RiLi-Dokumentenlenkung: Unterschied zwischen den Versionen

Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen
 
KKeine Bearbeitungszusammenfassung
 
(14 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
Mustervorlage: '''"Richtlinie zur Lenkung von Dokumenten"'''
{{#seo:
|title=Richtlinie zur Lenkung von Dokumenten
|keywords=Lenkung von Dokumenten, ISMS, Sicherheitsdokumentation, Dokumentenerstellung, Dokumentenprüfung, Dokumentenrevision, Dokumentenaufbewahrung
|description=Richtlinie zur Lenkung von ISMS Dokumenten, gilt für die Erstellung, Überwachung, Prüfung, Revision und Aufbewahrung aller Sicherheitsdokumente.
}}{{SHORTDESC:Mustervorlage "Richtlinie zur Lenkung von Dokumenten"}}
Die Richtlinie zur Dokumentenlenkung beschreibt die Vorgaben und Prozesse zur Erstellung, Genehmigung, Überprüfung und Archivierung von Dokumenten. Ziel ist ein strukturierter Umgang mit Sicherheitsdokumentation, einschließlich Klassifizierung, Lebenszyklus und Verantwortlichkeiten, um die Informationssicherheit zu gewährleisten.


== Einleitung ==
== Einleitung ==


Ein zentraler Bestandteil eines ISMS ist die Lenkung von Dokumenten und Aufzeichnungen.
Ein zentraler Bestandteil eines ISMS ist die Lenkung von Dokumenten und Aufzeichnungen.
Die vorliegende Richtlinie beschreibt die Vorgaben und den Prozess zur Lenkung von Dokumenten und Aufzeichnungen.
Die vorliegende Richtlinie beschreibt die Vorgaben und den Prozess zur Lenkung von Dokumenten und Aufzeichnungen in der Organisation.


== Geltungsbereich ==
==Geltungsbereich==


Diese Richtlinie gilt für alle Dokumente und Aufzeichnungen der Sicherheitsdokumentation der Organisation. Die Richtlinie ist für alle Mitarbeitenden des Geltungsbereichs verbindlich.
Diese Richtlinie gilt für alle Dokumente und Aufzeichnungen der Sicherheitsdokumentation der Organisation unabhängig davon ob diese in Papier-, Datei-, oder Datenbankform (z.B. in einem WiKi) vorliegen. Die Richtlinie ist für alle Mitarbeitenden der Organisation verbindlich.


== Zielsetzung ==
==Zielsetzung==


Ziel dieser Richtlinie ist ein strukturierter und angemessener Umgang mit Sicherheitsdokumentation in der Organisation.
Ziel dieser Richtlinie ist ein strukturierter und angemessener Umgang mit Sicherheitsdokumentation in der Organisation.


Diese Richtlinie beschreibt die Verfahren und Verantwortlichkeiten für die Erstellung, Überwachung, Überprüfung, Überarbeitung und Aufbewahrung von Dokumenten innerhalb der Organisation.
Diese Richtlinie beschreibt die Verfahren und Verantwortlichkeiten für die Erstellung, Genehmigung, Kennzeichnung, Überwachung, Überprüfung, Überarbeitung und Aufbewahrung von Dokumenten innerhalb der Organisation.


== Prozessbeschreibung ==
==Prozessbeschreibung==


=== Verantwortliche ===
===Verantwortliche===


Für die Lenkung von Dokumente sind folgende Rollen definiert:
Für die Lenkung von Dokumente sind folgende Rollen definiert:
{| class="wikitable"
{| class="wikitable"
|-
|-
| Ersteller: || Jedes Dokument weist einen Ersteller (Dokument-Eigentümer) auf, der verantwortlich ein Dokument erstellt und fortschreibt.
|'''Ersteller'''||Jedes Dokument weist einen Ersteller (Dokument-Eigentümer) auf, der verantwortlich ein Dokument erstellt und fortschreibt.
|-
|-
| Prüfer: || Jedem Dokument wird ein Prüfer zugewiesen, der das Dokument mit fachlicher Expertise inhaltlich prüft.
|'''Prüfer'''||Jedem Dokument wird ein Prüfer zugewiesen, der das Dokument mit fachlicher Expertise inhaltlich prüft.
|-
|-
| Freigebender: || Jedes Dokument wird von einem Freigebenden (Fachvorgesetzten) formal freigegeben und in Kraft gesetzt.
|'''Freigebender'''||Jedes Dokument wird von einem Freigebenden (Fachvorgesetzten) formal freigegeben und in Kraft gesetzt.
|-
|-
|}
|}
Alle genannten Rollen müssen auf dem Deckblatt jedes Dokuments mit konkreten Verantwortlichen aufgeführt werden.


=== Grundsatz ===
===Grundsatz===


Grundsätzlich werden alle Dokumente und Aufzeichnungen gelenkt. Dabei sind Dokumente und Aufzeichnungen wie folgt definiert:
Grundsätzlich werden alle Dokumente und Aufzeichnungen gelenkt. Dabei sind Dokumente und Aufzeichnungen wie folgt definiert:
* '''Dokumente (D)''' sind Vorgabendokumente, z.B. Richtlinien, Konzepte, Arbeitsanweisungen.
*'''Dokumente (D)''' sind Vorgabendokumente, z.B. Richtlinien, Konzepte, Arbeitsanweisungen.
* '''Aufzeichnungen (A)''' sind Dokumente, die einem Nachweis dienen, etwa ausgefüllte Formulare, Checklisten oder Protokolle.
*'''Aufzeichnungen (A)''' sind Dokumente, die einem Nachweis dienen, etwa ausgefüllte Formulare, Checklisten oder Protokolle.


=== Dokumenttypen ===
===Dokumenttypen===


Es werden in der Organisation folgende Dokumenttypen definiert:
Es werden in der Organisation folgende Dokumenttypen definiert:
{| class="wikitable"
{| class="wikitable"
|-
|-
! !! Typ !! Inhalt !! Ersteller
! !!Typ !!Inhalt!!Ersteller
|-
|-
! D0
!D0
|| Leitlinie  
||Leitlinie
|| Leitlinien sind von der Leitung vorgegebene organisationsweite Prinzipien, an denen sich die gesamte Organisation zu orientieren hat.  
||Leitlinien sind von der Leitung vorgegebene organisationsweite Prinzipien, an denen sich die gesamte Organisation zu orientieren hat.
|| Leitung & ISB  
||Leitung & ISB
|-
|-
! D1
!D1
|| Richtlinie  
||Richtlinie
|| Richtlinien beinhalten allgemeine Vorgaben und Handlungsanweisungen zu einem Themenschwerpunkt. Richtlinien sollten nicht lösungs- oder produktspezifisch formuliert werden.
|| Richtlinien beinhalten allgemeine Vorgaben und Handlungsanweisungen zu einem Themenschwerpunkt. Richtlinien sollten nicht lösungs- oder produktspezifisch formuliert werden.
|| ISB & Fachbereich
|| ISB & Fachbereich
|-
|-
! D2
!D2
|| Konzept  
||Konzept  
|| Ein Konzept beschreibt (skizzenhaft) einen (Lösungs-)Entwurf oder Plan für ein größeres und längerfristiges Vorhaben.
||Ein Konzept beschreibt (skizzenhaft) einen (Lösungs-)Entwurf oder Plan für ein größeres und längerfristiges Vorhaben.
|| Fachbereich / Betrieb
||Fachbereich / Betrieb
|-
|-
! D3
!D3
|| Anweisung  
||Anweisung
|| Eine Anweisung enthält konkrete Handlungsanweisungen oder Instruktionen für bestimmte Abläufe.
||Eine Anweisung enthält konkrete Handlungsanweisungen oder Instruktionen für bestimmte Abläufe (z.B. Betriebshandbuch).
|| Betrieb / Fachbereich
|| Betrieb / Fachbereich
|-
|-
! A0
!A0
|| Aufzeichnung  
||Aufzeichnung
|| Aufzeichnungen sind festgehaltene Umstände oder Abläufe, z.B. Protokolle, Logbücher, Formulare, Checklisten.
||Aufzeichnungen sind festgehaltene Umstände oder Abläufe, z.B. Protokolle, Logbücher, Formulare, Checklisten.  
|| Betrieb
||Betrieb
|}
|}
Der Dokumententyp ist auf dem Deckblatt jedes Dokuments anzugeben.


=== Lebenszyklus ===
===Lebenszyklus===


Für Dokumente wird folgender Lebenszyklus definiert:
Für Dokumente wird folgender Lebenszyklus definiert:
{| class="wikitable"
{| class="wikitable"
|-
|-
| Entwurf: || Ein Dokument wird vom Ersteller erstellt, es ist noch nicht geprüft oder freigegeben.
|'''Entwurf'''|| Ein Dokument wird vom Ersteller erstellt, es ist noch nicht geprüft oder freigegeben.
|-
|-
| Prüfung: || Ein vom Ersteller erstelltes Dokument wird vom Prüfer geprüft, es ist noch nicht freigegeben.
|'''Prüfung'''||Ein vom Ersteller erstelltes Dokument wird vom Prüfer geprüft, es ist noch nicht freigegeben.
|-
|-
| Freigabe: || Ein vom Freigebenden formal freizugebenes Dokument. Es kann sofort oder zu einem späteren Zeitpunkt Gültigkeit erlangen.
|'''Freigabe'''||Ein vom Freigebenden formal freizugebenes Dokument. Es kann nach der Freigabe sofort oder zu einem späteren Zeitpunkt Gültigkeit erlangen.
|-
|-
| Gültig: || Ein Dokument ist ab dem Zeitpunkt seiner Gültigkeit in Kraft und damit für den Gültigkeitsbereich verbindlich.
|'''Gültig'''||Ein Dokument ist ab dem Zeitpunkt seiner Gültigkeit in Kraft und damit für den Gültigkeitsbereich verbindlich.
|-
|-
| Ungültig: || Ein abgelaufenes oder für ungültig erklärtes Dokument darf nicht mehr verwendet werden.
|'''Ungültig'''|| Ein abgelaufenes oder für ungültig erklärtes Dokument. Es darf nicht mehr verwendet werden.
|-
|-
| Archiviert: || Ungültige Dokumente werden bis zur Löschung archiviert.
|'''Archiviert'''||Ungültige Dokumente werden bis zur Löschung archiviert.
|-
|-
|}
|}
Für betriebliche Aufzeichnungen gilt kein besonderer Lebenszyklus.
Der aktuelle Lebenszyklus ist auf dem Deckblatt jedes Dokuments anzugeben.


=== Prüfung und Freigabe ===
Für betriebliche Aufzeichnungen gilt kein besonderer Lebenszyklus, da diese üblicherweise kontinuierlich fortgeschrieben werden.


Dokumente werden vor der Freigabe von einem Prüfer geprüft und qualitätsgesichert, der nicht der Ersteller des Dokumentes ist. Anschließend wird das Dokument durch den Freigeber (''z.B. den Fachvorgesetzten'') freigegeben.
===Prüfung und Freigabe===
Es gelten die o.g. Rollendefinitionen. Prüfung und Freigabe sind im Dokument zu vermerken.


=== Ablageort ===
Die Dokumente werden vor der Freigabe von einem Prüfer, der nicht der Ersteller des Dokuments ist, geprüft und qualitätsgesichert. Anschließend wird das Dokument bei Bedarf noch einmal überarbeitet und durch den Freigeber (z.B. Fachvorgesetzter) freigegeben. Es gelten die oben genannten Rollendefinitionen. Prüfung und Freigabe sind in der Historie im Dokument zu vermerken.


Für jedes Dokument ist angegeben, wo dieses entsprechend seiner Klassifizierung abgelegt ist. An diesem Ablageort liegen jeweils '''nur''' die aktuell gültigen Versionen des Dokumentes.
===Ablageort ===


''Die möglichen Ablageorte (Fileserver, DMS, WiKi) sind hier mit aufzuführen.''
Für jedes Dokument wird angegeben, wo es entsprechend seiner Klassifizierung abgelegt ist. An diesem Ablageort befinden sich jeweils '''nur''' die aktuell gültigen Versionen des Dokuments.


=== Namenskonvention der Dokumente ===
''Die möglichen Ablageorte (Fileserver, DMS, WiKi) sind hier mit anzugeben.''
 
====Verfügbarkeit====
Die Dokumente sind zentral aufzubewahren, den zuständigen Personen jederzeit zugänglich zu machen und vor unbefugtem Zugriff zu schützen.
 
Betriebskritische Dokumente (z. B. Betriebs- und Notfalldokumentation) müssen zusätzlich offline (auf lokalen Geräten oder in Papierform) vorgehalten werden.
 
===Namenskonvention der Dokumente===


Für alle Dokumente und Aufzeichnungen gilt folgende Vorgabe zur Wahl des Dateinamens:
Für alle Dokumente und Aufzeichnungen gilt folgende Vorgabe zur Wahl des Dateinamens:
Zeile 109: Zeile 122:


In jedem Dokument werden folgende Informationen angegeben:
In jedem Dokument werden folgende Informationen angegeben:
* Name
*Name
* Version
*Version
* Datum der Erstellung
*Datum der Erstellung
* Dokument-Eigentümer (Ersteller)
*Dokument-Eigentümer (Ersteller)
* Dokument-Freigabe durch Freigebenden
*Dokument Prüfung durch Prüfer
* Änderungshistorie mit
*Dokument-Freigabe durch Freigebenden
** Datum
*Änderungshistorie mit
** Versionsnummer
**Datum
** Änderung ggü. vorheriger Version
**Versionsnummer
** Bearbeiter
**Änderung ggü. vorheriger Version
**Bearbeiter
**Prüf- und Freigabevermerke


Für alle Dokumenttypen sind die jeweils aktuellen Dokumentvorlagen zu verwenden.
Für alle Dokumenttypen sind die jeweils aktuellen Dokumentvorlagen zu verwenden.


=== Klassifizierung ===
''(Hinweis auf den Ablageort der Vorlagen)''
 
===Klassifizierung===


Alle Dokumente sind entsprechend ihrem Inhalt zu klassifizieren.
Alle Dokumente sind entsprechend ihrem Inhalt zu klassifizieren.
Zeile 135: Zeile 152:
{| class="wikitable"
{| class="wikitable"
|-
|-
! !! style="background-color:#afd095;"| öffentlich<br>nicht&nbsp;klassifiziert !! style="background-color:#ffffd7;"| intern !! style="background-color:#ffdbb6;"| vertraulich
! !! style="background-color:#afd095;" |öffentlich<br>nicht&nbsp;klassifiziert!! style="background-color:#ffffd7;" |intern!! style="background-color:#ffdbb6;" |vertraulich
|-
|-
| '''Beispiele'''  
| '''Beispiele'''
| style="background-color:#afd095;"| Öffentlicher Webauftritt, Infoflyer, Speiseplan der Kantine  
| style="background-color:#afd095;" |Öffentlicher Webauftritt, Infoflyer, Speiseplan der Kantine
| style="background-color:#ffffd7;"| Richtlinien, Konzepte, Raumpläne, Organigramme  
| style="background-color:#ffffd7;" |Richtlinien, Konzepte, Raumpläne, Organigramme
| style="background-color:#ffdbb6;"| Unternehmenszahlen, Personaldaten, Netzpläne, Konfigurationsdaten  
| style="background-color:#ffdbb6;" | Unternehmenszahlen, Personaldaten, Netzpläne, Konfigurationsdaten
|-
|-
| '''Kenntnis'''  
|'''Kenntnis'''
| style="background-color:#afd095;"| jeder  
| style="background-color:#afd095;" |jeder
| style="background-color:#ffffd7;"| Mitarbeiter<br>ggf. Geschäftspartner und Kunden  
| style="background-color:#ffffd7;" |Mitarbeiter<br>ggf. Geschäftspartner und Kunden
| style="background-color:#ffdbb6;"| begrenzte Gruppe von Mitarbeitenden (z.B nur Personalstelle)  
| style="background-color:#ffdbb6;" |begrenzte Gruppe von Mitarbeitenden (z.B nur Personalstelle)
|-
|-
| '''Ablage'''  
|'''Ablage'''
| style="background-color:#afd095;"| beliebig  
| style="background-color:#afd095;" |beliebig
| style="background-color:#ffffd7;"| nur auf internen Systemen der Organisation  
| style="background-color:#ffffd7;" | nur auf internen Systemen der Organisation
| style="background-color:#ffdbb6;"| nur in zugriffsgeschützten Bereichen  
| style="background-color:#ffdbb6;" |nur in zugriffsgeschützten Bereichen
|-
|-
| '''Cloud'''  
|'''Cloud'''
| style="background-color:#afd095;"| beliebig  
| style="background-color:#afd095;" | beliebig
| style="background-color:#ffffd7;"| nur europäische Cloudspeicher  
| style="background-color:#ffffd7;" |nur europäische Cloudspeicher
| style="background-color:#ffdbb6;"| nur europäische Cloudspeicher und zusätzlich Verschlüsselt  
| style="background-color:#ffdbb6;" |nur europäische Cloudspeicher und zusätzlich Verschlüsselt
|-
|-
| '''Mobile<br>Speicher'''  
|'''Mobile<br>Speicher'''
| style="background-color:#afd095;"| beliebig  
| style="background-color:#afd095;" |beliebig
| style="background-color:#ffffd7;"| nur zusätzlich Verschlüsselt
| style="background-color:#ffffd7;" |nur zusätzlich verschlüsselt
| style="background-color:#ffdbb6;"| nur auf von der Organisaion freigegebenen, verschlüsselten Datenträger  
 
| style="background-color:#ffdbb6;" |nur auf von der Organisaion freigegebenen, verschlüsselten Datenträger
|-
|-
| '''Ausdruck<br>Kopie'''  
| '''Ausdruck<br>Kopie'''
| style="background-color:#afd095;"| beliebig
| style="background-color:#afd095;" |beliebig
| style="background-color:#ffffd7;"| nur innerhalb der Organisation  
| style="background-color:#ffffd7;" |nur innerhalb der Organisation
| style="background-color:#ffdbb6;"| nur im nötigen Umfang innerhalb des zuständigen Bereichs (z.B Personalstelle)
| style="background-color:#ffdbb6;" |nur im nötigen Umfang innerhalb des zuständigen Bereichs (z.B Personalstelle)
|-
|-
| '''Übermittlung<br>(intern)'''  
|'''Übermittlung<br>(intern)'''
| style="background-color:#afd095;"| beliebig
| style="background-color:#afd095;" |beliebig
| style="background-color:#ffffd7;"| nur innerhalb der Organisation
| style="background-color:#ffffd7;" |nur innerhalb der Organisation
| style="background-color:#ffdbb6;"| Nur verschlüsselt oder in versiegeltem Umschlag
| style="background-color:#ffdbb6;" |Nur verschlüsselt oder in versiegeltem Umschlag
|-
|-
| '''Übermittlung<br>(extern)'''  
|'''Übermittlung<br>(extern)'''
| style="background-color:#afd095;"| beliebig
| style="background-color:#afd095;" |beliebig
| style="background-color:#ffffd7;"| nur an ausgewählte Geschäftspartner bzw. Kunden  
| style="background-color:#ffffd7;" |nur an ausgewählte Geschäftspartner bzw. Kunden
| style="background-color:#ffdbb6;"| Nur verschlüsselt oder in versiegeltem Umschlag und mit NDA
| style="background-color:#ffdbb6;" |Nur verschlüsselt oder in versiegeltem Umschlag und mit NDA
|-
|-
| '''Löschung<br>Vernichtung'''  
|'''Löschung<br>Vernichtung'''
| style="background-color:#afd095;"| keine Vorgaben  
| style="background-color:#afd095;" |keine Vorgaben
| style="background-color:#ffffd7;"| gem. DIN66399 Sicherheitsklasse 1  
| style="background-color:#ffffd7;" |gem. DIN66399 Sicherheitsklasse 1
| style="background-color:#ffdbb6;"| gem. DIN66399 Sicherheitsklasse 2  
| style="background-color:#ffdbb6;" |gem. DIN66399 Sicherheitsklasse 2
|}
|}


=== Überprüfung ===
===Überprüfung===


Leitlinien sind mindestens alle zwei Jahre zu überprüfen.  
Leitlinien sind mindestens alle zwei Jahre zu überprüfen.  


Richtlinien und Konzepte sind nach Bedarf, mindestens aber jährlich auf ihre Aktualität zu überprüft und ggf. zu aktualisieren.
Richtlinien und Konzepte sind nach Bedarf, mindestens aber jährlich auf ihre Aktualität zu überprüft und ggf. zu aktualisieren. Wesentliche inhaltliche Änderungen müssen erneut geprüft und freigegeben werden.


Betriebliche Aufzeichnungen sind laufend zu aktualisieren.
Betriebliche Aufzeichnungen sind laufend zu aktualisieren.


Die Überprüfung und ggf. die Aktualisierung ist im Dokument in der Historie zu vermerken.
Die Überprüfung und ggf. die Aktualisierung und erneute Freigabe sind im Dokument in der Historie zu vermerken.


=== Änderungsmanagement ===  
===Änderungsmanagement===  


Änderungen an einem Dokument dürfen nur durch den Dokument-Eigentümer vorgenommen werden.
Änderungen an einem Dokument dürfen nur durch den Dokument-Eigentümer vorgenommen werden.
Zeile 199: Zeile 217:
Abgelöste Dokumente werden zunächst als ungültig gekennzeichnet und anschließend archiviert.
Abgelöste Dokumente werden zunächst als ungültig gekennzeichnet und anschließend archiviert.


=== Aufbewahrungsfristen ===
===Aufbewahrungsfristen===


Soweit Gesetze oder andere Regelungen keine anderslautenden Fristen vorschreiben, sind Leitlinien und Richtlinien 10 Jahre aufzubewahren, Konzepte sind fünf Jahre aufzubewahren und andere Aufzeichnungen ein Jahr.
Soweit Gesetze oder andere Regelungen keine anderslautenden Fristen vorschreiben, sind Leitlinien und Richtlinien 10 Jahre aufzubewahren, Konzepte sind fünf Jahre aufzubewahren und andere Aufzeichnungen ein Jahr.


=== Archivierung ===
===Archivierung===


Nicht mehr gültige Dokumente werden mit dem Schriftzug "'''ungültig!'''" auf der Titelseite gekennzeichnet und so archiviert. Nach Ende der Aufbewahrungsfrist werden diese Dokumente entsprechend ihrer Klassifizierung gelöscht oder vernichtet.
Nicht mehr gültige Dokumente werden mit dem Schriftzug "'''ungültig!'''" auf der Titelseite gekennzeichnet und so archiviert. Nach Ende der Aufbewahrungsfrist werden diese Dokumente entsprechend ihrer Klassifizierung gelöscht oder vernichtet.
Zeile 209: Zeile 227:
''Ggf. nährere Regelungen zu Ort und Art der Archivierung.''
''Ggf. nährere Regelungen zu Ort und Art der Archivierung.''


== Schlussbemerkung ==
==Schlussbemerkung==
 
===Behandlung von Ausnahmen===
== Inkrafttreten ==
Ausnahmen von den Regelungen dieser Richtlinie sind nur mit einem begründeten Ausnahmeantrag im Rahmen des [[RiLi-Ausnahmemanagement|Ausnahmemanagements]] möglich.
===Revision===
Diese Richtlinie wird regelmäßig, jedoch mindestens einmal pro Jahr, durch den Regelungsverantwortlichen auf Aktualität und Konformität geprüft und bei Bedarf angepasst.
==Inkrafttreten==


Diese Richtlinie tritt zum 01.01.2222 in Kraft.
Diese Richtlinie tritt zum 01.01.2222 in Kraft.
Zeile 220: Zeile 241:


Unterschrift, Name der Leitung
Unterschrift, Name der Leitung
[[Kategorie:Richtlinie]]
[[Kategorie:Mustervorlage]]

Aktuelle Version vom 3. August 2024, 08:07 Uhr

Die Richtlinie zur Dokumentenlenkung beschreibt die Vorgaben und Prozesse zur Erstellung, Genehmigung, Überprüfung und Archivierung von Dokumenten. Ziel ist ein strukturierter Umgang mit Sicherheitsdokumentation, einschließlich Klassifizierung, Lebenszyklus und Verantwortlichkeiten, um die Informationssicherheit zu gewährleisten.

Einleitung

Ein zentraler Bestandteil eines ISMS ist die Lenkung von Dokumenten und Aufzeichnungen. Die vorliegende Richtlinie beschreibt die Vorgaben und den Prozess zur Lenkung von Dokumenten und Aufzeichnungen in der Organisation.

Geltungsbereich

Diese Richtlinie gilt für alle Dokumente und Aufzeichnungen der Sicherheitsdokumentation der Organisation unabhängig davon ob diese in Papier-, Datei-, oder Datenbankform (z.B. in einem WiKi) vorliegen. Die Richtlinie ist für alle Mitarbeitenden der Organisation verbindlich.

Zielsetzung

Ziel dieser Richtlinie ist ein strukturierter und angemessener Umgang mit Sicherheitsdokumentation in der Organisation.

Diese Richtlinie beschreibt die Verfahren und Verantwortlichkeiten für die Erstellung, Genehmigung, Kennzeichnung, Überwachung, Überprüfung, Überarbeitung und Aufbewahrung von Dokumenten innerhalb der Organisation.

Prozessbeschreibung

Verantwortliche

Für die Lenkung von Dokumente sind folgende Rollen definiert:

Ersteller Jedes Dokument weist einen Ersteller (Dokument-Eigentümer) auf, der verantwortlich ein Dokument erstellt und fortschreibt.
Prüfer Jedem Dokument wird ein Prüfer zugewiesen, der das Dokument mit fachlicher Expertise inhaltlich prüft.
Freigebender Jedes Dokument wird von einem Freigebenden (Fachvorgesetzten) formal freigegeben und in Kraft gesetzt.

Alle genannten Rollen müssen auf dem Deckblatt jedes Dokuments mit konkreten Verantwortlichen aufgeführt werden.

Grundsatz

Grundsätzlich werden alle Dokumente und Aufzeichnungen gelenkt. Dabei sind Dokumente und Aufzeichnungen wie folgt definiert:

  • Dokumente (D) sind Vorgabendokumente, z.B. Richtlinien, Konzepte, Arbeitsanweisungen.
  • Aufzeichnungen (A) sind Dokumente, die einem Nachweis dienen, etwa ausgefüllte Formulare, Checklisten oder Protokolle.

Dokumenttypen

Es werden in der Organisation folgende Dokumenttypen definiert:

Typ Inhalt Ersteller
D0 Leitlinie Leitlinien sind von der Leitung vorgegebene organisationsweite Prinzipien, an denen sich die gesamte Organisation zu orientieren hat. Leitung & ISB
D1 Richtlinie Richtlinien beinhalten allgemeine Vorgaben und Handlungsanweisungen zu einem Themenschwerpunkt. Richtlinien sollten nicht lösungs- oder produktspezifisch formuliert werden. ISB & Fachbereich
D2 Konzept Ein Konzept beschreibt (skizzenhaft) einen (Lösungs-)Entwurf oder Plan für ein größeres und längerfristiges Vorhaben. Fachbereich / Betrieb
D3 Anweisung Eine Anweisung enthält konkrete Handlungsanweisungen oder Instruktionen für bestimmte Abläufe (z.B. Betriebshandbuch). Betrieb / Fachbereich
A0 Aufzeichnung Aufzeichnungen sind festgehaltene Umstände oder Abläufe, z.B. Protokolle, Logbücher, Formulare, Checklisten. Betrieb

Der Dokumententyp ist auf dem Deckblatt jedes Dokuments anzugeben.

Lebenszyklus

Für Dokumente wird folgender Lebenszyklus definiert:

Entwurf Ein Dokument wird vom Ersteller erstellt, es ist noch nicht geprüft oder freigegeben.
Prüfung Ein vom Ersteller erstelltes Dokument wird vom Prüfer geprüft, es ist noch nicht freigegeben.
Freigabe Ein vom Freigebenden formal freizugebenes Dokument. Es kann nach der Freigabe sofort oder zu einem späteren Zeitpunkt Gültigkeit erlangen.
Gültig Ein Dokument ist ab dem Zeitpunkt seiner Gültigkeit in Kraft und damit für den Gültigkeitsbereich verbindlich.
Ungültig Ein abgelaufenes oder für ungültig erklärtes Dokument. Es darf nicht mehr verwendet werden.
Archiviert Ungültige Dokumente werden bis zur Löschung archiviert.

Der aktuelle Lebenszyklus ist auf dem Deckblatt jedes Dokuments anzugeben.

Für betriebliche Aufzeichnungen gilt kein besonderer Lebenszyklus, da diese üblicherweise kontinuierlich fortgeschrieben werden.

Prüfung und Freigabe

Die Dokumente werden vor der Freigabe von einem Prüfer, der nicht der Ersteller des Dokuments ist, geprüft und qualitätsgesichert. Anschließend wird das Dokument bei Bedarf noch einmal überarbeitet und durch den Freigeber (z.B. Fachvorgesetzter) freigegeben. Es gelten die oben genannten Rollendefinitionen. Prüfung und Freigabe sind in der Historie im Dokument zu vermerken.

Ablageort

Für jedes Dokument wird angegeben, wo es entsprechend seiner Klassifizierung abgelegt ist. An diesem Ablageort befinden sich jeweils nur die aktuell gültigen Versionen des Dokuments.

Die möglichen Ablageorte (Fileserver, DMS, WiKi) sind hier mit anzugeben.

Verfügbarkeit

Die Dokumente sind zentral aufzubewahren, den zuständigen Personen jederzeit zugänglich zu machen und vor unbefugtem Zugriff zu schützen.

Betriebskritische Dokumente (z. B. Betriebs- und Notfalldokumentation) müssen zusätzlich offline (auf lokalen Geräten oder in Papierform) vorgehalten werden.

Namenskonvention der Dokumente

Für alle Dokumente und Aufzeichnungen gilt folgende Vorgabe zur Wahl des Dateinamens:

[Titel des Dokuments]_[Versionsnr. oder Datum].[Dateiendung]. Beispiel: "Richtlinie zur Dokumentenlenkung_1.1.odt" oder "Richtlinie zur Dokumentenlenkung_2022-03-15.odt"

In jedem Dokument werden folgende Informationen angegeben:

  • Name
  • Version
  • Datum der Erstellung
  • Dokument-Eigentümer (Ersteller)
  • Dokument Prüfung durch Prüfer
  • Dokument-Freigabe durch Freigebenden
  • Änderungshistorie mit
    • Datum
    • Versionsnummer
    • Änderung ggü. vorheriger Version
    • Bearbeiter
    • Prüf- und Freigabevermerke

Für alle Dokumenttypen sind die jeweils aktuellen Dokumentvorlagen zu verwenden.

(Hinweis auf den Ablageort der Vorlagen)

Klassifizierung

Alle Dokumente sind entsprechend ihrem Inhalt zu klassifizieren.

In der Organisation werden die Klassen öffentlich, intern und vertraulich verwendet.
Nicht klassifizierte Dokumente entsprechen der Klasse öffentlich.

Die Klassifizierung ist im Kopf des Dokuments anzugeben.

Die Bedeutung der Klassen und deren Verwendung ist der folgenden Tabelle definiert:

öffentlich
nicht klassifiziert
intern vertraulich
Beispiele Öffentlicher Webauftritt, Infoflyer, Speiseplan der Kantine Richtlinien, Konzepte, Raumpläne, Organigramme Unternehmenszahlen, Personaldaten, Netzpläne, Konfigurationsdaten
Kenntnis jeder Mitarbeiter
ggf. Geschäftspartner und Kunden
begrenzte Gruppe von Mitarbeitenden (z.B nur Personalstelle)
Ablage beliebig nur auf internen Systemen der Organisation nur in zugriffsgeschützten Bereichen
Cloud beliebig nur europäische Cloudspeicher nur europäische Cloudspeicher und zusätzlich Verschlüsselt
Mobile
Speicher
beliebig nur zusätzlich verschlüsselt nur auf von der Organisaion freigegebenen, verschlüsselten Datenträger
Ausdruck
Kopie
beliebig nur innerhalb der Organisation nur im nötigen Umfang innerhalb des zuständigen Bereichs (z.B Personalstelle)
Übermittlung
(intern)
beliebig nur innerhalb der Organisation Nur verschlüsselt oder in versiegeltem Umschlag
Übermittlung
(extern)
beliebig nur an ausgewählte Geschäftspartner bzw. Kunden Nur verschlüsselt oder in versiegeltem Umschlag und mit NDA
Löschung
Vernichtung
keine Vorgaben gem. DIN66399 Sicherheitsklasse 1 gem. DIN66399 Sicherheitsklasse 2

Überprüfung

Leitlinien sind mindestens alle zwei Jahre zu überprüfen.

Richtlinien und Konzepte sind nach Bedarf, mindestens aber jährlich auf ihre Aktualität zu überprüft und ggf. zu aktualisieren. Wesentliche inhaltliche Änderungen müssen erneut geprüft und freigegeben werden.

Betriebliche Aufzeichnungen sind laufend zu aktualisieren.

Die Überprüfung und ggf. die Aktualisierung und erneute Freigabe sind im Dokument in der Historie zu vermerken.

Änderungsmanagement

Änderungen an einem Dokument dürfen nur durch den Dokument-Eigentümer vorgenommen werden. Jegliche Änderungen werden dem betroffenen Personenkreis im Intranet oder per E-Mail bekanntgegeben. Abgelöste Dokumente werden zunächst als ungültig gekennzeichnet und anschließend archiviert.

Aufbewahrungsfristen

Soweit Gesetze oder andere Regelungen keine anderslautenden Fristen vorschreiben, sind Leitlinien und Richtlinien 10 Jahre aufzubewahren, Konzepte sind fünf Jahre aufzubewahren und andere Aufzeichnungen ein Jahr.

Archivierung

Nicht mehr gültige Dokumente werden mit dem Schriftzug "ungültig!" auf der Titelseite gekennzeichnet und so archiviert. Nach Ende der Aufbewahrungsfrist werden diese Dokumente entsprechend ihrer Klassifizierung gelöscht oder vernichtet.

Ggf. nährere Regelungen zu Ort und Art der Archivierung.

Schlussbemerkung

Behandlung von Ausnahmen

Ausnahmen von den Regelungen dieser Richtlinie sind nur mit einem begründeten Ausnahmeantrag im Rahmen des Ausnahmemanagements möglich.

Revision

Diese Richtlinie wird regelmäßig, jedoch mindestens einmal pro Jahr, durch den Regelungsverantwortlichen auf Aktualität und Konformität geprüft und bei Bedarf angepasst.

Inkrafttreten

Diese Richtlinie tritt zum 01.01.2222 in Kraft.

Freigegeben durch: Organisationsleitung

Ort, 01.12.2220,

Unterschrift, Name der Leitung