Phase 8 – Dokumentation erstellen „Dokumentation macht Sicherheit nachvollziehbar und wiederholbar.“ Einleitung Phase 8 – Dokumentation erstellen ist ein Baustein auf dem Weg zu einem belastbaren ISMS für KMU. Die Phase verbindet organisatorische Sicht, technische Realität und die Anforderungen der Geschäftsführung. Ziel der Phase Ziel ist es, die relevanten Informationen strukturiert zu erfassen, verständlich zu dokumentieren und als Grundlage für die nächsten Schritte nutzbar zu machen. Benötigte Teilnehmer Geschäftsführung oder IT-Entscheider Interner oder externer IT-Verantwortlicher Fachabteilungen nach Bedarf Datenschutz oder Qualitätsmanagement, falls vorhanden Arbeitsergebnisse der Phase Dokumentierte Ergebnisse der Bestandsaufnahme Offene Fragen und Risiken Erste Prioritäten für spätere Maßnahmen Grundlage für die nächste Phase Checkliste Systemdokumentation Ziel Server, Clients, Netzwerk, Cloud-Dienste und Anwendungen werden verständlich dokumentiert. Ziel ist Nutzbarkeit im Betrieb und im Notfall. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Netzwerkplan Ziel Netze, VLANs, Router, Firewalls, Switches, WLAN und Internetanschlüsse werden grafisch dargestellt. Ein einfacher Plan ist besser als kein Plan. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Betriebsdokumentation Ziel Wichtige Routineaufgaben, Wartung, Updates und Zuständigkeiten werden beschrieben. Dadurch wird Betrieb weniger personenabhängig. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Richtlinien Ziel Passwortrichtlinie, Homeoffice-Regelung, E-Mail-Nutzung, mobile Geräte und Berechtigungen werden festgelegt. Richtlinien müssen verständlich und realistisch sein. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Notfalldokumentation Ziel Kontakte, Zugangsdatenorte, Wiederherstellungswege und Eskalationen werden dokumentiert. Diese Dokumentation muss im Notfall verfügbar sein. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Lizenz- und Vertragsübersicht Ziel Lizenzen, Verträge, Laufzeiten und Ansprechpartner werden zusammengeführt. Das reduziert Risiken bei Ausfällen oder Anbieterwechseln. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Änderungshistorie Ziel Wichtige Änderungen sollten nachvollziehbar sein. Dadurch lassen sich Fehlerquellen und Verantwortlichkeiten besser klären. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Typische Feststellungen In KMU fehlen häufig aktuelle Dokumentationen, eindeutige Verantwortlichkeiten und regelmäßige Prüfungen. Das ist kein Vorwurf, sondern der Ausgangspunkt für den Aufbau eines ISMS. Hinweise für den IT-Berater Wichtig ist eine pragmatische Sprache. Geschäftsführung und Fachbereiche müssen verstehen, welchen Nutzen die Phase für den Betrieb hat. Technische Details sind wichtig, sollten aber immer mit Geschäftsrisiken verbunden werden. Praxistipp Am Ende jeder Phase sollte eine kurze Zusammenfassung erstellt werden: Was wurde erkannt, was ist kritisch, was ist offen und welche Entscheidung wird als nächstes benötigt? Ergebnis der Phase Die Phase ist abgeschlossen, wenn die Ergebnisse so dokumentiert sind, dass eine andere fachkundige Person die Ausgangslage nachvollziehen und mit der nächsten Phase fortfahren kann.