Struktur
regulatorische Anforderungen an die Assetinventarisierung
Schnittstellen
→ die CMDB bietet die Grundlage für alle ITSM Prozesse (Change, Problem, Incident)
→ Austausch mit anderen Systemen muss ermöglicht werden so leicht wie möglich über das Bereitstellen von sauber dokumentierten und umfänglich aufgesetzten APIs
→ eine gut dokumentierte, semantische API ist nicht nur relevant, damit eine Platform innerhalb der Organisation eine hohe Akzeptanz findet, gepflegt bleibt und genutzt wird, sondern auch damit Datennutzer (wie zB. downstream Applikationen) eine strukturierte Datengrundlage bekommen, ohne grossen Aufwand im Setup.
Usability
eine gut gepflegte CMDB hat nicht nur eine Daseinberechtigung für den Regulator
→ bietet die Datengrundlage für alle möglichen anderen Prozesse, Produkte und Schnittstellen im Unternehmen. Wie zum Beispiel eine GRC Plattform, IDM,
→ gleichzeitig sollte eine “single source of truth” Strategie verfolgt werden: duplizieren von Daten aus anderen System muss vermieden werden und Daten sollten nur on a “need to know” Basis weitergegeben werden
→ Zu wissen, welche Systeme und IT Assets in einer Bank vorhanden sind bietet die Grundlage für BCM, dann IRM und ist im Krisenfall die essentielle Datengrundlage, um (*educated/informed*) eine Entscheidung zu treffen
Reporting
regulatorische Anforderung an Reporting ziehen an, bieten aber so viel mehr Chancen als bloss das Besänftigen des Auditors
→ Der Entwurf von
→ es gilt aber: do not report on a KPI that you cannot maintain
→ Priorisierung der Aufgaben für das Team “down in the trenches”