In IT-Organisationen ist eine bevorstehende Prüfung oder ein anstehendes Audit häufig der Auslöser, sich „nun endlich einmal“ mit dem Thema Dokumentation zu befassen und lange Zeit Versäumtes nachzuholen. Gerade in einer solchen Situation hilft es aber nicht, „blindwütig“ die vermeintlich geforderten Dokumente zu erstellen. Fehlen organisatorische Vorgaben in Form einer Dokumentationsrichtlinie oder eines Dokumentationskonzepts sowie Hilfen für die Umsetzung, ist die Gefahr groß, dass jede Menge Dokumente erstellt werden, die dann an beliebiger Stelle im Filesystem oder in einer SharePoint-Bibliothek verschwinden.
Von anderen Managementansätzen lernen
Das Informationssicherheitsmanagementsystem gemäß der ISO 27xx Normenreihe hat für viele IT-Organisationen, auch getrieben durch neue IT-bezogene Gesetze, eine wesentliche Bedeutung erlangt. Sucht man im Internet nach „Schritte zur Einführung“ von Informationssicherheit, findet man mehrere tausend Ergebnisse. Die beschriebene Vorgehensweise ist aber immer ähnlich:
- Definition von Zielen und Festlegung des Anwendungsbereichs – Erstellung der Leitlinie
- Festlegung von Aufbau- und Ablauforganisation für das Informationssicherheitsmanagement – Erstellung der Richtlinie(n)
- Planung und Festlegung der Maßnahmen – Erstellung des Sicherheitskonzepts
- Umsetzung der definierten Maßnahmen und notwendiger Kontrollen
- Überwachung und Optimierung
Während aber für die Einführung eines Informationssicherheitsmanagementsystems (ISMS) die Richtigkeit dieser Vorgehensweise kaum jemand anzweifelt, beginnen Dokumentationsprojekte nicht selten mit dem vierten Schritt. Bei der Frage nach einem Dokumentationskonzept oder anderen verbindlichen Vorgaben für die Dokumentation stoßen wir bei unseren Beratungen darum meist auf Achselzucken.
Dokumentationsrichtlinie zusätzlich zum Verfahren zur Lenkung von Dokumenten
Unternehmen, die sich einer ISO-Zertifizierung unterziehen, müssen zwangsläufig ein Verfahren zur Lenkung von Dokumenten und Aufzeichnungen respektive dokumentierten Informationen implementieren und natürlich dokumentieren. Im Beitrag Verfahren zur Lenkung von Dokumenten – Voraussetzung für eine aktuelle Dokumentation stellen wir dieses näher vor.
Zusätzlich ist die Erstellung einer Dokumentationsrichtlinie sinnvoll. Richtlinien definieren gemäß unserer Definition allgemeine Anforderungen aus Sicht des Managements für Aufgaben, Abläufe und technische Sachverhalte. Die Beschreibung der Maßnahmen zur Umsetzung der übergeordneten Vorgaben erfolgt dann in Form von Konzepten, Prozessbeschreibungen, Arbeitsanweisungen oder auch in Verfahrensbeschreibungen. Dementsprechend definiert die Dokumentationsrichtlinie verbindliche, übergeordnete Regelungen für die Dokumentation. Hierzu zählen mindestens die folgenden Punkte:
Gut zu wissen: Die Basis unserer Beratung bildet das von uns entwickelte und vielfach erprobte Vorgehensmodell. Ein wesentlicher Bestandteil des Modells ist die Dokumentenpyramide. Mehr dazu erfahren Sie in dem Fachbuch von Manuela Reiss „Dokumentationsmanagement – Basis für IT-Governance“.
- Abgrenzung der Dokumentation (Scope),
- Rollen,
- Dokumentationsarchitektur,
- übergeordnete Regelungen zur Dokumentenverwaltung (z. B. durch Verbindlichsetzung von Dokumentationsverfahren).
In der Praxis aber verzichten viele Unternehmen auf wichtige Werkzeuge zur Standardisierung der IT-Dokumentation und zur Durchsetzung von Verfahren, vermutlich auch deshalb, da sie von den Regularien nicht explizit gefordert wird.
Wichtig: Definition der Rollen für die Dokumentation
Zu den wichtigsten Aufgaben der Dokumentationsrichtlinie gehört nach unserer Erfahrung die Festlegung von Rollen und Verantwortlichkeiten. Egal, welchen Standard man betrachtet, immer wird die Benennung eines Verantwortlichen gefordert. Beim Qualitätsmanagement ist die Einrichtung eines Qualitätsbeauftragten erforderlich und die ISO 27001 fordert verbindlich einen Sicherheitsbeauftragten. Und dies mit gutem Grund. Ohne eindeutig geregelte Zuständigkeiten gibt es keine gesteuerten Verfahren. Daraus leitet sich klar die Forderung ab, auch für das Dokumentationsmanagement einen Verantwortlichen zu benennen.
Ob man diesen als Dokumentationsbeauftragen oder als Dokumentationsmanager bezeichnet, muss im individuellen Kontext betrachtet werden. Dieser ist auf der operativen Ebene für die Umsetzung der Dokumentationsprozesse verantwortlich. Denn, ohne dass sich jemand verantwortlich um das Thema Dokumentation kümmert, ist ein effektives und nachhaltiges Dokumentationsmanagement nicht durchsetzbar.
Ohne verbindliche Regelungen ergeben sich im praktischen IT-Betriebs- und Projektalltag häufig individuell strukturierte Dokumentationsablagen, die die Verständlichkeit und Nachvollziehbarkeit der erarbeiteten Inhalte erheblich erschweren. Und wer schon Erfahrung mit „wild gewachsenen“ IT-Dokumentationen gemacht hat, weiß, welche Schwierigkeiten entstehen können, wenn die Einzeldokumente keinerlei Standards in Bezug auf Benennung, formalen Aufbau und inhaltliche Ausgestaltung aufweisen und Abhängigkeiten zwischen den Dokumenten nicht nachvollziehbar sind. Die folgenden Aufgaben können dem Dokumentationsmanager übertragen werden:
- Überwachung und Steuerung des Einsatzes von Dokumentationswerkzeugen,
- Überwachung der Verfahren zur Dokumentenlenkung
- Planung und Durchführung von Schulungsmaßnahmen zum Thema Dokumentation,
- regelmäßige Berichterstattung,
- Motivation und Beratung der Mitarbeiter in Fragen zur Dokumentation.
Ihr Vorteil: Dem externen QMB vergleichbar, können Sie uns als externen Dokumentationsmanager beauftragen. Das Outsourcing dieser Aufgabe kann insbesondere für klein- und mittelständische Unternehmen eine ressourcensparende Alternative sein. Mehr erfahren …
Mögliche Inhalte eines Dokumentationskonzepts
Wie bereits beschrieben, muss es zusätzlich zur Dokumentationsrichtlinie, Vorgaben für die operative Dokumentenverwaltung geben. Ob die Inhalte gemeinsam mit den Inhalten der Richtlinie in einem WIKI, in einem Dokumentationskonzept oder eben in dem genannten Dokument mit der Beschreibung des Verfahrens zur Dokumentenlenkung beschrieben werden, spielt dabei keine Rolle. Wichtig ist, dass mindestens die folgenden Punkte geregelt werden:
- Strukturierung und Klassifizierung der Dokumente,
- formale und inhaltliche Regelungen für die verschiedenen Dokumententypen,
- operative Verantwortlichkeiten,
- Vorgaben für die Umsetzung (einschließlich Plattformen und Werkzeuge für die Erstellung und Ablage der IT-Dokumentation).
Die Umsetzung sollte durch Bereitstellung von Dokumentvorlagen unterstützt werden, deren Verwendung verbindlich vorgeschrieben wird. Diese können für spezifische Dokumententypen auch die formale Grobstruktur der Dokumente festlegen.
Zusätzlich kann das Dokumentationskonzept ein Glossar und ein Abkürzungsverzeichnis beinhalten oder auf diese verweisen. In diesem sollten alle Begriffe mit Relevanz für die IT-Dokumentation definiert werden. Unser Glossar kann Sie dabei unterstützen.
Fazit
Informationssicherheitsmanagement, Risikomanagement, Qualitätsmanagement u. a. sind in vielen Unternehmen eingeführte Systeme. Dokumentationsmanagement aber haben noch viel zu wenige Unternehmen etabliert. Während jedoch niemand erwartet, dass beispielsweise ohne verbindliche Richtlinien Sicherheitsmaßnahmen unternehmensweit umzusetzen sind, wird bei der Dokumentation immer noch angenommen, dass „dies irgendwie funktioniert“. Dass dem nicht so ist, diese Erfahrung machen wir immer wieder. Daher ist ein erster wichtiger Schritt in Richtung einer nachhaltigen IT-Dokumentation die Erstellung einer Dokumentationsrichtlinie und eines Dokumentationskonzepts.
Manuela Reiss dokuit®