Normen

Standards geben das "Wie" einer Richtlinie aus technologischer Sicht vor, ohne spezifische verfahrenstechnische Details. Viele Richtlinien enthalten zum Beispiel die Anforderung, dass der Zugang durch ein Passwort authentifiziert werden muss. Ein Standard, der genauer beschreibt, was ein Passwort ist, sollte diese Richtlinie begleiten. Dabei geht es wahrscheinlich um Themen wie Komplexitätsanforderungen, das Verfahren zum Ändern eines Passworts, Anforderungen an die Speicherung, die Wiederverwendbarkeit von Passwörtern und so weiter.

Die Ausgliederung dieser Details in ein separates Dokument (und die weitere Ausgliederung der Verfahren, die im folgenden Abschnitt behandelt wird) bietet mehrere Vorteile. Zum Beispiel:

Dokumente sind einfacher zu konsumieren

Ein übersichtliches Dokument ist einfacher zu navigieren und weniger entmutigend zu lesen als ein allumfassendes Dokument in der Größe eines Telefonbuchs. Wenn die Richtlinien, Standards und Verfahren separat aufgeführt sind, können die Mitarbeiter/innen die Informationen, die sie benötigen, in dem Dokument nachschlagen, das am besten geeignet ist, um sie schneller zu finden.

Fehlende Wiederholungen

Um auf das Beispiel mit den Passwörtern zurückzukommen: Wenn jede Richtlinie, in der Passwörter erwähnt werden, alle Details zur Definition, Verwendung und Speicherung von Passwörtern enthalten müsste, würde das eine Menge unnötiger Wiederholungen bedeuten (und viel Raum für Fehler lassen). Durch die Zusammenfassung dieser Informationen in einem einzigen Standarddokument wird dies vermieden. Die allgemeinen Richtlinien können leicht gelesen werden, und wenn weitere Informationen benötigt werden, kann der Leser auf den entsprechenden Begleitstandard verweisen.

Einfacher Unterhalt

Mit dem vorhergehenden Punkt hängt zusammen, dass eine Änderung des Standards nur an einer Stelle vorgenommen werden muss, damit sie in der gesamten Organisation einheitlich angewendet wird. Würden die Standards in die Dokumentation der Richtlinien aufgenommen, müssten die Änderungen alle Instanzen der betroffenen Aussagen berücksichtigen. Wenn man vergisst, die Änderungen nur an einer oder zwei Stellen vorzunehmen, könnte das katastrophale Folgen haben.

Wie bei den Richtlinien sollte die Sprache in der Dokumentation der Standards relativ einfach und klar sein und Wörter wie "tun", "werden", "müssen" und "sollen" verwenden. Sie sollten nicht zweideutig sein oder Wörter und Sätze wie "sollte", "versuchen" oder "meistens" verwenden.

Im Gegensatz zu den Richtlinien können die Standards jedoch spezifischer und detaillierter sein, z. B. in Bezug auf die verwendeten Technologien. Dennoch sollten sie keine spezifischen Verfahrensdetails enthalten, wie z. B. Befehle (diese Detailtiefe ist in den Verfahrensdokumenten enthalten, die im Folgenden besprochen werden).

In Kapitel 3 haben wir zum Beispiel das Beispiel verwendet:

Einem Benutzer wird eine eindeutige Benutzer-ID zugewiesen.

Die begleitende Dokumentation zu den Standards enthält normalerweise Aussagen wie diese:

Eine Benutzer-ID wird im Format <erste 6 Zeichen des Nachnamens><erste 2 Zeichen des Vornamens> erstellt , es sei denn, diese Benutzer-ID wird bereits verwendet...

Eine Benutzer-ID wird erst nach Genehmigung durch die Personalabteilung erstellt.

Eine Benutzer-ID darf erst nach Genehmigung durch den Vorgesetzten erstellt werden.

Die Personalabteilung muss die Zugriffsrechte des Benutzers überprüfen und genehmigen, um sicherzustellen, dass sie mit der Rolle des Benutzers übereinstimmen, bevor die Benutzer-ID bereitgestellt wird.

Eine Aufzeichnung über die Erstellung der Benutzer-ID und die damit verbundene Freigabe wird in...

Für die Speicherung von Benutzerpasswörtern muss eine Einweg-Hash-Funktion verwendet werden. Akzeptable Hash-Algorithmen sind...

Diese Erklärungen ergänzen, unterstützen und erläutern die zugehörige politische Erklärung.

Wie Richtlinien sollten auch Standards so gestaltet sein, dass sie gelesen werden können; es gibt keinen Grund, sie mit übermäßig wortreichen Aussagen zu füllen.

Abläufe

Verfahren gehen einen ähnlich großen Schritt weiter wie der Schritt von den Richtlinien zu den Standards: Sie geben an, wie die Standards, die auf den Richtlinien basieren, auf einer technologiespezifischen Ebene umgesetzt werden sollen.

Auch hier ist die Sprache wichtig, denn das Ziel ist es, sicherzustellen, dass die Verfahren einheitlich angewendet werden. Anders als bei Richtlinien und Standards hängt der Detaillierungsgrad dieser Dokumente jedoch wahrscheinlich von der Unternehmenskultur ab. In manchen Unternehmen ist es zum Beispiel angemessener, bei Konfigurationsänderungen fast jeden einzelnen Tastendruck zu erläutern. In anderen Unternehmen ist es angemessener, die vorzunehmenden Änderungen vorzuschreiben und den Administratoren die Entscheidung zu überlassen, wie sie sie durchführen wollen. In den meisten Umgebungen ist letzteres in der Regel ausreichend.

Gehen wir noch einmal auf die letzte Aussage aus dem Beispiel der Standards ein:

Für die Speicherung von Benutzerpasswörtern muss eine Einweg-Hash-Funktion verwendet werden. Akzeptable Hash-Algorithmen sind...

Die Verfahrensdokumentation sollte erklären, wie dies auf einer bestimmten Plattform erreicht wird. Da sich die Technologieplattformen unterscheiden und die Verfahren technologiespezifisch sind, ist es sehr wahrscheinlich, dass verschiedene plattformspezifische Dokumente erstellt werden müssen, um die Unterschiede zwischen den Technologien zu berücksichtigen.

Um zum Beispiel eine plattformspezifische Dokumentation über FreeBSD auf einem FreeBSD-System zu implementieren, könnte die Prozeduranweisung etwa so aussehen:

Um die Systempasswörter so zu konfigurieren, dass sie den SHA512-Hashing-Algorithmus verwenden, bearbeite die Datei /etc/login.conf und ändere das Feld passwd_format:

:passwd_format=sha512:\

Auf einer Linux-Plattform hingegen würde die Anleitung lauten:

Um die Systempasswörter so zu konfigurieren, dass sie den SHA512-Hash-Algorithmus verwenden, führst du den folgenden Befehl mit Root-Rechten aus:

authconfig --passalgo=sha512 --update

Beides sind Systeme, die auf Unix zurückgehen, und beide Wege führen letztlich zum gleichen Ziel. Die genaue Methode, mit der das Ziel erreicht wird, ist bei beiden klar formuliert, um eine einheitliche Anwendung über alle Plattformen und Teams hinweg zu gewährleisten.

Technisches Schreiben auf dieser Ebene kann eine Herausforderung sein, da es sich an eine Vielzahl von Zielgruppen richtet. Daher ist es für den Erfolg eines jeden Dokuments wichtig, dass die Personen, die diese Dokumente verwenden, in den Überprüfungs- und Genehmigungsprozess einbezogen werden. Einige gute Punkte, die du beim Verfassen von Verfahren beachten solltest, sind :

• Schreibe die Aktionen in der Reihenfolge auf, in der sie passieren.

• Verwende die aktive Stimme.

• Verwende eine gute Grammatik.

• Erkläre deine Annahmen und vergewissere dich, dass deine Annahmen richtig sind.

• Schreibe prägnant. Beim technischen Schreiben sind Klarheit und Kürze das Ziel.

• Verwende Jargon und Slang vorsichtig oder gar nicht.

Inhalt des Dokuments

Wie bei den Richtlinien sollte auch die Dokumentation der Standards und der Verfahren einige wichtige Merkmale enthalten:

Informationen zur Version

Diese sollte zumindest eine Versionsnummer und das Datum des Inkrafttretens des Dokuments enthalten. So kann ein/e Nutzer/in, der/die im Besitz von zwei Versionen eines Dokuments ist, schnell feststellen, welche Version aktuell ist und welche veraltet und nicht mehr gültig ist.

Eigentümer/Genehmiger

Wenn klar ist, wer für ein bestimmtes Dokument verantwortlich ist und es genehmigt hat, ist dies nützlich, um zu zeigen, dass es von der entsprechenden Managementebene akzeptiert und genehmigt wurde.

Zweck/Übersicht

Dieser Abschnitt gibt einen kurzen Überblick über den Inhalt des Dokuments. Er besteht in der Regel aus einem einzigen Absatz und soll es den Lesern ermöglichen, zu beurteilen, ob sie das richtige Dokument vor sich haben, bevor sie alle Aussagen lesen.

Umfang

Hier wird erklärt, für wen das Dokument gilt, z. B. "Dieser Standard gilt für alle <Name des Unternehmens> Mitarbeiter und verbundene Unternehmen." Das kann vom gesamten Unternehmen bis hin zu einer bestimmten Management- oder Entwicklungsebene oder bestimmten Nutzern einer Anwendung reichen.

Aussagen

Diese beschreiben die Standards und Verfahren selbst. Stelle sicher, dass diese Aussagen klar und präzise sind und regelmäßig auf ihre Richtigkeit überprüft werden. Die Technologien in unserem Umfeld verändern sich ständig, und die Anweisungen, wie sie zu handhaben sind, müssen damit Schritt halten.

Verwandte Dokumente

Querverweise auf andere relevante Dokumente, wie z. B. Standards, Richtlinien und Prozesse, ermöglichen es dem Leser, verwandte Informationen schnell zu finden. Um bei einer Prüfung leichter nachschlagen zu können, ist es ratsam, auch Verweise auf die Abschnitte der relevanten Normen und gesetzlichen Bestimmungen aufzunehmen.

Konsistente Namenskonventionen sollten nicht nur für die Dokumente selbst, sondern auch für die Artefakte, auf die sie verweisen, verwendet werden, um sicherzustellen, dass sie leicht zu verstehen sind und einheitlich in der gesamten Organisation angewendet werden können.

Fazit

In ihrer Gesamtheit bieten Richtlinien, Standards und Verfahren einen Überblick über die Verwaltung bis hin zur spezifischen Technologie und schrittweisen Umsetzung. Auch wenn jede von ihnen ihre eigenen Funktionen hat, müssen sie alle mit Blick auf die Fähigkeiten des Lesers geschrieben werden. Eine klare und prägnante Dokumentation trägt entscheidend dazu bei, eine standardisierte und gut verständliche Umgebung zu schaffen.