Change Management - Änderungen im Griff
Änderungen an der IT-Infrastruktur sind eine tägliche Aufgabe eines IT-Teams. Auch die ISO 27001:2022 fordert im Kapitel 8.32 folgendes: „Änderungen an Informationsverarbeitungseinrichtungen und Informationssystemen müssen Gegenstand von Änderungsmanagementverfahren sein". Daraus wird ersichtlich, dass diese nicht einfach ad hoc gemacht werden sollen, sondern nach einem definierten Verfahren, dem IT Service Change Management (kurz ITSCM). ITSCM bezieht sich auf den strukturierten Ansatz zur Verwaltung von Änderungen in IT-Diensten, um sicherzustellen, dass diese Änderungen minimalen Einfluss auf den laufenden Betrieb haben. Dieser Artikel beleuchtet die Bedeutung von ITSCM, seine Hauptkomponenten und bewährte Praktiken für eine erfolgreiche Implementierung.
© Storyblocks, Registriert auf Andreas Wisler
Was ist IT Service Change Management?
IT Service Change Management ist ein Teilbereich des IT-Service-Managements (ITSM), der darauf abzielt, Änderungen in IT-Diensten systematisch zu planen, zu steuern und umzusetzen. Ziel ist es, Risiken zu minimieren und sicherzustellen, dass Änderungen reibungslos und effizient durchgeführt werden. Dies umfasst sowohl technische Änderungen wie Software-Updates und Hardware-Upgrades als auch organisatorische Änderungen wie Prozessanpassungen und Einführung neuer IT-Services.
Die Bedeutung von IT Service Change Management- Minimierung von Ausfallzeiten: Ungeplante Ausfallzeiten können erhebliche finanzielle Verluste und Reputationsschäden verursachen. ITSCM hilft, solche Risiken zu minimieren, indem Änderungen sorgfältig geplant und überwacht werden.
- Sicherstellung der Servicequalität: Durch strukturierte Änderungsprozesse bleibt die Qualität der IT-Dienste erhalten oder wird sogar verbessert, was die Zufriedenheit der Endnutzer erhöht.
- Compliance und Sicherheit: In vielen Branchen sind Unternehmen verpflichtet, bestimmte Compliance-Vorgaben und Sicherheitsstandards einzuhalten. ITSCM hilft, diese Anforderungen zu erfüllen, indem es Änderungen kontrolliert und dokumentiert.
- Änderungsantrag (Change Request): Jede geplante Änderung beginnt mit einem Änderungsantrag, der detaillierte Informationen über die vorgeschlagene Änderung, ihre Notwendigkeit, potenzielle Auswirkungen und die betroffenen Systeme enthält.
- Bewertung und Genehmigung: Ein Change Advisory Board (CAB) bewertet den Änderungsantrag auf seine Durchführbarkeit und die potenziellen Risiken. Nur genehmigte Änderungen werden zur Umsetzung freigegeben.
- Planung und Koordination: Nach der Genehmigung wird ein detaillierter Plan erstellt, der alle Schritte zur Umsetzung der Änderung, die benötigten Ressourcen und den Zeitrahmen enthält.
- Implementierung: Die Änderung wird gemäss dem Plan umgesetzt. Dies kann die Installation von Updates, Konfigurationsänderungen oder die Einführung neuer Systeme umfassen.
- Überwachung: Nach der Implementierung wird die Änderung überwacht, um sicherzustellen, dass sie wie geplant funktioniert und keine unerwünschten Auswirkungen hat.
- Dokumentation: Jede Änderung wird dokumentiert, um eine vollständige Historie aller Änderungen zu führen.
Es gibt eine Menge von Bedrohungen und Schwachstellen, welche für das Change Management von besonderer Bedeutung sind. Nachfolgende Punkte behandeln die Kernthemen:
- Die Zuständigkeiten sind nicht oder nur mangelhaft festgelegt
- Das Change-Management ist innerhalb der Organisation zu wenig bekannt oder wird zu wenig akzeptiert
- Die Geschäftsprozesse sowie die Fachaufgaben sind zu wenig bekannt, insbesondere die Schnittstellen zu den Umsystemen
- Die Dokumentationen sind veraltet, was zu Fehlinformationen führen kann
- Es stehen zu wenig personelle, finanzielle und oder zeitliche Ressourcen zur Verfügung
- Automatisierte Verteilmöglichkeiten, welche zur Verfügung stehen, werden zu wenig sorgfältig beurteilt
- Wiederherstellungsmöglichkeiten werden zu wenig beachtet
- Sorgfältige Priorisierung der zahlreichen Änderungen, welche mitunter durchgeführt werden müssen
- Daten und Werkzeuge, welche beim Change-Management eingesetzt werden, wurden manipuliert
- Ein gut definiertes Änderungsmanagement-Prozessmodell: Ein klarer und detaillierter Prozess, der alle Schritte des Änderungsmanagements beschreibt, ist entscheidend für den Erfolg. Dies umfasst die Erstellung, Bewertung, Genehmigung, Implementierung und Überwachung von Änderungen.
- Einsatz von ITSM-Tools: Moderne ITSM-Tools bieten Funktionen zur Automatisierung und Verwaltung von Änderungsprozessen. Sie unterstützen bei der Verfolgung von Änderungsanforderungen, der Kommunikation zwischen Teams und der Dokumentation.
- Schulung und Bewusstseinsbildung: Mitarbeiter sollten regelmässig geschult werden, um die Bedeutung von ITSCM zu verstehen und die Prozesse korrekt anzuwenden. Bewusstseinsbildung hilft, eine Kultur des strukturierten Änderungsmanagements zu fördern.
- Risikobewertung und Management: Jede Änderung sollte einer gründlichen Risikobewertung unterzogen werden, um potenzielle Auswirkungen zu identifizieren und geeignete Massnahmen zur Risikominderung zu planen.
- Einbindung der Stakeholder: Alle betroffenen Parteien, einschliesslich IT-Teams, Endnutzer und Management, sollten in den Änderungsprozess einbezogen werden. Dies fördert Transparenz und Akzeptanz.
- Kontinuierliche Verbesserung: Der Änderungsmanagementprozess sollte regelmässig überprüft und verbessert werden, um Effizienzsteigerungen und Anpassungen an neue Anforderungen zu ermöglichen.
Klassisch wird zwischen drei Arten von Changes unterschieden:
- Standard Change
Ein Standard Change ist ein Change-Prozess der wiederkehrend mit den gleichen Anforderungen durchgeführt wird. Dies sind z.B. Installationen von Sicherheits-Patches. - Normaler Change
Ein normaler Change hat einen einmaligen Charakter. Dieser Change kann in ähnlicher Art wie schon einmal oder in sehr unterschiedlicher Natur sein. Deshalb wird dieser Change vor der Freigabe beurteilt. - Notfall Change
Ein Notfall Change ist ein Change in einer Notfallsituation. Ein Notfall-Change wird nur von qualifiziertem Personal, das allfällige Folgen abschätzen und korrigieren kann, durchgeführt. Die Beurteilung des Changes wird zwingend und zeitnah nach der Durchführung durch den CISO (verantwortlich für die Informationssicherheit) und/oder das Change Advisory Board vorgenommen und dokumentiert.
Nachfolgend wird ein normaler Change aufgezeigt:
Prozessschritt | Prozessziel |
Ticket erstellen |
|
Change registrieren und klassifizieren |
|
Change Request bewerten |
|
Change freigeben |
|
Change implementieren |
|
Change Testing |
|
Funktionale Freigabe |
|
Change auswerten (Post Implementation Review) |
|
IT Service Change Management ist ein wesentlicher Bestandteil, der Unternehmen hilft, Änderungen effizient und sicher zu verwalten. Durch gut definierte Prozesse, den Einsatz geeigneter Tools und die Einbindung aller Stakeholder können Unternehmen die Qualität ihrer IT-Dienste sicherstellen und gleichzeitig Risiken minimieren. In einer sich ständig verändernden digitalen Welt ist ITSCM unerlässlich, um den Betrieb reibungslos und effektiv aufrechtzuerhalten. Unternehmen, die ITSCM erfolgreich implementieren, sind besser gerüstet, um den Herausforderungen der digitalen Transformation zu begegnen.
When you subscribe to the blog, we will send you an e-mail when there are new updates on the site so you wouldn't miss them.
Comments