Kategorie: Beratung

Vorteile der High Level Structure

Vorteile der High Level Structure

In den ISO-Normen wird häufig über die High Level Structure (HLS) diskutiert. Aber was bedeutet das? Welche Anforderungen muss ein Unternehmen erfüllen, und welche Vorteile bietet HLS für ISO-Normen?

Die neuen ISO-Normen, die wir heute kennen, basieren auf der HLS-Struktur. HLS kann als universeller Standard für Managementsystemstandards bezeichnet werden, der eine integrierte Unternehmensführung ermöglicht. Für jedes Unternehmen ist die Informationssicherheit entscheidend. Die Norm ISO 27001 ist ein internationales Rahmenwerk für Informationssicherheit. ISO 27001 kann für die Umsetzung von Maßnahmen zur Informationssicherheit verwendet werden. Im Jahr 2017 wurde die neueste ISO 27001-Norm veröffentlicht. Dieser Standard basiert auf der HLS-Struktur. HLS steht für High Level Structure (Hochrangige Struktur) und bezieht sich auf die Initiative, eine ‚Struktur auf Hauptlinien‘ für Managementsystemstandards zu entwickeln. Die HLS-Struktur basiert auf dem Plug-in-Modell. Mit diesem Plug-in-Modell reagiert die ISO auf die Nachfrage des Marktes, um sicherzustellen, dass die Normen für Managementsysteme miteinander verbunden und logisch verknüpft sind.

HLS

Die neuen ISO-Normen sind durch die High Level Structure leichter zu integrieren. HLS ist deshalb so ideal, weil ein einziges Basissystem eingerichtet werden muss und von hier aus verschiedene Standards „eingesteckt“ werden können. Es gibt mehrere Voraussetzungen, die eine Organisation für die Implementierung von HLS erfüllen muss.

  • Risikomanagement
  • Führungsqualitäten
  • Compliance Management (auch für eine ISO-Norm erforderlich)
  • Nachvollziehbarkeit
  • Verbesserungsmanagement

Vorteile von HLS in der Organisation

Wie beschrieben, macht es das HLS-System immer einfacher, verschiedene ISO-Normen innerhalb der Organisation umzusetzen. Dadurch wird sichergestellt, dass die Standards des Managementsystems miteinander verbunden sind und in einem logischen Zusammenhang stehen. Von hier aus stehen die Bedürfnisse der Beteiligten im Mittelpunkt. HLS sorgt dafür, dass das Management der Organisation eine direktere Rolle übernimmt und stärker in die Umsetzung des Managementsystems einbezogen wird.

Securance bietet Dienstleistungen in den Bereichen Governance, Risiko und Compliance. Securance ist der Marktführer in den Niederlanden und die fortschrittlichste Organisation bei der Implementierung und Zertifizierung von ISAE 3402. Wir bieten Dienstleistungen in den Bereichen ISAE 3000, GDPR/AVG, ISO 27001, ISO 9001 und COSO ERM sowie ISAE 3402 an.

Die richtigen Schritte, um ISAE 3000 | SOC 2 zu erreichen

Die richtigen Schritte zum Erfolg
ISAE 3000 | SOC 2

Unternehmen sind mehr Sicherheitsbedrohungen ausgesetzt als je zuvor. Um sich von der Konkurrenz abzuheben, müssen Sie zeigen, dass Sie sich diesen Bedrohungen stellen.

ISAE 3000 | SOC 2 ist der führende Standard für den Nachweis der Konzeption und der operativen Wirksamkeit Ihrer Sicherheits-, Risiko- und Kontrollverfahren. Der Standard ist ein Werkzeug, das es Organisationen ermöglicht, ein Kontrollsystem zu verwalten, das auf ihr eigenes Branding und ihre Kultur zugeschnitten ist. Es stellt aber auch sicher, dass die Prozesse den besten Praktiken folgen. Das ultimative Ziel ist es, einen Bericht zu erstellen, der für Transparenz und eine sichere Organisation sorgt. Es bietet einen einfachen Bezugspunkt für Ihre Kunden, um sicher zu sein und nachzuweisen, dass sie Ihre Dienste in Anspruch nehmen.

Es gibt mehrere Schritte, um ISAE 3000 | SOC 2 zu erreichen.

Kontaktieren Sie einen ISAE 3000 | SOC 2 Anbieter

Da dieser Standard eine Menge komplizierter Terminologie enthält, kann die Arbeit mit ihm für eine Organisation verwirrend sein. Es ist oft unklar, welcher Standard am besten für das Unternehmen geeignet ist und was tatsächlich erforderlich ist, um diese Anforderungen zu erfüllen. Deshalb ist es zeitsparend, sich an einen Anbieter zu wenden, der das Unternehmen problemlos durch diesen Prozess führen kann.

ISAE 3000 | SOC 2 Umfang

Unabhängig davon, ob die Organisation an einem ISO 27001-, ISAE 3402 | SOC 1- oder ISAE 3000 | SOC 2-Standard arbeitet, ist es wichtig, den zutreffenden Geltungsbereich zu bestimmen. Das ist es, was der Endbenutzer (Organisation und Kunde) sicher wissen möchte. Es geht um die Dienste, Systeme und Kriterien, die gelten. Organisationen können zum Beispiel verschiedene Arten von Einheiten und Dienstleistungen haben. Es ist nicht notwendig, alle diese Dienste aufzunehmen, wenn sie für die Anforderungen der Endnutzer nicht relevant sind. Bei einem ISO 27001-Standard wird nur über die Sicherheit berichtet, während bei einem ISAE 3000 | SOC 2 auch Verfügbarkeit, Vertraulichkeit, Datenschutz und Verarbeitungsintegrität berücksichtigt werden.

ISAE 3000 | SOC 2 Dienstleistungsauditor

Viele Unternehmen zögern noch immer, sich an einen Service-Auditor zu wenden. Das liegt oft daran, dass die Organisation der Meinung ist, dass sie selbst damit umgehen kann. Viel erfolgversprechender ist jedoch die Beauftragung eines Serviceprüfers. Wie beschrieben, gibt es viele komplizierte Terminologien, die verwirrend sein können.

Securance bietet Unternehmen die Möglichkeit, mit der Anwendung ControlReports verschiedene Governance-, Risiko- und Compliance-Standards innerhalb der Organisation unabhängig umzusetzen. ControlReports basiert auf den neuesten Best Practices auf dem Markt für Risikomanagement und Informationssicherheit.

Securance bietet Dienstleistungen in den Bereichen Governance, Risiko und Compliance. Securance ist der Marktführer und das fortschrittlichste Unternehmen bei der Implementierung und Zertifizierung von ISAE 3402 | SOC 1.

Audit

Anders als bei einer Steuer- oder Finanzprüfung versuchen ISAE 3000 | SOC 2 und ISO 27001 Audits nicht, Sie zu überführen. Der Prüfer sucht nach Unterlagen oder anderen Beweisen, die belegen, dass Ihre Praktiken das sind, was Sie behaupten. Bei ISAE 3000 | SOC 2 Typ 2 prüft der Prüfer auch, ob Sie die Praktiken tatsächlich so anwenden, wie Sie es angeben.

ISAE 3000 | SOC 2 Systembeschreibung

ISAE 3000 | SOC 2 ist ein Prüfbericht und keine Zertifizierung wie ISO 27001. Viele Endbenutzer sehen sie jedoch als dasselbe an. Der Hauptunterschied besteht darin, dass ISAE 3000 | SOC 2 eine Systembeschreibung erfordert, die den Umfang, die relevanten Prozesse, die Geschäftspraktiken, die Kontrollen und die Validierungsverfahren des Prüfers durch einen Umfang beschreibt.

ISAE 3402 | SOC 2 ist weniger präskriptiv als ISO 27001. Es enthält auch zusätzliche Kontrollen für die Nutzerorganisation und die Subdienstorganisation, so dass die Nutzer verstehen können, was der Bericht in Bezug auf die eigenen Verantwortlichkeiten und die wichtigsten Lieferanten, die bei der Erbringung der Dienstleistungen eingesetzt werden, abdeckt und was nicht.

Berichterstattung ISAE 3000 | SOC 2 Erreichung

Es liegt in der Verantwortung der Organisation, über die Einhaltung der Standards zu berichten. Dies kann viele Vorteile mit sich bringen und zu einer viel größeren Kundenzufriedenheit führen. Die Weitergabe dieser Informationen ist jedoch an Bedingungen geknüpft. Sie müssen in angemessener Weise weitergegeben werden, dürfen nicht unvollständig sein und dürfen die Endnutzer nicht in die Irre führen.

ISO 27001 und SOC 2 – Die Vergleiche

ISO 27001 und SOC 2 - Die Vergleiche

ISO 27001 ist ein internationaler Standard, der die Anforderungen für die Verwaltung der Sicherheit von Vermögenswerten wie Finanzinformationen, geistigem Eigentum, Mitarbeiter- und Kundendaten sowie von Informationen, die Dritten anvertraut wurden, umreißt. Die von der International Standards Organization (ISO) entwickelte ISO 27001 ist ein Leitfaden für Informationssicherheits-Managementsysteme (ISMS), der sich auf den langfristigen Datenschutz konzentriert. Eine ISO 27001-Zertifizierung bedeutet eine erhebliche Investition in Zeit und Ressourcen in die Sicherheit und stellt einen soliden Grundbaustein für das Sicherheitsprogramm eines jeden Unternehmens dar.

SOC (Service Organization Controls) ist eine Reihe von Standards, die von der AICPA entwickelt wurden, um die Kontrollkompetenzen einer Organisation zu beurteilen und zu bewerten. SOC für Dienstleistungsunternehmen: Die Trust Services Criteria (auch als SOC 2-Berichte bekannt) sollen die Bedürfnisse eines breiten Spektrums von Nutzern erfüllen, die detaillierte Informationen und Zusicherungen zu den Kontrollen benötigen, die für die Sicherheit, Verfügbarkeit und Verarbeitungsintegrität der Systeme relevant sind, mit denen die Daten der Nutzer verarbeitet werden, sowie für die Vertraulichkeit und den Datenschutz der von diesen Systemen verarbeiteten Informationen. Diese Berichte können eine entscheidende Rolle bei der organisatorischen Aufsicht, bei Programmen für das Lieferantenmanagement, bei der internen Unternehmensführung, bei Risikomanagementprozessen und bei der behördlichen Aufsicht spielen.

Es gibt zwei Arten von SOC 2-Berichten: Typ 1 und Typ 2.

Ein SOC 2 Typ 1-Audit liefert eine Momentaufnahme der in einer Organisation vorhandenen Datenschutzmaßnahmen. Die Konzeption der Kontrollen wird bewertet und die Umsetzung bestätigt, aber die konsistente Leistung wird in einem Typ-1-Bericht nicht bewertet. Wenn ein Unternehmen neu im SOC 2 ist, ist der erste Schritt ein SOC 2 Typ 1 Bericht.

Ein SOC 2 Typ 2-Audit befasst sich mit der operativen Wirksamkeit der Kontrollen über einen bestimmten Zeitraum, beispielsweise sechs bis zwölf Monate. Ein SOC 2 Typ 2-Bericht legt die Messlatte höher als ein Typ 1-Bericht, da er nicht nur die Gestaltung und Umsetzung von Kontrollprozessen bewertet, sondern auch, ob die Kontrollen während des angegebenen Zeitraums konsistent durchgeführt wurden. Dies gibt Kunden und Geschäftspartnern ein größeres Vertrauen in die Wirksamkeit der Kontrollprozesse.

Diese beiden Rahmenwerke für die Sicherheitsverwaltung haben viele Ähnlichkeiten. Beide sind freiwillig und sollen die Zuverlässigkeit eines Unternehmens bei der Verarbeitung von Kundendaten belegen und gleichzeitig die Vertraulichkeit, Integrität und Verfügbarkeit sensibler Informationen schützen. Die Frameworks genießen einen gleichermaßen respektierten und verehrten Ruf, und Kunden betrachten beide als tragfähigen Beweis für die Fähigkeit Ihres Unternehmens, Daten zu schützen. Kurz gesagt, ein SOC 2 Typ 2-Bericht oder eine ISO 27001-Zertifizierung wird den Ruf Ihrer Marke verbessern und dazu beitragen, neue Kunden zu gewinnen.

Sie müssen nicht lange suchen, um logistische und operative Ähnlichkeiten zwischen SOC 2 und ISO 27001 zu finden. Die Frameworks haben viele ähnliche Sicherheitsanforderungen, so dass die funktionale Implementierung und die Zeit für die Beweiserhebung vergleichbar sind. Beide Rahmenwerke verlangen auch zertifizierte Validierungsbewertungen durch Dritte und regelmäßige Neubewertungen.

SOC 2 vs. SOC 1 Typ 2

SOC 2 vs. SOC 1 Typ 2

Ein ISAE 3000 | SOC 2 Bericht und ein ISAE 3402 | SOC 1 Typ 2 Bericht sind ähnlich aufgebaut. Der größte Unterschied liegt jedoch im Umfang (Testrahmen)

Ein ISAE Typ 2 Bericht

Ein ISAE 3402 | SOC 1 Bericht ist eine Bescheinigung, die einer Organisation ausgestellt wird. In einem ISAE 3402 | SOC 1 Typ 2-Bericht wird erörtert, wie der Dienstleister Risiken im Zusammenhang mit ausgelagerten Prozessen verwaltet. Der Bewertungsrahmen wird durch das Outsourcing selbst und die Finanzprozesse gebildet (besteht ein Zusammenhang mit dem Jahresabschluss?). Insbesondere in der Finanzwelt ist es üblich, eine Bescheinigung nach ISAE 3042 | SOC 1 vorweisen zu können. Ein Finanzinstitut wird zum Beispiel immer einen ISAE 3402 | SOC 1-Bericht von den Lieferanten verlangen, bevor der Lieferant die Dienstleistungen erbringen darf.

ISAE 3402 | SOC 1 basiert auf der Anforderung, dass sich die Ziele auf die Bedürfnisse des Kontos der Organisation beziehen müssen, die die Dienstleistung erwirbt. Mit anderen Worten: Der Kontrollrahmen (Kontrollziele und -maßnahmen) kann bei ISAE selbst zusammengestellt werden. Die Idee dahinter ist, dass die Risiken der Auslagerung von Aktivitäten von der jeweiligen Situation abhängen. Die darauf basierenden Managementziele und -maßnahmen sind also ein Stück Maßarbeit.

Ein ISAE 3000 | SOC 2 Bericht

In einem ISAE 3000| SOC 2-Bericht wird der Bewertungsrahmen nicht durch das Outsourcing selbst, sondern durch die Informationssicherheit gebildet. ISAE 3000 | SOC 2 Berichte konzentrieren sich daher nicht auf Finanzprozesse, sondern auf Trust Services Kriterien wie Sicherheit, Verfügbarkeit, Vertraulichkeit, Verarbeitungsintegrität und Datenschutz in einer Dienstleistungsorganisation. In einem ISAE 3000 | SOC 2 Bericht wird der Umfang daher durch diese vordefinierten Managementziele (Trust Service Criteria) bestimmt.

Bei ISAE 3000| SOC 2 geht es vor allem darum, sicherzustellen, dass die verarbeiteten oder gehosteten Daten keine Auswirkungen auf die Jahresabschlüsse der Kunden haben. Diese Kunden sind besonders daran interessiert, ob die Informationssicherheit und der Datenschutz korrekt gehandhabt werden. Bei einem ISAE 3000| SOC 2-Bericht kann man zum Beispiel daran denken, Gewissheit über externe Cloud-Dienste zu erhalten.