Kombinierte Umsetzung von ISO 27001 und EN 50600 bei der Agrarmarkt Austria
Integration eines ungleichen Paares
Als eine der größten Förderorganisationen des Landes wickelt die Agrarmarkt Austria (AMA) ein jährliches Volumen für landwirtschaftliche Förderungen in der Höhe von etwa 1,7 Mrd. Euro mit insgesamt rund 770 Mitarbeitern an sieben Standorten ab.
Um den Umgang mit Steuergeldern so sicher und nachhaltig wie möglich zu gestalten, ist die AMA sowohl nach ISO 27001 für Informationssicherheit sowie auch nach ISO 9001 für Qualitätsmanagement, nach ISO 14001 für Umweltmanagement und EMAS (Eco-Management and Audit Scheme) zertifiziert – alle Standards werden in einem integrierten Gesamtsystem effizient verwaltet.
Neues Data Center nach EN 50600
30 Prozent Energieeinsparung
EN 50600 zielt darauf ab Leistungsfähigkeit, Sicherheit und Energieeffizienz von Rechenzentren optimal umzusetzen. „Durch Planung und Design nach den Normvorgaben und aufgrund unserer Umweltverbesserungsmaßnahmen konnten wir zum Beispiel bei gleicher Leistung 30 Prozent des jährlichen Stromverbrauchs einsparen – mit hundertprozentigem Bezug aus erneuerbaren Energiequellen“, berichtet Helfried Stadlbacher erfreut. Insgesamt geht die EN 50600 in Bezug auf die Bauphysik, Umgebungssicherheit, redundanter Ausstattung mit Verkabelung sowie Lüftung und Kühlung tief in die erforderlichen Details hinein und ermöglicht es so, eine RZ-Infrastruktur in allen Belangen nach dem neuesten Stand der Technik zu errichten und zu betreiben.
Synergien bei physischer Sicherheit
Aus Sicht des Standards für Informationssicherheit nach ISO 27001 ergeben sich inhaltliche Überschneidungen im Bereich der physischen Sicherheit: „Im gesamten Rechenzentrumsbereich ist die ISO 27001-Forderung nach der physischen Sicherheit mit Zutrittskontrollen, Brandschutz oder Überwachungsmaßnahmen – ebenso wie geforderte Redundanzen – durch die Zertifizierung nach EN 50600 voll abgedeckt und kann somit aus Sicht der ISO 27001 abgehakt werden“, erklärt CIS Auditor Johann Peter Titak. Umgekehrt gewährleistet ISO 27001 die sichere Verarbeitung von Informationen im Rechenzentrum.
„Beide Standards sind eine perfekte Ergänzung für die Erreichung des geforderten Verfügbarkeits-, Sicherheits- und Energieeffizienzniveaus beim Data-Center-Betrieb“, betont Johann Peter Titak weiter.
Vier Managementsysteme – ein Risikomanagementsystem
Im Bereich des Risikomanagements verwaltet die AMA ebenfalls sämtliche Standards in einem Gesamtsystem. „Die Qualitäts-Risiken werden nach ISO 9001 bewertet, Umweltrisiken nach ISO 14001, Security-Risiken nach ISO 27001 und Infrastrukturrisiken nach EN 50600“, führt Helfried Stadlbacher aus. Die Risikobewertungen der EN 50600 wurden zum Großteil bereits bei der Planung des neuen Rechenzentrums also proaktiv vorgenommen, damit die risikoreduzierenden Maßnahmen bereits bei der Errichtung berücksichtigt werden konnten. Die aus Sicht der ISO 27001 laufend zu aktualisierenden Risikobewertungen unterstützen nun im laufenden Betrieb, um neue Bedrohungen rechtzeitig zu erkennen und die Infrastruktur des Rechenzentrums entsprechend anpassen zu können und weiterhin den geforderten Verfügbarkeitslevel und das gewünschte Niveau an Sicherheit und Energieeffizienz erreichen zu können.
Stadlbacher unterstreicht: „Für Risikobewertungen im Rahmen der EN 50600 verwenden wir die vorhandenen Tools und Methoden, die wir auch in unserem Managementsystem der ISO 27001 anwenden – auch im Risikomanagement ergänzen sich die beiden Standards optimal. Für die AMA ist der Schutz und die Verfügbarkeit betrieblicher Informationen von sehr hoher Bedeutung. Unser Informationssicherheitsmanagementsystem nach ISO 27001 und die Umsetzung der Anforderungen der EN 50600 unterstützen uns dabei“.
Kombi-Audits durch Kooperation
Nicht zuletzt lassen sich auch die Audits „in einem Aufwaschen“ für sämtliche Standards planen. Bei inhaltlichen Synergien lässt sich die Anzahl der Audittage entsprechend reduzieren. Durch die enge Kooperation der beiden Zertifizierungspartner CIS und Quality Austria werden effiziente Kombi-Audits im Sinne des Kunden ermöglicht.