ISO 27001 und die Rolle von FM im Rechenzentrum

Deutsche Rahmenbedingungen

In Deutschland ist die ISO 27001-Zertifizierung weit verbreitet unter Rechenzentrumsoperatoren. Die Zertifizierung wird von akkreditierten Prüfstellen unter Aufsicht der Deutschen Akkreditierungsstelle (DAkkS) durchgeführt. Behörden und öffentliche Einrichtungen verweisen in Ausschreibungen auf ISO 27001 über den IT-Grundschutz des BSI, der ISO 27001 als Basis verwendet (ISO 27001 auf der Basis von IT-Grundschutz). Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet eine eigene Grundschutz-Zertifizierung an, die weitreichender ist als eine reine ISO 27001-Konformität.

Schlüsselbegriffe

Anhang A (Annex A)

Beilage zu ISO 27001 mit 93 Sicherheitsmaßnahmen, in vier Themen gegliedert. Physische Sicherheit fällt unter das Thema 'Physical controls'.

Statement of Applicability (SoA)

Dokument, in dem die Organisation für jede Annex A-Maßnahme angibt, ob diese anwendbar ist und wie sie umgesetzt wird. Für Rechenzentren sind nahezu alle physischen Maßnahmen relevant.

Internes Audit

Regelmäßige Prüfung durch eigene oder beauftragte Auditoren, ob das ISMS (Informationssicherheits-Managementsystem) gemäß der Norm funktioniert. FM-Prozesse werden dabei einbezogen.

Korrekturmaßnahme

Maßnahme zur Beseitigung der Ursache einer Abweichung und zur Verhinderung ihrer Wiederholung. Muss dokumentiert und nachvollziehbar sein.

Risikobehandlung

Auswahl von Maßnahmen auf Basis einer Risikobewertung. ISO 27001 verlangt, dass physische Sicherheitsmaßnahmen dem identifizierten Risiko angemessen sind.

Was das Gesetz verlangt

ISO 27001 ist kein Gesetz, sondern eine Norm; die Zertifizierung ist freiwillig. In der Praxis ist sie jedoch eine De-facto-Pflicht für kommerzielle Rechenzentren. Kunden, insbesondere Finanzinstitute und Behörden, verlangen die Zertifizierung vertraglich. Ohne Zertifizierung verlieren Sie Ausschreibungen und Kunden.

Die Norm verlangt, dass physische Sicherheitsmaßnahmen auf einer Risikoanalyse basieren. Für Rechenzentren bedeutet dies: gesicherte Perimeter, Zugangskontrollsysteme, Schutz vor Brand und Wassereinbruch, Stromversorgung und Klimatisierung. Jede Maßnahme muss dokumentiert, implementiert und regelmäßig überprüft sein.

Für Sie als FM-Fachmann bedeutet ISO 27001, dass Ihre Prozesse auditierbar sein müssen. Wartungsprotokolle, Zutrittsprotokolle, Vorfallsregistrierungen und Verfahren müssen für interne und externe Auditoren verfügbar sein. Bereiten Sie sich auf jährliche Überwachungsaudits vor, bei denen Auditoren stichprobenartig Ihre physischen Maßnahmen überprüfen und Mitarbeiter befragen. Der Schlüssel ist ein funktionierendes Managementsystem, keine Ablage voller Papierprozeduren.