RiLi-Dokumentenlenkung
Die Richtlinie zur Dokumentenlenkung beschreibt die Vorgaben und Prozesse zur Erstellung, Genehmigung, Überprüfung und Archivierung von Dokumenten. Ziel ist ein strukturierter Umgang mit Sicherheitsdokumentation, einschließlich Klassifizierung, Lebenszyklus und Verantwortlichkeiten, um die Informationssicherheit zu gewährleisten.
Einleitung
Ein zentraler Bestandteil eines ISMS ist die Lenkung von Dokumenten und Aufzeichnungen. Die vorliegende Richtlinie beschreibt die Vorgaben und den Prozess zur Lenkung von Dokumenten und Aufzeichnungen in der Organisation.
Geltungsbereich
Diese Richtlinie gilt für alle Dokumente und Aufzeichnungen der Sicherheitsdokumentation der Organisation unabhängig davon ob diese in Papier-, Datei-, oder Datenbankform (z.B. in einem WiKi) vorliegen. Die Richtlinie ist für alle Mitarbeitenden der Organisation verbindlich.
Zielsetzung
Ziel dieser Richtlinie ist ein strukturierter und angemessener Umgang mit Sicherheitsdokumentation in der Organisation.
Diese Richtlinie beschreibt die Verfahren und Verantwortlichkeiten für die Erstellung, Genehmigung, Kennzeichnung, Überwachung, Überprüfung, Überarbeitung und Aufbewahrung von Dokumenten innerhalb der Organisation.
Prozessbeschreibung
Verantwortliche
Für die Lenkung von Dokumente sind folgende Rollen definiert:
| Ersteller | Jedes Dokument weist einen Ersteller (Dokument-Eigentümer) auf, der verantwortlich ein Dokument erstellt und fortschreibt. |
| Prüfer | Jedem Dokument wird ein Prüfer zugewiesen, der das Dokument mit fachlicher Expertise inhaltlich prüft. |
| Freigebender | Jedes Dokument wird von einem Freigebenden (Fachvorgesetzten) formal freigegeben und in Kraft gesetzt. |
Alle genannten Rollen müssen auf dem Deckblatt jedes Dokuments mit konkreten Verantwortlichen aufgeführt werden.
Grundsatz
Grundsätzlich werden alle Dokumente und Aufzeichnungen gelenkt. Dabei sind Dokumente und Aufzeichnungen wie folgt definiert:
- Dokumente (D) sind Vorgabendokumente, z.B. Richtlinien, Konzepte, Arbeitsanweisungen.
- Aufzeichnungen (A) sind Dokumente, die einem Nachweis dienen, etwa ausgefüllte Formulare, Checklisten oder Protokolle.
Dokumenttypen
Es werden in der Organisation folgende Dokumenttypen definiert:
| Typ | Inhalt | Ersteller | |
|---|---|---|---|
| D0 | Leitlinie | Leitlinien sind von der Leitung vorgegebene organisationsweite Prinzipien, an denen sich die gesamte Organisation zu orientieren hat. | Leitung & ISB |
| D1 | Richtlinie | Richtlinien beinhalten allgemeine Vorgaben und Handlungsanweisungen zu einem Themenschwerpunkt. Richtlinien sollten nicht lösungs- oder produktspezifisch formuliert werden. | ISB & Fachbereich |
| D2 | Konzept | Ein Konzept beschreibt (skizzenhaft) einen (Lösungs-)Entwurf oder Plan für ein größeres und längerfristiges Vorhaben. | Fachbereich / Betrieb |
| D3 | Anweisung | Eine Anweisung enthält konkrete Handlungsanweisungen oder Instruktionen für bestimmte Abläufe (z.B. Betriebshandbuch). | Betrieb / Fachbereich |
| A0 | Aufzeichnung | Aufzeichnungen sind festgehaltene Umstände oder Abläufe, z.B. Protokolle, Logbücher, Formulare, Checklisten. | Betrieb |
Der Dokumententyp ist auf dem Deckblatt jedes Dokuments anzugeben.
Lebenszyklus
Für Dokumente wird folgender Lebenszyklus definiert:
| Entwurf | Ein Dokument wird vom Ersteller erstellt, es ist noch nicht geprüft oder freigegeben. |
| Prüfung | Ein vom Ersteller erstelltes Dokument wird vom Prüfer geprüft, es ist noch nicht freigegeben. |
| Freigabe | Ein vom Freigebenden formal freizugebenes Dokument. Es kann nach der Freigabe sofort oder zu einem späteren Zeitpunkt Gültigkeit erlangen. |
| Gültig | Ein Dokument ist ab dem Zeitpunkt seiner Gültigkeit in Kraft und damit für den Gültigkeitsbereich verbindlich. |
| Ungültig | Ein abgelaufenes oder für ungültig erklärtes Dokument. Es darf nicht mehr verwendet werden. |
| Archiviert | Ungültige Dokumente werden bis zur Löschung archiviert. |
Der aktuelle Lebenszyklus ist auf dem Deckblatt jedes Dokuments anzugeben.
Für betriebliche Aufzeichnungen gilt kein besonderer Lebenszyklus, da diese üblicherweise kontinuierlich fortgeschrieben werden.
Prüfung und Freigabe
Die Dokumente werden vor der Freigabe von einem Prüfer, der nicht der Ersteller des Dokuments ist, geprüft und qualitätsgesichert. Anschließend wird das Dokument bei Bedarf noch einmal überarbeitet und durch den Freigeber (z.B. Fachvorgesetzter) freigegeben. Es gelten die oben genannten Rollendefinitionen. Prüfung und Freigabe sind in der Historie im Dokument zu vermerken.
Ablageort
Für jedes Dokument wird angegeben, wo es entsprechend seiner Klassifizierung abgelegt ist. An diesem Ablageort befinden sich jeweils nur die aktuell gültigen Versionen des Dokuments.
Die möglichen Ablageorte (Fileserver, DMS, WiKi) sind hier mit anzugeben.
Verfügbarkeit
Die Dokumente sind zentral aufzubewahren, den zuständigen Personen jederzeit zugänglich zu machen und vor unbefugtem Zugriff zu schützen.
Betriebskritische Dokumente (z. B. Betriebs- und Notfalldokumentation) müssen zusätzlich offline (auf lokalen Geräten oder in Papierform) vorgehalten werden.
Namenskonvention der Dokumente
Für alle Dokumente und Aufzeichnungen gilt folgende Vorgabe zur Wahl des Dateinamens:
[Titel des Dokuments]_[Versionsnr. oder Datum].[Dateiendung]. Beispiel: "Richtlinie zur Dokumentenlenkung_1.1.odt" oder "Richtlinie zur Dokumentenlenkung_2022-03-15.odt"
In jedem Dokument werden folgende Informationen angegeben:
- Name
- Version
- Datum der Erstellung
- Dokument-Eigentümer (Ersteller)
- Dokument Prüfung durch Prüfer
- Dokument-Freigabe durch Freigebenden
- Änderungshistorie mit
- Datum
- Versionsnummer
- Änderung ggü. vorheriger Version
- Bearbeiter
- Prüf- und Freigabevermerke
Für alle Dokumenttypen sind die jeweils aktuellen Dokumentvorlagen zu verwenden.
(Hinweis auf den Ablageort der Vorlagen)
Klassifizierung
Alle Dokumente sind entsprechend ihrem Inhalt zu klassifizieren.
In der Organisation werden die Klassen öffentlich, intern und vertraulich verwendet.
Nicht klassifizierte Dokumente entsprechen der Klasse öffentlich.
Die Klassifizierung ist im Kopf des Dokuments anzugeben.
Die Bedeutung der Klassen und deren Verwendung ist der folgenden Tabelle definiert:
| öffentlich nicht klassifiziert |
intern | vertraulich | |
|---|---|---|---|
| Beispiele | Öffentlicher Webauftritt, Infoflyer, Speiseplan der Kantine | Richtlinien, Konzepte, Raumpläne, Organigramme | Unternehmenszahlen, Personaldaten, Netzpläne, Konfigurationsdaten |
| Kenntnis | jeder | Mitarbeiter ggf. Geschäftspartner und Kunden |
begrenzte Gruppe von Mitarbeitenden (z.B nur Personalstelle) |
| Ablage | beliebig | nur auf internen Systemen der Organisation | nur in zugriffsgeschützten Bereichen |
| Cloud | beliebig | nur europäische Cloudspeicher | nur europäische Cloudspeicher und zusätzlich Verschlüsselt |
| Mobile Speicher |
beliebig | nur zusätzlich verschlüsselt | nur auf von der Organisaion freigegebenen, verschlüsselten Datenträger |
| Ausdruck Kopie |
beliebig | nur innerhalb der Organisation | nur im nötigen Umfang innerhalb des zuständigen Bereichs (z.B Personalstelle) |
| Übermittlung (intern) |
beliebig | nur innerhalb der Organisation | Nur verschlüsselt oder in versiegeltem Umschlag |
| Übermittlung (extern) |
beliebig | nur an ausgewählte Geschäftspartner bzw. Kunden | Nur verschlüsselt oder in versiegeltem Umschlag und mit NDA |
| Löschung Vernichtung |
keine Vorgaben | gem. DIN66399 Sicherheitsklasse 1 | gem. DIN66399 Sicherheitsklasse 2 |
Überprüfung
Leitlinien sind mindestens alle zwei Jahre zu überprüfen.
Richtlinien und Konzepte sind nach Bedarf, mindestens aber jährlich auf ihre Aktualität zu überprüft und ggf. zu aktualisieren. Wesentliche inhaltliche Änderungen müssen erneut geprüft und freigegeben werden.
Betriebliche Aufzeichnungen sind laufend zu aktualisieren.
Die Überprüfung und ggf. die Aktualisierung und erneute Freigabe sind im Dokument in der Historie zu vermerken.
Änderungsmanagement
Änderungen an einem Dokument dürfen nur durch den Dokument-Eigentümer vorgenommen werden. Jegliche Änderungen werden dem betroffenen Personenkreis im Intranet oder per E-Mail bekanntgegeben. Abgelöste Dokumente werden zunächst als ungültig gekennzeichnet und anschließend archiviert.
Aufbewahrungsfristen
Soweit Gesetze oder andere Regelungen keine anderslautenden Fristen vorschreiben, sind Leitlinien und Richtlinien 10 Jahre aufzubewahren, Konzepte sind fünf Jahre aufzubewahren und andere Aufzeichnungen ein Jahr.
Archivierung
Nicht mehr gültige Dokumente werden mit dem Schriftzug "ungültig!" auf der Titelseite gekennzeichnet und so archiviert. Nach Ende der Aufbewahrungsfrist werden diese Dokumente entsprechend ihrer Klassifizierung gelöscht oder vernichtet.
Ggf. nährere Regelungen zu Ort und Art der Archivierung.
Schlussbemerkung
Behandlung von Ausnahmen
Ausnahmen von den Regelungen dieser Richtlinie sind nur mit einem begründeten Ausnahmeantrag im Rahmen des Ausnahmemanagements möglich.
Revision
Diese Richtlinie wird regelmäßig, jedoch mindestens einmal pro Jahr, durch den Regelungsverantwortlichen auf Aktualität und Konformität geprüft und bei Bedarf angepasst.
Inkrafttreten
Diese Richtlinie tritt zum 01.01.2222 in Kraft.
Freigegeben durch: Organisationsleitung
Ort, 01.12.2220,
Unterschrift, Name der Leitung
