Bundesamt für Sicherheit in der Informationstechnik

M 6.119 Dokumentation im Notfallmanagement-Prozess

Verantwortlich für Initiierung: Notfallbeauftragter

Verantwortlich für Umsetzung: Notfallbeauftragter

Der Ablauf des Notfallmanagement-Prozesses, die Arbeitsergebnisse der einzelnen Phasen und wichtige Entscheidungen sollten dokumentiert werden. Eine solche Dokumentation und Protokollierung ist eine wesentliche Grundlage für die Aufrechterhaltung und die effiziente Weiterentwicklung des Prozesses. Sie hilft dabei, die Ursachen von Störungen und fehlgeleiteten Abläufen im Notfallmanagement zu finden und zu beseitigen. Erst durch die kontinuierliche Dokumentation können die Entwicklungen und Entscheidungen im Bereich Notfallmanagement nachvollziehbar zurückverfolgt werden.

Es ist ein nachvollziehbarer Prozess zu etablieren, der für alle alle im Notfallmanagement erstellten Dokumente, Protokolle und Aufzeichnungen sicherstellt, dass diese auffindbar, eindeutig identifiziert, kurzfristig zugänglich und lesbar sind. Jedes Dokument muss sicher gespeichert bzw. verwahrt werden und der Zugriff auf autorisierte Personen zu beschränken, um Missbrauch zu verhindern.

Es ist ein Verfahren zu etablieren, das die regelmäßige wie anlassbezogene Aktualisierung der Dokumente sicherstellt. Veraltete Dokumente, die durch eine neue Version ersetzt wurden, sind als solche zu kennzeichnen, um einer unbeabsichtigten Nutzung vorzubeugen. Für alle im Rahmen des Notfallmanagement erstellten Dokumente ist es wichtig, dass nicht nur die jeweils aktuelle Version, sondern auch die Vorgängerversionen zentral gespeichert und jederzeit abrufbar sind.

Abhängig vom Gegenstand und vom Verwendungszweck sind folgende Arten von Dokumentationen zum Notfallmanagement und dem Notfallmanagement-Prozess zu betrachten:

Berichte an die Leitungsebene

Damit die oberste Leitungsebene einer Behörde oder eines Unternehmens die richtigen Entscheidungen in Bezug auf die Steuerung des Notfallmanagements treffen kann, benötigt sie die dafür notwendigen Informationen. Hierfür sollte der Notfallbeauftragte bzw. das Notfallmanagement-Team regelmäßig sowie anlassbezogen Management-Berichte zum Status des Notfallmanagements erstellen.

Dokumente zum Notfallmanagement

Folgende Arten von Dokumentationen zum Notfallmanagement sollten erstellt werden:

  • die Leitlinie zum Notfallmanagement der Behörde bzw. des Unternehmens
  • die Rollenbeschreibungen mit Aufgaben, Rechten und Pflichten
  • Übersicht über Ressourcen-Anforderungen und Bereitstellung
  • das Notfallvorsorgekonzept mit den Ergebnissen der BIA, die Risikoanalyse, der Kontinuitätsstrategien, erforderlichen Maßnahmen und deren Umsetzung
  • das Notfallhandbuch zur effektiven Bewältigung eines Notfalls oder einer Krise mit der Organisationsstruktur für die Notfallbewältigung und den verschiedenen Notfallplänen
  • das Sensibilisierungs- und Schulungskonzept, Nachweise der Maßnahmen sowie die Dokumentation der Überprüfung
  • Planung, Konzeption und Durchführungsprotokolle von Tests und Übungen
  • Planung, Durchführung und Ergebnisse von Revisionen und Überprüfungen (z. B. Prüflisten und Befragungsprotokolle)
  • Planung und Durchführung von Korrektur- und Verbesserungsmaßnahmen
  • die wesentlichen Arbeiten und Entscheidungen des Notfallmanagement-Teams sollten in Form von z. B. Sitzungsprotokolle und Beschlüssen dokumentiert sein

Dokumentation von Arbeitsabläufen

Arbeitsabläufe, organisatorische Vorgaben und Maßnahmen müssen so dokumentiert werden, dass keine Schäden durch Unkenntnis oder Fehlhandlungen entstehen. Es muss bei Notfällen und Krisen möglich sein, den gewünschten Soll-Zustand der Geschäftsprozesse wiederherzustellen. Technische Einzelheiten und Arbeitsabläufe sind daher so zu dokumentieren, dass dies in angemessener Zeit möglich ist.

Dokumentation von Schadensereignissen

Notfälle, Krisen und deren Behandlung müssen so aufbereitet werden, dass alle damit verbundenen Vorgänge und Entscheidungen nachvollziehbar sind. Ebenso soll es die Dokumentation ermöglichen, Verbesserungen am Notfallvorsorgekonzept und dem Notfallhandbuch vorzunehmen und bekannte Fehler zukünftig zu vermeiden.

Informationsfluss und Meldewege

Wichtig für die Notfallbewältigung ist die Beschreibung und zeitnahe Aktualisierung der Melde- und Eskalationswege.

Dokumentationswesen

Es ist Aufgabe des Notfallbeauftragten und des unterstützenden Notfallmanagement-Teams stets aktuelle und aussagekräftige Dokumentationen zum Notfallmanagement vorzuhalten. Für alle Dokumentationen im Rahmen des Notfallmanagement-Prozesses sollte es daher eine geregelte Vorgehensweise geben. Dazu gehören z. B. folgende Punkte:

  • Dokumentationen müssen verständlich sein. Das bedeutet auch, dass sie zielgruppengerecht gestaltet werden müssen. Berichte an die Leitungsebene haben andere Anforderungen als technische Dokumentationen für Administratoren.
  • Dokumentationen müssen aktuell sein. Es muss festgelegt werden, wer sie pflegt. Sie müssen so bezeichnet und abgelegt werden, dass sie im Bedarfsfall schnell gefunden werden können. Es müssen Angaben zu Erstellungsdatum, Version, Quellen und Autoren vorhanden sein. Veraltete Unterlagen müssen sofort aus dem Umlauf genommen und archiviert werden.
  • Es sollte ein definiertes Verfahren existieren, um Änderungsvorschläge (inklusive der Erstellung neuer Dokumente) einzubringen, zu beurteilen und gegebenenfalls zu berücksichtigen.
  • Neben der schnellen Informationsweitergabe an Berechtigte ist andererseits die Vertraulichkeit von organisationsinternen Details sicherzustellen. Vertrauliche Inhalte müssen als solche klassifiziert werden und die Dokumente sicher verwahrt und bearbeitet werden.

Bei der Pflege der Vielzahl von Dokumente kann ein Dokumentenmanagement hilfreich sein.

Dokumentationen müssen nicht immer in Papierform vorliegen. Das Dokumentationsmedium kann je nach Bedarf gewählt werden. Zur Dokumentation können beispielsweise Übersichtsdiagramme, kurze Sitzungsprotokolle, handschriftliche Notizen oder Software-Tools (z. B. zur Dokumentation der Business Impact Analyse) genutzt werden.

Prüffragen:

  • Sind die wesentlichen Dokumente des Notfallmanagement-Systems und der Umsetzung vorhanden?

  • Existiert ein Verfahren, das die regelmäßige Aktualisierung der Dokumente sicherstellt, das schnelle Auffinden von Dokumenten ermöglicht und den Zugriff auf autorisierte Personen einschränkt?

Stand: 13. EL Stand 2013