Jeder braucht sie, kaum ein Unternehmen hat sie: Dokumentationsrichtlinie und Dokumentationskonzept

Gerade am Beginn eines neuen Jahres nehmen sich viele IT-Organisationen vor, nun endlich die Dokumentation „in Angriff“ zu nehmen. Und für viele bedeutet dies lange Zeit Versäumtes nachzuholen. Gerade in einer solchen Situation hilft es aber nicht, „blindwütig“ die vermeintlich geforderten Dokumente zu erstellen. Fehlen organisatorische Vorgaben und Hilfen für die Umsetzung, ist die Gefahr groß, dass die Optimierung der IT-Dokumentation auch im nächsten Jahr wieder auf der Agenda steht.

Von anderen Managementansätzen lernen

Das Informationssicherheitsmanagementsystem gemäß der ISO 27xx Normanreihe hat für viele IT-Organisationen, auch getrieben durch neue It-bezogenen Gesetze, eine wesentliche Bedeutung erlangt. Sucht man im Internet nach „Schritte zur Einführung“ von Informationssicherheit, findet man mehrere tausend Ergebnisse. Beim Querlesen dieser Einträge wird immer wieder so oder ähnlich die folgenden Vorgehensweise benannt:

  1. Definition von Zielen und Festlegung des Anwendungsbereichs – Erstellung der Leitlinie
  2. Festlegung von Aufbau- und Ablauforganisation für das Informationssicherheitsmanagement  – Erstellung der Richtlinie(n)
  3. Planung und Festlegung der Maßnahmen – Erstellung des Sicherheitskonzepts
  4. Umsetzung der definierten Maßnahmen und notwendiger Kontrollen
  5. Überwachung und Optimierung

Während aber für die Einführung eines Informationssicherheitsmanagementsystems (ISMS) die Richtigkeit dieser Vorgehensweise kaum jemand anzweifelt, beginnen Dokumentationsprojekte nicht selten mit dem vierten Schritt. Bei der Frage nach einem Dokumentationkonzept oder anderen verbindlichen Vorgaben für die Dokumentation stoße ich bei meinen Beratungen dann folgerichtig auf Achselzucken. Allenfalls findet sich noch irgendwo eine Dokumentenvorlage, die aber nur selten die erforderlichen Belange abdeckt.

Damit aber verzichten viele Unternehmen auf wichtige Werkzeuge zur Standardisierung der IT-Dokumentation und zur Durchsetzung von Verfahren, die bei der Erstellung und Änderung von Dokumenten verbindlich einzuhalten sind. Einer der Gründe für das Fehlen einer solche Richtlinie ist, dass es keine expliziten Verpflichtungen zur Erstellung  einer Dokumentationsrichtlinie oder eines Dokumentationskonzeptes gibt. Die einzige ISO-Norm, die von Anfang an auch Anforderungen an die Dokumentation formuliert hat, ist die ISO 9001 mit den geforderten Verfahren zur Lenkung von Dokumenten und Aufzeichnungen. Eine Richtlinie fordert aber auch sie nicht.

Es obliegt also allein den Unternehmen, die für sie wichtigen Punkte in den entsprechenden Dokumenten zu regeln. Das Festlegen von Regelungen und Vorgaben für die Erstellung, Änderung und Speicherung von Dokumenten aber ist die Voraussetzung zur Durchsetzung einheitlicher Qualitätsstandards und für die Sicherstellung der Revisionssicherheit von Dokumentationen. Ohne verbindliche Regelungen ergeben sich im praktischen IT-Betriebs- und Projektalltag häufig individuell strukturierte Doku­mentationsablagen, die die Verständlichkeit und Nachvollziehbar­keit der erarbeiteten Inhalte erheblich erschweren. Und wer schon Erfahrung mit „wild gewachsenen“ IT-Dokumentationen gemacht hat weiß, welche Schwierigkeiten entstehen können, wenn die Einzeldokumente keinerlei Standards in Bezug auf Benennung, forma­len Aufbau und inhaltliche Ausgestaltung aufweisen und Abhängig­keiten zwischen den Dokumenten nicht nachvollziehbar sind. Auch Prüfer achten im Rahmen von Zertifizierungsaudits zunehmend darauf, dass die geprüften Dokumente einheitlichen Standards unterliegen. So definiert beispielsweise der Ende 2008 veröffentlichte BSI-Standard 100-4 zum Notfallmanage­ment, welche formalen Informationen alle zu erstellenden Doku­mente enthalten müssen.

Mögliche Inhalte eine Dokumentationsrichtlinie

Schauen wir an dieser Stelle noch einmal auf die Anforderungen für ein ISMS, so steht am Anfang die Erstellung der Leitlinie. Unsere langjährige Erfahrung mit dem Thema hat zwar immer wieder gezeigt, dass auch die Dokumentation ein Management erfordert, trotdem aber wäre die Forderung nach einer Leitlinie für das Dokumentationsmanagementrecht recht praxisfern und nur von akademischen Interesse.

Sinnvoll ist aber die Erstellung einer Dokumentationsrichtlinie und eines Dokumentationskonzepts, wobei es duchaus auch möglich ist die Inhalte in einem Dokument zusammenzufassen. Wichtig ist lediglich, dass alle erfoderlichen Punkte definiert sind.

Richtlinien definieren gemäß unserer Definition allgemeine Anforderungen aus Sicht des Managements für Aufgaben, Abläufe und technische Sachverhalte. Die Beschreibung der Maßnahmen zur Umsetzung der übergeordneten Vorgaben erfolgt dann in Form von Konzepten, Prozessbeschreibungen, Arbeitsanweisungen u.a. Dementsprechend definiert die Dokumentationsrichtlinie verbindliche übergeordnete Regelungen für die Dokumentation. Hierzu zählen mindestens die folgenden Punkte:

  • Abgrenzung der Dokumentation (Scope),
  • Verantwortlichkeiten,
  • übergeordnete Regelungen zur Dokumentenverwaltung (z.B. durch Verbindlichsetzung von Dokumentationsverfahren und Vorlagen).

Ein wichtiger Punkt ist die Festlegung des Geltungsbereichs. Denn wie wir in unserem Beitrag „IT-Dokumentation – Was ist das“ im Hanser BLog erläutern, ist der Scope der IT-Dokumentation durchaus individuell. Weiterhin wichtig ist die Festlegung von Verantwortlichkeinten. Egal, welchen Standard man betrachtet, immer wird die Benennung eines Verantwortlichen gefordert. Beim Qualitätsmanagement ist die Einrichtung eines Qualitätsbeauftragten erforderlich und die ISO 27001 fordert die Einrichtung eines Sicherheitsbeauftragten. Und dies mit gutem Grund. Ohne eindeutig geregelte Zuständigkeiten gibt es keine gesteuerten Verfahren. Daraus leitet sich klar die Forderung ab, auch für das Dokumentationsmanagement einen Verantwortlichen zu benennen.

Die Dokumentationsrichtlinie (Management Ebene) grenzt sich damit vom Dokumentationskonzept ab, dass die operative Ebene beschreibt und eine wichtige Ergänzung darstellt. Optimalerweise werden allgemeingültige Richtlinien für die Dokumentation auf Unternehmensebene definiert. Spezielle, die jeweiligen Unternehmensbereiche betreffende Aspekte, wie beispielsweise Freigabeverfahren oder Ablagestrukturen für die IT-Dokumentation können dann zusätzlich in spezifizierten Richtliniendokumenten festgelegt werden.

Mögliche Inhalte eines Dokumentationskonzepts

Gemäß Duden ist ein Konzept ein erster Entwurf bzw. die erste Fassung einer Rede oder eines Schriftstücks. Wikipedia erweitert diese Definition um den Begriff Plan und Programm für ein Vorhaben. Konzepte haben also grundsätzlich planerischen und strategischen Charakter. Im Rahmen der IT-Dokumentation beschreiben Konzepte technische und/oder organisatorische Maßnahmen und dienen damit der Umsetzung einer Richtlinie. Das Dokumentationskonzept enthält demzufolge Vorgaben für die operative Umsetzung der Dokumentation. Sinnvollerweise sollten die folgenden Punkte im Dokumentationskonzept geregelt werden:

  • ƒƒStrukturierung und Klassifizierung der Dokumente (als Basis der Dokumentationslandkarte),
  • ƒƒformale und inhaltliche Regelungen für die verschiedenen Dokumententypen,
  • ƒƒoperative Verantwortlichkeiten,
  • Vorgaben für die Umsetzung (einschließlich Plattformen und Werkzeuge für die Erstellung und Ablage der IT-Dokumentation).

Die Umsetzung sollte durch Bereitstellung von Dokumentvorlagen unterstützt werden, deren Verwendung verbindlich vorgeschrieben wird. Diese können für spezifische Dokumententypen auch die formale Grobstruktur der Dokumente festlegen.

Zusätzlich sollte das Dokumentationskonzept ein Glossar und ein Abkürzungsverzeichnis beinhalten oder auf diese verweisen. In diesem sollten alle Begriffe mit Relevanz für die  IT-Dokumentation  definiert werden. Unser Glossar kann Sie dabei unterstützen.

Fazit

Informationssicherheitsmanagement, Risikomanagement, Qualitätsmanagement u.a. sind in vielen Unternehmen eingeführte Systeme. Dokumentationsmanagement allerdings haben nur die wenigsten Unternehmen etabliert. Während aber niemand erwartet, dass beispielsweise ohne verbindliche Richtlinien Sicherheitsmaßnahmen unternehmensweit umzusetzen sind, wird bei der Dokumentation immer noch angenommen, dass „dies irgendwie von alleine funktioniert“. Dass dem nicht so ist, diese Erfahrung mache ich immer wieder. Daher ist für mich ein erster wichtiger Schritt in Richtung einer nachhaltigen IT-Dokumentation die Erstellung einer Dokumentationsrichtlinie und eines Dokumentationskonzepts. Diese Dokumente können einen Gesamtrahmen für die IT-Dokumentation bieten, Dokumentationsverfahren definieren (siehe hierzu auch den Beitrag Aufwachen! Aktualisierungen nicht verschlafen!) und Standards für die Dokumente definieren. Dass die Umsetzung ohne die Festlegung entsprechender Verantwortlichkeiten nur schwer umsetzbar ist, werde ich zu einem späteren Zeitpunkt in einem gesonderten Blog-Beitrag aufgreifen.

Teilen
Facebooktwittergoogle_plusredditpinterestlinkedinmailFacebooktwittergoogle_plusredditpinterestlinkedinmail

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.