AICPA SOC 2 und Risikomanagement für Drittparteien
Das American Institute of Certified Public Accountants (AICPA) Assurance Services Executive Committee (ASEC) hat Kriterien für Vertrauensdienste entwickelt, die Unternehmen als Rahmen für den Nachweis der Vertraulichkeit, Integrität und Verfügbarkeit von Systemen und Daten verwenden können.
Organisationen, die mit System- und Organisationskontrollen (SOC) 2-Audits vertraut sind, werden erkennen, dass diese Trust Services-Kriterien verwendet werden, um über die Effektivität ihrer internen Kontrollen und Sicherheitsvorkehrungen in Bezug auf Infrastruktur, Software, Mitarbeiter, Verfahren und Daten zu berichten:
- Sicherheit: Schutz von Informationen und Systemen gegen unbefugten Zugriff, unbefugte Offenlegung von Informationen und Beschädigung von Systemen, die die Verfügbarkeit, die Integrität, die Vertraulichkeit und den Datenschutz von Informationen oder Systemen gefährden und die Fähigkeit der Einrichtung beeinträchtigen könnten, ihre Ziele zu erreichen.
- Verfügbarkeit: Sicherstellung der Verfügbarkeit von Informationen und Systemen für den Betrieb und die Nutzung, um die Ziele der Organisation zu erreichen.
- Integrität der Verarbeitung: Sicherstellung, dass die Systemverarbeitung vollständig, gültig, genau, zeitgerecht und autorisiert ist, um die Ziele der Organisation zu erreichen.
- Vertraulichkeit: Schutz von Informationen, die als vertraulich eingestuft werden, um die Ziele der Einrichtung zu erreichen.
- Datenschutz: Sicherstellen, dass personenbezogene Daten, die gesammelt, verwendet, aufbewahrt, weitergegeben und entsorgt werden, den Zielen der Einrichtung entsprechen.
Erfüllung der SOC 2 TPRM-Anforderungen
Hier erfahren Sie, wie Prevalent Ihnen dabei helfen kann, die SOC 2-Anforderungen für das Risikomanagement von Drittanbietern zu erfüllen, wie sie in den AICPA-Kriterien für Treuhanddienste festgelegt sind:
Kriterien für Vertrauensdienste
Wie wir helfen
CC2.3: Die Organisation kommuniziert mit externen Parteien über Angelegenheiten, die das Funktionieren der internen Kontrolle betreffen.
Kommunikation von Zielen in Bezug auf die Vertraulichkeit und Änderungen an Zielen - Die Stelle kommuniziert externen Benutzern, Anbietern, Geschäftspartnern und anderen, deren Produkte und Dienstleistungen Teil des Systems sind, Ziele und Änderungen an Zielen in Bezug auf die Vertraulichkeit.
Kommunikation der Ziele in Bezug auf den Datenschutz und Änderungen an den Zielen - Die Einrichtung kommuniziert externen Benutzern, Anbietern, Geschäftspartnern und anderen, deren Produkte und Dienstleistungen Teil des Systems sind, die Ziele in Bezug auf den Datenschutz und Änderungen an diesen Zielen.
Die Prevalent Third-Party Risk Management (TPRM)-Plattform verwaltet zentral den Dialog über Risiken, Berichterstattung und Abhilfemaßnahmen zwischen Unternehmen und ihren Drittanbietern, Lieferanten und Partnern.
Darüber hinaus ermöglicht die Plattform die Speicherung von Berichten, Grundsatzdokumenten, Verträgen und Belegen für den Dialog, die Bescheinigung und den Austausch.
Zusammen gewährleisten diese Funktionen, dass Unternehmen über ein einziges Repository zur Visualisierung und Verwaltung von Risiken, Anbieterdokumentation und Abhilfemaßnahmen verfügen.
CC3.2: Die Organisation identifiziert die Risiken für die Erreichung ihrer Ziele in der gesamten Organisation und analysiert die Risiken als Grundlage für die Entscheidung, wie die Risiken gesteuert werden sollen.
Analyse der Bedrohungen und Schwachstellen von Anbietern, Geschäftspartnern und anderen Parteien - Der Risikobewertungsprozess der Einrichtung umfasst die Analyse potenzieller Bedrohungen und Schwachstellen, die von Anbietern von Waren und Dienstleistungen ausgehen, sowie Bedrohungen und Schwachstellen, die von Geschäftspartnern, Kunden und anderen Personen mit Zugang zu den Informationssystemen der Einrichtung ausgehen.
Die Prevalent TPRM-Plattform ermöglicht es Unternehmen, die kritischen Aufgaben zu automatisieren, die für die Bewertung, Verwaltung, kontinuierliche Überwachung und Behebung von Sicherheits-, Datenschutz-, Compliance-, Lieferketten- und beschaffungsbezogenen Risiken von Drittanbietern in jeder Phase des Lieferantenlebenszyklus erforderlich sind - vom Onboarding bis zum Offboarding.
Die Lösung bietet die Möglichkeit, punktuelle Risikobewertungen unter Verwendung von mehr als 750 verschiedenen Vorlagen zu erstellen und zu verwalten, die Ergebnisse zu analysieren sowie Cyber-, Geschäfts-, Reputations- und Finanzrisiken Dritter kontinuierlich zu überwachen, um einen ganzheitlichen Überblick über Dritte zu erhalten.
Integrierte Berichtsvorlagen sorgen dafür, dass Sicherheits- und Risikomanagementteams die Ergebnisse der Risikobewertung an Führungskräfte und andere Entscheidungsträger und Interessengruppen weitergeben können.
CC3.4: Die Organisation identifiziert und bewertet Änderungen, die sich erheblich auf das interne Kontrollsystem auswirken könnten.
Bewertung von Änderungen in den Beziehungen zu Lieferanten und Geschäftspartnern - Bei der Risikoermittlung werden Änderungen in den Beziehungen zu Lieferanten und Geschäftspartnern berücksichtigt.
Die Prevalent-Plattform nutzt anpassbare Umfragen und Workflows, um während des Offboardings Berichte über den Systemzugriff, die Datenvernichtung, die Zugriffsverwaltung, die Einhaltung aller relevanten Gesetze, die Abschlusszahlungen und vieles mehr zu erstellen, um sicherzustellen, dass sich mit der Änderung von Vereinbarungen auch die Verantwortlichkeiten ändern.
Darüber hinaus bietet Prevalent Contract Essentials an, eine Lösung, die die Verteilung, Diskussion, Aufbewahrung und Überprüfung von Lieferantenverträgen zentralisiert. Sie umfasst Workflow-Funktionen zur Automatisierung des Vertragslebenszyklus vom Onboarding bis zum Offboarding.
CC9.2: Die Organisation bewertet und steuert die Risiken im Zusammenhang mit Anbietern und Geschäftspartnern.
Festlegung von Anforderungen für die Einbindung von Anbietern und Geschäftspartnern - Die Einrichtung legt spezifische Anforderungen für die Einbindung von Anbietern und Geschäftspartnern fest, die (1) den Leistungsumfang und die Produktspezifikationen, (2) die Rollen und Zuständigkeiten, (3) die Anforderungen an die Einhaltung der Vorschriften und (4) die Leistungsstufen umfassen.
Prevalent Contract Essentials unterstützt das Lieferantenmanagement, die Beschaffung und die Rechtsabteilung bei der Vereinfachung des Prozesses der Erstellung und Verhandlung von Vertragsbedingungen und SLAs, der Verwaltung von Redlines und der Sicherstellung von Genehmigungen durch Workflow. Die Lösung ist vollständig in die TPRM-Plattform integriert und stellt sicher, dass Unternehmen ihre Lieferantenverträge mit der gleichen Disziplin verwalten können wie ihre Lieferantenrisiken.
Bewertung der Risiken von Anbietern und Geschäftspartnern - Die Organisation bewertet regelmäßig die Risiken, die Anbieter und Geschäftspartner (und deren Anbieter und Geschäftspartner) für die Erreichung der Ziele der Organisation darstellen.
Die Prevalent-Plattform ermöglicht es Unternehmen, die kritischen Aufgaben zu automatisieren, die für die Bewertung, Verwaltung, kontinuierliche Überwachung und Behebung von Sicherheits-, Datenschutz-, Compliance-, Lieferketten- und Beschaffungsrisiken von Drittanbietern in jeder Phase des Lieferantenlebenszyklus erforderlich sind - vom Onboarding bis zum Offboarding.
Zuweisung von Verantwortung und Rechenschaftspflicht für das Management von Anbietern und Geschäftspartnern - Die Einrichtung weist die Verantwortung und Rechenschaftspflicht für das Management von Risiken im Zusammenhang mit Anbietern und Geschäftspartnern zu.
Mit der Prevalent-Plattform können Sicherheits- und Risikomanagement-Teams Aufgaben im Zusammenhang mit der Verwaltung von Bewertungsrisiken manuell zuweisen oder eine vorgefertigte Bibliothek von ActiveRules nutzen, um eine Reihe von Aufgaben zu automatisieren, die normalerweise als Teil der Bewertungs- und Überprüfungsprozesse durchgeführt werden - wie z. B. das Aktualisieren von Anbieterprofilen und Risikoattributen, das Versenden von Benachrichtigungen oder das Aktivieren von Workflows - unter Verwendung einer Wenn-dann-dass-Logik.
Bewertung der Leistung von Anbietern und Geschäftspartnern - Die Einrichtung bewertet regelmäßig die Leistung von Anbietern und Geschäftspartnern.
Die Prevalent-Plattform ermöglicht es den Managementteams der Anbieter, die zu verfolgenden Anforderungen festzulegen und die SLA- und Leistungsberichte zu diesen Anforderungen über ein einziges Berichts- und Analyse-Dashboard zu zentralisieren.
Implementierung von Verfahren zur Behandlung von Problemen, die bei der Bewertung von Anbietern und Geschäftspartnern festgestellt wurden - Die Einrichtung implementiert Verfahren zur Behandlung von Problemen, die bei den Beziehungen zu Anbietern und Geschäftspartnern festgestellt wurden.
Die Prevalent-Plattform bietet Berichte, die Risikotrends, den Status und Ausnahmen vom üblichen Verhalten für einzelne Anbieter oder Gruppen mit eingebetteten Erkenntnissen aus dem maschinellen Lernen aufzeigen. Mit dieser Funktion können Teams schnell Ausreißer bei Bewertungen, Aufgaben, Risiken usw. erkennen, die eine weitere Untersuchung rechtfertigen könnten.
Implementierung von Verfahren zur Beendigung von Lieferanten- und Geschäftspartnerbeziehungen - Die Einrichtung implementiert Verfahren zur Beendigung von Lieferanten- und Geschäftspartnerbeziehungen.
Die Prevalent-Plattform nutzt anpassbare Umfragen und Workflows, um während des Offboardings Berichte über den Systemzugriff, die Datenvernichtung, das Zugriffsmanagement, die Einhaltung aller relevanten Gesetze, Abschlusszahlungen und mehr zu erstellen.
Bewertung der Einhaltung von Vertraulichkeitsverpflichtungen von Anbietern und Geschäftspartnern - Die Einrichtung bewertet regelmäßig und bei Bedarf die Einhaltung der Vertraulichkeitsverpflichtungen und -anforderungen der Einrichtung durch Anbieter und Geschäftspartner.
Bewertung der Einhaltung der Datenschutzverpflichtungen von Anbietern und Geschäftspartnern - Die Einrichtung bewertet regelmäßig und bei Bedarf die Einhaltung der Datenschutzverpflichtungen und -anforderungen der Einrichtung durch Anbieter und Geschäftspartner und ergreift bei Bedarf Korrekturmaßnahmen.
Bewertung der Einhaltung der Datenschutzverpflichtungen von Anbietern und Geschäftspartnern - Die Einrichtung bewertet regelmäßig und bei Bedarf die Einhaltung der Datenschutzverpflichtungen und -anforderungen der Einrichtung durch Anbieter und Geschäftspartner und ergreift bei Bedarf Korrekturmaßnahmen.
Die Prevalent-Plattform ermöglicht Risikomanagement- und Compliance-Teams die automatische Zuordnung von Informationen, die aus kontrollbasierten Anbieterbewertungen gewonnen wurden, zu Regelwerken wie ISO 27001, NIST, CMMC, GDPR, CoBiT 5, SSAE 18, SIG, SIG Lite, SOX, NYDFS und anderen, um wichtige Compliance-Anforderungen schnell zu erkennen und zu erfüllen.
P6.4: Die Organisation holt von Anbietern und anderen Dritten, die Zugang zu personenbezogenen Daten haben, Datenschutzzusagen ein, um die Ziele der Organisation in Bezug auf den Datenschutz zu erreichen. Die Organisation bewertet die Einhaltung dieser Verpflichtungen durch diese Parteien regelmäßig und bei Bedarf und ergreift gegebenenfalls Korrekturmaßnahmen.
Weitergabe personenbezogener Daten nur an geeignete Dritte - Personenbezogene Daten werden nur an Dritte weitergegeben, die mit der Stelle Vereinbarungen zum Schutz personenbezogener Daten in einer Weise getroffen haben, die mit den relevanten Aspekten des Datenschutzhinweises der Stelle oder anderen spezifischen Anweisungen oder Anforderungen übereinstimmt. Die Stelle verfügt über Verfahren, um zu bewerten, ob die Dritten über wirksame Kontrollen verfügen, um die Bedingungen der Vereinbarung, Anweisungen oder Anforderungen zu erfüllen.
Prevalent enthält integrierte Bewertungen für Datenschutzbestimmungen wie GDPR, CCPA, HIPAA und NYDFS. Die Ergebnisse dieser Bewertungen werden in ein zentrales Risikoregister aufgenommen, in dem Sicherheits- und Risikomanagementteams potenzielle Risiken für Daten visualisieren und Maßnahmen ergreifen sowie die Maßnahmen eines Anbieters mit seinen vertraglichen Verpflichtungen vergleichen können.
Behebung des Missbrauchs personenbezogener Daten durch Dritte - Die Einrichtung ergreift Abhilfemaßnahmen als Reaktion auf den Missbrauch personenbezogener Daten durch einen Dritten, an den die Einrichtung diese Daten weitergegeben hat.
Die Prevalent-Plattform enthält integrierte Anleitungen und Empfehlungen für Abhilfemaßnahmen. Sicherheits- und Risikomanagementteams können über die Plattform effizient mit Anbietern kommunizieren und Abhilfemaßnahmen koordinieren, Gespräche erfassen und prüfen sowie voraussichtliche Fertigstellungstermine aufzeichnen.
P6.5: Die Stelle lässt sich von Anbietern und anderen Dritten, die Zugang zu personenbezogenen Daten haben, verpflichten, die Stelle im Falle einer tatsächlichen oder vermuteten unbefugten Weitergabe personenbezogener Daten zu benachrichtigen. Solche Meldungen werden an das zuständige Personal weitergeleitet und gemäß den festgelegten Verfahren für die Reaktion auf Vorfälle bearbeitet, um die Ziele der Stelle in Bezug auf den Datenschutz zu erreichen.
Behebung des Missbrauchs personenbezogener Daten durch Dritte - Die Einrichtung ergreift Abhilfemaßnahmen als Reaktion auf den Missbrauch personenbezogener Daten durch einen Dritten, an den die Einrichtung diese Daten weitergegeben hat.
Meldung tatsächlicher oder vermuteter unbefugter Offenlegungen - Es gibt ein Verfahren, mit dem sich Anbieter und andere Dritte verpflichten, der Stelle tatsächliche oder vermutete unbefugte Offenlegungen personenbezogener Daten zu melden.
Der Prevalent Third-Party Incident Response Service ermöglicht es Sicherheits- und Risikomanagement-Teams, die Auswirkungen von Datenschutzvorfällen schnell zu erkennen und zu mindern, indem sie Anbieter zentral verwalten, Ereignisbewertungen durchführen, erkannte Risiken bewerten und auf Anleitungen zur Abhilfe zugreifen.
