Скачать книгу

Notfall in der Erbringung der IT-Services (teileweise wird auch der Begriff K-Fall/Katastrophen-Fall verwendet) liegt vor, wenn absehbar wird, dass eine Störung zu einer existenzbedrohenden Betriebsunterbrechung geschäftskritischer IT-Systeme und IT-Prozesse führt. Es wird angenommen, dass ein derartiger Notfall durch den Ausfall des (Produktions-) Rechenzentrums eintreten kann. Ziel ist es – unabhängig davon, was den Ausfall des (Produktions-) Rechenzentrums ausgelöst hat – den Notbetrieb der IT Services in einem Ausweich-Rechenzentrum zur Verfügung zu stellen, solang bis der Wiederanlauf des (Produktions-) Rechenzentrums erfolgt ist.

      312

      Nach dem ITIL2011 Prozess IT Service Continuity Management, das sich am „Sicheren IT-Betrieb“, der ISO/IEC 27031 oder dem IT-Grundschutz-Standard 100-4 ausrichtet, werden hierzu konkrete Regelungen im Vertrag vereinbart. Dabei kann die Kritikalität der IT-Anwendungen anhand der möglichen Auswirkungen eines Ausfalls in folgende Stufen klassifiziert werden:

A (existenzbedrohend),
B (wesentlich) und
C (tolerierbar).

      313

      Für Anwendungen der Kritikalität A und B sollte der Provider eine entsprechende Notfallplanung haben. Die Notfallplanung sollte so ausgestaltet sein, dass durch diese sachkundige Dritte in die Lage versetzt werden, die jeweiligen Anwendungen im Ausweich-Rechenzentrum anzufahren und den Notbetrieb einschließlich der Schnittstellen, Batchverarbeitungen und Infrastrukturkomponenten zu gewährleisten.

      314

      Die Notfallplanung muss so ausgestaltet sein, dass die Anwendung mindestens innerhalb definierter Service Levels im Notbetrieb wieder zur Verfügung steht. Die Notfallplanung und die Datensicherungsverfahren müssen so ausgestaltet sein, dass die Anwendungen in einem Notfall maximal einen Datenverlust in einem kleineren Umfang erleiden.

      315

      Die Notfallplanung ist durch den Provider zu dokumentieren und bei Bedarf zu aktualisieren. Mindestens halbjährlich ist durch den Provider zu prüfen, ob eine Aktualisierung der Notfallplanung erforderlich ist. Diese Prüfung, wie auch Aktualisierungen, sind in den jeweiligen Dokumenten zu vermerken.

      316

      Die aktuelle Dokumentation der Notfallplanung ist so aufzubewahren, dass diese im Notfall für alle Mitarbeiter des Providers und des Kunden, die diese benötigen, um dem Notfall zu begegnen, zugänglich ist. Ansonsten ist die Dokumentation der Notfallplanung vertraulich zu behandeln.

      317

      Der Kunde sollte das Recht haben, einmal jährlich pro Anwendung die Notfallplanung in einem Praxistest (Notfall-Test, K-Fall-Test, Disaster-Recovery-Test) zu überprüfen. Dabei sollte der Kunde (oder die IT-Revision) festlegen, welche Anwendungen zu welchem Zeitpunkt, in welcher Zusammenstellung und in welcher Tiefe getestet werden sollen. Dazu muss natürlich der Provider eine detaillierte Dokumentation einschließlich erkannter Schwächen und Verbesserungsmöglichkeiten zur Verfügung stellen.

      318

      

      Abb. 18:

      Task-Layer-Modell beim BPO

kein Alternativtext verfügbar

       [Bild vergrößern]

      319

      

      320

      321

      

      322

Скачать книгу