Ein häufig beobachtetes Problem in der IT ist fehlende Betriebsdokumentation. Dafür gibt es mehrere Ursachen:
- Geringe Priorität für das Thema Dokumentation („Das machen wir im Nachgang.“)
- Unwissenheit, wie man Dokumentation erstellt
- Fehlende Vorlagen/Templates
Wenn man einen vollständigen Satz Dokumentation erstellen wil, benötigt man für ein komplexes IT-System, dokumentiert von Hardware bis Anwendungsprogramm(en) folgende Dokumente:
- Übersicht über die Architektur und die beteiligten Komponenten (Client/Server-Prinzip, 3-Tier-Architektur, Frontend/Backend-System usw.)
- Installationsanleitung einschließlich Anleitung zu einer vollständigen Deinstallation
- Das eigentliche Betriebshandbuch
- Bekannte Fehler einschl. Maßnahmen zur Behebung/Korrektur, evtl. auch in Form eine F.A.Q. – Liste
Für etwas einfachere Anwendungen kann man die oben genannten Themen 1, 2 und 4 in das eigentliche Betriebshandbuch integrieren.
Für das Betriebshanbuch selbst sollte dann im Wesentlichen die folgende Struktur verwendet werden:
- Informationen zur Dokumentation selbst, z. Bsp. : Hinweis auf die Struktur des Dokuments, an wen richtet sich das Dokument und welche Kenntnisse sind zum Verständnis erforderlich (in IBM-Dokumenten bezeichnet als „Intended Audience“), Zweck des Dokuments, mitgeltende bzw. weiterführende Dokumente, elektronischer Speicherort und Klassifizierung des Dokuments
- Übersicht über das Gesamtsystem: Architektur, Funktionen, Mehrwert für den Geschäftsprozess (ggf. als Ersatz für das Dokument unter 1. oben)
- Aufgaben und Regeltätigkeiten der Betriebsführung. Dabei orientiert man sich am besten an den ITIL-Prozesssen (Service Delivery)
- Identifikation der fachseitig verantwortlichen Nutzer. Diese sind verantwortlich für Anforderungen bezüglich Vertraulichkeit, Verfügbarkeit und Integrität
- Namenskonventionen
- Maßnahmen zur Zugangs- und Zugriffskontrolle
- Verfahren zur Authentifizierung (z. Bsp. Name/Passwort, Passwort-Rücksetzung, biometrische Verfahren, Multi-Faktor-Authentifizierung) und Authorisierung (Rollenkonzept)
- Verwendete IP-Ports, ggf. getrennt nach TCP, UDP, andere Protokolle
- Klassifizierung bezüglich Vertraulichkeit, Verfügbarkeit, Integrität. Ausgegangen wird von den Daten, davon werden nach dem Maximalprinzip die Klassifizierungen für Software, Hardware, Netze usw. abgeleitet
- Prozess zur Vergabe von Zugriffsberechtigungen einschließlich Systemaccounts
- Event-Management und Protokollierung (lokal vs. zentral, Schutz von Logfiles usw.)
- Pach-Management für das Betriebssystem
- Patch-Management für Middleware und Anwendung
- Datensicherung einschließlich Zeitplanung, Aufbewahrungsfristen, Löschkonzept, regelmäßige Restore-Tests
- Verwaltung von Datenträgern. Besonders wichtig für externe/transportable Medien
- Beschreibung der benötigten Hardware und Infrastruktur
- Besondere Regelungen, zum Beispiel Verpflichtung zum 4-Augen-Prinzip o. ä.
- Anzuwendende Regelungen und Gesetze (DSGVO, Buch X SGB, PCI-DSS, usw.
- Notfallplan