RiLi-Dokumentenlenkung
Mustervorlage: "Richtlinie zur Lenkung von Dokumenten"
Einleitung
Ein zentraler Bestandteil eines ISMS ist die Lenkung von Dokumenten und Aufzeichnungen. Die vorliegende Richtlinie beschreibt die Vorgaben und den Prozess zur Lenkung von Dokumenten und Aufzeichnungen.
Geltungsbereich
Diese Richtlinie gilt für alle Dokumente und Aufzeichnungen der Sicherheitsdokumentation der Organisation. Die Richtlinie ist für alle Mitarbeitenden des Geltungsbereichs verbindlich.
Zielsetzung
Ziel dieser Richtlinie ist ein strukturierter und angemessener Umgang mit Sicherheitsdokumentation in der Organisation.
Diese Richtlinie beschreibt die Verfahren und Verantwortlichkeiten für die Erstellung, Überwachung, Überprüfung, Überarbeitung und Aufbewahrung von Dokumenten innerhalb der Organisation.
Prozessbeschreibung
Verantwortliche
Für die Lenkung von Dokumente sind folgende Rollen definiert:
| Ersteller: | Jedes Dokument weist einen Ersteller (Dokument-Eigentümer) auf, der verantwortlich ein Dokument erstellt und fortschreibt. |
| Prüfer: | Jedem Dokument wird ein Prüfer zugewiesen, der das Dokument mit fachlicher Expertise inhaltlich prüft. |
| Freigebender: | Jedes Dokument wird von einem Freigebenden (Fachvorgesetzten) formal freigegeben und in Kraft gesetzt. |
Grundsatz
Grundsätzlich werden alle Dokumente und Aufzeichnungen gelenkt. Dabei sind Dokumente und Aufzeichnungen wie folgt definiert:
- Dokumente (D) sind Vorgabendokumente, z.B. Richtlinien, Konzepte, Arbeitsanweisungen.
- Aufzeichnungen (A) sind Dokumente, die einem Nachweis dienen, etwa ausgefüllte Formulare, Checklisten oder Protokolle.
Dokumenttypen
Es werden in der Organisation folgende Dokumenttypen definiert:
| Typ | Inhalt | Ersteller | |
|---|---|---|---|
| D0 | Leitlinie | Leitlinien sind von der Leitung vorgegebene organisationsweite Prinzipien, an denen sich die gesamte Organisation zu orientieren hat. | Leitung & ISB |
| D1 | Richtlinie | Richtlinien beinhalten allgemeine Vorgaben und Handlungsanweisungen zu einem Themenschwerpunkt. Richtlinien sollten nicht lösungs- oder produktspezifisch formuliert werden. | ISB & Fachbereich |
| D2 | Konzept | Ein Konzept beschreibt (skizzenhaft) einen (Lösungs-)Entwurf oder Plan für ein größeres und längerfristiges Vorhaben. | Fachbereich / Betrieb |
| D3 | Anweisung | Eine Anweisung enthält konkrete Handlungsanweisungen oder Instruktionen für bestimmte Abläufe. | Betrieb / Fachbereich |
| A0 | Aufzeichnung | Aufzeichnungen sind festgehaltene Umstände oder Abläufe, z.B. Protokolle, Logbücher, Formulare, Checklisten. | Betrieb |
Lebenszyklus
Für Dokumente wird folgender Lebenszyklus definiert:
| Entwurf: | Ein Dokument wird vom Ersteller erstellt, es ist noch nicht geprüft oder freigegeben. |
| Prüfung: | Ein vom Ersteller erstelltes Dokument wird vom Prüfer geprüft, es ist noch nicht freigegeben. |
| Freigabe: | Ein vom Freigebenden formal freizugebenes Dokument. Es kann sofort oder zu einem späteren Zeitpunkt Gültigkeit erlangen. |
| Gültig: | Ein Dokument ist ab dem Zeitpunkt seiner Gültigkeit in Kraft und damit für den Gültigkeitsbereich verbindlich. |
| Ungültig: | Ein abgelaufenes oder für ungültig erklärtes Dokument darf nicht mehr verwendet werden. |
| Archiviert: | Ungültige Dokumente werden bis zur Löschung archiviert. |
Für betriebliche Aufzeichnungen gilt kein besonderer Lebenszyklus.
Prüfung und Freigabe
Dokumente werden vor der Freigabe von einem Prüfer geprüft und qualitätsgesichert, der nicht der Ersteller des Dokumentes ist. Anschließend wird das Dokument durch den Freigeber (z.B. den Fachvorgesetzten) freigegeben. Es gelten die o.g. Rollendefinitionen. Prüfung und Freigabe sind im Dokument zu vermerken.
Ablageort
Für jedes Dokument ist angegeben, wo dieses entsprechend seiner Klassifizierung abgelegt ist. An diesem Ablageort liegen jeweils nur die aktuell gültigen Versionen des Dokumentes.
Die möglichen Ablageorte (Fileserver, DMS, WiKi) sind hier mit aufzuführen.
Namenskonvention der Dokumente
Für alle Dokumente und Aufzeichnungen gilt folgende Vorgabe zur Wahl des Dateinamens:
[Titel des Dokuments]_[Versionsnr. oder Datum].[Dateiendung]. Beispiel: "Richtlinie zur Dokumentenlenkung_1.1.odt" oder "Richtlinie zur Dokumentenlenkung_2022-03-15.odt"
In jedem Dokument werden folgende Informationen angegeben:
- Name
- Version
- Datum der Erstellung
- Dokument-Eigentümer (Ersteller)
- Dokument-Freigabe durch Freigebenden
- Änderungshistorie mit
- Datum
- Versionsnummer
- Änderung ggü. vorheriger Version
- Bearbeiter
Für alle Dokumenttypen sind die jeweils aktuellen Dokumentvorlagen zu verwenden.
Klassifizierung
Alle Dokumente sind entsprechend ihrem Inhalt zu klassifizieren.
In der Organisation werden die Klassen öffentlich, intern und vertraulich verwendet.
Nicht klassifizierte Dokumente entsprechen der Klasse öffentlich.
Die Klassifizierung ist im Kopf des Dokuments anzugeben.
Die Bedeutung der Klassen und deren Verwendung ist der folgenden Tabelle definiert:
| öffentlich nicht klassifiziert |
intern | vertraulich | |
|---|---|---|---|
| Beispiele | Öffentlicher Webauftritt, Infoflyer, Speiseplan der Kantine | Richtlinien, Konzepte, Raumpläne, Organigramme | Unternehmenszahlen, Personaldaten, Netzpläne, Konfigurationsdaten |
| Kenntnis | jeder | Mitarbeiter ggf. Geschäftspartner und Kunden |
begrenzte Gruppe von Mitarbeitenden (z.B nur Personalstelle) |
| Ablage | beliebig | nur auf internen Systemen der Organisation | nur in zugriffsgeschützten Bereichen |
| Cloud | beliebig | nur europäische Cloudspeicher | nur europäische Cloudspeicher und zusätzlich Verschlüsselt |
| Mobile Speicher |
beliebig | nur zusätzlich Verschlüsselt | nur auf von der Organisaion freigegebenen, verschlüsselten Datenträger |
| Ausdruck Kopie |
beliebig | nur innerhalb der Organisation | nur im nötigen Umfang innerhalb des zuständigen Bereichs (z.B Personalstelle) |
| Übermittlung (intern) |
beliebig | nur innerhalb der Organisation | Nur verschlüsselt oder in versiegeltem Umschlag |
| Übermittlung (extern) |
beliebig | nur an ausgewählte Geschäftspartner bzw. Kunden | Nur verschlüsselt oder in versiegeltem Umschlag und mit NDA |
| Löschung Vernichtung |
keine Vorgaben | gem. DIN66399 Sicherheitsklasse 1 | gem. DIN66399 Sicherheitsklasse 2 |
Überprüfung
Leitlinien sind mindestens alle zwei Jahre zu überprüfen.
Richtlinien und Konzepte sind nach Bedarf, mindestens aber jährlich auf ihre Aktualität zu überprüft und ggf. zu aktualisieren.
Betriebliche Aufzeichnungen sind laufend zu aktualisieren.
Die Überprüfung und ggf. die Aktualisierung ist im Dokument in der Historie zu vermerken.
Änderungsmanagement
Änderungen an einem Dokument dürfen nur durch den Dokument-Eigentümer vorgenommen werden. Jegliche Änderungen werden dem betroffenen Personenkreis im Intranet oder per E-Mail bekanntgegeben. Abgelöste Dokumente werden zunächst als ungültig gekennzeichnet und anschließend archiviert.
Aufbewahrungsfristen
Soweit Gesetze oder andere Regelungen keine anderslautenden Fristen vorschreiben, sind Leitlinien und Richtlinien 10 Jahre aufzubewahren, Konzepte sind fünf Jahre aufzubewahren und andere Aufzeichnungen ein Jahr.
Archivierung
Nicht mehr gültige Dokumente werden mit dem Schriftzug "ungültig!" auf der Titelseite gekennzeichnet und so archiviert. Nach Ende der Aufbewahrungsfrist werden diese Dokumente entsprechend ihrer Klassifizierung gelöscht oder vernichtet.
Ggf. nährere Regelungen zu Ort und Art der Archivierung.
Schlussbemerkung
Inkrafttreten
Diese Richtlinie tritt zum 01.01.2222 in Kraft.
Freigegeben durch: Organisationsleitung
Ort, 01.12.2220,
Unterschrift, Name der Leitung
