RiLi-Dokumentenlenkung

Aus ISMS-Ratgeber WiKi
Version vom 31. Januar 2023, 21:29 Uhr von Dirk (Diskussion | Beiträge) (→‎Einleitung)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springenZur Suche springen

Mustervorlage: "Richtlinie zur Lenkung von Dokumenten"

Einleitung

Ein zentraler Bestandteil eines ISMS ist die Lenkung von Dokumenten und Aufzeichnungen. Die vorliegende Richtlinie beschreibt die Vorgaben und den Prozess zur Lenkung von Dokumenten und Aufzeichnungen.

Geltungsbereich

Diese Richtlinie gilt für alle Dokumente und Aufzeichnungen der Sicherheitsdokumentation der Organisation. Die Richtlinie ist für alle Mitarbeitenden des Geltungsbereichs verbindlich.

Zielsetzung

Ziel dieser Richtlinie ist ein strukturierter und angemessener Umgang mit Sicherheitsdokumentation in der Organisation.

Diese Richtlinie beschreibt die Verfahren und Verantwortlichkeiten für die Erstellung, Überwachung, Überprüfung, Überarbeitung und Aufbewahrung von Dokumenten innerhalb der Organisation.

Prozessbeschreibung

Verantwortliche

Für die Lenkung von Dokumente sind folgende Rollen definiert:

Ersteller: Jedes Dokument weist einen Ersteller (Dokument-Eigentümer) auf, der verantwortlich ein Dokument erstellt und fortschreibt.
Prüfer: Jedem Dokument wird ein Prüfer zugewiesen, der das Dokument mit fachlicher Expertise inhaltlich prüft.
Freigebender: Jedes Dokument wird von einem Freigebenden (Fachvorgesetzten) formal freigegeben und in Kraft gesetzt.

Grundsatz

Grundsätzlich werden alle Dokumente und Aufzeichnungen gelenkt. Dabei sind Dokumente und Aufzeichnungen wie folgt definiert:

  • Dokumente (D) sind Vorgabendokumente, z.B. Richtlinien, Konzepte, Arbeitsanweisungen.
  • Aufzeichnungen (A) sind Dokumente, die einem Nachweis dienen, etwa ausgefüllte Formulare, Checklisten oder Protokolle.

Dokumenttypen

Es werden in der Organisation folgende Dokumenttypen definiert:

Typ Inhalt Ersteller
D0 Leitlinie Leitlinien sind von der Leitung vorgegebene organisationsweite Prinzipien, an denen sich die gesamte Organisation zu orientieren hat. Leitung & ISB
D1 Richtlinie Richtlinien beinhalten allgemeine Vorgaben und Handlungsanweisungen zu einem Themenschwerpunkt. Richtlinien sollten nicht lösungs- oder produktspezifisch formuliert werden. ISB & Fachbereich
D2 Konzept Ein Konzept beschreibt (skizzenhaft) einen (Lösungs-)Entwurf oder Plan für ein größeres und längerfristiges Vorhaben. Fachbereich / Betrieb
D3 Anweisung Eine Anweisung enthält konkrete Handlungsanweisungen oder Instruktionen für bestimmte Abläufe. Betrieb / Fachbereich
A0 Aufzeichnung Aufzeichnungen sind festgehaltene Umstände oder Abläufe, z.B. Protokolle, Logbücher, Formulare, Checklisten. Betrieb

Lebenszyklus

Für Dokumente wird folgender Lebenszyklus definiert:

Entwurf: Ein Dokument wird vom Ersteller erstellt, es ist noch nicht geprüft oder freigegeben.
Prüfung: Ein vom Ersteller erstelltes Dokument wird vom Prüfer geprüft, es ist noch nicht freigegeben.
Freigabe: Ein vom Freigebenden formal freizugebenes Dokument. Es kann sofort oder zu einem späteren Zeitpunkt Gültigkeit erlangen.
Gültig: Ein Dokument ist ab dem Zeitpunkt seiner Gültigkeit in Kraft und damit für den Gültigkeitsbereich verbindlich.
Ungültig: Ein abgelaufenes oder für ungültig erklärtes Dokument darf nicht mehr verwendet werden.
Archiviert: Ungültige Dokumente werden bis zur Löschung archiviert.

Für betriebliche Aufzeichnungen gilt kein besonderer Lebenszyklus.

Prüfung und Freigabe

Dokumente werden vor der Freigabe von einem Prüfer geprüft und qualitätsgesichert, der nicht der Ersteller des Dokumentes ist. Anschließend wird das Dokument durch den Freigeber (z.B. den Fachvorgesetzten) freigegeben. Es gelten die o.g. Rollendefinitionen. Prüfung und Freigabe sind im Dokument zu vermerken.

Ablageort

Für jedes Dokument ist angegeben, wo dieses entsprechend seiner Klassifizierung abgelegt ist. An diesem Ablageort liegen jeweils nur die aktuell gültigen Versionen des Dokumentes.

Die möglichen Ablageorte (Fileserver, DMS, WiKi) sind hier mit aufzuführen.

Namenskonvention der Dokumente

Für alle Dokumente und Aufzeichnungen gilt folgende Vorgabe zur Wahl des Dateinamens:

[Titel des Dokuments]_[Versionsnr. oder Datum].[Dateiendung]. Beispiel: "Richtlinie zur Dokumentenlenkung_1.1.odt" oder "Richtlinie zur Dokumentenlenkung_2022-03-15.odt"

In jedem Dokument werden folgende Informationen angegeben:

  • Name
  • Version
  • Datum der Erstellung
  • Dokument-Eigentümer (Ersteller)
  • Dokument-Freigabe durch Freigebenden
  • Änderungshistorie mit
    • Datum
    • Versionsnummer
    • Änderung ggü. vorheriger Version
    • Bearbeiter

Für alle Dokumenttypen sind die jeweils aktuellen Dokumentvorlagen zu verwenden.

Klassifizierung

Alle Dokumente sind entsprechend ihrem Inhalt zu klassifizieren.

In der Organisation werden die Klassen öffentlich, intern und vertraulich verwendet.
Nicht klassifizierte Dokumente entsprechen der Klasse öffentlich.

Die Klassifizierung ist im Kopf des Dokuments anzugeben.

Die Bedeutung der Klassen und deren Verwendung ist der folgenden Tabelle definiert:

öffentlich
nicht klassifiziert
intern vertraulich
Beispiele Öffentlicher Webauftritt, Infoflyer, Speiseplan der Kantine Richtlinien, Konzepte, Raumpläne, Organigramme Unternehmenszahlen, Personaldaten, Netzpläne, Konfigurationsdaten
Kenntnis jeder Mitarbeiter
ggf. Geschäftspartner und Kunden
begrenzte Gruppe von Mitarbeitenden (z.B nur Personalstelle)
Ablage beliebig nur auf internen Systemen der Organisation nur in zugriffsgeschützten Bereichen
Cloud beliebig nur europäische Cloudspeicher nur europäische Cloudspeicher und zusätzlich Verschlüsselt
Mobile
Speicher
beliebig nur zusätzlich Verschlüsselt nur auf von der Organisaion freigegebenen, verschlüsselten Datenträger
Ausdruck
Kopie
beliebig nur innerhalb der Organisation nur im nötigen Umfang innerhalb des zuständigen Bereichs (z.B Personalstelle)
Übermittlung
(intern)
beliebig nur innerhalb der Organisation Nur verschlüsselt oder in versiegeltem Umschlag
Übermittlung
(extern)
beliebig nur an ausgewählte Geschäftspartner bzw. Kunden Nur verschlüsselt oder in versiegeltem Umschlag und mit NDA
Löschung
Vernichtung
keine Vorgaben gem. DIN66399 Sicherheitsklasse 1 gem. DIN66399 Sicherheitsklasse 2

Überprüfung

Leitlinien sind mindestens alle zwei Jahre zu überprüfen.

Richtlinien und Konzepte sind nach Bedarf, mindestens aber jährlich auf ihre Aktualität zu überprüft und ggf. zu aktualisieren.

Betriebliche Aufzeichnungen sind laufend zu aktualisieren.

Die Überprüfung und ggf. die Aktualisierung ist im Dokument in der Historie zu vermerken.

Änderungsmanagement

Änderungen an einem Dokument dürfen nur durch den Dokument-Eigentümer vorgenommen werden. Jegliche Änderungen werden dem betroffenen Personenkreis im Intranet oder per E-Mail bekanntgegeben. Abgelöste Dokumente werden zunächst als ungültig gekennzeichnet und anschließend archiviert.

Aufbewahrungsfristen

Soweit Gesetze oder andere Regelungen keine anderslautenden Fristen vorschreiben, sind Leitlinien und Richtlinien 10 Jahre aufzubewahren, Konzepte sind fünf Jahre aufzubewahren und andere Aufzeichnungen ein Jahr.

Archivierung

Nicht mehr gültige Dokumente werden mit dem Schriftzug "ungültig!" auf der Titelseite gekennzeichnet und so archiviert. Nach Ende der Aufbewahrungsfrist werden diese Dokumente entsprechend ihrer Klassifizierung gelöscht oder vernichtet.

Ggf. nährere Regelungen zu Ort und Art der Archivierung.

Schlussbemerkung

Inkrafttreten

Diese Richtlinie tritt zum 01.01.2222 in Kraft.

Freigegeben durch: Organisationsleitung

Ort, 01.12.2220,

Unterschrift, Name der Leitung