ACO Rechenzentrum erfüllt KRITIS-Anforderungen

Das ACO Rechenzentrum erfüllt die Richtlinien für Betreiber von kritischen Infrastrukturen zum Umgang mit und Sicherheitsanforderungen an Dienstleister.
Grundlage dafür ist das vom ACO RZ betriebene und zertifizierte Informationssicherheitsmanagementsystem (ISMS) nach der ISO 27001. Denn auch ein
KRITIS Betreiber muss sich nach einem ISMS ausrichten. Somit sind die für ihn daraus resultierenden Anforderungen weitestgehend deckungsgleich mit
denen des ACO RZ.


Inhalte des Anforderungskataloges in Bezug auf das ACO RZ

Grundsätzlich werden alle im Katalog aufgeführten Anforderungen im ISMS des ACO RZ behandelt.

Hier ein Auszug relevanter Aussagen:

1.1 Zielsetzung und Adressatenkreis

  • Das vorliegende Dokument bietet Betreibern Kritischer Infrastrukturen (KRITIS-Betreibern) und prüfenden Stellen eine Konkretisierung der Anforderungen des § 8a Absatz 1 BSIG. Zudem stellt der Anforderungskatalog den prüfenden Stellen geeignete Kriterien für eine sachgerechte Prüfung der eingesetzten Sicherheitsvorkehrungen vor, um die geforderten Nachweise gemäß § 8a Absatz 3 BSIG erbringen zu können. [...]

1.4 Weiterführende Informationen

  • [...] Weitere Informationen für eine geeignete Umsetzung der Anforderungen des § 8a Absatz 1 BSIG können entnommen werden: [...]

    • den einschlägigen Standards (z. B. Zertifizierungsschemata für ISO/IEC 27001 (nativ oder auf Basis von IT-Grundschutz) [...]

2.1 Informationssicherheitsmanagementsystem (ISMS)

  • Nr. 1 Managementsystem für Informationssicherheit

    Die Unternehmensleitung initiiert, steuert und überwacht ein Managementsystem zur Informationssicherheit (ISMS), das sich an etablierten Standards orientiert [...]

2.7 Bauliche/physische Sicherheit

  • Nr. 71 Rechenzentrumsversorgung

    Die Versorgung der für den Betrieb der kritischen Dienstleistung notwendigen IT-Systeme (z. B. Elektrizität, Temperatur- und Feuchtigkeitskontrolle, Telekommunikation und Internetverbindung) ist abgesichert, überwacht und wird regelmäßig gewartet und getestet, um eine durchgängige Wirksamkeit zu gewährleisten. Sie ist mit automatischen Ausfallsicherungen und anderen Redundanzen konzipiert [...]

2.11 Lieferanten, Dienstleister und Dritte

  • Nr. 98 Richtlinie zum Umgang mit und Sicherheitsanforderungen an Dienstleister des KRITIS-Betreibers

    Richtlinien und Anweisungen zur Sicherstellung des Schutzes von Informationen (insb. deren Verfügbarkeit) auf sonstige Dritte (z. B. Dienstleister bzw. Lieferanten des KRITIS Betreibers), die wesentliche Teile für den Betrieb der kritischen Dienstleistung beitragen, sind gemäß IT-Informationssicherheitsrichtlinie dokumentiert, kommuniziert und bereitgestellt. Die Vorgaben dienen der Reduzierung von Risiken, die durch die Auslagerung von IT-Systemen entstehen können. Dabei werden mindestens die folgenden Aspekte berücksichtigt: [...]

    • Weitergabe und vertragliche Verpflichtung auf die Mindest-Sicherheitsanforderungen auch an Unterauftragnehmer, wenn diese nicht nur unwesentliche Teile zu Entwicklung oder Betrieb der kritischen Dienstleistung (z. B. RZ-Dienstleister) beitragen [...]
TOP