Kategorie: Cyber-Sicherheit

Home / Cyber-Sicherheit
Nov82019

ISO 27001 und SOC 2 – Die Vergleiche

ISO 27001 und SOC 2 - Die Vergleiche

ISO 27001 ist ein internationaler Standard, der die Anforderungen für die Verwaltung der Sicherheit von Vermögenswerten wie Finanzinformationen, geistigem Eigentum, Mitarbeiter- und Kundendaten sowie von Informationen, die Dritten anvertraut wurden, umreißt. Die von der International Standards Organization (ISO) entwickelte ISO 27001 ist ein Leitfaden für Informationssicherheits-Managementsysteme (ISMS), der sich auf den langfristigen Datenschutz konzentriert. Eine ISO 27001-Zertifizierung bedeutet eine erhebliche Investition in Zeit und Ressourcen in die Sicherheit und stellt einen soliden Grundbaustein für das Sicherheitsprogramm eines jeden Unternehmens dar.

SOC (Service Organization Controls) ist eine Reihe von Standards, die von der AICPA entwickelt wurden, um die Kontrollkompetenzen einer Organisation zu beurteilen und zu bewerten. SOC für Dienstleistungsunternehmen: Die Trust Services Criteria (auch als SOC 2-Berichte bekannt) sollen die Bedürfnisse eines breiten Spektrums von Nutzern erfüllen, die detaillierte Informationen und Zusicherungen zu den Kontrollen benötigen, die für die Sicherheit, Verfügbarkeit und Verarbeitungsintegrität der Systeme relevant sind, mit denen die Daten der Nutzer verarbeitet werden, sowie für die Vertraulichkeit und den Datenschutz der von diesen Systemen verarbeiteten Informationen. Diese Berichte können eine entscheidende Rolle bei der organisatorischen Aufsicht, bei Programmen für das Lieferantenmanagement, bei der internen Unternehmensführung, bei Risikomanagementprozessen und bei der behördlichen Aufsicht spielen.

Es gibt zwei Arten von SOC 2-Berichten: Typ 1 und Typ 2.

Ein SOC 2 Typ 1-Audit liefert eine Momentaufnahme der in einer Organisation vorhandenen Datenschutzmaßnahmen. Die Konzeption der Kontrollen wird bewertet und die Umsetzung bestätigt, aber die konsistente Leistung wird in einem Typ-1-Bericht nicht bewertet. Wenn ein Unternehmen neu im SOC 2 ist, ist der erste Schritt ein SOC 2 Typ 1 Bericht.

Ein SOC 2 Typ 2-Audit befasst sich mit der operativen Wirksamkeit der Kontrollen über einen bestimmten Zeitraum, beispielsweise sechs bis zwölf Monate. Ein SOC 2 Typ 2-Bericht legt die Messlatte höher als ein Typ 1-Bericht, da er nicht nur die Gestaltung und Umsetzung von Kontrollprozessen bewertet, sondern auch, ob die Kontrollen während des angegebenen Zeitraums konsistent durchgeführt wurden. Dies gibt Kunden und Geschäftspartnern ein größeres Vertrauen in die Wirksamkeit der Kontrollprozesse.

Diese beiden Rahmenwerke für die Sicherheitsverwaltung haben viele Ähnlichkeiten. Beide sind freiwillig und sollen die Zuverlässigkeit eines Unternehmens bei der Verarbeitung von Kundendaten belegen und gleichzeitig die Vertraulichkeit, Integrität und Verfügbarkeit sensibler Informationen schützen. Die Frameworks genießen einen gleichermaßen respektierten und verehrten Ruf, und Kunden betrachten beide als tragfähigen Beweis für die Fähigkeit Ihres Unternehmens, Daten zu schützen. Kurz gesagt, ein SOC 2 Typ 2-Bericht oder eine ISO 27001-Zertifizierung wird den Ruf Ihrer Marke verbessern und dazu beitragen, neue Kunden zu gewinnen.

Sie müssen nicht lange suchen, um logistische und operative Ähnlichkeiten zwischen SOC 2 und ISO 27001 zu finden. Die Frameworks haben viele ähnliche Sicherheitsanforderungen, so dass die funktionale Implementierung und die Zeit für die Beweiserhebung vergleichbar sind. Beide Rahmenwerke verlangen auch zertifizierte Validierungsbewertungen durch Dritte und regelmäßige Neubewertungen.

Jul212019

Die Beziehung zwischen ISAE 3402 und ISA 402

Die Beziehung zwischen:

ISAE 3402 und ISA 402

Der Standard ISAE 3402 besagt, dass Berichte, die in Übereinstimmung mit ISAE 3402 erstellt wurden, bereits ausreichende Nachweise gemäß ISA 402, Prüfungserwägungen in Bezug auf ein Unternehmen, das eine Dienstleistungsorganisation nutzt, liefern. Mit anderen Worten: ISA 402 konzentriert sich auf die Verantwortung der Nutzerorganisation, angemessene und geeignete Kontrollinformationen zu erhalten, wenn eine Nutzerorganisation eine oder mehrere Serviceorganisationen nutzt. Es ist wichtig anzumerken, dass viele Rechnungslegungsstandards sowie eine Reihe von unterstützenden Standards auch eine Rolle bei der Interpretation, dem Verständnis und der Erleichterung des Standards selbst spielen, wie es beim Standard ISAE 3402 der Fall ist.

Jul212019

Wie bereitet sich eine Dienstleistungsorganisation auf ISAE 3402 vor?

Wie funktioniert eine Dienstleistungsorganisation

Bereiten Sie sich auf ISAE 3402 vor?

Der Standard ISAE 3402 verlangt von Dienstleistungsunternehmen einen proaktiven Ansatz bei der Erfüllung der von den Prüfern (Buchhaltern) der Dienststelle gestellten Anforderungen. Daher können Dienstleistungsunternehmen von der Durchführung eines ISAE ‚Readiness Assessment‘ sehr profitieren, das ihnen hilft, die Anforderungen an die Berichterstattung zu verstehen.

Diese Meldepflichten umfassen:

  1. Erstellung einer Beschreibung des Systems der Serviceorganisation.
  2. Erstellung einer schriftlichen Erklärung der Geschäftsleitung, die in den endgültigen ISAE 3402-Bericht aufgenommen wird.

Zusätzlich kann eine interne Revision innerhalb der Dienstleistungsorganisation in den gesamten Prüfprozess einbezogen werden, wenn der Prüfer der Dienstleistungsorganisation deren Objektivität und Professionalität für akzeptabel hält. Daher ist die Durchführung eines ISAE 3402 ‚Readiness Assessment‘ für Dienstleistungsunternehmen von entscheidender Bedeutung, um den Umfang der Aufgabe zu verstehen und die Anforderungen an die Berichterstattung nach dem ISAE 3402 Standard zu erfassen.

Jul212019

Risikomanagement für Unternehmen

Risikomanagement für Unternehmen

Wenn eine Organisation ihre Ziele erreichen will, muss sie die Risiken, die diese Ziele bedrohen, verwalten und kontrollieren. Zu diesem Zweck hat COSO die verschiedenen Elemente eines internen Kontrollsystems definiert.

Das COSO-Modell veranschaulicht die direkte Beziehung zwischen:

  1. Die Ziele der Organisation;
  2. Die Kontrollkomponenten;
  3. Die Aktivitäten/Einheiten, die eine interne Kontrolle erfordern.
  4. COSO identifiziert die Beziehungen zwischen Unternehmensrisiken und dem internen Kontrollsystem. COSO betrachtet die interne Kontrolle als einen Prozess, der darauf abzielt, Sicherheit hinsichtlich der Erreichung von Zielen in den folgenden Kategorien zu bieten:
  5. Erreichen strategischer Ziele (Strategisch);
  6. Effektivität und Effizienz von Geschäftsprozessen (Operations);
  7. Verlässlichkeit der Finanzberichterstattung (Reporting);
  8. Einhaltung der einschlägigen Gesetze und Vorschriften (Compliance).

Unternehmen müssen auch gegenüber Investoren und anderen Stakeholdern nachweisen, dass sie mit Unsicherheiten richtig umgehen (Code Tabaksblat und Sarbanes-Oxley Act). In Securance’s Ansatz zum Enterprise Risk Management (ERM) werden die Risiken identifiziert und ihre Konsequenzen detailliert beschrieben. Securance verwendet die neuesten Standards, Methoden und Techniken im Risikomanagement.

Was bietet das Enterprise Risk Management?

  • Einblicke in die wesentlichen Risiken Ihres Unternehmens;
  • Qualitative und quantitative Bewertung der identifizierten Risiken;
  • Einblicke und Ratschläge zur aktuellen Kontrolle von Risiken;
  • Einblicke in die Risikokosten Ihres Unternehmens;
  • Eine Grundlage für die Gestaltung und Umsetzung des Risikomanagements in Ihrer Organisation;
  • Unterstützung bei der Verantwortlichkeit für das Risikomanagement.