IT-Disaster-Recovery-Programme durch COBIT und ITIL sinnvoll ergänzen

Unternehmen können die Leistungsfähigkeit ihrer IT-Disaster-Recovery-Prozesse mit COBIT und ITIL als bewährten Rahmenwerken verbessern.

Dieser Artikel behandelt

Disaster Recovery

Eine der Kernanforderungen beim Business-Continuity-(BC)- und Disaster-Recovery-(DR)-Management liegt darin, das Unternehmen die tatsächliche Leistungsfähigkeit ihrer BC- und DR-Prozesse messen und beurteilen können. 

Sie sind daher auf der Suche nach neuen und passenden Metriken. Dieser Beitrag zeigt, wie sich IT-Disaster-Recovery-Prozesse mit Hilfe zweier Frameworks durchführen lässt, die weit verbreitet sind: die IT Infrastructure Library (ITIL) in der Version 3, eine Sammlung von Best Practices für das IT-Service-Management (ITSM), und die Control Objectives for Information and Related Technology (COBIT) in der Version 4.1 als Sicherheitsrichtlinie für die IT-Governance.

Beide Frameworks stellen Optionen bereit, mit denen sich die Leistungsfähigkeit und Wirksamkeit von Disaster-Recovery-Prozessen messen und überwachen lassen. Warum das wichtig ist? Angenommen Ihr Unternehmen will Notfallpläne für die Wiederherstellung ausgefallener IT-Systeme erarbeiten, die den branchenüblichen Standards und Kontrollen entsprechen, dann bieten diese beiden Regelwerke dafür eine solide Basis.

COBIT 4.1

COBIT 4.1 ist ein weltweit akzeptiertes Framework für die IT-Governance, das auf Industriestandards und Best Practices basiert. Unternehmen, die COBIT implementiert haben, stellen sicher, dass die IT-Systeme erfolgreich und effizient an den Geschäftszielen ausgerichtet wird und der Einsatz von IT-Anwendungen zu Wettbewerbsvorteilen führt. COBIT wurde vom IT Governance Institute (ITGI) entwickelt und bietet Geschäftsverantwortlichen, IT-Experten und Prüfern eine gemeinsame Sprache, um sich über Ziele, Anforderungen und Ergebnisse untereinander auszutauschen. 

Das Rahmenwerk stellt zudem bewährte Methoden und Werkzeuge für die Überwachung und die Verwaltung von IT-bezogenen Aktivitäten bereit, die eine verlässliche Nutzung von Informationstechnologien gewährleisten sollen. Mit Hilfe von COBIT lassen sich darüber hinaus IT-Investitionen über den gesamten Lebenszyklus hinweg überblicken. Das Framework liefert zudem Methoden, mit denen festgestellt werden kann, ob IT-Services oder IT-Initiativen die Anforderungen des Business erfüllen und den erwarteten Mehrwert bringen.

ITIL V3

ITIL V3 ist ein Rahmenwerk für das IT-Service-Management, das Planung, Sourcing, Design, Implementierung, Betrieb sowie die Unterstützung und Optimierung von IT-Serviceleistungen unter dem Aspekt betrachtet, ob damit Geschäftsziele erreicht werden. Dafür stellt ITIL, das heute ein De-facto-Standard ist, ein leistungsfähiges sowie konsistentes und in sich stimmiges Rahmenwerk von Best Practices für das IT-Service-Management und die damit verbundenen Prozesse bereit. 

Mit den bewährten und ausgereiften Methoden können Unternehmen die Geschäftsleistung und die Effektivität des ITSM erhöhen. Dabei beschreibt das ITIL-Framework, das ursprünglich vom britischen Office of Government Commerce (OGC) entwickelt wurde, Ansätze, Funktionen, Rollen und Prozesse, auf deren Grundlage Unternehmen dann ihre jeweils individuellen IT-Modelle entwickeln und bewerten können.

IT Disaster Recovery mit COBIT and ITIL

Der IT-Disaster-Recovery-Prozess ist relativ klar definiert. Um zu bestimmen, welche Komponenten in COBIT und ITIL, die für diesen Prozess relevant sind, sich mit dem DR-Konzept überlappen, haben wir eine detaillierte Übersicht erstellt. Sie wird in der untenstehenden Grafik abgebildet. Dort wird auf die Inhalte in den beiden Rahmenwerken verwiesen, die sich auf spezifische DR-Aktivitäten beziehen.

Falls bereits eines der Frameworks oder sogar beide in einem Unternehmen eingesetzt werden, bedeutet das aber nicht, dass die ursprünglich geplanten Notfall- und Wiederherstellungsprogramme sowie -pläne nun komplett über den Haufen geworfen werden müssen. Dafür gibt es eine einfache Erklärung: COBIT und ITIL haben als Best-Practices und Rahmenwerke wie die meisten anderen Standards auch lediglich präskriptiven Charakter. 

In ihnen wird zwar beschrieben, welche Aufgaben durchgeführt werden müssen, aber nicht das „Wie“. Die Frameworks dienen somit als eine Art Checkliste, die sicherstellen soll, dass im DR-Prozess alle Kernaufgaben berücksichtigt werden.

IT Disaster
Recovery Aktivität

COBIT

ITIL

Control Objective

Name

Control Objective

Name

Unternehmensweiter und konsistenter Ansatz für IT Continuity Management

DS4.1

IT Continuity Framework

SD 4.5

 

SD 4.5.5.1

CSI 5.6.3
 

IT Service Continuity
Management

Stufe 1: Initiation

IT Service Continuity
Management
 

Individuelle Continuity-Plans, basierend auf dem Framework

Business-Impact-Analyse

Stabilität, alternative Verarbeitung und Recovery
 

DS4.2

IT Continuity-Pläne

SD 4.5.5.2

 

SD 4.5.5.3

Stufe 2: Anforderungen und Strategie

Stage 3: Implementation

Fokus auf wichtige Infrastruktur, Stabilität und Priorisierung

Reaktionszeit für verschiedene Zeitspannen
 

DS4.3

wichtige IT-Ressourcen

SD 4.4.5.2



 

SD 4.5.5.4

Pro-aktive Maßnahmen zur Verfügbarkeit des Managements

Stufe 4: andauernder Betrieb

Kontrolländerungen entsprechend den Änderungen der Geschäftsanforderungen
 

DS4.4

Aufrechterhalten des IT-Continuity-Plans

SD 4.5.5.4

Stufe 4: andauernder Betrieb

Regelmäßige Tests

Implementierung eines Aktionsplanes

DS4.5

Testen des IT-Continuity-Plans

SD 4.5.5.3

SD 4.5.5.4

Stufe 3: Implementation

Stufe 4: andauernder Betrieb 

Regelmäßige Trainings für alle Beteiligten

DS4.6

IT-Continuity-Plan-Training

SD 4.5.5.3

SD 4.5.5.4

Stufe 3: Implementation

Stufe 4: andauernder Betrieb
 

Sinnvolle und sichere Verteilung an alle Beteiligten

DS4.7

Verteilung des IT-Continuity-Plans

SD 4.5.5.3

SD 4.5.5.4

Stufe 3: Implementation

Stufe 4: andauernder Betrieb
 

Planung für den Zeitraum, in dem die IT wieder hergestellt wird und Services wieder bereit gestellt werden

Geschäftsverständnis und Investitionsunterstützung 

DS4.8

IT-Services-Recovery und Bereitstellung

SD 4.4.5.2



 

SD 4.5.5.4

Pro-aktive Maßnahmen zur Verfügbarkeit des Managements

Stufe 4: andauernder Betrieb

Offsite-Storage für alle wichtigen Medien, Dokumentationen und Ressources, die man in Zusammenarbeit mit den Besitzern der Geschäftsprozesse benötigt

DS4.9

Offsite Backup Storage

SD 4.5.5.2

 

SO 5.2.3

Stufe 2: Anforderungen und Strategie

Backup und Restore

Regelmäßige Bewertung des Plans durch das Management

DS4.10

Bewertung nach Wiederaufnahme der Services

SD 4.5.5.3

SD 4.5.5.4

Stufe 3: Implementation

Stufe 4: andauernder Betrieb

[Tabelle 1: Detaillierte Abbildung von DR-Prozessen im Vergleich mit COBIT und ITIL]

Wie zu sehen ist, zeigt die Tabelle eine Gegenüberstellung bestimmter IT-Disaster-Recovery-Aktivitäten mit COBIT und ITIL. Ein komplettes DR-Programm adressiert zwar mehr Aspekte als die beiden Rahmenwerke, doch diese bilden immerhin eine solide Grundlage für das DR.

Beispiel: DR-Pläne testen

Eine der wichtigsten und doch am häufigsten vernachlässigte Aufgabe im gesamten Disaster-Recovery-Prozess besteht darin, Notfallpläne regelmäßig zu testen und aktuell zu halten. Zum Beispiel wird in COBIT DS4.5 die Bedeutung der DR-Tests für das IT-Continuity-Management beschrieben. Dort heißt es:

Testen Sie IT-Continuity-Pläne regelmäßig, um sicherzustellen, dass IT-Systeme nach einem Ausfall schnell und effizient wiederhergestellt werden können, oder um Schwächen in den Notfallplänen aufzudecken. Auf diese Weise lässt sich außerdem gewährleisten, dass die Pläne immer aktuell sind. 

Dies erfordert eine sorgfältige Planung und Dokumentation sowie eine Auswertung der Testergebnisse, die die Grundlage für Implementierung eines konkreten Aktionsplans bilden. Prüfen Sie bei den Tests die Auswirkungen der verschiedenen Szenarien: die Wiederherstellung einzelner Applikationen im Vergleich zu integrierten Tests, End-to-End-Tests und integrierten Tests für die Softwarehersteller.“

Bei ITIL gibt es wiederum das IT Service Continuity Management (ITSCM), das Risiken adressiert, die gravierende Auswirkungen auf die IT-Infrastruktur haben können. Das ist zum Beispiel der Fall, wenn eine plötzliche Störung der IT-Prozesse dazu führen kann, dass auch ein Ausfall des Geschäftsbetriebs droht. Gemäß ITIL muss das ITSCM an den Zielen und Erfordernissen Business Continuity Management (BCM) ausgerichtet werden.

ITSCM ist dabei auf den Schutz der technischen Infrastruktur ausgerichtet, das Business Continuity Management (BCM) dagegen auf Risiken, die zu einem Ausfall des Geschäftsbetriebs führen können. Bei ITIL beschäftigen sich die Sektionen 4.5.5.3 und 4.5.5.4 des Service Designs (SD) näher mit den Aktivitäten, Methoden und Techniken für das IT Service Continuity Management. 

Darin sind auch Maßnahmen für die Planung, den Schutz und die Optimierung der IT in der Phase drei, das ist die Implementierung (SD 4.5.5.3), und der Phase vier, das heißt im laufenden Betrieb (SD 4.5.5.4), des ITSCM-Lebenszyklus beschrieben.

In diesem Fall können die Leitlinien von COBIT und ITIL im DR-Prozess als Bestandteil der Wiederherstellungstests genutzt werden. COBIT 4.1 stellt spezielle Details zu den Zielsetzungen der Tests bereit. In ITIL werden dagegen vorwiegend die grundlegenden Prozesse beschrieben. Wie eingangs erwähnt, zeigen die Richtlinien in beiden Fällen nur an, was getan werden soll und nicht wie.

Wichtig ist nur, dass Unternehmen mindestens eines der beiden Frameworks, egal ob COBIT oder ITIL, bereits einsetzen oder dessen Einführung planen. Werden die Rahmenwerke schon verwendet, lässt sich auch gewährleisten, dass das DR-Programm mit den jeweiligen Standards in Einklang gebracht wird. Auch wenn weder COBIT noch ITIL im Einsatz sind, können die Rahmenwerke genutzt werden, um DR-Vorhaben zu strukturieren und an industriespezifischen Best Practices auszurichten.

Unternehmen profitieren von COBIT und ITIL, wenn sie den IT-Betrieb und somit das Disaster Recorvery auf der Grundlage bewährter Methoden organisieren und durchführen wollen. Beide Rahmenwerke bieten dafür konsistente und messbare Ansätze. 

Darüber hinaus erhöht das insbesondere bei einem ungeplanten Ausfall der IT-Services die Chance auf deren erfolgreiche Wiederherstellung. Die in diesem Beitrag beschriebenen Beispiele sollen dafür eine Orientierungshilfe sein. Wie hoch das Niveau eines DR-Programms im Unternehmen sein muss, hängt davon ab wie die Geschäfte geführt und die Unternehmensleistung ermittelt werden.

Folgen Sie SearchStorage.de auch auf Facebook, Twitter und Google+!

Artikel wurde zuletzt im November 2009 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Disaster Recovery

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close