Dokumentenerstellung

Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen

Dieser Artikel gibt allgemeine Hinweise und Tips zur Erstellung von Sicherheitsdokumenten (was schreibe ich wie, warum, für wen?).

Einleitung

Dieser Artikel gibt allgemeine Tips zur Erstellung von Dokument (was schreibe ich wie, warum, für wen?)

Begriffsklärung

Hier erst einmal zum besseren Verständnis ein paar allgemeine Definitionen zu verwendeten Begriffen und Dokumenttypen.

IT-Sicherheit vs. Informationssicherheit

In der einschlägigen Literatur werden die beiden Begriffe oft synonym verwendet, aber gibt es einen Unterschied?

Ja, grundsätzlich gilt: Informationssicherheit ist mehr als "nur" IT-Sicherheit.

Der Begriff IT-Sicherheit ist älter und stammt aus den Anfängen der IT. Er ist stärker auf die reine Technik fokussiert und beschreibt häufig die technischen und funktionalen Sicherheitsaspekte der IT. Informationssicherheit hingegen hat einen ganzheitlicheren Ansatz und betrachtet den gesamten Prozess der Informationsverarbeitung, von dem die reine IT nur eine - wenn auch meist große - Teilmenge darstellt.

Moderne Bedrohungen beschränken sich aber längst nicht mehr auf die reine Technik.

Häufig verwendete Dokumenttypen

je nach Größe der Organisation, findet man typischerweise die folgenden Dokumenttypen:

Leitlinien

Eine Leitlinie ist ein allgemeines, übergeordnetes Dokument, das die grundlegenden Prinzipien, Ziele und Vorgehensweisen für die gesamte Organisation und für ein bestimmtes Thema festlegt und als Leitfaden für Entscheidungen und Maßnahmen dient (z. B. Informationssicherheitsleitlinie oder Datenschutzleitlinie).

Richtlinien

Eine Richtlinie ist ein Dokument, das produkt- und verfahrensunabhängig für einen bestimmten Geltungsbereich klare Regeln, Verfahren oder Standards für das Verhalten, die Entscheidungsfindung oder die Aufgabenerfüllung in einer Organisation festlegt. Sie dient als Richtschnur, um einheitliche Vorgehensweisen zu gewährleisten und sicherzustellen, dass die Mitarbeitenden in Übereinstimmung mit den definierten Vorgaben handeln.

Konzepte

Ein Konzept ist eine strukturierte Darstellung einer Idee oder eines Vorhabens, in der die Ziele, die Vorgehensweise und die möglichen Wege der Umsetzung unter Einhaltung der relevanten Richtlinien beschrieben werden.

Konzepte sind der Ausgangspunkt für eine detailliertere Planung und Umsetzung. Sie ermöglichen es, eine gemeinsame Vision zu entwickeln und sicherzustellen, dass alle Beteiligten das gleiche Verständnis von den Zielen und der Vorgehensweise haben, bevor mit der Umsetzung begonnen wird.

Leitfäden

Ein praxisorientiertes Dokument, das Schritt-für-Schritt-Anleitungen, Tipps und Empfehlungen zur Durchführung bestimmter Aufgaben oder Prozesse enthält.

Betriebshandbücher

Ein Betriebshandbuch ist ein Dokument, das detaillierte Anweisungen, Verfahren und technische Informationen für den Betrieb, die Wartung und die Fehlerbehebung von Systemen oder Geräten enthält. Es konzentriert sich auf die technischen Aspekte eines Systems, einer Anlage oder eines Prozesses. Ein Betriebshandbuch kann Informationen wie technische Spezifikationen, Wartungspläne, Prozessbeschreibungen und Verfahren zur Fehlerbehebung enthalten. Es richtet sich an technisches Personal, das mit der praktischen Durchführung betrieblicher Aufgaben betraut ist.

Betriebsführungshandbücher

Ein Betriebsführungshandbuch (ggf auch Betriebskonzept) geht über die rein technischen Aspekte hinaus und umfasst auch (oder nur) organisatorische und verwaltungstechnische Elemente. Es enthält Anweisungen, Verfahren und Richtlinien zur Steuerung und Verwaltung der Betriebsaktivitäten, einschließlich organisatorischer Strukturen, Zuständigkeiten, Kommunikationswege und Koordinationsprozesse. Ein Betriebsführungshandbuch kann Aspekte wie Personalmanagement, Budgetierung, Planung, Koordination zwischen verschiedenen Abteilungen und die Einhaltung von Unternehmensrichtlinien behandeln. Es richtet sich an Führungskräfte und Manager, die die Betriebsführung und -verwaltung verantworten.

Anweisungen

Eine Anweisung oder Arbeitsanweisung ist ein präzises Dokument, das klare Anweisungen oder Vorgaben für bestimmte Tätigkeiten oder Aufgaben in einer Organisationseinheit enthält.

Checklisten

Eine Checkliste ist eine strukturierte Liste von Kriterien, die abgehakt werden, um sicherzustellen, dass bestimmte Schritte, Standards oder Anforderungen ggf. auch in einer bestimmten Reihenfolge erfüllt werden.

Reports

Ein Bericht, der Daten, Informationen, Analysen oder Ergebnisse zu einem bestimmten Thema oder einer spezifischen Untersuchung zusammenfasst und präsentiert.


Es kann weitere Dokumententyen in der Organisation geben oder einzelne Typen nicht vorkommen.

[[[GRAFIK]]]Typischerweise sind die einzelnen Typen pyramidenartig gestaffelt, begonnen mit einer oder wenigen organisationsweiten Leitlinien bis hinunter zu einer Vielzahl von betrieblichen Dokumenten und Aufzeichnungen für jedes einzelne Verfahren.

Häufige Fehler beim Erstellen von Dokumenten

Der Elfenbeinturm

Dokumente werden erstellt, ohne sich mit anderen Bereichen abzustimmen. Z.B. wird eine Richtlinie oder ein Konzept von einem externen Berater für die Organisation erstellt und in Kraft gesetzt, ohne diese noch einmal intern in den betroffenen Bereichen abzustimmen oder Feedback wird ignoriert, weil es nicht für relevant gehalten wird. Das ist eine sichere Methode wie es häufig schief geht.

Unklare Zielgruppe

.. und Zuständigkeiten

Zuviel Prosa

Dokumente sollten so kurz wie möglich und so lang wie nötig sein. Wer sich durch fünf Seiten einführende Prosa kämpfen muss, um dann erst festzustellen, dass das Dokument für ihn eigentlich nicht relevant ist oder nicht die Information enthält, die er braucht, wird das nächste Dokument dieser Art direkt ungelesen beiseite legen.

Falsche Ansprache

Wie spreche ich wen richtig an...

  • „Es ist nicht erlaubt…“
  • „Unterlassen Sie ….“
  • „Es ist verboten,…“

Fehlende Praxisrelevanz

Was in der Theorie in einer Richtlinie oder einem Konzept ganz logisch klingt, lässt sich in der tatsächlichen Praxis nicht immer umsetzen.

Z.B. Ein Satz wie „Es dürfen nur freigegebene USB-Sticks verwendet werden“ liest sich in einer IT-Sicherheitsrichtlinie plausibel. In der Praxis stellt der Satz die Mitarbeitenden möglicherweise vor unüberwindliche Hindernisse:

  • Was ist ein „freigegebener USB-Stick“ und woran erkenne ich das er freigegeben ist?
  • Was mache ich, wenn ein Kunde oder Dienstleister einen USB-Stick mit Daten mitbringt? Gibt es hierfür einen praxistauglichen Ablauf, wie darauf befindliche Daten sicher in die Organisation gelangen?
  • Darf ein „freigegebener USB-Stick“ der Organisation auch von Kunden oder Dienstleistern genutzt werden?
  • ....

Eine vermeindlich logische und sinnvolle Regelung wirft in der Praxis mehr Fragen auf....

Redundanzen

Redundante Regelungen sollten unbedingt vermieden werden. Wenn ein Sachverhalt mehrfach in verschiedenen Dokumenten geregelt ist.

Maximalanforderungen

„Digitale Daten dürfen nur verschlüsselt übertragen werden.“ Mit pauschalen Aussagen scheren Sie das gesamte Unternehmen über einen Kamm. Sicherheit bedeutet Aufwand. Ist es gerechtfertigt, diesen Aufwand über das gesamte Unternehmen gleich zu halten? Muss der Speiseplan der Kantine tatsächlich beim Versenden verschlüsselt werden? Wo ist Sicherheit wichtig und wo kann man darauf verzichten?

Tote Verweise

Verweise auf andere Dokumente sollte sehr sparsam genutzt werden und möglichst in einem Kapitel oder Anhang leicht pflegbar zusammen gefasst sein.

Der Verweis auf ein anderes Dokument sollte nur erfolgen, wenn der Betreff des Verweises ein elementares Kernthema des Dokuments ist, auf das verwiesen wird.

Tiefergehende Verweise auf Kapitel oder Unterkapitel sollten vermieden werden, diese werden auf Dauer nicht pflegbar sein.

Unklare Entscheidungen und Beweggründe

Insbesondere bei einschränkenden oder aufwendigen Vorgaben und Anweisungen ist es für eine breite Akzeptanz wichtig, dem Leser die Beweggründe zu vermitteln, die zu dieser Vorgabe geführt haben. Nur wenn die Mitarbeitenden verstehen, warum sie dies nicht dürfen oder jenes tun müssen, werden sie solche Vorgaben auch befolgen. Scheinbar unsinnige oder nicht nachvollziehbare Vorgaben - insbesondere wenn sie mit erhöhtem Aufwand verbunden sind - werden gerne mit dem Hinweis auf fehlende Zeit oder Ressourcen ignoriert.

Vermischte Dokumenttypen

Tips für gute Dokumente

Bedarf prüfen

Ist das Dokument wirklich erforderlich? Je höher die Zahl der Dokumente in einer Organisation, desto größer die Wahrscheinlichkeit das diese nicht mehr (alle) gelesen werden. Daher prüfe ob es wirklich einen Bedarf für das Dokument gibt und wenn ja, ob es wirklich ein eigenes Dokument sein muss, oder es nicht ein Dokument zu ähnlichen Theme gibt, wo dieses Thema ergänzt werden kann.

Klar abgegrenztes Thema Wählen

Eindeutigen Titel wählen

Zielgruppe Definieren

Regelungen für Dokumentation beachten

Gibt es in der Organisation eine Richtlinie zur Lenkung von Dokumenten, dann muss diese beachtet werden. In dieser Richtlinie ist geregelt wie in der Organisation Dokumente erstellt, geprüft und freigegeben werden.

Dokumentvorlagen (Templates) benutzen

Dokument klassifizieren

Logische Struktur und Gliederung

Kurz klar und sachlich schreiben

Rechliche Regelungen, Normen und Standardfs beachten

Illustrationen wo sinnvoll

Ein Bild sagt mehr als tausend Worte. Gerade Prozesse und Abläufe lassen sich mit einem Ablaufdiagramm besser und verständlicher darstellen als mit viel Text.