Heutige Anforderung an eine IT Dokumentation für Unternehmen

Zuletzt aktualisiert: Di, 9. November 2021

Wie starte ich das Projekt: IT Dokumentation

Notwendigerweise startet jedes IT Dokumentation Projekt mit der Frage: „Was sind die Anforderungen an eine IT Dokumentation für mein Unternehmen und IT-Organisation?“ Jedes IT Dokumentation Projekt muss neben individuellen, auf das Unternehmen zugeschnittene Anforderungen, auch verbindliche und gesetzliche Vorgaben erfüllen. Heute spricht man von sogenannten Compliance-Anforderungen für eine solche Art der Dokumentation. Auch sollte man in einem solchen Projekt frühzeitig die Information einholen, wer und wann eine solche IT Dokumentation anfordern, prüfen und bewerten wird und welche Normen und Standards hierbei eingehalten werden müssen.

Im Rahmen der aktuellen gesetzlichen Bestimmungen kann ein ganzer Fächer von Vorgaben, Vorschriften und gesetzlichen Bestimmungen relevant sein. Diese gesetzlichen Vorgaben beziehen sich vom HGB (Handelsgesetzbuch), über das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) bis hin zu EU-Richtlinien, Datenschutzgesetz und Telemediengesetz (Auflistung nicht vollständig). Welche gesetzlichen Vorgaben für das einzelne Unternehmen zutreffen, muss sich durch eine Einzelprüfung im jeweiligen Unternehmen ergeben.

Welche Informationen in einer IT Dokumentation werden geprüft?

Weiter ist zu beachten, dass die Kenntnis, was nun eigentlich von Prüfern und Revisoren geprüft wird, wichtig. Eine Prüfung der IT Dokumentation wird im Rahmen des Prüfungsstandards 330 stichprobenartig vorgenommen, was bedeutet, dass folgende Bereiche einer Prüfung unterzogen werden können:

  • IT-Umfeld und IT-Organisation
  • IT Infrastruktur
  • IT-Anwendungen und IT Geschäftsprozesse
  • Aufbauprüfung (Prüfung und Beurteilung der Angemessenheit) und
  • Funktionsprüfung (Prüfung und Beurteilung der Wirksamkeit)

Folgende Detailprüfungen müssen bei einer Revision vorgelegt werden können:

  • Bereich: IT-Umfeld und Organisation
    • IT Strategie, abgeleitet aus den Unternehmensleitlinien, Datenschutz- und IT-Sicherheitshandbüchern
    • Organigramme, Ablaufpläne, Verantwortlichkeiten und Kompetenzen der IT-Abteilung
    • Maßnahmen und Verfahren zum operativen Betriebsplan, sowie Maßnahmen und Regelungen für die Entwicklung, Einführung und dem Change-Management von IT-Applikationen und Anwendungen
  • Bereich: IT-Infrastruktur
    • Hardware-, Softwaresysteme, Betriebssysteme, Netzwerke
    • IT Betrieb inklusive Ressourcen-, Change- und Problemmanagement
  • Bereich: IT-Anwendungen
    • Softwaretyp (Standard, Individualsoftware, Spezialsoftware u.a.) inklusive Kurzbeschreibung und zugrunde liegende Hardwareplattform
    • Datenbank- bzw. Dateiorganisation
  • Bereich: IT-Geschäftsprozesse
    • Rechnungslegungsrelevante Unternehmensabläufe (Funktions- und prozessorientierte Beschreibung inklusive Ablauforganisation)
    • Angaben der IT-Infrastruktur und IT-Anwendungen für die oben genannten Unternehmensabläufe
    • Datenflussdiagramme und Anbindung an Buchhaltungs-Systeme

Sicherheitskonzepte, wie Zugriffskontrollsysteme, Firewalls und Datensicherung

IT Dokumentation: Normen und Standards im Rahmen der IT-Sicherheit

Aktuelle Umfragen bei Unternehmen im Bereich der eingeführten Normen und Standards (Sicherheitszertifizierungen) zeigt, dass an erster Stelle ISO-27001 genannt wird. Diese Zertifizierung hat durch die Einführung der IT-Grundschutz-Zertifizierung enorm an Bedeutung erhalten. Das BSI bietet seit Anfang 2006 Unternehmen die ISO-27001-Zertifizierung auf der Basis des IT-Grundschutzes an. Es ist im Rahmen der Zertifizierung zu beachten, dass Unternehmen, die sich nach diesen Normen zertifizieren lassen bei späteren Prüfungen nicht mehr angehalten sind, Einzelnachweise dem Revisor vorzulegen; es reicht dann die Vorlage der Zertifizierung.

Die gesetzlichen Vorschriften zur Dokumentationspflicht betreffen die IT Dokumentation in den Bereichen:

  • Dokumentation der Organisation, Abläufe und Prozesse,
  • Definition und Dokumentation der Verantwortlichkeiten und
  • Darstellung der Sicherstellung der Nachvollziehbarkeit durch Aufzeichnung und Protokolle.

Optional könnte man in dieser Auflistung auch noch das Change-Management im Bereich IT eines Unternehmens aufnehmen.

Nach der Festlegung einer zentralen Übersicht über die Anforderungen (Standard und individuell) kann dann eine Konkretisierung der IT Dokumentation erfolgen. Diese behandelt dann folgende Fragenfelder, die dann softwareunterstützt und automatisiert zu einer Gesamtdokumentation zusammengefasst werden:

  • Welche IT Dokumentationsfelder ergeben sich aus meinen individuellen IT-Bereichen?
  • Welche Art der IT Dokumentation benötige ich für den operativen Betrieb?
  • Welche Notfalldokumentation muss ich erstellen?
  • Welche Anforderungen und Vorgaben muss ich als Unternehmen im Rahmen des IT-Projektmanagements erfüllen?
  • Welche Möglichkeiten habe ich eine IT Dokumentation – idealerweise in Form einer ITIL-konformen CMDB – zu erstellen? Gibt es hierfür Softwareunterstützung?

Eine IT Dokumentation Software muss sich zwingend und auf einfachste Weise in bestehende Systeme integrieren. Ebenso müssen die durch das ITIL-Regelwerk vorgegebenen Anforderungen an eine solche Software (Federation, Reconciliation, Mapping, Visualisierung und Synchronisierung) bereitgestellt werden und optional eine IT Dokumentation dann auch im hohen Maße automatisiert den IT-Verantwortlichen zur Verfügung gestellt werden können. Docusnap baut auf die oben genannten Verfahren und Methoden auf und stellt als Basis eine ITIL-konforme CMDB dem IT-Verantwortlichen zur Verfügung.