So entschlüsseln Sie SOC 2-Berichte von Drittanbietern
Entschlüsselung der SOC-2-Berichte von Drittanbietern
Beschreibung
Anstatt eine vollständige, auf Standards basierende Risikobewertung durchzuführen, reichen einige Anbieter einfach ihren aktuellen SOC 2-Bericht ein. Für Unternehmen, denen das Fachwissen und die Ressourcen fehlen, kann die Interpretation dieser SOC 2-Berichte jedoch komplex und zeitaufwändig sein – ganz zu schweigen davon, dass sie nicht mit der Bewertung anderer Anbieter übereinstimmen.
Wie vereinfachen Sie die Analyse von SOC 2-Berichten und erhalten die erforderlichen Informationen, um wichtige Lieferantenrisiken zu visualisieren?
Begleiten Sie den Compliance-Experten Thomas Humphreys, wenn er:
- Analysiert einen typischen SOC 2-Bericht, einschließlich der fünf Trust Services Principles (Vertrauensgrundsätze).
- Erläutert, wie SOC 2-Berichtskontrollausnahmen in Risiken in einem gemeinsamen Rahmenwerk für Lieferantenrisiken und -sicherheit abgebildet werden können.
- Beschreibt bewährte Verfahren zur Behebung von SOC 2-Kontrollmängeln eines Anbieters.
Sehen Sie sich dieses Webinar an, um zu erfahren, wie Sie die Wirksamkeit der Sicherheitskontrollen eines Anbieters im Einklang mit Ihren übrigen Drittanbietern analysieren können.
Sind Sie daran interessiert, wie Prevalent Ihnen helfen kann? Fordern Sie eine Demo und ein Strategiegespräch an, um Ihr Projekt mit einem unserer Experten zu besprechen.
Redner
Thomas Humphreys
Experte für Compliance
Abschrift
Melissa Lent: Hello everyone. Melissa Lent: This is Melissa Lent. Melissa Lent: I’m the director of education at OAG and I’d like to welcome you to our webcast today during which we will present how to decode third-party SOCK 2 reports. Melissa Lent: We are glad you can join us for this event. Melissa Lent: Instead of completing a full standardsbased risk assessment, some vendors simply submit their most recent SOCK 2 report. Melissa Lent: However, for organizations that lack the expertise and resources. Melissa Lent: Interpreting these SOCK 2 reports can be complex and timeconuming, not to mention inconsistent with how other vendors are assessed. Melissa Lent: How do you simplify the process of analyzing SOCK 2 reports and get what you need to visualize important vendor risks? Melissa Lent: We are glad you can join us as we discuss how to analyze the effectiveness of a vendor’s security controls consistently with the rest of your third party estate. Melissa Lent: For our discussion today, we are joined by our speaker Thomas Humphre, compliance expert and content manager with prevalent. Melissa Lent: We are very pleased to be joined by Thomas as he shares his insight on analyzing the effectiveness of a vendor’s security controls and how to decode third-party SOCK 2 reports. Melissa Lent: But before we start, I’d like to take a minute to go over a few housekeeping notes. Melissa Lent: First, regarding continuing education credit, we provide NASBA approved CPE credit to you for participation in live webinars. Melissa Lent: If you have an OG All Access Pass, which you can purchase individually or as part of a company subscription, the All Access Pass includes many benefits in addition to CPE credit for webcasts, such as access to all OEG resources and ondemand education series. Melissa Lent: So, if you don’t already have a pass, I would encourage you to check it out on the OEG site. Melissa Lent: If you do have an all access pass and would like a certificate of completion for CPE for this event, please be sure to stay with us. Melissa Lent: for the entire hour and to answer all the polls. Melissa Lent: These are requirements for receiving CPE credit for this event. Melissa Lent: And please note, certificates of completion for CPE credit are available only for live events. Melissa Lent: They are not available for viewing archived webinars. Melissa Lent: Second, regarding the recording from this webcast, we will have the recording of this event posted on the OSC website. Melissa Lent: Just log into the site, then go to the webinars tab and select past webinar recordings and then this webcast. Melissa Lent: This recording may be viewed by anyone for about one week and after this time the recording may be viewed by anyone with an all accessess pass. Melissa Lent: Third, regarding upcoming events and activities, please watch your email for announcements from Og about other upcoming webinars. Melissa Lent: You can view information about these upcoming webcasts on the OEG site. Melissa Lent: So today we will address the following learning objectives. Melissa Lent: We will learn how to deconstruct a typical SOCK 2 report including the five trust services principle. Melissa Lent: Explain how to map SOCK 2 report control exceptions into risks in a common vendor risk and security framework. Melissa Lent: Describe best practices to remediate a vendor’s SOCK 2 control deficiencies and determine how to create an agile, integrated, and techdriven compliance program. Melissa Lent: But before we hand over the presentation to our speaker, we’d like to offer our first poll. Melissa Lent: And again, please be sure to answer this poll if you are interested in receiving CPE credit for this event. Melissa Lent: The first poll question is, “Do you have an OAG all accessess pass, which is a paid membership, and would you like to receive CPE credit for this event?”. Melissa Lent: Your options here are yes, I have an all access pass and I would like to receive a CPE certificate of completion for this event. Melissa Lent: I have an all access pass, but I don’t need a CPE certificate of completion. Melissa Lent: No, I do not have an all access pass, but I would like to get one and receive CPE credit for this. Melissa Lent: And future webcasts I attend or no I do not have an all access pass and I don’t want to buy one at this time so I won’t receive CPE credit for this event. Melissa Lent: As you are answering this poll I’d like to hand over the quest the presentation to Thomas to begin our discussion today.
Thomas Humphre: Vielen Dank und hallo zusammen. Thomas Humphre: Mein Name ist Thomas Humphre. Thomas Humphre: Ich bin Content Manager bei Prevalent. Thomas Humphre: Ich arbeite daran, verschiedene Bewertungen und Rahmenwerke zu erstellen, die auf vielen Standards basieren. Thomas Humphre: Nicht zuletzt auch SOCK 2. Thomas Humphre: Ähm, und wie bereits erwähnt, bin ich heute hier, um mich wirklich mit dem Thema auseinanderzusetzen, um zu verstehen, worum es bei einem SOCK 2-Bericht geht, und um die relevanten Themen und Aspekte zu verinnerlichen, die es uns ermöglichen, Risiken und Ausnahmen in den Berichten zu verstehen und sie in unser umfassenderes Risikomanagementprogramm für Drittparteien zu integrieren. Thomas Humphre: Beginnen wir also mit einer Einführung in die SOCK 2-Bewertungen. Thomas Humphre: SOCK oder System- und Organisationskontrollen sind eine Reihe von Rahmenwerken, die es Organisationen ermöglichen, die Sicherheit und in einigen Fällen auch die Datenschutzkontrollen in Bezug auf ihre eigenen Abläufe, Systeme, Informationen und die Wirksamkeit dieser Kontrollen nachzuweisen. Thomas Humphre: Die Berichte werden von unabhängigen Stellen, also unabhängigen Prüfungsstellen, erstellt. Thomas Humphre: Sie lassen sich in zwei Typen unterteilen, Typ 1 und Typ 2. Thomas Humphre: Ein Sock-Bericht vom Typ 1 ist ein Bericht, der zu einem bestimmten Zeitpunkt von einem Prüfer vorgelegt wird. Thomas Humphre: Der Schwerpunkt liegt dabei vor allem auf der Gestaltung der Kontrollen. Thomas Humphre: Oftmals beginnen Organisationen, die sich zum ersten Mal mit SOC befassen, mit einem Bericht vom Typ 1, da dieser Vertrauen schafft, um zu entwickeln und zu demonstrieren, dass die Kontrollen angemessen gestaltet wurden, Richtlinien, Prozesse und Kontrollgruppen eingerichtet wurden. Thomas Humphre: Typ-2-Berichte sind länger, umfangreicher und liefern sowohl dem Auditor als auch der geprüften Organisation, aber auch einem breiteren Publikum mehr Details. Thomas Humphre: Kunden, Aufsichtsbehörden und alle anderen, die einen Sock-Bericht erhalten oder anfordern können. Thomas Humphre: Der Zweck des Berichts vom Typ 2 besteht darin, die operative Wirksamkeit der Kontrollen zu untersuchen, und daher wird er über einen längeren Zeitraum erstellt, in der Regel bis zu sechs Monaten. Thomas Humphre: Der Zweck besteht natürlich darin, dass ein Prüfer, der die Kontrollen überprüft, Vertrauen haben muss und sicherstellen muss, dass die konzipierten Kontrollen auch effektiv funktionieren. Thomas Humphre: Und in den meisten Fällen benötigt man dafür einen angemessenen Zeitrahmen.
Thomas Humphre: Wenn eine Organisation beispielsweise Kontrollen für das Änderungsmanagement, das Vorfallmanagement und die Kapazitätsplanung entwickelt hat, muss sie in der Lage sein, sich mit den Details bestehender Änderungen und der Art und Weise, wie Änderungen verwaltet werden, oder den Auswirkungen der Kapazität auf die Systeme auseinanderzusetzen. Das ist im Wesentlichen der Zweck des Berichts vom Typ 1 oder Typ 2. Thomas Humphre: Also die Wirksamkeit des Designs und die operative Wirksamkeit. Thomas Humphre: Sie werden also von unabhängigen Prüfern und Prüfungsstellen erstellt, die für die Durchführung solcher Bewertungen zertifiziert sind. Thomas Humphre: Was Sock selbst betrifft, so gibt es eine Reihe von Strukturen, die auf fünf Schlüsselkontrollgruppen basieren, die als Trust Service Criteria bezeichnet werden. Auf diese Kriterien werden wir später noch eingehen. Thomas Humphre: Diese legen eine Reihe von Kontrollen fest, die sich nicht allzu sehr von anderen anerkannten Standards und Rahmenwerken unterscheiden. Thomas Humphre: Jeder, der beispielsweise mit ISO 27.000 oder NIST oder ISF oder anderen Rahmenwerken für Informationssicherheit oder Cybersicherheit vertraut ist, wird hier einige Gemeinsamkeiten mit der Art der Kontrollen erkennen, die identifiziert und bewertet werden. Thomas Humphre: Es gibt also eine Reihe von Kontrollgruppen, die die Prüfer verwenden, um die Organisation zu validieren. Thomas Humphre: Es ist jedoch wichtig, an dieser Stelle zu beachten, und wie wir später im Webinar sehen werden, dass es nicht immer notwendig ist, jede Kontrollgruppe anhand einer bestimmten Organisation zu bewerten. Thomas Humphre: Wenn es darum geht, den Umfang Ihrer Bewertung festzulegen, ermöglicht SOCK 2 den Organisationen, die Bewertung sehr genau auf ihre Produkt- und Dienstleistungserbringung zuzuschneiden. Thomas Humphre: Und wie wir sehen werden, gibt es einige Kontrollgruppen, die Organisationen als für ihr Geschäft nicht relevant erachten. Thomas Humphre: Ob dies nun logischerweise auf der Art der Produkte und Dienstleistungen basiert, mit denen sie sich befassen, oder ob es andere Faktoren gibt, die den Umfang der Bewertung bestimmen und einschränken. Thomas Humphre: SOCK 2 ist also ein strukturierter Ansatz, der einen Rahmen schafft, innerhalb dessen Unternehmen Best Practices und Informationssicherheit, Cybersicherheit und in einigen Fällen auch Datenschutz demonstrieren können, was häufiger genutzt und an ihren breiteren Kundenstamm und andere externe Interessengruppen weitergegeben wird. Thomas Humphre: Daher ist es jetzt wichtig, vielleicht einen breiteren Blick auf das Konzept des SOCK 2-Berichts selbst zu werfen.
Thomas Humphre: Ich habe bereits erwähnt, dass es zwei Arten von Berichten gibt und dass diese von unabhängigen Wirtschaftsprüfern bewertet und erstellt werden. Thomas Humphre: Einer der wichtigsten Punkte, den wir klarstellen müssen und der umso deutlicher wird, je mehr Sock-2-Berichte Sie erhalten, ist, dass diese je nach prüfender Stelle sehr unterschiedlich aussehen können. Thomas Humphre: Die Art und Weise, wie sie den Sock-Bericht strukturieren, kann leicht unterschiedlich sein, was manchmal zu Verwirrung führen kann, wenn wir zwei Berichte erhalten und dennoch die gleichen Details benötigen, um zu prüfen, ob der Umfang mit den Dienstleistungen übereinstimmt, die dieser Anbieter uns liefert. Thomas Humphre: Können wir feststellen, ob es Ausnahmen oder Nichtkonformitäten gibt, auf die wir besonders achten müssen? Thomas Humphre: Trotz der Unterschiede im Design und Layout der einzelnen Sock-Berichte gibt es jedoch in der Regel fünf Bereiche, die jeder Bericht enthält. Thomas Humphre: Einige sind detaillierter als andere, aber sie sollten dennoch diese fünf Bereiche enthalten. Thomas Humphre: Und wenn wir verstehen, was diese fünf Bereiche sind, und Sie in der Lage sind, sie in einem Bericht zu identifizieren. Thomas Humphre: Dann ist es viel einfacher zu entscheiden, ob wir uns aufgrund der wahrgenommenen oder bekannten Risiken um diese Organisation kümmern sollten oder ob sie aufgrund der von ihr umgesetzten Best-Practice-Standards einen einwandfreien Gesundheitszustand aufweist. Thomas Humphre: Auf der linken Seite des Bildschirms sehen Sie fünf Aufzählungspunkte: die Zusammenfassung des Wirtschaftsprüfers und einen Überblick über die Betriebsprozesse und -systeme der Organisation, den Umfang des Berichts und die Trust Service Criteria, Kontrollaktivitäten und die Prüfung zur Validierung sowie die Reaktion des Managements. Thomas Humphre: Auf der rechten Seite haben wir ein Beispiel für ein Inhaltsverzeichnis, das einige der relevanten Bereiche zeigt, die wir in einem SOC 2 Typ 2-Bericht sehen. Thomas Humphre: Was sehen wir hier in der Zusammenfassung des Wirtschaftsprüfers? Thomas Humphre: Wie in vielen Berichten finden Sie in der Regel eine allgemeine Zusammenfassung, die den Rahmen für den gesamten Bericht bildet. Hier präsentiert der Prüfer eine Zusammenfassung der Ergebnisse und einen Überblick über seine Bewertungsmethodik. Thomas Humphre: Ähm, sie können Aspekte rund um Ausnahmen enthalten, die sie identifiziert haben. Thomas Humphre: In einigen Fällen berichten sie bereits über den spezifischen Umfang von SOC 2.
Thomas Humphre: zu den Aspekten der Vertrauenskriterien, anhand derer sie die Organisation bewertet haben. Thomas Humphre: Es gibt also einen sehr allgemeinen Überblick über das, was passiert ist, und die Gesamtleistung der Organisation, als sie bewertet wurde. Thomas Humphre: Wenn wir nun zum Überblick über die Abläufe, Prozesse und Systeme der Organisation kommen, lohnt es sich, Abschnitt drei hervorzuheben, um das Ausmaß und die Tiefe dieses Abschnitts zu unterstreichen. Thomas Humphre: Wie Sie sehen können, gibt es hier ziemlich viele Unterkontrollen und Unterklauseln, die einen recht großen Teil des Berichts ausmachen. Thomas Humphre: Der Zweck besteht darin, wirklich detailliert darauf einzugehen, welche Prozesse es gibt, wie diese miteinander verknüpft sind, welche Systeme das Unternehmen verwendet und betreibt und wie diese Prozesse und Systeme miteinander interagieren. Thomas Humphre: Aus Sicht des Unternehmenshintergrunds könnte dies also eine allgemeine Übersicht über die Aktivitäten der Organisation sein. Thomas Humphre: Also die Produkte und Dienstleistungen, die sie anbietet, vielleicht die Regionen, in denen die Organisation tätig ist. Thomas Humphre: Dann geht es weiter zu einigen detaillierteren Angaben zu den Kernprozessen, die sie verwenden. Thomas Humphre: Also Risikobewertungsprozesse, Prozesse, die eine Überwachung ermöglichen, Informations- und Kommunikationsprozesse, die Kontrollumgebung selbst. Thomas Humphre: Dann können wir etwas tiefer in einige der technischen Fähigkeiten der Organisation einsteigen. Thomas Humphre: Also, ob sie Seam-Systeme für die Ereignisüberwachung verwenden, ob sie Schwachstellenanalysen und Penetrationstests durchführen und ob sie Informationssicherungen durchführen und welche Art von Sicherungssystemen sie verwenden. Thomas Humphre: Es kann also zunächst ziemlich überwältigend sein, wenn man diese Menge an Informationen sieht, da sie wirklich sehr detailliert sein können, und einige unabhängige Prüfungsstellen entscheiden sich dafür, so tief ins Detail zu gehen, was in einigen Fällen die Komplexität der Organisation widerspiegelt. Thomas Humphre: Warum ist das wichtig? Thomas Humphre: Nun, wenn wir einen Bericht von einem Anbieter erhalten, müssen wir natürlich vor allem sicherstellen, dass der bewertete Umfang mit dem Umfang der Dienstleistungen, die der Dritte für uns erbringt, der Art der Produkte und Dienstleistungen und der Erbringung der Dienstleistungen übereinstimmt.
Thomas Humphre: Ähm, wenn der Umfang tatsächlich außerhalb liegt und für einen anderen Teil des Betriebs sehr stark abgegrenzt ist, als das, was dieser dritte Teil uns bietet. Thomas Humphre: Das verhindert einen Unterschied und führt dann zu einer völlig anderen Sichtweise darauf, wie wir mit diesem Dritten interagieren. Thomas Humphre: Insbesondere, wenn es Systeme gibt, von denen wir wissen, dass sie nicht abgedeckt sind, ähm, die beispielsweise nicht auf Sicherheitskontrollen oder Datenschutzkontrollen geprüft wurden. Thomas Humphre: Wenn dies nicht bereits in der Zusammenfassung des Wirtschaftsprüfers erwähnt wird, gibt es einen Abschnitt, der den Umfang des Berichts behandelt, und dies ist einer der wichtigsten Punkte, die zuerst identifiziert werden müssen. Thomas Humphre: Denn hier werden die genauen Kontrollgruppen aufgeführt, die vom Auditor bewertet wurden. Thomas Humphre: Wie wir gleich sehen werden, gibt es fünf Kontrollgruppen, und zu diesem Zeitpunkt haben wir eine Vorstellung davon, ob alle fünf identifiziert wurden, ob eine bewertet wurde oder mehrere dazwischen. Thomas Humphre: Kommen wir nun zu den Kontrollaktivitäten und der Audit-Validierung. Thomas Humphre: Hier gehen wir dann auf die Details dieser Kontrollen ein und beginnen damit, zu ermitteln, um welche Kontrollen es sich handelt, wie das Unternehmen darauf reagiert oder diese Kontrollen eingesetzt hat, und dann die Reaktion des Wirtschaftsprüfers auf seine Sichtweise und seine Analyse der Kontrollen, und ob es Ausnahmen gibt oder nicht, die ebenfalls erfasst werden. Thomas Humphre: Wenn es Ausnahmen gibt – ich werde später erklären, was eine Ausnahme ist –, dann wird es auch eine Art Managementreaktion im Bericht geben. Thomas Humphre: Und das ist ziemlich wichtig, denn wenn wir die Kontrollaktivitäten durchsehen und zählen und identifizieren, wo Ausnahmen festgestellt wurden. Thomas Humphre: In dieser Phase kann es sich bereits um eine kontrollierte Maßnahme handeln, da die Reaktion des Managements die Möglichkeit für das Unternehmen darstellt, zu erklären, ob bereits ein Aktionsplan vorhanden ist, um die festgestellten Mängel zu beheben. Thomas Humphre: Möglicherweise gibt es weitere Erläuterungen, sodass eine Kontrollmaßnahme, die als Ausnahme angesehen werden kann und nicht sichtbar ist, tatsächlich an anderer Stelle erfasst wurde.
Thomas Humphre: Das ist also ein guter Punkt und eine gute Gelegenheit für das Management, entweder den Ansatz, den das Unternehmen verfolgen wird, anzuerkennen, umzusetzen und zu dokumentieren, oder die bereits eingerichteten Kontrollen und Aktivitäten zu validieren und zu überprüfen. Thomas Humphre: Sobald wir also einen neuen Sock-Bericht erhalten, sollten wir, wenn wir diese fünf Bereiche bereits aus der Zusammenfassung bis hin zum Umfang der Kontrollaktivitäten und etwaigen Reaktionen identifizieren können, bereits in einer viel besseren Position sein, um zum Kern dessen zu gelangen, was erfasst und abgedeckt wurde, und um festzustellen, ob es Risiken gibt, die wir beachten müssen. Thomas Humphre: Ich habe also die fünf Kriterien für Vertrauensdienste mehrfach erwähnt und betont, dass Organisationen in der Lage sind, auf der Grundlage dieser übergreifenden Kriterien den Umfang festzulegen. Thomas Humphre: Wir haben also fünf Schlüsselbereiche: Sicherheit, Vertraulichkeit, Verarbeitung, Integrität, Verfügbarkeit und Datenschutz. Thomas Humphre: Was sind diese fünf Bereiche? Thomas Humphre: Wie ich bereits erwähnt habe, handelt es sich ähnlich wie bei ISO und NIST um übergeordnete Gruppen, unter denen eine Reihe von Kontrollen zusammengefasst sind, anhand derer Organisationen dann bewertet werden. Thomas Humphre: Lassen Sie uns also jede einzelne durchgehen. Thomas Humphre: Im Bereich Sicherheit betrachten wir Kontrollen zum Schutz vor unbefugtem Zugriff, unbefugter Löschung von Informationen und Beschädigung von Systemen. Thomas Humphre: Fast alle SOC 2-Berichte werden also den Bereich Sicherheit abdecken. Thomas Humphre: Obwohl es den Organisationen überlassen bleibt, zu entscheiden, welche Kontrollgruppen sie abdecken möchten, und dies in Absprache mit den Wirtschaftsprüfern und der Prüfungsstelle zu tun, stellen wir in den meisten Fällen fest, dass die Sicherheit als größte Kontrollgruppe auch diejenige ist, die am häufigsten abgedeckt wird. Thomas Humphre: Um welche Art von Kontrollen handelt es sich hier? Thomas Humphre: Also Schutz vor unbefugtem Zugriff, Offenlegung von Informationen und Schäden an Systemen. Thomas Humphre: Wir betrachten also alles, vom logischen und physischen Zugriff über Datenverschlüsselung und -sicherung bis hin zu einigen Governance-Kontrollen, der Festlegung von Rollen und Verantwortlichkeiten, Risikomanagement-Rahmenwerken und anderen ähnlichen physischen und logischen Kontrollen. Thomas Humphre: Es ist also sehr technologieintensiv.
Thomas Humphre: Es gibt sehr sicherheitsorientierte Aspekte, aber es gibt auch eine Gruppierung zwischen Governance- und technischen Vertraulichkeitskontrollen zum Schutz von Informationen, die als vertraulich konzipiert oder identifiziert wurden, und an dieser Stelle möchte ich auch die letzte Kontrollgruppe, die Privatsphäre, einbeziehen.Es gibt einen feinen Unterschied zwischen den beiden Datenschutzaspekten, da der Schwerpunkt, wie zu erwarten, sehr stark auf personenbezogenen Daten liegt, also auf PII, SPI, sensiblen personenbezogenen Daten, medizinischen Daten und allen anderen Daten, die als personenbezogen gelten. Der Schwerpunkt liegt also sehr stark auf Kontrollen zum Schutz vor unbefugtem Zugriff und zur sicheren Handhabung dieser Daten. Thomas Humphre: Ähm, zum Beispiel die Einrichtung von Datenschutzbeauftragten und Maßnahmen für das Management von Datenverstößen. Thomas Humphre: Die Vertraulichkeit konzentriert sich jedoch eher auf Informationen, die nicht als personenbezogene Daten gelten. Thomas Humphre: Das kann bedeuten, dass es sich um vertrauliche Unternehmensinformationen handelt. Thomas Humphre: Das können also geschützte Informationen sein, das kann geistiges Eigentum sein, das können andere Informationen oder Informationssysteme sein, die unter den Begriff der Vertraulichkeit fallen. Thomas Humphre: Und so konzentrieren sich die Kontrollen hier auf den Schutz dieser vertraulichen Informationen. Thomas Humphre: Also Schutz vor Zerstörung, Schutz in Bezug auf die Art und Weise, wie damit umgegangen wird und wo sie gespeichert werden. Thomas Humphre: Es gibt also einen feinen Unterschied. Thomas Humphre: Es gibt eine klare Unterscheidung für Unternehmen, die sich für diese Kontrollgruppe entscheiden. Thomas Humphre: Kommen wir nun zur Verarbeitungsintegrität und Verfügbarkeit. Thomas Humphre: Also, Integrität, und wieder gibt es jemanden mit ISO-Denken, der diese Begriffe erkennt. Thomas Humphre: Also die Qualitätssicherung von Daten. Thomas Humphre: Es muss also sichergestellt werden, dass die Systemverarbeitung korrekt und zeitnah ist und dass gültige Verfügbarkeitsinformationen und -systeme jederzeit verfügbar und zugänglich sind. Thomas Humphre: Aus Sicht der Verarbeitungsintegrität muss also sichergestellt werden, dass die Art und Weise, wie die Daten verarbeitet werden, die übertragen werden, nicht gestört wird. Thomas Humphre: Es darf nichts geben, was die Struktur der Daten unterbricht oder stört. Thomas Humphre: Was die Verfügbarkeit angeht, muss sichergestellt werden, dass die Daten jederzeit verfügbar und für diejenigen zugänglich sind, die Zugriff darauf benötigen. Thomas Humphre: Daher sind bestimmte Zugriffskontrollen sehr wichtig, wenn es darum geht, Verfügbarkeitskontrollgruppen einzurichten.
Thomas Humphre: Nun, es ist wichtig, hier noch einmal zu betonen, dass es die Organisation ist, die den Umfang festlegt. Thomas Humphre: Ähm, und das wirft die Frage auf, warum nicht alle Bereiche erfassen? Thomas Humphre: Warum nicht alle fünf Gruppen? Thomas Humphre: Ähm, äh, sollte nicht jedes Unternehmen sich an die Sicherheitsvorschriften zum Datenschutz halten? Thomas Humphre: Und die Antwort lautet nein. Thomas Humphre: Natürlich liegt die Entscheidung ganz bei ihnen. Thomas Humphre: Und dafür gibt es verschiedene Gründe. Thomas Humphre: Wenn eine Organisation beispielsweise die SOC-2-Zertifizierung anstrebt, muss sie prüfen, wo diese Kontrollen innerhalb ihrer Organisation angesiedelt werden können. Thomas Humphre: Wenn sie beispielsweise aufgrund der Produkte und Dienstleistungen ihres Unternehmens in keiner Weise mit personenbezogenen Daten interagieren oder diese verarbeiten, erscheint es nur logisch, dass die Datenschutzkontrollgruppen nicht relevant sind. Thomas Humphre: Gleiches gilt, wenn sie mit sensiblen Systemen arbeiten, die vertrauliche Kundeninformationen erfassen. Thomas Humphre: Vielleicht stellen sie diese Systeme bereit, geben aber auch diese Informationen im Auftrag des Kunden ein. Thomas Humphre: Auch hier erscheint es nur richtig, dass die Vertraulichkeitskontrollgruppe einbezogen wird. Thomas Humphre: Es hängt also sehr stark vom Umfang der Geschäftstätigkeit des Unternehmens ab, vom Umfang dessen, was es leistet. Thomas Humphre: Es ist aber auch wichtig, über den Umfang in Bezug auf die Bereiche nachzudenken, die für die Sock-2-Akkreditierung erforderlich sind. Wenn beispielsweise im Rahmen eines Vertrags die Notwendigkeit besteht, umzuholen und Sock 2 an einer Station zu empfangen, kann dies aufgrund einer bestimmten Art von Produkt oder Dienstleistung sehr stark abgeschottet sein, und durch diese Festlegung der Abschottung, die Teil des Geschäfts ist, anstatt allesumfassend ist, kann dadurch die besten Kontrollgruppen identifiziert werden, die erfasst und von den Prüfern bewertet werden müssen. Bevor wir fortfahren, habe ich noch eine kurze Umfragefrage. Thomas Humphre: Möchten Sie in den kommenden Monaten ein Programm für Risiken durch Dritte erweitern oder einführen? Thomas Humphre: Wir können mit Ja, Nein oder Ich bin mir nicht sicher antworten. Thomas Humphre: Okay. Thomas Humphre: Möchten Sie also in den kommenden Monaten ein Programm zur Bewertung von Risiken durch Dritte erweitern oder zum ersten Mal ein solches Programm einführen? Thomas Humphre: Kommen wir nun zu den Ausnahmen und der Frage, was eine Ausnahme im Rahmen des SOC 2-Konzepts bedeutet, aber auch dazu, wie Sie Risiken managen und wie Sie mit Ihrem Programm zur Bewertung von Risiken durch Dritte umgehen.
Thomas Humphre: Auf dem Bildschirm sehen wir hier ein Beispiel für Kriterien aus einem Sock-Bericht, der eine bestimmte Kontrolle erfasst. Thomas Humphre: In diesem Fall sehen wir uns CC 3.4 an, das aus den Kriterien für Vertrauensdienste stammt, und wir können eine Aufschlüsselung der Kriterien sehen. Thomas Humphre: Was muss die Organisation also tun? Die Antwort der Organisation. Thomas Humphre: Also, welche Kontrollen, welche Richtlinien, welche Prozesse wurden implementiert, um diese Kriterien zu erfüllen? Thomas Humphre: Dann die Prüfung durch den Auditor selbst. Thomas Humphre: Also, welche Validierungs- und Verifizierungstechniken, welche Tests, welche Inspektionen oder Befragungen wurden durchgeführt, um sicherzustellen, dass die Angaben der Organisation den Kriterien entsprechen, und dann die endgültigen Ergebnisse des Auditors. Thomas Humphre: Im ersten Fall, wenn man sich die Kontrollaktivitäten ansieht, identifiziert und bewertet das Unternehmen also Änderungen, die sich erheblich auf das interne Kontrollsystem auswirken könnten, und wenn die Organisation angegeben hat, dass Änderungen der Geschäftsstruktur und des Geschäftsbetriebs im Rahmen einer jährlichen Risikobewertung berücksichtigt und bewertet werden. Thomas Humphre: Die Organisation betrachtet also geschäftliche und betriebliche Veränderungen als Teil ihres umfassenderen Risikobewertungsprogramms und ihrer Risikoregister. Thomas Humphre: Angesichts dieser Aussage der Organisation können wir nun sehen, wie die Prüfer die Arbeitsblätter zur Risikobewertung untersuchen. Thomas Humphre: Sie haben sich die jüngsten Risikoprüfungen und Risikobewertungen angesehen und wollten überprüfen, ob alle Änderungen der Geschäftsstruktur und/oder des Betriebs berücksichtigt und bewertet wurden. Thomas Humphre: In diesem ersten Fall stellen wir eine Ausnahme fest. Thomas Humphre: Es mangelt also an Transparenz bei der Identifizierung von Änderungen der Geschäftsstruktur oder des Betriebs im Rahmen der jährlichen Risikobewertung. Thomas Humphre: In diesem Fall hat der Prüfer die Risikodokumentation geprüft und die von der Organisation angegebenen Aktivitäten berücksichtigt, aber er konnte nichts finden, was die Aussagen der Organisation gegenüber dem ersten Ergebnis bestätigt. Thomas Humphre: Wie Sie sehen können, wurden keine Ausnahmen festgestellt. Thomas Humphre: Also haben sie die Risikobewertung erneut überprüft. Thomas Humphre: Sie haben die Anforderungen in diesem Fall hinsichtlich regulatorischer, wirtschaftlicher oder physischer Veränderungen überprüft und keine Hinweise auf weitere Ausnahmen gefunden. Thomas Humphre: Es gibt keine Probleme hinsichtlich Nichtkonformitäten.
Thomas Humphre: Zweitens betrachten wir hier eine andere Kontrollmaßnahme, bei der die Organisation eine sofortige Sicherheitsanalyse entwickelt hat, die bei jedem kritischen Vorfall durchgeführt wird, um die Auswirkungen der Grundursache zu ermitteln und eine Lösung zu finden. Thomas Humphre: Und auch hier sehen wir, dass der Prüfer bei der Untersuchung von Sicherheitsvorfällen oder kritischen Sicherheitsvorfällen darauf hingewiesen hat. Thomas Humphre: Es wurde keine Ursache, keine Auswirkung auf das System und keine Lösung dokumentiert. Thomas Humphre: Wir haben also ein klares Beispiel für eine Organisation, die hier ihren Arbeitsprozess darlegt. Thomas Humphre: Das ist, was wir tun, und das sind die Schritte, die wir unternehmen müssen. Thomas Humphre: Aber jetzt haben wir Beweise dafür, dass diese Schritte nicht unternommen wurden. Thomas Humphre: Nun, einer der wichtigsten Punkte, die hier zu beachten sind, ist, dass dies im Gegensatz zu anderen Bewertungen und Bewertungstypen als fehlend angesehen werden kann und außerhalb der angegebenen Ausnahme liegt. Thomas Humphre: Es gibt keinen Hinweis darauf, wie schwerwiegend dies ist. Thomas Humphre: Wir haben eine Erklärung und wir haben eine Ausnahme. Thomas Humphre: Wir haben keine weiteren Hinweise darauf, ob diese für die Mission kritisch sind. Thomas Humphre: Sind dies, was man als kritische hohe, mittlere oder niedrige Risiken oder rote Risiken bezeichnen könnte, unabhängig davon, nach welcher Methodik diese Ausnahme definiert wird? Thomas Humphre: Und das ist wichtig. Thomas Humphre: Wir wissen, dass wir innerhalb der SOCK 2-Bewertungen um, wir können finden und hoffentlich zu einem Stadium gelangen, in dem wir eine Liste verschiedener Ausnahmen konsolidieren können, um, wenn es welche gibt, die der Prüfer identifiziert hat. Thomas Humphre: Ähm, aber wir können nicht so weit gehen, dass wir uns fragen, ob der Prüfer dies als kritisches Risiko betrachtet hat, und hier kann es hilfreich sein, sie in unser eigenes Risikoprogramm aufzunehmen, um das zu definieren. Thomas Humphre: Es gibt natürlich Fälle, in denen wir in SOCK-2-Berichten sehen, dass keine Ausnahmen vermerkt sind, was man als „unbescholten” bezeichnen könnte. Thomas Humphre: Der Autor hat sich damit befasst und keine Kontrollen identifiziert, die nicht effektiv konzipiert sind oder deren operative Wirksamkeit einwandfrei ist. Thomas Humphre: Die Kontrolle hat gezeigt und erreicht, was sie sich vorgenommen hat. Thomas Humphre: Bevor wir fortfahren, wollen wir uns noch die Testergebnisse selbst ansehen, denn diese Informationen stammen direkt vom Prüfer, und wir werden immer leichte Abweichungen in der Art und Weise feststellen, wie die Testergebnisse berichtet werden. Thomas Humphre: Es gibt also keine strengen Regeln hinsichtlich des Detaillierungsgrades, den Sie anstreben sollten.
Thomas Humphre: In diesen Fällen ist es ziemlich klar, was sie gesehen haben und was sie nicht gesehen haben, basierend auf der Kontrolle der Organisation. Thomas Humphre: Also das, was sie angegeben haben. Thomas Humphre: Es wird Fälle geben, in denen Sie weniger Informationen haben. Thomas Humphre: Je detaillierter die Informationen in Bezug auf die Art der Inspektions- und Verifizierungsprozesse sind, desto detaillierter sind natürlich auch die Testergebnisse, und desto einfacher wird es, diese Ausnahmen in unser umfassenderes Risikoprogramm zu übertragen und dann mit dem Dritten in Kontakt zu treten. Thomas Humphre: Wenn wir also darüber nachdenken, diese Ausnahmen auf unsere eigene Risikoplattform und unsere eigenen Risikoprozesse zu übertragen. Thomas Humphre: Zunächst einmal müssen wir über diesen Detaillierungsgrad nachdenken. Thomas Humphre: Wenn also die Informationen, die die Prüfer in ihrem Bericht bereitgestellt haben, ausreichend detailliert sind, wenn es Antworten des Managements gibt und wenn sie vielleicht weitere Details zu den Aspekten der Ergebnisse angegeben haben, die sie erzielt haben. Thomas Humphre: Wenn das Unternehmen beispielsweise bereits gesagt hat, dass es versteht, wie es weitergehen soll. Thomas Humphre: Wir haben unseren Prozess angepasst, um sicherzustellen, dass die erforderlichen Details als Teil der Sofort-Tickets erfasst werden, und vielleicht gibt es einige Man-and-Toy-Elemente, die wir hinzugefügt haben, um dieses Maß an Detailgenauigkeit durchzusetzen, das nur dazu beiträgt, unseren Prozess zu unterstützen, wenn es darum geht, diese Ausnahmen zu berücksichtigen und sie in unseren Risikoprozess zu integrieren. Thomas Humphre: Wenn wir also sagen, Ausnahmen auf Risiken abbilden. Thomas Humphre: Was meinen wir damit? Thomas Humphre: Da es vom Auditor nicht genügend Details dazu gibt, ob es sich um ein kritisches hohes, mittleres oder geringes Risiko oder eine Ausnahme handelt, oder um Angaben zu Auswirkungswerten, Wahrscheinlichkeit oder einigen der Standardbegriffe, die man im Risikomanagement erwarten würde. Thomas Humphre: Hier versuchen wir, unsere eigenen bestehenden Risikotools und Risikomanagementprozesse zu nutzen. Thomas Humphre: Wenn wir also einen Prozess haben, der sich an Best Practices wie ISO 31.000 oder dem NIST-Risikomanagement-Framework orientiert, haben wir möglicherweise bereits eine klare Struktur, wie wir eine Auswirkungsbewertung und eine Wahrscheinlichkeitsbewertung ermitteln und eine Gesamtrisikobewertung vornehmen, oder wir verwenden ein verkehrsähnliches System, um die Kritikalität anzuzeigen.
Thomas Humphre: Wenn wir also bereits über diese Tools verfügen, ist es einfacher, diese Risiken einzugehen und zu sagen: „Nun, basierend auf den Aussagen des Wirtschaftsprüfers und der Ausnahme gibt es keinen Ed. Betrachten wir dies beispielsweise als kritisches Risiko oder als geringes Risiko?“ Thomas Humphre: Und je etablierter dieses Risikomanagement-Tool ist, desto umfassender können wir natürlich auf die Details eingehen, um zu begründen, warum wir das Risiko so eingeschätzt und berechnet haben, wie wir es getan haben. Thomas Humphre: Ein Aspekt, bei dem wir feststellen, dass Sock-2-Berichte angefordert werden, ist, wenn Organisationen Bewertungen an Dritte versenden, Bewertungen oder Umfragen, die sich auf eine bestimmte Kontrollgruppe beziehen. Thomas Humphre: Also zum Beispiel oder oder oder Standard und Best Practice. Thomas Humphre: Wenn wir also zum Beispiel sehen, dass ISO 27,01 oder CIS-Umfragen an Organisationen verschickt werden und dann ein SOCK 2-Bericht zurückkommt, weil der Anbieter sagt, dass er keine Zeit hat, eine langwierige Bewertung auszufüllen, oder bevor wir sie verschicken, füllen wir Ihre Bewertung aus. Thomas Humphre: Wir haben diesen SOP 2-Bericht, der die von uns implementierten Best Practices demonstriert, und wir glauben, dass dies ausreichend ist, bevor wir mit der Durchführung einer Bewertung fortfahren. Thomas Humphre: Wenn es also bereits eine klare Struktur in Bezug auf die Erwartung gibt, dass 27,01 oder CIS oder andere Frameworks zur Bewertung von Anbietern verwendet werden sollten, wenn wir Ausnahmen wie die beiden oben genannten einführen, wie wir gesehen haben. Thomas Humphre: können wir bereits damit beginnen, diese auf diese Standards abzubilden. Thomas Humphre: Wenn wir also beispielsweise das Fehlen einer Ursachenanalyse, einen mangelhaften Sicherheitsinstanz-Managementprozess oder ein mangelhaftes Sicherheitsinstanz-Ticketing als kritisches Risiko betrachten, weil es in unserer ISO-Bewertung oder unserer CIS-Bewertung als obligatorische Kontrolle angesehen wird. Thomas Humphre: Das wird uns helfen, zu beurteilen und eine klare Aussage darüber zu treffen, warum dieses Risiko als kritisch eingestuft wird. Thomas Humphre: zum Beispiel als hoch oder mittel. Thomas Humphre: Wenn wir also die vorhandenen Risikotools und Risikomanagement-Tools nutzen, die Ihnen möglicherweise zur Verfügung stehen, und die Auswirkungen und Wahrscheinlichkeiten identifizieren, können wir wieder angemessene Risikobewertungen vornehmen, wobei wir alle bestehenden Managementmaßnahmen berücksichtigen, die möglicherweise von der Organisation kommen. Thomas Humphre: Und schließlich können wir damit beginnen, die Aufgaben zuzuweisen, die mit der Verwaltung der Bewertung zusammenhängen. Thomas Humphre: Also in dem Fall, in dem Ausnahmen aufgeworfen wurden, wurden identifiziert.
Thomas Humphre: Es gab jedoch keine Reaktion seitens des Managements, oder das Management hat lediglich erklärt, dass es Maßnahmen zur Lösung des Problems ergreifen werde. Thomas Humphre: Wir müssen uns Gedanken darüber machen, wie wir diese Ausnahmen nun in unsere Plattform integrieren können. Thomas Humphre: Wie können wir nun mit unseren Lieferanten zusammenarbeiten, um sicherzustellen, dass diese Maßnahmen, diese Risiken oder Nichtkonformitäten effektiv gemanagt und geschlossen werden? Thomas Humphre: Also Ausnahmen in Risiken umwandeln. Thomas Humphre: Sobald Sie sich also ein Bild vom Risiko gemacht haben. Thomas Humphre: Wir haben die Berechnung und die Stufe oder Risikobewertung ermittelt, die wir anwenden möchten. Thomas Humphre: Dann können wir uns andere Aspekte ansehen, die uns helfen, die Ausnahme zu konkretisieren und einen umfassenderen Fall zu erhalten, der den Prozess der Zusammenarbeit mit dem Dritten erheblich vereinfacht. Thomas Humphre: Können wir es also zunächst auf Standards abbilden, die für uns von zentraler Bedeutung sind? Thomas Humphre: Ich habe das Beispiel von ISO 27.000 genannt. Wenn es bereits klare Schlüsselkontrollen innerhalb dieser Norm gibt, können wir diese Ausnahme darauf abbilden, was es einfacher macht, wenn wir beginnen, einige der Empfehlungen oder Abhilfemaßnahmen zu identifizieren. Thomas Humphre: Gibt es in unserem eigenen Risikoregister bereits Risikotypen, auf die wir dieses Risiko anwenden können? Thomas Humphre: Können wir also Tags und Risikotypen im Zusammenhang mit dem Vorfallmanagement für bestimmte SOC-2-Kontrollen anwenden? Wenn wir diese Zuordnung vorgenommen haben, verfügen wir dann über ein Standard-Risikoregister, in das wir all diese Risiken übertragen können, sodass wir, wenn wir mehr SOC-2-Berichte erhalten, mit einer Trendanalyse und einer Gesamtbetrachtung beginnen können, insbesondere wenn ähnliche Risiken und Ausnahmen auftreten? Thomas Humphre: Entwicklung des Risikos selbst. Thomas Humphre: Können wir also einen Risikonamen, eine Beschreibung und eine Risikoverantwortung zuweisen? Thomas Humphre: Wenn wir also ein Risiko aufgrund der Ausnahme des Wirtschaftsprüfers gesehen haben. Thomas Humphre: Gibt es genügend Informationen, um festzustellen, warum es sich um ein Risiko handelte? Thomas Humphre: Handelt es sich beispielsweise um eine eindeutige Prozesslücke? Thomas Humphre: Gab es einen bestimmten Aspekt der Kontrolle, der fehlte? Thomas Humphre: Können wir also damit beginnen, die Beschreibung und das Verständnis dafür auszuarbeiten, woher dieses Risiko stammt und wo es entstanden ist? Thomas Humphre: Ähm, und dann ist natürlich auch die Risikoverantwortung eine bestimmte Funktion innerhalb des Unternehmens, an die wir uns wenden müssen. Thomas Humphre: Ähm, mit wem müssen wir diese Gespräche beginnen, um Zeitrahmen für die Festlegung von Risikokorrekturmaßnahmen auszuarbeiten?
Thomas Humphre: Um diese Ausnahme in ein umfassenderes Risiko auf Ihrer Plattform umzuwandeln, müssen mehrere Schritte durchlaufen werden. Thomas Humphre: Aber wie ich zu Beginn erwähnt habe, hängt vieles davon ab, wie detailliert der Sock-2-Bericht ist. Thomas Humphre: Es kann natürlich Fälle geben, in denen der Prüfer nicht so viele Details erfasst hat. Thomas Humphre: Natürlich können wir nicht zurückgehen und mit den Prüfern sprechen. Thomas Humphre: Es handelt sich um etwas Unabhängiges, und natürlich wurde der Bericht bereits veröffentlicht und fertiggestellt. Thomas Humphre: Aber wenn die Informationen unzureichend sind, können wir natürlich trotzdem versuchen, einige dieser Details zu erfassen. In diesem Fall müssen wir jedoch möglicherweise schon zu einem früheren Zeitpunkt einen Dritten hinzuziehen, damit wir mehr Details erhalten, um zu verstehen, woher die Maßnahmen kommen und welche Aktivitäten derzeit durchgeführt werden. Thomas Humphre: So können wir damit beginnen, unser eigenes Risikoregister, unseren eigenen Prozess für Risiken durch Dritte, mit den relevanten Details darüber auszufüllen, wie und warum es eingerichtet wurde und welche Schritte die Organisation derzeit unternimmt. Thomas Humphre: Bevor wir weitermachen, haben wir die dritte Umfragefrage. Thomas Humphre: Was hat Sie dazu veranlasst, heute an diesem Webinar teilzunehmen? Thomas Humphre: Sind es Bildungszwecke? Thomas Humphre: Also rein aus Bildungsgründen und um mehr über das Sock-2-Projekt und die Forschung zu einem bevorstehenden TPRM-Projekt zu erfahren. Thomas Humphre: Vielleicht haben Sie Ihr TPR-Programm bereits gestartet und festgestellt, dass Sock 2 ein Bereich ist, in dem Sie viel Zugkraft sehen werden, oder vielleicht fordern Sie Sock-2-Bewertungen von Ihren Lieferanten an oder nutzen dies als wichtigen Faktor für die Bewertung von Lieferanten. Thomas Humphre: Ich bin mir sicher, warum ich hier bin oder wie ich wieder hierher gekommen bin? Thomas Humphre: Ähm, also, es sollte eine Umfrage geben, die auf dem Bildschirm angezeigt wird. Thomas Humphre: Also, wenn Sie Ihre entsprechende Antwort eingeben können. Thomas Humphre: Vielen Dank. Thomas Humphre: Wir sind also an dem Punkt angelangt, an dem wir diesen OPT-Bericht erstellt haben. Thomas Humphre: Wir haben ihn erhalten. Thomas Humphre: Wir haben die Details, die Ausnahmen und den Umfang verstanden. Thomas Humphre: Wir haben festgestellt, dass der Umfang mit dem Produkt oder der Dienstleistung übereinstimmt, die uns vom Lieferanten bereitgestellt werden. Thomas Humphre: Wir haben nun festgestellt, dass die Ausnahmen erfasst wurden, und sind an einem Punkt angelangt, an dem wir sie in unserem eigenen Risikoregister erfassen, hoffentlich mit ausreichenden Details, sodass wir nun mit dem Dritten zusammenarbeiten können. Thomas Humphre: Nun geht es um die Behebung.
Thomas Humphre: Was machen wir jetzt? Thomas Humphre: Wir haben diese Maßnahmen, bei denen es möglicherweise eine Reaktion des Managements geben wird oder auch nicht. Thomas Humphre: Wir sollten also jetzt damit beginnen, einen Leitfaden zu entwickeln, mit dem wir diese beiden Ausnahmen beheben können. Thomas Humphre: Wir müssen also vier wichtige Entscheidungen treffen und drei Maßnahmen in Betracht ziehen. Thomas Humphre: Also erstens: Mindest- oder Pflichtanforderungen. Thomas Humphre: Gibt es also irgendwelche Pflichtanforderungen seitens des Unternehmens? Thomas Humphre: Was meinen wir damit? Thomas Humphre: Ich habe bereits erwähnt, dass es möglicherweise einige Sicherheitsbewertungen gibt, die Sie bereits durchgeführt haben oder die Sie dem Anbieter gegenüber in Betracht ziehen. Sie haben bereits ein Gefühl dafür, was der Anbieter tut, was er Ihnen liefert, und haben Sie durch diesen Prozess obligatorische Kontrollen identifiziert, die Sie von einer Organisation standardmäßig erwarten würden? Thomas Humphre: Denken Sie also an diese Ausnahme in Bezug auf unzureichende oder schlechte Qualität bei der Reaktion auf Vorfälle und die Art und Weise, wie Vorfälle aufgezeichnet oder nicht aufgezeichnet werden. Thomas Humphre: Wenn Sie dies als Best Practice für jedes Unternehmen betrachten, sollte es umgesetzt werden. Thomas Humphre: Dies kann als zwingende Anforderung betrachtet werden, die einen zusätzlichen Schwerpunkt auf die Art und Weise der Behebung oder den Zeitpunkt der Behebung legt. Thomas Humphre: Gibt es Best Practices, denen die Organisation folgt? Thomas Humphre: Gibt es Branchenstandards, die entweder von Regulierungsbehörden und Gesetzgebern vorgegeben sind oder aus den Best Practices der Branche stammen, oder hat die Organisation selbst entschieden, dass dies die Bereiche sind, denen sie folgen möchte? Thomas Humphre: Wenn es Best Practices wie ISO und NIST weltweit und SIG in den Vereinigten Staaten gibt. Thomas Humphre: Kann das dabei helfen, diese zwingenden Anforderungen und auch das, was erforderlich ist, zu identifizieren? Thomas Humphre: Welche Art von Abhilfemaßnahmen sind erforderlich? Thomas Humphre: Zeitrahmen sind hier entscheidend. Thomas Humphre: Wie schnell sollte das Risiko angegangen werden? Thomas Humphre: Wenn wir durch unseren Risikoidentifizierungsprozess festgestellt haben, dass diese Ausnahmen, die wir als kritische Risiken einstufen, insbesondere dort, wo sie noch offen sind und die Reaktion des Managements darauf lautet, dass wir sie noch bearbeiten oder dass wir diese Ausnahmen noch prüfen.
Thomas Humphre: Wir müssen uns Gedanken darüber machen, welchen Zeitrahmen wir für Dritte festlegen sollten, sowohl hinsichtlich einer sofortigen Reaktion, um darzulegen, welche Maßnahmen sie ergreifen werden, als auch hinsichtlich eines Zeitrahmens für die Nachverfolgung, wann sie erwarten, dass Kontrollen implementiert, angepasst oder aktualisiert werden. Thomas Humphre: Wie schnell erwarten wir, dass diese Risiken behoben werden? Thomas Humphre: Und schließlich Entscheidungen oder daraus resultierende Maßnahmen. Thomas Humphre: Was passiert also mit behobenen Risiken? Thomas Humphre: An welchem Punkt und in welcher Phase können wir sagen, dass wir die Ausnahme identifiziert haben? Thomas Humphre: Wir haben sie aus Risikosicht klassifiziert. Thomas Humphre: Wir haben einen Dritten hinzugezogen und dargelegt, was wir erwarten, oder es wurde zwischen dem Dritten und uns eine Einigung darüber erzielt, welche Maßnahmen zur Risikominderung erforderlich sind. Thomas Humphre: Was ist der endgültige Entscheidungspunkt? Thomas Humphre: Können wir auf der Grundlage unserer eigenen Risikobereitschaft und Kriterien für die Risikoakzeptanz eine Phase erreichen, in der wir das Risiko ausschließen oder auf ein angemessenes oder geeignetes Niveau senken können? Thomas Humphre: Wenn Sie also über die Behebung von Schwachstellen nachdenken, gibt es hier einige wichtige Punkte, die wir berücksichtigen sollten. Thomas Humphre: Und sobald wir festgelegt und identifiziert haben, was die besten Vorgehensweisen sind, wenn es sich um eine obligatorische Kontrolle handelt und ob es klare Schritte gibt, die wir von einem Dritten erwarten würden. Thomas Humphre: Diese Anforderungen oder erwarteten Abhilfemaßnahmen können dann in den umfassenderen Risikobericht aufgenommen und natürlich in angemessener Weise an den Dritten kommuniziert werden. Thomas Humphre: In diesem Fall denken wir also über das Fehlen einer dokumentierten Ursache für die Auswirkungen auf das System oder einer Lösung nach, die in den Sicherheitsvorfallstickets dokumentiert ist. Thomas Humphre: Wir können eine Abhilfemaßnahme entwickeln, die besagt, dass wir von Anbietern verlangen, die Auswirkungen auf den Geschäftsbetrieb zu identifizieren. Thomas Humphre: Die Ursache der Vorfälle und die zur Behebung ergriffenen Maßnahmen müssen dokumentiert werden, und es sollte in jedem Vorfallsticket oder jeder erstellten Aufzeichnung klar ersichtlich sein, welche Maßnahmen ergriffen werden. Thomas Humphre: Und schließlich müssen wir sie vielleicht dazu auffordern, die Methode, wie Vorfallstickets kommuniziert und abgeschlossen werden, zu verschönern oder zu verbessern. Thomas Humphre: Also die Kommunikation und das Bewusstsein der Mitarbeiter, die für die Verwaltung von Vorfällen verantwortlich sind.
Thomas Humphre: Wir haben also darüber nachgedacht, wo möglicherweise die Ursache dieses Problems liegt, und wir haben eine geeignete Empfehlung oder einen geeigneten Abhilfemaßnahmenplan ermittelt, den Sie dann an den Dritten weiterleiten können. Nach einer Einigung zwischen beiden Organisationen können wir nun damit beginnen, diese Abhilfemaßnahme zu überwachen, bis sie entweder erfolgreich abgeschlossen ist oder bis zu einem Stadium, in dem wir der Meinung sind, dass dieses Risiko aus Sicht der Bewertung entweder gesenkt oder das Risiko selbst beseitigt werden kann, weil der Dritte ausreichende Informationen implementiert hat, sodass dieses Risiko nicht mehr besteht. Thomas Humphre: Wir haben also ziemlich viele Details erfasst, um zu erläutern, was ein SOC-2-Bericht ist. Thomas Humphre: Und einige der wichtigsten Schritte, die wir uns ansehen müssen. Thomas Humphre: Es gibt ein paar Bereiche, die ich hier noch einmal wiederholen möchte. Thomas Humphre: Insbesondere diejenigen, die gerade erst mit einem Risikomanagementprogramm für Dritte beginnen, und diejenigen, die gerade erst damit beginnen, Sock-2-Berichte zu erhalten oder diese erwarten. Thomas Humphre: Beginnen wir also zunächst aus Sicht des Risikomanagements und bewerten Sie Ihre Anforderungen an das Risikomanagement für Dritte. Thomas Humphre: Bestimmen Sie also, wo diese Praktiken erforderlich sind und wo Standards befolgt werden. Thomas Humphre: Verfügen wir bereits über einen klaren Ansatz, eine klare Sicherheitsbewertung und ein klares Sicherheitsframework, das wir gegenüber Dritten anwenden oder anhand dessen wir Dritte auditieren? Thomas Humphre: Wenn ja, haben wir eine geeignete Zuordnung zu diesen Standards, sodass wir bei Erhalt eines SOC 2-Berichts klare Leitlinien hinsichtlich der möglicherweise auftretenden Ausnahmen haben? Thomas Humphre: Sie passen zu unserer Bewertung der Informationssicherheit. Thomas Humphre: Legen Sie Mindestanforderungen fest. Thomas Humphre: Sind das obligatorische Kontrollen, deren Durchführung oder Einrichtung Sie von allen Dritten erwarten? Thomas Humphre: Basieren diese Kontrollen auf den Best-Practice-Standards? Thomas Humphre: Vielleicht werden sie branchenweit oder von Regulierungsbehörden vorgegeben, einfach basierend auf dem, was in der Branche geschieht. Thomas Humphre: Und das wird tatsächlich zu einem sehr zyklischen Ansatz. Thomas Humphre: Sie überprüfen also kontinuierlich: Entsprechen diese Best Practices unseren Zielen und Anforderungen bei der Bewertung unserer Drittanbieter? Thomas Humphre: Verwenden wir die richtigen Standards? Thomas Humphre: Verwenden wir die richtigen Kontrollen?
Thomas Humphre: Ähm, gelten die Mindestanforderungen oder obligatorischen Kontrollen, die wir zu Beginn festgelegt haben, weiterhin? Thomas Humphre: Ähm, oder müssen wir Anpassungen vornehmen und zusätzliche Kontrollen festlegen, deren Einhaltung wir von unseren Lieferanten erwarten? Thomas Humphre: Und schließlich: Können wir diese beiden Sock-2-Anforderungen aus den Vertrauenskriterien ableiten? Thomas Humphre: Sobald wir das getan haben, sehen wir uns die eigentliche Bewertung der SOC-2-Berichte selbst an. Thomas Humphre: Sobald Sie also diesen SOC-2-Bericht erhalten haben, können wir anhand des Berichts feststellen, welchen Umfang der Bericht hat und wo Ausnahmen vermerkt sind. Thomas Humphre: Entspricht der Umfang unseren Erwartungen an das, was von dem Drittanbieter geliefert wird? Thomas Humphre: Enthält die Bestellung Hinweise darauf, wo es Ausnahmen von der Regel gibt, wo Ausnahmen festgestellt wurden und wo es Lücken in Prozessen, Richtlinien und Systemen gibt? Thomas Humphre: Sobald wir das festgestellt haben, können wir dann zu einem Stadium gelangen, in dem wir diese Ausnahmen extrahieren und in unser Risikoprogramm für Dritte aufnehmen können? Thomas Humphre: Wir erfassen sie also in Risikoberichten innerhalb des Risikoprofils jedes Anbieters, die mit unserer Art der Risikoberechnung in Einklang gebracht werden können. Thomas Humphre: Und schließlich müssen Sie sicherstellen, dass Sie über einen Prozess verfügen, der diese Ausnahmen verwaltet, um ein korrektes Ergebnis, eine korrekte Risikobehandlung und ein erfolgreiches Ergebnis zu gewährleisten, das durch Risikokorrekturmaßnahmen und dann durch dieses Maß an Engagement mit der Partei erzielt wird. Thomas Humphre: Abschließend ist noch anzumerken, dass es, wie ich zu Beginn erwähnt habe, immer Fälle geben wird, in denen keine Ausnahmen festgestellt werden. Thomas Humphre: Der Prüfer hat also eine oder mehrere Kontrollgruppen überprüft und festgestellt, dass alles in Ordnung ist. Thomas Humphre: Wir sehen dies insbesondere bei einigen der größeren Organisationen, insbesondere dort, wo SOCK 2 Jahr für Jahr durchgeführt wurde. Thomas Humphre: Es ist also ein ziemlich ausgereifter Prozess geworden. Thomas Humphre: Und das bedeutet nicht, dass es dann nicht mehr wertvoll ist. Thomas Humphre: Es bietet dann offensichtlich einen anderen Weg, wie wir diese Informationen mit unserem TPRM nutzen. Thomas Humphre: Ähm, aber das ist sicherlich ein sehr positives Ergebnis, das wir nutzen können, um vielleicht Best Practices zu demonstrieren und zu identifizieren, die einige dieser Organisationen anwenden.
Thomas Humphre: Insbesondere, wenn wir dann sehen wollen, wo es Trends und Trendanalysen zwischen ähnlichen Anbietern gibt, die uns Sock-Berichte liefern. Thomas Humphre: Zum Schluss noch eine Anmerkung aus der Sicht von Preven. Thomas Humphre: Preven hat also eine Checkliste für das Risikomanagement von Sock Two und Drittanbietern entwickelt, in der diese Trust-Service-Prinzipien behandelt werden, die T-Prime-Fähigkeiten abgebildet werden, aber auch, wie man die Compliance-Berichterstattung vereinfachen kann. Thomas Humphre: Diese Checkliste ist leicht verständlich, verfügbar und kann über den Link auf der Seite kostenlos heruntergeladen werden. Thomas Humphre: Damit ist mein Webinar beendet. Thomas Humphre: Ich möchte nun die Fragerunde eröffnen. Thomas Humphre: Okay, wir haben bereits einige Fragen erhalten. Thomas Humphre: Folgt der Sock-Auditor einem Unternehmen durch Mediation bei etwaigen Ausnahmen, etwaigen festgestellten Kontrollausnahmen? Thomas Humphre: Folgt ein Sock-Auditor einem Unternehmen durch Mediation bei etwaigen festgestellten Kontrollausnahmen? Thomas Humphre: Gute Frage. Thomas Humphre: Wie wir bereits festgestellt haben, liefert der Sock diesen detaillierten Bericht und eine Liste der Ausnahmen. Thomas Humphre: Nun, im typischen Fall, ähm, im typischen Fall werden die Sock-Two-Berichte einmalig erstellt und dann jährlich wiederholt. Thomas Humphre: Es ist üblich, dass Unternehmen jährlich oder halbjährlich überprüft und bewertet werden. Thomas Humphre: Es besteht die Möglichkeit, dass die Bewertung häufiger erfolgt, wenn das Unternehmen dies wünscht oder wenn dies Teil der vertraglichen Vereinbarungen ist. Thomas Humphre: Und natürlich würde während dieses Prozesses ja die Organisation weiterverfolgt werden, um auf der Grundlage der zuletzt festgestellten Ausnahmen zu identifizieren. Thomas Humphre: Wo Verbesserungen auf der Grundlage der Reaktionen des Managements vorgenommen wurden und ob alle Informationen, zu denen sich das Management zur Verbesserung der Praktiken verpflichtet hat, umgesetzt und abgeschlossen wurden.
Thomas Humphre: Und im Rahmen dieser jährlichen Überprüfung werden die Socken dann ja diese Ergebnisse betrachten, insbesondere im Hinblick darauf, was sich in den kommenden Jahren geändert hat oder ob es Verbesserungen gegeben hat, insbesondere wenn es in einem bestimmten Bereich viele Ausnahmen gibt. Dann kann es für den Sock Socket Assessor sinnvoll sein, diesen bestimmten Bereich bei der Erstellung seines Berichts genauer zu untersuchen. Thomas Humphre: Ähm, das ist ein typisches Szenario, das man findet, wenn es ein bestimmtes Problem in einer Kontrollgruppe gibt. Thomas Humphre: Ähm, wenn wir uns zum Beispiel die Sicherheitskontrollgruppe ansehen und es eine Reihe von Zugriffskontrollanforderungen gibt, ähm, und es weiterhin Ausnahmen gibt, die zumindest für den Prüfer relevant sein könnten, um mit dieser Organisation nachzufassen und zu sagen, dass wir uns hier genauer umsehen müssen, um sicherzustellen, dass alle von Ihnen ergriffenen Maßnahmen, ähm, erfolgreich waren und dass wir nun an einem Punkt angelangt sind, an dem der Prozess effektiv funktioniert und auch effektiv läuft. Thomas Humphre: Ja, es gibt eine Nachverfolgung durch den Prüfer, mindestens einmal jährlich, aber in einigen Fällen kann es auch häufiger sein. Thomas Humphre: Wir haben hier eine zweite Frage. Thomas Humphre: Bedeutet die Feststellung von Ausnahmen automatisch die Abgabe einer eingeschränkten Stellungnahme? Thomas Humphre: Bedeutet die Feststellung von Ausnahmen automatisch die Abgabe einer eingeschränkten Stellungnahme? Thomas Humphre: Das ist eine interessante Frage. Thomas Humphre: Ähm, weil es zwei Arten von Stellungnahmen gibt, die abgegeben werden können, nämlich eine uneingeschränkte Stellungnahme und eine eingeschränkte Stellungnahme. Thomas Humphre: Ähm, und es ist interessant, zu verstehen, was das eigentlich bedeutet oder was als eingeschränkter oder uneingeschränkter Bericht oder Bestätigungsvermerk gilt. Thomas Humphre: Die Antwort lautet also: Es hängt von der Ausnahme ab. Thomas Humphre: Es kann also Fälle geben, in denen Ausnahmen festgestellt und gemeldet werden und die sehr schwerwiegend oder sehr ernst sind. Thomas Humphre: Ein perfektes Beispiel dafür ist, wenn ein Prozess dokumentiert wurde, aber es keine Anhaltspunkte dafür gibt, dass dieser Prozess funktioniert, insbesondere wenn man sich Typ 2 und die operative Wirksamkeit ansieht. Thomas Humphre: Es könnte also ein ziemlich ernstes Problem sein.
Thomas Humphre: Auf der anderen Seite könnte es Ausnahmen geben, die geltend gemacht werden, aber der Prozess kann trotzdem weiterlaufen. Thomas Humphre: Jeder, der mit ISO vertraut ist, kennt Begriffe wie „Beobachtungen“, „geringfügige und schwerwiegende Nichtkonformitäten“, und es handelt sich um einen ähnlichen Prozess. Thomas Humphre: Wenn also Probleme aufgezeigt wurden und Aspekte eines Prozesses, einer Richtlinie oder einer Kontrolle verbessert werden müssen, die keine nachteiligen Auswirkungen auf die gesamte Organisation hatten, ist dies der Unterschied zwischen der Abgabe eines eingeschränkten Bestätigungsvermerks. Thomas Humphre: Wenn also ein Sock-Bericht erstellt wird, ist es wahrscheinlich auch erwähnenswert, dass er uneingeschränkt ist. Thomas Humphre: Wenn also ein Sock-Bericht mit einem eingeschränkten Bestätigungsvermerk herausgegeben wird, ist dies im Grunde ein Hinweis darauf, dass entweder eine einzelne oder eine Reihe von Kontrollen entweder nicht vom Typ 1 konzipiert wurden oder nicht effektiv funktionieren, wenn man an Typ 2 denkt. Thomas Humphre: Ähm, wenn es sich also um einen eingeschränkten Bericht handelt, waren diese Ausnahmen so bedeutend, dass eine oder mehrere Kontrollen als völlig unwirksam angesehen werden können. Thomas Humphre: Auf der anderen Seite bedeutet ein uneingeschränkter Bestätigungsvermerk oder ein uneingeschränkter Bericht, dass alle geprüften Kontrollen, die entweder vom Typ 1 oder vom Typ 2 sind, effektiv funktionieren. Thomas Humphre: In einem solchen Szenario wurden entweder keine Probleme festgestellt oder es gab keine Ausnahmen, oder es gab zwar einige Probleme, diese hatten jedoch keine nachteiligen Auswirkungen. Thomas Humphre: Es hängt also sehr stark von der Schwere der Ausnahme ab, die Sie feststellen, ob der Wirtschaftsprüfer einen eingeschränkten oder einen uneingeschränkten Bestätigungsvermerk erteilt. Thomas Humphre: Ähm, ich hoffe, das ist verständlich. Thomas Humphre: Ähm, letzte Frage. Thomas Humphre: Ich habe den Begriff „Bridging Letter” schon einmal im Zusammenhang mit einigen Unternehmen gehört. Thomas Humphre: Was ist das und ist es ein Ersatz für einen SOC-2-Bericht? Thomas Humphre: Ähm, interessante Frage. Thomas Humphre: Ähm, ein Überbrückungsschreiben kann also in vielen Unternehmen verwendet werden, und es wird im Grunde genommen als Lücke betrachtet, daher der Begriff „Brücke”. Das bedeutet, dass die Daten des letzten SOC 2-Berichts, der durchgeführt wurde, und jeder SOC-Bericht einen klaren Hinweis auf die Daten enthalten. Thomas Humphre: Ähm, aber dann kann es eine Lücke zwischen dem letzten durchgeführten Sock-Bericht und dem nächsten Sock-Bericht oder der nächsten Sock-Bewertung geben.
Thomas Humphre: Wenn es eine erhebliche Lücke gibt, was in der Regel eine Lücke von drei Monaten oder länger bedeutet, kann ein Schreiben ausgestellt werden, das im Grunde genommen eine Bestätigung des Unternehmens darstellt, dass es keine wesentlichen Änderungen an unseren Kontrollen gegeben hat, die unter den Geltungsbereich unseres SOC 2 oder SOC 2 fallen, das zuletzt ausgestellt wurde. Thomas Humphre: Es gab keine wesentlichen operativen oder geschäftlichen Änderungen, die sich auf unsere Kontrollen ausgewirkt haben. Thomas Humphre: Es ist also wichtig zu betonen, dass dies kein Ersatz für einen SOC-2-Bericht ist, aber es hilft, insbesondere Kunden diese Sicherheit zu geben, wenn es eine erhebliche Lücke zwischen SOC-2- und SOC-2-Audits gibt. Thomas Humphre: Und wir stellen fest, dass dies häufig in vielen Unternehmen verwendet wird, insbesondere in einigen der großen Unternehmen, den größeren multinationalen Unternehmen, die seit vielen Jahren Sock Two haben und aus dem einen oder anderen Grund eine Lücke zwischen zwei Berichten besteht, und ja, es ist dieses Maß an Sicherheit, das von der Organisation selbst herausgegeben und unterzeichnet wird, also nicht von einem Wirtschaftsprüfer überprüft wird, sondern von der Organisation selbst geliefert wird, also ist es etwas, dases immer wert ist, aus der Perspektive des Kunden, aus Ihrer eigenen Perspektive, in Betracht zu ziehen, aber man muss bedenken, dass es nicht von einem Wirtschaftsprüfer validiert wurde. Es ist einfach die Antwort der Organisation, die sagt, dass wir bestätigen können, dass es seit unserem letzten SOC 2 keine wesentlichen Änderungen gegeben hat, und in Vorbereitung auf unsere nächste geplante Bewertung. Thomas Humphre: Okay. Thomas Humphre: Ähm, ich sehe im Moment keine weiteren Fragen. Thomas Humphre: Wenn Sie nach diesem Webinar weitere Fragen haben, lassen Sie es uns bitte wissen, und ich werde Ihnen gerne antworten. Thomas Humphre: Vielen Dank. Melissa Lent: Großartig. Melissa Lent: Vielen Dank, Thomas, dass Sie heute bei uns waren und uns Ihre Erkenntnisse darüber vermittelt haben, wie man die Wirksamkeit der Sicherheitskontrollen eines Anbieters analysiert und wie man SOCK-2-Berichte von Drittanbietern entschlüsselt. Melissa Lent: Wir wissen Ihre Erkenntnisse sehr zu schätzen. Melissa Lent: Und an unsere Zuschauer: Wir würden uns freuen, wenn Sie auch an unseren nächsten OAG-Webinaren teilnehmen würden. Melissa Lent: Bitte achten Sie auf E-Mails von OAG zu diesen zukünftigen Veranstaltungen. Melissa Lent: Damit ist unser Webcast für heute beendet. Melissa Lent: Vielen Dank an alle für Ihre Teilnahme.
©2026 Mitratech, Inc. Alle Rechte vorbehalten.
©2026 Mitratech, Inc. Alle Rechte vorbehalten.