Österreich
Secure Your Business
 

Good Practice:
rubicon Skill-Matrix gewährleistet Verfügbarkeit von
IT-Diensten nach ISO 27001

 

Skill-Matrix nach ITIL erfüllt ISO 27001-Anforderungen an Hochverfügbarkeit von IT-Services und Schulungsbedarfserhebung.


(CIS-Newsletter Nov/Dez 2014) - Mit rund 100 Mitarbeitern am Firmensitz in Wien ist die rubicon IT GmbH auf Entwicklung und Betrieb unternehmenskritischer IT-Anwendungen spezialisiert, die höchste Qualitäts- und Sicherheitsanforderungen erfüllen müssen – dazu gehört unter anderem die Fahndungslösung für das Schengen-Büro im Innenministerium. Aber auch Projekte wie das Rechtsinformationssystem im Bundeskanzleramt oder die Gepäcklogistik für die Schweizer Bundesbahnen verlangen höchste Verfügbarkeit und Datenintegrität. Im Geltungsbereich der Zertifizierung des Informationssicherheits-Managementsystems nach ISO 27001 befindet sich zunächst das 100 Prozent redundant ausgelegte Rechenzentrum mit 15 Mitarbeitern, 400 Servern und einer Kapazität von mehr als 160 Terabyte. In einem weiteren Schritt wird der Scope auf das ganze Unternehmen inklusive Software-Entwicklung ausgeweitet.

 

Zertifikat beweist Vorsprung

„Diese Hochverfügbarkeit ist bei Rechenzentren mittlerer Größe außergewöhnlich. Das 03 Peter GrassniggISO-27001-Zertifikat unterstützt uns dabei, solche Vorteile gegenüber dem Mitbewerb sichtbar zu machen“, berichtet Peter Grassnigg, Geschäftsführer der rubicon IT GmbH. Aufgrund der Ausrichtung nach ISO 27001 inklusive der Zertifizierung kann rubicon höherwertige IT-Dienste anbieten und diese auch vertraglich zusichern. „Wir haben die Gewissheit, dass alle relevanten Prozesse sorgfältig abgesichert betrieben werden. Die Gefahr von Vorfällen ist damit minimiert – niemand möchte gern über Pannen im eigenen Unternehmen in der Zeitung lesen“, betont Grassnigg.

 

Elegante Lösung mit Skill-Matrix

Der Standard für Informationssicherheit ISO 27001 verlangt die Definition der erforderlichen Kompetenzen und eine regelmäßige Schulungsbedarfserhebung, um die gemäß der Risikoanalyse definierten Sicherheits- und Verfügbarkeitsziele zu erreichen. Diese Herausforderung hat die rubicon IT GmbH elegant gelöst. „Wir haben dafür eine übersichtliche Skill-Matrix entwickelt, die generell im Service Management nach ITIL oder ISO 20000 verwendet wird und diese 27001-Anforderungen optimal erfüllt“, erklärt Peter Grassnigg. Die Matrix stellt sicher, dass der Betrieb aller IT-Services durch das Wissen der eingesetzten Mitarbeiter jederzeit gewährleistet ist – zum Beispiel auch im Krankheitsfall. Zusätzlich lassen sich daraus Entwicklungspotenziale der Mitarbeiter ablesen und Fortbildungsmaßnahmen planen. Für die Abbildung verfügbarer Kompetenzen in der Skill-Matrix wird den Mitarbeitern im Rechenzentrum je nach Wissens- und Erfahrungslevel in bestimmten Bereichen eine IT-Service-Rolle zugeschrieben:
• Operator Level 1: Kann leichte Tasks im Zusammenhang mit dem IT-Service durchführen
• Operator Level 2: Kann mittlere bis schwere, definierte Tasks durchführen
• Service Engineer: Kann Störungen beheben und Change Requests bewerten

 

Weiterbildungsmaßnahmen

Das Resultat der Skill-Matrix ist eine Darstellung, wie viele dieser Rollen pro IT-Service im Bereich vertreten sind. Daraus lassen sich mögliche Lücken aufzeigen und konkrete Weiterbildungsmaßnahmen ableiten. Der Weg dorthin umfasst die Schritte: Erfassung aller IT-Services, Festlegung der Skill-Anforderungen je IT-Service und je Rolle (Service Owner), Beurteilung der IT-Services-Mitarbeiter. Danach gleicht die Skill-Matrix automatisch die Mitarbeitereinstufung mit den IT-Service-Anforderungen ab. Nach der Erfassung aller IT-Services wird eine Zuordnungstabelle erstellt: Hier werden alle Skills definiert, die zum Aufrechterhalten des Betriebs eines Services notwendig sind. Dies geschieht durch Zuweisung der verwendeten Technologien eines Services zu den drei vorgegebenen Rollen und Bewertung nach Skill-Level 0 bis 4.
rubicon Abbildung 1
Abbildung 1: Testdaten zu Demonstrationszwecken

 

 

Dann erfolgt die Bewertung der Mitarbeiter für die verschiedenen Skills in der Tabelle „Skill-Matrix 1“.
rubicon Abbildung 2
Abbildung 2: Testdaten zu Demonstrationszwecken

 

 

Schließlich kann die finale Skill-Matrix erstellt werden. Die Matrix gleicht automatisch die Fähigkeiten der Mitarbeiter mit den einzelnen Mindestanforderungen der IT-Services je Rolle ab. Liegen die Fähigkeiten eines Mitarbeiters über den Mindestanforderungen einer Rolle (und unter der nächsthöheren Rolle), wird er in der Skillmatrix mit einer „1“ versehen. Diese Bewertung ermöglicht Kalkulationen. Es können dadurch Mindestbesetzungen als Ziel je IT-Service definiert und eine Zielerreichung berechnet werden (max. 100%). Zusätzlich ist auf einen Blick erkennbar, für welche Services noch Personen auszubilden sind, um den Betrieb konstant gewährleisten zu können.

 

rubicon Abbildung 3
Abbildung 3: Testdaten zu Demonstrationszwecken

 

________________________
Für den Inhalt verantwortlich:
CIS - Certification & Information Security Services GmbH, T +43 (0)1 532 98 90, office@cis-cert.com

 

 
 
CIS - Certification & Information Security Services GmbH T +43 (0)1 532 98 90 office@cis-cert.com Impressum

AGB