Kategorie: Beratung

SOC 2 oder ISO 27001: Was ist besser für mein Unternehmen geeignet?

SOC 2 oder ISO 27001: Was ist besser für mein Unternehmen geeignet?

Wenn Ihr Unternehmen IT- oder Finanzdienstleistungen im Business-to-Business-Bereich anbietet, ist es wahrscheinlich, dass Ihre Kunden eine SOC 2- oder ISO 27001-Zertifizierung oder -Bescheinigung verlangen. Dieser Prozess kann Ihrem Unternehmen erhebliche Ressourcen und Zeit abverlangen. Dieser Artikel erklärt die Gemeinsamkeiten und Unterschiede zwischen diesen beiden Zertifizierungen. Ein SOC 2-Bericht und ein ISO 27001-Zertifikat können mit nahen Verwandten verglichen werden, und es gibt Möglichkeiten zur Effizienzsteigerung, da die Erlangung der einen Zertifizierung den Zeitaufwand für die Erlangung der anderen erheblich reduzieren kann.

1. Umfang

Sowohl SOC 2 als auch ISO 27001 sind in ähnlicher Weise darauf ausgerichtet, den Kunden das Vertrauen zu geben, dass ihre Daten geschützt sind. Die Kunden haben Gemeinsamkeiten, da beide Rahmenwerke kritische Aspekte der Informationssicherheit, wie Vertraulichkeit, Integrität und Verfügbarkeit, behandeln. Beides sind weithin anerkannte Zertifizierungen, die den Kunden zeigen, wie sehr sich Ihr Unternehmen der Sicherheit verpflichtet fühlt.

Ein wesentlicher Unterschied besteht darin, dass sich die SOC 2-Zertifizierung in erster Linie auf den Nachweis der effektiven Umsetzung von Sicherheitsmaßnahmen zum Schutz von Kundendaten konzentriert. ISO 27001 hingegen verlangt lediglich, dass eine Organisation über ein Informationssicherheits-Managementsystem (ISMS) verfügt, eine vorgeschriebene Reihe von Sicherheitsmaßnahmen.

2. Markttauglichkeit

Eine wichtige Gemeinsamkeit ist, dass es sich bei beiden Zertifizierungen um bekannte Informationssicherheitsstandards handelt, die weithin als Beweis dafür akzeptiert werden, dass eine Organisation über angemessene Sicherheitsmaßnahmen verfügt. Vor allem in den Vereinigten Staaten werden diese Zertifizierungen von Organisationen aller Größenordnungen akzeptiert, von kleinen Unternehmen bis hin zu Großkonzernen. Beide sind in den meisten Branchen voll akzeptiert und positionieren ein Unternehmen als zuverlässigen Anbieter mit soliden Verfahren zur Informationssicherheit.

3. Externe Partei

Beide Zertifizierungen werden von Dritten bewertet, entweder von ISO 27001-Auditoren oder (registrierten) Wirtschaftsprüfern. Der Hauptunterschied besteht darin, dass ein vom Niederländischen Institut der Wirtschaftsprüfer (NBA) anerkanntes Unternehmen einen SOC 2-Bericht ausstellt, während ein akkreditierter ISO 27001-Auditor die Einhaltung der ISO 27001 zertifiziert. Risklane beschäftigt sowohl anerkannte Wirtschaftsprüfer als auch akkreditierte ISO 27001-Auditoren, die Sie bei der Durchführung des Audits beraten können.

4. Kosten

Beide Zertifizierungen haben vergleichbare Betriebskosten, zu denen auch die internen Kosten für das Team gehören, das die Kontrollmaßnahmen umsetzt und die Nachweise sammelt, die für den Nachweis der Einhaltung von SOC 2 oder ISO 27001 erforderlich sind.

Die Preise für die beiden Arten von Zertifizierungen können erheblich variieren. Im Allgemeinen sind die Kosten für eine SOC 2-Zertifizierung höher als für eine ISO 27001-Zertifizierung. Dies ist in erster Linie auf die umfangreichen Dokumentationsanforderungen für Prüfer zurückzuführen, die ein SOC 2-Audit durchführen.

5. Zeitrahmen

Der Projektansatz für beide Zertifizierungen ist ähnlich und besteht aus ungefähr gleichen Phasen. Da SOC 2 und ISO 27001 viele der Kontrollmaßnahmen gemeinsam haben, haben auch die Implementierungsphasen einen vergleichbaren Zeitrahmen. Ein SOC 2-Audit kann jedoch aufgrund der oben erwähnten Dokumentationsanforderungen mehr interne und externe (Auditoren) Zeit erfordern.

Nach dem Audit-Zeitraum müssen sowohl die SOC 2- als auch die ISO 27001-Zertifizierung regelmäßig erneuert werden, um für die Benutzerorganisationen gültig zu bleiben. ISO 27001 umfasst in der Regel einen dreijährigen Zyklus, mit einem Audit im ersten Jahr und jährlichen Erneuerungen danach.

Über Securance

Unser Ziel ist, das Wachstum und den Erfolg unserer Kunden zu fördern und darüber hinauszugehen. Wir sind bestrebt, die Möglichkeiten zu erweitern, Spitzenleistungen zu ermöglichen, das Wachstum zu fördern, neue Kunden zu gewinnen und die internen Prozesse zu verbessern. Um diesen Auftrag zu erfüllen, müssen wir Pionierarbeit beim Risikomanagement leisten, die Effizienz durch Automatisierung optimieren, ein vielfältiges globales Team aufbauen und einen positiven Beitrag zu den Gemeinden leisten, in denen wir tätig sind. Darüber hinaus sind wir fest entschlossen, Unternehmen dabei zu helfen, nachhaltiger und transparenter zu werden, um somit einen eindeutigen und wertvollen Beitrag für die Gesellschaft zu leisten. Unser unermüdliches Streben nach höchster Qualität gewährleistet, dass wir erfolgreich sind, wenn alle Kundenziele erreicht und unsere Kunden zu 100 % zufrieden sind.

Was ist ISAE 3402 | SOC 1?

Was ist ISAE 3402 | SOC 1?

ISAE 3402 ist der Standard für Outsourcing. Um sich zertifizieren zu lassen, muss eine Organisation über einen SOC-Bericht (Service Organization Control) verfügen. Ein SOC-Bericht ist ein Bericht, der eine Beschreibung des Risikomanagementsystems enthält. Dieser Bericht wird dann jährlich von einem Service-Auditor überprüft. Eine Organisation, die Dienstleistungen anbietet, wird als Dienstleistungsorganisation bezeichnet. Durch einen ISAE 3402-Bericht legt eine Dienstleistungsorganisation gegenüber einer anderen Organisation (einer Nutzerorganisation) Rechenschaft über die im Rahmen des Service Level Agreement (SLA) durchgeführten Prozesse und die Kontrolle über diese Prozesse ab. Der Standard ist der Nachfolger des SAS 70-Standards und wurde 2011 eingeführt.

ISAE 3402 und Outsourcing

Unternehmen lagern zunehmend aus, insbesondere im IT-Bereich. Unternehmen, die auslagern, wollen Einblick in die Informationssicherheit, die Betrugsprävention und das Risikomanagement im Allgemeinen. Dies ist besonders wichtig, da immer mehr wichtige Geschäftsprozesse ausgelagert werden. Daher ist es von entscheidender Bedeutung zu wissen, wer Zugang zu den Informationen hat und ob es eine ausreichende Aufgabentrennung gibt, um Betrug zu verhindern. Ein ISAE 3402-Bericht liefert diesen Einblick.

Inhalt des Berichts

Neben der allgemeinen Übersicht muss der Bericht auch Prozesse enthalten, die sich potenziell auf den Jahresabschluss auswirken können (Finanzprozesse). Dazu gehören auch IT-Prozesse, die als allgemeine IT-Kontrollen bekannt sind. Darüber hinaus kann ein ISAE 3402-Bericht sicherstellen, dass die ausgelagerten Prozesse gemäß den vereinbarten SLAs durchgeführt werden. Der SOC-Bericht besteht aus einem allgemeinen Teil, der auf dem Standard COSO 2013 basiert, und einer Kontrollmatrix. Lesen Sie mehr über den Inhalt des Berichts und die beiden Arten von Berichten: ISAE 3402 Typ I und Typ II.

Beispiel für Outsourcing

Ein Pensionsfonds lagert die Vermögensverwaltung an einen Vermögensverwalter aus. Pensionsfonds müssen das Pensionsgesetz (PW) einhalten. Das Rentengesetz verlangt, dass die Pensionskasse nachweist, dass die ausgelagerten Prozesse kontrolliert werden – in diesem Fall ist die Pensionskasse die Nutzerorganisation und der Vermögensverwalter die Serviceorganisation. Die Vereinbarungen zwischen dem Pensionsfonds und dem Vermögensverwalter werden im Vermögensverwaltungsvertrag und möglicherweise in einem SLA dokumentiert. Daher fordert die Pensionskasse einen ISAE 3402-Bericht von der Serviceorganisation an. Mit diesem Bericht weist die Pensionskasse nach, dass sie die ausgelagerten Prozesse „unter Kontrolle“ hat und dass sie das Rentengesetz für diese Auslagerung einhält. In einer solchen Situation möchte die Pensionskasse (die „Nutzerorganisation“) Einblick in:

  • ob Investitionen für den Jahresabschluss korrekt und vollständig verarbeitet werden
  • ob die Vermögensverwaltung in Übereinstimmung mit Gesetzen und Vorschriften erfolgt
  • Ob es ausreichende Sicherheitsvorkehrungen gegen Betrug gibt
  • Ob die Sicherheit beim Vermögensverwalter angemessen umgesetzt wird
  • ob die spezifischen Anforderungen des Rentengesetzes erfüllt sind

Der Pensionsfonds wird vom Vermögensverwalter verlangen, dass er die oben genannten Themen in den Umfang des ISAE 3402 Berichts aufnimmt. Der Wirtschaftsprüfer des Pensionsfonds wird den ISAE 3402-Bericht des Vermögensverwalters im Rahmen der Prüfung des Jahresabschlusses des Pensionsfonds einsehen. Der Prüfer braucht die Verfahren beim Vermögensverwalter nicht gesondert zu prüfen, da der Prüfer für die Dienstleistungen bereits darüber berichtet hat.

Zusätzlicher Wert

Der primäre Mehrwert für eine Nutzerorganisation besteht darin, dass sie auf der Grundlage des Berichts zur Kontrolle der Serviceorganisation feststellen kann, ob die Maßnahmen zur Informationssicherheit oder zur Betrugsbekämpfung angemessen sind. Dies ist auch eine wichtige Information für den Prüfer der Benutzerorganisation. Der Prüfer der Nutzerorganisation kann im Rahmen der Prüfung des Jahresabschlusses der Nutzerorganisation beurteilen, ob die Maßnahmen bei der Serviceorganisation ausreichend gestaltet sind. Zusätzlich hat ein (anerkannter) anderer Prüfer festgestellt, ob diese Maßnahmen existieren (Typ I) und haben effektiv gearbeitet (Typ II). Der Prüfer muss dann keine separaten Kontrollen bei der Dienstleistungsorganisation durchführen.

ISAE 3402: Typ I oder Typ II?

ISAE 3402: Typ I oder Typ II?

Es gibt zwei Arten von ISAE 3402-Berichten: Typ I und Typ II. Beide Berichtsarten sind inhaltlich ähnlich. Der Unterschied liegt in der Art der durchgeführten Prüfung. Bei einer Prüfung des Typs I stellt der Prüfer fest, ob der Risikomanagementrahmen und die Kontrollmaßnahmen den normativen Rahmen (Design) abdecken und zu einem bestimmten Zeitpunkt bestehen. Um dies festzustellen, geht der Prüfer durch die Prozesse, die so genannten Linienkontrollen. Bei einer Prüfung des Typs II bewertet der Prüfer, ob die Kontrollmaßnahmen über einen Zeitraum von mindestens sechs Monaten wirksam funktioniert haben.

Erhöhte Gewissheit

Mit einem Typ-II-Bericht erhält eine Nutzerorganisation eine größere Sicherheit, dass die Leistungserbringung wie vereinbart kontrolliert wird. Der Zeitraum, der von einer ISAE Typ II Prüfung abgedeckt wird, beträgt mindestens sechs Monate, es sei denn, es liegt eine besondere Situation vor, wie z.B. die Übernahme einer neuen Organisationseinheit oder die Einführung eines neuen IT-Systems.

Obligatorische Komponenten

Ein ISAE 3402-Bericht ist relativ ‚frei‘ formuliert. Der Standard verlangt unter anderem, dass das Risikomanagement implementiert ist, dass die IT-Infrastruktur kontrolliert wird und dass das Risikomanagementsystem effektiv überwacht wird. Ein ISAE 3402-Bericht muss jedoch die folgenden obligatorischen Bestandteile enthalten: (1) eine Beschreibung des internen Kontrollrahmens, (2) eine Bestätigung der Dienstleistungsorganisation und (3) einen Bestätigungsvermerk des Dienstleistungsprüfers. Obwohl diese Komponenten obligatorisch sind, schreibt der Standard nicht vor, wie sie im Bericht dargestellt werden sollten. Außerdem ist ISAE 3402 im Gegensatz zum SAS 70-Standard nicht in Abschnitte unterteilt (vgl. Standard 3402.9 sub j). Trotz des Mangels an vorgeschriebenen Komponenten hat sich in den Niederlanden eine bewährte Praxis herausgebildet.

Bewährte Praktiken

Die Best Practice umfasst mehrere Komponenten: eine allgemeine Beschreibung, eine Beschreibung des Kontrollrahmens und eine Kontrollmatrix. Der allgemeine Teil enthält eine Beschreibung der Organisation. Die Beschreibung des Kontrollrahmens umreißt in der Regel den gesamten Risikorahmen nach COSO. Das COSO-Rahmenwerk wurde 2013 zu COSO 2013 und 2017 zu COSO 2017 ERM aktualisiert. Ein wesentlicher Unterschied zum ursprünglichen COSO-Rahmenwerk ist, dass die neuesten Versionen Prinzipien enthalten.

Kontroll-Matrix

In der Kontrollmatrix sind die Ziele mit den Risiken verknüpft, und die Maßnahmen zur Minderung dieser Risiken (Kontrollen) sind enthalten. Alle für die Benutzerorganisation relevanten Kontrollen sind integriert.

Assurance Bericht

Ein Prüfer bewertet, ob alle erwarteten Kontrollen bei der Prüfung berücksichtigt wurden. Nach dieser Prüfung gibt der Prüfer in seinem Bericht eine Zuverlässigkeitserklärung gemäß dem Standard 3402* ab. Eine solche Bescheinigung wird manchmal als ISAE 3402-Zertifizierung bezeichnet, obwohl es sich nicht um ein Zertifikat, sondern um eine Bescheinigung gemäß dem Standard 3402 handelt.

* Der Standard 3402 ist die niederländische Übersetzung des internationalen Standards ISAE 3402.

Lesen Sie mehr über Securance und ISAE 3402.

Starten Sie mit ISAE 3402

ISAE 3402-Berichte werden nicht nur von Ihren Kunden gelesen, sondern auch von deren Wirtschaftsprüfern. Ein Bericht, der sich nicht an die Best Practices hält oder weniger professionell beschrieben ist, wird von Ihrem Kunden oder dessen Prüfer wahrscheinlich als weniger professionell wahrgenommen werden. Mit der Erfahrung von Securance in ISAE 3402 seit 2004 sind wir gut gerüstet, um professionelle Berichte zu erstellen. Wir können Sie auch beraten, wie Sie Ihre Maßnahmen verbessern können, um Risiken besser zu kontrollieren.

Foto van onderen gemaakt van wolkenkrabbers

Cloud-Dienste und ISAE 3402 | SOC 1

Cloud-Dienste und ISAE 3402 | SOC 1

Die Nachfrage nach ISAE 3402 hat im Bereich IT-Outsourcing und Cloud Services deutlich zugenommen. Das ISAE 3402-Register enthält eine beeindruckende Liste von SaaS- und Hosting-Anbietern, die nach ISAE 3402 zertifiziert sind. Was ist der Grund für diese gestiegene Nachfrage im IT-Sektor und insbesondere in der Branche der Cloud-Services, einschließlich SaaS, IaaS, PaaS und Rechenzentrumsdienstleistungen? ISO 27001 ist ein wichtiger internationaler Zertifizierungsstandard für die Informationssicherheit. Warum also ist die Nachfrage nach der ISAE 3402-Zertifizierung im IT-Sektor gestiegen? Ein wichtiger Grund dafür ist, dass immer mehr kritische Systeme von Unternehmen in der Cloud angeboten werden. Aber warum ist ISAE 3402 so wichtig, und warum ist ISO 27001 nicht ausreichend? Die Antwort beginnt im Finanzsektor.

Finanzinstitute

Finanzinstitute sind aufgrund von Gesetzen und Vorschriften wie dem Rentengesetz oder dem Gesetz über die Finanzaufsicht (Wft) verpflichtet, die mit dem Outsourcing verbundenen Risiken nachweislich zu verwalten. Die niederländische Zentralbank und die niederländische Behörde für die Finanzmärkte (AFM) betrachten eine ISO 27001-Zertifizierung nicht als ausreichende Garantie. Die niederländische Zentralbank erkennt ISAE 3402 als ausreichende Garantie an und fordert einen solchen Bericht sogar in Gesetzen und Verordnungen.

Wirtschaftsprüfer und Unternehmen

Neben den Finanzinstituten spielen auch die Wirtschaftsprüfer eine entscheidende Rolle. Unternehmen, die gesetzlichen Prüfungen unterliegen, nutzen zunehmend Cloud-Dienste. Infolgedessen müssen Wirtschaftsprüfer Prozesse in Cloud-Systemen in ihre Prüfungen der Jahresabschlüsse einbeziehen. Für diese Prüfungen stützen sich die Prüfer häufig auf die ISAE 3402 Assurance-Berichte von spezialisierten Dienstleistungsprüfern. Außerdem ist der normative Rahmen von wesentlicher Bedeutung.

Normativer Rahmen von ISAE 3402 und ISO 27001

Im Gegensatz zu ISO 27001 hat ISAE 3402 einen normativen Rahmen: den Jahresabschluss oder, genauer gesagt, alle Prozesse, die für die interne Organisation der Nutzerorganisation relevant sind, mit besonderem Fokus auf den Jahresabschluss. Mit anderen Worten, alle Prozesse, die zu einer finanziellen Verarbeitung in den Jahresabschlüssen führen. In vielen Unternehmen werden Daten aus betrieblichen Prozessen in der Cloud gespeichert oder betriebliche Prozesse werden an einen SaaS-Anbieter ausgelagert oder von einem Hosting-Partner gehostet. Diese operativen Prozesse wirken sich fast immer direkt oder indirekt auf die Jahresabschlüsse aus. Wie bereits erwähnt, werden die Prüfer diese Prozesse bei der Prüfung der Jahresabschlüsse als wichtig erachten.

Ein Auditor kann aus einer ISO 27001-Zertifizierung keinen Wert ableiten. In einem solchen Fall ist eine ISAE 3402-Zertifizierung für einen externen Prüfer erkennbar und auch (technisch) für die Abschlussprüfung der Nutzerorganisation nützlich. Im Gegensatz zu ISO 27001 enthält ISAE 3402 keine detaillierten Standards für die Informationssicherheit. In der Praxis wird häufig das COBIT 5-Rahmenwerk verwendet, da dieses normative Rahmenwerk ausreicht, um die Informationssicherheit für die Finanzberichterstattung zu gewährleisten. Aus diesen Gründen bietet ein ISAE 3402-Bericht oft einen größeren Mehrwert sowohl für die Anwenderorganisationen als auch für ihre Prüfer, da er nicht nur die Sicherheitskomponenten von ISO 27001, sondern auch alle Prozesse umfasst, die sich auf die Finanzberichte auswirken.

Cloud-Sicherheit

Eine wichtige Frage für die Zukunft ist, wie die Sicherheit in der Cloud gewährleistet werden soll. In vielen Fällen ist unklar, wo die Informationen in der Cloud gespeichert werden und ob die Länder, in denen diese Daten gespeichert werden, auch Vorschriften wie die General Data Protection Regulation (GDPR) einhalten. Inwieweit verfügt ein Cloud-Service-Anbieter über geordnete Prozesse, welche Sicherheitsrichtlinien werden verwendet und wie werden die betrieblichen IT-Risiken verwaltet?

In den Vereinigten Staaten verlangt die Regierung von allen Anbietern von Cloud-Diensten für die Regierung die Einhaltung der FedRAMP-Richtlinien. Ähnliche Anforderungen sind für private Parteien noch nicht formuliert worden, auch nicht im Rahmen der amerikanischen Sarbanes-Oxley (SOx404) Anforderungen. Vor allem im Falle des Outsourcings durch börsennotierte Unternehmen müssen die SSAE 18-Anforderungen erfüllt werden. Diese stimmen weitgehend mit den Anforderungen von ISAE 3402 überein. Auch in diesem Fall bietet die ISAE 3402-Zertifizierung eine Lösung. Wenn SSAE 18 erfüllt ist, kann die SSAE 18-Zertifizierung mit relativ geringem Aufwand erreicht werden.

Auf der Grundlage der obigen Ausführungen kann man zu dem Schluss kommen, dass ISAE 3402 für mehrere Zwecke verwendet werden kann, sowohl um einem Kunden zu zeigen, dass ausgelagerte Prozesse gut kontrolliert werden, als auch um nützliche Informationen für den externen Prüfer zu liefern.

Lesen Sie mehr über Securance und ISAE 3402.