Zertifizierung nach den ISO-Normen 20000-1 und 27001
Die Informatikdienste sind nun offiziell ISO/IEC 20000-1 und ISO/IEC 27001 rezertifiziert.
Sie wurden das letzte Mal im Juni 2018 rezertifiziert. Die nächste reguläre Rezertifizierung ist Mitte 2021 wieder fällig.
Was wird geprüft?
- Die Norm ISO 9001 schreibt ein Prozess Management System vor.
- Die Norm ISO 20000-1 schreibt ein Service Management System vor.
- Die Norm ISO 27001 schreibt ein Information Security Management System vor.
Es wird das Vorhandensein und die korrekte Funktion eines Management Systems geprüft, also die Fähigkeit des Managements einer Organisation, das zugrundeliegende Element zu steuern. Steuern heisst – salopp ausgedrückt, dass genau das Resultat erscheint, welches man beabsichtigt hat. Die drei genannten Normen bauen prinzipiell aufeinander auf. Die Funktion des Information Security Management Systems kann man nur nachweisen, wenn man die Services im Griff hat und das Service Management System funktioniert nur mit reibungslos operierenden Prozessen.
Was bringt die Prüfung?
Kein Management System ist perfekt. Es gibt immer eine Differenz zwischen dem, was man erreichen will und soll und dem, was man tatsächlich erreicht hat. Weil diese Differenz für Insider nicht einfach erkennbar ist, lässt man Externe diese Aufgabe durchführen. Sie prüfen die Organisation nach verschiedenen Kriterien gegen die Normen und fertigen einen Bericht an, der alle festgestellten Abweichungen aufzeigt und Empfehlungen für geeignete Massnahmen zur angemessenen Verkleinerung der Abweichungen enthält. Falls das Management schlecht ist, enthält der Bericht sogenannte Hauptabweichungen, und die Zertifizierungsstelle muss das Zertifikat verweigern oder eine Nachfrist setzen. Dieser Bericht ist das Wertvolle an der Prüfung. Er zeigt der Organisation (dem Management), an welchen Punkten sie noch arbeiten muss, um sich substanziell zu verbessern. Die Prüfer (Auditoren) sind speziell ausgebildet und haben ihre eigenen, streng gehüteten Methoden. Die Prüfer vergleichen auch die aktuellen Zustände mit den letzten Reports und können so bemerken, ob man die Empfehlungen angemessen berücksichtigt hat. Darum gibt es jährliche Nachkontrollen. Die Prüfung ist also ein kontinuierlicher Vorgang.
Die Informatikdienste der ETH Zürich führen diese Zertifizierung freiwillig als Form der unabhängigen Kontrolle durch. Es ist für uns wichtig, unseren Kunden eine qualitativ gute Dienstleistung anzubieten, von der zeitgemässen Informations- und IT-Sicherheit bis hin zu funktionierenden Produkten und Prozessen.
Gibt es einen Unterschied zwischen einer Hochschul-IT und einem privaten IT Provider?
Fachlich nein. Bei der Beurteilung muss man allerdings das unterschiedliche Umfeld berücksichtigen.
Bei der Motivation hingegen besteht ein erheblicher Unterschied. Wir in den Informatikdiensten führen die Zertifizierungen seit bald einem Jahrzehnt als erste Hochschulinformatik der Schweiz freiwillig durch. Bei Service Providern in der Privatwirtschaft sind solche Zertifikate ein erforderlicher Ausweis gegenüber den Kunden. Die Zertifikate verhindern, dass jeder Kunde selber Prüfungen bei seinem Provider durchführen muss, was zur Folge hätte, dass dieser vor lauter Audits gar nicht mehr arbeiten könnte.
Rezertifizierung 2018 – bestanden!
Im Juni haben wir die Rezertifizierung wie geplant durchführen lassen. QM hat ein dichtes Programm zusammengestellt, das den Auditoren einen Einblick in ausgewählte Projekte gegeben hat. Alle gezeigten Projekte hatten einen starken Sicherheitsbezug und zeigten ihre Interaktionen mit den Hauptprozessen unseres Servicemanagements. Die Auditoren bescheinigen uns hohe Professionalität. Sie haben eine deutliche und notwendige Verbesserung unseres Verständnisses von «IT-Services» ausgemacht.
Die beiden Abschlussberichte (Reports) sind eingetroffen. Es wurden keine Abweichungen festgestellt, aber insgesamt 14 sogenannte «areas for improvement» genannt und zahlreiche Tipps gegeben. Die Berichte stellen uns ein sehr gutes Zeugnis aus. Sie sind für einen engen Kreis von Berechtigten auf dem Sherlock einsehbar. Wer die Zertifikate im Original bestaunen möchte: Je ein Satz hängt im Büro von Rui Brandao und Dieter Gut.
Erkenntnisse
Wir sind besser, als wir es uns selber eingestehen. Starker Nachholbedarf besteht aber noch in der vollständigen Erfassung und Dokumentation vor allem jener IT Services, die nur wir selber für die Produktion von Kundenservices benötigen. Auch diese müssen wir mit derselben Sorgfalt bewirtschaften wie unsere Kundenservices. Die Verkettung von Services und Risiken untereinander, gegeneinander und mit den Prozessen zeigt noch einiges Verbesserungspotenzial. Bei einzelnen Prozessen sind wir noch am Anfang der Etablierungsphase. Für Neupositionierungen oder Richtungsänderungen besteht aber kein Grund. Wir sind gut unterwegs. Wir alle werden an den Optimierungen arbeiten. QM unterstützt euch dabei.
Ausblick
2019 und 2020 sind kleine Aufrechtserhaltungsaudits geplant. Sie werden i.d.R. von einem einzigen Auditor durchgeführt und sind in der Norm vorgeschrieben, damit die Zertifikate ihre Gültigkeit behalten. 2021 haben wir das nächste Rezertifizierungsaudit. Dann wird wieder eine vollständige Prüfung durchgeführt und entschieden, ob die Zertifikate erneut vergeben werden dürfen.
Kontakt & Text
Dieter Gut, Qualitätsmanagement, Informatikdienste
Posted on
in Kommunikation, Mail, Web, Multimedia, Drucken, News, Passwort, Applikationen, Software, Arbeitsplätze, Speicher, Support, Wissenschaftl. Rechnen