08. Feb 2021

Kombinierte Umsetzung von ISO 27001 und EN 50600 bei der Agrarmarkt Austria

Integration eines ungleichen Paares

Als eine der größten Förderorganisationen des Landes wickelt die Agrarmarkt Austria (AMA) ein jährliches Volumen für landwirtschaftliche Förderungen in der Höhe von etwa 1,7 Mrd. Euro mit insgesamt rund 770 Mitarbeitern an sieben Standorten ab.

Um den Umgang mit Steuergeldern so sicher und nachhaltig wie möglich zu gestalten, ist die AMA sowohl nach ISO 27001 für Informationssicherheit sowie auch nach ISO 9001 für Qualitätsmanagement, nach ISO 14001 für Umweltmanagement und EMAS (Eco-Management and Audit Scheme) zertifiziert – alle Standards werden in einem integrierten Gesamtsystem effizient verwaltet.

Neues Data Center nach EN 50600

Nach Eröffnung des neuen Rechenzentrums im Jahr 2018 wurden rund ein Jahr später auch die Vorgaben zu „Einrichtungen und Infrastrukturen von Rechenzentren“ nach EN 50600 mit dem Fokus auf Verfügbarkeit, Sicherheit und Energieeffizienz in die Gruppe der zertifizierten Standards aufgenommen. „Obwohl die beiden Normen nicht über denselben Aufbau verfügen, ist eine Integration der Systeme trotzdem sinnvoll. Denn es ergeben sich neben dem Bereich der physischen Sicherheit auch wertvolle Synergien bei Audits und im Risikomanagement“, erklärt Helfried Stadlbacher, der Leiter des Bereiches Management Services Controlling 
 / Allgemeine Verwaltung und Informationssicherheitsmanager bei der
Agrarmarkt Austria (AMA).
Im Rahmen von 1,5 Jahren konnte das neue AMA-Rechenzentrum mit 400 Terabyte Speicherkapazität realisiert werden. Design, Planung und Bau erfolgten vom Start weg unter Einbeziehung der normativen Vorgaben der EN 50600, des europäischen Standards für Sicherheit von Rechenzentren, der nach dem amerikanischen Vorbild ANSI/TIA 942 entwickelt worden ist. Die CIS ist in diesem Bereich einer der ersten Zertifizierungspartner in Europa und konnte der AMA im Jahr 2019 die erfolgreich bestandene Zertifizierung bescheinigen.

30 Prozent Energieeinsparung

EN 50600 zielt darauf ab Leistungsfähigkeit, Sicherheit und Energieeffizienz von Rechenzentren optimal umzusetzen. „Durch Planung und Design nach den Normvorgaben und aufgrund unserer Umweltverbesserungsmaßnahmen konnten wir zum Beispiel bei gleicher Leistung 30 Prozent des jährlichen Stromverbrauchs einsparen – mit hundertprozentigem Bezug aus erneuerbaren Energiequellen“, berichtet Helfried Stadlbacher erfreut. Insgesamt geht die EN 50600 in Bezug auf die Bauphysik, Umgebungssicherheit, redundanter Ausstattung mit Verkabelung sowie Lüftung und Kühlung tief in die erforderlichen Details hinein und ermöglicht es so, eine RZ-Infrastruktur in allen Belangen nach dem neuesten Stand der Technik zu errichten und zu betreiben.

Synergien bei physischer Sicherheit

Aus Sicht des Standards für Informationssicherheit nach ISO 27001 ergeben sich inhaltliche Überschneidungen im Bereich der physischen Sicherheit: „Im gesamten Rechenzentrumsbereich ist die ISO 27001-Forderung nach der physischen Sicherheit mit Zutrittskontrollen, Brandschutz oder Überwachungsmaßnahmen – ebenso wie geforderte Redundanzen – durch die Zertifizierung nach EN 50600 voll abgedeckt und kann somit aus Sicht der ISO 27001 abgehakt werden“, erklärt CIS Auditor Johann Peter Titak. Umgekehrt gewährleistet ISO 27001 die sichere Verarbeitung von Informationen im Rechenzentrum.

„Beide Standards sind eine perfekte Ergänzung für die Erreichung des geforderten Verfügbarkeits-, Sicherheits- und Energieeffizienzniveaus beim Data-Center-Betrieb“, betont Johann Peter Titak weiter.

Vier Managementsysteme – ein Risikomanagementsystem

Im Bereich des Risikomanagements verwaltet die AMA ebenfalls sämtliche Standards in einem Gesamtsystem. „Die Qualitäts-Risiken werden nach ISO 9001 bewertet, Umweltrisiken nach ISO 14001, Security-Risiken nach ISO 27001 und Infrastrukturrisiken nach EN 50600“, führt Helfried Stadlbacher aus. Die Risikobewertungen der EN 50600 wurden zum Großteil bereits bei der Planung des neuen Rechenzentrums also proaktiv vorgenommen, damit die risikoreduzierenden Maßnahmen bereits bei der Errichtung berücksichtigt werden konnten. Die aus Sicht der ISO 27001 laufend zu aktualisierenden Risikobewertungen unterstützen nun im laufenden Betrieb, um neue Bedrohungen rechtzeitig zu erkennen und die Infrastruktur des Rechenzentrums entsprechend anpassen zu können und weiterhin den geforderten Verfügbarkeitslevel und das gewünschte Niveau an Sicherheit und Energieeffizienz erreichen zu können.

Stadlbacher unterstreicht: „Für Risikobewertungen im Rahmen der EN 50600 verwenden wir die vorhandenen Tools und Methoden, die wir auch in unserem Managementsystem der ISO 27001 anwenden – auch im Risikomanagement ergänzen sich die beiden Standards optimal. Für die AMA ist der Schutz und die Verfügbarkeit betrieblicher Informationen von sehr hoher Bedeutung. Unser Informationssicherheitsmanagementsystem nach ISO 27001 und die Umsetzung der Anforderungen der EN 50600 unterstützen uns dabei“.

Kombi-Audits durch Kooperation

Nicht zuletzt lassen sich auch die Audits „in einem Aufwaschen“ für sämtliche Standards planen. Bei inhaltlichen Synergien lässt sich die Anzahl der Audittage entsprechend reduzieren. Durch die enge Kooperation der beiden Zertifizierungspartner CIS und Quality Austria werden effiziente Kombi-Audits im Sinne des Kunden ermöglicht.

Weitere News & Events

Immer topaktuell informiert

30. Nov 2022

Gesucht: Auditor*in Informations-sicherheits-management nach ISO 27001 (m/w/d)

30. Nov 2022

Gesucht: Prüfer*in Netz- und Informations­sicherheit (NIS) (m/w/d)

30. Nov 2022

Neue ISO/IEC 27001:2022 – Das müssen Unternehmen jetzt wissen

15. Nov 2022

Informationssicherheit in einer Kultur der offenen Türen

Science Security Series: Gastkommentar der FH St. Pölten

Mehr erfahren
07. Nov 2022

Revision ISO 27001 & ISO 27002:2022 – was kommt, was geht, was bleibt?

Überblick zu Maßnahmen und gute Nachrichten für die Umstellung

Mehr erfahren
26. Sep 2022

41-jähriger Sicherheits-Experte ist heimischer „CISO of the Year“

Österreichs beste Chief Information Security Officer geehrt

Mehr erfahren
21. Sep 2022

Experten präsentieren Strategien gegen Cyber-Attacken auf Betriebs­technologie

Das war der CIS Compliance Summit 2022

Mehr erfahren
12. Sep 2022

Wer ist der beste CISO im ganzen Land?

Nicht mehr lange und der Titel „CISO of the Year 2022“ wird erstmals beim diesjährigen CIS Compliance Summit an die oder den besten Chief Information Security…

Mehr erfahren
19. Aug 2022

ISO/IEC 27001:2022 – was ist neu?

Was bedeutet die Revision der ISO 27001 für Unternehmen?

Mehr erfahren
08. Aug 2022

6 kritische Faktoren der ISMS Umsetzung

Kritische Faktoren der ISMS Umsetzung

Mehr erfahren
28. Jul 2022

Global Threat Report 2022: was Sie jetzt wissen müssen!

Zusammenfassung aktueller Cyber Trends und Angriffe

Mehr erfahren
20. Jul 2022

Sommer­gespräch mit DI Helmut Leopold, PhD

Sichere digitale Zukunft durch beherrschbare Digitalsysteme

Mehr erfahren
+43 732 34 23 22