Kategorie: Asssurance

Foto van onderen gemaakt van wolkenkrabbers

Cloud-Dienste und ISAE 3402 | SOC 1

Cloud-Dienste und ISAE 3402 | SOC 1

Die Nachfrage nach ISAE 3402 hat im Bereich IT-Outsourcing und Cloud Services deutlich zugenommen. Das ISAE 3402-Register enthält eine beeindruckende Liste von SaaS- und Hosting-Anbietern, die nach ISAE 3402 zertifiziert sind. Was ist der Grund für diese gestiegene Nachfrage im IT-Sektor und insbesondere in der Branche der Cloud-Services, einschließlich SaaS, IaaS, PaaS und Rechenzentrumsdienstleistungen? ISO 27001 ist ein wichtiger internationaler Zertifizierungsstandard für die Informationssicherheit. Warum also ist die Nachfrage nach der ISAE 3402-Zertifizierung im IT-Sektor gestiegen? Ein wichtiger Grund dafür ist, dass immer mehr kritische Systeme von Unternehmen in der Cloud angeboten werden. Aber warum ist ISAE 3402 so wichtig, und warum ist ISO 27001 nicht ausreichend? Die Antwort beginnt im Finanzsektor.

Finanzinstitute

Finanzinstitute sind aufgrund von Gesetzen und Vorschriften wie dem Rentengesetz oder dem Gesetz über die Finanzaufsicht (Wft) verpflichtet, die mit dem Outsourcing verbundenen Risiken nachweislich zu verwalten. Die niederländische Zentralbank und die niederländische Behörde für die Finanzmärkte (AFM) betrachten eine ISO 27001-Zertifizierung nicht als ausreichende Garantie. Die niederländische Zentralbank erkennt ISAE 3402 als ausreichende Garantie an und fordert einen solchen Bericht sogar in Gesetzen und Verordnungen.

Wirtschaftsprüfer und Unternehmen

Neben den Finanzinstituten spielen auch die Wirtschaftsprüfer eine entscheidende Rolle. Unternehmen, die gesetzlichen Prüfungen unterliegen, nutzen zunehmend Cloud-Dienste. Infolgedessen müssen Wirtschaftsprüfer Prozesse in Cloud-Systemen in ihre Prüfungen der Jahresabschlüsse einbeziehen. Für diese Prüfungen stützen sich die Prüfer häufig auf die ISAE 3402 Assurance-Berichte von spezialisierten Dienstleistungsprüfern. Außerdem ist der normative Rahmen von wesentlicher Bedeutung.

Normativer Rahmen von ISAE 3402 und ISO 27001

Im Gegensatz zu ISO 27001 hat ISAE 3402 einen normativen Rahmen: den Jahresabschluss oder, genauer gesagt, alle Prozesse, die für die interne Organisation der Nutzerorganisation relevant sind, mit besonderem Fokus auf den Jahresabschluss. Mit anderen Worten, alle Prozesse, die zu einer finanziellen Verarbeitung in den Jahresabschlüssen führen. In vielen Unternehmen werden Daten aus betrieblichen Prozessen in der Cloud gespeichert oder betriebliche Prozesse werden an einen SaaS-Anbieter ausgelagert oder von einem Hosting-Partner gehostet. Diese operativen Prozesse wirken sich fast immer direkt oder indirekt auf die Jahresabschlüsse aus. Wie bereits erwähnt, werden die Prüfer diese Prozesse bei der Prüfung der Jahresabschlüsse als wichtig erachten.

Ein Auditor kann aus einer ISO 27001-Zertifizierung keinen Wert ableiten. In einem solchen Fall ist eine ISAE 3402-Zertifizierung für einen externen Prüfer erkennbar und auch (technisch) für die Abschlussprüfung der Nutzerorganisation nützlich. Im Gegensatz zu ISO 27001 enthält ISAE 3402 keine detaillierten Standards für die Informationssicherheit. In der Praxis wird häufig das COBIT 5-Rahmenwerk verwendet, da dieses normative Rahmenwerk ausreicht, um die Informationssicherheit für die Finanzberichterstattung zu gewährleisten. Aus diesen Gründen bietet ein ISAE 3402-Bericht oft einen größeren Mehrwert sowohl für die Anwenderorganisationen als auch für ihre Prüfer, da er nicht nur die Sicherheitskomponenten von ISO 27001, sondern auch alle Prozesse umfasst, die sich auf die Finanzberichte auswirken.

Cloud-Sicherheit

Eine wichtige Frage für die Zukunft ist, wie die Sicherheit in der Cloud gewährleistet werden soll. In vielen Fällen ist unklar, wo die Informationen in der Cloud gespeichert werden und ob die Länder, in denen diese Daten gespeichert werden, auch Vorschriften wie die General Data Protection Regulation (GDPR) einhalten. Inwieweit verfügt ein Cloud-Service-Anbieter über geordnete Prozesse, welche Sicherheitsrichtlinien werden verwendet und wie werden die betrieblichen IT-Risiken verwaltet?

In den Vereinigten Staaten verlangt die Regierung von allen Anbietern von Cloud-Diensten für die Regierung die Einhaltung der FedRAMP-Richtlinien. Ähnliche Anforderungen sind für private Parteien noch nicht formuliert worden, auch nicht im Rahmen der amerikanischen Sarbanes-Oxley (SOx404) Anforderungen. Vor allem im Falle des Outsourcings durch börsennotierte Unternehmen müssen die SSAE 18-Anforderungen erfüllt werden. Diese stimmen weitgehend mit den Anforderungen von ISAE 3402 überein. Auch in diesem Fall bietet die ISAE 3402-Zertifizierung eine Lösung. Wenn SSAE 18 erfüllt ist, kann die SSAE 18-Zertifizierung mit relativ geringem Aufwand erreicht werden.

Auf der Grundlage der obigen Ausführungen kann man zu dem Schluss kommen, dass ISAE 3402 für mehrere Zwecke verwendet werden kann, sowohl um einem Kunden zu zeigen, dass ausgelagerte Prozesse gut kontrolliert werden, als auch um nützliche Informationen für den externen Prüfer zu liefern.

Lesen Sie mehr über Securance und ISAE 3402.

Wie wählt man die richtigen SOC 2-Prinzipien?

Wie wählt man die richtigen SOC 2-Prinzipien?

Eine häufig gestellte Frage ist, wer für die Festlegung und Auswahl der Grundsätze verantwortlich ist, die in eine SOC 2-Prüfung einbezogen werden sollen. Die Antwort auf diese Frage ist nicht immer das, was ein Dienstleistungsunternehmen hören möchte. Wie bei einem SOC 1 ist das Management immer mit der Auswahl der Trust Services Principles (TSPs) betraut. Oft kommt es darauf an, welche Prinzipien zu Ihrem Unternehmen, Ihren Dienstleistungen und Ihren Kunden passen. Leider gibt es keine endgültige Liste von Regeln, die bei der Auswahl dieser Grundsätze befolgt werden müssen. Im Folgenden finden Sie eine Beschreibung dieser TSPs:

  • Informationssicherheit: Das System ist vor unbefugtem Zugriff, unbefugter Nutzung oder unbefugter Änderung geschützt, um die Systemanforderungen des Unternehmens zu erfüllen.
  • Verfügbarkeit: Das System ist für den Betrieb und die Nutzung wie zugesagt oder vereinbart verfügbar.
  • Integrität der Verarbeitung: Die Systemverarbeitung ist vollständig, gültig, genau, pünktlich und autorisiert.
  • Vertraulichkeit: Informationen, die als vertraulich bezeichnet werden, werden wie zugesagt oder vereinbart geschützt.
  • Datenschutz: Persönliche Daten werden gesammelt, verwendet, aufbewahrt, weitergegeben und entsorgt, um die Ziele des Unternehmens zu erreichen.

Der Umfang

Bevor Sie sich für die Grundsätze entscheiden, müssen Sie zunächst den Umfang der Untersuchung festlegen. Dies geschieht durch die Identifizierung der verschiedenen Komponenten, die in den Geltungsbereich fallen, einschließlich Dritter, die dieselben Dienstleistungen anbieten. Dies ist ein wichtiger Schritt, denn Unternehmen haben oft eine engere Sicht auf ihre Dienstleistungen und darauf, was in ein SOC 2-System aufgenommen werden sollte. Darüber hinaus müssen Unternehmen bei der Festlegung des Rahmens für eine SOC 2-Prüfung ihre Infrastruktur, Software, Mitarbeiter, Verfahren und Daten sorgfältig berücksichtigen. Jede dieser einzelnen Komponenten wird in der SOC 2-Literatur näher beschrieben.

Informationssicherheit

Nach der Festlegung des Geltungsbereichs besteht der nächste Schritt darin, zu bestimmen, welche Prinzipien auf das System der Serviceorganisation zutreffen. Nehmen wir zum Beispiel den Grundsatz der Sicherheit. Dieser muss in allen SOC 2-Prüfungen enthalten sein, da er Kriterien enthält, die mit allen anderen Prinzipien zusammenhängen. Zu diesen gemeinsamen Kriterien gehört die Gewährleistung der Sicherheit eines Systems, wie z.B. das Aufspüren und Verhindern von unbefugter Änderung, Zerstörung oder Offenlegung von Informationen.

Wenn ein Kunde eine hinreichende Garantie für die Sicherheit seiner Daten wünscht, ist er wahrscheinlich am meisten an dem Prinzip der Sicherheit interessiert. Dieser Grundsatz ist so weit gefasst, dass es für den Kunden ausreichen kann, nur diesen Grundsatz zu prüfen, um ein Gefühl der Sicherheit über seine Daten zu erhalten.

Verfügbarkeit

Das am zweithäufigsten gewählte Prinzip für eine SOC 2-Prüfung ist die Verfügbarkeit. Da die meisten Dienstleistungsunternehmen ihren Kunden einen ausgelagerten Dienst anbieten, wird die Verfügbarkeit dieses Dienstes oft vertraglich durch Service Level Agreements (SLAs) festgelegt. Daher ist das Prinzip der Verfügbarkeit ein zwingendes Kriterium für eine SOC 2-Prüfung.

Integrität der Verarbeitung

Wenn das Dienstleistungsunternehmen Transaktionen für seine Kunden verarbeitet, ist ein drittes interessantes Prinzip die Verarbeitungsintegrität. Dieser Grundsatz trägt dazu bei, dass die Daten vollständig, gültig, genau und in einer autorisierten Weise verarbeitet werden. Neben dem Sicherheitsprinzip, dem Verfügbarkeitsprinzip und der Verarbeitungsintegrität können zwei weitere Prinzipien in eine SOC 2-Prüfung einbezogen werden.

Vertraulichkeit und Datenschutz

Die beiden letzten Grundsätze sind Vertraulichkeit und Datenschutz. Sie werden oft in demselben Zusammenhang diskutiert, obwohl es sich um unterschiedliche Prinzipien handelt. Darüber hinaus halten viele Organisationen diese beiden Prinzipien für die SOC 2-Prüfung für sehr wichtig. Die Prinzipien sind insofern ähnlich, als sie sich beide auf die Informationen ‚im‘ System beziehen. Der Unterschied besteht darin, dass der Grundsatz des Datenschutzes nur für persönliche Informationen gilt. Der Begriff „vertrauliche Informationen“ kann jedoch für verschiedene Unternehmen unterschiedliche Bedeutungen haben. Wenn die Serviceorganisation mit vertraulichen Informationen umgeht und besondere Vereinbarungen über den Schutz dieser Daten getroffen wurden, ist der Grundsatz der Vertraulichkeit relevant.

Im Rahmen einer SOC 2-Prüfung bezieht sich der Datenschutz auf den Schutz persönlicher Daten. Wenn eine Serviceorganisation für die Verwaltung des Lebenszyklus‘ personenbezogener Daten (auch bekannt als PII, Personally Identifiable Information) verantwortlich ist, dann ist es interessant, dieses Prinzip in die Untersuchung einzubeziehen. Der Lebenszyklus bezieht sich auf die Erfassung, Verwendung, Weitergabe, Speicherung und Vernichtung von personenbezogenen Daten.

Insgesamt ist die Wahl der richtigen Prinzipien ein wichtiger Prozess. Es beginnt damit, dass Sie gut darüber informiert sind, welche Prinzipien in einer bestimmten Situation am besten angewendet werden. Dies erfordert ein gutes Verständnis der Organisation. Daher sind das Wissen und die Erfahrung eines erfahrenen SOC 2-Unternehmens von unschätzbarem Wert. Ein seriöses Unternehmen wird eine Organisation bei der Auswahl der geeigneten Prinzipien für die SOC 2-Prüfung unterstützen.

ISAE 3402 vs. ISAE 3000 vs. ISO 27001

ISAE 3402 vs. ISAE 3000 vs. ISO 27001

Es gibt oft Verwirrung um ISAE 3402, ISAE 3000 und ISO 27001. Viele Kunden fragen, welcher Standard der beste ist und welche Vorteile er bietet. Dies ist von Organisation zu Organisation unterschiedlich. Dieser Artikel erläutert die Standards und beschreibt ihre Vorteile.

ISAE 3402

Der Standard ISAE 3402 bezieht sich auf die Berichtsstandards für erste Kontrollen für die Finanzberichterstattung. Das bedeutet, dass dieser Standard die Wirksamkeit der Systeme zur Unterstützung der Sicherheit und Integrität der zugrundeliegenden Daten bewertet. ISAE 3402 eignet sich für Dienstleistungen mit Geschäftsprozesszielen, die über den Kernfokus auf Technologie und Sicherheit hinausgehen.

Vorteile:

  • International anerkannt
  • Verbessertes Risikomanagement
  • Weniger Audits durch Buchhalter
  • Vermittelt den Kunden ein Bild der ‚Kontrolle‘.
  • Unterstützt die Professionalisierung

ISAE 3000

Der Standard ISAE 3000 ist der Rahmen für die Verwaltung und Berichterstattung über neue technologische Risiken und die damit verbundenen Kontrollpraktiken. Dies betrifft die Sicherheit einer Organisation, die Vertraulichkeit der Organisation, die Integrität der Verarbeitung und die Privatsphäre der Kunden. Der Standard ISAE 3000 versucht, das Beste aus beiden Welten zu kombinieren. Es handelt sich um eine Kombination aus der erhöhten Sicherheit der operativen Effektivität durch die ISAE-Standards und dem verfeinerten Fokus auf Cybersicherheit, wie er durch den ISO 27001-Standard veranschaulicht wird.

Vorteile:

  • International anerkannt
  • Robuster Standard für Informationssicherheit
  • Anerkannt von Buchhaltern
  • Unterstützt die organisatorische Professionalisierung

ISO 27001

Das Design und die Implementierung eines Informationssicherheits-Managementsystems (ISMS) sind in der Norm ISO 27001 festgelegt. ISO 27001 kann zur Umsetzung der Informationssicherheit verwendet werden. Der neueste ISO 27001-Standard wurde 2017 veröffentlicht. Dieser Standard basiert auf der HLS-Struktur. (Siehe den Artikel über die HLS-Struktur hier)

ISO 27001 ist weltweit anerkannt und wird als einer der besten Standards für Informationssicherheit unterstützt. Es ist der eigentliche „Best Practice“-Ansatz für die Verwaltung der Informationssicherheit in einem Unternehmen.

Einführung von ISO 9001

Einführung von ISO 9001

Die Norm ISO/IEC 9001 ist der internationale Standard für Qualitätsmanagement. Die Norm ISO 9001 konzentriert sich auf zwei wichtige Aspekte: die Erfüllung der Kundenanforderungen und die Steigerung der Kundenzufriedenheit. Um dies zu erreichen, umreißt die ISO 9001-Norm bestimmte Aspekte, die zu Anforderungen ausgearbeitet werden.

Phase 1

Eine ISO 9001-Implementierung beginnt in der ersten Phase mit der Festlegung des Geltungsbereichs. Dieser Bereich umfasst das Qualitätsmanagementsystem, das auf die Erfüllung der Kundenanforderungen und die Verbesserung der Kundenzufriedenheit ausgerichtet ist.

Lieferbar: ISO 9001 Geltungsbereich

Phase 2

In der zweiten Phase muss die Organisation eine allgemeine Qualitätsmanagementpolitik festlegen. Der allgemeine Teil beschreibt mindestens die Merkmale der Organisation, die Merkmale der Dienstleistungen und/oder Produkte der Organisation, die Inputs und erwarteten Outputs sowie die für die Prozesse erforderlichen Ressourcen – Verantwortlichkeiten und Befugnisse.

In Bezug auf die Politik ist das Folgende enthalten:

  1. Eine Beschreibung des Risikorahmens. Es können verschiedene Risikorahmenwerke gewählt werden, wie z.B. COSO 2013 oder ISO 31000. Der Risikorahmen sollte aus der Perspektive der Qualitätskontrolle beschrieben werden.
  2. Wie die Organisation mit Gesetzen, Vorschriften, Anforderungen und Richtlinien umgeht, die sie selbst an die Qualität stellt.
  3. Die Richtlinie muss nachweislich mit dem aktuellen Rahmenwerk für das Risikomanagement übereinstimmen, das implementiert wurde (Anpassung an COSO 2013). Es sollte auch beinhalten, wie die Organisation an die Umsetzung und Kontrolle des Qualitätsmanagementsystems herangeht und welche Methoden und Kontrollen erforderlich sind, um sicherzustellen, dass die Verfahren effektiv durchgeführt werden.
  4. Welche Prozesse zur Bewertung und Verbesserung des Qualitätsmanagementsystems festgelegt wurden.
  5. Die Geschäftsführung oder der Vorstand der Organisation muss die Richtlinie genehmigen.

Ergebnis: Politisches Dokument

Phase 3

In Phase drei wird eine Risikoanalyse im Bereich des Qualitätsmanagements durchgeführt. Auf der Grundlage der in Phase drei identifizierten Risiken werden Prozesse und Verfahren beschrieben. Anschließend werden die Verfahren und Prozesse innerhalb der Organisation implementiert und schließlich wird das Qualitätsmanagement-Handbuch erstellt und allen Mitarbeitern der Organisation zur Verfügung gestellt.

Lieferbar: Risikoanalyse & Qualitätsmanagement-Handbuch

Phase 4

Nach der Beschreibung des Handbuchs wird in der vierten Phase ein Voraudit oder ein Walkthrough durchgeführt, bei dem alle Kontrollmaßnahmen und ISO 9001-Verfahren getestet und mögliche Problembereiche für das abschließende Audit identifiziert werden.

Phase 5

In der fünften Phase werden auf der Grundlage der Ergebnisse des Voraudits Verbesserungen an den Kontrollmaßnahmen und dem Qualitätsmanagementsystem vorgenommen und Lösungen für die identifizierten Problembereiche realisiert.

Phase 6

In der sechsten und letzten Phase wird das ISO 9001-Audit von einer Zertifizierungsstelle durchgeführt, und das ISO 9001-Zertifikat wird erteilt.