RZ-Zertifizierungen
Unsere Kunden fragen uns immer wieder welche Zertifizierungen unsere Rechenzentrumsstandorte halten, welche sie vielleicht benötigen oder was das überhaupt ist. Nachfolgend einmal kurz die Aufstellung der gängigen Zertifizierungen welche im IT-Umfeld Anwendung finden inkl. einer komprimierten Beschreibung des Inhaltes.
DIN EN 9001 Zertifizierung
Qualitätsmanagementsysteme
Original Einleitungstext:
Diese Norm legt Anforderungen an ein Qualitätsmanagementsystem fest, wenn eine Organisation a) ihre Fähigkeit darlegen muss, fortlaufend Produkte oder Dienstleistungen bereitstellen zu können, die die Anforderungen der Kunden und die zutreffenden gesetzlichen und behördlichen Anforderungen erfüllen, und b) danach strebt, die Kundenzufriedenheit durch wirksame Anwendung des Systems zu erhöhen, einschließlich der Prozesse zur fortlaufenden Verbesserung des Systems und der Zusicherung der Einhaltung von Anforderungen der Kunden und von zutreffenden gesetzlichen und behördlichen Anforderungen.
ISO / IEC 20000 Zertifizierung
Servicemanagementsystem
aus dem Wikipedia Artikel:
Die ISO/IEC 20000 IT Service Management dient als messbarer Qualitätsstandard für das IT Service Management (ITSM). Dazu werden in der ISO/IEC 20000 die notwendigen Mindestanforderungen an Prozesse spezifiziert und dargestellt, die eine Organisation etablieren muss, um IT-Services in definierter Qualität bereitstellen und managen zu können. Die ISO/IEC 20000 ist ausgerichtet an den Prozessbeschreibungen, wie sie durch ITIL beschrieben sind, und ergänzt diese komplementär.
DIN ISO / IEC 27001 Zertifizierung
Informationssicherheitsmanagementsysteme – Anforderungen
Original Einleitungstext:
Diese Norm ist für alle Organisationsarten (zum Beispiel Handelsunternehmen, Regierungsstellen, gemeinnützige Gesellschaften) anwendbar. Diese Norm legt die Anforderungen an Aufstellen, Umsetzen, Betrieb, Überwachung, Bewertung, Wartung und Verbesserung von dokumentierten Informationssicherheit-Managementsystemen in Bezug auf die allgemeinen Geschäftrisiken einer Organisation fest. Sie legt außerdem die Anforderungen an die Einführung von Sicherheitskontrollen fest, die auf die Bedürfnisse einer Organisation oder Teilen davon zugeschnittenen sind. Das Informationssicherheits-Managementsystem ist dafür entwickelt worden, die Auswahl ausreichender und angemessener Sicherheitskontrollen zu gewährleisten, die den Informationsbestand sichern und interessierten Partnern Vertrauenswürdigkeit vermitteln.
DIN EN ISO 14001 Zertifizierung
Umweltmanagementsysteme – Anforderungen mit Anleitung zur Anwendung
Original Einleitungstext:
Um die Bedürfnisse der heutigen Generation zu decken – ohne dabei die Möglichkeiten zukünftiger Generationen zu beeinträchtigen – wird eine Balance zwischen Umwelt, Gesellschaft und Wirtschaft als unerlässlich angesehen. Das Ziel einer nachhaltigen Entwicklung wird durch den Einklang der drei Säulen der Nachhaltigkeit erreicht. Gesellschaftliche Erwartungen in Bezug auf nachhaltige Entwicklung, Transparenz und Rechenschaftspflicht haben sich mit zunehmend strengerer Gesetzgebung, wachsendem Druck auf die Umwelt durch Umweltbelastung, ineffiziente Nutzung von Ressourcen, unsachgemäßes Abfallmanagement, Klimawandel, Beeinträchtigung von Ökosystemen und Verlust von Biodiversität entwickelt. Dies hat Organisationen dazu gebracht, einem systematischen Ansatz beim Umweltmanagement zu folgen, mit dem Ziel, durch die Verwirklichung von Umweltmanagementsystemen einen Beitrag zur ökologischen Säule der Nachhaltigkeit zu leisten.
DIN EN ISO 22301 Zertifizierung
Sicherheit und Resilienz – Business Continuity Management System – Anforderungen
Original Einleitungstext:
Dieses Dokument legt Anforderungen fest, um ein Managementsystem zu verwirklichen, aufrechtzuerhalten und zu verbessern, um sich gegen Störungen zu schützen, die Wahrscheinlichkeit ihres Auftretens zu vermindern, sich auf diese vorzubereiten, auf diese zu reagieren und sich von diesen zu erholen, wann immer sie auftreten. Dieses Dokument kann dazu genutzt werden, die Befähigung einer Organisation zur Erfüllung ihrer eigenen Erfordernisse und Verpflichtungen in Bezug auf die Aufrechterhaltung der Betriebsfähigkeit zu bewerten.
DIN EN ISO 50600 Zertifizierung
Einrichtungen und Infrastrukturen von Rechenzentren
Original Einleitungstext:
Rechenzentren sind in der modernen Informationsgesellschaft die Schalt- und Speicherzentralen für den elektronischen Informationsaustausch. Die stetig steigenden Leistungsanforderungen an Rechenzentren sowie die nach wie vor ungebremste Zunahme ihres Energiebedarfs rufen nach anerkannten technischen Festlegungen, die den Planer und den Betreiber dazu befähigen, ein Rechenzentrum nach dem Stand der Technik zukunftssicher zu planen, zu erweitern und zu betreiben. Dazu gehören unter anderem Anforderungen an die Verfügbarkeit der Dienstleistungen des Rechenzentrums, seine Energieeffizienz und ökonomische Aspekte. Zwar gibt es durchaus Normen für die in Rechenzentren eingesetzten Komponenten und Teilsysteme (zum Beispiel für unterbrechungsfreie Stromversorgungen), eine für den europäischen Markt geeignete Norm für die Auslegung, die Planung, die Beschaffung, die Integration, die Installationen, den Betrieb und die Instandhaltung von Einrichtungen und Infrastrukturen innerhalb von Rechenzentren fehlt jedoch bisher. Auf deutschen Antrag hin hat daher CENELEC/TC 215 “Elektrotechnische Aspekte von Telekommunikationseinrichtungen” die Europäischen Normen der Reihe EN 50600 erarbeitet
ISAE 3402 TYPE 2 Prüfung
aus dem Wikipedia Artikel:
Der International Standard on Assurance Engagements 3402, in der Regel abgekürzt als ISAE 3402, ist ein von der International Federation of Accountants (IFAC) veröffentlichter internationaler Prüfungsstandard, in dem die Prüfung eines Internen Kontrollsystems bei einem Dienstleistungsunternehmen inklusive Berichterstattung durch einen Wirtschaftsprüfer geregelt ist. Er ist insbesondere für die Prüfung von Servicegesellschaften, die im Zuge von Outsourcing Aufgaben für andere Unternehmen übernehmen, und die entsprechenden beauftragenden Unternehmen relevant. Gegenstand einer ISAE-3402-Prüfung ist die vom Dienstleister zu erstellende Beschreibung des dienstleistungsbezogenen rechnungslegungsrelevanten internen Kontrollsystems.
VdS (Verband der Sachversicherer)
VdS 10000
Original Einleitungstext:
Die branchenneutralen VdS-Richtlinien 10000 sind ein speziell auf KMU zugeschnittener Maßnahmenkatalog für ein Managementsystem, mit dem der Informationssicherheitsstatus eines Unternehmens sichergestellt wird.
Die Anforderungen an die Informationssicherheit sind verständlich formuliert und einerseits so gestaltet, dass KMU organisatorisch und finanziell nicht überfordert werden, andererseits die Anwendbarkeit für größere Organisationen jenseits der KMU-Definition dennoch gegeben ist. Die Richtlinien VdS 10000 basieren auf den Standards ISO 27001 und BSI-Grundschutz. Dies bestätigt das Bundesamt für Sicherheit in der Informationstechnik mit der folgenden Empfehlung:
“Das Regelwerk VdS 10000 “Informationssicherheitsmanagementsystem für KMU” stellt ebenso wie die Basis-Absicherung des IT-Grundschutzes einen geregelten Prozess zur Einführung eines ISMS dar. Ebenfalls vergleichbar sind die beschriebenen Handlungsfelder, Unterschiede ergeben sich jedoch in der Ausprägung der einzelnen Anforderungen, die das VdS-Regelwerk in einigen Handlungsfeldern weniger konkret ausformuliert. Somit stellen die Anforderungen der VdS 10000 eine Teilmenge der Basis-Absicherung des IT-Grundschutzes dar und bilden eine gute Basis zur Implementierung eines ISMS gemäß IT-Grundschutz oder ISO 27001.”
VdS 10005
Original Einleitungstext:
Informationsverarbeitung für Klein- und Kleinstunternehmen
Mindestanforderungen an die Informationssicherheit für Klein- und Kleinstunternehmen und Handwerksbetriebe
Die branchenneutralen VdS-Richtlinien 10005 sind ein speziell auf diese Organisationsformen zugeschnittener Maßnahmenkatalog, mit dem ein angemessener Informationssicherheitsstatus des Unternehmens sichergestellt wird.
Nachdem VdS Schadenverhütung im Jahr 2015 die VdS 10000 “Informationssicherheits-Managementsystem für KMU” vorgestellt hat, wurden zahlreiche Unternehmen zur Zertifizierung geführt. Eine Analyse dieser Unternehmen ergab jedoch, dass Klein- und Kleinstunternehmen sowie Handwerksbetriebe hoch preissensibel sind, sich eine umfangreiche Absicherung kaum leisten können und deswegen in der Regel von dem Angebot der VdS 10000 keinen Gebrauch machen. Aber eben diese Zielgruppe steht aktuell im Fokus der digitalen Angriffe.
Um auch diesen Unternehmen einen ressourcengerechten, systematischen Ansatz zur Verbesserung der Informationssicherheit anbieten zu können, hat unser Expertenteam die VdS-Richtlinien 10005 “Mindestanforderungen an die Informationssicherheit von Klein- und Kleinstunternehmen” entwickelt, die für Unternehmen bis 20 Mitarbeitern oder Organisationen vergleichbarer Größe angewendet werden können. Das Team stand anfänglich vor der Herausforderung, einerseits die technisch-organisatorischen Maßnahmen (TOMs) verantwortungsvoll zu skalieren, andererseits aber das Ziel eines angemessenen Schutzniveaus, die Ressourcensituation und last but not least die Investitionsbereitschaft der Zielgruppe nicht aus den Augen zu verlieren. Dadurch, dass die TOMs üblicherweise in ein Managementsystem eingebettet sind, das den sogenannten kontinuierlichen Verbesserungsprozess als zentralen Bestandteil hat, bedarf es einer Reihe von Maßnahmen, die ressourcenintensiv sind. Diese Ressourcen brauchen nicht bereitgestellt zu werden, wenn der Managementsystemaspekt aus den Anforderungen herausdividiert wird.
Das Ziel, den beschriebenen Aufwand für Klein- und Kleinstunternehmen deutlich zu reduzieren, wurde so mit der VdS 10005 erreicht. Zu einem sehr attraktiven Preis bietet VdS Schadenverhütung interessierten Unternehmen nunmehr ein Verfahren an, das eine angemessene Absicherung ihrer IT-Landschaft ermöglicht, allerdings aufgrund des Wegfalls des Managementsystemaspekts nicht mehr zertifizierungsfähig ist. Vielmehr zielt die Richtlinie auf ein remoteauditbasiertes Testat ohne zwingende, jährliche Überwachung ab, so dass auf kostenintensive Vor-Ort-Audits verzichtet werden kann. Darüber hinaus stellen die Richtlinien VdS 10005 eine Teilmenge der VdS 10000 dar und sind damit aufwärtskompatibel. Eine interessante Option, wenn beispielsweise durch eine Geschäftsvergrößerung oder Veränderungen des Risikoumfeldes die Anforderungen an die Informationssicherheit steigen.
Die VdS 10005 beschreibt auf nur acht Seiten die Anforderungen zu den Themen Verantwortlichkeiten, Mitarbeiter, IT-Systeme, Netzwerke, Umgebung, Datensicherung und IT-Dienstleister und formuliert neben den Anforderungen zahlreiche Tipps zur Umsetzung für noch mehr Schutz. Der aus der VdS 10000 schon bekannte Basisschutz für IT-Systeme und Netzwerke findet sich in hohem Maße wieder, es gilt „No backup, no mercy“: Besonderes Augenmerk wurde auf die Datensicherung und den damit in Zusammenhang stehenden Test-Restores und der Wiederanlaufpläne gelegt, da sie im Falle des Eintritts eines kritischen Ereignisses zweifellos die wichtigste Rückfallebene darstellen.
VdS 10010
Original Einleitungstext:
Datenschutzmanagement gemäß DSGVO
Add-on zur VdS 10000 oder als eigenständiges Managementsystem zur Umsetzung der Datenschutz-Grundverordnung (DSGVO)
Jedes Unternehmen in der EU, das personenbezogene Daten verarbeitet, muss seit dem 25. Mai 2018 die Europäische Datenschutz-Grundverordnung erfüllen.
Insbesondere für Mittelständler sind die Auswirkungen auf Organisations-, Kundenmanagement- und IT-Prozesse äußerst tiefgreifend. Auch die Haftung wurde verschärft: Bußgelder von bis zu 20 Millionen Euro oder 4 % des Vorjahresumsatzes drohen. Erschwert wird die Umsetzung dadurch, dass die EU-Vorgaben an vielen Stellen zusätzlicher Interpretationen bedürfen. KMU stehen durch diese schwer zu überblickenden Vorschriften, für deren Umsetzung bislang keine praktikablen Standards existierten, vor großen Herausforderungen.
Deshalb unterstützt VdS die kleinen und mittelständischen Unternehmen auch zu diesem Aspekt mit kompakten und praktikablen Richtlinien bei der Umsetzung der EU-Verordnung. Mit dem Leitfaden VdS 10010 können Mittelständler die geforderten Maßnahmen zum Datenschutz effektiv sicherstellen – auditierungs- und zertifizierungsfähig.
Weiterführende Links
- Zu den Rechenzentren der NMMN gibt es hier noch weitere Informationen. Detailliertere Rechenzentrumsbeschreibungen finden Sie auf unserer Download-Seite.
Quellen
- ISO 9001: https://www.iso.org/iso-9001-quality-management.html
- ISO / IEC 27001: https://www.iso.org/isoiec-27001-information-security.html
- Management Systeme Anforderungen: https://www.iso.org/management-system-standards.html
- VdS 10000: https://vds.de/kompetenzen/cyber-security/vds-richtlinien/anforderungsrichtlinien-/-leitfaeden/vds-10000-informations-sicherheit-fuer-kmu
- VdS 10005: https://vds.de/kompetenzen/cyber-security/vds-richtlinien/anforderungsrichtlinien-/-leitfaeden/vds-10005-mindestanforderungen-an-die-it-sicherheit-fuer-klein-und-kleinstunternehmen
- VdS 10010: https://vds.de/kompetenzen/cyber-security/vds-richtlinien/anforderungsrichtlinien-/-leitfaeden/vds-10010-datenschutz-fuer-kmu-gem-dsgvo
- ISO EN 50600: https://www.din.de/de/mitwirken/normenausschuesse/dke/veroeffentlichungen/wdc-beuth:din21:306267564
