Mal eben zertifiziert is´ nicht

Das sollten Datacenter-Betreiber bei Zertifizierungen beachten

| Autor / Redakteur: Marc Wilkens* / Ulrike Ostler

Marc Wilkens ist Senior Consultant bei Securrisk, einem Unternehmen der Data Center Goup
Marc Wilkens ist Senior Consultant bei Securrisk, einem Unternehmen der Data Center Goup (Bild: DC Datacenter Group)

Gemeinsam mit der DC-Data Center Group GmbH (siehe: Kasten) hat DataCenter-Insider eine kleine Ratgeberreihe aufgesetzt. Inhalt sind Praxistipps rund um das Rechenzentrum. Heute schreibt Marc Wilkens, Senior Consultant bei der Securisk, darüber was Datacenter-Betreiber in Zusammenhang mit Zertifizierungen beachten sollten.

Das Abhaken der Anforderungen aus den Normen wie EN 50600 oder ISO 27001 reicht nicht aus für ein normenkonformes Datacenter beziehungsweise dessen Betrieb. Allerdings ist das ein Irrglaube, der oft vorkommt und bei Audits regelmäßig zu Frustrationen führt.

Zwar stimmt es, dass Auditoren das Objekt inspizieren und am Ende das Zertifikat erteilen, jedoch eben nicht immer. Prüfer nehmen das Rechenzentrum nicht nur rein technisch ab; sie stellen auch Fragen zur Organisation oder zu den Management-Prozessen. Somit beginnt, ähnlich wie bei einem Darlehen bei der Bank, ein Audit mit einer ordentlichen Vorbereitung. Darüber hinaus helfen auch Erfahrungswerte und Kontinuität.

Drei Tipps zur Vorbereitung

Ein Audittermin ohne gute Vorbereitung hat meist wenig Aussicht auf Erfolg. Datacenter-Verantwortliche sollten sich darüber im Klaren sein, wozu sie die Zertifizierung brauchen, was sie erreichen wollen und welchen Nutzen das Zertifikat für ihr Unternehmen haben soll. Das gilt auch, wenn sie zu einer Zertifizierung wie der ISO 27001 verpflichtet sind, zum Beispiel als Betreiber kritischer Infrastrukturen.

Anhand der bekannten Prüfkriterien oder entsprechenden Workshops können Datacenter-Betreiber für die meisten Zertifizierungen im Vorfeld in Erfahrung bringen, was beim Audit genau erwartet wird. Dazu gehört auch das Wissen über die Hintergründe von Prüfkriterien. Bei einer komplexen Gebäudeprüfung wie der nach EN 50600 kommen unsachgemäße Antworten schnell. Wenn zum Beispiel das Sicherheitskonzept nicht erklärt werden kann, haben die Geprüften schlechte Chancen, das Zertifikat zu erhalten.

Größere Hilfestellung des Auditors ist hier in der Regel nicht zu erwarten. Denn der Auftrag eines Auditors ist es nicht, zu beraten oder Maßnahmen vorzuschlagen. Im Gegenteil, er darf nicht beraten. Seine Aufgabe besteht darin, dem Datacenter-Betreiber die relevanten Fragen für das Audit zu stellen und die Antworten nach einem vorgegebenen Bewertungsschema zu beurteilen.

Ergänzendes zum Thema
 
Über die DC-Data Center-Group GmbH

Auditoren müssen sich ihr Urteil unabhängig und neutral bilden können. Eine Beratungstätigkeit für den zu prüfenden Kunden – insbesondere eine bezahlte – ist daher in den so genannten geregelten (akkreditierten) Prüfverfahren nicht zulässig.

Ungeliebte Aufgaben

Zuweilen kommt es auch vor, dass Datacenter-Verantwortliche trotz des Wissens um eine erforderliche Zertifizierung, schon während der Planung oder des Bauvorgangs Entscheidungen treffen, die nicht normenkonform sind. Die dann unausweichlichen Umbaumaßnahmen sind sowohl kostspielig als auch zeitintensiv. Ein Fehler, der leicht vermeidbar ist, wenn sie die Erfahrung von Fachleuten nutzen.

So kommt es immer wieder vor, dass fachfremde Architekten einen IT-Sicherheitsraum planen und umsetzen. Infolge der fehlenden Fachkenntnis für IT-Infrastrukturen ist es dann aber nicht selten der Fall, dass die Räume nachgebessert werden müssen, da sie eben nicht den notwendigen Schutz vor unberechtigtem Zutritt, Feuer, Wasser oder Explosionen bieten. Entscheidend ist daher ein Datacenter-Experte, der den Bauprozess und am besten bereits in der Planungsphase begleitet.

Und ewig pfeifft das Murmeltier

Datacenter-Betreiber sollten sich auch überlegen, welche Ressourcen sie für eine Zertifizierung zur Verfügung stellen können. Sie sollten einplanen, dass Mitarbeiter beauftragt und organisatorische Maßnahmen getroffen werden müssen – insbesondere vor dem Hintergrund einer zwangsläufigen Re-Zertifizierung. Sie erfolgt in der Regel alle zwei bis drei Jahre und prüft, ob das Datacenter und sein Betrieb noch den Normen entsprechen.

Dabei muss zum Beispiel die Umsetzung etwaiger Verbesserungsauflagen aus den vorherigen Audits nachgewiesen werden. Viele Unternehmen verzögern oder verschlafen jedoch die konsequente Einführung eines kontinuierlichen Verbesserungsprozesses, bis sich der Auditor erneut anmeldet.

Meistens fehlen dann Dokumente oder sie sind nicht gepflegt. Ad hoc wird eilig versucht, alle Auflagen umzusetzen respektive Nachweise zu beschaffen. Dieses Vorgehen ist meist wenig effektiv: Maßnahmen werden vergessen oder sind zeitlich nicht mehr zu leisten. Zudem merken erfahrenere Auditoren umgehend, wenn Unternehmen zwei Jahre lang nichts getan haben.

Veranstaltungshinweis: DataCenter Day 2017

Wer Marc Wilkens live erleben möchte, ist au dem diesjährigen DataCenter Day richtig. Er findet am 24. Oktober 2017 im Vogel Convention Center (VCC) Würzburg statt. Wilkens wird zusammen mit Thomas Auer, Leiter des Hochsicherheits- und Hochleistungsrechenzentrums, KÜS DATA sowie Markus Lethen, Qualitätsmanagement-Beauftragter, Lead-Auditor und stellv. Leiter der Zertifizierungsstelle, DIQ ZERT GmbH um 16:15 Uhr einen Vortrag halten zum Thema „Die KÜS-DATA und ihr Weg zur EN-50600-Zertifizierung“:

Zum Inhalt: „Die Kraftfahrzeug-Überwachungsorganisation KÜS trägt im Bereich der amtlichen Fahrzeugüberwachung bundesweit zur Sicherheit auf deutschen Straßen bei. Laut Unternehmensphilosophie muss auch die KÜS DATA GmbH als IT-Dienstleister der KÜS stets die aktuellsten und höchsten Ansprüche erfüllen. Die Entscheidung der Verantwortlichen für die EN 50600 als Grundlage für Planung und Bau des neuen Rechenzentrums war somit klar. Zusammen mit der Data Center Group wurde die Herausforderung angenommen, realisiert und mit der Zertifizierung durch die DIQ Zert GmbH abgeschlossen.“

* Marc Wilkens ist Senior Consultant bei der Securisk, einem Unternehmen der DC-Data Center Group GmbH, Mitglied im Normungskomitee EN 50600 und Auditor für die ISO 27001 und für das RAL-UZ 161 im Auftrag des TÜV Hessen.

Was meinen Sie zu diesem Thema?
https://www.kues-data.de/2017/07/26/rechenzentrum-nach-neuer-norm-din-en-50600-zertifiziert/  lesen
posted am 26.07.2017 um 16:39 von Unregistriert

Antwort zum Kommentar vom 19.07. um 12:24 Das stimmt - für die EN 50600 gibt es noch kein...  lesen
posted am 21.07.2017 um 10:24 von Unregistriert

Antwort zum Kommentar Gibt es in Deutschland und/oder Europa überhaupt schon Rechenzentren die...  lesen
posted am 20.07.2017 um 14:20 von Data Center Group

Lt. der CENELEC, dem europäischen Komitee für elektrotechnischen Standardisierung, gibt es keine...  lesen
posted am 19.07.2017 um 12:24 von Unregistriert

Die ISO 50600 ist noch sehr neu. Gibt es in Deutschland und/oder Europa überhaupt schon...  lesen
posted am 18.07.2017 um 13:15 von Unregistriert


Mitdiskutieren
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44788559 / Standards und Metriken)