In naher Zukunft werden viele Unternehmen verpflichtet sein, ihre IT-Sicherheitslieferanten zu verwalten und ihre gesamte Lieferkette zu prüfen. Diese Verpflichtung kann eine erhebliche Belastung für die internen Ressourcen der betroffenen Unternehmen darstellen.
Größere Unternehmen sind sich oft bewusst, dass die Prüfung von Dutzenden ihrer Geschäftspartner oder die Durchführung einer eigenen Prüfung eine erhebliche zeitliche Belastung für ihre internen Teams darstellen kann.
Im Zusammenhang mit den aktuellen aufsichtsrechtlichen Anforderungen, wie z.B. der NIS2-Gesetzgebung oder der DORA-Verordnung, ist es eine Überlegung wert, ob es ein Instrument gibt, bei dem ein einziger Auditbericht die Umsetzung aller geforderten Verfahren nachweisen kann. Zu diesem Zweck wird seit vielen Jahren das so genannte SOC2-Audit eingesetzt, insbesondere auf den US-amerikanischen Märkten.
Die SOC2-Berichterstattung ist ein robustes Audit, das die Informationssicherheit eines Anbieters umfassend prüft und eine unabhängige Bewertung durch eine Wirtschaftsprüfungsgesellschaft liefert. Damit wird auch sichergestellt, dass die Systeme und Prozesse des Unternehmens so konzipiert sind, dass Datensicherheit, Vertraulichkeit, Verfügbarkeit und Integrität gewährleistet sind.
Durch die Abdeckung der regulatorischen Anforderungen in vielen Bereichen ist ein großer Teil der Anforderungen bereits erfüllt. Erweiterungen können dann in Form eines SOC2+-Berichts vorgenommen und durch weitere Anforderungen wie HIPAA, Dora, NIS2, NIST usw. ergänzt werden.
Die Wahl zwischen SOC2 Typ I und Typ II hängt davon ab, ob es realistisch ist, den gesamten Prüfungszeitraum zu prüfen. Wenn die Sicherheitsmaßnahmen gerade erst eingeführt wurden, ist es besser, mit Typ I zu beginnen, mit der Möglichkeit, später zu SOC2 Typ II überzugehen.
autor: Martin Hořický
Größere Unternehmen sind sich oft bewusst, dass die Prüfung von Dutzenden ihrer Geschäftspartner oder die Durchführung einer eigenen Prüfung eine erhebliche zeitliche Belastung für ihre internen Teams darstellen kann.
Im Zusammenhang mit den aktuellen aufsichtsrechtlichen Anforderungen, wie z.B. der NIS2-Gesetzgebung oder der DORA-Verordnung, ist es eine Überlegung wert, ob es ein Instrument gibt, bei dem ein einziger Auditbericht die Umsetzung aller geforderten Verfahren nachweisen kann. Zu diesem Zweck wird seit vielen Jahren das so genannte SOC2-Audit eingesetzt, insbesondere auf den US-amerikanischen Märkten.
Die SOC2-Berichterstattung ist ein robustes Audit, das die Informationssicherheit eines Anbieters umfassend prüft und eine unabhängige Bewertung durch eine Wirtschaftsprüfungsgesellschaft liefert. Damit wird auch sichergestellt, dass die Systeme und Prozesse des Unternehmens so konzipiert sind, dass Datensicherheit, Vertraulichkeit, Verfügbarkeit und Integrität gewährleistet sind.
Das gesamte Audit prüft die obligatorische Bewertung des Bereichs "Sicherheit", in dem die folgenden Bereiche abgedeckt werden:
- CC1 - Kontrollumfeld
- CC2 - Kommunikation und Information
- CC3 - Risikobewertung
- CC4 - Überwachung der Kontrollen
- CC5 - Kontrolltätigkeiten
- CC6 - Logische und physische Zugangskontrollen
- CC7 - Systembetrieb
- CC8 - Änderungsmanagement
- CC9 - Risikominderung
Je nach Art der erbrachten Dienstleistungen können die folgenden Punkte optional erweitert werden:
- Verfügbarkeit
- Vertraulichkeit
- Datenschutz
- Prozessintegrität
Durch die Abdeckung der regulatorischen Anforderungen in vielen Bereichen ist ein großer Teil der Anforderungen bereits erfüllt. Erweiterungen können dann in Form eines SOC2+-Berichts vorgenommen und durch weitere Anforderungen wie HIPAA, Dora, NIS2, NIST usw. ergänzt werden.
Was ist SOC2?
SOC2 (Service Organizations Control) ist ein vom American Institute of Certified Public Accountants (AICPA) definierter Standard, der die Informationssicherheit von Unternehmen bewertet. Bei diesem Audit wird überprüft, ob ein Unternehmen Maßnahmen in fünf Schlüsselbereichen ergriffen hat: Sicherheit, Verfügbarkeit, Vertraulichkeit, Prozessintegrität und Datenschutz. Unternehmen, die das Audit erfolgreich bestehen, erhalten einen Bericht mit einer Erklärung, die als Nachweis für ihre Fähigkeit zum Schutz der Daten ihrer Kunden dient.SOC2 Typ I vs. SOC2 Typ II
Es gibt zwei Arten von SOC2-Audits. SOC2 Typ I bewertet die Gestaltung der Sicherheitskontrollen zu einem bestimmten Zeitpunkt, so dass Sie schnell überprüfen können, ob die festgelegten Prozesse in Ordnung sind. SOC2 Typ II geht einen Schritt weiter und prüft, ob diese Kontrollen über einen längeren Zeitraum, in der Regel 3 bis 12 Monate in der Vergangenheit, ordnungsgemäß funktionieren. Der Typ-II-Bericht gibt einen detaillierteren Einblick in die langfristige Leistung der Sicherheitsmechanismen und -prozesse.Die Wahl zwischen SOC2 Typ I und Typ II hängt davon ab, ob es realistisch ist, den gesamten Prüfungszeitraum zu prüfen. Wenn die Sicherheitsmaßnahmen gerade erst eingeführt wurden, ist es besser, mit Typ I zu beginnen, mit der Möglichkeit, später zu SOC2 Typ II überzugehen.
SOC2 und Cloud Computing im E-Government
Cloud Computing ist heute ein fester Bestandteil der Informationssysteme, insbesondere in der öffentlichen Verwaltung. Um in den eGC-Katalog aufgenommen zu werden, wie es das Dekret Nr. 316/2021 Slg. vorschreibt, müssen Cloud-Anbieter strenge Sicherheitskriterien erfüllen, wozu häufig die Zertifizierung nach SOC2 Typ II gehört. SOC2 spielt somit eine wichtige Rolle bei der Einhaltung der Cybersicherheitsanforderungen für Cloud-Dienste.Risiko- und Lieferantenmanagement mit SOC2
Mit dem SOC2-Bericht können Unternehmen nicht nur nachweisen, dass sie über Verfahren zum Schutz von Daten verfügen, sondern auch, dass sie die mit ihren Anbietern verbundenen Risiken wirksam verwalten. Diese Prüfung bestätigt, dass das Unternehmen regelmäßige Risikoanalysen durchführt, die Leistung und Qualität der Anbieter überwacht und über eine Ausstiegsstrategie verfügt, um die Vertraulichkeit und Integrität der Daten zu gewährleisten.Möchten Sie sich auf künftige Vorschriften vorbereiten?
Die Durchführung eines SOC2-Audits gibt Ihnen einen klaren Überblick darüber, wie gut Ihre Prozesse, Systeme und Sicherheit eingerichtet sind. Das SOC2 bereitet Sie auf die Anforderungen im Bereich der Datensicherheit und der operationellen Risiken vor, die auch für kommende Verordnungen wie NIS2 und DORA von Bedeutung sein werden. Diese neuen Vorschriften legen den Schwerpunkt auf Cybersicherheit und Risikomanagement, und wenn Sie bereits über SOC2-Verfahren verfügen, sind Sie der Zeit weit voraus, um die Einhaltung dieser Vorschriften zu gewährleisten.autor: Martin Hořický