TÜV geprüft? Nicht nur beim Auto ein wichtiges Zertifikat

Allgemeines zum Wilken Data Service Center

Als IT-Dienstleister sind wir, die Wilken Data Service Center GmbH, seit über 15 Jahren zuverlässiger Partner für unsere Kunden und unterstützen diese in verschiedenen Leistungsbereichen. Unser Betrieb umfasst die Beschaffung, die Betreuung und Administration, die Einrichtung, die Wartung und die Pflege von Anwendungen und Programmen sowie von Infrastrukturkomponenten, Rechnern und Rechnersystemen im eigenen Rechenzentrum und bei Auftraggebern vor Ort. Zusätzlich beraten und schulen wir unsere Kunden im IT-Umfeld und unterstützen sie durch unsere Erfahrungen im Bereich IT-Projektmanagement. Die Leistungserbringung erfolgt dabei an den Betriebsstätten Ulm, Neustadt/Holstein und Greven. Neben Kunden aus unseren Branchen liegt der Fokus auf der Bereitstellung von Hosting- und IT-Betriebsdienstleistungen für Unternehmen aus dem Mittelstand bzw. Selbstständige, unabhängig vom Geschäftsbereich.

An den Standorten Ulm und Neustadt wurde jeweils ein unabhängiges Informationssicherheitsmanagement-System nach ISO/IEC 27001:2013 etabliert und durch den TÜV Saarland mit separaten Zertifikaten testiert. Die jeweiligen Geltungsbereiche beziehen sich dabei auf die Leistungsschwerpunkte der beiden Standorte.

Die TÜV/ISO Zertifizierung des Wilken Data Service Center

Die DIN ISO/IEC 27001 ist eine internationale Norm (Standard), die den Aufbau, die Weiterentwicklung und die Dokumentation eines Informationssicherheitsmanagementsystems (ISMS) beschreibt. Die Norm bzw. der Standard wird fortlaufend weiterentwickelt und aktualisiert. Innerhalb der Norm werden Anforderungen an Verhaltensregeln und Prozessen, deren Dokumentation sowie Überwachung definiert, an die sich ein Unternehmen halten muss.

Beispiele für zu regelnde Prozesse sind: Check-In und Check-Out-Prozesse von neuen bzw. ausscheiden Mitarbeiterinnen und Mitarbeitern oder die Vergabe von Berechtigungen, damit gewährleistet ist, dass Mitarbeiterinnen und Mitarbeitern nur auf Informationen zugreifen, auf die sie aufgrund ihrer Funktion/Rolle auch zugreifen müssen.

Normenumfang ISO
Normenumfang der ISO 27001

Das Managementsystem sorgt dafür, dass die definierten Informationssicherheitsziele erfüllt werden, d.h. Informationssicherheit ist definiert als die Aufrechterhaltung von:

VIVA
VIVA-Prinzip: Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität

Zusammengefasst handelt es sich bei der ISO Zertifizierung um ein Managementsystem, welches Organisations- und Prozessthemen im Fokus hat.

Bei der TÜV Level 3 Zertifizierung geht es im Wesentlichen um das Thema Verfügbarkeit. Die Einteilung eines Rechenzentrums in ein bestimmtes Level erfolgt nach einem Best-Practice bzw. einem Normkatalog des TÜVs. Die Level beschreiben wie der dauerhafte und unterbrechungsfreie Betrieb sichergestellt wird. Das Wilken DSC hat eine TÜV Level 3 Zertifizierung, Bei dieser Zertifizierung dreht sich alles um die baulichen Voraussetzungen eines Rechenzentrums. Hier werden Kriterien beachtet, wie beispielsweise das Vorhandensein einer Brandmeldeanlage, Brandschutztüren oder die Notstromversorgung bei einem Stromausfall.

Beim Bau des Rechenzentrumsraums des Wilken DSC in Ulm wurden Kriterien zum Erhalt einer TÜV Level 3 Zertifizierung besonders beachtet. Ein Beispiel dafür: Es wurde ein Doppelboden für die benötigte Dicke der Wände entsprechend eingeplant.

Bei der TÜV Zertifizierung gibt es also einen ganz konkreten Kriterienkatalog, in dem genau vorgegeben ist, was wir haben müssen, damit wir das Level 3 Zertifikat erhalten.

Ablauf & Aufwand

Zu Beginn der ISO Zertifizierung ist erst einmal ein Implementierungsprojekt notwendig, damit die verschiedenen Maßnahmenbereiche geregelt werden können. Im Zertifizierungsprozess ist ein Rechenzentrum natürlich an bestimmte Formen und Vorgaben gebunden und muss Prozesse, Arbeitsanweisungen und Checklisten dokumentieren.

Los geht es also mit einer Gap-Analyse, bei der geschaut wird, was die Norm vorgibt und wo die Organisation des Zertifizierunsscopes steht. Anschließend werden Dokumente geschrieben – die revisionssichere Dokumentation wird bei uns mit dem Software Produkt DocSetMInder unterstützt.  Anschließend wird das Regelwerk formal freigegeben und der erste Prüfungszyklus beginnt. Hierbei findet zuerst ein interner Audit statt, d.h. die Organisation prüft sich selbst über Stichproben. Nach dem eigenen Audit kommt der Prüfer vom TÜV und prüft alle Normkapitel sowie die 14 Maßnahmenbereiche aus dem Anhang A der Norm einmal durch. Wenn alles erfüllt ist, bekommt das Rechenzentrum das Zertifikat, welches 3 Jahre gültig ist. Das bedeutet nicht, dass man sich zwei Jahre lang ausruhen kann – in den zwei Folgejahren werden Überwachungsaudits durchgeführt. Hier werden nicht alle Normkapitel und Maßnahmenbereiche geprüft, sondern jeweils über Stichproben die Einhaltung und Weiterentwicklung des internen Regelwerks überwacht.

Nach 3 Jahren befindet sich die zertifizierte Organisation im 4. Jahr und es wird eine sogenannte Rezertifizierung durchgeführt, in dem wieder alle Normkapitel und Maßnahmenbereiche geprüft werden.

Bei den Überwachungsaudits oder Rezertifizierungen werden durch den Auditor Findings festgestellt, die noch verbessert werden müssen. Diese Findings müssen entsprechend aufgearbeitet werden, sodass sie im nächsten Audit nicht wieder als solche auftreten. Es besteht die Gefahr, dass bei zu vielen Findings das Zertifikat aberkannt werden muss.

Seit 2020 werden bezogen auf das TÜV Level 3 Zertifikat ebenfalls jährlich Audits durchgeführt. Hier wird zum einen die Einhaltung des Kriterienkatalogs für ein TÜV Level 3 Rechenzentrum, zum anderen der Bearbeitungsstand der letztjährigen Feststellungen geprüft. So war in der diesjährigen Prüfung z. B. der Hinweis, dass eine Tür eines der Techniknebenräume des Rechenzentrums ebenfalls eine Brandschutztür sein muss. Also muss innerhalb eines Jahres die Tür entsprechend ausgetauscht werden.

Unterjährig trifft sich das innerbetriebliche Gremium monatlich, um über die anstehenden Audits und die damit verbundenen To-Dos zu sprechen. Unmittelbar vor den Audits finden diese Treffen öfter statt.

Wieso machen wir diese Zertifizierungen?

Die Idee von beiden Zertifikaten ist es, dass die angegebenen Ansätze tatsächlich in der Praxis umgesetzt und gelebt werden und sie nicht nur als Auszeichnungen, die hübsch auf der Website aussehen, angesehen werden.

Zum einen betreuen wir viele Branchen, die kritische Infrastrukturen haben und deshalb bestimmte Verfügbarkeitsanforderungen an Hostingbetreiber stellen. Darüber hinaus ist in der Masse der Kundenausschreibungen die ISO Zertifizierung 27001 für die Vergabe von Hostingdienstleistungen fast immer Grundvoraussetzung.

Zuletzt ist es auch für uns intern ein sehr gutes Instrument, um unsere Betriebssicherheit und die Qualität unserer Prozesse hoch zu halten. Wir sind durch die Audits gezwungen unsere Prozessqualität kontinuierlich zu prüfen und beschäftigen uns so zyklisch immer wieder mit unseren Geschäftsprozessen, unseren Arbeitsanweisungen und unseren Checklisten.  

Kommentare

0 Personen haben diesen beitrag kommentiert

Meinungen

Schreiben Sie einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.