Kategorie: Beratung

Wie wählt man die richtigen SOC 2-Prinzipien?

Wie wählt man die richtigen SOC 2-Prinzipien?

Eine häufig gestellte Frage ist, wer für die Festlegung und Auswahl der Grundsätze verantwortlich ist, die in eine SOC 2-Prüfung einbezogen werden sollen. Die Antwort auf diese Frage ist nicht immer das, was ein Dienstleistungsunternehmen hören möchte. Wie bei einem SOC 1 ist das Management immer mit der Auswahl der Trust Services Principles (TSPs) betraut. Oft kommt es darauf an, welche Prinzipien zu Ihrem Unternehmen, Ihren Dienstleistungen und Ihren Kunden passen. Leider gibt es keine endgültige Liste von Regeln, die bei der Auswahl dieser Grundsätze befolgt werden müssen. Im Folgenden finden Sie eine Beschreibung dieser TSPs:

  • Informationssicherheit: Das System ist vor unbefugtem Zugriff, unbefugter Nutzung oder unbefugter Änderung geschützt, um die Systemanforderungen des Unternehmens zu erfüllen.
  • Verfügbarkeit: Das System ist für den Betrieb und die Nutzung wie zugesagt oder vereinbart verfügbar.
  • Integrität der Verarbeitung: Die Systemverarbeitung ist vollständig, gültig, genau, pünktlich und autorisiert.
  • Vertraulichkeit: Informationen, die als vertraulich bezeichnet werden, werden wie zugesagt oder vereinbart geschützt.
  • Datenschutz: Persönliche Daten werden gesammelt, verwendet, aufbewahrt, weitergegeben und entsorgt, um die Ziele des Unternehmens zu erreichen.

Der Umfang

Bevor Sie sich für die Grundsätze entscheiden, müssen Sie zunächst den Umfang der Untersuchung festlegen. Dies geschieht durch die Identifizierung der verschiedenen Komponenten, die in den Geltungsbereich fallen, einschließlich Dritter, die dieselben Dienstleistungen anbieten. Dies ist ein wichtiger Schritt, denn Unternehmen haben oft eine engere Sicht auf ihre Dienstleistungen und darauf, was in ein SOC 2-System aufgenommen werden sollte. Darüber hinaus müssen Unternehmen bei der Festlegung des Rahmens für eine SOC 2-Prüfung ihre Infrastruktur, Software, Mitarbeiter, Verfahren und Daten sorgfältig berücksichtigen. Jede dieser einzelnen Komponenten wird in der SOC 2-Literatur näher beschrieben.

Informationssicherheit

Nach der Festlegung des Geltungsbereichs besteht der nächste Schritt darin, zu bestimmen, welche Prinzipien auf das System der Serviceorganisation zutreffen. Nehmen wir zum Beispiel den Grundsatz der Sicherheit. Dieser muss in allen SOC 2-Prüfungen enthalten sein, da er Kriterien enthält, die mit allen anderen Prinzipien zusammenhängen. Zu diesen gemeinsamen Kriterien gehört die Gewährleistung der Sicherheit eines Systems, wie z.B. das Aufspüren und Verhindern von unbefugter Änderung, Zerstörung oder Offenlegung von Informationen.

Wenn ein Kunde eine hinreichende Garantie für die Sicherheit seiner Daten wünscht, ist er wahrscheinlich am meisten an dem Prinzip der Sicherheit interessiert. Dieser Grundsatz ist so weit gefasst, dass es für den Kunden ausreichen kann, nur diesen Grundsatz zu prüfen, um ein Gefühl der Sicherheit über seine Daten zu erhalten.

Verfügbarkeit

Das am zweithäufigsten gewählte Prinzip für eine SOC 2-Prüfung ist die Verfügbarkeit. Da die meisten Dienstleistungsunternehmen ihren Kunden einen ausgelagerten Dienst anbieten, wird die Verfügbarkeit dieses Dienstes oft vertraglich durch Service Level Agreements (SLAs) festgelegt. Daher ist das Prinzip der Verfügbarkeit ein zwingendes Kriterium für eine SOC 2-Prüfung.

Integrität der Verarbeitung

Wenn das Dienstleistungsunternehmen Transaktionen für seine Kunden verarbeitet, ist ein drittes interessantes Prinzip die Verarbeitungsintegrität. Dieser Grundsatz trägt dazu bei, dass die Daten vollständig, gültig, genau und in einer autorisierten Weise verarbeitet werden. Neben dem Sicherheitsprinzip, dem Verfügbarkeitsprinzip und der Verarbeitungsintegrität können zwei weitere Prinzipien in eine SOC 2-Prüfung einbezogen werden.

Vertraulichkeit und Datenschutz

Die beiden letzten Grundsätze sind Vertraulichkeit und Datenschutz. Sie werden oft in demselben Zusammenhang diskutiert, obwohl es sich um unterschiedliche Prinzipien handelt. Darüber hinaus halten viele Organisationen diese beiden Prinzipien für die SOC 2-Prüfung für sehr wichtig. Die Prinzipien sind insofern ähnlich, als sie sich beide auf die Informationen ‚im‘ System beziehen. Der Unterschied besteht darin, dass der Grundsatz des Datenschutzes nur für persönliche Informationen gilt. Der Begriff „vertrauliche Informationen“ kann jedoch für verschiedene Unternehmen unterschiedliche Bedeutungen haben. Wenn die Serviceorganisation mit vertraulichen Informationen umgeht und besondere Vereinbarungen über den Schutz dieser Daten getroffen wurden, ist der Grundsatz der Vertraulichkeit relevant.

Im Rahmen einer SOC 2-Prüfung bezieht sich der Datenschutz auf den Schutz persönlicher Daten. Wenn eine Serviceorganisation für die Verwaltung des Lebenszyklus‘ personenbezogener Daten (auch bekannt als PII, Personally Identifiable Information) verantwortlich ist, dann ist es interessant, dieses Prinzip in die Untersuchung einzubeziehen. Der Lebenszyklus bezieht sich auf die Erfassung, Verwendung, Weitergabe, Speicherung und Vernichtung von personenbezogenen Daten.

Insgesamt ist die Wahl der richtigen Prinzipien ein wichtiger Prozess. Es beginnt damit, dass Sie gut darüber informiert sind, welche Prinzipien in einer bestimmten Situation am besten angewendet werden. Dies erfordert ein gutes Verständnis der Organisation. Daher sind das Wissen und die Erfahrung eines erfahrenen SOC 2-Unternehmens von unschätzbarem Wert. Ein seriöses Unternehmen wird eine Organisation bei der Auswahl der geeigneten Prinzipien für die SOC 2-Prüfung unterstützen.

ISAE 3402 vs. ISAE 3000 vs. ISO 27001

ISAE 3402 vs. ISAE 3000 vs. ISO 27001

Es gibt oft Verwirrung um ISAE 3402, ISAE 3000 und ISO 27001. Viele Kunden fragen, welcher Standard der beste ist und welche Vorteile er bietet. Dies ist von Organisation zu Organisation unterschiedlich. Dieser Artikel erläutert die Standards und beschreibt ihre Vorteile.

ISAE 3402

Der Standard ISAE 3402 bezieht sich auf die Berichtsstandards für erste Kontrollen für die Finanzberichterstattung. Das bedeutet, dass dieser Standard die Wirksamkeit der Systeme zur Unterstützung der Sicherheit und Integrität der zugrundeliegenden Daten bewertet. ISAE 3402 eignet sich für Dienstleistungen mit Geschäftsprozesszielen, die über den Kernfokus auf Technologie und Sicherheit hinausgehen.

Vorteile:

  • International anerkannt
  • Verbessertes Risikomanagement
  • Weniger Audits durch Buchhalter
  • Vermittelt den Kunden ein Bild der ‚Kontrolle‘.
  • Unterstützt die Professionalisierung

ISAE 3000

Der Standard ISAE 3000 ist der Rahmen für die Verwaltung und Berichterstattung über neue technologische Risiken und die damit verbundenen Kontrollpraktiken. Dies betrifft die Sicherheit einer Organisation, die Vertraulichkeit der Organisation, die Integrität der Verarbeitung und die Privatsphäre der Kunden. Der Standard ISAE 3000 versucht, das Beste aus beiden Welten zu kombinieren. Es handelt sich um eine Kombination aus der erhöhten Sicherheit der operativen Effektivität durch die ISAE-Standards und dem verfeinerten Fokus auf Cybersicherheit, wie er durch den ISO 27001-Standard veranschaulicht wird.

Vorteile:

  • International anerkannt
  • Robuster Standard für Informationssicherheit
  • Anerkannt von Buchhaltern
  • Unterstützt die organisatorische Professionalisierung

ISO 27001

Das Design und die Implementierung eines Informationssicherheits-Managementsystems (ISMS) sind in der Norm ISO 27001 festgelegt. ISO 27001 kann zur Umsetzung der Informationssicherheit verwendet werden. Der neueste ISO 27001-Standard wurde 2017 veröffentlicht. Dieser Standard basiert auf der HLS-Struktur. (Siehe den Artikel über die HLS-Struktur hier)

ISO 27001 ist weltweit anerkannt und wird als einer der besten Standards für Informationssicherheit unterstützt. Es ist der eigentliche „Best Practice“-Ansatz für die Verwaltung der Informationssicherheit in einem Unternehmen.

Einführung von ISO 9001

Einführung von ISO 9001

Die Norm ISO/IEC 9001 ist der internationale Standard für Qualitätsmanagement. Die Norm ISO 9001 konzentriert sich auf zwei wichtige Aspekte: die Erfüllung der Kundenanforderungen und die Steigerung der Kundenzufriedenheit. Um dies zu erreichen, umreißt die ISO 9001-Norm bestimmte Aspekte, die zu Anforderungen ausgearbeitet werden.

Phase 1

Eine ISO 9001-Implementierung beginnt in der ersten Phase mit der Festlegung des Geltungsbereichs. Dieser Bereich umfasst das Qualitätsmanagementsystem, das auf die Erfüllung der Kundenanforderungen und die Verbesserung der Kundenzufriedenheit ausgerichtet ist.

Lieferbar: ISO 9001 Geltungsbereich

Phase 2

In der zweiten Phase muss die Organisation eine allgemeine Qualitätsmanagementpolitik festlegen. Der allgemeine Teil beschreibt mindestens die Merkmale der Organisation, die Merkmale der Dienstleistungen und/oder Produkte der Organisation, die Inputs und erwarteten Outputs sowie die für die Prozesse erforderlichen Ressourcen – Verantwortlichkeiten und Befugnisse.

In Bezug auf die Politik ist das Folgende enthalten:

  1. Eine Beschreibung des Risikorahmens. Es können verschiedene Risikorahmenwerke gewählt werden, wie z.B. COSO 2013 oder ISO 31000. Der Risikorahmen sollte aus der Perspektive der Qualitätskontrolle beschrieben werden.
  2. Wie die Organisation mit Gesetzen, Vorschriften, Anforderungen und Richtlinien umgeht, die sie selbst an die Qualität stellt.
  3. Die Richtlinie muss nachweislich mit dem aktuellen Rahmenwerk für das Risikomanagement übereinstimmen, das implementiert wurde (Anpassung an COSO 2013). Es sollte auch beinhalten, wie die Organisation an die Umsetzung und Kontrolle des Qualitätsmanagementsystems herangeht und welche Methoden und Kontrollen erforderlich sind, um sicherzustellen, dass die Verfahren effektiv durchgeführt werden.
  4. Welche Prozesse zur Bewertung und Verbesserung des Qualitätsmanagementsystems festgelegt wurden.
  5. Die Geschäftsführung oder der Vorstand der Organisation muss die Richtlinie genehmigen.

Ergebnis: Politisches Dokument

Phase 3

In Phase drei wird eine Risikoanalyse im Bereich des Qualitätsmanagements durchgeführt. Auf der Grundlage der in Phase drei identifizierten Risiken werden Prozesse und Verfahren beschrieben. Anschließend werden die Verfahren und Prozesse innerhalb der Organisation implementiert und schließlich wird das Qualitätsmanagement-Handbuch erstellt und allen Mitarbeitern der Organisation zur Verfügung gestellt.

Lieferbar: Risikoanalyse & Qualitätsmanagement-Handbuch

Phase 4

Nach der Beschreibung des Handbuchs wird in der vierten Phase ein Voraudit oder ein Walkthrough durchgeführt, bei dem alle Kontrollmaßnahmen und ISO 9001-Verfahren getestet und mögliche Problembereiche für das abschließende Audit identifiziert werden.

Phase 5

In der fünften Phase werden auf der Grundlage der Ergebnisse des Voraudits Verbesserungen an den Kontrollmaßnahmen und dem Qualitätsmanagementsystem vorgenommen und Lösungen für die identifizierten Problembereiche realisiert.

Phase 6

In der sechsten und letzten Phase wird das ISO 9001-Audit von einer Zertifizierungsstelle durchgeführt, und das ISO 9001-Zertifikat wird erteilt.

ISO 27001 und Ransomware

ISO 27001 und Ransomware

In letzter Zeit sind immer mehr Unternehmen von Ransomware betroffen. Ein anderer Begriff für Ransomware ist „Geiselsoftware“. REvil ist eine bekannte Gruppe, die diese Taktik anwendet und Tausende von Unternehmen daran hindert, auf ihre Dateien zuzugreifen. Aber wie kann ein Unternehmen einen Ransomware-Angriff verhindern?

Die so genannte „Geiselsoftware“ hat einen treffenden Namen. Ein Ransomware-Angriff kann die Computer und Dateien eines Unternehmens als „Geiseln“ nehmen. Alle Dateien werden vorübergehend verschlüsselt und können nur gegen Bezahlung, oft in Kryptowährung, wiederhergestellt werden, da sie nicht zurückverfolgt werden können. Ransomware kann durch Aktionen wie das Anklicken eines bösartigen Links oder aufgrund veralteter Sicherheitsmaßnahmen in Dokumente eindringen. Deshalb ist es wichtig, die Software im Unternehmen auf dem neuesten Stand zu halten.

Verhindern von Ransomware

In diesem Fall ist Vorbeugen besser als Heilen. So einfach sie auch zu installieren ist, so schwierig kann es sein, Ransomware zu entfernen. Außerdem ist das Entfernen der Software oft unwirksam und unvollständig. Daher ist Vorbeugung die beste Lösung.

Jedes Unternehmen kann die folgenden Schwachstellen beheben:

  1. Wie bereits erwähnt, ist es wichtig, die neuesten Betriebs- und Sicherheitssysteme zu verwenden.
  2. Alle Programme sollten außerdem auf dem neuesten Stand sein, um potenzielle Sicherheitslücken zu vermeiden.
  3. Klicken Sie niemals auf verdächtige Links in E-Mails. Viele Spam-E-Mails enthalten oft bösartige Links. Prüfen Sie immer, ob eine E-Mail legitim ist oder von einem potenziellen Kunden stammt, der eine Anfrage stellt.
  4. Erreichen Sie die ISO 27001-Zertifizierung. Informationssicherheit ist für jedes Unternehmen von entscheidender Bedeutung. Die Norm ISO 27001 ist ein internationales Rahmenwerk für die Informationssicherheit. ISO 27001 kann für die Umsetzung von Maßnahmen zur Informationssicherheit verwendet werden.

Securance verfügt über mehr als 10 Jahre Erfahrung in der Implementierung von Risikomanagementstrukturen, Informationssicherheit und Prozessverbesserung. Informationssicherheit sollte immer einen Mehrwert bieten, der das Unternehmen handhabbarer macht, und ISO 27001 bietet Möglichkeiten, neue Kunden zu gewinnen.