Zum Inhalt springen

Betriebsdokumentation

Ein häufig beobachtetes Problem in der IT ist fehlende Betriebsdokumentation. Dafür gibt es mehrere Ursachen:

  • Geringe Priorität für das Thema Dokumentation („Das machen wir im Nachgang.“)
  • Unwissenheit, wie man Dokumentation erstellt
  • Fehlende Vorlagen/Templates

Wenn man einen vollständigen Satz Dokumentation erstellen wil, benötigt man für ein komplexes IT-System, dokumentiert von Hardware bis Anwendungsprogramm(en) folgende Dokumente:

  1. Übersicht über die Architektur und die beteiligten Komponenten (Client/Server-Prinzip, 3-Tier-Architektur, Frontend/Backend-System usw.)
  2. Installationsanleitung einschließlich Anleitung zu einer vollständigen Deinstallation
  3. Das eigentliche Betriebshandbuch
  4. Bekannte Fehler einschl. Maßnahmen zur Behebung/Korrektur, evtl. auch in Form eine F.A.Q. – Liste

Für etwas einfachere Anwendungen kann man die oben genannten Themen 1, 2 und 4 in das eigentliche Betriebshandbuch integrieren.

Für das Betriebshanbuch selbst sollte dann im Wesentlichen die folgende Struktur verwendet werden:

  1. Informationen zur Dokumentation selbst, z. Bsp. : Hinweis auf die Struktur des Dokuments, an wen richtet sich das Dokument und welche Kenntnisse sind zum Verständnis erforderlich (in IBM-Dokumenten bezeichnet als „Intended Audience“), Zweck des Dokuments, mitgeltende bzw. weiterführende Dokumente, elektronischer Speicherort und Klassifizierung des Dokuments
  2. Übersicht über das Gesamtsystem: Architektur, Funktionen, Mehrwert für den Geschäftsprozess (ggf. als Ersatz für das Dokument unter 1. oben)
  3. Aufgaben und Regeltätigkeiten der Betriebsführung. Dabei orientiert man sich am besten an den ITIL-Prozesssen (Service Delivery)
  4. Identifikation der fachseitig verantwortlichen Nutzer. Diese sind verantwortlich für Anforderungen bezüglich Vertraulichkeit, Verfügbarkeit und Integrität
  5. Namenskonventionen
  6. Maßnahmen zur Zugangs- und Zugriffskontrolle
  7. Verfahren zur Authentifizierung (z. Bsp. Name/Passwort, Passwort-Rücksetzung, biometrische Verfahren, Multi-Faktor-Authentifizierung) und Authorisierung (Rollenkonzept)
  8. Verwendete IP-Ports, ggf. getrennt nach TCP, UDP, andere Protokolle
  9. Klassifizierung bezüglich Vertraulichkeit, Verfügbarkeit, Integrität. Ausgegangen wird von den Daten, davon werden nach dem Maximalprinzip die Klassifizierungen für Software, Hardware, Netze usw. abgeleitet
  10. Prozess zur Vergabe von Zugriffsberechtigungen einschließlich Systemaccounts
  11. Event-Management und Protokollierung (lokal vs. zentral, Schutz von Logfiles usw.)
  12. Pach-Management für das Betriebssystem
  13. Patch-Management für Middleware und Anwendung
  14. Datensicherung einschließlich Zeitplanung, Aufbewahrungsfristen, Löschkonzept, regelmäßige Restore-Tests
  15. Verwaltung von Datenträgern. Besonders wichtig für externe/transportable Medien
  16. Beschreibung der benötigten Hardware und Infrastruktur
  17. Besondere Regelungen, zum Beispiel Verpflichtung zum 4-Augen-Prinzip o. ä.
  18. Anzuwendende Regelungen und Gesetze (DSGVO, Buch X SGB, PCI-DSS, usw.
  19. Notfallplan

Schlagwörter: