Change Management - Änderungen im Griff

 Änderungen an der IT-Infrastruktur sind eine tägliche Aufgabe eines IT-Teams. Auch die ISO 27001:2022 fordert im Kapitel 8.32 folgendes: „Änderungen an Informationsverarbeitungseinrichtungen und Informationssystemen müssen Gegenstand von Änderungsmanagementverfahren sein". Daraus wird ersichtlich, dass diese nicht einfach ad hoc gemacht werden sollen, sondern nach einem definierten Verfahren, dem IT Service Change Management (kurz ITSCM). ITSCM bezieht sich auf den strukturierten Ansatz zur  Verwaltung von Änderungen in IT-Diensten, um sicherzustellen, dass diese Änderungen minimalen Einfluss auf den laufenden Betrieb haben. Dieser Artikel beleuchtet die Bedeutung von ITSCM, seine Hauptkomponenten und bewährte Praktiken für eine erfolgreiche Implementierung.

© Storyblocks, Registriert auf Andreas Wisler

Was ist IT Service Change Management?

IT Service Change Management ist ein Teilbereich des IT-Service-Managements (ITSM), der darauf abzielt, Änderungen in IT-Diensten systematisch zu planen, zu steuern und umzusetzen. Ziel ist es, Risiken zu minimieren und sicherzustellen, dass Änderungen reibungslos und effizient durchgeführt werden. Dies umfasst sowohl technische Änderungen wie Software-Updates und Hardware-Upgrades als auch organisatorische Änderungen wie Prozessanpassungen und Einführung neuer IT-Services.

Die Bedeutung von IT Service Change Management
  1. Minimierung von Ausfallzeiten: Ungeplante Ausfallzeiten können erhebliche finanzielle Verluste und Reputationsschäden verursachen. ITSCM hilft, solche Risiken zu minimieren, indem Änderungen sorgfältig geplant und überwacht werden.
  2. Sicherstellung der Servicequalität: Durch strukturierte Änderungsprozesse bleibt die Qualität der IT-Dienste erhalten oder wird sogar verbessert, was die Zufriedenheit der Endnutzer erhöht.
  3. Compliance und Sicherheit: In vielen Branchen sind Unternehmen verpflichtet, bestimmte Compliance-Vorgaben und Sicherheitsstandards einzuhalten. ITSCM hilft, diese Anforderungen zu erfüllen, indem es Änderungen kontrolliert und dokumentiert.
Die Hauptkomponenten des ITSM
  1. Änderungsantrag (Change Request): Jede geplante Änderung beginnt mit einem Änderungsantrag, der detaillierte Informationen über die vorgeschlagene Änderung, ihre Notwendigkeit, potenzielle Auswirkungen und die betroffenen Systeme enthält.
  2. Bewertung und Genehmigung: Ein Change Advisory Board (CAB) bewertet den Änderungsantrag auf seine Durchführbarkeit und die potenziellen Risiken. Nur genehmigte Änderungen werden zur Umsetzung freigegeben.
  3. Planung und Koordination: Nach der Genehmigung wird ein detaillierter Plan erstellt, der alle Schritte zur Umsetzung der Änderung, die benötigten Ressourcen und den Zeitrahmen enthält.
  4. Implementierung: Die Änderung wird gemäss dem Plan umgesetzt. Dies kann die Installation von Updates, Konfigurationsänderungen oder die Einführung neuer Systeme umfassen.
  5. Überwachung: Nach der Implementierung wird die Änderung überwacht, um sicherzustellen, dass sie wie geplant funktioniert und keine unerwünschten Auswirkungen hat.
  6. Dokumentation: Jede Änderung wird dokumentiert, um eine vollständige Historie aller Änderungen zu führen.
Risiken

Es gibt eine Menge von Bedrohungen und Schwachstellen, welche für das Change Management von besonderer Bedeutung sind. Nachfolgende Punkte behandeln die Kernthemen:

  • Die Zuständigkeiten sind nicht oder nur mangelhaft festgelegt
  • Das Change-Management ist innerhalb der Organisation zu wenig bekannt oder wird zu wenig akzeptiert
  • Die Geschäftsprozesse sowie die Fachaufgaben sind zu wenig bekannt, insbesondere die Schnittstellen zu den Umsystemen
  • Die Dokumentationen sind veraltet, was zu Fehlinformationen führen kann
  • Es stehen zu wenig personelle, finanzielle und oder zeitliche Ressourcen zur Verfügung
  • Automatisierte Verteilmöglichkeiten, welche zur Verfügung stehen, werden zu wenig sorgfältig beurteilt
  • Wiederherstellungsmöglichkeiten werden zu wenig beachtet
  • Sorgfältige Priorisierung der zahlreichen Änderungen, welche mitunter durchgeführt werden müssen
  • Daten und Werkzeuge, welche beim Change-Management eingesetzt werden, wurden manipuliert
Bewährte Praktiken
  1. Ein gut definiertes Änderungsmanagement-Prozessmodell: Ein klarer und detaillierter Prozess, der alle Schritte des Änderungsmanagements beschreibt, ist entscheidend für den Erfolg. Dies umfasst die Erstellung, Bewertung, Genehmigung, Implementierung und Überwachung von Änderungen.
  2. Einsatz von ITSM-Tools: Moderne ITSM-Tools bieten Funktionen zur Automatisierung und Verwaltung von Änderungsprozessen. Sie unterstützen bei der Verfolgung von Änderungsanforderungen, der Kommunikation zwischen Teams und der Dokumentation.
  3. Schulung und Bewusstseinsbildung: Mitarbeiter sollten regelmässig geschult werden, um die Bedeutung von ITSCM zu verstehen und die Prozesse korrekt anzuwenden. Bewusstseinsbildung hilft, eine Kultur des strukturierten Änderungsmanagements zu fördern.
  4. Risikobewertung und Management: Jede Änderung sollte einer gründlichen Risikobewertung unterzogen werden, um potenzielle Auswirkungen zu identifizieren und geeignete Massnahmen zur Risikominderung zu planen.
  5. Einbindung der Stakeholder: Alle betroffenen Parteien, einschliesslich IT-Teams, Endnutzer und Management, sollten in den Änderungsprozess einbezogen werden. Dies fördert Transparenz und Akzeptanz.
  6. Kontinuierliche Verbesserung: Der Änderungsmanagementprozess sollte regelmässig überprüft und verbessert werden, um Effizienzsteigerungen und Anpassungen an neue Anforderungen zu ermöglichen.
Change-Prozess

Klassisch wird zwischen drei Arten von Changes unterschieden:

  • Standard Change
    Ein Standard Change ist ein Change-Prozess der wiederkehrend mit den gleichen Anforderungen durchgeführt wird. Dies sind z.B. Installationen von Sicherheits-Patches.
  • Normaler Change
    Ein normaler Change hat einen einmaligen Charakter. Dieser Change kann in ähnlicher Art wie schon einmal oder in sehr unterschiedlicher Natur sein. Deshalb wird dieser Change vor der Freigabe beurteilt.
  • Notfall Change
    Ein Notfall Change ist ein Change in einer Notfallsituation. Ein Notfall-Change wird nur von qualifiziertem Personal, das allfällige Folgen abschätzen und korrigieren kann, durchgeführt. Die Beurteilung des Changes wird zwingend und zeitnah nach der Durchführung durch den CISO (verantwortlich für die Informationssicherheit) und/oder das Change Advisory Board vorgenommen und dokumentiert.

Nachfolgend wird ein normaler Change aufgezeigt: 

Prozessschritt

Prozessziel

Ticket erstellen

  • Das Ticket enthält mindestens folgende Angaben:
    • Auftraggeber
    • Systeminformationen
    • Zeithorizont / Zeitanforderungen
    • Kritikalität

Change registrieren und klassifizieren

  • Die dokumentierten Change-Anfragen (RFCs) werden durch die Instanzen (Change Eigentümer, Change Advisory Board, etc.) registriert und klassifiziert.

Change Request bewerten

  • Die Change-Anfragen (RFCs) werden gemäss dem Change-Management-Prozess nach den festgelegten Qualitätsanforderungen beurteilt.
  • Die Qualitätsanforderungen werden nebst Business-Kriterien auch die Informationssicherheit berücksichtigt.

Change freigeben

  • Freigabe oder Zurückweisung von Changes.
  • Vorläufige Terminierung und Aufnahme in die Freigabe Checkliste bzw. FSC (Forward Schedule of Changes).

Change implementieren

  • Change gemäss Prozessvorgaben implementieren.

Change Testing

  • Die Changes werden mit Funktions- und Sicherheitstests geprüft.
  • Die Testergebnisse werden nachvollziehbar dokumentiert. Falls möglich werden automatisierte Abläufe festgelegt.

Funktionale Freigabe

  • Bei Erfüllung der Testvorgaben der Changes gibt es eine Change-Freigabe. Der Change wird anschliessend abgeschlossen.
  • Bei Changes, die die Testvorgaben nicht oder nur teilweise erfüllen, wird das Ergebnis analysiert und mit geeigneten Massnahmen die Lücke geschlossen. Anschliessend wird nach Notwendigkeit der Testprozess teilweise oder vollständig wiederholt.

Change auswerten (Post Implementation Review)

  • Am Schluss wird eine kritische Würdigung des Verlaufs und der Ergebnisse der Change-Implementierung dokumentiert. Dies für eine allfällige spätere Nachforschung, um den vollständigen Nachvollzug zu ermöglichen.
Fazit

IT Service Change Management ist ein wesentlicher Bestandteil, der Unternehmen hilft, Änderungen effizient und sicher zu verwalten. Durch gut definierte Prozesse, den Einsatz geeigneter Tools und die Einbindung aller Stakeholder können Unternehmen die Qualität ihrer IT-Dienste sicherstellen und gleichzeitig Risiken minimieren. In einer sich ständig verändernden digitalen Welt ist ITSCM unerlässlich, um den Betrieb reibungslos und effektiv aufrechtzuerhalten. Unternehmen, die ITSCM erfolgreich implementieren, sind besser gerüstet, um den Herausforderungen der digitalen Transformation zu begegnen. 

×
Stay Informed

When you subscribe to the blog, we will send you an e-mail when there are new updates on the site so you wouldn't miss them.

Zu viele Normen für die Informationssicherheit
Security Operation Center (SOC): Zentraler Pfeiler...

Related Posts

 

Comments

No comments made yet. Be the first to submit a comment
Freitag, 06. Dezember 2024

Captcha Image