Governance, Risk und Compliance im Service-Management

Viele Unternehmen dokumentieren Notfall- und Kommunikationspläne immer noch in Word- oder Excel-Dateien, was die Verknüpfung zu geschäftlichen Prozessen erschwert. Ein GRC-Ansatz wird durch die Integration eines IT-Service-Management-Tools erheblich gestärkt und bietet Unternehmen zahlreiche zusätzliche Vorteile: Durch die Nutzung eines solchen Tools können alle relevanten Informationen, wie Notfallpläne, Geschäftsprozesse, Services und Verträge, zentral mit einer Configuration Management Database (CMDB) gebündelt werden. Diese zentrale Datenbasis schafft Transparenz über Abhängigkeiten und Zusammenhänge innerhalb des Unternehmens, was die Planung und Umsetzung von Maßnahmen erheblich erleichtert. 

Was ist GRC? 

GRC steht für Governance, Risk und Compliance und beschreibt einen ganzheitlichen, integrierten Ansatz, der Unternehmen dabei unterstützt, ethisch korrekt zu handeln und sich an interne sowie externe Vorgaben zu halten. Dabei berücksichtigt GRC den Risikoappetit eines Unternehmens – also die Bereitschaft, Risiken einzugehen. 

Ein zentraler Bestandteil von GRC ist Governance – die internen Vorgaben, die sich ein Unternehmen setzt, um Ziele wie Wachstum, neue Märkte, Nachhaltigkeit oder operative Resilienz zu erreichen. Dabei geht es nicht nur um die Zielsetzung, sondern auch um deren klare Kommunikation und Umsetzung. Risiken spielen eine wichtige Rolle, da Unternehmen ihre Risikobereitschaft klar definieren müssen. 

Der Bereich Risk fokussiert sich auf die Analyse, Bewertung und Minimierung von Risiken. Unternehmen legen fest, welche Risiken sie eingehen wollen und entwickeln Strategien, um diese zu reduzieren. Regelmäßige Analysen, Überwachung durch Systeme und festgelegte Zeitpläne zur Neubewertung der Risiken sind hierbei essenziell. Risk und Governance sind eng verzahnt, da klare Ziele immer die Risikobereitschaft berücksichtigen. 

Compliance gewährleistet die Einhaltung gesetzlicher und regulatorischer Vorgaben. Branchen- und regionsspezifische Regelwerke wie BAIT, VAIT, DORA oder KRITIS definieren Anforderungen, insbesondere für kritische Infrastrukturen wie Energie oder Wasser. Mit der NIS2-Richtlinie sind noch mehr Unternehmen von diesen Regularien betroffen, um reibungslose IT-Systeme und Infrastrukturen sicherzustellen. 

Praktische Umsetzung im IT-Service-Management 

Compliance-Themen sind eng mit dem Risikomanagement verbunden, insbesondere im Bereich der IT. Unternehmen müssen Notfallpläne entwickeln, Risiken identifizieren und ihre IT-Infrastruktur widerstandsfähig gestalten. Gleichzeitig beschreiben Regulatorien oft, welche Maßnahmen im Governance-Umfeld erforderlich sind, etwa die Hinterlegung von Notfallplänen. Die Umsetzung eines effektiven Notfallmanagements gestaltet sich schwierig, wenn Notfallpläne und Kommunikationsstrategien lediglich in Word- oder Excel-Dokumenten verwaltet werden. In solchen Fällen fehlen oft die notwendigen Zusammenhänge, und es wird schwierig, diese Pläne mit den übergeordneten Geschäftsprozessen in Einklang zu bringen.  

Wenn alle diese Themen im Kontext des IT-Service-Managements oder Enterprise Service Managements betrachtet werden, zeigen sich ihre Vorteile deutlich. Notfallpläne, die bestimmte Services unterstützen sollen, sowie Geschäftsprozesse, die auf diesen Services basieren, können mit einer CMDB verknüpft werden. Diese CMDB ist ein wesentlicher Bestandteil einer IT-Service-Management-Suite und bildet die Grundlage für die Umsetzung von Notfallmaßnahmen. Die Workflow-Engine von Service-Management-Suiten ermöglicht die schrittweise und (teil-)automatisierte Durchführung solcher Notfallpläne. Wird beispielsweise eine Maßnahme eines Notfallplans umgesetzt, handelt es sich oft um Change-Management-Themen. Durch Changes oder Releases können spezifische Maßnahmen vorgenommen werden, die die Infrastruktur der Umgebung verändern. Diese Veränderungen werden in der CMDB dokumentiert und fließen in künftige Notfallpläne ein oder verbessern bestehende Notfallpläne. 

Integration ist der Schlüssel 

Dieses Fundament ist bereits im Business Continuity Management (BCM) zu finden, insbesondere bei Notfallplänen, Risikoregistern und anderen relevanten Dokumenten. Dasselbe gilt auch für SecOps und Vertragsmanagement. Auch hier können Aufgaben zugewiesen werden, was eine grundlegende Funktion des Service-Managements darstellt: Aufgaben zu verteilen und sicherzustellen, dass die richtigen Personen informiert werden. Dies kann durch automatisierte E-Mails oder durch Teams-Chat-Gruppen geschehen, die im IT-Service-Management eingesetzt werden, um die relevanten Personen schnell zu benachrichtigen. 

Im Risikomanagement können Monitoring-Systeme, Vulnerability Management und SIEM zur Überwachung von Risiken genutzt werden. Wenn Sicherheitsvorfälle im Rahmen von Security Event Management und Security Incidents bearbeitet werden, werden diese Themen in den IT-Service-Management-Kontext integriert, der auf der CMDB basiert und mit anderen IT-Vorfällen zusammenarbeitet. Das Risikomanagement ist eng mit den IT-Service-Management-Prozessen verzahnt, was auch dazu beiträgt, Compliance-Vorgaben zu erfüllen. 

Alles auf einen Blick 

Mit GRC-Lösungen wie von OpenText besteht zusätzlich die Möglichkeit, IT-Verträge wie Wartungs-, Lizenz- und Kaufverträge zu verwalten und diese mit Infrastruktur und Services zu verknüpfen. Dadurch wird auch ein umfassendes Dokumenten-Management möglich. Verträge spielen eine zentrale Rolle bei der Compliance und sind in vielen Bereichen relevant – sei es bei Lizenzen, Geräten oder Dienstleistern. Service-Verträge müssen in der CMDB gespeichert werden, damit sie jederzeit zugänglich sind. Es ist wichtig, die Service Level Agreements (SLAs) zu kennen und zu wissen, wen man im Falle eines Vorfalls kontaktieren muss. Auch das Vertragsmanagement muss jederzeit darüber informiert sein, welche Verträge bestehen und welche Bedingungen gelten, und ob diese Verträge aus regulatorischer Sicht bewertet werden müssen, wobei auch die Infrastruktur auf diese Verträge zugreifen muss. 

Die enge Verzahnung von Business Continuity Management, SecOps, Verträgen sowie Governance, Risk und Compliance lässt sich in einem IT-Service-Management-Tool abbilden. Alle diese Prozesse greifen auf die gleichen IT-Service-Management-Prozesse zu, die miteinander verknüpft sind und als gemeinsame Grundlage dienen. 

Weitere Informationen erhalten Sie auf der Webseite Governance, Risk und Compliance mit OpenText. Dort finden Sie auch den ersten Teil unserer Webcast-Reihe zu dem Thema sowie das aktuelle Whitepaper.