|
|
|
Die Struktur der SMI-Charakteristiken verfügt über eine mehrstufige Ebenenstruktur mit bis zu drei Detailebenen, die sich auf jede Hauptcharakteristik beziehen.
Bezieht sich auf die Leichtigkeit, mit der ein Service mit gewöhnlichen Mitteln in einen normalen Betriebszustand wiederhergestellt werden kann (z. B. wenn Vorkenntnisse vorhanden sind und Handbücher und Methoden verwendet werden).
Bezieht sich auf die Fähigkeit des Service Providers, Änderungen am Service vorzunehmen, um den Service in gutem Zustand zu halten.
Bezieht sich auf die Zeit, die der Service Provider benötigt, um identifizierte Probleme zu reparieren und den Service in einen betriebsfähigen Status zurückzusetzen.
Bezieht sich darauf, inwiefern ein Service ununterbrochene Verfügbarkeit aufgrund von richtiger Risiko- und Minderungsplanung aufrecht erhalten kann.
Bezieht sich auf die prozentuale Dauer, die der Service verfügbar ist und sich im erwarteten Betriebszustand befindet.
Beschreibt, wie ein Service in einem bestimmten Zeitraum und unter bestimmten Bedingungen ohne Fehler ausgeführt wird.
Bezieht sich darauf, inwiefern der Service resistent gegenüber Veränderung, Verschlechterung oder Verschiebung ist.
Bezieht sich darauf, inwiefern ein Service nach einem geplanten oder ungeplanten Event in seinen autorisierten Konfigurationsstatus zurückkehren kann.
Bezieht sich darauf, inwiefern ein Service nach einer ungeplanten Unterbrechung wieder im normalen Betriebszustand fortgesetzt werden kann.
Bezieht sich auf die Fähigkeit, wie Ursachen für ein bestimmtes Verhalten eines Services innerhalb eines vorgegebenen Grades an Zuverlässigkeit und Zeit auslöst.
"Funktionalität" beschreibt die Angemessenheit, Vollständigkeit und Genauigkeit des Service. Es wird gemessen, wie gut der Service für seine Zwecke geeignet ist.
Beschreibt die Fähigkeit des Service, seinen Verwendungszweck zu erfüllen.
Bezieht sich auf die Fähigkeit des Service, genaue Informationen bereitzustellen.
Beschreibt die Fähigkeiten eines Services, wenn es darum geht, sich einer Reihe von Tests zu unterziehen und ähnliche Ergebnisse zu unterbreiten.
Bezieht sich auf die Fähigkeit von Services, effektiv zusammen zu arbeiten und andere oder vorhandene Systeme in der Organisation zu unterstützen.
Bezieht sich auf Änderungen an einem Service, wie neue Funktionen oder Komponenten, wenn die Änderungen nicht die vorherigen externen Schnittstellen betreffen, sondern lediglich das interne Verhalten geändert wird.
Bezieht sich auf die Fähigkeit des Service, einen erkennbaren Unterschied zu erzielen, wenn identifizierte Zwecke oder Ergebnisse erreicht werden.
Bezieht sich auf die Fähigkeit des Service, eine bestimmte Geschäftsstrategie oder ein bestimmtes Geschäftsziel oder Geschäftsergebnis zu unterstützen.
Bezieht sich auf die Fähigkeit des Service, spezifische Aufgaben ohne Verschwendungen auszuführen.
Bezieht sich auf den Zeitaufwand, um eine bestimmte, vom Service gelieferte Funktion auszuführen.
Misst die Verwendung und den Bezug von Energie und Materialien, die der Service umfasst, um Umweltauswirkungen zu minimieren und Ressourcen zu schützen.
Dadurch wird bezeichnet, wie einfach der Service verwendet werden kann, um ein bestimmtes Ziel zu erreichen.
Bezieht sich darauf, inwiefern ein Service über die automatische Konfiguration seiner Komponenten mit minimalem Risiko in einen betriebsfähigen Zustand gesetzt werden kann.
Bezieht sich auf die Beschaffenheit eines Services, um eine Reihe von Funktionen zu unterstützen, die einfach in den alltäglichen Ablauf einer bestimmten Reihe von Auftragsanforderungen angepasst werden können.
Bezieht sich darauf, wie einfach es ist, die vom Service bereitgestellte Funktionalität zu verwenden.
Bezieht sich auf die Fähigkeit des Service, das erwartete Verhalten unter bestimmten Umständen zu erreichen
Bezeichnet die Fähigkeit, eine rechtliche Vereinbarung mit einem Anbieter erfolgreich und zeitgerecht einzugehen.
Kapazität umfasst die Merkmale und Funktionen, aus denen die Servicefunktionalität besteht und die den Service beschreiben. Diese Charakteristiken variieren auf den Möglichkeiten vom bestimmten Service oder Servicekategorie.
Information und Durchblick misst die Auswirkung des Service auf das Verständnis der Organisation in Bezug auf ihre IT-Vorgänge.
Portabilität bezieht sich darauf, wie einfach Daten, Anwendungen, Prozesse oder Vorgänge der Organisation von einem Service zu einem anderen ähnlichen Service übertragen werden können.
Bezieht sich darauf, wie einfach eine Organisation von einem Anbieter eines Services zu einem anderen Anbieter des gleichen Services, mit wenig oder keinen Auswirkungen auf Geschäftsprozesse, verschoben werden kann.
Die Verwendung von abstrahierten Services von einem internen oder externen Service Provider kann die Fähigkeit der Organisation beeinträchtigen, schnell auf Business-Events zu reagieren.
Eine höchst wünschenswerte Funktion für viele Services ist es, Kapazitäten entweder durch eine manuelle Anforderung oder durch einen automatischen Prozess ausweiten zu können. Außerdem ist es wünschenswert, die Nutzung von Ressourcen sowie die Betriebskosten zu reduzieren.
Anbieterrisiko ist eine Sammlung von existenziellen Risiken in Bezug auf die Service Provider und auf die Art und Weise, wie sie ihre Geschäfte führen.
Bezieht sich auf die Konsistenz und wahrscheinliche Kontinuität des Service Providers und besteht aus Kapazitäten, Finanzdaten und Organisationsstrukturen und -prozessen. Andere Stabilitätsprobleme, wie Qualitätssicherung und Performance, werden innerhalb des Bewertungsprozesses separat behandelt. Finanziell leistungsschwache Organisationen sind eher anfällig für Serviceunterbrechungen, da Lieferantenzahlungen nicht erfüllt werden können, Mitarbeiter nicht überzeugt oder gehalten werden können und der Umfang an Vorgängen nicht gesteigert werden kann, um auf die sich ändernden Kundenbedürfnisse zu reagieren. Kleinere Organisationen auf neuen Märkten sind oft das Ziel von Fusions- und Akquisitionsaktivitäten, die möglicherweise zu einer gesteigerten Stabilität führen, die auf Kosten von strategischen oder preislichen Risiken sowie eines möglichen Zeitraums von Serviceinstabilität während der Integration erreicht wird.
Bezieht sich auf das Risiko, dass der Service Provider über keine entsprechenden Zertifizierungen des Industriestandards für IT-Sicherheit und -Vorgänge verfügt. Normale Zertifizierungen sind ISO 27000, PCI DSS und SAS 70. Von Service Providern, die über diese aktuellen Zertifizierungen verfügen, wird erwartet, dass sie ein geringeres Risiko darstellen als jene, die nicht über diese Zertifizierungen verfügen, da sie über mehrere dokumentierte Steuerungen verfügen, die den Inhalt und Umfang der Zertifizierung abdecken und von Drittanbieterorganisationen geprüft werden.
Bezieht sich auf das Risiko, dass der Service Provider, unabhängig davon, ob es sich um einen internen oder externen Anbieter handelt, nicht das gesamte Spektrum an erforderlichen Service Level-Verpflichtungen innerhalb ihrer SLA bereitstellt und/oder keine leicht zugänglichen und aktuellen Metriken bereitstellt, die als Leistungsindikatoren der erforderlichen Service Levels verwendet werden können. Alle wichtigen Anforderungen eines Services müssen innerhalb einer SLA mit einer Beschreibung der verwendeten Metrik identifiziert werden, um nachzuweisen, dass das Service Level erfüllt wird. Der Zugriff (programmatische Portale oder Webportale) auf diese Metriken muss für den Kunden komfortabel sein, sodass er überprüfen kann, dass Service Levels über Zeiträume kontinuierlich erfüllt werden.
Ein Service Provider könnte spezielle Aufgaben seiner ''Produktionskette'' an Drittanbieterparteien auslagern. In dieser Situation könnte die Sicherheitsebene und Zuverlässigkeit des Anbieters von der Sicherheitsebene und Zuverlässigkeit aller Links und Abhängigkeitsebenen des Anbieters der Drittanbieterpartei abhängen. Eine Unterbrechung oder Beschädigung in der Kette oder mangelnde Koordination der Zuständigkeiten zwischen den beteiligten Parteien könnte zu Folgendem führen: Nichtverfügbarkeit des Service, Verlust von Datenvertraulichkeit, -integrität und -verfügbarkeit, finanzielle Schäden und Rufschäden, da die Kundennachfrage nicht gedeckt werden konnte, Verletzungen von SLA, überlappende Servicefehler, usw.
Bezieht sich auf die Art und Weise, wie der Service Provider Geschäfte führt. Dies beinhaltet Geschäftspraktiken und -ethiken, die sich außerhalb der Einhaltung gesetzlicher Vorschriften befinden. Zur Ethik gehören gerechte Praktiken mit Lieferanten, Kunden und Mitarbeitern.
Umfasst die gesamte Breite an gesetzlichen und branchenspezifischen Vorschriften und die Möglichkeiten der Organisation, Einhaltungen zu erfüllen.
Bezieht sich auf das Risiko, dass der Service Provider [1] keine Dokumentation der IT-Steuerungen bereitstellen kann, die innerhalb des Service angegeben werden. Die Beschreibung, wie die IT-Steuerungen getestet werden, [2] kann keine leicht zugänglichen und überprüfbaren Daten bereitstellen, die die aktuellen und historischen Ergebnisse der Steuerungstests darstellen, oder [3] geplante kundeninterne und -externe Steuerungs-Audits werden vom Service Provider nicht regelmäßig unterstützt.
Bezieht sich auf das Risiko von Diebstahl, Betrug oder Missbrauch von Services oder Daten, da Mitarbeiter, Auftragnehmer und Anwender von Drittanbietern nicht für ihre Rollen geeignet sind. Die Sicherheitspositionen innerhalb eines Service Provider sollten über angemessene Auftragsbeschreibungen, Vorgänge zu Einstellungen und Entlassungen und entsprechende Arbeits- und Beschäftigungsbedingungen für wichtige Positionen verfügen. Insbesondere sollte das gesamte Sicherheitspersonal bei der Einstellung angemessen und danach in regelmäßigen Abständen überprüft werden. Außerdem sollte der Großteil des Sicherheitspersonals, der Vorgänge rund um die Uhr abdeckt, geschult und als IT-Sicherheitsexperten zertifiziert werden.
Bezieht sich auf das Risiko von unberechtigten physischen Zugriffen, Beschädigungen und Störungen der Prämissen und Informationen des Service Providers. Anlagen zur Verarbeitung von kritischen oder streng vertraulichen Informationen sollten in sicheren Bereichen untergebracht werden, die durch definierte Sicherheitsperimeter mit entsprechenden Sicherheitsbarrieren und Eingabekontrollen geschützt sind. Sie sollten physisch vor unberechtigten Zugriffen, Beschädigungen und Störungen geschützt sein. Der angegebene Schutz sollte den identifizierten Risiken entsprechen.
Bezieht sich auf das Risiko der falschen oder unsicheren Vorgänge der IT-Einrichtungen des Service. Die IT Management-Verantwortungen des Service Providers und des Kunden müssen im Hinblick auf Funktion und Koordination (falls notwendig) klar definiert sein. Der Service Provider muss dem Kunden die erforderlichen Verwaltungsschnittstellen, Funktionen und Prozesse zur Verfügung stellen, sodass der Kunde seine Zuständigkeiten hinsichtlich des Service effektiv verwalten kann (dies betrifft Protokollierung, Protokoll-Monitoring und Protokollsicherheit). Cloud-Architekturen erfordern bestimmte Rollen, die mit einem hohen Risiko verbunden sind. Deswegen sollten gegebenenfalls Steuerungen zur Aufgabentrennung implementiert werden, um das Risiko von fahrlässigem oder vorsätzlichem Systemmissbrauch durch bösartige Insider zu reduzieren.
Bezieht sich auf das Risiko, dass keine ausreichende, den Sicherheitsrichtlinien und gesetzlichen Vorschriften angemessene Kontrolle besteht über den Zugriff auf den Service und auf die sich durch die Nutzung des Service generierenden Daten. Eine Richtlinie zur Zugriffssteuerung, die sowohl den Service Provider als auch den Kunden mit den jeweils erforderlichen Steuerungsmechanismen umfasst, sollte regelmäßig vereinbart, dokumentiert und überprüft werden. Zugriffssteuerungsregeln und -rechte für Anwendergruppen des Service Providers und des Kunden sollten in einer einschlägigen Richtlinie deutlich festgehalten werden. Zugriffssteuerungsmechanismen sind sowohl logischer als auch physischer Art und sollten kombiniert eingesetzt werden. Dies umfasst: Verwaltung des Anwenderzugriffs, Steuerung des Netzwerkzugriffs, Steuerung des Zugriffs auf Betriebssysteme, Steuerung des Zugriffs auf Anwendungen, Steuerung des Datenzugriffs und Steuerung des mobilen Zugriffs, usw.
Diese Charakteristik besteht aus den gegenwärtigen Maßnahmen, die die Daten des Kunden schützen. Dies beinhaltet, dass der Service Provider die angegebenen Richtlinien, die geografischen oder politischen Datenstandorte sowie Dateneigentum, -schutz, -verlust und -integrität einhält.
Der Service Provider muss über eine umfassende Auswahl von Richtlinien verfügen, die sich mit der gesamten Sicherheit und dem gesamten Datenschutz befassen. Außerdem muss er über Steuerungen verfügen, um die Einhaltung der angegebenen Richtlinien sicherzustellen. Die Richtlinie sowie wie ein eindeutiger Nachweis darüber, dass die besagten Richtlinien auf einer konsistenten Grundlage befolgt werden, sollten für den Kunden zur Prüfung zur Verfügung stehen.
Der Service Provider sollte über eine explizite Richtlinie zur Aufbewahrung und Vernichtung von Daten verfügen. Diese Richtlinie sollte den Anforderungen der Aufbewahrungszeitrahmen der Kunden entgegenkommen, die für Compliance erforderlich sind (z. B. Sarbanes Oxley oder Graham Leach Bliley Act). Außerdem sollten die Richtlinien, im Hinblick auf die gesetzliche Aufbewahrungspflicht, an eine erweiterte Aufbewahrung von Daten angepasst werden können sowie eine sichere und vollständige Vernichtung der Daten bereitstellen, sobald diese nicht mehr benötigt werden.
Der Service Provider muss die Einhaltung der angegebenen Richtlinien beweisen können. Dies umfasst die Verfügbarkeit von Protokollen, Berichten, internen oder externen Audit-Ergebnissen oder anderen Mechanismen, die nachweisen, dass der Service Provider die veröffentlichten Richtlinien befolgt und angemessene Aufzeichnungen festhält.
Bezieht sich auf das Risiko, dass Kundendaten möglicherweise in mehreren Gerichtsbarkeiten festgehalten werden, von denen einige mit hohem Risiko verbunden sind. Dies ist der Fall, wenn Rechenzentren sich in Ländern mit hohem Risiko befinden, d. h. in Ländern mit mangelnder Rechtsstaatlichkeit oder mit unberechenbarer Gesetzeslage oder willkürlichen Durchsetzungsmechanismen (autokratische Polizeistaaten oder Staaten, die internationale Vereinbarungen nicht einhalten usw.). In einigen Fällen können die Daten aufgrund von staatlichen Regelungen die geopolitischen Grenzen nicht überschreiten.
Die Daten, die durch den Service gespeichert, erstellt oder verarbeitet wurden, sind möglicherweise in Eigentum oder Nutzung durch die Bedingungen der Beziehung mit dem Service Provider beschränkt. Für den Anwender kann dies Auswirkungen auf das Erreichen seiner Ziele und auf die Übertragung oder Wiederverwendung von Daten haben.
Dies ist das Risiko, dass der Service Provider [1], aufgrund von Problemen mit der Sicherheit und/oder den Prozessen, die im gesamten Lebenszyklus der Daten innerhalb des Service auftreten, keinen Verlust oder Ausfall eines PI entdecken kann und dass der Kunde [2] (und daher das potenzielle Opfer eines solchen Verlusts) nicht im Zeitrahmen der gesetzlichen Vorschriften und Fehlerbehebungen, die vom Kunden benötigt werden, detailliert über den Verlust informiert wird.
Datenintegrität bezieht sich auf die Gültigkeit und Beständigkeit der gespeicherten Daten, die durch den Service erstellt oder bearbeitet wurden, die Eignung der Datenverwendung und auf das Vertrauen, das in die Daten gesetzt werden kann.
Bezieht sich auf jene Ausgaben, die bei der ersten Lieferung durch den Serviceteilnehmer entstehen.
Beziehen sich auf jene Ausgaben (z. B. Preise), die bei Serviceabonnenten anfallen, um ihren Abonnementsanspruch auf den Service auf einen unbefristeten Ablaufplan aufrecht zu erhalten.
Die direkte Indikatormessung für die Kosten des Service.
| Copyright © 2012 CA. Alle Rechte vorbehalten. | Senden Sie CA Technologies eine E-Mail zu diesem Thema. |