Ein weltweiter Standard für Rechenzentren = belastbare Basis für Vergleichbarkeit Was ist revolutionär, neu und bekannt an der ISO/IEC 22237?

Ein Gastbeitrag von Thomas Grüschow und Gerhard Klein*

Die EN 50600 wird zum kalten Kaffee: Acht Jahre nach Veröffentlichung der ersten europäischen Ausgabe der europäischen Rechenzentrumsnorm, also für die Einrichtung und Infrastrukturen von Datacenter, ist die ISO/IEC 22237 da, die wahrhaft internationale Ausgabe der Norm. Damit hat die ISO als internationale Organisation für Normung zusammen mit der IEC als führender internationaler Normungsorganisation im Bereich der Elektrotechnik und Elektronik ein klares Signal gesetzt:

Anbieter zum Thema

Die EN 50600 genauso wie die Uptime-Klassifikationen werden obsolet; denn sie gehen in der ISO/IEC 22237 auf, die weltweite Gültigkeit hat.
Die EN 50600 genauso wie die Uptime-Klassifikationen werden obsolet; denn sie gehen in der ISO/IEC 22237 auf, die weltweite Gültigkeit hat.
(Bild: © DOC RABE Media - stock.adobe.com)

Über Europa hinaus besteht nun ein breiter Konsens unter Experten hinsichtlich der Kriterien für die Auswahl und Entwicklung von Rechenzentrumstandorten, für das Design und den Betrieb von Rechenzentren, in welche auch die neuesten Entwicklungen zur Energie-Effizienz und Nachhaltigkeit eingeflossen sind. Allerdings kommt kommt der ISO/IEC 22237 zugute, dass wesentliche Inhalte bereits seit Jahren in europäischen Gremien diskutiert und harmonisiert worden sind.

Die jetzige Übereinstimmung haben Fachleuten aus über 20 Nationen im Dialog erreicht. Das Gremium gewährleistet auch eine kontinuierliche Weiterentwicklung des Standards unter Berücksichtigung der weltweiten Entwicklung.

Die weltweit veröffentlichte ISO/IEC 22237 ist geeignet, historisch gewachsene Richtlinien und Anforderungskataloge abzulösen.

Damit wird eine verlässliche Grundlage für Projektentwickler, Architekten, Planer, Betreiber, Manager, Kunden und Mieter geschaffen – das sorgt für Vertrauen und Sicherheit bei allen Beteiligten wie auch bei Banken und Investoren. Nicht zuletzt hilft die Anwendung des neuen Standards den Unternehmen bei anbieterneutralen Ausschreibungen, wie sie in Übereinstimmung mit üblichen Governance-Richtlinien gefordert werden.

Was beinhaltet die ISO/IEC 22237?

Wer die EN 50600 kennt, wird in der ISO/IEC 22237 inhaltlich keine Überraschungen erleben. Auch dieser Standard adressiert die wesentlichen Aspekte eines Rechenzentrums und beschreibt die Anforderungen an die Verfügbarkeit der physischen Infrastrukturen und an die physische Sicherheit sowie die relevanten Gesichtspunkte der Energie-Effizienz und Nachhaltigkeit. Die Norm ist sowohl anwendbar für neue Rechenzentrumsprojekte als auch für die Weiterentwicklung und Reifung von Bestandsrechenzentren.

Wesentliche Inhalte sind:

Es gibt vier Verfügbarkeitsklassen zur Qualifizierung.
Es gibt vier Verfügbarkeitsklassen zur Qualifizierung.
(Bild: TÜV SÜD Industrie Service GmbH)

  • Vier (4) Verfügbarkeitsklassen zur Qualifizierung der Stromversorgung der Kühlung und der Datenanbindung von Rechenzentren, vergleichbar mit den bekannten Tier-Stufen

Die Risiko-Analyse ist ein zentrales Werkzeug für eine angemessene Planung
Die Risiko-Analyse ist ein zentrales Werkzeug für eine angemessene Planung
(Bild: TÜV SÜD Industrie Service GmbH)

  • Risiko-Analyse als zentrales Werkzeug für eine angemessene Planung zur Analyse des Geschäftsrisikos, der Standortrisiken, der physischen Sicherheit sowie des Betriebs und des Managements von Rechenzentren

Die Norm definiert zudem Schutzklassen.
Die Norm definiert zudem Schutzklassen.
(Bild: TÜV SÜD Industrie Service GmbH)

  • Definition von Schutzklassen und deren Ausstattung für einen gestaffelten beziehungsweise zonierten physischen Schutz des Rechenzentrums
  • Designprinzipien und Praktiken für eine Energie-effiziente und nachhaltige Auslegung des Rechenzentrums sowie Definition vergleichbarer Leistungskennziffern zur Verfügbarkeit, Energie-Effizienz und Nachhaltigkeit im Betrieb des Rechenzentrums

Die Norm ISO 22237 ist eine Normenreihe, die fortgeführt und stets aktualisiert wird.
Die Norm ISO 22237 ist eine Normenreihe, die fortgeführt und stets aktualisiert wird.
(Bild: TÜV SÜD Industrie Service GmbH)

Die ISO 22237 ist eine Normenreihe, die im Kern aus 8 Normen besteht. Bisher sind Teil 1, Teil 3 und Teil 4 erschienen. Die übrigen Teile 2, 5, 6 und 7 sind als technische Spezifikationen (TS) seit einigen Jahren veröffentlicht und werden sukzessive als Norm verabschiedet.

Die nachstehende Gegenüberstellung zeigt den Bezug zwischen ISO/IEC 22237 und EN 50600.

Information technology — Data centre facilities and infrastructures
ISO/IEC 22237 EN 50600 Topic
ISO/IEC 22237-1 EN 50600-1 General Conceps
ISO/IEC TS 22237-2 EN 50600-2-1 Building Construction
ISO/IEC 22237-3 EN 50600-2-2 Power distribution
ISO/IEC 22237-4 EN 50600-2-3 Environmental control
ISO/IEC TS 22237-5 EN-50600-2-4 Telecommunications cabling infrastructure
ISO/IEC TS 22237-6 EN 50600-2-5 Security systems
ISO/IEC TS 22237-7 EN 50600-3-1 Management and operational information

Im Teil 1 „General concepts“ werden die Grundlagen für die Ausführung der angezielten Verfügbarkeit, der physischen Sicherheit und Energie-Effizienz des Rechenzentrums gelegt. Wesentlicher Aspekt darin ist eine Geschäftsrisiko-Analyse, in der für die wesentlichen Dienste des Rechenzentrums Risiken identifiziert und angemessene Lösungen mit Unterstützung der weiteren Teile der Norm erarbeitet werden können. Dieses Risikokataster enthält nicht nur Verfügbarkeitsrisiken und physische Sicherheitsrisiken, sondern auch Risiken aus dem Klimawandel und dem Betrieb.

Auf der Grundlage eines solchen Risikokatasters kann dann individuell für jedes Rechenzentrum und jeden Geschäftszweck in angemessener Weise der Schutzbedarf, die Verfügbarkeitsklasse, das Energie-Effizienzniveau und die Nachhaltigkeitskennziffern entwickelt werden. Die Norm gewährleistet über diesen methodischen Ansatz die Schaffung einer einheitlichen Metrik und somit die Vergleichbarkeit und Nachvollziehbarkeit der Maßnahmen und Rechenzentren untereinander.

Die Teile 3 („Power distribution“), 4 („Environmental control“) und 5 („Telecommunications cabling infrastructure“) enthalten Designvorgaben, um eine angemessene Verfügbarkeitslösung in Übereinstimmung mit dem Geschäftsrisiko gemäß Teil 1 zu schaffen. Dabei orientieren sich diese drei Normenteile am klassischen Ansatz über die vier Verfügbarkeitsklassen.

Availability Class 1 Single path and sources
Availability Class 2 Single path with redundancy
Availability Class 3 Multiple paths - concurrent repair and operate solution
Availability Class 4 Multiple paths Fault tolerant except during maintenance

Die Teile 2 und 6 der ISO/IEC 22237 behandeln Ausführung und Konstruktion der Rechenzentren. Wesentlich darin ist ein koordiniertes Schutzklassenkonzept mit aufeinanderfolgenden Schutzbereichen für den physischen Schutz und die zugehörige bauliche Ausführung. In diesen Normteilen werden beispielsweise Anforderungen an Branderkennung und Löschanlagen, Einbruchsschutz und Video-Überwachung formuliert.

Im Teil 7 der Normenreihe werden die Aspekte für Management und Betrieb des Rechenzentrums festgelegt. So gibt es hier Vorgaben, welche Dokumente an den Betrieb zu übergeben sind. Weitere Vorgaben betreffen notwendige Prozesse für Betrieb und Management wie Change Management, Incident Management, Security Management, Life-Cycle Management und Energie-Management. Schließlich werden in diesem Normenteil die Grundlagen für die Nachverfolgung und Dokumentation der wesentlichen Verfügbarkeits-, Energie-Effizienz- und Nachhaltigkeitskennziffern gelegt.

Die Energie-Effizienz- und Nachhaltigkeitskennziffern sind in der zugehörigen Normenreihe ISO 30134 beschrieben. Diese Normenreihe definiert Berechnungsvorschriften für relevante Leistungsindikatoren wie PUE, REN oder ERF, die in einem weiterführenden Artikel behandelt werden.

Was unterscheidet ISO/IEC 22237 von der ISO 27001?

Auch die ISO 27001 hat einen Bezug zu Rechenzentren. Daher stellt sich die Frage nach dem Zusammenhang mit der Rechenzentrumsnorm ISO/IEC 22237. Tatsächlich behandelt die ISO/IEC 22237 die technischen Infrastrukturen eines Rechenzentrums, während die ISO 27001 als Informationssicherheits-Management die Verarbeitung von Daten regelt. Beide Normen zusammen beschreiben das komplette System „Rechenzentrum“:

Die ISO 22237 macht konkrete Vorgaben zur Erreichung einer angemessenen Verfügbarkeit und physischen Sicherheit.
Die ISO 22237 macht konkrete Vorgaben zur Erreichung einer angemessenen Verfügbarkeit und physischen Sicherheit.
(Bild: TÜV SÜD Industrie Service GmbH)

Auf der einen Seite die Informationssicherheit von Daten, auf der anderen Seite die Infrastrukturen wie Strom, Kühlung, Datenanbindung und physische Sicherheit, die eine Verarbeitung, Speicherung, Übertragung von Daten überhaupt erst ermöglichen. Die gemeinsame Schnittstelle beider Normen liegt in der Risiko-Analyse: Während die ISO 27001 als Management-Norm hier Prozesse vorgibt, macht die ISO 22237 konkrete Vorgaben zur Erreichung einer angemessenen Verfügbarkeit und einer angemessenen physischen Sicherheit.

Thomas Grüschow
Thomas Grüschow von der TÜV SÜD Industrie Service GmbH ist Lead Auditor kritische Infrastrukturen Rechenzentren ISO/IEC 22237 und EN 50600, Mitglied im Normenkomitee der EN 50600, Mitglied im Bitkom AK Rechenzentren und BSI gelisteter Prüfer nach §8a BSIG (Kritis).

(Bildquelle: TÜV SÜD Industrie Service GmbH)

Gerhard Klein
Gerhard Klein von der TÜV SÜD Industrie Service GmbH ist verantwortlich für Business Development Datacenter.

(Bildquelle: TÜV SÜD Industrie Service GmbH)

Artikelfiles und Artikellinks

(ID:48031563)