Management des Vorgangs von der ISO 27001-Zertifizierung zu SOC 2

Dies ist eine Werdegang, der immer häufiger vorkommt... 

Sie haben den Prozess der ISO 27001-Zertifizierung durchlaufen - was eine Menge Arbeit bedeutet: Sie haben sich über die Anforderungen informiert, die Dokumentation erstellt und das Programm implementiert. Das ist eine beachtliche Leistung, und Sie haben die Compliance-Anforderungen Ihrer europäischen Kunden erfüllt. Wenn Sie jedoch in die Vereinigten Staaten expandieren wollen, wird Ihnen von potenziellen Kunden allerdings eine andere Frage gestellt: Wo ist Ihr SOC-2-Bericht? 

Wahrscheinlich können Sie Ihre ISO 27001-Zertifizierung weitergeben, vielleicht erklären, was sie bedeutet, und das bringt Sie wahrscheinlich über die erste Sicherheitsüberprüfung hinaus, aber die neuen Gegebenheiten haben Sie dazu motiviert, sich mit dem SOC 2-Prozess zu befassen. 

Wenn dies der Fall ist, sind Sie bei uns genau richtig. Und wenn Sie es richtig anstellen, ist der größte Teil der Arbeit, die Sie für Ihren SOC-2-Bericht benötigen, bereits erledigt.

‍

Was ist ein SOC 2-Bericht? 

Service Organization Control Type 2 oder "SOC 2" ist ein Berichts- und Prüfungsrahmen, der vom American Institute of Certified Public Accountants (AICPA) entwickelt wurde. Es hilft Unternehmen dabei, zu definieren und zu kommunizieren, wie sie Kundendaten verwalten, verarbeiten und speichern, und zwar in einem schriftlichen Bericht, der von einer unabhängigen dritten Partei validiert wird und bestimmte Anforderungen und Qualitätskontrollstandards erfüllt.

Der entscheidende Aspekt von SOC 2 ist, dass es sich um ein Berichtsrahmenwerk (und nicht um ein Rahmenwerk zur Einhaltung von Vorschriften) handelt, was bedeutet, dass es zwar Leitlinien für Kontrollen gibt, aber keine vorgeschriebene Liste von Standards oder Anforderungen. Stattdessen hat die AICPA die Trust Services Criteria (TSC) aufgestellt, die eine Reihe von Ergebnissen liefern, die ein System erfüllen sollte, um seine Geschäftsziele zu erreichen. Das erste Kriterium (CC1.1) in den TSC lautet zum Beispiel: "Die Organisation bekennt sich zu Integrität und ethischen Werten", und es wird von ihr erwartet, dass sie Kontrollen zur Erreichung dieses Ziels festlegt, was durch die Festlegung von Verhaltensstandards, die Bewertung der Leistung anhand dieser Standards und die Festlegung einer Haltung an der Spitze, die das Funktionieren der internen Kontrollen unterstützt, erreicht werden kann.

Als Berichtsrahmen ist SOC 2 kein Maß für den Reifegrad Ihres Unternehmens oder dessen Sicherheitslage. Es gibt keine Mindestanforderungen. Die Erwartung ist, dass Ihre Kontrollen das erfüllen, was Sie als Ihre "Serviceverpflichtungen und Systemanforderungen" definiert haben. In Wirklichkeit schaffen Sie einen Maßstab dafür, dass Ihr Sicherheitsprogramm mit den Versprechungen übereinstimmt, die Sie intern und extern gemacht haben. Damit können Sie zur Rechenschaft gezogen werden und eine unabhängige dritte Partei bestätigt, dass Sie die Dinge so tun, wie Sie es Ihren Kunden in Verträgen und Marketingdokumenten mitteilen. 

Aufgrund der fehlenden Anforderungen kann jeder SOC-2-Bericht von Unternehmen zu Unternehmen unterschiedlich aussehen, da die Sicherheitsbedürfnisse und -ressourcen eines jeden Unternehmens unterschiedlich sind. Ein Grund für die Beliebtheit des Dienstes ist seine Flexibilität, die den Prozess im Vergleich zu anderen Compliance-Frameworks leichter zugänglich macht. 

Sie vervollständigen Ihren Bericht, indem Sie Ihre Geschäftsziele identifizieren, die Kontrollen, die Sie zur Erreichung dieser Ziele haben, mit dem TSC abgleichen und die Informationen in einem Bericht zusammenfassen, der die Prozesse und Systeme zur Sicherung der Kundeninformationen beschreibt. Der Bericht wird dann vom Prüfer anhand des TSC bewertet, und die entsprechenden Kontrollen sind Gegenstand von Prüfungsverfahren. 

‍

Wie unterscheidet sich ein SOC 2-Bericht von einer ISO 27001-Zertifizierung? 

ISO 27001 legt Standards für die Implementierung eines Informationssicherheitsmanagementsystems (ISMS) fest, das von der Internationalen Organisation für Normung (ISO) überwacht wird. Die Konformität mit der Norm bedeutet, dass Ihr Unternehmen ein System zur Bewältigung von Sicherheitsrisiken eingerichtet hat, und mit der Zertifizierung können Sie Ihr Engagement für einen sicheren Umgang mit Informationen nachweisen. Während der Rahmen für einen SOC-2-Bericht also völlige Flexibilität bietet, ist dies bei ISO 27001 anders, wo Ihre Systeme für das Risikomanagement eine Reihe spezifischer Standards erfüllen müssen. 

Der Unterschied zwischen einem Berichterstattungsrahmen und einem Kontrollrahmen ist von entscheidender Bedeutung, wenn Sie ISO-konform sind, denn er sollte Ihnen den Druck nehmen, wenn Sie mit der Erstellung Ihres SOC-2-Berichts beginnen. Die Grundlagen der ISO - Risikobewertung, dokumentierte Richtlinien und ein systematischer Ansatz für Sicherheitsentscheidungen - lassen sich direkt auf Ihren SOC-2-Bericht übertragen. Aus diesem Grund wird eine der größten Hürden für die Fertigstellung Ihres SOC-2-Berichts (das Fehlen spezifischer Anforderungen) durch die ISO vollständig überwunden, weshalb sie im Allgemeinen der beste Ausgangspunkt ist, wenn Sie wissen, dass Sie bei der Erstellung eines Compliance-Programms beides tun werden.

‍

Die wichtigsten Unterschiede zwischen einem SOC 2-Bericht und einer ISO 27001-Zertifizierung

‍

‍

Erfordert der Wechsel von ISO zu SOC 2 neue Kontrollen? Muss ich von vorne anfangen?

Ganz einfach: Nein. Beide haben unterschiedliche Schwerpunkte, Berichterstattungen und Prüferrichtlinien, konzentrieren sich aber auf die Art und Weise, wie Sie mit der Informationssicherheit umgehen, auf Ihren Ansatz zur Minderung von Informationssicherheitsrisiken und auf die Gewährleistung von Kontrollen zur Aufrechterhaltung der Informationssicherheit. Das Hauptziel beider ist es, Ihren Kunden zu beweisen, dass Sicherheit für Sie oberste Priorität hat. Die harte Arbeit, die Sie in Ihre ISO 27001-Zertifizierung gesteckt haben, verschafft Ihnen einen echten Vorsprung bei der Fertigstellung Ihrer SOC 2-Bescheinigung. 

Wenn Sie den Prozess wie vorgesehen durchlaufen haben und mit qualifizierten Prüfern zusammenarbeiten, sollte sich der Arbeitsaufwand auf die Bewertung der Kontrollen anhand der TSC und die Erstellung einer Systembeschreibung beschränken. Das SOC-2-Rahmenwerk bietet jedoch andere Schwerpunkte, und es wäre ein Fehler, sich direkt in ein SOC-2-Projekt zu stürzen, ohne zu prüfen, wie gut Ihr Unternehmen mit diesen Unterschieden umgeht (und wie gut sie dokumentiert sind). Aber mit starken Mitarbeitern und Werkzeugen, die Sie unterstützen, kann der Prozess relativ einfach sein.

Ihr ISO 27001-Auditor wird sich wahrscheinlich von Ihrem SOC 2-Auditor unterscheiden, so dass ein großer Teil des Schwerpunkts bei der Umstellung von der ISO 27001-Zertifizierung auf den SOC 2-Abschluss auf die Organisation von Informationen in einer Weise gerichtet sein wird, die den unterschiedlichen Rahmen am besten unterstützt. Auditoren haben unterschiedliche Prozesse und Meinungen, daher ist es am besten, einen Auditor in den Planungsprozess mit einzubeziehen und mit ihm als Resonanzboden zu arbeiten, während Sie Ihre SOC 2-Bereitschaft überprüfen.

‍

Wie kann ich meine ISO-Arbeit nutzen und mich auf SOC 2 vorbereiten? 

Wenn das immer noch überwältigend oder ein wenig verwirrend klingt, finden Sie hier ein Beispiel für die Überschneidungen zwischen den beiden Rahmenwerken und wie Sie die Arbeit, die Sie bereits für Ihre ISO 27001-Zertifizierung geleistet haben, nutzen können.

Die ISO-Anforderung 5.3 konzentriert sich auf die Definition und Aufrechterhaltung klarer organisatorischer Rollen, Verantwortlichkeiten und Befugnisse.

SOC 2 Common Criteria (CC) 1.3 besagt, dass die Geschäftsleitung Strukturen, Berichtslinien sowie angemessene Befugnisse und Zuständigkeiten einrichten sollte, um die Ziele unter der Aufsicht des Verwaltungsrats zu erreichen.

Beide zielen darauf ab, die Struktur einer Organisation, die Zuständigkeiten der einzelnen Rollen und die Gewissheit, dass die einzelnen Personen über die entsprechenden Entscheidungsbefugnisse verfügen, darzulegen. Das Organigramm, die Stellenbeschreibungen und die Grundsatzdokumente, die Sie zur Erfüllung der ISO-Anforderung 5.3 erstellt haben, sind auch die Kontrollen, die Sie zur Erfüllung von CC1.3 in Ihrem SOC-2-Bericht verwenden.

Die größte Herausforderung bei diesem Prozess besteht darin, die Brücke zwischen den ISO-Anforderungen und den TSC zu schlagen, und dabei kann ein erhebliches Maß an Urteilsvermögen erforderlich sein. Es ist wichtig, spezifisch und klar festzulegen, welche Kontrollen die einzelnen Kriterien erfüllen, und sicherzustellen, dass die entsprechende Dokumentation verfügbar ist, und zwar in einem Format, das der Prüfer versteht und akzeptiert. 

‍

Kann Secfix bei der Umstellung helfen? 

Secfix begann damit, das Leben kleiner und mittlerer Unternehmen zu vereinfachen, indem es ihnen ermöglichte, sicher und ISO 27001-konform zu werden. Das Unternehmen hat Software entwickelt, um die Sicherheit und die Einhaltung von Vorschriften für diese Unternehmen zu automatisieren. Mit dem Wachstum von Secfix ist auch das Angebot gewachsen, und die Plattform für das Konformitätsmanagement unterstützt auch den SOC 2-Berichtsrahmen. Wer könnte Ihnen besser beim Übergang von der ISO 27001 zur SOC 2-Zertifizierung helfen als das Unternehmen, das die Back-End-Plattform für genau diese Aufgabe entwickelt hat.

‍

Dieser Blog wurde gemeinsam von MJD Advisors und Secfix verfasst!