Aufwachen! Aktualisierungen nicht verschlafen!

Jeder weiß es, aber es gelingt trotzdem nur selten: Da wurde das Sicherheitskonzept schon über ein Jahr nicht mehr aktualisiert, das IT-Notfallhandbuch steht in einer uralten Version im Schrank und wo sich die aktuellen Versionen der verschiedenen Konzepte befinden, wissen nur deren Ersteller.

Ohne feste Regeln, d.h. Dokumentationsverfahren für die regelmäßige Überprüfung und Überarbeitung der Dokumente, wird an dem beschriebenen Zustand auch nichts ändern. Nicht umsonst fordern relevante Standards die Einrichtung von Verfahren zur Lenkung von Dokumenten.

Von der ISO Norm 9001 lernen

Die Qualitätsmanagement Norm ISO 9001:2008 beispielsweise beschreibt im Abschnitt 4.1 Dokumentationsanforderungen für das Qualitätsmanagement. Hierin fordert die Norm die Dokumentation und Umsetzung von sechs definierten Verfahren. Zwei davon sind Dokumentationsverfahren und lauten:

Gemäß Norm stellen Aufzeichnungen einen besonderen Dokumententyp dar, für deren Management gesonderte Verfahren erforderlich sind. Sie müssen „erstellt und aufrechterhalten werden, um einen Nachweis der Konformität mit den Anforderungen … bereitzustellen“. Bei Aufzeichnungen handelt es sich also um Nachweise, im Gegensatz zu den Vorgabedokumenten. Vorgabedokumente definieren, wie bestimmte Tätigkeiten zu verrichten sind oder wie in bestimmten Situationen zu verfahren ist. Aufzeichnungen hingegen belegen, welche Ergebnisse erreicht wurden bzw. dass bestimmte Pflichten erfüllt wurden.

Vorgabedokumente sind durch folgende Merkmale gekennzeichnet:

  • sie definieren Anforderungen an Tätigkeiten (Prozesse, Arbeitsabläufe) oder Systeme
  • sie können geändert werden bzw. unterliegen regelmäßigen Überprüfungszyklen
  • sie können einem Verantwortlichen zugeordnet werden
  • sie müssen für eine definierte Verwendung (in einem Prozess oder als Compliance-Nachweis) zur Verfügung stehen

Aufzeichnungen (Nachweisdokumente) weisen die folgenden wesentlichen Merkmale auf:

  • sie enthalten die Beschreibung eines erreichten Zustandes
  • sie dürfen nicht geändert werden
  • sie sind als Nachweis aufzubewahren

Wird dieser Ansatz auf die Dokumente der IT-Dokumentation übertragen, können beispielsweise Installationsanleitungen, Konzepte und Wartungsverträge der Kategorie Vorgabedokumente zugeordnet werden. Bei Statusberichten zum aktuellen Patchstand oder Monitoring-Auswertungen hingegen handelt es sich um Aufzeichnungen.

Wie aber können nun die Dokumentationsverfahren helfen, die IT-Dokumentation aktuell zu halten?

In der Praxis genügt es nicht nur die Dokumente in ihrem aktuellen Zustand zu betrachten. Jedes Dokument durchläuft von der ersten Arbeitsversion bis zu seiner endgültigen (finalen) Version verschiedene Stufen. Alle Phasen lassen sich in einem Dokumentenlebenszyklus darstellen. Dieser Zyklus beschreibt den Prozess, den ein Dokument von seiner Erstellung über die Verwendung bis zum Löschen bzw. bis zum Sichern in einem Langzeitarchiv durchläuft. Wie bereits ausgeführt fordert die ISO Norm 9001 nicht nur eine generelle Unterscheidung, sondern vor allem eine unterschiedliche Verwaltung von Dokumenten und Aufzeichnungen.

Lenkung von Vorgabedokumenten

Gemäß ISO 9001:200 müssen die vom Qualitätsmanagementsystem geforderten Vorgabedokumente gelenkt, also gesteuert werden. Hierfür ist es erforderlich:

  1. „Dokumente bezüglich ihrer Angemessenheit vor ihrer Herausgabe zu genehmigen,
  2. Dokumente zu bewerten, sie bei Bedarf zu aktualisieren und erneut zu genehmigen,
  3. sicherzustellen, dass Änderungen und der aktuelle Überarbeitungsstatus von Dokumenten gekennzeichnet werden,
  4. sicherzustellen, dass gültige Fassungen zutreffender Dokumente an den jeweiligen Einsatzorten verfügbar sind,
  5. sicherzustellen, dass Dokumente lesbar und leicht erkennbar bleiben,
  6. sicherzustellen, dass Dokumente externer Herkunft gekennzeichnet werden und ihre Verteilung gelenkt wird, und
  7. die unbeabsichtigte Verwendung veralteter Dokumente zu verhindern und diese in geeigneter Weise zu kennzeichnen, falls sie aus irgendeinem Grund aufbewahrt werden“.

Es sollten daher für alle Phasen des Dokumentenlebenszyklus Prozesse definiert werden. Diese müssen sicherstellen, dass

  • nur gültige Dokumente verfügbar sind,
  • alle Dokumente zu jedem Zeitpunkt aktuell sind,
  • ungültige Dokumente entfernt sind.

Leider wird gerade die Einführung von Dokumentationsprozessen in vielen Unternehmen vernachlässigt. Zwar wird vielfach einmalig „richtig aufgeräumt“, dann aber wird zu alten Verfahren zurückgekehrt. Wichtig jedoch ist, dass Dokumente regelmäßig aktualisiert werden und diese Änderungen standardisiert nach festen Vorgabenerfolgen. So muss zum einen sichergestellt werden, dass definierte Überprüfungszyklen auch nachvollziehbar eingehalten werden. Und auch der Änderungsprozess selbst muss standardisiert erfolgen. So darf es auch nicht passieren, dass ein Mitarbeiter Änderungen in einem Dokument vornimmt, während andere Mitarbeiter mit »ihrer« Arbeitsversion des Dokuments weiterarbeiten und von den Änderungen nichts mitbekommen.

Bei der Entwicklung und Implementierung von Prozessen zur Lenkung von Dokumenten können die nachfolgenden Fragen weiterhelfen:

  • Wann wird ein neues Dokument erstellt?
  • Wer ist für ein Dokument verantwortlich?
  • Wer darf Dokumente erstellen / ändern?
  • Wann und durch wen findet eine Qualitätsprüfung statt?
  • Was wird geprüft (formale Richtigkeit und/oder inhaltliche Richtigkeit)?
  • Wer darf welche Dokumente freigeben?
  • Wo werden welche Dokumente bereitgestellt?
  • Wie wird die Aktualität der Dokumente sichergestellt?
  • Was bzw. wer initiiert Änderungen?
  • Wie erfolgt die Umsetzung von Änderung?
  • Wie werden Änderungen kommuniziert?
  • Welche Dokumente werden wie lange aufbewahrt?
  • Wie wird mit veralteten Dokumenten umgegangen?
  • Wie werden Aufbewahrungsfristen sichergestellt?

Eigentlich selbstverständlich, in der Praxis aber häufig vernachlässigt wird die Anforderung, dass alle an den Prozessen beteiligten Personen (hierzu gehören gegebenenfalls auch externe Berater) die Regelungen kennen und einhalten. Es ist daher zwingend erforderlich einen Verantwortlichen für die Dokumentation zu benennen, der auch die Umsetzung der Prozesse sicherstellt.

Lenkung von Aufzeichnungen

Das wichtigste Merkmal von Aufzeichnungen ist deren Unveränderbarkeit. Nachvollziehbarerweise unterliegen Aufzeichnungen daher anderen Prozessen.

Gemäß Norm 9001 müssen „Aufzeichnungen lesbar, leicht erkennbar und wiederauffindbar bleiben. Ein dokumentiertes Verfahren muss erstellt werden, um die Lenkungsmaßnahmen festzulegen, die erforderlich sind für

  • die Kennzeichnung,
  • die Aufbewahrung,
  • den Schutz,
  • die Wiederauffindbarkeit,
  • die Aufbewahrungsfrist von Aufzeichnungen
  • und die Verfügung über Aufzeichnungen“.

Fazit

Plant man den Aufbau bzw. die Optimierung der IT-Dokumentation, ist die Analyse der vorhandenen Dokumente und die Entwicklung einer an den Anforderungen ausgerichteten Struktur der erste wichtige Schritt. Eine Unterscheidung in Dokumente und Aufzeichnungen gemäß Qualitätsmanagementnorm ISO 9001 kann hierbei hilfreich sein und eine gute Basis für die Detailstruktur liefern. In weiteren Schritten sind dann die vorhandenen Dokumente zu konsolidieren und fehlende Dokumente zu identifizieren und zu erstellen. Die Aktualität der IT-Dokumentation kann langfristig aber nur mittels entsprechender Dokumentationsprozesse aufrechterhalten werden. Auch hierfür bietet die ISO 9001 mit den darin geforderten Verfahren zur Lenkung von Dokumenten und zur Lenkung von Aufzeichnungen wichtige Impulse.

Teilen
Facebooktwittergoogle_plusredditpinterestlinkedinmailFacebooktwittergoogle_plusredditpinterestlinkedinmail

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.