Aktueller Channel Fokus:

Drucker & MPS

Vorbereitung auf Audit sinnvoll

Das sollten Datacenter-Betreiber bei Zertifizierungen beachten

| Autor / Redakteur: Marc Wilkens* / Ulrike Ostler

Marc Wilkens ist Senior Consultant bei Securrisk, einem Unternehmen der Data Center Goup
Marc Wilkens ist Senior Consultant bei Securrisk, einem Unternehmen der Data Center Goup (Bild: DC Datacenter Group)

Gemeinsam mit der DC-Data Center Group GmbH (siehe: Kasten) hat unser Partnerportal DataCenter-Insider eine kleine Ratgeberreihe aufgesetzt. Inhalt sind Praxistipps rund um das Rechenzentrum. In diesem Artikel schreibt Marc Wilkens, Senior Consultant bei der Securisk, darüber, was Datacenter-Betreiber im Zusammenhang mit Zertifizierungen beachten sollten.

Das Abhaken der Anforderungen aus den Normen wie EN 50600 oder ISO 27001 reicht nicht aus für ein normenkonformes Datacenter beziehungsweise dessen Betrieb. Allerdings ist das ein Irrglaube, der oft vorkommt und bei Audits regelmäßig zu Frustrationen führt.

Zwar stimmt es, dass Auditoren das Objekt inspizieren und am Ende das Zertifikat erteilen, jedoch eben nicht immer. Prüfer nehmen das Rechenzentrum nicht nur rein technisch ab; sie stellen auch Fragen zur Organisation oder zu den Management-Prozessen. Somit beginnt, ähnlich wie bei einem Darlehen bei der Bank, ein Audit mit einer ordentlichen Vorbereitung. Darüber hinaus helfen auch Erfahrungswerte und Kontinuität.

Drei Tipps zur Vorbereitung

Ein Audit-Termin ohne gute Vorbereitung hat meist wenig Aussicht auf Erfolg. Datacenter-Verantwortliche sollten sich darüber im Klaren sein, wozu sie die Zertifizierung brauchen, was sie erreichen wollen und welchen Nutzen das Zertifikat für ihr Unternehmen haben soll. Das gilt auch, wenn sie zu einer Zertifizierung wie der ISO 27001 verpflichtet sind, zum Beispiel als Betreiber kritischer Infrastrukturen.

Anhand der bekannten Prüfkriterien oder entsprechenden Workshops können Datacenter-Betreiber für die meisten Zertifizierungen im Vorfeld in Erfahrung bringen, was beim Audit genau erwartet wird. Dazu gehört auch das Wissen über die Hintergründe von Prüfkriterien. Bei einer komplexen Gebäudeprüfung wie der nach EN 50600 kommen unsachgemäße Antworten schnell. Wenn zum Beispiel das Sicherheitskonzept nicht erklärt werden kann, haben die Geprüften schlechte Chancen, das Zertifikat zu erhalten.

Größere Hilfestellung des Auditors ist hier in der Regel nicht zu erwarten. Denn der Auftrag eines Auditors ist es nicht, zu beraten oder Maßnahmen vorzuschlagen. Im Gegenteil, er darf nicht beraten. Seine Aufgabe besteht darin, dem Datacenter-Betreiber die relevanten Fragen für das Audit zu stellen und die Antworten nach einem vorgegebenen Bewertungsschema zu beurteilen.

Auditoren müssen sich ihr Urteil unabhängig und neutral bilden können. Eine Beratungstätigkeit für den zu prüfenden Kunden – insbesondere eine bezahlte – ist daher in den so genannten geregelten (akkreditierten) Prüfverfahren nicht zulässig.

Ungeliebte Aufgaben

Zuweilen kommt es auch vor, dass Datacenter-Verantwortliche trotz des Wissens um eine erforderliche Zertifizierung, schon während der Planung oder des Bauvorgangs Entscheidungen treffen, die nicht normenkonform sind. Die dann unausweichlichen Umbaumaßnahmen sind sowohl kostspielig als auch zeitintensiv. Ein Fehler, der leicht vermeidbar ist, wenn sie die Erfahrung von Fachleuten nutzen.

Ergänzendes zum Thema
 
Über die DC-Data Center-Group GmbH

So kommt es immer wieder vor, dass fachfremde Architekten einen IT-Sicherheitsraum planen und umsetzen. Infolge der fehlenden Fachkenntnis für IT-Infrastrukturen ist es dann aber nicht selten der Fall, dass die Räume nachgebessert werden müssen, da sie eben nicht den notwendigen Schutz vor unberechtigtem Zutritt, Feuer, Wasser oder Explosionen bieten. Entscheidend ist daher ein Datacenter-Experte, der den Bauprozess und am besten bereits in der Planungsphase begleitet.

Verbesserungen für die Re-Zertifizierung

Datacenter-Betreiber sollten sich auch überlegen, welche Ressourcen sie für eine Zertifizierung zur Verfügung stellen können. Sie sollten einplanen, dass Mitarbeiter beauftragt und organisatorische Maßnahmen getroffen werden müssen – insbesondere vor dem Hintergrund einer zwangsläufigen Re-Zertifizierung. Sie erfolgt in der Regel alle zwei bis drei Jahre und prüft, ob das Datacenter und sein Betrieb noch den Normen entsprechen.

Dabei muss zum Beispiel die Umsetzung etwaiger Verbesserungsauflagen aus den vorherigen Audits nachgewiesen werden. Viele Unternehmen verzögern oder verschlafen jedoch die konsequente Einführung eines kontinuierlichen Verbesserungsprozesses, bis sich der Auditor erneut anmeldet.

Meistens fehlen dann Dokumente oder sie sind nicht gepflegt. Ad hoc wird eilig versucht, alle Auflagen umzusetzen respektive Nachweise zu beschaffen. Dieses Vorgehen ist meist wenig effektiv: Maßnahmen werden vergessen oder sind zeitlich nicht mehr zu leisten. Zudem merken erfahrenere Auditoren umgehend, wenn Unternehmen zwei Jahre lang nichts getan haben.

* Marc Wilkens ist Senior Consultant bei der Securisk, einem Unternehmen der DC-Data Center Group GmbH, Mitglied im Normungskomitee EN 50600 und Auditor für die ISO 27001 und für das RAL-UZ 161 im Auftrag des TÜV Hessen.

Kommentare werden geladen....

Sie wollen diesen Beitrag kommentieren? Schreiben Sie uns hier

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 44801245 / Management)