WISSEN KOMPAKT

Jeder braucht sie, kaum ein Unternehmen hat sie: Eine Dokumentationsrichtlinie

viele Pfeile zeigen senkrecht nach oben

Gerade am Beginn eines neuen Jahres nehmen sich viele IT-Organisationen vor, nun endlich die Dokumentation „in Angriff“ zu nehmen. Und für viele bedeutet dies lange Zeit Versäumtes nachzuholen. Gerade in einer solchen Situation hilft es aber nicht, „blindwütig“ die vermeintlich geforderten Dokumente zu erstellen. Fehlen organisatorische Vorgaben und Hilfen für die Umsetzung, ist die Gefahr groß, dass die Optimierung der IT-Dokumentation auch im nächsten Jahr wieder auf der Agenda steht.

Von anderen Managementansätzen lernen

Das Informationssicherheitsmanagementsystem gemäß der ISO 27xx Normanreihe hat für viele IT-Organisationen, auch getrieben durch neue IT-bezogene Gesetze, eine wesentliche Bedeutung erlangt. Sucht man im Internet nach „Schritte zur Einführung“ von Informationssicherheit, findet man mehrere tausend Ergebnisse. Beim Querlesen dieser Einträge wird immer wieder so oder ähnlich die folgenden Vorgehensweise benannt:

  1. Definition von Zielen und Festlegung des Anwendungsbereichs – Erstellung der Leitlinie
  2. Festlegung von Aufbau- und Ablauforganisation für das Informationssicherheitsmanagement  – Erstellung der Richtlinie(n)
  3. Planung und Festlegung der Maßnahmen – Erstellung des Sicherheitskonzepts
  4. Umsetzung der definierten Maßnahmen und notwendiger Kontrollen
  5. Überwachung und Optimierung

Während aber für die Einführung eines Informationssicherheitsmanagementsystems (ISMS) die Richtigkeit dieser Vorgehensweise kaum jemand anzweifelt, beginnen Dokumentationsprojekte nicht selten mit dem vierten Schritt. Bei der Frage nach einem Dokumentationkonzept oder anderen verbindlichen Vorgaben für die Dokumentation stoßen wirbei unseren Beratungen dann folgerichtig meist auf Achselzucken. Allenfalls findet sich noch irgendwo eine Dokumentenvorlage, die aber nur selten die erforderlichen Belange abdeckt.

Damit aber verzichten viele Unternehmen auf wichtige Werkzeuge zur Standardisierung der IT-Dokumentation und zur Durchsetzung von Verfahren, die bei der Erstellung und Änderung von Dokumenten verbindlich einzuhalten sind. Einer der Gründe für das Fehlen einer solche Richtlinie ist, dass es keine expliziten Verpflichtungen zur Erstellung  einer Dokumentationsrichtlinie oder eines Dokumentationskonzeptes gibt. Die einzige ISO-Norm, die von Anfang an auch Anforderungen an die Dokumentation formuliert hat, ist die ISO 9001 mit den geforderten Verfahren zur Lenkung von Dokumenten und Aufzeichnungen. Eine Richtlinie fordert aber auch sie nicht.

Es obliegt also allein den Unternehmen, die für sie wichtigen Punkte in den entsprechenden Dokumenten zu regeln. Das Festlegen von Regelungen und Vorgaben für die Erstellung, Änderung und Speicherung von Dokumenten aber ist die Voraussetzung zur Durchsetzung einheitlicher Qualitätsstandards und für die Sicherstellung der Revisionssicherheit von Dokumentationen. Ohne verbindliche Regelungen ergeben sich im praktischen IT-Betriebs- und Projektalltag häufig individuell strukturierte Doku­mentationsablagen, die die Verständlichkeit und Nachvollziehbar­keit der erarbeiteten Inhalte erheblich erschweren. Und wer schon Erfahrung mit „wild gewachsenen“ IT-Dokumentationen gemacht hat weiß, welche Schwierigkeiten entstehen können, wenn die Einzeldokumente keinerlei Standards in Bezug auf Benennung, forma­len Aufbau und inhaltliche Ausgestaltung aufweisen und Abhängig­keiten zwischen den Dokumenten nicht nachvollziehbar sind. Auch Prüfer achten im Rahmen von Zertifizierungsaudits zunehmend darauf, dass die geprüften Dokumente einheitlichen Standards unterliegen. So definiert beispielsweise der Ende 2008 veröffentlichte BSI-Standard 100-4 zum Notfallmanage­ment, welche formalen Informationen alle zu erstellenden Doku­mente enthalten müssen.

Mögliche Inhalte eine Dokumentationsrichtlinie

Schauen wir an dieser Stelle noch einmal auf die Anforderungen für ein ISMS, so steht am Anfang die Erstellung der Leitlinie. Unsere langjährige Erfahrung mit dem Thema hat zwar immer wieder gezeigt, dass auch die Dokumentation ein Management erfordert, trotdem aber wäre die Forderung nach einer Leitlinie für das Dokumentationsmanagementrecht recht praxisfern und nur von akademischen Interesse.

Sinnvoll ist aber die Erstellung einer Dokumentationsrichtlinie und eines Dokumentationskonzepts, wobei es duchaus auch möglich ist die Inhalte in einem Dokument zusammenzufassen.

Richtlinien definieren gemäß unserer Definition allgemeine Anforderungen aus Sicht des Managements für Aufgaben, Abläufe und technische Sachverhalte. Die Beschreibung der Maßnahmen zur Umsetzung der übergeordneten Vorgaben erfolgt dann in Form von Konzepten, Prozessbeschreibungen, Arbeitsanweisungen u.a. Dementsprechend definiert die Dokumentationsrichtlinie verbindliche übergeordnete Regelungen für die Dokumentation. Hierzu zählen mindestens die folgenden Punkte:

  • Abgrenzung der Dokumentation (Scope),
  • Verantwortlichkeiten,
  • übergeordnete Regelungen zur Dokumentenverwaltung (z.B. durch Verbindlichsetzung von Dokumentationsverfahren und Vorlagen).

Dokumentationsmängel durch fehlende Verantwortlichkeiten

Wichtige Punkte sind die Festlegung des Geltungsbereichsdie Festlegung von Verantwortlichkeinten. Egal, welchen Standard man betrachtet, immer wird die Benennung eines Verantwortlichen gefordert. Beim Qualitätsmanagement ist die Einrichtung eines Qualitätsbeauftragten erforderlich und die ISO 27001 fordert die Einrichtung eines Sicherheitsbeauftragten. Und dies mit gutem Grund. Ohne eindeutig geregelte Zuständigkeiten gibt es keine gesteuerten Verfahren. Daraus leitet sich klar die Forderung ab, auch für das Dokumentationsmanagement einen Verantwortlichen zu benennen. Und betrachtet man Dokumentationsmanagement als Prozess, ist für diesen ohnehin ein Prozessverantwortlicher zu benennen. In der Praxis wird diese Rolle häufig von der IT-Leitung übernommen.

Den typischen Prozessrollen entsprechend, ist weiterhin die Einsetzung eines Dokumentationsmanagers sinnvoll. Diese Forderung setzt sich natürlich dem Vorwurf aus: »Und noch ein Manager!« Doch egal, wie man diese Position nennt: Ohne dass sich jemand verantwortlich um das Thema Dokumentation kümmert, ist ein effektives und nachhaltiges Dokumentationsmanagement nicht durchsetzbar. Die Rolle sollte die folgenden Aufgaben wahrnehmen:

  • Steuerung der Vorgabedokumente für das Dokumentationsmanagement,
  • Überwachung der Verfahren zur Lenkung von Dokumenten und Aufzeichnungenn (siehe hierzu auch den Beitrag Aufwachen! Aktualisierungen nicht verschlafen!)
  • Planung und Durchführung von Schulungsmaßnahmen zum Thema Dokumentation,
  • regelmäßige Berichterstattung an die IT-Leitung,
  • Motivation und Beratung der Mitarbeiter in Fragen zur Dokumentation.

Weitere Informationen zu den Aufgaben eines Dokumentationsmanagers finden Sie auch auf unserer Angebotsseite Dokumentation as a Service

Mögliche Inhalte eines Dokumentationskonzepts

Die Dokumentationsrichtlinie (Management Ebene) grenzt sich vom Dokumentationskonzept ab, dass die operative Ebene beschreibt und eine wichtige Ergänzung darstellt. Definitionsgemäß beschreibt eine Dokumentationsrichtlinie grundsätzliche Ziele und Vorgaben, aber nicht die Art und Weise, wie diese Ziele erreicht werden sollen. Ergänzend zur Dokumentationsrichtlinie, kann daher die Erstellung eines Dokumentationskonzepts sinnvoll sein. Das Konzept dient der Umsetzung der Dokumentationsrichtlinie und definiert Vorgaben für die strukturelle und inhaltliche Ausgestaltung der Fach-Dokumentation (hier der IT-Dokumentation) sowie für die operative Verwaltung von Dokumenten, d. h. für das Dokumentenmanagement.

Gemäß Duden ist ein Konzept ein erster Entwurf bzw. die erste Fassung einer Rede oder eines Schriftstücks. Wikipedia erweitert diese Definition um den Begriff Plan und Programm für ein Vorhaben. Konzepte haben also grundsätzlich planerischen und strategischen Charakter. Im Rahmen der IT-Dokumentation beschreiben Konzepte technische und/oder organisatorische Maßnahmen und dienen damit der Umsetzung einer Richtlinie. Das Dokumentationskonzept enthält demzufolge Vorgaben für die operative Umsetzung der Dokumentation. Sinnvollerweise sollten die folgenden Punkte im Dokumentationskonzept geregelt werden:

  • Strukturierung und Klassifizierung der Dokumente,
  • formale und inhaltliche Regelungen für die verschiedenen Dokumententypen,
  • operative Verantwortlichkeiten,
  • Vorgaben für die Umsetzung (einschließlich Plattformen und Werkzeuge für die Erstellung und Ablage der IT-Dokumentation).

Die Umsetzung sollte durch Bereitstellung von Dokumentvorlagen unterstützt werden, deren Verwendung verbindlich vorgeschrieben wird. Diese können für spezifische Dokumententypen auch die formale Grobstruktur der Dokumente festlegen.

Zusätzlich sollte das Dokumentationskonzept ein Glossar und ein Abkürzungsverzeichnis beinhalten oder auf diese verweisen. In diesem sollten alle Begriffe mit Relevanz für die  IT-Dokumentation  definiert werden. Unser Glossar kann Sie dabei unterstützen.

Hinweis: In der Praxis ist eine Trennung zwischen Richtlinie und Dokumentationskonzept jedoch nicht immer erforderlich bzw. sinnvoll. Wichtig ist, dass die genannten Punkte geregelt werden. In welchem Dokument dies erfolgt, muss im Einzelfall entschieden werden.

Fazit

Informationssicherheitsmanagement, Risikomanagement, Qualitätsmanagement u.a. sind in vielen Unternehmen eingeführte Systeme. Dokumentationsmanagement allerdings haben nur die wenigsten Unternehmen etabliert. Während aber niemand erwartet, dass beispielsweise ohne verbindliche Richtlinien Sicherheitsmaßnahmen unternehmensweit umzusetzen sind, wird bei der Dokumentation immer noch angenommen, dass „dies irgendwie von alleine funktioniert“. Dass dem nicht so ist, diese Erfahrung machen wir immer wieder. Daher ist  ein erster wichtiger Schritt in Richtung einer nachhaltigen IT-Dokumentation die Erstellung einer Dokumentationsrichtlinie und eines Dokumentationskonzepts. Diese Dokumente können einen Gesamtrahmen für die IT-Dokumentation bieten, Dokumentationsverfahren definieren (siehe hierzu auch den Beitrag Aufwachen! Aktualisierungen nicht verschlafen!) und Standards für die Dokumente definieren. Dass die Umsetzung ohne die Festlegung entsprechender Verantwortlichkeiten nur schwer umsetzbar ist, werden wir zu einem späteren Zeitpunkt in einem gesonderten Beitrag darstellen.

Veröffentlich 07/2016