Kategorie: Beratung

Was ist GDPR/AVG?

Was ist GDPR/AVG?

EUROPÄISCHE DATENSCHUTZVERORDNUNG

Die Europäische Kommission hat beschlossen, dass die derzeitige Gesetzgebung nicht mehr mit den kontinuierlichen Veränderungen durch die Digitalisierung übereinstimmt. Diese neue Datenschutzregelung kommt in Form einer europäischen Verordnung, die für alle Organisationen in der Europäischen Union gilt: die Allgemeine Datenschutzverordnung (GDPR). Die Datenschutz-Grundverordnung gilt unmittelbar in allen EU-Mitgliedstaaten, ohne dass sie in nationales Recht umgesetzt werden muss.

NEUE DATENSCHUTZKONZEPTE GDPR (AVG)

führt neue Konzepte ein, wie das Recht auf Zugang und das Recht auf Vergessenwerden. Außerdem basiert die GDPR auf einer Reihe von Datenschutzgrundsätzen. Dies bringt verschiedene Verpflichtungen für Organisationen mit sich. Diese Verpflichtungen können von der Erstellung eines Registers für die Verarbeitung personenbezogener Daten bis hin zur Durchführung von Risikobewertungen (DPIA) und der Ernennung eines Datenschutzbeauftragten (DSB) reichen.

AUSWIRKUNGEN DER GDPR

Die Auswirkungen der Allgemeinen Datenschutzverordnung beschränken sich für die meisten Organisationen auf die Führung eines Registers der Verarbeitungstätigkeiten und die Umsetzung von Maßnahmen zur Informationssicherheit, die auf den Datenschutz ausgerichtet sind. Risklane bietet verschiedene Lösungen, um zu bestimmen, welche Maßnahmen in Ihrem Unternehmen obligatorisch sind. Zu den wichtigsten potenziellen Verpflichtungen gehören:

  • Sicherheitsmaßnahmen
  • Register der Verarbeitungstätigkeiten
  • Datenschutz-Folgenabschätzung (DPIA)
  • Datenschutzbeauftragter (DSB)

Wert von ISAE 3000 | SOC 2 Assurance

Wert von ISAE 3000 | SOC 2 Assurance

Wer kann einen Nutzen von ISAE 3000 | SOC 2 Assurance erwarten?

ISAE 3000 | SOC 2 wurde speziell für Dienstleistungsanbieter entwickelt, die Kundendaten in der Cloud speichern. Das bedeutet, dass die ISAE 3000 | SOC 2-Zertifizierung für fast jedes SaaS-Unternehmen sowie für jede Organisation, die Kundendaten in der Cloud speichert, einen Mehrwert darstellen kann.

ISAE 3000 | SOC 2 verlangt von Dienstleistern, dass sie strenge Richtlinien und Verfahren für die Informationssicherheit einführen und befolgen, einschließlich Sicherheit, Verfügbarkeit, Verarbeitung, Integrität und Vertraulichkeit von Kundendaten. ISAE 3000 | SOC 2 stellt sicher, dass die Maßnahmen eines Dienstleisters zur Informationssicherheit mit den aktuellen Cloud-Vorschriften übereinstimmen. Da Unternehmen zunehmend die Cloud nutzen, um Kundendaten zu speichern, wird die Einhaltung von ISAE 3000 | SOC 2 für eine Vielzahl von Organisationen, die Cloud-Dienste anbieten, zu einer Notwendigkeit. Der ISAE 3000 | SOC 2-Bericht kann für verschiedene Interessengruppen Transparenz und Sicherheit bieten.

Der ISAE 3000 | SOC 2 Bericht ist einzigartig

Die Anforderungen von ISAE 3000 | SOC 2 bieten einem Dienstleister einen gewissen Spielraum bei der Entscheidung, wie er die Kriterien für Trust Services erfüllt. Daher sind die ISAE 3000 | SOC 2 Berichte für jede einzelne Organisation einzigartig. Im Wesentlichen schaut sich der Dienstleister die Anforderungen von ISAE 3000 | SOC 2 an, entscheidet, welche für sein Unternehmen relevant sind, und definiert dann seine eigenen Kontrollen, um diese Anforderungen zu erfüllen. Der Dienstleister kann bei Bedarf zusätzliche Kontrollen definieren und andere ignorieren, wenn sie für seine Kernaktivitäten nicht relevant sind. Die Prüfung nach ISAE 3000 | SOC 2 ist das Urteil des Wirtschaftsprüfers darüber, wie die Kontrollmaßnahmen des Dienstleisters die Anforderungen erfüllen.

ISAE 3000 | SOC 2 und ISO 27001

ISAE 3000 | SOC 2 und ISO 27001

ISAE 3402 | SOC 2

ISAE 3000 | SOC 2 ist der internationale Standard für Sicherheit und andere nicht-finanzielle Informationen. ISAE 3402 wird angewandt, wenn es sich um ein Outsourcing handelt, bei dem Finanzinformationen von der Dienstleistungsorganisation verarbeitet werden. Wenn dies nicht der Fall ist, kann SOC 2 verwendet werden, zum Beispiel wenn nur die allgemeinen IT-Kontrollen (GITCs) in den Umfang des SOC-Berichts einbezogen werden. Der SOC 2-Standard enthält keine Bestimmungen für die interne Kontrolle, wie z.B. das COSO-Rahmenwerk. Diese Komponenten sind daher in einem SOC 2-Bericht nicht zwingend erforderlich. In den Vereinigten Staaten sind die Standards für SOC 2-Berichte die Trust Services Criteria und SSAE 18, die spezielle Anforderungen für GITCs bei Dienstleistungsunternehmen enthalten. Wenn ein SOC 2-Bericht gemäß den Trust Service Criteria erstellt wird, sind diese Komponenten obligatorisch.

ISO 27001

Informationssicherheit ist für jedes Unternehmen wichtig. Die Norm ISO 27001 ist ein internationales Rahmenwerk für Informationssicherheit. ISO 27001 kann zur Einrichtung der Informationssicherheit verwendet werden. Risklane verfügt über mehr als 10 Jahre Erfahrung im Aufbau von Risikomanagementstrukturen, Informationssicherheit und Prozessverbesserung. Informationssicherheit muss immer einen Mehrwert haben, der die Organisation handhabbarer macht, und ISO 27001 bietet Möglichkeiten für neue Kunden.

Welche ist für Sie besser geeignet?

Beide Standards dienen dazu, Ihren Kunden Sicherheit zu bieten. Es gibt drei wichtige Überlegungen, was für Ihre Kunden am besten geeignet ist:

  • Hat Ihr(e) Kunde(n) ausdrücklich einen der beiden Standards verlangt oder vorgeschrieben?
  • Wo befinden sich Ihre Kunden?
  • In welchen Bereichen sind Ihre Kunden tätig?

Die Kunden bevorzugen den Standard, mit dem sie besser vertraut sind. Europäische Kunden bevorzugen eher ISO 27001, während in den USA SOC 2 bevorzugt wird. Der Finanzdienstleistungssektor bevorzugt SOC 2, da er sich auf die betriebliche Effizienz konzentriert und sich aus der für sein Geschäft geltenden Rechnungslegungspraxis und den rechtlichen Anforderungen im Allgemeinen ergibt.

Am besten besprechen Sie die Vorgehensweise mit bestehenden Kunden und/oder potenziellen Kunden. Auf diese Weise werden Sie nicht unvorbereitet getroffen und können eine fundierte Entscheidung treffen.

COSO 2013 Rahmenwerk

COSO 2013 Rahmenwerk

Am 15. Dezember 2014 endete die Übergangsfrist für die Übernahme des COSO 2013 Rahmenwerks. Was sind die Chancen und Risiken, die sich aus diesem Übergang ergeben? Das COSO Internal Control Integrated Framework (ICIF) 2013 ist eine umfassende Aktualisierung des COSO ICIF-Modells von 1992.