Die Prüfung von Rechenzentren und Serverräumen durch die interne Revision umfasst neben der Prüfung der physischen Sicherheit im Wesentlichen auch die Beurteilung der folgenden Sachverhalte:
- Aufbauorganisation, insbesondere unter dem Aspekt der Funktionstrennung,
- Beurteilung der IT-Standorte, z.B. hinsichtlich Verfügbarkeit und Backup-Organisation,
- Netzinfrastruktur,
- IT-Strategie,
- IT-Sicherheitspolitik,
- Risikoklassifizierung der IT-Systeme,
- Qualitätsmanagement,
- Service-Level-Agreements,
- Management- und Überwachungskontrollen im IT-Bereich bzw. Rechenzentrum,
- physische Sicherheit der Rechenzentren,
- Zutrittskontrollen,
- Zugangskontrollen zu IT-Systemen,
- logische Sicherheit der Betriebssysteme und Anwendungssysteme auf Großrechnersystemen mit dem Betriebssystem z/OS, Windows-Server oder Unix-/Linux-Derivaten
- IT-Betrieb, beispielsweise Changemanagement, Konfigurationsmanagement, Netz- und Systemmanagement,
- Maßnahmen zur Sicherung der Betriebsbereitschaft, insbesondere Verfügbarkeitsmanagement und
Kapazitätsmanagement, - Datensicherungs- und Auslagerungsverfahren,
- Not- und Katastrophenfallvorkehrungen sowie
- Notstromversorgung und Klimatisierung.
Die Sicherheitsanforderungen an ein Rechenzentrum sind jedoch von Branche zu Branche sehr unterschiedlich und die notwendigen Maßnahmen müssen sich an dem individuellen Schutzbedarf der Daten des jeweiligen Unternehmens bzw. Behörde orientieren. Rechenzentren von Banken müssen aufgrund von Hochverfügbarkeitsanforderungen sowie dem Schutzbedarf von personenbezogenen Daten wesntlich höheren Ansprüchen genügen. Zudem sind bei Banken die aufsichtsrechtlichen Anforderungen des Bundesamtes für Finanzdienstleistungen – kurz BaFin genannt – zu beachten.
Bei unseren Prüfungshandlungen decken wir auch die spezifischen Anforderungen aus dem Bereich des Datenschutzes ab.
Weiterführende Informationen zu diesem umfangreichen Themengebiet ergeben sich aus den nachfolgenden BSI Grundschutzkatalogen:
- Baustein 2.4 Serverraum
- Baustein 2.9 Rechenzentrum
Die genannten Bausteine sind inhaltlich fast identisch. In dem Baustein 2.9 Rechenzentrum bekommen jedoch die Themengebiete zur alternativen Stromversorgung und Gefahrenmeldeanlage sowie Brandfrüherkennungssysteme, einschließlich einer automatischen Löschanlage, eine höhere Bedeutung.
SITACS verfügt über eine langjährige Erfahrung in der Prüfung von Rechenzentren und Serverräume von Unternehmen und Behörden. Neben den BSI Anforderungen werden von uns auch die internationalen Anforderungen an die Informationssicherheit gemäß ISO 27001 berücksichtigt. Hierbei beachten wir auch die branchenspezifischen Besonderheiten, wie beispielsweise die besonderen Hochverfügbarkeitsanforderungen bei den Rechenzentren von Banken.
Gerne unterstützen wir Sie bei der Prüfung von Rechenzentren und Serverräumen und zeigen Ihnen branchenspezifische Best-Practice Lösungen bei möglichen Schwachstellen auf.