Nello scenario attuale del mercato europeo, diventa sempre più centrale il tema della gestione dei dati e, di conseguenza, delle strutture che svolgono attività di Data Center. Queste strutture sono realizzate appositamente per ospitare anche migliaia di server fisici di svariati operatori, che vi fanno affidamento per la gestione dei propri servizi.
Già da anni questi Data Center vengono valutati a fronte di uno standard statunitense (ANSI TIA-942). Adesso, avendo maturato una propria visione di tale area tecnologica, anche l’Europa si è attivata per elaborare standard applicabili a livello internazionale. Le norme tecniche della famiglia EN 50600, pubblicate nel 2010 e successivamente aggiornate nel 2014, hanno introdotto una visione delle attività dei Data Center omnicomprensiva, rispetto a tutte le esigenze di affidabilità, sicurezza ed efficientamento energetico.
La serie di norme ISO/IEC TS 22237, dal titolo “Data centre facilities and infrastructures”, è intervenuta in questo processo di standardizzazione, ereditando dalla precedente normativa europea (EN 50600) la struttura modulare e la specializzazione dei contenuti, ma con un maggior respiro. Organizzata in sette parti specializzate, la serie individua i requisiti, ai fini della certificazione accreditata, relativamente a: costruzione, alimentazione, ventilazione e condizionamento, cablaggio, sistemi di sicurezza, processi per la gestione e operatività.
In questo contesto è nato lo schema DSEEDC (Disponibilità, Sicurezza, Efficienza Energetica dei Data Center) che prevede la certificazione secondo la norma ISO/IEC TS 22237 rilasciata dagli organismi accreditati secondo la norma UNI CEI EN ISO/IEC 17065. Si tratta di uno schema ibrido tra il prodotto e il servizio (guardando, da una parte, gli aspetti fisici e infrastrutturali dei Data Center e, considerando, dall’altra, gli aspetti prestazionali).
Inoltre, un cappello gestionale è offerto dalla parte 7 della norma di certificazione, destinato a integrarsi con i sistemi di gestione per la qualità basati sulla UNI EN ISO 9001 e, in particolare, con la UNI CEI ISO/IEC 20000-1 sulla qualità dei servizi IT, e con la UNI CEI EN ISO/IEC 27001 sui sistemi di gestione per la sicurezza delle informazioni.
Per fornire le indicazioni operative alle organizzazioni (Data Center) e agli organismi di certificazione, Accredia ha diffuso la Circolare Tecnica Accredia N° 42/2022 “Disposizione in merito all’accreditamento per lo schema DSEEDC a fronte delle norme ISO/IEC TS 22237 – Disponibilità, Sicurezza, Efficienza Energetica dei Data Center”.
Certificazione dei Data Center
Per poter richiedere la certificazione accreditata, il Data Center deve essere in possesso dei seguenti requisiti:
La valutazione a cui viene sottoposto il Data Center, ai fini della certificazione, si distingue tra fase progettuale e fase operativa. Per le rispettive certificazioni è richiesta la conformità e la presa in carico di tutti i requisiti normativi. Anche il processo di audit in campo, in fase di operatività, deve prevedere la verifica di tutti i requisiti normativi, con un focus primario sulle logiche di “risk management”, che devono essere basate sulla norma (Guida) ISO 31000 e prevedere una valutazione di accettazione del rischio residuo funzionale al livello di affidabilità (disponibilità dei servizi) atteso e dichiarato del Data Center.
Gli auditor che eseguono la valutazione nello schema DSEEDC devono essere qualificati a livello tecnico dallo stesso organismo che rilascia la certificazione o da organismi accreditati per certificare le persone secondo la norma UNI CEI EN ISO/IEC 17024. Inoltre devono dimostrare di avere un’esperienza lavorativa di almeno 10 anni in ambito IT, dei quali 5 come auditor di sistemi di gestione per la sicurezza delle informazioni o per i servizi informatici, con almeno 3 audit su Data Center, comprendenti tutti i domini previsti dalla norma ISO/TS 22237. Infine, devono aver superato l’esame di un corso specialistico sulle norme della famiglia ISO/IEC 22237 della durata minima di 3 giorni, svolto da un Ente riconosciuto, come, ad esempio, l’Ente Nazionale di Normazione, o sulla base del “syllabus” da questo sviluppato.
Accreditamento degli organismi
Gli organismi che intendono rilasciare la certificazione dei Data Center secondo la norma ISO/IEC TS 22237 devono presentare apposita domanda di accreditamento per lo schema DSEEDC e ottenere l’accreditamento per la certificazione di prodotti e servizi secondo la norma UNI CEI EN ISO/IEC 17065. Allo scopo, devono essere già in possesso, a titolo di prerequisito, dell’accreditamento secondo la norma UNI CEI EN ISO/IEC 17021 per certificare i sistemi di gestione per gli schemi: qualità nel settore IAF 33, sicurezza delle informazioni, servizi informatici, business continuity.
La documentazione da presentare ad Accredia per l’esame documentale comprende:
Per il mantenimento dell’accreditamento, su base quadriennale, salvo situazioni particolari, verranno condotte una verifica in accompagnamento e una verifica in sede, se l’organismo ha emesso meno di 50 certificati nello schema DSEEDC; due verifiche in accompagnamento e una in sede, se ha emesso tra 51 e 200 certificati; due verifiche in accompagnamento e due in sede, se invece ha emesso più di 201 certificati.