ISO/IEC 24762:2008 – der neue Standard für ICT Disaster Recovery Services

Am 31.01.2008 wurde der ISO Standard für “Information and communication technology disaster recovery services”veröffentlicht.

Der Standard regelt die Anforderungen an interne und externe Service Provider für ICT Disaster Recovery Services.

Singapore Standards hat auf Basis dieses ISO Standards den Standard SS 507 (mit kleineren Anpassungen) aktualisiert auf die Version SS 507:2008. Nach diesem Standard ist mit den erfolgten Anpassungen eine Zertifizierung sowohl für DR service provider als auch für DR facility provider möglich.

Die Standards definieren Anforderungen an

  • die Implementierung
  • den Betrieb / Operating
  • Überwachung / Monitoring
  • Wartung und Aktualiserung

von ICT Diaster Recovery Services.

Die Standards bestehen aus den beiden Schwerpunktbereichen

  • ICT diaster recovery
  • ICT diaster recovery facilities.

Nachfolgend eine kurze Zusammenstellung der Inhalte auf Basis des Singapore Standard.

Kapitel 5 deckt die Anforderungen an das ICT disaster recovery ab. Es handelt sich hierbei im Einzelnen um die Anforderungen bezüglich

  •  Environmental stability
    (Bedrohungen durch Streiks, Terrorismus, Unruhen, Demonstrationen, Naturkatastrophen, Pandemien)
  • Asset management
    (Identifikation und Schutz der Assets: Hardware, Software, Daten, Dokumentationen)
  • Räumliche Entfernung der Recovery site
    Die Recovery site sollte / muß geografisch so liegen, daß sie nicht von den gleichen Risiken wie die Primärsite betroffen wird
  • Vendor management
    Risk Assessment des Lieferantenrisikos und Maßnahmen zur Gewährleistung daß kritisches Equipment und Services fristgerecht verfügbar gemacht werden können
  • Outsourcing arrangements
    Anforderungen bezüglich Vertragsgestaltung und Überwachung von Lieferanten und deren Personal
  • Information security
    Anforderungen an die Informationssicherheit mit Verweis auf die Normen ISO 27001 und 27002
  • Activation and deactivation of DR plan
    Rahmenbedinungen und Prozeduren für die Aktivierung und Deaktivierung von DR recovery Plänen
  • Training and education
    Anforderungen an Inhalt, Umfang und Häufigkeit von DR Trainings
  • Testing on ICT systems
    Anforderungen an regelmäßige Tests
  • Business Continuity Planning for ICT DR service providers
    Anforderungen an das eigene BCM der service provider inklusive eigenem DR recovery
  • Documentation and periodic review
    Dokumentationsanforderungen, Aktualisierung und Wartung der Dokumentationen, Konfigurationsmanagement für Dokumente und assets.

Der zweite Part der Spezifikation (Kapitel 6) beinhaltet spezifische Anforderungen an DR facilities:

  • Location of DR recovery facilities
  • Physical access controls
  • Physical facility security
  • Dedicated areas
  • Environmental controls
  • Telecommunications
  • Power supply
  • Cable management
  • Fire protection
  • Emergeny operations centre
  • Restricted facilities
  • Non-recovery amenities
  • Physical facilities and support equipment life cycle
  • Testing.

Kapitel 7 beinaltet spezifische Anforderungen beim Outsourcing von DR recovery services an den Service provider und den Servicenehmer.

Die vorgestellten Standards für das ICT Distaser Recovery sind elementar sowohl bei einem inhouse durchgeführten DR insbesondere aber auch bei einem outgesourcten DR service.

Für Outsourcing facilities sind in den Standards Anforderungen konkretisiert, die in dieser Form prüf- und überwachbar sind.

Für das Outsourcing werden dem Servicenehmer konkrete Anforderungen an die Hand gegeben gegen die der Dienstleister geprüft werden kann.

Für IT Dienstleister gibt die ISO Norm einen konkreten Anforderungsstandard. Eine Zertifizierung erspart dem Dienstleister vielfache individuelle Kundenüberprüfungen und gibt den Kunden objektivierte Sicherheit über die Leistungsfähigkeit.

Die Standards können über folgende Quellen bezogen werden:

ISO 

Singapore Standards 

0 Responses

Schreibe einen Kommentar