Kategorie: Cyber-Sicherheit

COSO Enterprise Risk Management

COSO Enterprise Risk Management

Wenn eine Organisation ihre Ziele erreichen will, muss sie sich mit Risiken auseinandersetzen, die diese Ziele bedrohen, und sie managen. COSO hat zu diesem Zweck verschiedene Elemente eines internen Kontrollsystems definiert. Das COSO-Modell zeigt die direkte Beziehung zwischen:

  1. Organisatorische Ziele;
  2. Steuerungskomponenten;
  3. Die Aktivitäten/Einheiten, die eine interne Kontrolle erfordern.
  4. COSO identifiziert die Beziehungen zwischen Unternehmensrisiken und dem internen Kontrollsystem. COSO geht davon aus, dass die interne Kontrolle ein Prozess ist, der das Erreichen von Zielen in den folgenden Kategorien sicherstellen soll:
  5. Erreichen strategischer Ziele (Strategisch);
  6. Effektivität und Effizienz von Geschäftsprozessen (Operations);
  7. Verlässlichkeit der Finanzberichterstattung (Reporting);
  8. Einhaltung der einschlägigen Gesetze und Vorschriften (Compliance).

Außerdem müssen Unternehmen gegenüber Investoren und anderen Stakeholdern nachweisen, dass sie mit Unsicherheiten richtig umgehen (Code Tabaksblat und Sarbanes-Oxley Act). Beim Risklane-Ansatz für das Enterprise Risk Management (ERM) werden die Risiken identifiziert und ihre Folgen detailliert beschrieben. Risklane nutzt zu diesem Zweck die neuesten Standards, Methoden und Techniken des Risikomanagements.

Sicherheit des IT-Service bei der Arbeit von zu Hause aus

Sicherheit des IT-Service

von zu Hause aus arbeiten

Derzeit arbeiten mehr Menschen von zu Hause aus als je zuvor, was zahlreiche Risiken für die Unternehmenssicherheit mit sich bringt. Die Zahl der weltweiten Datenschutzverletzungen nimmt zu und kann erhebliche Folgen für Unternehmen haben. Durch die Aufrechterhaltung der Sicherheitskontrolle können Unternehmen nicht nur das Vertrauen ihrer Kunden erhalten, sondern auch finanzielle Verluste eindämmen.

ISAE 3000 ist der Standard für die Prüfung von nicht-finanziellen Informationen. In der Praxis wird häufig ein SOC 2-Bericht verlangt. Dieser SOC 2-Bericht umfasst ausschließlich allgemeine IT-Kontrollen, die den Trust Service Criteria des AICPA entsprechen. Bei diesen Vertrauensdienstkriterien handelt es sich um bewährte Verfahren aus den Vereinigten Staaten für Sicherheit, Datenschutz, Vertraulichkeit, Verfügbarkeit und Integrität.

Was sind die besten Methoden, um Fernarbeit so sicher wie möglich zu machen?

1. Passwortverwaltung.

Der allgemein empfohlene Tipp ist die Verwendung sicherer Passwörter. Sorgen Sie dafür, dass Ihre Mitarbeiter mehrere verschiedene Passwörter anlegen. Auch das häufige Ändern von Passwörtern kann die Sicherheit erhöhen. Stellen Sie außerdem sicher, dass private und berufliche Benutzerkonten getrennt sind. Da es oft einfacher ist, sich mit einem privaten Konto von zu Hause aus anzumelden, kann dies die Sicherheit gefährden.

2. Bildschirmsperre während der Pausen.

Es klingt wie ein logischer Schritt, aber die Bildschirmsperre wird oft übersehen. Unerwartete Ereignisse können auftreten, wenn der Bildschirm nicht gesperrt ist. Dies ist eine Frage der Gewohnheit. Die folgenden Kombinationen sollten verwendet werden:

  • Fenster: Win + L
  • Mac: Cmd + Strg + Q

3. Trennen Sie Privates und Berufliches.

Wie bereits erwähnt, sollten Sie Privates und Berufliches trennen. Verschiedene Passwörter, private und berufliche, sollten nicht auf demselben Laufwerk gespeichert werden. Außerdem sollte ein Mitarbeiter seine Arbeits-E-Mails niemals für externe Websites verwenden.

4. Sichere WIFI-Verbindung.

Eine sichere WIFI-Verbindung klingt einfach, aber es werden oft Fehler gemacht. Viele Menschen machen den Fehler, sich bei einem öffentlichen WIFI-Dienst anzumelden, anstatt einen Telefon-Hotspot in der Öffentlichkeit zu nutzen. Weisen Sie Ihre Mitarbeiter immer darauf hin, dass sie, wenn sie in der Öffentlichkeit arbeiten, immer ihren eigenen Hotspot statt eines ungesicherten WIFI-Dienstes verwenden müssen.

5. VPN.

Wenn Sie von zu Hause aus arbeiten, sollten Sie eine VPN-Verbindung nutzen. Eine VPN-Verbindung verringert das Risiko von Hackern und Datenschutzverletzungen. Außerdem ist es wichtig, die Browserwarnungen zu beachten. Wenn sich eine Website nicht richtig anfühlt, ist sie es wahrscheinlich nicht.

6. Sicherheitsprogramme.

Für Computer stehen verschiedene Sicherheitsupdates zur Verfügung, die oft automatisch beim Hochfahren oder Herunterfahren des Computers installiert werden. Außerdem sollten Unternehmen obligatorische Antivirenprogramme anbieten.

Risklane bietet Dienstleistungen in den Bereichen Governance, Risiko und Compliance. Seit 2014 ist Risklane ein Marktführer und die fortschrittlichste Organisation in Bezug auf die Implementierung und Zertifizierung von ISAE 3402. Neben ISAE 3402 bieten wir auch Dienstleistungen in den Bereichen ISAE 3000, GDPR/AVG, ISO 27001, ISO 9001 und COSO ERM an.

Was sind die Anforderungen für einen SOC 1-Bericht?

Was sind die Anforderungen

für einen SOC 1-Bericht?

Für die Zertifizierung benötigt Ihre Organisation einen Bericht, der ihr Risikomanagement und ihre internen Kontrollen beschreibt. Dieser Bericht wird auch als Service Organization Control Report (SOC) bezeichnet, eine Terminologie, die aus den Vereinigten Staaten (AICPA) stammt. Wenn ein SOC-Bericht ausgelagerte Aktivitäten betrifft, wird er als SOC 1 (US) oder ISAE 3402 Bericht bezeichnet. Bezieht sich der Bericht auf die Zertifizierung nach einem bestimmten Standard (z.B. Trust Service Principles), wird er als SOC 2 oder ISAE 3000 Bericht bezeichnet. Ein ISAE 3000-Bericht kann auch für die Einhaltung der General Data Protection Regulation (GDPR) erstellt werden.

Die Anforderungen sind in dem Standard aufgeführt, der von der IFAC-Website heruntergeladen werden kann.

Im Großen und Ganzen besteht der Standard aus den folgenden Teilen.

Um nach ISAE 3402 ‚zertifiziert‘ zu werden, muss eine Organisation über einen Service Organization Control Report (SOC) verfügen. Eine SOC ist formfrei, d.h. der Standard schreibt keinen bestimmten Inhalt vor. Es haben sich jedoch verschiedene ‚Praktiken‘ herausgebildet. Es gibt auch Anforderungen für Berichte von Einrichtungen wie der De Nederlandsche Bank, sektoralen Instituten oder den Dienstleistungsorganisationen selbst. Ein SOC-Bericht ist in der Regel in zwei Teile gegliedert: einen allgemeinen Teil mit einer Beschreibung der Organisation, des Risikomanagements und des internen Kontrollsystems sowie eine ‚Kontrollmatrix‘. Die Kontrollmatrix enthält die Kontrollziele und eine Beschreibung der Kontrollmaßnahmen, die diese Ziele gewährleisten. Der ultimative Rahmen für den ISAE 3402-Bericht ist der Finanzbericht. Alle Prozesse, die sich erheblich auf die Finanzprozesse auswirken, müssen einbezogen werden. Im Allgemeinen handelt es sich dabei um alle betrieblichen und finanziellen Prozesse sowie um die allgemeinen IT-Kontrollen.

ISAE 3402 Typ I oder Typ II?

Es gibt zwei Arten von Berichten: einen Typ I und einen Typ II Bericht. Ein Bericht vom Typ I liefert eine Momentaufnahme der Kontrollorganisation zu einem einzigen Zeitpunkt. Während der Prüfung bewertet der Wirtschaftsprüfer die Kontrollmaßnahmen nur hinsichtlich ihrer Gestaltung und Existenz. Das bedeutet, dass der Buchhalter den gesamten Bericht (SOC) überprüft und die Prozesse einmal durchläuft. In einem Bericht des Typs II wird neben der Konzeption und dem Vorhandensein auch die wirksame Durchführung der Kontrollmaßnahmen vom Wirtschaftsprüfer geprüft. Aufgrund der Auswirkungen von ISAE 3402 auf eine Organisation wird in der Regel mit einem Typ-I-Bericht begonnen und in der Folgezeit ein Typ-II-Bericht eingeführt.

24

Prozess-Ansatz ISO 9001

PROZESSANSATZ ISO 9001

Die Norm ISO/IEC 9001 ist der internationale Standard für Qualitätsmanagement. Sie konzentriert sich darauf, die Anforderungen der Kunden zu erfüllen und die Kundenzufriedenheit zu erhöhen. Bestimmte Aspekte innerhalb der ISO 9001-Norm werden als Anforderungen umrissen.

Die Auswirkungen dieser ISO 9001-Standardkomponenten auf eine Organisation werden in der nebenstehenden Abbildung visuell dargestellt. Es gibt acht definierte Komponenten, die das Qualitätsmanagementsystem (QMS) bilden. Das QMS dient als Grundlage für die Implementierung von ISO 9001, um sicherzustellen, dass die Dienstleistungen den Kundenanforderungen entsprechen und die Kunden zufrieden sind.

Der Plan-Do-Check-Act-Zyklus ist rot hervorgehoben. Dies ist ein zentraler Punkt bei der Umsetzung von ISO 9001: Planung auf der Grundlage der Kundenanforderungen, Messung der Ausführung und Bewertung zur Verbesserung der allgemeinen Betriebsqualität.

Die Einführung eines effektiven Qualitätsmanagementsystems ist der Schlüssel zu einer nachhaltigen Unternehmensentwicklung und kann die Gesamtleistung verbessern. ISO 9001 verwendet einen prozessorientierten Ansatz und risikobasiertes Denken.

PROZESSANSATZ ISO 9001

Der Prozessansatz, der im Plan-Do-Check-Act-Zyklus (PDCA) detailliert beschrieben ist, stellt sicher, dass das Qualitätsmanagement ein integraler Bestandteil des Betriebs ist und sich auf die kontinuierliche Verbesserung der Prozesse konzentriert. Es setzt risikobasiertes Denken ein, um Ereignisse zu antizipieren, die verhindern, dass Prozesse die gewünschten Ergebnisse erzielen.

VORTEILE VON ISO 9001

  • Hohe Kundenzufriedenheit
  • Qualitätssicherung
  • Standardisierte Verfahren
  • Motivierte und engagierte Mitarbeiter