Hohe Sicherheitsstandards für die IT der Stadt Zürich
Medienmitteilung
Organisation und Informatik der Stadt Zürich (OIZ) erhält das Zertifikat für Informationssicherheit nach ISO 27001. Damit bezeugt die OIZ ihre Kompetenzen im Management von Informationssicherheitsrisiken in einem hochkomplexen IT-Umfeld.
28. Juni 2010
Integrität, Verfügbarkeit und Vertraulichkeit
Gerade für einen IT-Dienstleister im öffentlichen Dienst ist es von besonderer Bedeutung, die Sicherheit und Verfügbarkeit vertraulicher Bevölkerungsdaten jederzeit sicher zu stellen. Den hohen Ansprüchen kann nur mit einem umfassenden Sicherheitsmanagement begegnet werden. Die OIZ hat ihr Informationssicherheits-Managementsystem nun von der unabhängigen Zertifizierungsstelle SQS prüfen lassen.
Für die Zertifizierung wurden alle bestehenden Sicherheitsmassnahmen der OIZ anhand der 133 Controls (Massnahmenziele und Massnahmen) aus der Norm ISO 27001 überprüft. Besonderes Augenmerk wird dabei auf das Sicherheitsbewusstsein des Managements und den Umgang mit Risiken jeglicher Art im Bereich Informationssicherheit gelegt (z. B. im Zusammenhang mit Datenverlust, Vertraulichkeit von Daten, Katastrophenvorsorge, baulichen Massnahmen usw.).
Hohe Komplexität der IT-Infrastruktur
Mit neun Departementen und über 60 Dienstabteilungen verfügt die Zürcher Stadtverwaltung über eine hochkomplexe Informatik. Die bisher vorwiegend dezentral betriebenen Dienste mit sehr heterogener Infrastruktur werden seit 2007 im Rahmen der IT-Strategie konsolidiert. Dazu gehört u. a. eine einheitliche IT-Basis-Infrastruktur, 21 000 standardisierte IT-Büro-arbeitsplätze und die Konsolidierung von rund 2100 Servern an bisher über 100 Standorten in künftig nur noch zwei städtische Rechenzentren. Dies hat auch sicherheitstechnisch zahlreiche Vorteile, da die Gesamtsicht auf eine städtische IT das professionelle Management von Sicherheitsaspekten und möglichen Risiken massiv erleichtert und teilweise auch erst ermöglicht. So beispielsweise beim einheitlichen Computerarbeitsplatz durch verbesserte Kontrollmöglichkeiten gegen Viren-Angriffe oder durch die effiziente Gestaltung von baulichen Sicherheitsmassnahmen, wenn künftig nur zwei grosse RZ-Standorte zu betreuen sind.
Die meisten der bisher dezentral verwalteten Daten der Departemente liegen in Zukunft bei der OIZ. «Die ISO 27001-Zertifizierung soll unseren Kunden die Sicherheit geben, dass ihre Daten bei uns in guten Händen sind. Das war für mich ein wichtiger Anreiz, die Qualität unseres Informationssicherheitsmanagements von unabhängiger Stelle attestieren zu lassen.» erläutert OIZ-Direktor Daniel Heinzmann.
Höchste Sicherheitsstandards für die zwei Rechenzentren der Stadtverwaltung
Der Geltungsbereich des Zertifikats umfasst auch das bestehende und die beiden neuen Rechenzentren der OIZ an den Standorten Albis (im Bau) und Hagenholz (Bau nach Zustimmung der Stadtzürcher Stimmberechtigten im September 2010).
Für Infrastruktur und Betrieb der neuen Rechenzentren wird zudem die TÜVit Level 3-Zerti-fizierung angestrebt, der derzeit höchste verfügbare Zertifizierungsstandard für Versorgungs- und Ausfallsicherheit in Rechenzentren.