Kontakt

Czego szukasz?

Tematy, które mogą Cię zainteresować

Sprawozdanie roczne firmy SGSNadchodzące webinaryOferty pracy

Certyfikacja Data Center

14 Oct 2022
Server Room_600x400

Przetwarzanie danych w chmurze (cloud computing) to jedna z najszybciej rozwijających się technologii, co sprawia, że kolejne Data Center (DC) powstają jak grzyby po deszczu. Coraz bardziej kluczowa staje się więc kwestia bezpieczeństwa DC, a dokładniej bezpieczeństwa danych, które są tam przetrzymywane – to one są priorytetem dla klientów (zewnętrznych czy wewnętrznych).

Przed centrami przetwarzania danych stoi szereg wyzwań związanych z niezawodnością, dostępnością, zabezpieczeniami czy ciągłością dostaw prądu. Z tego powodu najpierw CENELEC, a następnie ISO stworzyły standardy dla potwierdzenia tych kluczowych elementów gwarantujących „jakość” w Data Center.

Certyfikaty EN 50600 oraz ISO/IEC 22237 potwierdzają odpowiedni poziom bezpieczeństwa, dostępności oraz efektywności energetycznej DC oczekiwany przez klientów.

ISO/IEC 22237 Technika informatyczna – Wyposażenie i infrastruktura centrów przetwarzania danych

W centrach danych znajduje się sprzęt informatyczny, osprzęt, okablowanie oraz inne elementy infrastruktury sieciowej do przetwarzania, przechowywania i transportu danych. Zewnętrzne centra danych są tworzone przez operatorów sieci dostarczających swoje usługi klientom, z kolei wewnętrzne centra danych są tworzone bezpośrednio przez same przedsiębiorstwa. Centra danych muszą zapewniać modułowe i elastyczne obiekty i infrastruktury, aby łatwo dostosować się do szybko zmieniających się wymagań rynku.

Międzynarodowy standard ISO/IEC 22237 jest odpowiednikiem europejskiej normy EN 50600 zawierającym wymagania oraz wytyczne dla centrów danych. ISO/IEC 22237 określa wytyczne dla poszczególnych obiektów i infrastruktur, definiuje ogólne koncepcje projektowania i eksploatacji centrów danych, obejmuje analizę ryzyka biznesowego i kosztów operacyjnych, a także system klasyfikacji centrów danych pod kątem dostępności, bezpieczeństwa fizycznego i efektywności energetycznej.

Seria ISO/IEC 22237 określa wymagania i wytyczne wspierające poszczególne strony zaangażowany w funkcjonowanie obiektów i infrastruktury w centrach danych. Strony te obejmują m.in.: właścicieli, zarządców obiektów, głównych wykonawców, konsultantów, architektów, projektantów systemów/instalacji, audytorów, dostawców sprzętu, instalatorów i konserwatorów.

Seria wymagań ISO/IEC 22237 aktualnie składa się z 7 podstawowych dokumentów:

  • ISO/IEC 22237-1 - Pojęcia ogólne
  • ISO/IEC TS 22237-2 - Konstrukcja budynku
  • ISO/IEC 22237-3 – Zasilanie i dystrybucja energii
  • ISO/IEC 22237-4 - Zapewnienie parametrów środowiskowych
  • ISO/IEC TS 22237-5 - Infrastruktura okablowania telekomunikacyjnego
  • ISO/IEC TS 22237-6 - Systemy zabezpieczeń
  • ISO/IEC TS 22237-7 - Zarządzanie i informacje operacyjne

Części: 1, 3 i 4 zostały już opublikowane jako normy międzynarodowe. Pozostałe dokumenty, póki co są dostępne jako specyfikacje techniczne (TS) i będą sukcesywnie rewidowane i publikowane jako normy międzynarodowe.

Powiązanie z ISO/IEC 27001 oraz ISO/IEC 27002

ISO/IEC 22237 wraz z normami z rodziny ISO/IEC 27000 wzajemnie się uzupełniają. ISO/IEC 27001 skupia się na poziomie organizacyjnym i procesowym, z kolei norma ISO/IEC 22237 zawiera wymagania ukierunkowane na fizyczne bezpieczeństwo centrum danych. Ponadto norma ISO/IEC 22237 zawiera wymagania umożliwiające wykazanie zgodności z ISO/IEC 27001 oraz ISO/IEC 27002 w zakresie zasilania, chłodzenia i okablowania centrum danych.

System klasyfikacji wg ISO/IEC 22237

Na potrzeby serii ISO/IEC 22237 obiekty i infrastruktury centrów danych są wyznaczane w odniesieniu do:

  1. Klasy dostępności – W oparciu o wynik analizy ryzyka biznesowego należy wybrać 1 z 4 klas dostępności dla następujących infrastruktur: zasilanie, dystrybucja mocy; kontrola środowiska; okablowanie telekomunikacyjne. Centra danych wysokiej dostępności (4 klasa) należą do najbezpieczniejszych i najnowocześniejszych na świecie.

    Infrastruktura: 1 klasa dostępności 2 klasa dostępności 3 klasa dostępności 4 klasa dostępności
    Zasilanie Jednotorowe do podstawowego sprzętu dystrybucyjnego

    Pojedyncze źródło    		 Jednotorowe do podstawowego sprzętu dystrybucyjnego

    Komponenty redundantne    		 Wielotorowy do podstawowego sprzętu dystrybucyjnego

    Cały system redundantny    		 Wielotorowy do podstawowego sprzętu dystrybucyjnego

    Wiele źródeł
    Dystrybucja mocy Jednotorowa Jednotorowa z redundancją Wielotorowa zapewniająca jednocześnie rozwiązania do naprawy i eksploatacji Wielotorowa zapewniająca rozwiązania odporne na awarie, z wyjątkiem okresu konserwacji
    Kontrola środowiska Jednotorowa Jednotorowa z redundancją Wielotorowa zapewniająca jednocześnie rozwiązania do naprawy i eksploatacji Wielotorowa zapewniająca rozwiązania odporne na awarie, z wyjątkiem okresu konserwacji
    Okablowanie telekomunikacyjne Jednotorowe

    Połączenia bezpośrednie lub infrastruktura stacjonarna z pojedynczym przyłączem sieci dostępowej    		 Jednotorowe

    Infrastruktura stacjonarna z wieloma połączeniami sieci dostępowej    		 Wielotorowe

    Infrastruktura stacjonarna o zróżnicowanych ścieżkach z wieloma połączeniami sieci dostępowej    		 Wielotorowe

    Infrastruktura stacjonarna o zróżnicowanych ścieżkach i redundantnych strefach dystrybucyjnych oraz wieloma połączenia sieci dostępowej
  2. Klasy ochrony – Każda z przestrzeni centrum danych, niezależnie od wielkości lub przeznaczenia, jest oznaczona jako należąca do 1 z 4 klas ochrony. Wymagane klasy ochrony należy wybrać dla każdego z celów bezpieczeństwa fizycznego tj. ochrony przed:
    • nieuprawnionym dostępem
    • włamaniem
    • wewnętrznymi zdarzeniami środowiskowymi
    • zewnętrznymi zdarzeniami środowiskowymi.
  3. Poziomu efektywności energetycznej – poziom efektywności energetycznej powinien zostać ustalony na etapie projektowanie centrum danych. Pożądany poziom efektywności energetycznej można określić za pomocą:
    • analizy kosztów operacyjnych
    • stosowania procesów zarządzania zasobami i energią
    • wybrania i zastosowanie jednego lub więcej odpowiednich wskaźników KPI do zarządzania zasobami
    • zewnętrznych wymagań regulacyjnych lub legislacyjnych
    • reguł zdefiniowanych przez użytkownika.

    Zdefiniowano trzy poziomy szczegółowości pomiaru:

    • Poziom 1: system pomiarowy zapewniający proste informacje globalne dla centrum danych jako całości
    • Poziom 2: system pomiarowy zapewniający szczegółowe informacje dotyczące określonych obiektów i infrastruktury w centrum danych
    • Poziom 3: system pomiarowy zapewniający szczegółowe dane dla systemów w przestrzeniach centrum danych.

EN 50600 – Technika informatyczna – Wyposażenie i infrastruktura centrów przetwarzania danych

Europejski standard EN 50600 składa się z serii norm zawierających najlepsze praktyki dla centrów danych, od standardów projektowych, w tym zasilania, chłodzenia, telekomunikacji i bezpieczeństwa (uwzględniając bezpieczeństwo przeciwpożarowe) po standardy operacyjne i zarządzania oraz zalecenia dotyczące zrównoważonego rozwoju i redukcji zużycia energii.

Norma EN 50600 uwzględnia wszystkie obszary związane z budową, funkcjonowaniem oraz eksploatacją centrów danych w związku z czym jest standardem, który przywoływany jest w wielu wytycznych m.in. w komunikacie Urzędu Komisji Nadzoru Finansowego dotyczącym przetwarzania przez podmioty nadzorowane informacji w chmurze, czy w Uchwale nr 97 Rady Ministrów z dnia 11 września 2019 r. w sprawie Inicjatywy "Wspólna Infrastruktura Informatyczna Państwa”.

Seria norm EN 50600 została opracowana przez CENELEC (Europejski Komitet Normalizacyjny Elektrotechniki), a następnie uznana przez Komisję Europejską oraz kraje członkowskie UE. Polskie wydanie normy zostało opublikowane pod nazwą PN-EN-50600.

Zakres normy EN 50600

Norma składa się z 4 części i zawiera m.in. taki pozycje jak:

Część 1: EN 50600-1 – Pojęcia ogólne

Część 2:

  • EN 50600-2-1 – Konstrukcja budynku
  • EN 50600-2-2 – Zasilanie i dystrybucja energii
  • EN 50600-2-3 – Zapewnienie parametrów środowiskowych
  • EN 50600-2-4 – Infrastruktura okablowania telekomunikacyjnego
  • EN 50600-2-5 – Systemy zabezpieczeń.

Część 3: EN 50600-3-1 – Zarządzanie i informacje operacyjne

Część 4:

  • EN 50600-4-1 – Przegląd i wymagania ogólne dotyczące kluczowych wskaźników efektywności
  • EN 50600-4-2 – Efektywność zużycia energii
  • EN 50600-4-3 – Współczynnik energii odnawialnej
  • EN 50600-4-6 – Współczynnik powtórnego wykorzystania energii
  • EN 50600-4-7 – Współczynnik efektywności chłodzenia.

Obecnie certyfikacja możliwa jest tylko według części drugiej, określonej jako projektowane (design).  

System klasyfikacji wg EN 50600

Standard definiuje:

    1. 4 klasy dostępności
      Infrastruktura: 1 klasa dostępności 2 klasa dostępności 3 klasa dostępności 4 klasa dostępności
      Układ zasilania Jednotorowy

      Brak szczególnych wymogów      		 Jednotorowy

      Redundacja elementów      		 Wielotorowy

      Redundacja systemów      		 Wielotorowy

      Odporny na awarie w czasie konserwacji
      Parametry środowiskowe Brak wymagań Jednotorowy

      Brak wymogów – bez redundacji      		 Jednotorowy

      Redundacja elementów      		 Wielotorowy

      Redundacja systemów – konserwacja w trakcie pracy
      Okablowanie teleinformatyczne Połączenia pojedyncze punkt – punkt Połączenia pojedyncze typu strukturalnego Połączenia wielokrotne typu strukturalnego Połączenia wielokrotne z wykorzystaniem wielu tras
    2. 4 klasy niezawodności zabezpieczeń
  1. 3 poziomy efektywności energetycznej

Korzyści z ISO/IEC 22237 oraz EN 50600 dla data center:

  • Zredukowanie liczby awarii przekłada się na zmniejszenie utraty przychodów i niezachwianą reputację DC na rynku
  • Zmniejszenie zużycia energii ogranicza koszty oraz ślad węglowy
  • Klienci certyfikowanych centrów danych mogą polegać na jakości przetestowanej zgodnie z jednolitymi standardami na całym świecie
  • Cała infrastruktura jest mapowana w jednym certyfikacie co upraszcza porównywalność DC oraz stanowi rzetelną podstawę do sporządzania umów
  • Uzyskanie certyfikatu zwiększa zaufanie klientów i wpływa na zawierania efektywnych umów biznesowych (certyfikacja jest kluczowym, pozafinansowym czynnikiem decydującym o wyborze obiektu DC).

Porównanie ISO/IEC 22237 z EN 50600

Wymagania europejskiej normy EN 50600 zostały praktycznie w całości przyjęte do międzynarodowej normy ISO/IEC 22237. Dzięki temu możliwe jest planowanie, budowa i eksploatacja centrów danych na całym świecie w oparciu o jednakowe zasady i sprawdzoną jakość.

Poniżej porównanie obydwu standardów.

Norma z rodziny ISO/IEC 22237 Norma z rodziny EN 50600 Obszar
ISO/IEC 22237-1 EN 50600-1 Pojęcia ogólne
ISO/IEC TS 22237-2 EN 50600-2-1 Konstrukcja budynku
ISO/IEC 22237-3 EN 50600-2-2 Zasilanie i dystrybucja energii
ISO/IEC 22237-4 EN 50600-2-3 Kontrola środowiska
ISO/IEC TS 22237-5 EN 50600-2-4 Infrastruktura okablowania telekomunikacyjnego
ISO/IEC TS 22237-6 EN 50600-2-5 Systemy bezpieczeństwa
ISO/IEC TS 22237-7 EN 50600-3-1 Zarządzanie i informacje operacyjne

Jak SGS może pomóc?

Świadczymy usługi certyfikacji i oceny zgodności pod kątem ISO/IEC 22237 oraz EN 50600, a także innych standardów i przepisów dotyczących cyberbezpieczeństwa we wszystkich branżach.

Dowiedz się więcej na temat rozwiązań cyfrowych od SGS

Zapraszamy też do zapoznania się z ofertą szkoleń otwartych Akademii SGS

Podstawy cyberbezpieczeństwa

System zarządzania bezpieczeństwem informacji - wymagania ISO/IEC 27001

System zarządzania bezpieczeństwem informacji - wymagania i wdrożenie ISO/IEC 27001

Audytor wewnętrzny systemu zarządzania bezpieczeństwem informacji wg ISO/IEC 27001

Skontaktuj się z nami

Wyślij wiadomość
  • SGS - Poland - Warszawa

Al. Jerozolimskie 146A,

02-305,

Warszawa, Mazowieckie,

Polska