In der Welt der IT-Sicherheit und Compliance ist die Dokumentation das A und O. Doch bei jedem Audit kommt die gleiche bange Frage nach dem „Interview“ und der anschließenden „Dokumentensichtung“: Wo ist die Dokumentation? Von Richtlinien über Standards bis hin zu Prozeduren sollte alles getrennt und klar definiert sein. Doch gerade die Unterscheidung zwischen diesen Dokumentationsarten stellt oft eine eigene Herausforderung dar.
Die Suche nach der verlorenen Dokumentation: Jedes Mal, wenn ein Compliance-Check ansteht, beginnt die große Schnitzeljagd. Von Serverkonfigurationen bis zu Nutzerberechtigungen – alles sollte dokumentiert sein. Doch oft endet die Suche mit leeren Händen und der verzweifelten Hoffnung, dass vielleicht, nur vielleicht, der Hund dafür verantwortlich ist.
Der Hund hat’s gefressen – eine bequeme Ausrede? In der Tat wäre es so viel einfacher, wenn wir unseren flauschigen Vierbeinern die Schuld geben könnten. „Tut mir leid, ich hatte die gesamte Netzwerktopologie detailliert aufgeschrieben, aber der Hund fand, es wäre ein leckerer Snack.“
Ironie beiseite: Die Realität zeigt, dass die regelmäßige Pflege unserer IT-Dokumentation entscheidend für Sicherheit, Effizienz und Compliance ist. Ohne sie navigieren wir blind in einem Meer von Technologien – was in der digitalen Welt von heute ein echtes Risiko darstellt.
Ein klares Verständnis ist entscheidend: Es ist wichtig, dass IT-Dokumentationen, Richtlinien, Standards und Prozeduren nicht nur existieren, sondern auch klar voneinander getrennt und verständlich sind. Die Unterscheidung zwischen diesen Dokumentarten kann kompliziert sein, aber sie ist entscheidend für die Effektivität der IT-Governance.
Aufruf an alle IT-Profis: Lasst uns die Dokumentation nicht den metaphorischen Hunden zum Fraß vorwerfen. Es ist Zeit, unsere Systeme, Prozesse und Änderungen akribisch zu dokumentieren. Denn am Ende des Tages ist eine gut gepflegte Dokumentation weniger mühsam zu handhaben und kann uns vor vielen Kopfschmerzen bewahren. Zero Day Exploits gibt es aktuell ja genug.
Die Unterscheidung der Dokumentationsarten nach ISACA CISM
- Dokumentation
Die Dokumentation in der IT umfasst alle schriftlichen Aufzeichnungen, Diagramme und Daten, die Informationen über die IT-Infrastruktur, Softwarekonfigurationen, Codebases und Betriebsverfahren enthalten. Sie dient als Referenzmaterial, das bei der Problembehebung, der Schulung neuer Mitarbeiter oder der Durchführung von Wartungsaufgaben verwendet wird. - Richtlinie (Policy)
Richtlinien sind formale Anweisungen oder Regeln, die festlegen, wie bestimmte IT-bezogene Aufgaben ausgeführt werden sollen. Sie bieten einen Rahmen für Entscheidungen und sorgen für konsistentes Handeln innerhalb einer Organisation. Zum Beispiel könnte eine Sicherheitsrichtlinie festlegen, welche Maßnahmen ergriffen werden müssen, um Daten vor unbefugtem Zugriff zu schützen. - Standard
Standards sind spezifizierte Anforderungen innerhalb der IT, die sich auf Qualität, Sicherheit und Effizienz konzentrieren. Sie können industrieübergreifend oder spezifisch für eine Organisation sein. Standards stellen sicher, dass Produkte und Prozesse innerhalb der IT-Branche konsistent und kompatibel sind, beispielsweise ISO/IEC Standards für Netzwerksicherheit. - Prozedur (Verfahren)
Prozeduren, oft auch als Verfahrensrichtlinien bezeichnet, sind detaillierte Beschreibungen der Schritte, die zur Durchführung einer spezifischen Aufgabe notwendig sind. Sie sind in der Regel sehr präzise und beinhalten Anweisungen, die bei der Ausführung von Prozessen wie Softwareinstallationen, Datensicherungen oder dem Einsatz von Sicherheitspatches befolgt werden müssen.
Diese klare Trennung und das Verständnis dieser Elemente ist essentiell, um die IT-Governance effektiv zu gestalten und die Sicherheit, Effizienz und Compliance innerhalb einer Organisation sicherzustellen.
Flo Laumer 