Überwachungsaudit der Zertifizierung nach ISO 27001 abgeschlossen
Ein weiterer wichtiger Schritt ist die kürzliche Trennung der CIO-Funktion vom operativen Betrieb des Rechenzentrums und die Zuordnung der Verantwortung für das Informationssicherheitsmanagement (ISMS).
Im Zuge dieses Prozesses wurde zudem eine Restrukturierung angestoßen, das ISMS deutlich klarer in die betrieblichen Abläufe und Entscheidungen des RZs zu integrieren. So beschäftigt sich die Runde der Abteilungsleitungen inzwischen regelmäßig mit Themen wie Betriebssicherheit und der Bearbeitung von Sicherheitsvorfällen. Prozeduren aus dem ISMS werden in die betriebliche Steuerung integriert, das Risikoassessment und die Auswertung von Nonkonformitäten unterstützen die strategische Planung.
Zentrale betriebliche Abläufe wurden in der Vorbereitung auf das Überwachungsaudit klarer gefasst und dokumentiert. Diese aktualisierten Richtlinien beziehen sich primär auf den Maschinensaal II, sollen jedoch als Empfehlungen in die allgemeine IT-Praxis auf dem Campus übernommen werden.
Ein zentrales Moment für den sicheren IT-Betrieb ist die Datenträgerentsorgung. Hierzu wurde eine Richtlinie für das Rechenzentrum erlassen, die gemeinsam in detaillierter Abstimmung mit der Stabsstelle "Sicherheit, Umwelt und Nachhaltigkeit (SUN)" entwickelt wurde. Sie soll die Grundlage für eine Empfehlung für den gesamten Campus bilden. In dieser Richtlinie werden Datenträger klassifiziert und in der Folge je nach Schutzbedarf einem Entsorgungsweg zugeordnet. Anhand leitender Fragen wird der Entsorgungsweg für Datenträger aus dem Bereich des Rechenzentrums bestimmt. Das Prinzip ist leicht übertragbar auf andere Einrichtungen, die regelmäßig Datenträger mit sensiblen Informationen entsorgen müssen. Die betriebliche Erfahrung des Rechenzentrums zeigt, dass eine generelle Vorgabe zur Überschreibung unwirtschaftlich wäre.
Eine weitere Richtlinie, die im Überwachungsaudit testiert wurde, betrifft Datensicherungen aus Diensten im Maschinensaal II des Rechenzentrums. Für eine so komplexe IT-Struktur, wie sie dort vorzufinden ist, bedarf es einer Planung, die auf die Wiederherstellung von Diensten ausgerichtet ist. Es handelt sich um Kerndienste für den Campus, die auf Verfügbarkeit, Datenintegrität und Vertraulichkeit ausgerichtet sind.