Kategorie: Cyber-Sicherheit

Folgen von ISAE 3402

Folgen von ISAE 3402

Um eine ISAE 3402-Zertifizierung zu erhalten, benötigen Sie eine Beschreibung Ihrer internen Kontrolle, auch bekannt als Service Organization Control Report (SOC).

Dieser Bericht wird von einem externen Wirtschaftsprüfer bestätigt. Der Wirtschaftsprüfer bescheinigt nicht wirklich, sondern erstellt einen Assurance-Bericht in Übereinstimmung mit dem Standard ISAE 3402 für Ihr SOC. Es gibt spezifische Anforderungen an den Inhalt eines solchen SOC- oder ISAE 3402-Berichts. Bei Risklane beschreiben wir Ihren Bericht gemäß diesen Anforderungen. Wir können Sie dann mit einem externen Wirtschaftsprüfer verbinden, der Ihre ISAE 3402 bescheinigt.

Viele Unternehmen konzentrieren sich auf ihre Kernaktivitäten und lagern Nicht-Kernaktivitäten an andere Unternehmen aus. Aufgrund regulatorischer Anforderungen und des schwindenden Vertrauens zwischen den Marktparteien ist die Nachfrage nach Sicherheit beim Outsourcing gestiegen. Ein ISAE 3402 bietet Sicherheit in Bezug auf alle Prozesse, die sich letztlich auf den Jahresabschluss der anwendenden Organisation auswirken.

Viele Organisationen, die von der niederländischen Zentralbank beaufsichtigt werden, müssen nachweisen, dass ausgelagerte Prozesse effektiv kontrolliert werden. Ein ISAE 3402-Bericht kann in dieser Hinsicht hilfreich sein und ist jetzt für mehr Organisationen wie Krankenversicherungen und die AFM obligatorisch. Internationale Unternehmen, die von der SEC beaufsichtigt werden und die SOx 404 einhalten müssen, müssen auch alle ISAE 3402- oder SSAE16-Anforderungen für die Prozesse erfüllen, die sie auslagern. In diesen Fällen ist die Forderung nach ISAE 3402 sicherlich gerechtfertigt.

Was ist GDPR/AVG?

Was ist GDPR/AVG?

EUROPÄISCHE DATENSCHUTZVERORDNUNG

Die Europäische Kommission hat beschlossen, dass die derzeitige Gesetzgebung nicht mehr mit den kontinuierlichen Veränderungen durch die Digitalisierung übereinstimmt. Diese neue Datenschutzregelung kommt in Form einer europäischen Verordnung, die für alle Organisationen in der Europäischen Union gilt: die Allgemeine Datenschutzverordnung (GDPR). Die Datenschutz-Grundverordnung gilt unmittelbar in allen EU-Mitgliedstaaten, ohne dass sie in nationales Recht umgesetzt werden muss.

NEUE DATENSCHUTZKONZEPTE GDPR (AVG)

führt neue Konzepte ein, wie das Recht auf Zugang und das Recht auf Vergessenwerden. Außerdem basiert die GDPR auf einer Reihe von Datenschutzgrundsätzen. Dies bringt verschiedene Verpflichtungen für Organisationen mit sich. Diese Verpflichtungen können von der Erstellung eines Registers für die Verarbeitung personenbezogener Daten bis hin zur Durchführung von Risikobewertungen (DPIA) und der Ernennung eines Datenschutzbeauftragten (DSB) reichen.

AUSWIRKUNGEN DER GDPR

Die Auswirkungen der Allgemeinen Datenschutzverordnung beschränken sich für die meisten Organisationen auf die Führung eines Registers der Verarbeitungstätigkeiten und die Umsetzung von Maßnahmen zur Informationssicherheit, die auf den Datenschutz ausgerichtet sind. Risklane bietet verschiedene Lösungen, um zu bestimmen, welche Maßnahmen in Ihrem Unternehmen obligatorisch sind. Zu den wichtigsten potenziellen Verpflichtungen gehören:

  • Sicherheitsmaßnahmen
  • Register der Verarbeitungstätigkeiten
  • Datenschutz-Folgenabschätzung (DPIA)
  • Datenschutzbeauftragter (DSB)

Wert von ISAE 3000 | SOC 2 Assurance

Wert von ISAE 3000 | SOC 2 Assurance

Wer kann einen Nutzen von ISAE 3000 | SOC 2 Assurance erwarten?

ISAE 3000 | SOC 2 wurde speziell für Dienstleistungsanbieter entwickelt, die Kundendaten in der Cloud speichern. Das bedeutet, dass die ISAE 3000 | SOC 2-Zertifizierung für fast jedes SaaS-Unternehmen sowie für jede Organisation, die Kundendaten in der Cloud speichert, einen Mehrwert darstellen kann.

ISAE 3000 | SOC 2 verlangt von Dienstleistern, dass sie strenge Richtlinien und Verfahren für die Informationssicherheit einführen und befolgen, einschließlich Sicherheit, Verfügbarkeit, Verarbeitung, Integrität und Vertraulichkeit von Kundendaten. ISAE 3000 | SOC 2 stellt sicher, dass die Maßnahmen eines Dienstleisters zur Informationssicherheit mit den aktuellen Cloud-Vorschriften übereinstimmen. Da Unternehmen zunehmend die Cloud nutzen, um Kundendaten zu speichern, wird die Einhaltung von ISAE 3000 | SOC 2 für eine Vielzahl von Organisationen, die Cloud-Dienste anbieten, zu einer Notwendigkeit. Der ISAE 3000 | SOC 2-Bericht kann für verschiedene Interessengruppen Transparenz und Sicherheit bieten.

Der ISAE 3000 | SOC 2 Bericht ist einzigartig

Die Anforderungen von ISAE 3000 | SOC 2 bieten einem Dienstleister einen gewissen Spielraum bei der Entscheidung, wie er die Kriterien für Trust Services erfüllt. Daher sind die ISAE 3000 | SOC 2 Berichte für jede einzelne Organisation einzigartig. Im Wesentlichen schaut sich der Dienstleister die Anforderungen von ISAE 3000 | SOC 2 an, entscheidet, welche für sein Unternehmen relevant sind, und definiert dann seine eigenen Kontrollen, um diese Anforderungen zu erfüllen. Der Dienstleister kann bei Bedarf zusätzliche Kontrollen definieren und andere ignorieren, wenn sie für seine Kernaktivitäten nicht relevant sind. Die Prüfung nach ISAE 3000 | SOC 2 ist das Urteil des Wirtschaftsprüfers darüber, wie die Kontrollmaßnahmen des Dienstleisters die Anforderungen erfüllen.

ISAE 3000 | SOC 2 und ISO 27001

ISAE 3000 | SOC 2 und ISO 27001

ISAE 3402 | SOC 2

ISAE 3000 | SOC 2 ist der internationale Standard für Sicherheit und andere nicht-finanzielle Informationen. ISAE 3402 wird angewandt, wenn es sich um ein Outsourcing handelt, bei dem Finanzinformationen von der Dienstleistungsorganisation verarbeitet werden. Wenn dies nicht der Fall ist, kann SOC 2 verwendet werden, zum Beispiel wenn nur die allgemeinen IT-Kontrollen (GITCs) in den Umfang des SOC-Berichts einbezogen werden. Der SOC 2-Standard enthält keine Bestimmungen für die interne Kontrolle, wie z.B. das COSO-Rahmenwerk. Diese Komponenten sind daher in einem SOC 2-Bericht nicht zwingend erforderlich. In den Vereinigten Staaten sind die Standards für SOC 2-Berichte die Trust Services Criteria und SSAE 18, die spezielle Anforderungen für GITCs bei Dienstleistungsunternehmen enthalten. Wenn ein SOC 2-Bericht gemäß den Trust Service Criteria erstellt wird, sind diese Komponenten obligatorisch.

ISO 27001

Informationssicherheit ist für jedes Unternehmen wichtig. Die Norm ISO 27001 ist ein internationales Rahmenwerk für Informationssicherheit. ISO 27001 kann zur Einrichtung der Informationssicherheit verwendet werden. Risklane verfügt über mehr als 10 Jahre Erfahrung im Aufbau von Risikomanagementstrukturen, Informationssicherheit und Prozessverbesserung. Informationssicherheit muss immer einen Mehrwert haben, der die Organisation handhabbarer macht, und ISO 27001 bietet Möglichkeiten für neue Kunden.

Welche ist für Sie besser geeignet?

Beide Standards dienen dazu, Ihren Kunden Sicherheit zu bieten. Es gibt drei wichtige Überlegungen, was für Ihre Kunden am besten geeignet ist:

  • Hat Ihr(e) Kunde(n) ausdrücklich einen der beiden Standards verlangt oder vorgeschrieben?
  • Wo befinden sich Ihre Kunden?
  • In welchen Bereichen sind Ihre Kunden tätig?

Die Kunden bevorzugen den Standard, mit dem sie besser vertraut sind. Europäische Kunden bevorzugen eher ISO 27001, während in den USA SOC 2 bevorzugt wird. Der Finanzdienstleistungssektor bevorzugt SOC 2, da er sich auf die betriebliche Effizienz konzentriert und sich aus der für sein Geschäft geltenden Rechnungslegungspraxis und den rechtlichen Anforderungen im Allgemeinen ergibt.

Am besten besprechen Sie die Vorgehensweise mit bestehenden Kunden und/oder potenziellen Kunden. Auf diese Weise werden Sie nicht unvorbereitet getroffen und können eine fundierte Entscheidung treffen.