Gemeinsam mit dem DataCenter-Insider hat die Data Center
Group eine kleine Ratgeberreihe
aufgesetzt. Inhalt sind Praxistipps rund um das Datacenter.
Nur das einfache Abhaken der Anforderungen aus den Normen wie
EN 50600 oder ISO 27001 reicht nicht aus für ein normkonformes Data-
center beziehungsweise dessen Betrieb. Ein Irrglaube, der bei Audits
regelmäßig zu Frustrationen führt. Zwar stimmt es, dass Auditoren das Objekt
inspizieren und am Ende das Zertifikat erteilen, jedoch eben nicht immer. Denn:
Prüfer nehmen das RZ nicht nur rein technisch ab, sie stellen auch Fragen zur
Organisation oder zu den Managementprozessen.
Datacenter-Betreiber können die Prüfung daher deutlich zu ihren Gunsten beeinflussen, indem sie einige Vorkehrungen treffen. Ähnlich wie bei einem Darlehen bei der Bank, beginnt ein Audit mit einer ordentlichen Vorbereitung. Darüber hinaus helfen auch Erfahrungswerte und Kontinuität. Drei Tipps.
Die Vorbereitung ist das A und O einer Zertifizierung. RZ-Verantwortliche
sollten sich darüber im Klaren sein, wozu sie die Zertifizierung brauchen, was sie
erreichen wollen und welchen Nutzen das Zertifikat für ihr Unternehmen haben
soll. Das gilt auch, wenn sie zu einer Zertifizierung wie der ISO 27001
verpflichtet sind, zum Beispiel als Betreiber kritischer Infrastrukturen. Ein
Audittermin ohne gute Vorbereitung hat meist wenig Aussicht auf Erfolg. Anhand
der bekannten Prüfkriterien oder entsprechenden Workshops können Datacenter-Betreiber
für die meisten Zertifizierungen im Vorfeld in Erfahrung bringen,
was beim
Audit genau erwartet wird. Für eine optimale Vorbereitung sollten sie sich auch
über die Hintergründe der Prüfkriterien informieren. Bei einer komplexen
Gebäudeprüfung wie der nach EN 50600 beispielsweise, kann es ohne
Mindestmaß an Vorbereitung schnell passieren, dass Geprüfte unsachgemäße Antworten
geben. Wenn sie zum Beispiel ihr Sicherheitskonzept nicht erklären können, haben
sie schlechte Chancen, das Zertifikat zu erhalten. Größere Hilfestellung des Auditors
ist hier in der Regel nicht zu erwarten.
Denn: Der Auftrag eines Auditors ist es nicht, zu beraten oder Maßnahmen vorzuschlagen. Im Gegenteil, er darf meistens gar nicht beraten. Seine Aufgabe besteht darin, dem Datacenter-Betreiber die relevanten Fragen für das Audit zu stellen und die Antworten nach einem vorgegebenen Bewertungsschema zu beurteilen. Auditoren müssen sich ihr Urteil unabhängig und neutral bilden können. Eine Beratungstätigkeit für den zu prüfenden Kunden – insbesondere eine bezahlte – ist daher in den sogenannten geregelten (akkreditierten) Prüfverfahren nicht zulässig
Marc Wilkens ist Mitglied im Normungskomitee EN 50600 und Auditor für die ISO 27001
und für das RAL-UZ 161 im Auftrag des TÜV Hessen.
Zuweilen kommt es auch vor, dass Datacenter-Verantwortliche trotz
des Wissens um eine erforderliche Zertifizierung, schon während der Planung
oder des Bauvorgangs Entscheidungen treffen, die nicht normkonform sind. Die
dann unausweichlichen Umbaumaßnahmen sind sowohl kostspielig als auch
zeitintensiv. Ein Fehler, der leicht vermeidbar ist,
wenn sie die Erfahrung von
Fachleuten nutzen. Natürlich kann auch ein fachfremder Architekt beispielsweise
einen IT-Sicherheitsraum planen und umsetzen. Infolge der fehlenden
Fachkenntnis für IT-Infrastrukturen ist es dann aber nicht selten der Fall,
dass die Räume nachgebessert werden müssen,
da sie eben nicht den notwendigen Schutz vor unberechtigtem Zutritt, Feuer, Wasser oder Explosionen bieten. Entscheidend ist daher ein Datacenter-Experte, der den Bauprozess und am besten auch die Planung begleitet.
Datacenter-Betreiber sollten sich auch überlegen, welche
Ressourcen sie für eine Zertifizierung zur Verfügung stellen können. Sie
sollten einplanen, dass Mitarbeiter beauftragt und organisatorische Maßnahmen
getroffen werden müssen. Besonders vor dem Hintergrund einer zwangsläufigen
Re-Zertifizierung. Sie erfolgt in der Regel alle zwei bis drei Jahre und prüft,
ob das Datacenter und sein Betrieb noch den Normen entsprechen.
Insbesondere
die Umsetzung etwaiger Verbesserungsauflagen aus den vorherigen Audits muss
nachgewiesen werden. Viele Unternehmen verzögern oder verschlafen die
konsequente Einführung eines kontinuierlichen Verbesserungsprozesses, bis sich
der Auditor erneut anmeldet. Meistens fehlen dann Dokumente oder sie wurden
nicht gepflegt. Ad hoc wird eilig versucht,
alle Auflagen umzusetzen respektive Nachweise zu beschaffen. Dieses Vorgehen ist meist wenig effektiv: Maßnahmen werden vergessen oder sind zeitlich nicht mehr zu leisten. Zudem merken erfahrenere Auditoren umgehend, wenn Unternehmen zwei Jahre lang nichts getan haben.
Wir machen Sie fit. Damit die IT-Infrastruktur auch noch morgen sicher und effizient Ihre Geschäftsprozesse unterstützt.
Die Normenreihe ISO/IEC 27001 dient dem Schutz von Informationen als Geschäftswerten vor Bedrohungen.
Das Ziel der EN 50600 ist die Festlegung von Standards für die „Verfügbarkeit, Sicherheit und Energieeffizienz über die geplante Lebensdauer des Rechenzentrums“.
© DC-Datacenter-Group GmbH
Phone +49 2741 9321-0