Kategorie: Asssurance

Was ist SOC 2 und was sind die Vorteile?

Was ist SOC 2 und was sind die Vorteile?

Die Zahl der Unternehmen, die Kundendaten verwalten, steigt. Dies führt zu einer wachsenden Nachfrage nach SOC 2-Berichten, die die Angemessenheit der vorhandenen Maßnahmen zur Informationssicherheit bewerten. Von IT-Unternehmen wird jetzt erwartet, dass sie SOC 2-konform sind, insbesondere wenn sie Daten in der Cloud speichern.

SOC 2-Konformität bedeutet, dass ein Unternehmen strenge Verfahren für die Informationssicherheit, den Schutz der Privatsphäre und andere Bereiche eingeführt hat, je nach Umfang des SOC 2-Berichts. Der Geltungsbereich wird durch die Trust Service Criteria (TSCs) des American Institute of Certified Public Accountants (AICPA) definiert, die Informationssicherheit (1), Systemverfügbarkeit (2), Prozessintegrität (3), Vertraulichkeit (4) und Datenschutz (5) umfassen. Unternehmen können wählen, welche Prinzipien sie einhalten wollen, aber die Informationssicherheit muss mit einbezogen werden.

Was ist ein SOC 2-Bericht?

Ein SOC 2-Bericht beschreibt die TSCs in Form von Kontrollmaßnahmen und einer Beschreibung des gesamten Risikomanagementsystems. Ein externer Prüfer überprüft, ob die Beschreibung mit der Realität übereinstimmt, und gibt nach Genehmigung eine Zuverlässigkeitserklärung für den SOC 2-Bericht ab.

Warum ist die SOC 2 so gefragt?

Unternehmen müssen ihren Kunden beweisen, dass sie ihre Daten angemessen schützen. Dazu gehört die Einführung eines Risikomanagementsystems und die Sicherstellung, dass auch die Lieferanten ein effektives Risikomanagement betreiben. Kunden verlangen einen entsprechenden Nachweis, der durch die SOC 2-Konformität erbracht werden kann.

Vorteile eines SOC 2-Berichts

  • Unternehmen nutzen SOC 2-Berichte als Marketinginstrument, um neue und bestehende Kunden von ihrer Zuverlässigkeit zu überzeugen.
  • Die Implementierung von SOC 2 wirkt sich positiv auf die Qualität des Risikomanagements aus.
  • Die Kunden gewinnen das Vertrauen, dass die Risiken effektiv verwaltet werden.
  • IT-Anfragen von Partnern und Kunden können effizienter beantwortet werden.
  • Es ergeben sich Möglichkeiten, Kunden zu gewinnen und zu halten.

Vorteil bei der Beschaffung

Während des Verkaufsprozesses bitten die Kunden die Anbieter oft, einen IT-Fragebogen auszufüllen, der von ihrem technischen Team vorbereitet wurde. Ein SOC 2-Bericht kann diese Fragen effektiv beantworten, den Prozess rationalisieren und dem Kunden das Vertrauen vermitteln, dass die Prozesse gut verwaltet werden.

SOC 2 und die Cloud

Da die Nachfrage nach Cloud-basierten Lösungen steigt, wird die SOC 2-Zertifizierung immer wichtiger. Ein SOC 2-Bericht gilt als Branchenstandard, der einen Anbieter von IT-Lösungen von seinen Mitbewerbern unterscheidet. Wenn Ihr Unternehmen sich von anderen abheben möchte, kontaktieren Sie einen unserer Berater.

Starten Sie mit SOC 2

Sind Sie bereit, Ihr Engagement für robuste Informationssicherheit und Datenschutzpraktiken durch SOC 2-Konformität zu demonstrieren? Securance bietet umfassende SOC 2-Auditierungsdienste, um Sie durch diesen strengen Zertifizierungsprozess zu führen. Unsere erfahrenen Prüfer führen eine gründliche Bewertung Ihrer Kontrollen anhand der SOC 2 Trust Services-Kriterien durch und erstellen einen detaillierten Bericht mit Empfehlungen zur Erreichung der vollständigen Compliance. Setzen Sie sich noch heute mit Securance in Verbindung, um Ihre SOC 2-Reise zu beginnen und sich einen Wettbewerbsvorteil zu verschaffen, indem Sie Ihren Kunden Vertrauen einflößen.

SOC 2 oder ISO 27001: Was ist besser für mein Unternehmen geeignet?

SOC 2 oder ISO 27001: Was ist besser für mein Unternehmen geeignet?

Wenn Ihr Unternehmen IT- oder Finanzdienstleistungen im Business-to-Business-Bereich anbietet, ist es wahrscheinlich, dass Ihre Kunden eine SOC 2- oder ISO 27001-Zertifizierung oder -Bescheinigung verlangen. Dieser Prozess kann Ihrem Unternehmen erhebliche Ressourcen und Zeit abverlangen. Dieser Artikel erklärt die Gemeinsamkeiten und Unterschiede zwischen diesen beiden Zertifizierungen. Ein SOC 2-Bericht und ein ISO 27001-Zertifikat können mit nahen Verwandten verglichen werden, und es gibt Möglichkeiten zur Effizienzsteigerung, da die Erlangung der einen Zertifizierung den Zeitaufwand für die Erlangung der anderen erheblich reduzieren kann.

1. Umfang

Sowohl SOC 2 als auch ISO 27001 sind in ähnlicher Weise darauf ausgerichtet, den Kunden das Vertrauen zu geben, dass ihre Daten geschützt sind. Die Kunden haben Gemeinsamkeiten, da beide Rahmenwerke kritische Aspekte der Informationssicherheit, wie Vertraulichkeit, Integrität und Verfügbarkeit, behandeln. Beides sind weithin anerkannte Zertifizierungen, die den Kunden zeigen, wie sehr sich Ihr Unternehmen der Sicherheit verpflichtet fühlt.

Ein wesentlicher Unterschied besteht darin, dass sich die SOC 2-Zertifizierung in erster Linie auf den Nachweis der effektiven Umsetzung von Sicherheitsmaßnahmen zum Schutz von Kundendaten konzentriert. ISO 27001 hingegen verlangt lediglich, dass eine Organisation über ein Informationssicherheits-Managementsystem (ISMS) verfügt, eine vorgeschriebene Reihe von Sicherheitsmaßnahmen.

2. Markttauglichkeit

Eine wichtige Gemeinsamkeit ist, dass es sich bei beiden Zertifizierungen um bekannte Informationssicherheitsstandards handelt, die weithin als Beweis dafür akzeptiert werden, dass eine Organisation über angemessene Sicherheitsmaßnahmen verfügt. Vor allem in den Vereinigten Staaten werden diese Zertifizierungen von Organisationen aller Größenordnungen akzeptiert, von kleinen Unternehmen bis hin zu Großkonzernen. Beide sind in den meisten Branchen voll akzeptiert und positionieren ein Unternehmen als zuverlässigen Anbieter mit soliden Verfahren zur Informationssicherheit.

3. Externe Partei

Beide Zertifizierungen werden von Dritten bewertet, entweder von ISO 27001-Auditoren oder (registrierten) Wirtschaftsprüfern. Der Hauptunterschied besteht darin, dass ein vom Niederländischen Institut der Wirtschaftsprüfer (NBA) anerkanntes Unternehmen einen SOC 2-Bericht ausstellt, während ein akkreditierter ISO 27001-Auditor die Einhaltung der ISO 27001 zertifiziert. Risklane beschäftigt sowohl anerkannte Wirtschaftsprüfer als auch akkreditierte ISO 27001-Auditoren, die Sie bei der Durchführung des Audits beraten können.

4. Kosten

Beide Zertifizierungen haben vergleichbare Betriebskosten, zu denen auch die internen Kosten für das Team gehören, das die Kontrollmaßnahmen umsetzt und die Nachweise sammelt, die für den Nachweis der Einhaltung von SOC 2 oder ISO 27001 erforderlich sind.

Die Preise für die beiden Arten von Zertifizierungen können erheblich variieren. Im Allgemeinen sind die Kosten für eine SOC 2-Zertifizierung höher als für eine ISO 27001-Zertifizierung. Dies ist in erster Linie auf die umfangreichen Dokumentationsanforderungen für Prüfer zurückzuführen, die ein SOC 2-Audit durchführen.

5. Zeitrahmen

Der Projektansatz für beide Zertifizierungen ist ähnlich und besteht aus ungefähr gleichen Phasen. Da SOC 2 und ISO 27001 viele der Kontrollmaßnahmen gemeinsam haben, haben auch die Implementierungsphasen einen vergleichbaren Zeitrahmen. Ein SOC 2-Audit kann jedoch aufgrund der oben erwähnten Dokumentationsanforderungen mehr interne und externe (Auditoren) Zeit erfordern.

Nach dem Audit-Zeitraum müssen sowohl die SOC 2- als auch die ISO 27001-Zertifizierung regelmäßig erneuert werden, um für die Benutzerorganisationen gültig zu bleiben. ISO 27001 umfasst in der Regel einen dreijährigen Zyklus, mit einem Audit im ersten Jahr und jährlichen Erneuerungen danach.

Über Securance

Unser Ziel ist, das Wachstum und den Erfolg unserer Kunden zu fördern und darüber hinauszugehen. Wir sind bestrebt, die Möglichkeiten zu erweitern, Spitzenleistungen zu ermöglichen, das Wachstum zu fördern, neue Kunden zu gewinnen und die internen Prozesse zu verbessern. Um diesen Auftrag zu erfüllen, müssen wir Pionierarbeit beim Risikomanagement leisten, die Effizienz durch Automatisierung optimieren, ein vielfältiges globales Team aufbauen und einen positiven Beitrag zu den Gemeinden leisten, in denen wir tätig sind. Darüber hinaus sind wir fest entschlossen, Unternehmen dabei zu helfen, nachhaltiger und transparenter zu werden, um somit einen eindeutigen und wertvollen Beitrag für die Gesellschaft zu leisten. Unser unermüdliches Streben nach höchster Qualität gewährleistet, dass wir erfolgreich sind, wenn alle Kundenziele erreicht und unsere Kunden zu 100 % zufrieden sind.

Was ist ISAE 3402 | SOC 1?

Was ist ISAE 3402 | SOC 1?

ISAE 3402 ist der Standard für Outsourcing. Um sich zertifizieren zu lassen, muss eine Organisation über einen SOC-Bericht (Service Organization Control) verfügen. Ein SOC-Bericht ist ein Bericht, der eine Beschreibung des Risikomanagementsystems enthält. Dieser Bericht wird dann jährlich von einem Service-Auditor überprüft. Eine Organisation, die Dienstleistungen anbietet, wird als Dienstleistungsorganisation bezeichnet. Durch einen ISAE 3402-Bericht legt eine Dienstleistungsorganisation gegenüber einer anderen Organisation (einer Nutzerorganisation) Rechenschaft über die im Rahmen des Service Level Agreement (SLA) durchgeführten Prozesse und die Kontrolle über diese Prozesse ab. Der Standard ist der Nachfolger des SAS 70-Standards und wurde 2011 eingeführt.

ISAE 3402 und Outsourcing

Unternehmen lagern zunehmend aus, insbesondere im IT-Bereich. Unternehmen, die auslagern, wollen Einblick in die Informationssicherheit, die Betrugsprävention und das Risikomanagement im Allgemeinen. Dies ist besonders wichtig, da immer mehr wichtige Geschäftsprozesse ausgelagert werden. Daher ist es von entscheidender Bedeutung zu wissen, wer Zugang zu den Informationen hat und ob es eine ausreichende Aufgabentrennung gibt, um Betrug zu verhindern. Ein ISAE 3402-Bericht liefert diesen Einblick.

Inhalt des Berichts

Neben der allgemeinen Übersicht muss der Bericht auch Prozesse enthalten, die sich potenziell auf den Jahresabschluss auswirken können (Finanzprozesse). Dazu gehören auch IT-Prozesse, die als allgemeine IT-Kontrollen bekannt sind. Darüber hinaus kann ein ISAE 3402-Bericht sicherstellen, dass die ausgelagerten Prozesse gemäß den vereinbarten SLAs durchgeführt werden. Der SOC-Bericht besteht aus einem allgemeinen Teil, der auf dem Standard COSO 2013 basiert, und einer Kontrollmatrix. Lesen Sie mehr über den Inhalt des Berichts und die beiden Arten von Berichten: ISAE 3402 Typ I und Typ II.

Beispiel für Outsourcing

Ein Pensionsfonds lagert die Vermögensverwaltung an einen Vermögensverwalter aus. Pensionsfonds müssen das Pensionsgesetz (PW) einhalten. Das Rentengesetz verlangt, dass die Pensionskasse nachweist, dass die ausgelagerten Prozesse kontrolliert werden – in diesem Fall ist die Pensionskasse die Nutzerorganisation und der Vermögensverwalter die Serviceorganisation. Die Vereinbarungen zwischen dem Pensionsfonds und dem Vermögensverwalter werden im Vermögensverwaltungsvertrag und möglicherweise in einem SLA dokumentiert. Daher fordert die Pensionskasse einen ISAE 3402-Bericht von der Serviceorganisation an. Mit diesem Bericht weist die Pensionskasse nach, dass sie die ausgelagerten Prozesse „unter Kontrolle“ hat und dass sie das Rentengesetz für diese Auslagerung einhält. In einer solchen Situation möchte die Pensionskasse (die „Nutzerorganisation“) Einblick in:

  • ob Investitionen für den Jahresabschluss korrekt und vollständig verarbeitet werden
  • ob die Vermögensverwaltung in Übereinstimmung mit Gesetzen und Vorschriften erfolgt
  • Ob es ausreichende Sicherheitsvorkehrungen gegen Betrug gibt
  • Ob die Sicherheit beim Vermögensverwalter angemessen umgesetzt wird
  • ob die spezifischen Anforderungen des Rentengesetzes erfüllt sind

Der Pensionsfonds wird vom Vermögensverwalter verlangen, dass er die oben genannten Themen in den Umfang des ISAE 3402 Berichts aufnimmt. Der Wirtschaftsprüfer des Pensionsfonds wird den ISAE 3402-Bericht des Vermögensverwalters im Rahmen der Prüfung des Jahresabschlusses des Pensionsfonds einsehen. Der Prüfer braucht die Verfahren beim Vermögensverwalter nicht gesondert zu prüfen, da der Prüfer für die Dienstleistungen bereits darüber berichtet hat.

Zusätzlicher Wert

Der primäre Mehrwert für eine Nutzerorganisation besteht darin, dass sie auf der Grundlage des Berichts zur Kontrolle der Serviceorganisation feststellen kann, ob die Maßnahmen zur Informationssicherheit oder zur Betrugsbekämpfung angemessen sind. Dies ist auch eine wichtige Information für den Prüfer der Benutzerorganisation. Der Prüfer der Nutzerorganisation kann im Rahmen der Prüfung des Jahresabschlusses der Nutzerorganisation beurteilen, ob die Maßnahmen bei der Serviceorganisation ausreichend gestaltet sind. Zusätzlich hat ein (anerkannter) anderer Prüfer festgestellt, ob diese Maßnahmen existieren (Typ I) und haben effektiv gearbeitet (Typ II). Der Prüfer muss dann keine separaten Kontrollen bei der Dienstleistungsorganisation durchführen.

ISAE 3402: Typ I oder Typ II?

ISAE 3402: Typ I oder Typ II?

Es gibt zwei Arten von ISAE 3402-Berichten: Typ I und Typ II. Beide Berichtsarten sind inhaltlich ähnlich. Der Unterschied liegt in der Art der durchgeführten Prüfung. Bei einer Prüfung des Typs I stellt der Prüfer fest, ob der Risikomanagementrahmen und die Kontrollmaßnahmen den normativen Rahmen (Design) abdecken und zu einem bestimmten Zeitpunkt bestehen. Um dies festzustellen, geht der Prüfer durch die Prozesse, die so genannten Linienkontrollen. Bei einer Prüfung des Typs II bewertet der Prüfer, ob die Kontrollmaßnahmen über einen Zeitraum von mindestens sechs Monaten wirksam funktioniert haben.

Erhöhte Gewissheit

Mit einem Typ-II-Bericht erhält eine Nutzerorganisation eine größere Sicherheit, dass die Leistungserbringung wie vereinbart kontrolliert wird. Der Zeitraum, der von einer ISAE Typ II Prüfung abgedeckt wird, beträgt mindestens sechs Monate, es sei denn, es liegt eine besondere Situation vor, wie z.B. die Übernahme einer neuen Organisationseinheit oder die Einführung eines neuen IT-Systems.

Obligatorische Komponenten

Ein ISAE 3402-Bericht ist relativ ‚frei‘ formuliert. Der Standard verlangt unter anderem, dass das Risikomanagement implementiert ist, dass die IT-Infrastruktur kontrolliert wird und dass das Risikomanagementsystem effektiv überwacht wird. Ein ISAE 3402-Bericht muss jedoch die folgenden obligatorischen Bestandteile enthalten: (1) eine Beschreibung des internen Kontrollrahmens, (2) eine Bestätigung der Dienstleistungsorganisation und (3) einen Bestätigungsvermerk des Dienstleistungsprüfers. Obwohl diese Komponenten obligatorisch sind, schreibt der Standard nicht vor, wie sie im Bericht dargestellt werden sollten. Außerdem ist ISAE 3402 im Gegensatz zum SAS 70-Standard nicht in Abschnitte unterteilt (vgl. Standard 3402.9 sub j). Trotz des Mangels an vorgeschriebenen Komponenten hat sich in den Niederlanden eine bewährte Praxis herausgebildet.

Bewährte Praktiken

Die Best Practice umfasst mehrere Komponenten: eine allgemeine Beschreibung, eine Beschreibung des Kontrollrahmens und eine Kontrollmatrix. Der allgemeine Teil enthält eine Beschreibung der Organisation. Die Beschreibung des Kontrollrahmens umreißt in der Regel den gesamten Risikorahmen nach COSO. Das COSO-Rahmenwerk wurde 2013 zu COSO 2013 und 2017 zu COSO 2017 ERM aktualisiert. Ein wesentlicher Unterschied zum ursprünglichen COSO-Rahmenwerk ist, dass die neuesten Versionen Prinzipien enthalten.

Kontroll-Matrix

In der Kontrollmatrix sind die Ziele mit den Risiken verknüpft, und die Maßnahmen zur Minderung dieser Risiken (Kontrollen) sind enthalten. Alle für die Benutzerorganisation relevanten Kontrollen sind integriert.

Assurance Bericht

Ein Prüfer bewertet, ob alle erwarteten Kontrollen bei der Prüfung berücksichtigt wurden. Nach dieser Prüfung gibt der Prüfer in seinem Bericht eine Zuverlässigkeitserklärung gemäß dem Standard 3402* ab. Eine solche Bescheinigung wird manchmal als ISAE 3402-Zertifizierung bezeichnet, obwohl es sich nicht um ein Zertifikat, sondern um eine Bescheinigung gemäß dem Standard 3402 handelt.

* Der Standard 3402 ist die niederländische Übersetzung des internationalen Standards ISAE 3402.

Lesen Sie mehr über Securance und ISAE 3402.

Starten Sie mit ISAE 3402

ISAE 3402-Berichte werden nicht nur von Ihren Kunden gelesen, sondern auch von deren Wirtschaftsprüfern. Ein Bericht, der sich nicht an die Best Practices hält oder weniger professionell beschrieben ist, wird von Ihrem Kunden oder dessen Prüfer wahrscheinlich als weniger professionell wahrgenommen werden. Mit der Erfahrung von Securance in ISAE 3402 seit 2004 sind wir gut gerüstet, um professionelle Berichte zu erstellen. Wir können Sie auch beraten, wie Sie Ihre Maßnahmen verbessern können, um Risiken besser zu kontrollieren.