# Lenkung dokumentierter Information **Dokumenttyp:** Verfahren **Geltungsbereich:** Alle gelenkten Dokumente des IMS ISO 9001:2015 Kap. 7.5 und ISO/IEC 27001:2022 Kap. 7.5 verlangen, dass dokumentierte Information erstellt, freigegeben, aktuell gehalten, geschuetzt und gelenkt wird. Dieses Verfahren beschreibt, wie PowerOn das umsetzt -- bewusst schlank und werkzeuggestützt über Git/Forgejo. ## 1. Einheitlicher Metadaten-Header Jedes gelenkte IMS-Dokument beginnt mit folgendem Header (HTML-Kommentar, im gerenderten Markdown unsichtbar, vom Cockpit ausgewertet): ``` ``` | Feld | Bedeutung | |---|---| | `docId` | Eindeutige Dokument-ID (Schema: `IMS--`) | | `status` | `entwurf` (in Arbeit), `freigegeben` (gültig), `abgelöst` (ersetzt/veraltet) | | `version` | Semantisch: 0.x = Entwurf, ab 1.0 = freigegeben; Minor bei inhaltlichen Änderungen | | `owner` | Fachlich verantwortliche Person (Pflege) | | `approver` | Freigebende Person/Gremium | | `approvedDate` | Datum der letzten Freigabe | | `nextReview` | Spätestes nächstes Review (Standard: +12 Monate) | | `classification` | Schutzbedarf gemäss IS-Politik | | `isoRefs` | Abgedeckte Normklauseln/Annex-A-Controls | ## 2. Lebenszyklus ```mermaid flowchart LR draft["entwurf (0.x)"] -->|"PR-Review + Freigabe"| released["freigegeben (>=1.0)"] released -->|"Änderung"| draft released -->|"ersetzt durch Nachfolger"| retired["abgelöst"] ``` 1. **Erstellen/Ändern:** Auf Branch, Inhalt + Header pflegen. 2. **Freigabe:** Pull Request mit Review durch zweite Person (Vier-Augen-Prinzip); Merge = Freigabe. `status` -> `freigegeben`, `version` >= 1.0, `approvedDate` + `nextReview` setzen. 3. **Versionierung & Historie:** Git/Forgejo ist die verbindliche Versions- und Änderungshistorie (Commit = Änderungsnachweis). 4. **Ablösung:** Ersetzte Dokumente erhalten `status: abgelöst` und einen Vorwärts-Link zum Nachfolger; sie werden nicht gelöscht (Nachvollziehbarkeit). ## 3. Review-Zyklus ("gepflegt") - Jedes Dokument hat ein `nextReview`-Datum (Standard 12 Monate, anlassbezogen früher). - Das [Management-Cockpit](../cockpit/) listet überfällige und anstehende Reviews automatisch auf der Pendenzen-Seite. - Reviews werden im [Dokumentenregister](dokumentenregister.md) nachgeführt; fällige Reviews erzeugen bei Bedarf einen Eintrag im [Massnahmenregister](../07_verbesserung/massnahmen-register.md). ## 4. Schutz und Zugriff - Vertrauliche Dokumente folgen der Klassifizierung der IS-Politik; das Repository ist zugriffsgeschuetzt (Forgejo-RBAC). - Externe Verteilung nur in freigegebenem Stand; das Cockpit kann als in sich geschlossene HTML zum Teilen erzeugt werden. ## 5. Externe Dokumente Extern vorgegebene Dokumente (Normtexte, Verträge, AVVs der Lieferanten) werden im [Drittanbieter-Inventar](../05_betrieb/20260528_drittanbieter-inventar.md) bzw. als Records referenziert und als solche gekennzeichnet.