ISO 27001 vs. SSAE 18 SOC2 für Treasurer

Was Treasurer über Zertifizierungen wissen sollten

ISO 27001 vs SSAE 16 SOC2 for treasurers_HEADER
Mirek Pijanowski author pictureAutor: Mirek Pijanowski

BELLIN ist bereits seit mehreren Jahren nach ISO 27001:2013 bzw. SSAE zertifiziert und geprüft.

Tatsächlich ist es so, dass sich ISO 27001 und SSAE 18 als Normen grundlegend unterscheiden und ganz andere Einsatzgebiete haben. Wenngleich SOC-Berichte viele der gleichen Themenbereiche aufgreifen wie ISO 27001, gibt es im Detail doch viele Unterschiede.

 

IT vs. Wirtschaftsprüfung

Die Unterschiede zwischen den beiden Normen kommen vor allem durch die Organisationen zustande, die sie vergeben. ISO 27001 wird von der International Standards Organization (ISO) vergeben und ist die Standardnorm für die Zertifizierung von Information Security Management Systems (ISMS) bei IT-Systemen. SSAE 18 wird vom American Institute of Certified Public Accountants (AICPA) angeboten und ist explizit eine Bescheinigung durch Audits an Finanzservice-Systemen, die von lizenzierten, unabhängigen, amtlich zugelassenen Wirtschaftsprüfern oder -gesellschaften durchgeführt werden. ISO hat das Ziel, Sicherheitsstandards festzulegen, während AICPA sicherstellen will, dass die festgelegten Vorgehensweisen auch wirksam sind.

ISO 27001 – branchenübergreifender Standard

ISO 27001 bietet einen risikobasierten Bezugsrahmen für die Erstellung, den Einsatz und die Verbesserung von ISMS in Unternehmen. Die Standards werden von Informationssicherheitsexperten von ISO und IEC gepflegt und von unabhängigen Stellen zertifiziert. Voraussetzung ist, dass ein Unternehmen ein funktionierendes ISMS besitzt und mithilfe verschiedener Kontrollmechanismen Risikoabsicherung betreibt – seien es Prozesse, Richtlinien oder Systeme für ganze Abteilungen, Belegschaften oder sogar Branchen. Es handelt sich um ein Gesamtsystem für die Gewährleistung von Informationssicherheit. Jeder, der nach dieser Norm zertifiziert ist, hat auf jeden Fall ein solides Informationssicherheitssystem.

Der Bezugsrahmen der ISO 27001-Zertifizierung definiert ISMS-Richtlinien, die auf die Gegebenheiten der jeweiligen Organisation angepasst sind, wobei bestimmte Rahmenbedingungen zur Festlegung von Zielen und zur Überprüfung der Wirksamkeit gelten. Auf dieser Grundlage bestimmt die Organisation einen Ansatz zur Risikoeinschätzung und ermittelt, analysiert und beurteilt mögliche Risiken, um anschließend Kontrollmechanismen zum Schutz vor diesen zu entwickeln. Am Ende erstellt das Unternehmen eine Anwendbarkeitserklärung, aus der die gewählten Kontrollmechanismen sowie die Gründe für deren Wahl und deren Umsetzung hervorgehen.

Dabei sollte man im Hinterkopf behalten, dass Unternehmen unterschiedlich umfangreiche ISMS besitzen. Es kann also sein, dass manche Bereiche des Unternehmens der ISO 27001-Norm entsprechen und andere nicht.

SSAE 18 SOC 2 – Wirtschaftsprüfungsstandard

SSAE 18 hingegen ist eine Bescheinigung durch einen unabhängigen, amtlich zugelassenen Wirtschaftsprüfer oder eine Wirtschaftsprüfungsgesellschaft, bei der Kontrolldaten (sog. Service Organization Control (SOC) information) und Zielsetzungen verglichen werden. Es gibt unterschiedliche SOC-Berichte, von denen SOC 2 ISO 27001 am meisten ähnelt (wobei man bedenken sollte, dass SOC 2 ein Bericht und ISO 27001 eine Zertifizierung ist). Der Bericht dient einer Bestandsaufnahme des Aufbaus (Typ I) und der Funktionsweise (Typ II) der Kontrollmechanismen zur Risikominimierung auf Grundlage von Richtlinien für die Sicherheit, Verfügbarkeit, Prozessintegrität, Vertraulichkeit und Geheimhaltung. Es müssen aber nicht alle Richtlinien eingehalten werden, und SaaS-Anbieter können sich die Standards raussuchen, die ihren gesetzten Zielen am ehesten entsprechen. Im Wesentlichen gibt es bei SSAE 18 keine klar definierten Regeln und Standards, und ein Anbieter entwickelt seine eigenen Sicherheitskontrollmaßnahmen und -richtlinien, die dann in einem Audit geprüft werden.

Der Auditprozess selbst unterscheidet sich bei SSAE 18 ebenfalls maßgeblich. Während bei ISO 27001 zertifiziert wird, dass ein Unternehmen die in der Norm festgelegten Kontrollmechanismen und Anforderungen einhält, findet ein SSAE 18-Audit während eines bestimmten Zeitraums statt und prüft die Wirksamkeit der ausgewählten und eingesetzten Kontrollmechanismen.

Sowohl ISO 27001 als auch SSAE 18 (SOC 2) sind Informationssicherheitsstandards, aber es gibt große Unterschiede bei der Anwendung. Diese ergeben sich primär aus den Unterschieden zwischen ISO und AICPA, die eine andere Methodik und eine unterschiedliche Aussage zur Folge haben. ISO 27001 ist eine Zertifizierung für ISMS, die im Rahmen einer Beurteilung anhand von in der Norm festgelegten Standards vergeben wird. Dagegen überprüft SSAE die Prozesse, die ein Unternehmen bestimmt hat. Sie können sich aber darauf verlassen, dass ein Unternehmen, das eine Zertifizierung oder einen SOC-Bericht vorweisen kann, für die Sicherheit Ihrer Daten sorgt.

Hier erfahren Sie mehr über unsere Lösungen im Bereich Compliance und Sicherheit. Oder werfen Sie einen Blick auf unser integriertes Treasury Management System tm5.

Mit dem Absenden des Kontaktformulars erklären Sie sich damit einverstanden, dass Ihre Daten zur Bearbeitung Ihres Anliegens verwendet werden. Weitere Informationen und Widerrufshinweise finden Sie in der Datenschutzerklärung.

Lassen Sie uns reden!

Sie möchten mehr über unsere Lösungen erfahren? Das freut uns. Denn wir würden auch gerne mehr über Sie erfahren. Melden Sie sich einfach.

Mit dem Absenden des Kontaktformulars erklären Sie sich damit einverstanden, dass Ihre Daten zur Bearbeitung Ihres Anliegens verwendet werden. Weitere Informationen und Widerrufshinweise finden Sie in der Datenschutzerklärung.