LRZ-Services: Weiterhin zuverlässig und sicher
Definierte Abläufe sichern am LRZ zuverlässig IT-Dienste und Informationssicherheit. Foto: A.Podo/LRZ
Nachvollziehbare Prozesse, zuverlässige IT-Dienste: 2019 ließ sich das Leibniz-Rechenzentrum (LRZ) erstmals nach den ISO/IEC-Normen für IT-Service-Management (20000-1) und Informations-Sicherheit (27001) zertifizieren. Jetzt hat das Rechenzentrum seine erste offizielle Rezertifizierung absolviert – auch sie mit Erfolg und viel Anerkennung der Auditoren: „Das integrierte Management-System weist in Summe einen hohen Reifegrad auf“, urteilten die Prüfer der DEKRA, und: „Die stetige Verbesserung des Informations- und Sicherheits-Managementsystems konnte auch in diesem Auditzyklus aufgezeigt werden.“ Kunden des LRZ gewinnen durch die Zertifizierung Sicherheit: Sie können sich darauf verlassen, dass die IT-Dienste und der Support zuverlässig nach definierten Abläufen ausgeführt werden und die hier verarbeiteten und gespeicherten Informationen sicher verwahrt sind. Das beinhaltet auch, dass bei möglichen technischen Problemen und Ausfällen schnell die passenden Gegenmaßnahmen ergriffen und Warnungen ausgesprochen werden. „Normen geben Orientierung und helfen dabei, Management-Prozesse zu professionalisieren“, sagt Stefan Metzger, CISO am LRZ und Teil des Teams, das die Arbeiten für die Zertifizierung koordiniert. „Jetzt sind alle Arbeitsschritte dokumentiert, das hilft bei der Einarbeitung neuer Kolleg:innen, vor allem aber werden Sicherheits- und technische Vorfälle strukturiert abgearbeitet, so dass IT-Dienste schnellstmöglich wieder funktionieren.“
Zertifizierung heißt in diesem Fall, von Außenstehenden Arbeitsabläufe und Ergebnisse beurteilen zu lassen. Dafür müssen Prozesse hinterfragt, bei Bedarf verändert und optimiert, vor allem aber schriftlich fixiert werden: eine Herausforderung für jede Organisation. 2017 starteten am LRZ die Vorarbeiten zur Erstzertifizierung 2019, danach wurde das LRZ jedes Jahr überprüft: So stellen die Prüfstellen sicher, dass Unternehmen das Management weiter verbessern und die Anforderungen der Rezertifizierung verstehen. „Mit der aktuellen Rezertifizierung verlieren wir den bisherigen Welpenschutz, ab jetzt schauen die Prüfer genauer hin, wie Maßnahmen und Prozesse gerade im Alltag umgesetzt werden“, sagt Metzger. Die Prüfenden lobten die Kommunikation unter Mitarbeitenden und zwischen Abteilungen, außerdem die effiziente, nachvollziehbare Beschreibung von Arbeitsschritten. Daneben lieferten die Auditoren noch wertvolle Anregungen, wie das Managementsystem weiter verbessert werden kann. Für deren Umsetzung hat das LRZ Zeit bis zur nächsten Rezertifizierung im Jahr 2025.
Das LRZ ist das erste wissenschaftliche Supercomputing-Zentrum, das sein IT-Servicemanagement sowie die Informationssicherheit zertifizieren ließ. Standen dabei zunächst der Betrieb des Techenzentrums, seine Dienstleistungn und IT- Services im Fokus, wurde nun auch der Forschungsbereich bei der Zertifizierung berücksichtigt und werden schrittweise weitere Abteilungen in das Verfahren einbezogen. Das LRZ-Beispiel macht Schule: Rechenzentren von Universitäten und Forschungseinrichtungen erkennen die Vorteile der Zertifizierung – und fragen beim LRZ um Rat oder praktische Hilfe bei deren Vorbereitung und Umsetzung.