leicht anzuwendende Verfahren für das Änderungsmanagement können die Gesamtrisiken, die bei Änderungen an der Informationsverarbeitungsumgebung entstehen, erheblich verringern. Gute Änderungsmanagementverfahren verbessern die Gesamtqualität und den Erfolg von Änderungen bei deren Umsetzung. Dies wird durch Planung, gegenseitige Überprüfung, Dokumentation und Kommunikation erreicht.
[ISO/IEC 20000]], Das Visible OPS-Handbuch: ITIL-Implementierung in 4 praktischen und überprüfbaren Schritten (Vollständige Buchzusammenfassung), und ITIL bieten alle wertvolle Anleitungen zur Implementierung eines effizienten und effektiven Änderungsmanagementprogramms für die Informationssicherheit.