ITSM-Standard ISO/IEC 20.000:2005
Referenzwert für Best Practices
Unternehmen müssen die Abläufe in ihren IT-Abteilungen in ge- regelte Bahnen lenken, um gesetzlichen Regularien und der gewachsenen Bedeutung der IT für das Geschäft gerecht zu werden. Dazu ist die Orientierung an praxiserprobten Prozessen (Best Practices) ein probates Mittel. Solche Best Practices für das IT- Service-Management (ITSM) haben im Ende 2005 veröffentlichten Standard ISO/IEC 20.000 ihren formellen Niederschlag gefunden.
Mit dem ITSM-Standard der ISO (International Organization for Standardization) und des IEC
(International Engineering Consortium) liegt ein Dokument vor, das den Unternehmen als Referenzwert
zur Kontrolle der hauseigenen ITSM-Prozesse ebenso dienen kann wie bei der Auswahl einer geeigneten
Softwarelösung für den Service-Desk. Denn eines ist klar: Die hier geforderte klare Strukturierung
der Prozesse und nachgeordneter Abläufe kann nur funktionieren, wenn sie hochgradig automatisiert
und damit softwaregestützt implementiert ist. Den Anbietern von Service-Desk-Lösungen wiederum
bietet ISO 20.000 einen Leitfaden, welche Anforderungen es abzudecken gilt. Der ISO-Standard stützt
sich auf den britischen Standard BS 15.000 und fußt damit letztlich auf den Best Pracices gemäß der
britischen, aber inzwischen längst international weit verbreiteten Sammlung ITIL (IT Infrastruc-
ture Library).
Zweiteiliger ITSM-Standard
Der bisher nur englischsprachig vorliegende Standard gliedert sich in zwei Teile: Die
Spezifikation ISO/IEC 20.000-1 definiert auf 15 Seiten klar und prägnant, was IT-Service-Management
ist und aus welchen Prozessen es besteht. Sie umreißt die Anforderungen an das Managementsystem,
beschreibt Verantwortlichkeiten sowie die Anforderungen an die Dokumentation der Prozesse und
fordert von den (internen oder externen) Service-Providern Kompetenzaufbau und Training. Für die
Planung und Implementiertung des Service-Managements stützt sich die Spezifikation auf die bewährte
Methode PDCA (Plan, Do, Check, Act): Jeglicher Prozess ist zu planen, einzuführen, zu überprüfen
und schließlich auf der Basis dieser Revision kontinuierlich zu verbessern. Hier stellt der
Standard klare, aber doch allgemein gehaltene Anforderungen. Zum Thema "Check" zum Beispiel heißt
es, der Service-Provider solle "geeignete Methoden" für das Monitoring und – sofern anwendbar ("
where applicable") – zur Messung der Service-Managementprozesse anwenden.
Auf eine kurze Beschreibung des Ablaufs zur Einführung neuer oder geänderter Services folgt die
Abhandlung der beteiligten Prozesse: Zu den Service-Delivery-Prozessen zählen das
Service-Level-Management einschließlich Service-Reporting, das Service-Continuity- und das
Availability-Management, das Finanzmanagement (Budgetierung und Buchhaltung; die Rechnungsstellung
hingegen lässt ISO 20.000 außen vor), das Capacity- sowie das IT-Security-Management. Teil eins
beschreibt außerdem Beziehungen zu Lieferanten wie auch zu Kunden (also zu den Fachabteilungen und
Anwendern im Unternehmen) und schließt mit der Darstellung der Prozesse, die laut ITIL zum "
Service-Support" gehören: Incident-, Problem-, Configuration-, Change- und Release-Management.
Code of Practice
ISO/IEC 20.000-2 ergänzt diese Spezifikation um einen "Code of Practice", also eine
Handlungsanweisung, wie die Spezifikation am besten in die Tat umzusetzen ist. Der zweite
Bestandteil des Standards beschreibt damit Best Practices: Empfehlungen und Ratschläge, die selbst
keine Spezifikation darstellen, diese aber anschaulich und in die Tat umsetzbar machen. Mit 33
Seiten Umfang ist dies der ausführlichere Teil des Standards, da man zur Beschreibung der Best
Practices mehr ins Detail gehen muss.
Die Best Practices enthalten bei der Abhandlung der einzelnen Prozesse einige sich stets
wiederholende Momente: Der Standard weist zum Beispiel wiederholt auf die Notwendigkeit
ausformulierter Policies und klar definierter Zuständigkeiten hin. Er betont mehrmals die sichere
Aufbewahrung, aber auch Zugänglichkeit benötigter Informationen und die strikte Einhaltung der
Prozesszugehörigkeit: Änderungen (Changes) müssen immer über das Change-Management laufen, von
Eingriffen in Notfällen einmal abgesehen; bei Notfällen kommen wiederum die Zuständigkeiten und
damit Eskalationsprozesse verstärkt ins Spiel. Außerdem weist der Code of Practice wiederholt auf
den Bedarf nach Qualitätskontrolle hin – sowie auf die Behebung der dabei festgestellten Mängel.
Schließlich versteht der Standard ITSM als einen lebendigen Prozess, der im Hinblick auf die
bestmögliche Unterstützung der Geschäftsprozesse kontinuierlich zu optimieren ist.
Behebung von Störungen und Problemen
An den beiden "Resolution"- (also Fehlerbehebungs-)Prozessen Incident- und Problem-Management
lassen sich die Ansprüche und Anweisungen von ISO 20.000 gut verdeutlichen. Die Unterscheidung der
beiden Prozesse geht auf ITIL zurück: Incident-Management befasst sich mit der schnellstmöglichen
Wiederherstellung eines IT-Services beim Auftreten einer Störung (Incident) oder bei der Anfrage
eines Kunden (Service-Request). Das Ziel des Problem-Managements hingegen ist es, "die
Unterbrechung des Geschäftsbetriebs durch proaktive Identifizierung und Analyse der Ursachen von
Incidents und durch das Management von Problemen bis zu deren Ende zu minimieren".
Der Fluchtpunkt auch dieser beiden Prozesse ist der Geschäftsbetrieb des Unternehmens. Deshalb
betont ISO/IEC 20.000-2, wie wichtig es gerade hier ist, die Ziele für die Problemlösung zu
priorisieren, also nach dem Einfluss auf das Geschäft und nach Dringlichkeit zu bewerten. Diese
Forderung ist ebenso verständlich wie einleuchtend; dennoch ist eine solche Priorisierung in der
Praxis oft nicht so üblich wie "Feuerwehreinsätze" bei jenen Geräten, die der IT-Abteilung im
Augenblick die größten Kopfschmerzen bereiten. Rechnet man noch den Umstand hinzu, dass der
ISO-Standard mit Priorisierung einen durchstrukturierten Prozess meint, sollte dies verdeutlichen,
dass heute viele Unternehmen von einer ITIL- oder ISO-konformen Problembehandlung noch ein gutes
Stück entfernt sind.
Der Code of Practice fordert eine Terminplanung für die Fehlerbehebung unter Einbezug wichtiger
Faktoren: neben der Priorität des Störfalls auch die Verfügbarkeit von Kompetenz (Skills) sowie
konkurrierende Ressourcenanforderungen. Des Weiteren soll das Problem-Management, sofern möglich,
Workarounds erstellen, um dem Incident-Management die schnelle Wiederherstellung des Sollzustands
zu erleichtern. Für die Speicherung bekannter Fehler (Known Errors) und Workarounds sieht der
Standard eine stets aktuell zu haltende Wissensdatenbank (Knowledge Base) vor, die neben Daten zu
Störungen und Problemen sowie der Kompetenzverteilung im IT-Team auch Informationen über die
Anwendbarkeit und Effektivität der Workarounds enthält.
Incident-Management
Das Incident-Management kann laut ISO-Standard beim Service-Desk angesiedelt sein, also jener
zentralen Anlaufstelle für Anwender (Single Point of Contact), die auch bei ITIL schon den
Brennpunkt des Geschehens bildet. Der Prozess hat laut ISO reaktive wie auch proaktive Aspekte,
beinhaltet also auch das vorausschauende Vermeiden von Störungen. Er ist aber ausschließlich auf
die Aufrechterhaltung des Betriebs gerichtet – die Fehleranalyse obliegt hingegen dem
Problem-Management.
Der Incident-Managementprozess weist laut ISO folgende Bestandteile auf:
die Annahme und Aufzeichnung von Vorfällen einschließlich der
Prioritätszuweisung und Klassifizierung,
die Lösung oder Weiterleitung durch den First-Level-Support,
die umfassende Nachverfolgung von Störungen einschließlich Verifizierung und
Abschluss von Incidents,
den Umgang mit dem Kunden (also dem von der Störung Betroffenen),
Eskalationsabläufe sowie
das wichtige Moment der Einbindung von Sicherheitsaspekten.
Der Standard stellt ausdrücklich fest, dass Incidents auf unterschiedlichsten Wegen beim
Service-Desk eintreffen können: Das reicht vom Anruf über E-Mails und persönliche Besuche bis zur
Eingabe in Incident-Meldesysteme oder automatische Alarme von Monitoring-Tools. Die Aufzeichnung
der Incidents hat in einer Weise zu erfolgen, dass relevante Informationen bei Bedarf zur Verfügung
stehen. Der Code of Practice betont außerdem, dass Fortschritte bei der Störungsbehebung – aber
auch deren Ausbleiben – den von der Störung tatsächlich oder potenziell Betroffenen mitzuteilen
sind.
Die Mitarbeiter am Incident-Management sollen dabei stets die Geschäftstätigkeit des
Unternehmens vor Augen haben: "Wo immer möglich sollte der Kunde die Mittel erhalten, um seinen
Geschäftsbetrieb fortzusetzen, selbst wenn es sich nur um einen herabgesetzten Service handelt, zum
Beispiel durch das Abschalten eines fehlerhaften Features", so der Code of Practice. Den Anwender –
und nicht den IT-Fachmann – sieht der Standard auch als letztendlichen Bezugspunkt für den Erfolg
der Störungsbeseitigung: "Der endgültige Abschluss eines Incidents sollte erst erfolgen, wenn der
Anwender, der den Anstoß gegeben hat, die Möglichkeit hatte zu bestätigen, dass der Incident nun
behoben und der Service wiederhergestellt ist."
Problem-Management
Während sich das Incident-Management ganz dem einzelnen Störfall widmet, zielt das
Problem-Management übergreifend auf die Minimierung und bestenfalls Vermeidung von Störungen der
Geschäftsprozesse. Dazu identifiziert und analysiert es die Störungsursachen und stellt Probleme ab
– zumindest in den Fällen, in denen dies wirtschaftlich sinnvoll ist: Schließlich kann es selbst
bei einer häufiger auftretenden Störung aus finanziellen Gründen nötig sein, mit dem Fehler zu
leben. In solchen Fällen fordert der Code of Practice aber eine eindeutige Dokumentation dieser
Entscheidung.
Ist die Ursache einer Störung ermittelt und eine Methode der Behebung bekannt, fordert der
ISO-Standard die Klassifizierung als "Known Error". Der Known Error landet zusammen mit dem
Workaround oder der Problemlösung in der Knowledge Base. Für die eigentliche Aktion, die das
Problem behebt, sieht der Standard wiederum den Weg über den Change-Managementprozess vor.
Dieser Weg über das Change-Management erscheint manchem Kritiker als unnötiger Umweg: Starres
Festhalten am "Schema F" mache solche Prozesse zu umständlich und zu aufwändig. Hier gilt es aber
zu bedenken, dass das Festhalten am Prinzip "keine Aktion ohne Auftrag" erst den Schritt weg von
der IT-Administration "auf Zuruf" und hin zu nachvollziehbaren IT-Serviceprozessen ermöglicht. Eine
solche Nachvollziehbarkeit und Strukturierung wird in zunehmendem Maß nicht zuletzt von Seiten des
Gesetzgebers gefordert. Wirklich umständlich wird ein solcher Umweg lediglich durch zu
detailverliebte Prozessplanung oder aber durch mangelnde Automation des Ineinandergreifens der
diversen ITSM-Prozesse.
Strukturiertes Vorgehen soll Probleme vermeiden
Wie beim Incident-Management, so sieht der Standard auch beim Problem-Management Tracking- und
Eskalationsprozeduren vor, ebenso die Erfassung und Analyse der Problembehebung. Kann das
Problem-Management die Störungsursache nicht beseitigen, sind die betroffenen Anwender zu
informieren. Außerdem ist es Bestandteil des Problem-Managements im ISO-Sinn, das wiederholte
Auftreten von Incidents und Problemen möglichst von vornherein zu vermeiden. Dazu dienen
Problembewertungen (Problem Reviews): "Problem Reviews sollen durchgeführt werden, wo die
Untersuchung nicht abgeschlossener, ungewöhnlicher oder maßgeblicher Probleme dies rechtfertigt."
Die Problemprävention reicht laut ISO/IEC 20.000-2 von der Vermeidung einzelner Incidents (zum
Beispiel durch das Abschalten eines störungsanfälligen Software-Features) bis zu strategischen
Entscheidungen zugunsten umfangreicher – und mitunter teurer – Änderungen an der IT-Infrastruktur.
In diesem Fall grenzt das Problem-Management bereits an das Availability-Management und muss
wiederum mit dieser Disziplin Hand in Hand arbeiten.
Nicht zuletzt ist laut ISO die Aufklärung der Anwender Bestandteil der Problemvermeidung. Der
Standard sieht vor, dass die Benutzer dabei zu unterstützen sind, gar nicht erst beim Service-Desk
um Hilfe bitten zu müssen. Mögliche Maßnahmen dazu reichen laut ISO 20.000 vom Zugriff auf die
Knowledge Base bis hin zu Anwenderschulungen.
Branche rechnet mit rascher Verbreitung
Seitens der Anbieter von Service-Desk-Lösungen rechnet man mit schneller Akzeptanz der
ISO-Vorgaben. "Vor allem für IT-Dienstleister wird ISO 20.000 entscheidend werden", so Michael
Scheib, Präsident und CEO des ITSM-Anbieters IET Solutions, während Per Kall, Senior Consultant
IT-Service-Management bei Materna, sich von diesem ISO-Standard für die ITIL-Prozesse einen Schritt
nach vorn verspricht: "Die Details von ITIL waren bislang oft nur eingeweihten IT-Spezialisten
bekannt. Viele IT-Organisationen arbeiten mit einer Mischung aus Informationen der
Foundation-Schulungen und Allgemeinplätzen. Die Überführung in eine ISO-Norm verhilft ITIL, aus
diesem Schattendasein herauszutreten."
Besonders die gesetzlichen Rahmenbedingungen werden laut IET-Chef Scheib ein hohes
Umsetzungstempo hervorrufen: "Ich bin überzeugt davon, dass Unternehmen zukünftig auf eine
Zertifizierung nach ISO 20.000 achten werden, da diese – wenn auch keine Garantie – so zumindest
Anhaltspunkte für Transparenz und Qualität der angebotenen Leistungen liefert. Unternehmen werden
sich der ISO 20.000 zwangsläufig stellen müssen, da Wirtschaftsprüfer, Banken und Versicherungen
verstärkt einen Nachweis der Funktionsfähigkeit von IT-Prozessen fordern, zum Beispiel nach SOX
(Sarbanes-Oxley Act) oder Basel II."
Vor diesem Hintergrund eignet sich der ISO-Standard für die Anbieterschaft natürlich sehr gut
als Vermarktungsinstrument. Entsprechend groß ist die Bereitschaft, die ITSM-Norm für
Produktstrategien aufzugreifen: "Ich rechne damit, dass sich Teile der ISO 20.000 bereits binnen
der kommenden zwölf Monate in den entsprechenden Softwarelösungen wiederfinden", so Scheib. Auch
Materna-Experte Kall meint: "Um Flagge auf dem Markt zu zeigen, werden noch in diesem Jahr erste
Lösungen erscheinen, die einfache standardisierte Prozesse abbilden." Kall warnt aber: "Langfristig
werden auf Anbieterseite nur die Unternehmen gewinnen, die neben einem auf die ISO-Norm
abgestimmten Tool auch über die erforderliche Beratungskompetenz verfügen." Zertifizierungen gemäß
ISO 20.000 betrachten viele Branchenkenner hingegen mit Skepsis. "Lösungszertifizierungen müssen
kritisch hinterfragt werden, da sie oft als reines Marketinginstrument missbraucht werden, ohne dem
Interessenten eine echte Hilfestellung zu bieten", warnt Scheib von IET. "Eine Zertifizierung von
ITSM-Lösungen nach ISO 20.000 wird sich nur dann durchsetzen, wenn die Unternehmen einen echten
Nutzen daraus ziehen können."
IEC: www.iec.org ISO: www.iso.org Informationen zu ITIL: www.itil.org www.
itsmf.com www.ogc.gov.uk/index.asp?id=2261
Bezugsquelle des Standards: Beuth-Verlag. Die beiden Bestandteile des
Standards kosten 56 beziehungsweise 84 Euro. www.beuth.de
Lesen Sie mehr zum Thema
