Das Microsoft Lieferantensicherheit und Datenschutzgarantie (SSPA) Das Programm erfordert, dass seine Lieferanten über ein angemessenes Sicherheits- und Datenschutzprogramm verfügen, um vertrauliche oder personenbezogene Daten von Microsoft zu verarbeiten.

Stand Dezember 2021, Microsoft Staaten in seiner SVSP dass es SOC 2 nicht mehr akzeptiert Berichte; Stattdessen werden ISO 27001 und ISO 27701 als Anforderungen aufgeführt.

  • Version 7, veröffentlicht im November 2020 – SEITE 11, 14 und 15

  • Siehe Anhang A: SOC 2-Berichte (mit Sicherheitsabdeckung) werden nach Dezember 2021 nicht mehr akzeptiert

  • Vertrauliche Datenverarbeitung: ISO 27001 einreichen

  • Verarbeitung personenbezogener, vertraulicher Daten: Reichen Sie ISO 27701 und ISO 27001 ein

Die „Befürwortung“ von ISO 27001 und ISO/IEC 27701 durch Microsoft hat weitreichende Auswirkungen. Wenn ein Branchenführer im Bereich Datensicherheit und Datenschutz wie Microsoft auf diese Weise offiziell einen Standard gegenüber einem anderen „befürwortet“, obliegt es den anderen Branchenführern, diesem Beispiel zu folgen. Dies stellt eine deutliche Abkehr von der zuvor in den USA akzeptierten Anforderung zur Einhaltung von SOC 2 dar.

Was ist das SSPA-Programm (Supplier Security and Privacy Assurance)?

Das Supplier Security and Privacy Assurance Program ist eine Unternehmensinitiative von Microsoft, um sicherzustellen, dass Lieferanten die strengen Datenschutzanforderungen von Microsoft einhalten. Die Microsoft-Datenschutzanforderungen für Lieferanten („DPR“) sind die grundlegenden Datenverarbeitungsanweisungen von Microsoft für Lieferanten.

Die Microsoft-Datenschutzanforderungen für Lieferanten (MSDRP) beschreiben die Datenverarbeitungsanweisungen von Microsoft, die über das Lieferantensicherheits- und Datenschutz-Assurance-Programm Lieferanten bereitgestellt werden, die mit vertraulichen und/oder personenbezogenen Daten von Microsoft arbeiten.

Das SSPA-Programm deckt ein breites Spektrum vertraulicher Datenverarbeitungsaktivitäten ab, einschließlich Audit-Reaktion und Berichterstattung; Datenzugriffsverwaltung; Management von Informationssicherheitsvorfällen; Risikomanagement Dritter; Datenschutz-Folgenabschätzungen und Datenschutzzertifizierungen von Lieferanten. Im Wesentlichen bietet das SSPA-Programm Leitlinien für den Umgang mit Risiken im Zusammenhang mit der Verarbeitung personenbezogener Daten für externe Parteien.

„Der SSPA fördert die Einhaltung dieser Anforderungen durch einen jährlichen Compliance-Zyklus; Bei neuen Lieferanten kann die Arbeit erst beginnen, wenn dies abgeschlossen ist. Wenn ein Lieferant personenbezogene Daten und/oder vertrauliche Daten von Microsoft verarbeitet, wird er mit seinem Unternehmenssponsor zusammenarbeiten, um sich für das SSPA-Programm anzumelden. Lieferanten können auch ausgewählt werden, um unabhängige Sicherheit zu bieten, indem sie eine Bewertung anhand der DPR durchführen.“

„Strenge Datenschutz- und Sicherheitspraktiken sind für unsere Mission von entscheidender Bedeutung, für das Vertrauen der Kunden von entscheidender Bedeutung und in mehreren Gerichtsbarkeiten gesetzlich vorgeschrieben. Die in den Datenschutz- und Sicherheitsrichtlinien von Microsoft festgehaltenen Standards spiegeln unsere Werte als Unternehmen wider und gelten auch für unsere Lieferanten (wie Ihr Unternehmen), die Microsoft-Daten in unserem Namen verarbeiten.“

Zusammenfassend ist Microsoft Supplier Security and Privacy Assurance (SSPA) ein unternehmensweites Programm, das sicherstellt, dass Microsoft-Lieferanten im Hinblick auf Informationssicherheit und Datenschutz angemessen geschützt sind, um personenbezogene Daten, Informationsressourcen oder vertrauliche Microsoft-Daten in Übereinstimmung mit Microsoft verarbeiten zu dürfen Richtlinien.

Angenommen, Microsoft autorisiert noch keinen neuen Lieferanten. In diesem Fall muss es die Konformität mit Microsoft durch ISO 27001- und ISO 27701-Zertifizierungen nachweisen oder sich vor der Genehmigung einer SSPA-Bewertung durch einen der „Preferred Assessoren“ von Microsoft unterziehen. Microsoft überprüft jährlich die Compliance seiner Anbieter.

Warum hat Microsoft SOC 2 zugunsten von ISO aufgegeben?

Die Bestätigung von ISO 27001 und 27701 durch Microsoft ist ein entscheidender Vertrauensbeweis in den Nutzen der ISO 27001- und 27701-Zertifizierungen, um das umfassende Infosec- und Datenschutzprogramm Ihres Unternehmens zu demonstrieren, das an wichtigen Datenschutzgesetzen und -vorschriften wie z. B. ausgerichtet ist Datenschutz, CCPA, POPIA, APPS und APAC.

  • Die SOC-Konformität ist international nicht anerkannt, ISO-Standards dagegen schon. Es ist wichtig darauf hinzuweisen, dass ISO 27701 immer noch aktuell ist (veröffentlicht im Jahr 2019), was bedeutet, dass es eng mit internationalen Datenschutzgesetzen und -vorschriften übereinstimmt.

  • Eine SOC 2-Bescheinigung muss nicht von einer unabhängigen Zertifizierungsstelle eingeholt werden, was bedeutet, dass sie anfälliger für die Möglichkeit einer Unehrlichkeit ist, die mit der Bewertung Ihrer eigenen Hausaufgaben vergleichbar ist.

  • Ein SOC-2-Bericht ist in der Regel länger als 100 Seiten und wird von Dritten aufgrund seiner Länge selten sorgfältig geprüft.

  • Es ist wichtig zu beachten, dass die von SOC 2 durchgeführten Audits für Lieferanten mühsam, langwierig und kostspielig sein können.

  • Die Aufrechterhaltung der ISO 27001-Zertifizierung ist kostengünstiger als die regelmäßige Aktualisierung der SOC 2-Auditbescheinigungsprogramme.

  • Die Kosten für die Aufrechterhaltung einer ISO 27701-Zertifizierung sind deutlich niedriger als die für die Aufrechterhaltung einer SOC 2 Typ 2-Zertifizierung mit Privacy Trust Services Criteria.

  • Die Verwaltung von Sicherheit und Datenschutz als ein einziges logisches Konstrukt innerhalb eines ISO 27701 Privacy Information Management Systems (PIMS) ist deutlich einfacher als die gleichzeitige Ausführung verschiedener Programme.

Jeder, dem wir bei der Zertifizierung nach ISO 27001 geholfen haben, hat beim ersten Mal bestanden. Du könntest auch.
Buchen Sie Ihre Demo

Ist ISO 27001 besser als ein SOC 2-Bericht?

Die komplizierten Details und Vorteile der beiden wurden in vielen Online-Artikeln ausführlich verglichen. Die Antwort auf diese Frage ist immer unbefriedigend: „es kommt darauf an“, das heißt, es kommt darauf an, wo Sie im Verhältnis zu Ihren Kunden stehen.

Mit anderen Worten: Wenn sich die meisten Ihrer Kunden in den Vereinigten Staaten befinden, sollten Sie sich für SOC 2 entscheiden. Wenn die meisten Ihrer Kunden außerhalb der Vereinigten Staaten ansässig sind, wäre ISO 27001 eine gute Wahl. Für transnationale Organisationen, SaaS-Unternehmen o.ä. ist es grundsätzlich falsch und wirkungslos, diesem Rat zu folgen, da er nicht funktioniert.

SaaS-Unternehmen zum Beispiel werden mit ziemlicher Sicherheit eine Mischung aus inländischen und internationalen Kunden haben; Wenn nicht jetzt, dann steht es mit ziemlicher Sicherheit in naher Zukunft auf der Roadmap.

Darüber hinaus agieren die meisten Unternehmen immer internationaler, weshalb eine solche Zertifizierung überhaupt erst notwendig geworden ist. Hinzu kommt, dass die Unternehmen, die überhaupt Zertifizierungen wie ISO 27001 fordern, oft ohnehin international agieren.

Der kritische Punkt ist jedoch der folgende. Bei ISMS.online sind wir seit vielen Jahren weltweit im Bereich SaaS und Compliance tätig. Soweit uns bekannt ist, ist es noch nicht vorgekommen, dass ein Unternehmen SOC 2 beantragt, ISO 27001 jedoch abgelehnt hat, als es ihm angeboten wurde.

Was ist also der Hauptunterschied? Ist das eine nicht so gut wie das andere? Nun, ja und nein. International ist es jedoch durchaus üblich, dass das Gegenteil der Fall ist.

SOC 2 wird für einige auf die USA ausgerichtete Organisationen einen Platz behalten, aber das kluge Geld liegt darin, ISO 27001 und gegebenenfalls ISO 27701 zu erhalten.

Unsere Empfehlung lautet daher immer noch ISO 27001 gegenüber SOC 2, selbst für Unternehmen mit Sitz in den USA, deren Kunden größtenteils in den USA ansässig sind.

Warum ISO 27001 die bessere Wahl ist

Es ist wichtig zu beachten, dass das SOC 2-Framework auf fünf Vertrauensprinzipien basiert. Dies sind Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz.

Um einen SOC 2-Bericht zu erhalten, müssen Sie nur den ersten Aspekt, nämlich Sicherheit, in Ihrer Organisation implementieren. Der Rest sind lediglich empfohlene Maßnahmen, die Sie ergreifen können oder auch nicht. Diese Maßnahmen haben keinen Einfluss auf Ihren Bericht, wenn sie nicht in Ihrer Organisation umgesetzt werden. Mit anderen Worten: Ihr Bericht wird nicht beeinträchtigt, wenn Ihre Prozesse nicht vertraulich sind oder wenn sie nicht mit Integrität verarbeitet werden.

Es besteht kein Zweifel, dass die Kriterien für SOC 2-Vertrauensdienste dadurch wesentlich flexibler und einfacher werden. Es lässt jedoch unserer natürlichen Tendenz Tür und Tor offen, das Mindeste tun zu wollen, um dieses Compliance-Kästchen anzukreuzen.

Wir alle können uns damit identifizieren, aber das bedeutet nicht unbedingt, dass es eine gute Sache ist. Auch wenn Sie die Kästchen ankreuzen, bedeutet der Bericht, den Sie Ihrem Prüfer am Ende des Prozesses vorlegen, nicht, dass Ihre Prozesse sicher sind.

Viele Unternehmen erhalten am Ende Berichte, bei denen es sich lediglich um „Ankreuzübungen“ handelt, die aber nicht wirklich „abgeschlossen“ oder robuste Compliance-Mechanismen sind.

Mit anderen Worten: Ihre Berichte sind unvollständig, weil sie nicht die Einhaltung aller fünf Vertrauensdienstprinzipien innerhalb des SOC-Typ-i- oder Typ-ii-Frameworks nachweisen.

Im Gegensatz dazu stellt ISO 27001 sicher, dass die in Ihrer Organisation implementierten Kontrollen auf einer Risikobewertung Ihrer Organisation und Ihren Informationssicherheitsanforderungen basieren.

Bei der ordnungsgemäßen Implementierung eines Informationssicherheitsmanagementsystems können Sie nicht ohne triftigen Grund nicht alle Kontrollen gemäß ISO 27001 implementieren.

Bei Ihren Sicherheitskontrollen geht es während des Implementierungsprozesses stets um Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz.

Nehmen Sie sich einen Moment Zeit, darüber nachzudenken. Kann man im Hinblick auf den Schutz der Daten Ihrer Kunden wirklich erwarten, dass Sie sich mit der Sicherheit befassen, ohne sich gleichzeitig mit der Integrität, Vertraulichkeit und Privatsphäre der Kundendaten zu befassen?

Darüber hinaus ist die Verfügbarkeit der wichtigste Faktor für Ihre Kunden und steht hinsichtlich der Prioritäten hinter der Sicherheit an zweiter Stelle.

Dies ist besonders wichtig, wenn es um den Schutz personenbezogener Daten wie Kreditkartennummern und Sozialversicherungsnummern geht. Es wäre am besten, wenn Sie alle Vorkehrungen treffen würden, um diese Informationen vor Diebstahl oder Missbrauch durch Hacker oder andere böswillige Parteien zu schützen.

Was das für Ihr Unternehmen und die nächsten Schritte bedeutet

Aufgrund der zahlreichen Vorteile, die ISO 27001 bietet, sind ISO 27001 und 27701 die offensichtliche(n) Wahl(en), wenn Sie ein robustes Kontrollrahmenwerk für die Informationssicherheit implementieren und nicht nur Kästchen in Bezug auf Informationssicherheit, Cybersicherheit und Datenschutz ankreuzen möchten.

Die Implementierung eines ISMS trägt wesentlich dazu bei, die Einhaltung gesetzlicher Vorschriften zu erreichen und das Risiko von Verstößen, Nichteinhaltung oder Schlimmerem zu mindern. Es hilft dabei, Schwachstellen und Schwächen in der Cybersicherheitslage Ihres Unternehmens zu erkennen, bevor sie zu einem Problem werden. Dadurch können Reputationsschäden und mögliche finanzielle Strafen/Strafen verhindert werden.

Bereit zum Handeln?

Buchen Sie Ihre Demo

CTA-Bild

ISO 27001 fördert Best Practices und lässt sich in andere Standards integrieren

Einer der Hauptbestandteile von ISO 27001 ist ISO Annex L, die Beschreibung der Anforderungen und Merkmale für ein generisches Managementsystem, die im Wesentlichen die Merkmale und Anforderungen des Systems beschreibt. 

Die Bedeutung dieses Punktes kann nicht genug betont werden. Ein Managementsystem für Ihr Unternehmen kann über den Schutz von Informationsressourcen und Privatsphäre hinausgehen. Ein ISMS fördert starke Geschäftspraktiken und eine bessere Gesamtleistung der Organisation. Dies wiederum ermöglicht Ihnen, Ihre Kunden besser zu bedienen und Ihre Geschäftsziele schneller und effizienter zu erreichen.

Durch die Implementierung eines ISMS können Sie den Überblick über aktuelle Praktiken behalten, die Leistung messen und Bereiche für Verbesserungen im Laufe der Zeit festlegen. Es hilft Ihnen auch dabei, einen Wettbewerbsvorteil zu wahren, indem Sie die Kundenzufriedenheit verbessern, Geschäftsabläufe optimieren und Wachstumschancen identifizieren.

Obwohl ISO 27001 den Schwerpunkt auf Informationssicherheit legt, bedeutet Anhang L, dass er sich sehr gut mit anderen ISO-Standards integrieren lässt, die ebenfalls auf Anhang L basieren. Im Rahmen Ihrer allgemeinen Entwicklungs- und Verbesserungsaktivitäten für Managementsysteme möchten Sie diese Standards möglicherweise zu einem späteren Zeitpunkt einführen Datum. Es gibt über 50 ISO-Standards, darunter ISO 9001 für Qualitätsmanagement und ISO 22301 für die Geschäftskontinuität.

Wir schlagen zwar nicht vor, dass Sie sich mit diesen Standards befassen, aber der Punkt ist, dass es möglich ist. ISO-Standards und die Integrated Management System (IMS)-Plattform von ISMS.online bieten einen Upgrade-Pfad, sodass Sie keine neue Software kaufen müssen. Ein Silo-Framework wie SOC 2 bietet diesen Vorteil nicht.

ISO 27001 kostet weniger

Es gibt ein weit verbreitetes Missverständnis, dass die Implementierung des ISO 27001-Standards kostspieliger ist als die Implementierung von SOC 2; Tatsächlich ist die ISO 27001-Zertifizierung kostengünstiger in der Implementierung und Aufrechterhaltung als die SOC 2-Zertifizierung, und das mit einer angemessenen Marge.

Das ISO 27001-Audit konzentriert sich auf den Betrieb des Informationssicherheits-Managementsystems (ISMS), um die ordnungsgemäße Umsetzung der Anhang-A-Kontrollen zu bestätigen, sodass die Kosten geringer sind als bei einem SOC 2-Audit. Dementsprechend umfasst die Prüfung nur technische (Anhang A) Kontrollen. Aufgrund des Fehlens eines ISMS konzentrieren sich SOC 2-Audits auf die Bewertung der TSC-Sicherheitskontrollen und nicht auf das ISMS.

Ein wesentlicher Vorteil der ISO-Zertifizierung besteht darin, dass es sich um eine wettbewerbsfähige Branche handelt, sodass Sie problemlos nach dem besten Preis suchen können.

Um ein SOC 2-Audit durchzuführen, müssen Sie ein Unternehmen finden, das als CPA (Certified Public Accountant) lizenziert ist und in der Lage ist, diese Audits durchzuführen. Insbesondere in Europa tun dies nur sehr wenige Unternehmen, und dies tun in der Regel die größeren professionellen Dienstleistungsunternehmen, was bedeutet, dass sie mehr verlangen.

Kosten und Zeitrahmen für Wartung und Rezertifizierung

Organisationen sind dafür verantwortlich, ihre ISO-Zertifizierung durch Überwachungsaudits (Kontrollaudits) aufrechtzuerhalten, die je nach Größe und Umfang Ihrer Organisation in den Jahren 2 und 3 jährlich oder alle sechs Monate durchgeführt werden. Diese kürzeren Audits sind kostengünstiger als das Erstaudit für die Zertifizierung da die Fertigstellung etwa ein Drittel der Zeit in Anspruch nimmt. Im vierten Jahr müssen Sie sich einer vollständigen Rezertifizierung unterziehen und der Auditzyklus beginnt von neuem.

Im Rahmen von SOC 2 benötigen Sie eine vollständige jährliche Prüfung, um sicherzustellen, dass die Bescheinigung der Wirtschaftsprüfungsgesellschaft ihre Gültigkeit behält. Sie müssen zwar nicht den gleichen Betrag ausgeben wie bei Ihrer ersten Anmeldung im ersten Jahr, der aktualisierte Auditbericht kostet Sie jedoch mindestens 1 €.

Wenn man also davon ausgeht, dass alles andere gleich ist, ist ISO 27001 auf lange Sicht günstiger als SOC 2.

Bereits ISO 27001 zertifiziert?

Wenn Sie bereits ISO 27001-zertifiziert sind, können Sie Ihr Datenschutzprogramm an den ISO 27701-Leitlinien ausrichten und es in Ihr ISMS integrieren; Dieses Upgrade wird als Privacy Information Management System oder PIMS bezeichnet. Sie können den Datenschutzstandard erwerben und den Umfang Ihrer Kontrollen und Richtlinien ändern, um PIMS-Anleitungen einzubeziehen. Arbeiten Sie mit Ihrem Auditor zusammen, um Ihren Zertifizierungsumfang bei Ihrem anschließenden Überwachungs- oder Rezertifizierungsaudit um ISO 27701 zu erweitern.

Bereits SOC 2 zertifiziert?

Der Übergang von einer SOC 2-Zertifizierung zu einer ISO 27001-Zertifizierung ist etwas aufwändig, aber keine allzu große Herausforderung. Sie müssen Risiken in ISO 27001 effektiv verwalten, daher werden die von Ihnen eingerichteten SOC 2-Sicherheitskontrollen wahrscheinlich dieselben sein.

Sie müssen Ihren Ansatz dokumentieren und ihn einem unabhängigen externen Prüfer zur Genehmigung vorlegen, bevor Sie zertifiziert werden. Für kleinere Organisationen macht ISMS.online die ISO 27001-Zertifizierung einfach intern zu verwalten, ohne dass die Unterstützung eines externen Beraters erforderlich ist.

Für größere Organisationen ist die Auslagerung des ISMS-Zertifizierungsprozesses an einen unabhängigen Dritten keine Seltenheit, da dadurch die Qualität und Unparteilichkeit Ihrer ISMS-Dokumentation gewährleistet wird; Auch dies ist mit ISMS.online nicht erforderlich, da unser Virtual Coach, Adapt, Adopt Add (AAA Framework) und Assured Results Method (ARM) dafür sorgen, dass Sie die nötige Unterstützung erhalten, um die Zertifizierung gleich beim ersten Mal zu erhalten.

Bei der doppelten SOC 2-Bescheinigung und der ISO 27001-Zertifizierung geht es in erster Linie darum, das ISO 27001 ISMS über Ihre bestehenden Kontrollen zu legen und einige Ihrer Dokumentationen zu ändern, um die Unterschiede in den Bescheinigungsrahmen widerzuspiegeln. ISMS.online bietet einen klaren Zuordnungspfad zwischen ISO 27001 und SOC 2 und vereinfacht so sowohl die Zertifizierung als auch die Bescheinigung.

Bereits SOC 2-zertifiziert (einschließlich Datenschutz)?

Wie im vorherigen Szenario müssen Sie zusammen mit dem SOC 27001-Übergang auch das Datenschutzprogramm auf ISO 2 umstellen. Auch hier vereinfacht die Zuordnung von SOC 2 und ISO 27701 innerhalb von ISMS.online den Übergang zwischen beiden.

Nicht SOC 2-zertifiziert oder ISO 27001-zertifiziert?

Solange Sie einen Kunden haben, der eine Bescheinigung anfordert, können Sie Ihre jährliche SSPA-Bewertung fortsetzen. Der Übergang zur ISO 27001- und ISO 27701-Zertifizierung innerhalb von 12 Monaten ist ratsam, wenn Sie gegenüber anderen Stakeholdern Sicherheit und Compliance nachweisen müssen.

Sie könnten sich in Ihrem ersten Jahr auf ISO 27001 konzentrieren, wenn Ihre Bandbreite und/oder Ihr Budget begrenzt sind, und sich dann in Ihrem zweiten Jahr mit ISO 27701 befassen, wenn Sie Ihr erstes Überwachungsaudit durchführen, wenn Sie über die Ressourcen und/oder das Budget dafür verfügen .

Wie ISMS.online helfen kann

Wie bereits erwähnt, hat Microsoft mit Wirkung vom Dezember 27001 ISO 2 gegenüber SOC 2021 befürwortet, und obwohl dies möglicherweise nicht das rechtzeitige Ende von SOC 2 bedeutet, werden andere multinationale Unternehmen wahrscheinlich diesem Beispiel folgen und ähnliche Anforderungen an ihre Lieferketten stellen.

ISMS.online bereitet Sie auf die ISO27001-Zertifizierung vor, indem viele der damit verbundenen Aufgaben automatisiert werden. Sobald Sie Ihr Unternehmen bei ISMS.online eingebunden haben, stellt unsere Plattform den Mapping-Entwurf, Tools, Frameworks, Richtlinien, Kontrollen, umsetzbare Dokumentation und Anleitungen bereit, um Sie bei der Erfüllung aller ISO 27001-Anforderungen und SOC 2-Kontrollen zu unterstützen.

Klicken Sie hier, um zu Demo buchen.

Laden Sie unseren kostenlosen Leitfaden für eine schnelle und nachhaltige Zertifizierung herunter

CTA-Bild