Waren Governance, Sicherheit und Compliance bei ITIL 2 noch stiefmütterlich behandelt worden, spielen sie nun Schlüsselrollen. Das hängt mit einer grundsätzlichen Neuerung zusammen: ITIL V3 verfolgt einen Lifecycle-Ansatz, um die Segmentierung in verschiedene IT-Bereiche und die Kluft zwischen IT und Betriebswirtschaft zu überwinden.
Unternehmen, die die neue Library einführen, werden ihre Sicherheitsprogramme denn auch fundamental ändern, sagt Gartner. Die Analysten erwarten entsprechende Umwälzungen zwischen 2009 und 2012.
Obwohl ITIL V3 noch am Anfang steht, treffen die Analysten folgende Voraussagen:
- Die neue Version stellt einen strategischen Ansatz dar und zielt darauf ab, das IT Service Management mit dem Business in Einklang zu bringen. Das erhöht den Druck, den Bereich GCR (Governance, Compliance, Risk) auf Geschäftsziele abzustimmen, statt den Blick auf Kontrollen und Schwachstellen zu verengen.
- Ein prozessorientierter Ansatz bringt neue Anforderungen in Sachen Integration, Formalisierung und Organisation der GCR-Aktivitäten mit sich.
Leitfaden ohne Umsetzungshilfe
Einen wesentlich neuen Punkt bei ITIL V3 sieht Gartner im Konzept einer Service Plattform Garantie. Darin konkretisiert sich der Gedanke, dass der Wertschöpfungsbeitrag der IT-Services von zwei Faktoren abhängt: Zweckdienlichkeit und Nutzbarkeit. In der Praxis geht es dabei um Verfügbarkeit, Kapazität, Kontinuität und Sicherheit.
Die neue Version der Library umreißt einige grundlegende Prinzipien für den Security-Prozess. Sicherheit muss demnach fest im unternehmenseigenen Governance-Rahmen verankert werden. Dazu gehört das Etablieren eines Information Security Management Systems (ISMS). ITIL empfiehlt einen Blick in den ISO/IEC-Standard 27001.
Generell werden sich Entscheider allerdings schwer tun, konkrete Hilfen aus ITIL V3 zu ziehen. Laut Gartner ist die neue Version ein guter Leitfaden dafür, was getan werden muss - aber nicht wie. Der wahre Nutzen entfalte sich wohl erst mit wachsender Erfahrung.
Der Weg dahin dürfte steinig sein. Schaudernd spricht Gartner von der "traumatischen Erfahrung" einer ITIL-Adaption. Dennoch lohnt es sich, weil der neue Lifecycle-Ansatz dazu führt, dass sämtliche GCR-Prozesse auf ihre Effizienz hin überprüft und optimiert werden.
ITIL V3 in der Umsetzung
Quasi nebenbei stellt Gartner klar, dass alle Entscheider mehr kommunizieren und zusammenarbeiten müssen. Nicht nur das IT Service Management und die Compliance-Verantwortlichen, sondern auch die Fachabteilungen werden an einen Tisch versammelt.
Wer ITIL V3 angehen will, sollte sich laut Gartner folgende Fragen stellen:
- Welche Pläne hat unser Unternehmen in dieser Sache? Starten wir blank oder hatten wir schon die Version 2 implementiert?
- Wann soll die Einführung starten?
- Wen wird ITIL am stärksten betreffen und wer sind die Mit-Entscheider?
Ziel müsse sein, eine Art V3-GCR-Strategie zu entwickeln und auf die ITIL V3-Strategie abzustimmen.
Tom Scholtz von Gartner hat die Analyse unter dem Titel "Preparing for the impact of ITIL V3 on GRC strategies" herausgegeben.