Österreich
Secure Your Business
 

NEU im CIS-Portfolio:
Zertifizierung von Rechenzentren – künftig nach EN 50600

 

Seit 2013 führt die CIS neben den akkreditierten Zertifizierungen auf Ebene der Managementsysteme auch Audits und Zertifizierungen für Rechenzentren durch und orientiert sich dabei an den Check-Punkten des anerkannten amerikanischen Standards ANSI/TIA-942-A-2012. Mit Erscheinen der im Aufbau befindlichen EN 50600-Serie „Einrichtungen und Infrastrukturen von Rechenzentren“ werden die Prüfpunkte Zug um Zug an diesen europäischen Standard angepasst. Ebenfalls ist vorgesehen, dass bereits bestehende RZ-Zertifikate der CIS im Rahmen von Überwachungs- und Re-Zertifizierungsaudits gemäß EN 50600 aktualisiert werden. CIS-Auditor Peter Wörgötter liefert einen ersten Überblick.


(CIS-Newsletter Sept 2013) - Trotz eines steigenden Bedarfs gibt es bisher nur wenige Standards, die für 03_Peter_Woergoetterdie Zertifizierung einer RZ-Lokation in ihrer Gesamtheit herangezogen werden können. Neben den zahlreichen allgemeinen Produktnormen und Vorgaben für Gebäudeteile, Anlagen und Systeme bietet derzeit nur der amerikanische Standard ANSI/TIA-942 in seiner aktuell verfügbaren Revision „A“ aus dem Jahr 2012 einen internationalen Bekanntheitsgrad sowie einen umfassenden und allgemein zugänglichen Infrastrukturkatalog als Basis für eine Zertifizierung. Anerkannte Verbände und Prüforganisationen bedienen sich in wesentlichen Punkten der in diesem Standard beschriebenen Kriterien für die Einordnung einer RZ-Lokation in ein vierstufiges Ratingsystem.


RZ-Infrastrukturteilbereiche und vierstufiges Ratingsystem
Vier Infrastrukturteilbereiche werden in einem CIS-Zertifizierungsaudit untersucht:

  • „T“ – Telecommunications: physisches IT-Netz, passive Komponenten
  • „E“ – Electrical: Energieversorgung und -verteilung
  • „A“ – Architectural: Architektonik und physische Sicherheit
  • „M“ – Mechanical: Klimatisierung, Lüftung, Haustechnik

Enthaltene Referenzen der ANSI/TIA-942-A-2012 auf weitere Standards mit deren Qualitätskriterien und Anforderungen sind im Wesentlichen auf den nordamerikanischen Raum ausgelegt und können daher außerhalb des nordamerikanischen Raums oft nicht einfach umgelegt bzw. angewendet werden. Im Zuge der CIS-Audits werden die wesentlichen Anforderungspunkte dieser referenzierten Standards interpretiert und für die Einstufung in das Ratingsystem den vorhandenen Nachweisen und Gegebenheiten der RZ-Lokation gegenübergestellt. Die übergeordneten Definitionen der vier Stufen im Ratingsystem der ANSI/TIA-942-A-2012 lauten:
Stufe 1 „Basis“
Stufe 2 „Redundante Komponenten“
Stufe 3 „Konkurrierende Instandhaltung“
Stufe 4 „Fehlertolerant“


Neue RZ-Normenreihe für Europa

Durch die Normenreihe EN 50600 „Einrichtungen und Infrastrukturen von Rechenzentren“ soll das Manko eines fehlenden Standards innerhalb von Europa behoben werden. In dieser Normenreihe werden zukünftig grundsätzliche Themen wie die Gebäudekonstruktion, die Energieversorgung, die Klimatisierung, die Sicherheitstechnik sowie der Bereich Management und Betrieb umfassend abgedeckt. Das nachfolgende Bild zeigt den schematischen Zusammenhang zwischen den einzelnen Normen der Reihe EN 50600 (Quelle: ÖVE/ÖNORM EN 50600-1):

 03_Grafik RZ

Schon die Gliederung der einzelnen Normen lässt eine Anlehnung an den Strukturen der ANSI/TIA-942-A-2012 erkennen. Nach Einsichtnahme in die erste bereits veröffentlichte Fassung der EN 50600-1 „Allgemeine Konzepte“ bestätigt sich diese strukturelle Orientierung, da auch ein vierstufiges Ratingsystem für die RZ-Verfügbarkeit angewendet wird. Für die Anwendung – etwa bei Bewertungen in Audits – muss dieser Teil 1 (EN 50600-1 „Allgemeine Konzepte“) immer mit der jeweils zutreffenden Fachgrundnorm der Reihe (EN 50600-2-x) kombiniert werden. Diese Fachgrundnormen sind derzeit noch nicht verfügbar oder befinden sich im Entwurfsstatus. Somit kann die EN 50600 aktuell noch nicht für die Anwendung bei Audits herangezogen werden.


Zeitplan für das Erscheinen der neuen RZ-Normenreihe EN 50600
Die EN 50600 bildet ein umfangreiches Regelwerk und soll Zug um Zug veröffentlicht werden. Fertiggestellt und seit Juni 2013 veröffentlicht ist bisher die EN 50600-1 „Allgemeine Konzepte“. Für die Regelungen EN 50600-2-1 „Building construction“ und EN 50600-2-2 „Power distribution“ können erste Entwürfe bezogen werden. Die Verfügbarkeit aller Teile der Normenreihe ist für Ende 2014 in Aussicht gestellt.


Integration in ISO 20000 und ISO 27001
Wer bereits über ein zertifiziertes Managementsystem für Informationssicherheit nach ISO 27001 oder IT-Service-Management nach ISO 20000 verfügt, wird sich bei der Überlegung zu einer RZ-Zertifizierung natürlich die Frage nach Überschneidung und Integration stellen:
Die EN 50600 ist in erster Linie ein Standard der die Anforderungen und Qualität von RZ-Lokationen und deren Infrastruktur definiert. Im Teil 1 sind jedoch auch Elemente für die Analyse des Geschäftsrisikos03_Server_istockphoto scanrail enthalten, um das akzeptable Niveau der Gesamtverfügbarkeit für den RZ-Standort zu ermitteln. Wer hier bereits über Erfahrungen und eine Systematik aus einem der genannten Managementsysteme verfügt, lukriert einen klaren Vorteil. Die Vorgaben zur physischen und umgebungsbezogenen Sicherheit decken sich, sind in der RZ-Normenreihe jedoch wesentlich detaillierter auf die RZ-Anforderungen hin definiert. Die Integration ist somit jedenfalls möglich – führende Systeme für das umfassende Service Management und das Management der Informationssicherheit werden aber sinnvollerweise über die ISO 20000 bzw. ISO 27001 etabliert.


Fazit
Die EN 50600 befindet sich in einem zügigen Entwicklungsprozess und wird sich zum neuen europäischen Standard für Rechenzentren entwickeln. Wer schon jetzt Bedarf an einem externen Qualitätsnachweis für seine RZ-Lokationen hat, kann eine Auditierung und Zertifizierung nach ANSI/TIA-942-A-2012 durch die akkreditierte Zertifizierungsorganisation CIS in Anspruch nehmen, wobei die amerikanischen „Besonderheiten“ entsprechend interpretiert werden. Sobald die EN 50600 vollständig verfügbar ist, werden bereits bestehende durch die CIS ausgestellte RZ-Zertifikate im Rahmen von Überwachungs- und Re-Zertifizierungsaudits gemäß EN 50600 aktualisiert werden.

 


Peter Wörgötter, MSc, fungiert als CIS-Auditor für RZ-Infrastrukturen sowie für Informationssicherheit nach ISO 27001. Darüber hinaus ist er im Rahmen seines privatwirtschaftlichen Engagements als regionaler Prozessverantwortlicher für BCM / IT Service Continuity Management tätig. peter.woergoetter@cis-cert.com
 

Für den Inhalt verantwortlich:

CIS - Certification & Information Security Services GmbH, T +43 (0)1 532 98 90, office@cis-cert.com

 
 
CIS - Certification & Information Security Services GmbH T +43 (0)1 532 98 90 office@cis-cert.com Impressum

AGB