RiLi-Dokumentenlenkung: Unterschied zwischen den Versionen
Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen
Dirk (Diskussion | Beiträge) KKeine Bearbeitungszusammenfassung |
Dirk (Diskussion | Beiträge) KKeine Bearbeitungszusammenfassung |
||
| (10 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
{{#seo: | {{#seo: | ||
|title= | |title=Richtlinie zur Lenkung von Dokumenten | ||
|keywords=ISMS, | |keywords=Lenkung von Dokumenten, ISMS, Sicherheitsdokumentation, Dokumentenerstellung, Dokumentenprüfung, Dokumentenrevision, Dokumentenaufbewahrung | ||
|description= | |description=Richtlinie zur Lenkung von ISMS Dokumenten, gilt für die Erstellung, Überwachung, Prüfung, Revision und Aufbewahrung aller Sicherheitsdokumente. | ||
}} | }}{{SHORTDESC:Mustervorlage "Richtlinie zur Lenkung von Dokumenten"}} | ||
Mustervorlage | Die Richtlinie zur Dokumentenlenkung beschreibt die Vorgaben und Prozesse zur Erstellung, Genehmigung, Überprüfung und Archivierung von Dokumenten. Ziel ist ein strukturierter Umgang mit Sicherheitsdokumentation, einschließlich Klassifizierung, Lebenszyklus und Verantwortlichkeiten, um die Informationssicherheit zu gewährleisten. | ||
== Einleitung == | == Einleitung == | ||
Ein zentraler Bestandteil eines ISMS ist die Lenkung von Dokumenten und Aufzeichnungen. | Ein zentraler Bestandteil eines ISMS ist die Lenkung von Dokumenten und Aufzeichnungen. | ||
Die vorliegende Richtlinie beschreibt die Vorgaben und den Prozess zur Lenkung von Dokumenten und Aufzeichnungen. | Die vorliegende Richtlinie beschreibt die Vorgaben und den Prozess zur Lenkung von Dokumenten und Aufzeichnungen in der Organisation. | ||
== Geltungsbereich == | ==Geltungsbereich== | ||
Diese Richtlinie gilt für alle Dokumente und Aufzeichnungen der Sicherheitsdokumentation der Organisation. Die Richtlinie ist für alle Mitarbeitenden | Diese Richtlinie gilt für alle Dokumente und Aufzeichnungen der Sicherheitsdokumentation der Organisation unabhängig davon ob diese in Papier-, Datei-, oder Datenbankform (z.B. in einem WiKi) vorliegen. Die Richtlinie ist für alle Mitarbeitenden der Organisation verbindlich. | ||
== Zielsetzung == | ==Zielsetzung== | ||
Ziel dieser Richtlinie ist ein strukturierter und angemessener Umgang mit Sicherheitsdokumentation in der Organisation. | Ziel dieser Richtlinie ist ein strukturierter und angemessener Umgang mit Sicherheitsdokumentation in der Organisation. | ||
Diese Richtlinie beschreibt die Verfahren und Verantwortlichkeiten für die Erstellung, Überwachung, Überprüfung, Überarbeitung und Aufbewahrung von Dokumenten innerhalb der Organisation. | Diese Richtlinie beschreibt die Verfahren und Verantwortlichkeiten für die Erstellung, Genehmigung, Kennzeichnung, Überwachung, Überprüfung, Überarbeitung und Aufbewahrung von Dokumenten innerhalb der Organisation. | ||
== Prozessbeschreibung == | ==Prozessbeschreibung== | ||
=== Verantwortliche === | ===Verantwortliche=== | ||
Für die Lenkung von Dokumente sind folgende Rollen definiert: | Für die Lenkung von Dokumente sind folgende Rollen definiert: | ||
{| class="wikitable" | {| class="wikitable" | ||
|- | |- | ||
| Ersteller | |'''Ersteller'''||Jedes Dokument weist einen Ersteller (Dokument-Eigentümer) auf, der verantwortlich ein Dokument erstellt und fortschreibt. | ||
|- | |- | ||
| Prüfer | |'''Prüfer'''||Jedem Dokument wird ein Prüfer zugewiesen, der das Dokument mit fachlicher Expertise inhaltlich prüft. | ||
|- | |- | ||
| Freigebender | |'''Freigebender'''||Jedes Dokument wird von einem Freigebenden (Fachvorgesetzten) formal freigegeben und in Kraft gesetzt. | ||
|- | |- | ||
|} | |} | ||
Alle genannten Rollen müssen auf dem Deckblatt jedes Dokuments mit konkreten Verantwortlichen aufgeführt werden. | |||
=== Grundsatz === | ===Grundsatz=== | ||
Grundsätzlich werden alle Dokumente und Aufzeichnungen gelenkt. Dabei sind Dokumente und Aufzeichnungen wie folgt definiert: | Grundsätzlich werden alle Dokumente und Aufzeichnungen gelenkt. Dabei sind Dokumente und Aufzeichnungen wie folgt definiert: | ||
* | *'''Dokumente (D)''' sind Vorgabendokumente, z.B. Richtlinien, Konzepte, Arbeitsanweisungen. | ||
* | *'''Aufzeichnungen (A)''' sind Dokumente, die einem Nachweis dienen, etwa ausgefüllte Formulare, Checklisten oder Protokolle. | ||
=== Dokumenttypen === | ===Dokumenttypen=== | ||
Es werden in der Organisation folgende Dokumenttypen definiert: | Es werden in der Organisation folgende Dokumenttypen definiert: | ||
{| class="wikitable" | {| class="wikitable" | ||
|- | |- | ||
! !! Typ !! Inhalt !! Ersteller | ! !!Typ !!Inhalt!!Ersteller | ||
|- | |- | ||
! D0 | !D0 | ||
|| Leitlinie | ||Leitlinie | ||
|| Leitlinien sind von der Leitung vorgegebene organisationsweite Prinzipien, an denen sich die gesamte Organisation zu orientieren hat. | ||Leitlinien sind von der Leitung vorgegebene organisationsweite Prinzipien, an denen sich die gesamte Organisation zu orientieren hat. | ||
|| Leitung & ISB | ||Leitung & ISB | ||
|- | |- | ||
! D1 | !D1 | ||
|| Richtlinie | ||Richtlinie | ||
|| Richtlinien beinhalten allgemeine Vorgaben und Handlungsanweisungen zu einem Themenschwerpunkt. Richtlinien sollten nicht lösungs- oder produktspezifisch formuliert werden. | || Richtlinien beinhalten allgemeine Vorgaben und Handlungsanweisungen zu einem Themenschwerpunkt. Richtlinien sollten nicht lösungs- oder produktspezifisch formuliert werden. | ||
|| ISB & Fachbereich | || ISB & Fachbereich | ||
|- | |- | ||
! D2 | !D2 | ||
|| Konzept | ||Konzept | ||
|| Ein Konzept beschreibt (skizzenhaft) einen (Lösungs-)Entwurf oder Plan für ein größeres und längerfristiges Vorhaben. | ||Ein Konzept beschreibt (skizzenhaft) einen (Lösungs-)Entwurf oder Plan für ein größeres und längerfristiges Vorhaben. | ||
|| Fachbereich / Betrieb | ||Fachbereich / Betrieb | ||
|- | |- | ||
! D3 | !D3 | ||
|| Anweisung | ||Anweisung | ||
|| Eine Anweisung enthält konkrete Handlungsanweisungen oder Instruktionen für bestimmte Abläufe. | ||Eine Anweisung enthält konkrete Handlungsanweisungen oder Instruktionen für bestimmte Abläufe (z.B. Betriebshandbuch). | ||
|| Betrieb / Fachbereich | || Betrieb / Fachbereich | ||
|- | |- | ||
! A0 | !A0 | ||
|| Aufzeichnung | ||Aufzeichnung | ||
|| Aufzeichnungen sind festgehaltene Umstände oder Abläufe, z.B. Protokolle, Logbücher, Formulare, Checklisten. | ||Aufzeichnungen sind festgehaltene Umstände oder Abläufe, z.B. Protokolle, Logbücher, Formulare, Checklisten. | ||
|| Betrieb | ||Betrieb | ||
|} | |} | ||
Der Dokumententyp ist auf dem Deckblatt jedes Dokuments anzugeben. | |||
=== Lebenszyklus === | ===Lebenszyklus=== | ||
Für Dokumente wird folgender Lebenszyklus definiert: | Für Dokumente wird folgender Lebenszyklus definiert: | ||
{| class="wikitable" | {| class="wikitable" | ||
|- | |- | ||
| Entwurf | |'''Entwurf'''|| Ein Dokument wird vom Ersteller erstellt, es ist noch nicht geprüft oder freigegeben. | ||
|- | |- | ||
| Prüfung | |'''Prüfung'''||Ein vom Ersteller erstelltes Dokument wird vom Prüfer geprüft, es ist noch nicht freigegeben. | ||
|- | |- | ||
| Freigabe | |'''Freigabe'''||Ein vom Freigebenden formal freizugebenes Dokument. Es kann nach der Freigabe sofort oder zu einem späteren Zeitpunkt Gültigkeit erlangen. | ||
|- | |- | ||
| Gültig | |'''Gültig'''||Ein Dokument ist ab dem Zeitpunkt seiner Gültigkeit in Kraft und damit für den Gültigkeitsbereich verbindlich. | ||
|- | |- | ||
| Ungültig | |'''Ungültig'''|| Ein abgelaufenes oder für ungültig erklärtes Dokument. Es darf nicht mehr verwendet werden. | ||
|- | |- | ||
| Archiviert | |'''Archiviert'''||Ungültige Dokumente werden bis zur Löschung archiviert. | ||
|- | |- | ||
|} | |} | ||
Der aktuelle Lebenszyklus ist auf dem Deckblatt jedes Dokuments anzugeben. | |||
Für betriebliche Aufzeichnungen gilt kein besonderer Lebenszyklus, da diese üblicherweise kontinuierlich fortgeschrieben werden. | |||
===Prüfung und Freigabe=== | |||
Die Dokumente werden vor der Freigabe von einem Prüfer, der nicht der Ersteller des Dokuments ist, geprüft und qualitätsgesichert. Anschließend wird das Dokument bei Bedarf noch einmal überarbeitet und durch den Freigeber (z.B. Fachvorgesetzter) freigegeben. Es gelten die oben genannten Rollendefinitionen. Prüfung und Freigabe sind in der Historie im Dokument zu vermerken. | |||
===Ablageort === | |||
'' | Für jedes Dokument wird angegeben, wo es entsprechend seiner Klassifizierung abgelegt ist. An diesem Ablageort befinden sich jeweils '''nur''' die aktuell gültigen Versionen des Dokuments. | ||
=== Namenskonvention der Dokumente === | ''Die möglichen Ablageorte (Fileserver, DMS, WiKi) sind hier mit anzugeben.'' | ||
====Verfügbarkeit==== | |||
Die Dokumente sind zentral aufzubewahren, den zuständigen Personen jederzeit zugänglich zu machen und vor unbefugtem Zugriff zu schützen. | |||
Betriebskritische Dokumente (z. B. Betriebs- und Notfalldokumentation) müssen zusätzlich offline (auf lokalen Geräten oder in Papierform) vorgehalten werden. | |||
===Namenskonvention der Dokumente=== | |||
Für alle Dokumente und Aufzeichnungen gilt folgende Vorgabe zur Wahl des Dateinamens: | Für alle Dokumente und Aufzeichnungen gilt folgende Vorgabe zur Wahl des Dateinamens: | ||
| Zeile 114: | Zeile 122: | ||
In jedem Dokument werden folgende Informationen angegeben: | In jedem Dokument werden folgende Informationen angegeben: | ||
* | *Name | ||
* | *Version | ||
* | *Datum der Erstellung | ||
* | *Dokument-Eigentümer (Ersteller) | ||
* | *Dokument Prüfung durch Prüfer | ||
* | *Dokument-Freigabe durch Freigebenden | ||
** | *Änderungshistorie mit | ||
** | **Datum | ||
** | **Versionsnummer | ||
** | **Änderung ggü. vorheriger Version | ||
**Bearbeiter | |||
**Prüf- und Freigabevermerke | |||
Für alle Dokumenttypen sind die jeweils aktuellen Dokumentvorlagen zu verwenden. | Für alle Dokumenttypen sind die jeweils aktuellen Dokumentvorlagen zu verwenden. | ||
=== Klassifizierung === | ''(Hinweis auf den Ablageort der Vorlagen)'' | ||
===Klassifizierung=== | |||
Alle Dokumente sind entsprechend ihrem Inhalt zu klassifizieren. | Alle Dokumente sind entsprechend ihrem Inhalt zu klassifizieren. | ||
| Zeile 140: | Zeile 152: | ||
{| class="wikitable" | {| class="wikitable" | ||
|- | |- | ||
! !! style="background-color:#afd095;"| öffentlich<br>nicht klassifiziert !! style="background-color:#ffffd7;"| intern !! style="background-color:#ffdbb6;"| vertraulich | ! !! style="background-color:#afd095;" |öffentlich<br>nicht klassifiziert!! style="background-color:#ffffd7;" |intern!! style="background-color:#ffdbb6;" |vertraulich | ||
|- | |- | ||
| '''Beispiele''' | | '''Beispiele''' | ||
| style="background-color:#afd095;"| Öffentlicher Webauftritt, Infoflyer, Speiseplan der Kantine | | style="background-color:#afd095;" |Öffentlicher Webauftritt, Infoflyer, Speiseplan der Kantine | ||
| style="background-color:#ffffd7;"| Richtlinien, Konzepte, Raumpläne, Organigramme | | style="background-color:#ffffd7;" |Richtlinien, Konzepte, Raumpläne, Organigramme | ||
| style="background-color:#ffdbb6;"| Unternehmenszahlen, Personaldaten, Netzpläne, Konfigurationsdaten | | style="background-color:#ffdbb6;" | Unternehmenszahlen, Personaldaten, Netzpläne, Konfigurationsdaten | ||
|- | |- | ||
| '''Kenntnis''' | |'''Kenntnis''' | ||
| style="background-color:#afd095;"| jeder | | style="background-color:#afd095;" |jeder | ||
| style="background-color:#ffffd7;"| Mitarbeiter<br>ggf. Geschäftspartner und Kunden | | style="background-color:#ffffd7;" |Mitarbeiter<br>ggf. Geschäftspartner und Kunden | ||
| style="background-color:#ffdbb6;"| begrenzte Gruppe von Mitarbeitenden (z.B nur Personalstelle) | | style="background-color:#ffdbb6;" |begrenzte Gruppe von Mitarbeitenden (z.B nur Personalstelle) | ||
|- | |- | ||
| '''Ablage''' | |'''Ablage''' | ||
| style="background-color:#afd095;"| beliebig | | style="background-color:#afd095;" |beliebig | ||
| style="background-color:#ffffd7;"| nur auf internen Systemen der Organisation | | style="background-color:#ffffd7;" | nur auf internen Systemen der Organisation | ||
| style="background-color:#ffdbb6;"| nur in zugriffsgeschützten Bereichen | | style="background-color:#ffdbb6;" |nur in zugriffsgeschützten Bereichen | ||
|- | |- | ||
| '''Cloud''' | |'''Cloud''' | ||
| style="background-color:#afd095;"| beliebig | | style="background-color:#afd095;" | beliebig | ||
| style="background-color:#ffffd7;"| nur europäische Cloudspeicher | | style="background-color:#ffffd7;" |nur europäische Cloudspeicher | ||
| style="background-color:#ffdbb6;"| nur europäische Cloudspeicher und zusätzlich Verschlüsselt | | style="background-color:#ffdbb6;" |nur europäische Cloudspeicher und zusätzlich Verschlüsselt | ||
|- | |- | ||
| '''Mobile<br>Speicher''' | |'''Mobile<br>Speicher''' | ||
| style="background-color:#afd095;"| beliebig | | style="background-color:#afd095;" |beliebig | ||
| style="background-color:#ffffd7;"| nur zusätzlich | | style="background-color:#ffffd7;" |nur zusätzlich verschlüsselt | ||
| style="background-color:#ffdbb6;"| nur auf von der Organisaion freigegebenen, verschlüsselten Datenträger | |||
| style="background-color:#ffdbb6;" |nur auf von der Organisaion freigegebenen, verschlüsselten Datenträger | |||
|- | |- | ||
| '''Ausdruck<br>Kopie''' | | '''Ausdruck<br>Kopie''' | ||
| style="background-color:#afd095;"| beliebig | | style="background-color:#afd095;" |beliebig | ||
| style="background-color:#ffffd7;"| nur innerhalb der Organisation | | style="background-color:#ffffd7;" |nur innerhalb der Organisation | ||
| style="background-color:#ffdbb6;"| nur im nötigen Umfang innerhalb des zuständigen Bereichs (z.B Personalstelle) | | style="background-color:#ffdbb6;" |nur im nötigen Umfang innerhalb des zuständigen Bereichs (z.B Personalstelle) | ||
|- | |- | ||
| '''Übermittlung<br>(intern)''' | |'''Übermittlung<br>(intern)''' | ||
| style="background-color:#afd095;"| beliebig | | style="background-color:#afd095;" |beliebig | ||
| style="background-color:#ffffd7;"| nur innerhalb der Organisation | | style="background-color:#ffffd7;" |nur innerhalb der Organisation | ||
| style="background-color:#ffdbb6;"| Nur verschlüsselt oder in versiegeltem Umschlag | | style="background-color:#ffdbb6;" |Nur verschlüsselt oder in versiegeltem Umschlag | ||
|- | |- | ||
| '''Übermittlung<br>(extern)''' | |'''Übermittlung<br>(extern)''' | ||
| style="background-color:#afd095;"| beliebig | | style="background-color:#afd095;" |beliebig | ||
| style="background-color:#ffffd7;"| nur an ausgewählte Geschäftspartner bzw. Kunden | | style="background-color:#ffffd7;" |nur an ausgewählte Geschäftspartner bzw. Kunden | ||
| style="background-color:#ffdbb6;"| Nur verschlüsselt oder in versiegeltem Umschlag und mit NDA | | style="background-color:#ffdbb6;" |Nur verschlüsselt oder in versiegeltem Umschlag und mit NDA | ||
|- | |- | ||
| '''Löschung<br>Vernichtung''' | |'''Löschung<br>Vernichtung''' | ||
| style="background-color:#afd095;"| keine Vorgaben | | style="background-color:#afd095;" |keine Vorgaben | ||
| style="background-color:#ffffd7;"| gem. DIN66399 Sicherheitsklasse 1 | | style="background-color:#ffffd7;" |gem. DIN66399 Sicherheitsklasse 1 | ||
| style="background-color:#ffdbb6;"| gem. DIN66399 Sicherheitsklasse 2 | | style="background-color:#ffdbb6;" |gem. DIN66399 Sicherheitsklasse 2 | ||
|} | |} | ||
=== Überprüfung === | ===Überprüfung=== | ||
Leitlinien sind mindestens alle zwei Jahre zu überprüfen. | Leitlinien sind mindestens alle zwei Jahre zu überprüfen. | ||
Richtlinien und Konzepte sind nach Bedarf, mindestens aber jährlich auf ihre Aktualität zu überprüft und ggf. zu aktualisieren. | Richtlinien und Konzepte sind nach Bedarf, mindestens aber jährlich auf ihre Aktualität zu überprüft und ggf. zu aktualisieren. Wesentliche inhaltliche Änderungen müssen erneut geprüft und freigegeben werden. | ||
Betriebliche Aufzeichnungen sind laufend zu aktualisieren. | Betriebliche Aufzeichnungen sind laufend zu aktualisieren. | ||
Die Überprüfung und ggf. die Aktualisierung | Die Überprüfung und ggf. die Aktualisierung und erneute Freigabe sind im Dokument in der Historie zu vermerken. | ||
=== Änderungsmanagement === | ===Änderungsmanagement=== | ||
Änderungen an einem Dokument dürfen nur durch den Dokument-Eigentümer vorgenommen werden. | Änderungen an einem Dokument dürfen nur durch den Dokument-Eigentümer vorgenommen werden. | ||
| Zeile 204: | Zeile 217: | ||
Abgelöste Dokumente werden zunächst als ungültig gekennzeichnet und anschließend archiviert. | Abgelöste Dokumente werden zunächst als ungültig gekennzeichnet und anschließend archiviert. | ||
=== Aufbewahrungsfristen === | ===Aufbewahrungsfristen=== | ||
Soweit Gesetze oder andere Regelungen keine anderslautenden Fristen vorschreiben, sind Leitlinien und Richtlinien 10 Jahre aufzubewahren, Konzepte sind fünf Jahre aufzubewahren und andere Aufzeichnungen ein Jahr. | Soweit Gesetze oder andere Regelungen keine anderslautenden Fristen vorschreiben, sind Leitlinien und Richtlinien 10 Jahre aufzubewahren, Konzepte sind fünf Jahre aufzubewahren und andere Aufzeichnungen ein Jahr. | ||
=== Archivierung === | ===Archivierung=== | ||
Nicht mehr gültige Dokumente werden mit dem Schriftzug "'''ungültig!'''" auf der Titelseite gekennzeichnet und so archiviert. Nach Ende der Aufbewahrungsfrist werden diese Dokumente entsprechend ihrer Klassifizierung gelöscht oder vernichtet. | Nicht mehr gültige Dokumente werden mit dem Schriftzug "'''ungültig!'''" auf der Titelseite gekennzeichnet und so archiviert. Nach Ende der Aufbewahrungsfrist werden diese Dokumente entsprechend ihrer Klassifizierung gelöscht oder vernichtet. | ||
| Zeile 214: | Zeile 227: | ||
''Ggf. nährere Regelungen zu Ort und Art der Archivierung.'' | ''Ggf. nährere Regelungen zu Ort und Art der Archivierung.'' | ||
== Schlussbemerkung == | ==Schlussbemerkung== | ||
===Behandlung von Ausnahmen=== | |||
== Inkrafttreten == | Ausnahmen von den Regelungen dieser Richtlinie sind nur mit einem begründeten Ausnahmeantrag im Rahmen des [[RiLi-Ausnahmemanagement|Ausnahmemanagements]] möglich. | ||
===Revision=== | |||
Diese Richtlinie wird regelmäßig, jedoch mindestens einmal pro Jahr, durch den Regelungsverantwortlichen auf Aktualität und Konformität geprüft und bei Bedarf angepasst. | |||
==Inkrafttreten== | |||
Diese Richtlinie tritt zum 01.01.2222 in Kraft. | Diese Richtlinie tritt zum 01.01.2222 in Kraft. | ||
Aktuelle Version vom 3. August 2024, 09:07 Uhr
Die Richtlinie zur Dokumentenlenkung beschreibt die Vorgaben und Prozesse zur Erstellung, Genehmigung, Überprüfung und Archivierung von Dokumenten. Ziel ist ein strukturierter Umgang mit Sicherheitsdokumentation, einschließlich Klassifizierung, Lebenszyklus und Verantwortlichkeiten, um die Informationssicherheit zu gewährleisten.
Einleitung
Ein zentraler Bestandteil eines ISMS ist die Lenkung von Dokumenten und Aufzeichnungen. Die vorliegende Richtlinie beschreibt die Vorgaben und den Prozess zur Lenkung von Dokumenten und Aufzeichnungen in der Organisation.
Geltungsbereich
Diese Richtlinie gilt für alle Dokumente und Aufzeichnungen der Sicherheitsdokumentation der Organisation unabhängig davon ob diese in Papier-, Datei-, oder Datenbankform (z.B. in einem WiKi) vorliegen. Die Richtlinie ist für alle Mitarbeitenden der Organisation verbindlich.
Zielsetzung
Ziel dieser Richtlinie ist ein strukturierter und angemessener Umgang mit Sicherheitsdokumentation in der Organisation.
Diese Richtlinie beschreibt die Verfahren und Verantwortlichkeiten für die Erstellung, Genehmigung, Kennzeichnung, Überwachung, Überprüfung, Überarbeitung und Aufbewahrung von Dokumenten innerhalb der Organisation.
Prozessbeschreibung
Verantwortliche
Für die Lenkung von Dokumente sind folgende Rollen definiert:
| Ersteller | Jedes Dokument weist einen Ersteller (Dokument-Eigentümer) auf, der verantwortlich ein Dokument erstellt und fortschreibt. |
| Prüfer | Jedem Dokument wird ein Prüfer zugewiesen, der das Dokument mit fachlicher Expertise inhaltlich prüft. |
| Freigebender | Jedes Dokument wird von einem Freigebenden (Fachvorgesetzten) formal freigegeben und in Kraft gesetzt. |
Alle genannten Rollen müssen auf dem Deckblatt jedes Dokuments mit konkreten Verantwortlichen aufgeführt werden.
Grundsatz
Grundsätzlich werden alle Dokumente und Aufzeichnungen gelenkt. Dabei sind Dokumente und Aufzeichnungen wie folgt definiert:
- Dokumente (D) sind Vorgabendokumente, z.B. Richtlinien, Konzepte, Arbeitsanweisungen.
- Aufzeichnungen (A) sind Dokumente, die einem Nachweis dienen, etwa ausgefüllte Formulare, Checklisten oder Protokolle.
Dokumenttypen
Es werden in der Organisation folgende Dokumenttypen definiert:
| Typ | Inhalt | Ersteller | |
|---|---|---|---|
| D0 | Leitlinie | Leitlinien sind von der Leitung vorgegebene organisationsweite Prinzipien, an denen sich die gesamte Organisation zu orientieren hat. | Leitung & ISB |
| D1 | Richtlinie | Richtlinien beinhalten allgemeine Vorgaben und Handlungsanweisungen zu einem Themenschwerpunkt. Richtlinien sollten nicht lösungs- oder produktspezifisch formuliert werden. | ISB & Fachbereich |
| D2 | Konzept | Ein Konzept beschreibt (skizzenhaft) einen (Lösungs-)Entwurf oder Plan für ein größeres und längerfristiges Vorhaben. | Fachbereich / Betrieb |
| D3 | Anweisung | Eine Anweisung enthält konkrete Handlungsanweisungen oder Instruktionen für bestimmte Abläufe (z.B. Betriebshandbuch). | Betrieb / Fachbereich |
| A0 | Aufzeichnung | Aufzeichnungen sind festgehaltene Umstände oder Abläufe, z.B. Protokolle, Logbücher, Formulare, Checklisten. | Betrieb |
Der Dokumententyp ist auf dem Deckblatt jedes Dokuments anzugeben.
Lebenszyklus
Für Dokumente wird folgender Lebenszyklus definiert:
| Entwurf | Ein Dokument wird vom Ersteller erstellt, es ist noch nicht geprüft oder freigegeben. |
| Prüfung | Ein vom Ersteller erstelltes Dokument wird vom Prüfer geprüft, es ist noch nicht freigegeben. |
| Freigabe | Ein vom Freigebenden formal freizugebenes Dokument. Es kann nach der Freigabe sofort oder zu einem späteren Zeitpunkt Gültigkeit erlangen. |
| Gültig | Ein Dokument ist ab dem Zeitpunkt seiner Gültigkeit in Kraft und damit für den Gültigkeitsbereich verbindlich. |
| Ungültig | Ein abgelaufenes oder für ungültig erklärtes Dokument. Es darf nicht mehr verwendet werden. |
| Archiviert | Ungültige Dokumente werden bis zur Löschung archiviert. |
Der aktuelle Lebenszyklus ist auf dem Deckblatt jedes Dokuments anzugeben.
Für betriebliche Aufzeichnungen gilt kein besonderer Lebenszyklus, da diese üblicherweise kontinuierlich fortgeschrieben werden.
Prüfung und Freigabe
Die Dokumente werden vor der Freigabe von einem Prüfer, der nicht der Ersteller des Dokuments ist, geprüft und qualitätsgesichert. Anschließend wird das Dokument bei Bedarf noch einmal überarbeitet und durch den Freigeber (z.B. Fachvorgesetzter) freigegeben. Es gelten die oben genannten Rollendefinitionen. Prüfung und Freigabe sind in der Historie im Dokument zu vermerken.
Ablageort
Für jedes Dokument wird angegeben, wo es entsprechend seiner Klassifizierung abgelegt ist. An diesem Ablageort befinden sich jeweils nur die aktuell gültigen Versionen des Dokuments.
Die möglichen Ablageorte (Fileserver, DMS, WiKi) sind hier mit anzugeben.
Verfügbarkeit
Die Dokumente sind zentral aufzubewahren, den zuständigen Personen jederzeit zugänglich zu machen und vor unbefugtem Zugriff zu schützen.
Betriebskritische Dokumente (z. B. Betriebs- und Notfalldokumentation) müssen zusätzlich offline (auf lokalen Geräten oder in Papierform) vorgehalten werden.
Namenskonvention der Dokumente
Für alle Dokumente und Aufzeichnungen gilt folgende Vorgabe zur Wahl des Dateinamens:
[Titel des Dokuments]_[Versionsnr. oder Datum].[Dateiendung]. Beispiel: "Richtlinie zur Dokumentenlenkung_1.1.odt" oder "Richtlinie zur Dokumentenlenkung_2022-03-15.odt"
In jedem Dokument werden folgende Informationen angegeben:
- Name
- Version
- Datum der Erstellung
- Dokument-Eigentümer (Ersteller)
- Dokument Prüfung durch Prüfer
- Dokument-Freigabe durch Freigebenden
- Änderungshistorie mit
- Datum
- Versionsnummer
- Änderung ggü. vorheriger Version
- Bearbeiter
- Prüf- und Freigabevermerke
Für alle Dokumenttypen sind die jeweils aktuellen Dokumentvorlagen zu verwenden.
(Hinweis auf den Ablageort der Vorlagen)
Klassifizierung
Alle Dokumente sind entsprechend ihrem Inhalt zu klassifizieren.
In der Organisation werden die Klassen öffentlich, intern und vertraulich verwendet.
Nicht klassifizierte Dokumente entsprechen der Klasse öffentlich.
Die Klassifizierung ist im Kopf des Dokuments anzugeben.
Die Bedeutung der Klassen und deren Verwendung ist der folgenden Tabelle definiert:
| öffentlich nicht klassifiziert |
intern | vertraulich | |
|---|---|---|---|
| Beispiele | Öffentlicher Webauftritt, Infoflyer, Speiseplan der Kantine | Richtlinien, Konzepte, Raumpläne, Organigramme | Unternehmenszahlen, Personaldaten, Netzpläne, Konfigurationsdaten |
| Kenntnis | jeder | Mitarbeiter ggf. Geschäftspartner und Kunden |
begrenzte Gruppe von Mitarbeitenden (z.B nur Personalstelle) |
| Ablage | beliebig | nur auf internen Systemen der Organisation | nur in zugriffsgeschützten Bereichen |
| Cloud | beliebig | nur europäische Cloudspeicher | nur europäische Cloudspeicher und zusätzlich Verschlüsselt |
| Mobile Speicher |
beliebig | nur zusätzlich verschlüsselt | nur auf von der Organisaion freigegebenen, verschlüsselten Datenträger |
| Ausdruck Kopie |
beliebig | nur innerhalb der Organisation | nur im nötigen Umfang innerhalb des zuständigen Bereichs (z.B Personalstelle) |
| Übermittlung (intern) |
beliebig | nur innerhalb der Organisation | Nur verschlüsselt oder in versiegeltem Umschlag |
| Übermittlung (extern) |
beliebig | nur an ausgewählte Geschäftspartner bzw. Kunden | Nur verschlüsselt oder in versiegeltem Umschlag und mit NDA |
| Löschung Vernichtung |
keine Vorgaben | gem. DIN66399 Sicherheitsklasse 1 | gem. DIN66399 Sicherheitsklasse 2 |
Überprüfung
Leitlinien sind mindestens alle zwei Jahre zu überprüfen.
Richtlinien und Konzepte sind nach Bedarf, mindestens aber jährlich auf ihre Aktualität zu überprüft und ggf. zu aktualisieren. Wesentliche inhaltliche Änderungen müssen erneut geprüft und freigegeben werden.
Betriebliche Aufzeichnungen sind laufend zu aktualisieren.
Die Überprüfung und ggf. die Aktualisierung und erneute Freigabe sind im Dokument in der Historie zu vermerken.
Änderungsmanagement
Änderungen an einem Dokument dürfen nur durch den Dokument-Eigentümer vorgenommen werden. Jegliche Änderungen werden dem betroffenen Personenkreis im Intranet oder per E-Mail bekanntgegeben. Abgelöste Dokumente werden zunächst als ungültig gekennzeichnet und anschließend archiviert.
Aufbewahrungsfristen
Soweit Gesetze oder andere Regelungen keine anderslautenden Fristen vorschreiben, sind Leitlinien und Richtlinien 10 Jahre aufzubewahren, Konzepte sind fünf Jahre aufzubewahren und andere Aufzeichnungen ein Jahr.
Archivierung
Nicht mehr gültige Dokumente werden mit dem Schriftzug "ungültig!" auf der Titelseite gekennzeichnet und so archiviert. Nach Ende der Aufbewahrungsfrist werden diese Dokumente entsprechend ihrer Klassifizierung gelöscht oder vernichtet.
Ggf. nährere Regelungen zu Ort und Art der Archivierung.
Schlussbemerkung
Behandlung von Ausnahmen
Ausnahmen von den Regelungen dieser Richtlinie sind nur mit einem begründeten Ausnahmeantrag im Rahmen des Ausnahmemanagements möglich.
Revision
Diese Richtlinie wird regelmäßig, jedoch mindestens einmal pro Jahr, durch den Regelungsverantwortlichen auf Aktualität und Konformität geprüft und bei Bedarf angepasst.
Inkrafttreten
Diese Richtlinie tritt zum 01.01.2222 in Kraft.
Freigegeben durch: Organisationsleitung
Ort, 01.12.2220,
Unterschrift, Name der Leitung
