08. Feb 2021

Kombinierte Umsetzung von ISO 27001 und EN 50600 bei der Agrarmarkt Austria

Integration eines ungleichen Paares

Als eine der größten Förderorganisationen des Landes wickelt die Agrarmarkt Austria (AMA) ein jährliches Volumen für landwirtschaftliche Förderungen in der Höhe von etwa 1,7 Mrd. Euro mit insgesamt rund 770 Mitarbeitern an sieben Standorten ab.

Um den Umgang mit Steuergeldern so sicher und nachhaltig wie möglich zu gestalten, ist die AMA sowohl nach ISO 27001 für Informationssicherheit sowie auch nach ISO 9001 für Qualitätsmanagement, nach ISO 14001 für Umweltmanagement und EMAS (Eco-Management and Audit Scheme) zertifiziert – alle Standards werden in einem integrierten Gesamtsystem effizient verwaltet.

Neues Data Center nach EN 50600

Nach Eröffnung des neuen Rechenzentrums im Jahr 2018 wurden rund ein Jahr später auch die Vorgaben zu „Einrichtungen und Infrastrukturen von Rechenzentren“ nach EN 50600 mit dem Fokus auf Verfügbarkeit, Sicherheit und Energieeffizienz in die Gruppe der zertifizierten Standards aufgenommen. „Obwohl die beiden Normen nicht über denselben Aufbau verfügen, ist eine Integration der Systeme trotzdem sinnvoll. Denn es ergeben sich neben dem Bereich der physischen Sicherheit auch wertvolle Synergien bei Audits und im Risikomanagement“, erklärt Helfried Stadlbacher, der Leiter des Bereiches Management Services Controlling 
 / Allgemeine Verwaltung und Informationssicherheitsmanager bei der
Agrarmarkt Austria (AMA).
Im Rahmen von 1,5 Jahren konnte das neue AMA-Rechenzentrum mit 400 Terabyte Speicherkapazität realisiert werden. Design, Planung und Bau erfolgten vom Start weg unter Einbeziehung der normativen Vorgaben der EN 50600, des europäischen Standards für Sicherheit von Rechenzentren, der nach dem amerikanischen Vorbild ANSI/TIA 942 entwickelt worden ist. Die CIS ist in diesem Bereich einer der ersten Zertifizierungspartner in Europa und konnte der AMA im Jahr 2019 die erfolgreich bestandene Zertifizierung bescheinigen.

30 Prozent Energieeinsparung

EN 50600 zielt darauf ab Leistungsfähigkeit, Sicherheit und Energieeffizienz von Rechenzentren optimal umzusetzen. „Durch Planung und Design nach den Normvorgaben und aufgrund unserer Umweltverbesserungsmaßnahmen konnten wir zum Beispiel bei gleicher Leistung 30 Prozent des jährlichen Stromverbrauchs einsparen – mit hundertprozentigem Bezug aus erneuerbaren Energiequellen“, berichtet Helfried Stadlbacher erfreut. Insgesamt geht die EN 50600 in Bezug auf die Bauphysik, Umgebungssicherheit, redundanter Ausstattung mit Verkabelung sowie Lüftung und Kühlung tief in die erforderlichen Details hinein und ermöglicht es so, eine RZ-Infrastruktur in allen Belangen nach dem neuesten Stand der Technik zu errichten und zu betreiben.

Synergien bei physischer Sicherheit

Aus Sicht des Standards für Informationssicherheit nach ISO 27001 ergeben sich inhaltliche Überschneidungen im Bereich der physischen Sicherheit: „Im gesamten Rechenzentrumsbereich ist die ISO 27001-Forderung nach der physischen Sicherheit mit Zutrittskontrollen, Brandschutz oder Überwachungsmaßnahmen – ebenso wie geforderte Redundanzen – durch die Zertifizierung nach EN 50600 voll abgedeckt und kann somit aus Sicht der ISO 27001 abgehakt werden“, erklärt CIS Auditor Johann Peter Titak. Umgekehrt gewährleistet ISO 27001 die sichere Verarbeitung von Informationen im Rechenzentrum.

„Beide Standards sind eine perfekte Ergänzung für die Erreichung des geforderten Verfügbarkeits-, Sicherheits- und Energieeffizienzniveaus beim Data-Center-Betrieb“, betont Johann Peter Titak weiter.

Vier Managementsysteme – ein Risikomanagementsystem

Im Bereich des Risikomanagements verwaltet die AMA ebenfalls sämtliche Standards in einem Gesamtsystem. „Die Qualitäts-Risiken werden nach ISO 9001 bewertet, Umweltrisiken nach ISO 14001, Security-Risiken nach ISO 27001 und Infrastrukturrisiken nach EN 50600“, führt Helfried Stadlbacher aus. Die Risikobewertungen der EN 50600 wurden zum Großteil bereits bei der Planung des neuen Rechenzentrums also proaktiv vorgenommen, damit die risikoreduzierenden Maßnahmen bereits bei der Errichtung berücksichtigt werden konnten. Die aus Sicht der ISO 27001 laufend zu aktualisierenden Risikobewertungen unterstützen nun im laufenden Betrieb, um neue Bedrohungen rechtzeitig zu erkennen und die Infrastruktur des Rechenzentrums entsprechend anpassen zu können und weiterhin den geforderten Verfügbarkeitslevel und das gewünschte Niveau an Sicherheit und Energieeffizienz erreichen zu können.

Stadlbacher unterstreicht: „Für Risikobewertungen im Rahmen der EN 50600 verwenden wir die vorhandenen Tools und Methoden, die wir auch in unserem Managementsystem der ISO 27001 anwenden – auch im Risikomanagement ergänzen sich die beiden Standards optimal. Für die AMA ist der Schutz und die Verfügbarkeit betrieblicher Informationen von sehr hoher Bedeutung. Unser Informationssicherheitsmanagementsystem nach ISO 27001 und die Umsetzung der Anforderungen der EN 50600 unterstützen uns dabei“.

Kombi-Audits durch Kooperation

Nicht zuletzt lassen sich auch die Audits „in einem Aufwaschen“ für sämtliche Standards planen. Bei inhaltlichen Synergien lässt sich die Anzahl der Audittage entsprechend reduzieren. Durch die enge Kooperation der beiden Zertifizierungspartner CIS und Quality Austria werden effiziente Kombi-Audits im Sinne des Kunden ermöglicht.

Weitere News & Events

Immer topaktuell informiert

18. Sep 2024

Event: CIS Compliance Summit 2024

Security | Privacy | Continuity

Mehr erfahren
25. Sep 2023

Auszeichnung „CISO of the Year“ zum zweiten Mal verliehen

Die besten Chief Information Security Officer des Landes sind gekürt:

Mehr erfahren
22. Sep 2023

Neuer Trainingsfolder der CIS veröffentlicht

Zahlreiche Neuerungen am Puls der Zeit

Mehr erfahren
20. Sep 2023

New Work: Durch neue Arbeitsweisen und Technologien bleibt der Mensch Risikofaktor Nummer 1

Das war der CIS Compliance Summit 2023

Mehr erfahren
12. Sep 2023

Business Continuity rückt in den Fokus

Ein Schnittstellenthema mit Boost durch NIS und DORA

Mehr erfahren
01. Sep 2023

NIS 2: Was muss Ihr Unternehmen wann umsetzen?

07. Aug 2023

Im Gespräch mit Harald Erkinger und Christoph Mondl über New Work, Chancen und Risiken

Die aktuellen Themen der Cyber Security

Mehr erfahren
03. Aug 2023

Auf welches Know-how wir uns beim CIS Compliance Summit 2023 freuen dürfen

Die Vorfreude auf hochkarätige Vortragende steigt!

Mehr erfahren
01. Aug 2023

Cyberkriminalität – 3 aktuelle Gefahren, mit denen Sie rechnen müssen!

Neuer Bericht des BKI

Mehr erfahren
27. Jul 2023

Webinar ISO/IEC 27001:2022: Was Sie wissen müssen

CIS-Webinar am 9. November

Mehr erfahren
09. Nov 2023

Event: Webinar: Neue ISO 27001:2022 – Das müssen Unternehmen jetzt wissen

Webinarreihe Unternehmen & Qualität – Praxiserprobte Lösungen

Mehr erfahren
06. Jul 2023

Global Threat Report 2023: Trends in aktive Chancen umwandeln

Erkenntnisse, Trends und Handlungsempfehlungen

Mehr erfahren
+43 1 532 98 90