Zertifizierung im Bereich IT - Möglichkeiten, Aufwände und Vorteile 07/2021
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Zertifizierung im Bereich IT
Möglichkeiten, Aufwände und Vorteile
07/2021Inhalt
Executive Summary ................................................................................................................................ 3
Vorwort ........................................................................................................................................... 4
Einleitung ........................................................................................................................................ 5
Zertifizierung im Detail ................................................................................................................... 5
3.1 Was sind Zertifikate und wieso zertifiziert man sich? ............................................................. 5
3.2 Zertifizierung im IT-Umfeld ..................................................................................................... 7
3.2.1 Welche Arten von Zertifizierungen gibt es? ........................................................................ 7
3.2.2 Welche Zertifizierungen werden wann benötigt?............................................................... 7
3.2.3 Aufwände und Auslagerung ................................................................................................ 7
3.2.4 Der Vorteil der Auslagerung ................................................................................................ 8
Fazit: Aufwände, aber auch die Vorteile ........................................................................................ 9
Die noris network AG .................................................................................................................... 10
2Executive Summary
Kontinuität und Stabilität sind wichtige Ziele für Unternehmen. Nicht nur im IT-Umfeld. Als hilfreiche
Stütze können hierbei Zertifizierungen des Unternehmens selbst, oder aber auch von Dienstleistern
und Partnern dienen. Ein Hauptziel der Zertifizierungen ist die Aufrechterhaltung festgelegter
Standards und eine kontinuierliche Verbesserung der Qualität. Um dies zu kontrollieren werden
regelmäßig Audits durchgeführt.
Zertifizierungen können also Unternehmen helfen, auch im Rahmen eines sich ständig verändernden
Umfelds, Standards einzuhalten und dem Kunden dadurch eine gleichbleibende oder gar sich
verbessernde Qualität zu liefern.
In diesem Whitepaper soll aufgezeigt werden, was Zertifizierungen sind und wie Unternehmen – trotz
damit einhergehender Aufwände – davon profitieren können. Neben einem Einblick in die
unterschiedlichen Arten von Zertifizierungen, wird dargestellt, welche im IT-Umfeld hilfreich sind und
was mögliche Vorteile einer Auslagerung sein könnten.
Zertifizierungen können dabei nicht nur der Außenwirkung dienen, sondern auch eine maßgebliche
Säule für ein stabiles Unternehmenswachstum darstellen.
noris network AG
3Vorwort
Wo würden Sie eher eine Zertifizierung erwarten? Bei einer Fast-Food-Kette oder einem 3-Sterne-
Restaurant?
Während das 3-Sterne-Restaurant durch Haute Cuisine glänzt und dafür mit Auszeichnungen bedacht
wird, kann es dort jedoch womöglich eher passieren, dass dem Koch an einem schlechten Tag ein
Fehler passiert. Das bedeutet, dass das Niveau zwar enorm hoch ist, die hohe Qualität jedoch nicht
gleichbleibend sichergestellt ist.
Bei der Systemgastronomie hingegen erwartet man zwar meist keine Spitzenprodukte, jedoch, trotz
unzähliger verkaufter Mahlzeiten am Tag, eine gleichbleibende gemanagte Qualität. Dies kann durch
Zertifizierungen sichergestellt werden.
Dieses Beispiel soll verdeutlichen, dass man zwischen Auszeichnungen und Zertifizierungen
unterscheiden muss. Dabei muss das eine das andere nicht ausschließen, denn auch das 3-Sterne-
Restaurant kann sich durch Zertifizierung an gleichbleibenden Standards orientieren. Zudem soll
hierbei aufgezeigt werden, dass es insbesondere bei skalierenden Geschäftsmodellen wichtig ist,
Standards zu etablieren und diese kontrollieren zu lassen.
Wenn man dieses Beispiel nun auf Unternehmen im IT-Umfeld anwendet, wird deutlich, dass eine
Zertifizierung des eigenen Unternehmens, der Dienstleister sowie Partner vor allem dann wichtig ist,
wenn man von Skaleneffekten profitieren möchte.
Geschäftsmodelle in den Bereichen Cloud- oder Rechenzentrums-Dienstleistungen profitieren
demzufolge entsprechend doppelt: Sie können gleichbleibende Qualität auch bei steigenden
Kundenzahlen gewährleisten, sowie zugleich von einer erhöhten Akzeptanz ihrer Kunden ausgehen.
4Einleitung
Voraussetzung für einen sicheren, stabilen und vor allem skalierbaren IT-Betrieb ist ein
kontinuierliches Management mit entsprechenden Kontrollmechanismen. Zertifizierungen stellen
hierbei eine wichtige Basis dar. In diesem Whitepaper beschreiben wir unter anderem, was eine
Zertifizierung bedeutet und wie man als Unternehmen davon profitieren kann.
Zertifizierung im Detail
3.1 Was sind Zertifikate und wieso zertifiziert man sich?
Die Zertifizierung ist ein Verfahren, mit dessen Hilfe die Einhaltung bestimmter Anforderungen
nachgewiesen wird. Sie ist ein Teilprozess der Konformitätsbewertung. Zertifizierungen sind in der
Regel zeitlich befristet und werden von unabhängigen Zertifizierungsstellen vergeben.
Die Bereiche, in denen Anforderungen gestellt werden, die zertifiziert werden können, umfassen im
Allgemeinen:
▪ Produkte und Dienstleistungen sowie ihre jeweiligen Herstellungsverfahren
▪ Personen
▪ Systeme
▪ Unternehmen
Bei Produkten findet man Zertifizierungen wie beispielsweise
▪ CE, welches die Einhaltung von Anforderungen zur Gewährleistung von Gesundheitsschutz,
Sicherheit und Umweltschutz zeigt, oder
▪ VDE, welches die Sicherheit von Produkten aufzeigt.
Personen-Zertifizierungen werden als Nachweis von Kenntnissen und persönlicher Befähigung
vergeben. Das können Abschlüsse in anerkannten Aus- und Fortbildungen sein, wie beispielsweise als
PMP (Project Management Professional).
Zu den System-Zertifizierungen zählen die Zertifizierungen von Managementsystemen wie
▪ ISO 9001 für ein Qualitätsmanagementsystem oder
▪ ISO 27001 für ein Informationssicherheitsmanagementsystem
der internationalen Organisation für Normung – kurz . .
Durch das Vorhandensein eines Zertifikats wird also die Erfüllung oder Übereinstimmung mit den in
Standards oder Anforderungskatalogen geführten Voraussetzungen dokumentiert. Das erleichtert den
Vergleich von Anbietern oder Kandidaten und reduziert oder vermeidet die Notwendigkeit eigener
Überprüfungen.
Bei Stellenausschreibungen werden häufig Nachweise von Fachkenntnissen in Form von Zertifikaten
gefordert, manchmal auch mit einer entsprechenden Ausprägung oder Reifegrad. So kann zumindest
davon ausgegangen werden, dass der Kandidat/die Kandidatin die erforderlichen Kenntnisse
mitbringt.
Ähnliches gilt für Managementsysteme. Durch den Nachweis einer Zertifizierung ist erkennbar, dass
der Betreiber des Managementsystems die Anforderungen verstanden und angemessen umgesetzt
hat. Wenn eine solche Zertifizierung Bestandteil eines Geschäftsabschlusses oder sonstiger
Zusammenarbeit sein soll, empfiehlt es sich aber, einen genaueren Blick auf das Zertifikat zu werfen.
5Zertifikate zu den ISO-Normen enthalten den räumlichen und inhaltlichen Anwendungsbereich des
jeweiligen Managementsystems. Ist erkennbar, ob der für die Zusammenarbeit erforderliche Bereich,
räumlich oder auch inhaltlich, vom Zertifikat abgedeckt ist? Oder einfacher gesagt: Hat der Anbieter
nur eine Qualitätsmanagement-zertifizierte Kantine, obwohl man doch komplexe
Betriebsdienstleistungen beziehen möchte, die einen entsprechenden Nachweis erfordern? Es kann ja
durchaus vorkommen, dass ein Kunde darauf besteht, dass für die gesamte Wertschöpfungskette
entsprechende Anforderungen einzuhalten sind und dies über Zertifikate nachgewiesen sein muss. Das
kann die Auswahl eines eigenen (Sub-)Dienstleisters durchaus einschränken.
Durch eine Erstzertifizierung wird ein angemessenes Niveau der Umsetzung der Anforderung
nachgewiesen. Die Aufrechterhaltung der Zertifizierung erfordert aber eine kontinuierliche
Verbesserung in der Umsetzung. Eine Methode hierbei heißt-Plan-Do-Check-Act (PDCA) und wird in
der folgenden Grafik dargestellt:
•Verantwortung des •Verwirklichung und
Top-Managements Betrieb
•Politik festlegen •Kommunikation
•Beauftragten innerhalb des
benennen Unternehmens
•Erstbewertung der •Bereitstellung der
Situation notwendigen
Ressourcen
PLAN DO
ACT CHECK
•Bewertung durch •Überprüfung
das Top-
•Analyse
Management
•Korrekturmaßnahmen
•Management-
Review •Vorbeugemaßnahmen
•Ableitung neuer •Interne Audits
Ziele
63.2 Zertifizierung im IT-Umfeld
3.2.1 Welche Arten von Zertifizierungen gibt es?
Man unterscheidet im Wesentlichen Personen-, Produkt- und System-Zertifizierungen. Bei den
Personenzertifizierungen wird in der Regel ein Kenntnisstand, Wissen oder sonstige Qualifikationen
nachgewiesen. Das können technische Qualifikationen wie Betriebssysteme, aber auch methodische
Kenntnisse wie im Projektmanagement sein.
Im IT-Produktumfeld ist die „Common Criteria for Information Technology Security Evaluation“ (kurz
CC) zu nennen. Dies ist ein internationaler Standard zur Prüfung und Bewertung der
Sicherheitseigenschaften von IT-Produkten.
Die System-Zertifizierungen betreffen die Prüfung von Managementsystemen. Bekannt ist hier die ISO
9001 für Qualitätsmanagement. In der IT relevant sind aber auch die ISO 27001 für
Informationssicherheitsmanagement und die ISO 20000-1 für IT Servicemanagement. In den
genannten Normen sind Anforderungen an ein Managementsystem definiert, die von einer
Organisation umzusetzen sind. Ein akkreditierter Auditor prüft regelmäßig die Umsetzung und
Weiterentwicklung des Managementsystems.
3.2.2 Welche Zertifizierungen werden wann benötigt?
Grundsätzlich soll eine Zertifizierung Prüfungsaufwände reduzieren, da eine Prüfung nach allgemein
akzeptierten Anforderungen oder Kriterien erfolgt und das Ergebnis den interessierten Parteien zur
Verfügung gestellt wird. Für einen Bewerber um eine Arbeitsstelle kann dies beispielsweise bedeuten,
dass die Qualifikationsanforderungen für diese Stelle vorab bekannt sind, die Bewerbung gezielt
erfolgen und auch der Arbeitgeber von einem erwarteten Kenntnis- oder Fähigkeitsstand ausgehen
kann, wenn der Bewerber dies über Zertifikate nachweist. Ähnliches gilt auch für
Produktzertifizierungen.
Unternehmens- und Prozesszertifizierungen gibt es reichlich, doch welche man benötigt hängt immer
von den bestehenden Vorgaben ab. Die Zertifizierung selbst bestätigt, dass das entsprechende
Managementsystem implementiert ist. Die Anforderungen an Zertifizierungen kommen daher zumeist
von Dritten. Wenn ein Unternehmen beispielsweise ein funktionierendes Information Security
Management System (ISMS) nach ISO 27001 umgesetzt hat, sollte auch sichergestellt sein, dass die
Lieferanten das ebenso umsetzen. Der Nachweis erfolgt am leichtesten über eine entsprechende
Zertifizierung.
Es kann aber auch umgekehrt der Fall sein, dass ein Unternehmen – aus unterschiedlichen Gründen –
mit neuen Impulsen auf dem Markt auftreten und beispielsweise mit Themen wie
Umweltmanagement punkten möchte. Dann sollte, entsprechend den eigenen Anforderungen, die
passende Zertifizierung, welche den Mehrwert am Markt am ehesten zum Ausdruck bringt, gesucht
werden.
In der IT haben sich Zertifizierungen nach ISO 27001 und ISO 20000-1 de facto als Mindeststandard
etabliert. Die Einhaltung dieser Normen sollte daher auch von einem IT-Dienstleister uneingeschränkt
abverlangt werden.
3.2.3 Aufwände und Auslagerung
Grundsätzlich muss man bei Zertifizierungen zwischen initialen und laufenden Aufwänden und Kosten
unterscheiden. Jedes Managementsystem benötigt einen oder mehrere interne Verantwortliche, die
die Umsetzung der Anforderungen sicherstellen, die externe Prüfung durch den Auditor koordinieren
und die Aufrechterhaltung über die Zertifikatslaufzeit sicherstellen. Manche Managementsysteme
7referenzieren auf bestehende Managementsysteme oder stellen gleiche oder ähnliche
Anforderungen. Hier können entsprechende Synergien in der Organisation genutzt werden. Bei neuen
oder abweichenden Anforderungen ist ein Implementierungs- und Aufrechterhaltungsaufwand
erforderlich.
Zertifizierungen, Reports oder Assessments, die einen starken Kundenbezug aufweisen, und die in
Form und Inhalt nicht für andere Kunden relevant sind, können mit entsprechender Kostenbeteiligung
durch den Kunden realisiert werden.
3.2.4 Der Vorteil der Auslagerung
Dienstleister prüfen regelmäßig die Anforderungen des Marktes sowie der Kunden nach
Zertifizierungen. Dies dient sowohl der Unterstützung der Kunden als auch der Akquirierung neuer
Kunden, die Zertifizierungen als Voraussetzung für eine Beauftragung und Zusammenarbeit benötigen.
Unter Umständen kann es vorkommen, dass bereits erreichte Zertifizierungen nicht mehr
aufrechterhalten werden. Die Gründe hierfür können verschiedener Natur sein: Weil sie nicht mehr
nachgefragt werden, sie nicht mehr aktuell oder gültig sind oder eine Aktualisierung wirtschaftlich
nicht sinnvoll ist. Der Kunde sollte sich daher die Aufrechterhaltung der für Ihn wesentlichen
Zertifizierungen vertraglich zusichern lassen. Je nach Art der Zertifizierung kann diese Zusicherung
jedoch unterschiedlich zu bewerten sein und sollte im Interesse einer wirtschaftlichen Outsourcing-
Strategie ausgewogen sein.
Mit einer entsprechenden Zertifizierung erhält der Kunde oder eine andere interessierte Partei eine
neutrale Bestätigung, dass Anforderungen aus den zugrunde liegenden Normen und Standards
angemessen umgesetzt sind. Dies erspart dem Kunden eigene Prüfungsaufwände.
Ein entscheidender Vorteil der Auslagerung von Prüfungen an einen Dienstleister ist eine mögliche
Einsparung durch Teilung der Kosten mit mehreren interessierten Parteien wie Kunden.
Auch die internen Aufwände beim Kunden für die Koordinierung einer solchen Prüfung entfallen, der
Dienstleister plant die Prüfungen ein und stellt eine Zertifizierung sicher. Über die aus den Normen
und Standards hinausgehenden eigenen Anforderungen muss der Kunde oder die interessierte Partei
bei Bedarf selbst prüfen oder durch beauftragte Prüfer prüfen lassen.
Mit der Auslagerung kauft man sich zudem Spezialisten-Know-how ein, welches nicht intern aufgebaut
und unterhalten werden muss – auch wenn dennoch interne Aufwände anfallen.
„Ein Nachweis für ein gelebtes
Managementsystem ist für ein
innovatives Unternehmen
unerlässlich. Zertifizierungen
reduzieren zudem die eigenen
Prüfungsaufwände für Kunden oder
Markus Laube andere interessierte Parteien.“
Business Continuity Officer
noris network AG
8Fazit: Aufwände, aber auch die Vorteile
Grundsätzlich können durch Zertifizierungen eines Dienstleisters die Einhaltung von Anforderungen
aus Normen und Standards, bestätigt durch einen neutralen externen Prüfer, sichergestellt werden,
wenn sich die eigenen Anforderungen mit denen aus den zugrundeliegenden Standards decken.
Abweichende oder über die Standards hinausgehende Anforderungen müssen eventuell selbst oder
durch beauftragte Prüfer sichergestellt werden.
Dementsprechend ist es essentiell, noch vor Beauftragung einer Zertifizierung oder eines
entsprechenden Zertifizierungs-Partners, mit diesem die Rahmenbedingungen, Aufwände und
Zusicherungen abzuklären.
Wenn die Anforderungen vorab klar geregelt wurden, kann durch Zertifizierungen ein nachhaltiger
Unternehmenserfolg unterstützt und letztlich auch Aufwände reduziert werden.
9Die noris network AG
Die Nürnberger noris network AG bietet Unternehmen und Organisationen mit den
Branchenschwerpunkten Banken/Versicherungen, Automotive/Industrie, Softwareentwicklung und
Öffentliche Verwaltung maßgeschneiderte ITK-Lösungen in den Bereichen IT-Outsourcing, Managed
Services, Cloud Services sowie Network & Security. Technologische Basis ist eine leistungsfähige IT-
Infrastruktur mit noris network-eigenen Hochsicherheitsrechenzentren –darunter mit Nürnberg Süd
und München Ost zwei der anerkannt modernsten und energieeffizientesten Rechenzentren Europas.
Neben kundenspezifischen Lösungen und Services für klassische und virtualisierte IT-Infrastrukturen
bietet noris network PaaS-Providing auf eigenen Cloud-Plattformen und mit OpenShift auch Services
für die automatisierte Skalierung von Ressourcen (Container). Weitere, standardisierte Premium-
Rechenzentrumsprodukte fasst das Unternehmen unter der Marke datacenter.de zusammen.
Die noris network AG ist mit ihren gesamten Geschäftstätigkeiten für ihre durchgängige Qualität und
ihre Sicherheit im Service- und Informationssicherheitsmanagement nach ISO/IEC 20000-1, ISO/IEC
27001 und ISO 9001 zertifiziert. Im Bereich „Sicherheitsmanagement für bauliche Objekte“ ist noris
network als erster Rechenzentrumsbetreiber nach VdS-Richtlinie 3406 zertifiziert, zudem sind die
maximalen Verfügbarkeits-, Schutz- und Energieeffizienzklassen des Rechenzentrums München Ost
nach EN 50600 bestätigt.
Die Rechenzentren Nürnberg Mitte und Nürnberg Süd sowie München Ost haben das ISO 27001-
Zertifikat auf Basis von IT-Grundschutz des BSI erhalten. Weitere Zertifikate, die der IT-Dienstleister
vorweisen kann, sind PCI DSS, TISAX und ISO 14001 Umweltmanagement. 1993 gegründet, zählt die
noris network AG zu den deutschen Pionieren auf dem Gebiet moderner IT-Dienstleistungen und
betreut heute renommierte Unternehmen wie adidas AG, Consorsbank, Flughafen Nürnberg GmbH,
Firmengruppe Max Bögl, Küchen Quelle GmbH, Schmetterling Reisen GmbH & Co. KG, Teambank AG
u. v. m.
noris network AG
Thomas-Mann-Straße 16-20
90471 Nürnberg
Tel.: +49 911 9352 - 0
www.noris.de
10Sie können auch lesen
