IT-Dokumentation im Wandel (eBook)
161 Seiten
Carl Hanser Fachbuchverlag
978-3-446-47927-2 (ISBN)
Dieses Buch unterstützt Sie bei der Anpassung Ihrer IT-Dokumentation an die Erfordernisse der digitalen Transformation. Hierbei werden die Anforderungen betrachtet, die sich aus veränderten Prozessen und Methoden sowie steigende regulatorische Vorgaben ergeben.
Ausgehend von der traditionellen IT-Dokumentation wird auf die aktuellen Entwicklungen eingegangen. Im Fokus steht hierbei die Dokumentation für ausgewählte Aufgabenbereiche der IT-Organisationen wie
•Sicherheitsmanagement,
•Notfallmanagement,
•System- und Architekturbetrieb,
•Softwareentwicklung,
•Dienstleistersteuerung.
Darüber hinaus werden die Einsatzmöglichkeiten geeigneter Dokumentationswerkzeuge beleuchtet.
Ihr exklusiver Vorteil: E-Book inside beim Kauf des gedruckten Buches
Dr. Manuela Reiss hat sich als Fachbuchautorin einen Namen gemacht und diverse Beiträge und Bücher, u. a. das 'Praxisbuch IT-Dokumentation', veröffentlicht. Hierbei bringt sie als ausgewiesene Expertin für den Bereich IT-Dokumentation ihre Erfahrungen aus mehr als dreißig Jahren selbständiger Tätigkeit als Beraterin, Trainerin und Herausgeberin ein. Unter dem Markenzeichen dokuit® bietet sie Unternehmen Unterstützung bei der Konzeption und dem Aufbau ihrer Dokumentation sowie bei der Erstellung IT-technischer und IT-organisatorischer Dokumentationen.
Inhalt 7
1Einleitung 9
2Aktuelle Anforderungen an die IT 11
2.1?Systematisierung der IT-Aufgabenfelder 11
2.1.1?Die neue Rolle der IT 12
2.1.2?Strukturierungsmodell 14
2.2?Aufgabenfelder des IT-Betriebs im?Überblick 18
2.2.1?IT-System- und -Plattformbetrieb 18
2.2.2?Sicherer IT-Betrieb 21
2.2.3?Anwendungsentwicklung und -bereitstellung 25
2.2.4?Kunden- und Lieferantenmanagement 27
2.2.5?IT-Servicemanagement 30
3Dokumentationskonzepte für den IT-Betrieb 35
3.1?Hilfen für die Anforderungsanalyse 35
3.2?IT-Systemdokumentation 40
3.2.1?Historisch gewachsene Strukturen entflechten 41
3.2.2?Dokumentation der IT-Assets 43
3.2.2.1?IT-Assetmanagement 46
3.2.2.2?IT-Konfigurationsmanagement 47
3.2.3?Betriebskonzepte für den IT-Systembetrieb 50
3.2.3.1?Inhalte eines Betriebskonzepts 50
3.2.3.2?Tailoring der IT-Systemdokumentation 54
3.2.3.3?Beispiel: Betriebskonzept für Cloud-Systeme 56
3.3?IT-Sicherheits- und IT-Notfalldokumentation 58
3.3.1?Ermittlung regulatorischer Anforderungen 59
3.3.1.1?Beispiel IT-Sicherheitsgesetz und KRITIS 59
3.3.1.2?Beispiel NIS-Richtlinie 61
3.3.2?IT-Sicherheitsdokumentation in Anlehnung an die ISO/IEC?27001 62
3.3.2.1?Dokumentationsanforderungen der ISO/IEC?27001 62
3.3.2.2?Dokumentation der Maßnahmen (Controls) 67
3.3.2.3?Beispiel IT-Netzwerkdokumentation aus Sicht von ISMS 79
3.3.3?Notfalldokumentation auf Grundlage des BSI-Standard?200-4 83
3.3.3.1?Modernisierter Notfallstandard?200-4 84
3.3.3.2?Neue Technologien als Chancen für das Notfallmanagement 87
3.3.3.3?Aufbau einer modularen Notfalldokumentation 89
3.4?Anwendungsdokumentation 93
3.4.1?Dokumentation bei agiler Softwareentwicklung 93
3.4.1.1?Dokumentation entlang der DevOps-Pipeline 94
3.4.1.2?Betriebskonzepte in der Anwendungsentwicklung und -bereitstellung 99
3.4.2?Sicherheit in der Softwareentwicklung 104
3.4.2.1?Maßnahmen für eine sichere Softwareentwicklung gemäß?ISO/IEC?27001 105
3.4.2.2?DevSecOps – Schlüsselkonzepte und Dokumentation 108
3.5?Kunden- und Lieferantendokumentation 109
3.5.1?Service Level Management 110
3.5.1.1?Vorgabedokumente des operativen Managements 110
3.5.1.2?Operative Dokumente des Service Level Managements 112
3.5.2?Lieferantenmanagement im Kontext von ISMS 114
3.5.3?Cloud-Sourcing 119
3.6?IT-Servicemanagement-Dokumentation 122
3.6.1?Dokumentation zur Steuerung des ITSM 124
3.6.2?Dokumentation der IT-Servicemanagementprozesse 127
3.6.2.1?ITSM und Informationssicherheit 128
3.6.2.2?Einbindung der Dokumentation anderer Aufgabenfelder 132
4Plattformen als Werkzeug für die Dokumentation 135
4.1?Einsatz und Nutzen einer Dokumentationsplattform 135
4.2?Beispiel: Einrichtung einer Portalseite 138
4.2.1?Planung der Hub-Struktur 139
4.2.2?Gestaltung der Portalseite 141
4.3?Beispiel: Krisenstabsraum und Notfallzentrale in Microsoft Teams 143
4.3.1?Planung und Konfiguration eines virtuellen Stabsraums 143
4.3.2?Einrichtung einer Notfalleinsatzzentrale in MS Teams 145
5Ausblick – KI in der IT-Dokumentation 147
6Anhang 151
6.1?Literaturverzeichnis 151
6.2?Abkürzungsverzeichnis 154
Stichwortverzeichnis 157
| 3 | Dokumentationskonzepte für den IT-Betrieb |
In diesem Kapitel werden Dokumentationskonzepte für die Aufgabenfelder des IT-Betriebs (siehe Abschnitt 2.2) vorgestellt:
IT-System- und -Plattformbetrieb
Sicherer IT-Betrieb
Anwendungsentwicklung und -bereitstellung
Kunden- und Lieferantenmanagement
IT-Servicemanagement
Anhand von ausgewählten Themen, konzeptionellen Vorschlägen und Beispielen können die vorgestellten Ansätze dabei unterstützen, eigene Konzepte für diese Aufgabenfelder vor dem Hintergrund aktueller Anforderungen zu entwickeln.
Die Konzepte beziehen sich jeweils auf einen spezifischen Dokumentationsbereich (IT-Systemdokumentation, Anwendungsdokumentation u. a.). Damit ist es möglich, die aktuellen Entwicklungen bezogen auf die verschiedenen Dokumentationsbereiche zu berücksichtigen und eine Anpassung der IT-Dokumentation, abhängig vom Stand der Digitalisierung, Automatisierung und der Einführung agiler Arbeitsweisen in der eigenen Organisation, umzusetzen.
Grundsätzlich muss die IT-Dokumentation ganzheitlich betrachtet werden. Das in Abschnitt 2.1 vorgestellte Strukturierungsmodell 2023 bildet hierfür einen praxiserprobten Ansatz.
| 3.1 | Hilfen für die Anforderungsanalyse |
Bei der Erstellung von Konzepten für die Dokumentation müssen prinzipiell zwei Fragen beantwortet werden:
Was muss dokumentiert werden?
Wie (in welcher Ausprägung, mit welchem Umfang, in welchem Medium u. a.) muss dokumentiert werden?
Vorgabedokumente sind unerlässlich
In der Vergangenheit standen bei vielen IT-Organisationen die operativen Dokumente im Vordergrund. Der Grund dafür ist nachvollziehbar: Die zentralen Aufgaben von IT-Organisationen sind der Betrieb der IT-Systeme, die Bereitstellung von Anwendungen und die Behebung von Störungen. Im Fokus stand damit die Dokumentation zur Erledigung der administrativen Aufgaben.
Die Frage, nach welchen Vorgaben die Aufgaben erledigt werden, war lange Zeit nachrangig. Dies hat sich geändert: Vorgaben und implementierte Prozesse sind eine notwendige Voraussetzung für einen funktionierenden, modernen IT-Betrieb. Und für die Sicherstellung von Governance.
Prüfer und Auditoren werden daher immer, unabhängig vom anzuwendenden Standard oder der zu prüfenden Norm, die Vorgaben prüfen und im Anschluss kontrollieren, ob diese nachweisbar im operativen Betrieb umgesetzt werden.
Häufig vernachlässigt: die Nachweisdokumentation
Ein grundlegendes Prinzip, das in allen Managementsystemen verankert ist, bildet die kontinuierliche Verbesserung und permanente Optimierung gemäß dem PDCA-Zyklus (Plan-Do-Check-Act) nach William Edwards Deming. Dieses Prinzip basiert darauf, dass allein das Erstellen von Richtlinien und Verfahren sowie die Planung und Umsetzung von Maßnahmen nicht ausreichen. Vielmehr sind Erfolgskontrollen und die fortlaufende Anpassung beziehungsweise Verbesserung entscheidende Managementprinzipien. Ohne regelmäßige Überprüfung kann insbesondere die Effektivität der organisatorischen und technischen Schutzmaßnahmen nicht sichergestellt werden.
Die vier Phasen Plan (planen), Do (umsetzen), Check (überprüfen) und Act (handeln/verbessern) laufen dabei zyklisch, also wie in einer Endlosschleife ab: Was geplant wird, muss umgesetzt werden. Was umgesetzt wurde, muss überprüft und gegebenenfalls gemessen werden. Aus den Ergebnissen der Überprüfungen und Messungen muss man Handlungsbedarf in Form von Korrektur- oder Verbesserungsmaßnahmen ableiten und diese Maßnahmen ihrerseits wieder planen.
Um die Wirksamkeit der umgesetzten Maßnahmen zu kontrollieren und nachzuweisen, sind dokumentierte Nachweise unabdingbar. Hierbei ist zu beachten, dass zum einen Nachweise für die Umsetzung der Maßnahmen erforderlich sind. Typische Nachweise hierfür sind etwa Systemprotokolle und Logdateien zur Änderung bzw. Nutzung administrativer Berechtigungen, Berichte über durchgeführte Backups und Patches, aber auch die in einem Ticketsystem dokumentierte Erledigung von Aufgaben. Zum anderen – und dieser Punkt wird häufig übersehen – muss es definierte und dokumentierte Prozesse geben, die eine Kontrolle der regelmäßig durchzuführenden Überprüfungen sicherstellen. Diese Kontrollen sind zunächst intern durchzuführen. Sie stellen den Kern des sogenannten Internen Kontrollsystems (IKS) dar. Ein weiteres wichtiges Instrument sind interne und externe Audits und die Dokumentation entsprechender Auditnachweise (Durchführungsprotokolle und Ergebnisdokumente). Sie dienen u. a. der Erfüllung regulatorischer Anforderungen.
Unabhängig vom betrachteten Aufgabenfeld müssen – den vorstehenden Ausführungen entsprechend – bei der Konzeption der IT-Dokumentation immer die drei in Bild 3.1 dargestellten Dokumentationsebenen in die Planung einbezogen werden.
Bild 3.1 Teilbereiche der IT-Betriebsdokumentation
Hilfreiches Werkzeug: Dokumentenpyramide
Für die Identifizierung der notwendigen Dokumente hat sich in der Praxis die Verwendung einer Dokumentenpyramide als hilfreich erwiesen, die von oben nach unten die Hierarchie von Dokumenten und/oder Informationen visualisiert. Sie gliedert die Dokumente in verschiedene Ebenen oder Stufen, je nach ihrem Detaillierungsgrad und ihrer Bedeutung. Die Verortung von Dokumenten in einer Dokumentenhierarchie bietet eine Reihe von Vorteilen: Zum einen sind alle Dokumente in einen Verbund eingebunden und Abhängigkeiten zwischen den Dokumenten werden transparent. Zum anderen unterstützt eine solche Hierarchie den Aufbau einer modularen IT-Dokumentation und reduziert damit den Aufwand für Anpassung und Pflege der Dokumentation. Und schließlich hilft die Einordnung von Dokumenten in eine Dokumentenhierarchie auch bei der Erstellung zielgruppenorientierter Dokumente.
Anstatt jedoch jedes einzelne Dokument einer Hierarchiestufe zuzuweisen, hat sich außerdem die Verwendung von Dokumententypen bewährt. Ein Dokumententyp beschreibt eine Gruppe von Dokumenten mit gleichartigen Eigenschaften (Attribute). Die Zuordnung zu einem Dokumententyp definiert ein Dokument im Hinblick auf formale Anforderungen, Detaillierungsgrad, Anforderungen an die Dokumentenlenkung und Verantwortlichkeiten. Die Zuordnung eines Dokuments zu einem Dokumententyp weist es damit auch gleichzeitig einer Hierarchieebene zu. Bild 3.2 zeigt die Dokumentenpyramide in Anlehnung an REISS [Rm2018] mit ausgewählten Dokumententypen.
Die Dokumentenpyramide wird in den vier Ebenen abgebildet, die sich wie folgt inhaltlich voneinander abgrenzen:
1. Dokumente des Enterprise Managements/strategischen IT-Managements:
Die Dokumente auf dieser Ebene beschreiben die übergeordneten Ziele und Anforderungen des jeweiligen Managementsystems. Sie legen die Ziele und Vorgaben fest, jedoch nicht die spezifische Methodik zur Erreichung dieser Ziele. Dokumente wie Leitlinien und Richtlinien werden üblicherweise dieser Stufe zugeordnet. Leitlinien setzen die Vorgaben der obersten Führungsebene zur Formulierung von Politik, Strategie und Werten fest, enthalten im Unterschied zu Richtlinien aber keine konkreten Handlungsregeln. Richtlinien präzisieren die Vorgaben der obersten Führungsebene und dienen der weiteren Ausgestaltung der Leitlinien.
Aufgrund der engen Verzahnung des strategischen IT-Managements mit dem Unternehmensmanagement werden in der Pyramide auch die unternehmensweit gültigen IT-Richtlinien und Leitlinien berücksichtigt. So können beispielsweise übergeordnete Richtlinien des Informationssicherheitsmanagements dieser Ebene zugeordnet werden.
Bild 3.2 Dokumentenpyramide in Anlehnung an REISS [Rm2018] (Bildquelle: [Rm2018])
Richtlinie oder Konzept? – die Zuordnung ist häufig schwierig
Die in der Dokumentenpyramide beschriebene klare Zuordnung von Richtlinien zur Ebene des strategischen IT-Managements und Konzepten zur Ebene des operativen Managements ist ein hilfreicher Planungsansatz. In der Praxis ist diese begriffliche Trennung nicht immer umsetzbar. So fordert unter anderem die ISO/ IEC 27001 die Erstellung einer übergeordneten Richtlinie, die durch „themenspezifische Richtlinien“ zur Umsetzung der geforderten Maßnahmen ergänzt werden. Gemäß Dokumentenpyramide entsprechen die themenspezifischen Maßnahmen dem Dokumententyp Konzept und damit der Ebene des operativen Managements.
Wichtig ist daher eine verbindliche Festlegung der Begriffe für die Organisation. Diese Vorgehensweise wird auch von der...
| Erscheint lt. Verlag | 8.12.2023 |
|---|---|
| Sprache | deutsch |
| Themenwelt | Mathematik / Informatik ► Informatik |
| Schlagworte | Digitaler Wandel • digitale Transformation • Dokumentation • Dokumentationsmanagement • IT-Compliance • IT-Dokumentation • IT-Governance • IT-Management • IT-Sicherheit |
| ISBN-10 | 3-446-47927-9 / 3446479279 |
| ISBN-13 | 978-3-446-47927-2 / 9783446479272 |
| Informationen gemäß Produktsicherheitsverordnung (GPSR) | |
| Haben Sie eine Frage zum Produkt? |
PDF (Wasserzeichen)Größe: 5,5 MB
DRM: Digitales Wasserzeichen
Dieses eBook enthält ein digitales Wasserzeichen und ist damit für Sie personalisiert. Bei einer missbräuchlichen Weitergabe des eBooks an Dritte ist eine Rückverfolgung an die Quelle möglich.
Dateiformat: PDF (Portable Document Format)
Mit einem festen Seitenlayout eignet sich die PDF besonders für Fachbücher mit Spalten, Tabellen und Abbildungen. Eine PDF kann auf fast allen Geräten angezeigt werden, ist aber für kleine Displays (Smartphone, eReader) nur eingeschränkt geeignet.
Systemvoraussetzungen:
PC/Mac: Mit einem PC oder Mac können Sie dieses eBook lesen. Sie benötigen dafür einen PDF-Viewer - z.B. den Adobe Reader oder Adobe Digital Editions.
eReader: Dieses eBook kann mit (fast) allen eBook-Readern gelesen werden. Mit dem amazon-Kindle ist es aber nicht kompatibel.
Smartphone/Tablet: Egal ob Apple oder Android, dieses eBook können Sie lesen. Sie benötigen dafür einen PDF-Viewer - z.B. die kostenlose Adobe Digital Editions-App.
Zusätzliches Feature: Online Lesen
Dieses eBook können Sie zusätzlich zum Download auch online im Webbrowser lesen.
Buying eBooks from abroad
For tax law reasons we can sell eBooks just within Germany and Switzerland. Regrettably we cannot fulfill eBook-orders from other countries.
EPUB (Wasserzeichen)Größe: 7,9 MB
DRM: Digitales Wasserzeichen
Dieses eBook enthält ein digitales Wasserzeichen und ist damit für Sie personalisiert. Bei einer missbräuchlichen Weitergabe des eBooks an Dritte ist eine Rückverfolgung an die Quelle möglich.
Dateiformat: EPUB (Electronic Publication)
EPUB ist ein offener Standard für eBooks und eignet sich besonders zur Darstellung von Belletristik und Sachbüchern. Der Fließtext wird dynamisch an die Display- und Schriftgröße angepasst. Auch für mobile Lesegeräte ist EPUB daher gut geeignet.
Systemvoraussetzungen:
PC/Mac: Mit einem PC oder Mac können Sie dieses eBook lesen. Sie benötigen dafür die kostenlose Software Adobe Digital Editions.
eReader: Dieses eBook kann mit (fast) allen eBook-Readern gelesen werden. Mit dem amazon-Kindle ist es aber nicht kompatibel.
Smartphone/Tablet: Egal ob Apple oder Android, dieses eBook können Sie lesen. Sie benötigen dafür eine kostenlose App.
Geräteliste und zusätzliche Hinweise
Zusätzliches Feature: Online Lesen
Dieses eBook können Sie zusätzlich zum Download auch online im Webbrowser lesen.
Buying eBooks from abroad
For tax law reasons we can sell eBooks just within Germany and Switzerland. Regrettably we cannot fulfill eBook-orders from other countries.
aus dem Bereich
