Datacenter Zertifizierung nach EN 50600: Mehrwert für bestehende ISMS in der Praxis

Größe: px

Ab Seite anzeigen:

Download "Datacenter Zertifizierung nach EN 50600: Mehrwert für bestehende ISMS in der Praxis"

Maja Dieter
vor 8 Jahren
Abrufe

1 Datacenter Zertifizierung nach EN 50600: Mehrwert für bestehende ISMS in der Praxis 12. INFORMATION-SECURITY-SYMPOSIUM, WIEN 2016 DI Markus Hefler, BSc, CISA, CISM, CISSP

2 Agenda 1. Vorstellung der RRZ GmbH 2. Sinn der Zertifizierung der RZ-Infrastruktur 3. Vergleich der Data Center Design Standards 4. EN Wohin geht die Reise? 5. Zusammenfassung

3 Raiffeisen Rechenzentrum GmbH Steir. Raiffeisenbanken und 170 Gemeinden als RZ-Kunden Inbetriebnahme Rechenzentrum 2002 Einführung Help Desk und Welcome Center steirische Online-Endplätze TIA-942 Zertifizierung T4A3E3M4 HYPO Steiermark als Rechenzentrumskunde Neupositionierung als RRZ GmbH ISO Zertifizierung ISO Zertifizierung 2010

4 Serviceportfolio PAAS ERP HOSTING ARCHIV ECM CONSULTING SERVICES SERVICE DESK IAAS DATA CENTER MESSAGING HOSTING TIERED STORAGE HOUSING UC BACKUP DISASTER RECOVERY NETWORK MGMT DATA REPLICATION DATA SECURITY SYSTEM MANAGEMENT & SUPPORT SERVICE MANAGEMENT (ITIL) WAN SERVICES ISP / SPLA

5 Warum kann ich meine s nicht abrufen?

6 Sollte ich meine RZ-Infrastruktur zertifizieren lassen?

7 Unsere Prozesse sind dokumentiert

8 aber ich kann auf die Unterlagen leider nicht zugreifen!

9 Ziele eines ISMS Minderung der operationellen Risiken durch Schutz vor Menschlichem Versagen Kriminellen Handlungen Katastrophen (Feuer, Wasser, Erdbeben etc.) Verfügbarkeit -> Das Unternehmen muss arbeitsfähig bleiben! Schutz der Daten gegen Verlust und Verfälschung Vermeidung von Datenmissbrauch

10 Gelebte Managementsysteme PLAN ACT DO CHECK

11 Brückenschlag zwischen ISMS und RZ-Infrastruktur

12 Tier Level gemäß Level 1: Basis Anfällig für Betriebsunterbrechungen (BU) durch un-/geplante Aktivitäten wie Instandhaltungsarbeiten, Störungen etc.. single points of failure Level 2: Redundante Komponenten Weniger anfällig für BU. USV- und Netzersatzeinrichtung sind vorhanden (N+1). Instandhaltungsarbeiten erfordern aber Betriebsunterbrechung. Level 3: Konkurrierende Instandhaltung Geplante Instandhaltungsarbeiten können ohne BU durchgeführt werden. Dennoch führen spontan auftretende Infrastrukturstörungen noch zu BU. Level 4: Fehlertolerant Simultan aktive Versorgungspfade ermöglichen störungsfreien IT-Betrieb im Falle mindestens einer ungeplanten worst-case-störung.

13 Data Center Design Standards Quelle:

14 EN 50600? Was ist das? EN x (Design of Data Centre Facilities and Infrastructures ) stellt einen neuen Data Center Design Standard aus Europa dar Verwandte Standards: TIA-942, ANSI/BICSI 002 sowie Uptime Institute Anders als die vergleichbaren Standards bilden die sieben Teile der Serie einen holistischen Ansatz für das Design, die Konstruktion sowie für den Betrieb eines Data Centers Die Entwicklung erfolgt durch die europäische non-profit Organisation CENELEC

15 EN x Standards Quelle:

16 Entwicklung der EN Serie Entwicklungsbeginn: 2011 Veröffentlichte Standards 2013: EN : EN , EN : EN , EN Drafts: Q1 2016: EN , EN Weiterentwicklung EN x: Weitere Normteile betreffend RZ-Betrieb EN x: Key Performance Indicators (KPI) zur Beurteilung der Energieeffizienz und der Prozessqualität des Betriebs von Rechenzentren

17 EN Verfügbarkeitsklassen Quelle:

18 ISO 27001, Anhang A Auszug

19 Zusammenfassung Der Einsatz normierter Management Systeme (ITSM, ISMS) erhöht die Qualität der Serviceerbringung SIP als Werkzeug zur Weiterentwicklung und Effizienzsteigerung nutzen Adäquate Maßnahmenumsetzung unter Berücksichtigung von Kosten- und Nutzenaspekten Die Vorgaben zur physischen Sicherheit überschneiden sich. Diese sind in der TIA-942/EN wesentlich detaillierter auf die Anforderungen von Rechenzentren hin definiert

20 Vielen Dank für Ihre Aufmerksamkeit!

Ähnliche Dokumente

Der Blindflug in der IT - IT-Prozesse messen und steuern -

Der Blindflug in der IT - IT-Prozesse messen und steuern - Ralf Buchsein KESS DV-Beratung GmbH Seite 1 Agenda Definition der IT Prozesse Ziel der Prozessmessung Definition von Prozesskennzahlen KPI und