Konzepte für Compliance, Agilität und Digitalisierung
E-Book, Deutsch, 160 Seiten
ISBN: 978-3-446-47927-2
Verlag: Carl Hanser
Format: PDF
Kopierschutz: Wasserzeichen (»Systemvoraussetzungen)
Dieses Buch unterstützt Sie bei der Anpassung Ihrer IT-Dokumentation an die Erfordernisse der digitalen Transformation. Hierbei werden die Anforderungen betrachtet, die sich aus veränderten Prozessen und Methoden sowie steigende regulatorische Vorgaben ergeben.
Ausgehend von der traditionellen IT-Dokumentation wird auf die aktuellen Entwicklungen eingegangen. Im Fokus steht hierbei die Dokumentation für ausgewählte Aufgabenbereiche der IT-Organisationen wie
• Sicherheitsmanagement,
• Notfallmanagement,
• System- und Architekturbetrieb,
• Softwareentwicklung,
• Dienstleistersteuerung.
Darüber hinaus werden die Einsatzmöglichkeiten geeigneter Dokumentationswerkzeuge beleuchtet.
Ihr exklusiver Vorteil: E-Book inside beim Kauf des gedruckten Buches
Autoren/Hrsg.
Fachgebiete
- Mathematik | Informatik EDV | Informatik Computerkommunikation & -vernetzung Netzwerkprotokolle
- Mathematik | Informatik EDV | Informatik EDV & Informatik Allgemein Rechtliche Aspekte der EDV
- Mathematik | Informatik EDV | Informatik Computerkommunikation & -vernetzung Netzwerksicherheit
- Wirtschaftswissenschaften Betriebswirtschaft Wirtschaftsmathematik und -statistik
- Mathematik | Informatik EDV | Informatik EDV & Informatik Allgemein EDV: Zertifizierung
Weitere Infos & Material
3 Dokumentationskonzepte für den IT-Betrieb In diesem Kapitel werden Dokumentationskonzepte für die Aufgabenfelder des IT-Betriebs (siehe Abschnitt 2.2) vorgestellt: IT-System- und -Plattformbetrieb Sicherer IT-Betrieb Anwendungsentwicklung und -bereitstellung Kunden- und Lieferantenmanagement IT-Servicemanagement Anhand von ausgewählten Themen, konzeptionellen Vorschlägen und Beispielen können die vorgestellten Ansätze dabei unterstützen, eigene Konzepte für diese Aufgabenfelder vor dem Hintergrund aktueller Anforderungen zu entwickeln. Die Konzepte beziehen sich jeweils auf einen spezifischen Dokumentationsbereich (IT-Systemdokumentation, Anwendungsdokumentation u. a.). Damit ist es möglich, die aktuellen Entwicklungen bezogen auf die verschiedenen Dokumentationsbereiche zu berücksichtigen und eine Anpassung der IT-Dokumentation, abhängig vom Stand der Digitalisierung, Automatisierung und der Einführung agiler Arbeitsweisen in der eigenen Organisation, umzusetzen. Grundsätzlich muss die IT-Dokumentation ganzheitlich betrachtet werden. Das in Abschnitt 2.1 vorgestellte Strukturierungsmodell 2023 bildet hierfür einen praxiserprobten Ansatz. 3.1 Hilfen für die Anforderungsanalyse Bei der Erstellung von Konzepten für die Dokumentation müssen prinzipiell zwei Fragen beantwortet werden: Was muss dokumentiert werden? Wie (in welcher Ausprägung, mit welchem Umfang, in welchem Medium u. a.) muss dokumentiert werden? Vorgabedokumente sind unerlässlich In der Vergangenheit standen bei vielen IT-Organisationen die operativen Dokumente im Vordergrund. Der Grund dafür ist nachvollziehbar: Die zentralen Aufgaben von IT-Organisationen sind der Betrieb der IT-Systeme, die Bereitstellung von Anwendungen und die Behebung von Störungen. Im Fokus stand damit die Dokumentation zur Erledigung der administrativen Aufgaben. Die Frage, nach welchen Vorgaben die Aufgaben erledigt werden, war lange Zeit nachrangig. Dies hat sich geändert: Vorgaben und implementierte Prozesse sind eine notwendige Voraussetzung für einen funktionierenden, modernen IT-Betrieb. Und für die Sicherstellung von Governance. Prüfer und Auditoren werden daher immer, unabhängig vom anzuwendenden Standard oder der zu prüfenden Norm, die Vorgaben prüfen und im Anschluss kontrollieren, ob diese nachweisbar im operativen Betrieb umgesetzt werden. Häufig vernachlässigt: die Nachweisdokumentation Ein grundlegendes Prinzip, das in allen Managementsystemen verankert ist, bildet die kontinuierliche Verbesserung und permanente Optimierung gemäß dem PDCA-Zyklus (Plan-Do-Check-Act) nach William Edwards Deming. Dieses Prinzip basiert darauf, dass allein das Erstellen von Richtlinien und Verfahren sowie die Planung und Umsetzung von Maßnahmen nicht ausreichen. Vielmehr sind Erfolgskontrollen und die fortlaufende Anpassung beziehungsweise Verbesserung entscheidende Managementprinzipien. Ohne regelmäßige Überprüfung kann insbesondere die Effektivität der organisatorischen und technischen Schutzmaßnahmen nicht sichergestellt werden. Die vier Phasen Plan (planen), Do (umsetzen), Check (überprüfen) und Act (handeln/verbessern) laufen dabei zyklisch, also wie in einer Endlosschleife ab: Was geplant wird, muss umgesetzt werden. Was umgesetzt wurde, muss überprüft und gegebenenfalls gemessen werden. Aus den Ergebnissen der Überprüfungen und Messungen muss man Handlungsbedarf in Form von Korrektur- oder Verbesserungsmaßnahmen ableiten und diese Maßnahmen ihrerseits wieder planen. Um die Wirksamkeit der umgesetzten Maßnahmen zu kontrollieren und nachzuweisen, sind dokumentierte Nachweise unabdingbar. Hierbei ist zu beachten, dass zum einen Nachweise für die Umsetzung der Maßnahmen erforderlich sind. Typische Nachweise hierfür sind etwa Systemprotokolle und Logdateien zur Änderung bzw. Nutzung administrativer Berechtigungen, Berichte über durchgeführte Backups und Patches, aber auch die in einem Ticketsystem dokumentierte Erledigung von Aufgaben. Zum anderen – und dieser Punkt wird häufig übersehen – muss es definierte und dokumentierte Prozesse geben, die eine Kontrolle der regelmäßig durchzuführenden Überprüfungen sicherstellen. Diese Kontrollen sind zunächst intern durchzuführen. Sie stellen den Kern des sogenannten Internen Kontrollsystems (IKS) dar. Ein weiteres wichtiges Instrument sind interne und externe Audits und die Dokumentation entsprechender Auditnachweise (Durchführungsprotokolle und Ergebnisdokumente). Sie dienen u. a. der Erfüllung regulatorischer Anforderungen. Unabhängig vom betrachteten Aufgabenfeld müssen – den vorstehenden Ausführungen entsprechend – bei der Konzeption der IT-Dokumentation immer die drei in Bild 3.1 dargestellten Dokumentationsebenen in die Planung einbezogen werden. Bild 3.1 Teilbereiche der IT-Betriebsdokumentation Hilfreiches Werkzeug: Dokumentenpyramide Für die Identifizierung der notwendigen Dokumente hat sich in der Praxis die Verwendung einer Dokumentenpyramide als hilfreich erwiesen, die von oben nach unten die Hierarchie von Dokumenten und/oder Informationen visualisiert. Sie gliedert die Dokumente in verschiedene Ebenen oder Stufen, je nach ihrem Detaillierungsgrad und ihrer Bedeutung. Die Verortung von Dokumenten in einer Dokumentenhierarchie bietet eine Reihe von Vorteilen: Zum einen sind alle Dokumente in einen Verbund eingebunden und Abhängigkeiten zwischen den Dokumenten werden transparent. Zum anderen unterstützt eine solche Hierarchie den Aufbau einer modularen IT-Dokumentation und reduziert damit den Aufwand für Anpassung und Pflege der Dokumentation. Und schließlich hilft die Einordnung von Dokumenten in eine Dokumentenhierarchie auch bei der Erstellung zielgruppenorientierter Dokumente. Anstatt jedoch jedes einzelne Dokument einer Hierarchiestufe zuzuweisen, hat sich außerdem die Verwendung von Dokumententypen bewährt. Ein Dokumententyp beschreibt eine Gruppe von Dokumenten mit gleichartigen Eigenschaften (Attribute). Die Zuordnung zu einem Dokumententyp definiert ein Dokument im Hinblick auf formale Anforderungen, Detaillierungsgrad, Anforderungen an die Dokumentenlenkung und Verantwortlichkeiten. Die Zuordnung eines Dokuments zu einem Dokumententyp weist es damit auch gleichzeitig einer Hierarchieebene zu. Bild 3.2 zeigt die Dokumentenpyramide in Anlehnung an REISS [Rm2018] mit ausgewählten Dokumententypen. Die Dokumentenpyramide wird in den vier Ebenen abgebildet, die sich wie folgt inhaltlich voneinander abgrenzen: 1. Dokumente des Enterprise Managements/strategischen IT-Managements:
Die Dokumente auf dieser Ebene beschreiben die übergeordneten Ziele und Anforderungen des jeweiligen Managementsystems. Sie legen die Ziele und Vorgaben fest, jedoch nicht die spezifische Methodik zur Erreichung dieser Ziele. Dokumente wie Leitlinien und Richtlinien werden üblicherweise dieser Stufe zugeordnet. Leitlinien setzen die Vorgaben der obersten Führungsebene zur Formulierung von Politik, Strategie und Werten fest, enthalten im Unterschied zu Richtlinien aber keine konkreten Handlungsregeln. Richtlinien präzisieren die Vorgaben der obersten Führungsebene und dienen der weiteren Ausgestaltung der Leitlinien.
Aufgrund der engen Verzahnung des strategischen IT-Managements mit dem Unternehmensmanagement werden in der Pyramide auch die unternehmensweit gültigen IT-Richtlinien und Leitlinien berücksichtigt. So können beispielsweise übergeordnete Richtlinien des Informationssicherheitsmanagements dieser Ebene zugeordnet werden. Bild 3.2 Dokumentenpyramide in Anlehnung an REISS [Rm2018] (Bildquelle: [Rm2018]) Richtlinie oder Konzept? – die Zuordnung ist häufig schwierig Die in der Dokumentenpyramide beschriebene klare Zuordnung von Richtlinien zur Ebene des strategischen IT-Managements und Konzepten zur Ebene des operativen Managements ist ein hilfreicher Planungsansatz. In der Praxis ist diese begriffliche Trennung nicht immer umsetzbar. So fordert unter anderem die ISO/ IEC 27001 die Erstellung einer übergeordneten Richtlinie, die durch „themenspezifische Richtlinien“ zur Umsetzung der geforderten Maßnahmen ergänzt werden. Gemäß Dokumentenpyramide entsprechen die themenspezifischen Maßnahmen dem Dokumententyp Konzept und damit der Ebene des operativen Managements. Wichtig ist daher eine verbindliche Festlegung der Begriffe für die Organisation. Diese Vorgehensweise wird auch von der...
