Vorlagen sind kein Allheilmittel

Haben Sie dafür eine Dokumentvorlage? Diese Frage höre ich immer wieder. Doch Vorlagen allein reichen nicht. Wichtiger sind ein Verständnis für die Anforderungen an die Dokumentation und die Prozesse hinter den Vorlagen.

In den ersten beiden Auflagen unseres Praxishandbuchs IT-Dokumentation haben wir eine Reihe von Dokumentvorlagen auf CD mitgeliefert und dafür viel Zuspruch erhalten. Doch bereits zu diesem Zeitpunkt war uns klar, dass das starre Ausfüllen von Vorlagen keinen wirklichen Mehrwert bringt. Denn unsere jahrelangen Erfahrungen zeigen, dass diese nur eines erzeugen: Dokumente, die nach der Fertigstellung (und der Prüfung durch den Auditor) irgendwo in den Weiten des Dateisystems verschwinden. In der dritten Auflage haben wir uns daher ganz bewusst entschieden, auf die Bereitstellung von Dokumentvorlagen zu verzichten.

Entscheidend ist nämlich, dass die bereits vorhandenen Informationen richtig genutzt werden sowie individuelle und auf die Bedürfnisse des eigenen Unternehmens ausgerichtete Dokumente erstellt, aktuell gehalten und weiterentwickelt werden. Hierzu bedarf es der Einrichtung von Dokumentationsprozessen. Ohne diese ist es kaum möglich, eine nachhaltige Dokumentation bzw. IT-Dokumentation aufzubauen. Ohne festgelegte Verantwortlichkeiten, Richtlinien und definierte Abläufe wird es nicht gelingen, aus einer unzusammenhängenden Sammlung von Dokumenten eine ganzheitliche Dokumentation aufzubauen. Und daher werden wir in unserem Blog immer wieder Themen dazu aufgreifen.

Nun ist es allerdings nicht so, dass Dokumentvorlagen nicht auch eine wichtige Hilfe bieten können. Wenn ich mit den Anforderungen an eine im Rahmen der ISO 27001 geforderten Risikoanalyse vertraut bin, kann mir eine gute Excel-Vorlage viel Arbeit ersparen. Ebenso kann mir ein Beispiel für ein Berechtigungskonzept wichtige Anhaltspunkte für die Erstellung eines solchen Dokuments liefern. Das Verständnis für die Bewertung und die Behandlung von Risiken werde ich allein mit Hilfe einer Vorlage jedoch nicht erlangen. Sowohl in unserem Buch, als auch in diesem Blog verweisen wir daher gerne auf Hilfsmittel, die mehr bieten, als eine  pure Gliederung. Einen sehr gelungenen Werkzeugkasten zum Thema Business Continuity Management (Notfallmanagement) stellt beispielsweise das BSI mit dem Umsetzungsrahmenwerk (UMRA) zum Standard 100-4 zur Verfügung, das wir in einem eigenen Beitrag (Der allseits Verkannte) vorstellen.

Welche Erfahrungen haben Sie mit ggf. auch kommerziellen Vorlagensammlungen gemacht? Teilen Sie meine Einschätzung? Ich freue mich auf Ihre Kommentare.

Manuela Reiss

Teilen
Facebooktwittergoogle_plusredditpinterestlinkedinmailFacebooktwittergoogle_plusredditpinterestlinkedinmail

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.