SOC2-Berichterstattung als Instrument zur Risikominderung und zum Lieferantenmanagement

In der heutigen Zeit, in der das digitale Umfeld das tägliche Funktionieren von Unternehmen und Einzelpersonen beeinflusst, sind Datenschutz und Informationssicherheit eine der wichtigsten Prioritäten für erfolgreiche Unternehmen. Mit der zunehmenden Nutzung von Cloud-Diensten und IT-Outsourcing steigt auch der Bedarf an einem gründlichen Risikomanagement im Zusammenhang mit diesen Dienstleistern. In diesem Zusammenhang spielt der SOC2-Bericht eine wichtige Rolle als Instrument zur Risikominderung und zum Anbietermanagement.

Vor dem Hintergrund des aktuellen legislativen und regulatorischen Umfelds im Bereich der E-Government-Cloud (eGC) und anderer Vorschriften wie NIS2 und deren Umsetzung in den neuen Entwurf des Cybersicherheitsgesetzes, einschließlich der Durchführungsverordnungen, der DORA-Verordnung usw., gewinnt SOC2 noch mehr an Bedeutung. Alle diese Vorschriften verlangen, dass Organisationen über wirksame Risiko- und Anbietermanagementprozesse verfügen. Die Einhaltung dieser Anforderungen ist der Schlüssel zum Schutz sensibler Daten und zur Erfüllung rechtlicher und regulatorischer Anforderungen. Ein SOC2-Bericht kann ein nützliches Instrument sein, um diese Konformität nachzuweisen und die Sicherheit, Vertraulichkeit, Verfügbarkeit und Integrität von Systemen - sowohl internen als auch extern bereitgestellten - zu gewährleisten.
Was ist SOC2
Service Organizations Controls (SOC2) ist eine Art von Informationssicherheitszertifizierung für Unternehmen, die die Einhaltung bestimmter Sicherheitsstandards garantiert. Das Zertifikat wird nach einer Prüfung ausgestellt, bei der beurteilt wird, ob die Organisation die vom American Institute of Certified Public Accountants (AICPA) festgelegten Grundsätze und Ziele erfüllt. Diese Grundsätze umfassen die Bereiche Sicherheit, Verfügbarkeit, Vertraulichkeit, Verfahrensintegrität und Datenschutz.

SOC2 Typ I
SOC2 Typ I bewertet die Cybersicherheitskontrollen eines Unternehmens zu einem einzigen Zeitpunkt. Ziel ist es, festzustellen, ob die internen Kontrollen ausreichend und richtig konzipiert sind, um den richtigen Schutz der Kundendaten zu gewährleisten. Typ-I-Audits und -Berichte können innerhalb weniger Wochen abgeschlossen werden.

SOC2 Typ II
In einem SOC2 Typ II Bericht wird untersucht, wie gut die Systeme und Kontrollen einer Dienstleistungsorganisation über einen bestimmten Zeitraum (in der Regel 3-12 Monate) funktioniert haben. Untersucht wird die operative Tätigkeit und ob die Systeme während des gesamten Prüfungszeitraums wie ursprünglich vorgesehen funktionieren. Der Zeitaufwand für die Durchführung dieser Prüfung beträgt in der Regel zwischen 3 und 6 Monaten.

SOC2 Typ I vs. SOC2 Typ II
Beide Arten von SOC2 erfordern eine Prüfung durch eine Wirtschaftsprüfungsgesellschaft.
Bei der Auswahl eines Berichts kommt es immer darauf an, ob es realistisch ist, eine Überprüfung für den gesamten Prüfungszeitraum durchzuführen, oder ob es sich um eine erste Überprüfung handelt und die Einhaltung aller Anforderungen nicht gewährleistet ist. Wenn es nicht möglich ist, eine Überprüfung für den gesamten Zeitraum durchzuführen (z. B. wenn die Kontrollen erst vor kurzem eingeführt wurden), ist es besser, Typ I zu wählen und dann Typ II umzusetzen.

Das zweite Beispiel ist die Durchführung des ersten SOC2-Audits. Wenn der Kunde weiß, dass er bereits über Kontrollen verfügt und diese vor der eigentlichen Typ-II-Implementierung bestätigen muss, wird ein Typ-I-Bericht erstellt.

Die dritte Möglichkeit besteht darin, standardmäßig eine Überprüfung des Vorhandenseins von Kontrollen durchzuführen. In diesem Fall empfehlen wir den Kunden, eine Vorabbewertung der Übereinstimmung der internen Kontrollen mit den SOC2-Anforderungen durchzuführen.

Weitere Informationen finden Sie auf WEB HIER.
Cloud Computing, E-Government-Cloud und SOC2
Cloud Computing ist eine Methode zur Sicherstellung des Betriebs eines Informationssystems der öffentlichen Verwaltung oder eines Teils davon durch Fernzugriff auf eine gemeinsam genutzte technische Ressource oder Software, die vom Cloud Computing-Anbieter zur Verfügung gestellt wird und vom Administrator des Informationssystems der öffentlichen Verwaltung konfiguriert werden kann. Die eGC-Dienste umfassen drei Hauptkategorien von Cloud-Diensten:
  • IaaS (Infrastruktur als Dienstleistung)
  • PaaS (Plattform als Dienstleistung)
  • SaaS (Software als Dienstleistung)

Die Verordnung Nr. 316/2021 Slg. über bestimmte Anforderungen für die Aufnahme in den Cloud Computing-Katalog, die vom Nationalen Büro für Cyber- und Informationssicherheit (NCIS) herausgegeben wurde, trat 2021 in Kraft.

Um in den eGC-Katalog aufgenommen zu werden, muss es festgelegte strenge Sicherheits- und technische Kriterien erfüllen, die Maßnahmen für Sicherheit, Datenschutz, Verschlüsselung, Backup, Verfügbarkeit der Dienste, Schutz vor Angriffen und Bedrohungen usw. umfassen, wobei auch SOC2 Typ II-Berichte vorzulegen sind.
Ein Unternehmen kann durch einen SOC2-Bericht nachweisen, dass es Prozesse und Verfahren entwickelt und umgesetzt hat, die die Sicherheit in den vom eGC geforderten Bereichen gewährleisten.
Risikomanagement, Lieferanten und SOC2-Bericht
SOC2 definiert Sicherheitsanforderungen in den Bereichen Risikomanagement und Lieferantenmanagement. Eine Organisation, die einen SOC2-Bericht erhalten hat, hat Verfahren zur Bewertung und Auswahl von Lieferanten, zur Analyse von Lieferantenrisiken sowie zur Überwachung, Bewertung und Kontrolle der Einhaltung der Anforderungen entwickelt und umgesetzt. Sie hat auch Verfahren für die Beendigung von Lieferanten im Hinblick auf die Gewährleistung der Vertraulichkeit von Daten definiert und eine Ausstiegsstrategie entwickelt, um die Verfügbarkeit ihrer Dienstleistungen zu gewährleisten. Innerhalb der Organisation wurde ein Risikomanagementsystem entwickelt und eingeführt, das die Prozesse effizient gestaltet und die Organisation in die Lage versetzt, auf Risiken zu reagieren und deren negative Auswirkungen zu minimieren.
Alle diese Anforderungen werden im Rahmen des SOC2-Verfahrens durch ein gründliches Audit eines unabhängigen Wirtschaftsprüfers überprüft und getestet.

Unser Kunde, O2 Czech Republic, hat die SOC2 Typ II Zertifizierung erhalten. Diesem Projekt ging eine mehr als einjährige Vorbereitungszeit voraus, der ein unabhängiges Audit für den Zeitraum bis zum 30. November 2023 folgte.

Dank dieser Überprüfung kann O2 Czech Republic seine Dienste auch der öffentlichen Verwaltung anbieten. Als eines der wenigen tschechischen Unternehmen erfüllt es die Anforderungen des Gesetzes.

"Die Sicherheit und der Schutz von Kundendaten haben für O2 Priorität. Das SOC 2-Zertifikat bestätigt, dass wir innerhalb der O2 Cloud strenge Sicherheitsstandards einhalten und unsere regelmäßigen internen Kontrollen den höchsten Sicherheitsanforderungen für den Datenschutz entsprechen", erklärt Tomáš Křešt'ák, Director of Fixed Network Products. Lesen Sie die vollständige Pressemitteilung HIER.

Ein großes Dankeschön an das gesamte Team, angeführt von Dominika Adamcova.

Autor: Martin Hořický, Kristýna Žejšková