Accredia / Certificazioni / Standard UE per i Data Center: la certificazione accreditata ISO/IEC TS 22237

Standard UE per i Data Center: la certificazione accreditata ISO/IEC TS 22237

Notizia
21 novembre 2022

Con la norma ISO/IEC TS 22237, l’Unione europea prosegue sulla strada della standardizzazione e della certificazione accreditata. Gli organismi in possesso dei requisiti possono presentare domanda di accreditamento per lo schema DSEEDC dei Data Center.

Nello scenario attuale del mercato europeo, diventa sempre più centrale il tema della gestione dei dati e, di conseguenza, delle strutture che svolgono attività di Data Center. Queste strutture sono realizzate appositamente per ospitare anche migliaia di server fisici di svariati operatori, che vi fanno affidamento per la gestione dei propri servizi.

Già da anni questi Data Center vengono valutati a fronte di uno standard statunitense (ANSI TIA-942). Adesso, avendo maturato una propria visione di tale area tecnologica, anche l’Europa si è attivata per elaborare standard applicabili a livello internazionale. Le norme tecniche della famiglia EN 50600, pubblicate nel 2010 e successivamente aggiornate nel 2014, hanno introdotto una visione delle attività dei Data Center omnicomprensiva, rispetto a tutte le esigenze di affidabilità, sicurezza ed efficientamento energetico.

La serie di norme ISO/IEC TS 22237, dal titolo “Data centre facilities and infrastructures”, è intervenuta in questo processo di standardizzazione, ereditando dalla precedente normativa europea (EN 50600) la struttura modulare e la specializzazione dei contenuti, ma con un maggior respiro. Organizzata in sette parti specializzate, la serie individua i requisiti, ai fini della certificazione accreditata, relativamente a: costruzione, alimentazione, ventilazione e condizionamento, cablaggio, sistemi di sicurezza, processi per la gestione e operatività.

In questo contesto è nato lo schema DSEEDC (Disponibilità, Sicurezza, Efficienza Energetica dei Data Center) che prevede la certificazione secondo la norma ISO/IEC TS 22237 rilasciata dagli organismi accreditati secondo la norma UNI CEI EN ISO/IEC 17065. Si tratta di uno schema ibrido tra il prodotto e il servizio (guardando, da una parte, gli aspetti fisici e infrastrutturali dei Data Center e, considerando, dall’altra, gli aspetti prestazionali).

Inoltre, un cappello gestionale è offerto dalla parte 7 della norma di certificazione, destinato a integrarsi con i sistemi di gestione per la qualità basati sulla UNI EN ISO 9001 e, in particolare, con la UNI CEI ISO/IEC 20000-1 sulla qualità dei servizi IT, e con la UNI CEI EN ISO/IEC 27001 sui sistemi di gestione per la sicurezza delle informazioni.

Per fornire le indicazioni operative alle organizzazioni (Data Center) e agli organismi di certificazione, Accredia ha diffuso la Circolare Tecnica Accredia N° 42/2022Disposizione in merito all’accreditamento per lo schema DSEEDC a fronte delle norme ISO/IEC TS 22237 – Disponibilità, Sicurezza, Efficienza Energetica dei Data Center”.

 


Certificazione dei Data Center


Per poter richiedere la certificazione accreditata, il Data Center deve essere in possesso dei seguenti requisiti:

  • Certificazione del sistema di gestione per la qualità, che copra il campo di applicazione delle attività dello stesso Data Center. Preferibilmente, il sistema di gestione integrato del Data Center deve essere conforme anche alle norme ISO/IEC 20000-1 e ISO 22301. Tali certificazioni debbono riguardare l’intero perimetro per il quale è richiesta la certificazione DSEEDC.
  • Certificazione del sistema di gestione per la sicurezza delle informazioni secondo la norma UNI CEI EN ISO/IEC 27001, che copra il perimetro pertinente (fisico, logico e organizzativo) per il quale è richiesta la certificazione DSEEDC.

La valutazione a cui viene sottoposto il Data Center, ai fini della certificazione, si distingue tra fase progettuale e fase operativa. Per le rispettive certificazioni è richiesta la conformità e la presa in carico di tutti i requisiti normativi. Anche il processo di audit in campo, in fase di operatività, deve prevedere la verifica di tutti i requisiti normativi, con un focus primario sulle logiche di “risk management”, che devono essere basate sulla norma (Guida) ISO 31000 e prevedere una valutazione di accettazione del rischio residuo funzionale al livello di affidabilità (disponibilità dei servizi) atteso e dichiarato del Data Center.

Gli auditor che eseguono la valutazione nello schema DSEEDC devono essere qualificati a livello tecnico dallo stesso organismo che rilascia la certificazione o da organismi accreditati per certificare le persone secondo la norma UNI CEI EN ISO/IEC 17024. Inoltre devono dimostrare di avere un’esperienza lavorativa di almeno 10 anni in ambito IT, dei quali 5 come auditor di sistemi di gestione per la sicurezza delle informazioni o per i servizi informatici, con almeno 3 audit su Data Center, comprendenti tutti i domini previsti dalla norma ISO/TS 22237. Infine, devono aver superato l’esame di un corso specialistico sulle norme della famiglia ISO/IEC 22237 della durata minima di 3 giorni, svolto da un Ente riconosciuto, come, ad esempio, l’Ente Nazionale di Normazione, o sulla base del “syllabus” da questo sviluppato.

 


Accreditamento degli organismi


Gli organismi che intendono rilasciare la certificazione dei Data Center secondo la norma ISO/IEC TS 22237 devono presentare apposita domanda di accreditamento per lo schema DSEEDC e ottenere l’accreditamento per la certificazione di prodotti e servizi secondo la norma UNI CEI EN ISO/IEC 17065. Allo scopo, devono essere già in possesso, a titolo di prerequisito, dell’accreditamento secondo la norma UNI CEI EN ISO/IEC 17021 per certificare i sistemi di gestione per gli schemi: qualità nel settore IAF 33, sicurezza delle informazioni, servizi informatici, business continuity.

La documentazione da presentare ad Accredia per l’esame documentale comprende:

  • Regolamento Generale per la norma ISO/IEC 17065:2021 e Regolamento Particolare di schema
  • Lista di riscontro o linea guida o istruzioni predisposte dall’organismo per il Gruppo di Verifica Ispettiva
  • Criteri di qualifica di chi effettua il riesame del contratto, degli Auditor e dei decision maker
  • Curricula degli Auditor e dei decision maker e giustificazione per la loro singola qualifica
  • Procedura per la costituzione e gestione dei Gruppi di Audit
  • Attestato/certificato rilasciato dall’organismo
  • Lista dei certificati già emessi, e delle prossime attività di verifica
  • Procedure/regolamenti contrattuali applicabili alla verifica e procedure interne per la gestione della pratica di certificazione

Per il mantenimento dell’accreditamento, su base quadriennale, salvo situazioni particolari, verranno condotte una verifica in accompagnamento e una verifica in sede, se l’organismo ha emesso meno di 50 certificati nello schema DSEEDC; due verifiche in accompagnamento e una in sede, se ha emesso tra 51 e 200 certificati; due verifiche in accompagnamento e due in sede, se invece ha emesso più di 201 certificati.