Hvorfor ISO 27001 er bedre end
SOC2

Microsoft Supplier Security and Privacy Assurance (SSPA) programmet kræver, at dets leverandører har et passende sikkerheds- og privatlivsprogram på plads til at behandle Microsofts fortrolige data eller personlige data.

Fra december 2021, Microsoft stater i sin SSPA at den ikke længere vil acceptere SOC 2 rapporter; i stedet er ISO 27001 & ISO 27701 anført som krav.

• Version 7, udgivet november 2020 – SIDE 11, 14 og 15
• Se appendiks A: SOC 2-rapporter (med sikkerhedsdækning) vil ikke blive accepteret efter december 2021
• Fortrolig databehandling: Indsend ISO 27001
• Personlig, fortrolig databehandling: Indsend ISO 27701 & ISO 27001

Microsofts "godkendelse" af ISO 27001 og ISO/IEC 27701 har brede implikationer. Når en brancheleder inden for datasikkerhed og privatliv, såsom Microsoft, formelt "godkender" en standard frem for en anden på denne måde, er det andre industriledere, der påhviler det at følge. Dette markerer et markant skift fra det tidligere accepterede amerikanske krav om at overholde SOC 2.

Hvad er SSPA-programmet (Supplier Security and Privacy Assurance)?

Supplier Security and Privacy Assurance-programmet er et virksomhedsinitiativ taget af Microsoft for at sikre, at leverandører overholder Microsofts strenge databeskyttelseskrav. Microsoft Supplier Data Protection Requirements (“DPR”) er Microsofts grundlæggende databehandlingsinstruktioner til leverandører.

Microsoft Supplier Data Protection Requirements (MSDRP) beskriver Microsofts databehandlingsinstruktioner, der leveres gennem Supplier Security & Privacy Assurance Program til leverandører, der arbejder med Microsofts fortrolige data og/eller personlige data.

SSPA-programmet dækker en bred vifte af fortrolige databehandlingsaktiviteter, herunder revisionssvar og rapportering; styring af dataadgang; håndtering af hændelser vedrørende informationssikkerhed; tredjeparts risikostyring; vurderinger af indvirkning på privatlivets fred og certificeringer af leverandørdatabeskyttelse. Grundlæggende giver SSPA-programmet vejledning til håndtering af risici relateret til behandling af personoplysninger for eksterne parter.

"SSPA driver overholdelse af disse krav gennem en årlig overholdelsescyklus; for nye leverandører kan arbejdet ikke påbegyndes, før dette er afsluttet. Hvis en leverandør behandler personlige data og/eller fortrolige Microsoft-data, vil de samarbejde med deres virksomhedssponsor for at tilmelde sig SSPA-programmet. Leverandører kan også vælges til at give uafhængig sikkerhed ved at gennemføre en vurdering i forhold til DPR."

"Stærk privatlivs- og sikkerhedspraksis er afgørende for vores mission, essentiel for kundernes tillid og i flere jurisdiktioner, krævet ved lov. Standarderne i Microsofts privatlivs- og sikkerhedspolitikker afspejler vores værdier som virksomhed, og disse omfatter vores leverandører (såsom din virksomhed), der behandler Microsoft-data på vores vegne."

Sammenfattende er Microsoft Supplier Security and Privacy Assurance (SSPA) et program for hele virksomheden, der sikrer, at Microsoft-leverandører er tilstrækkeligt beskyttede med hensyn til informationssikkerhed og privatliv for at få tilladelse til at behandle personlige data, informationsaktiver eller Microsofts fortrolige data i overensstemmelse med Microsoft politikker.

Antag, at Microsoft ikke allerede autoriserer en ny leverandør. I så fald skal den demonstrere overholdelse af Microsoft gennem ISO 27001- og ISO 27701-certificeringer eller gennemgå en SSPA-vurdering af en af ​​Microsofts "Preferred Assessors" før godkendelse. Microsoft validerer sine udbyderes overholdelse på årsbasis.

Hvorfor har Microsoft droppet SOC 2 til fordel for ISO?

Microsofts bekræftelse af ISO 27001 & 27701 er en afgørende tillidserklæring til fordelene ved ISO 27001 & 27701 certificeringer for at fremvise din organisations omfattende infosec & privatlivsprogram i overensstemmelse med vigtige love og regler for beskyttelse af personlige oplysninger som f.eks. GDPR, CCPA, POPIA, APPS og APAC.

• SOC-overholdelse er ikke internationalt anerkendt, hvorimod ISO-standarder er det. Det er vigtigt at påpege, at ISO 27701 stadig er up-to-date (udgivet i 2019), hvilket betyder, at den er tæt på linje med internationale love og regler for privatlivets fred.
• En SOC 2-attest skal ikke indhentes fra et uafhængigt certificeringsorgan, hvilket betyder, at det er mere åbent for muligheden for et niveau af uærlighed svarende til at markere dit eget hjemmearbejde.
• En SOC 2-rapport er normalt længere end 100 sider, og tredjeparter giver den sjældent den kontrol, den har brug for, fordi de er så lange.
• Det er vigtigt at bemærke, at de audits, der udføres af SOC 2, kan være besværlige, kedelige og dyre for leverandørerne.
• Det er billigere at holde ISO 27001-certificering end regelmæssigt at holde SOC 2-revisionsattestprogrammer opdateret.
• Omkostningerne ved at vedligeholde en ISO 27701-certificering er bemærkelsesværdigt lavere end omkostningerne ved at opretholde en SOC 2 Type 2 med attestering af Privacy Trust Services Criteria.
• Styringen af ​​både sikkerhed og privatliv som en enkelt logisk konstruktion i et ISO 27701 Privacy Information Management System (PIMS) er især nemmere end at køre forskellige programmer ved siden af ​​hinanden.

Er ISO 27001 bedre end en SOC 2-rapport?

De indviklede detaljer og fordele ved de to er blevet sammenlignet i mange artikler online. Svaret på dette spørgsmål er altid utilfredsstillende: "det afhænger", hvilket betyder, at det afhænger af, hvor du befinder dig i forhold til dine kunder.

Med andre ord, som rådet lyder, hvis de fleste af dine kunder er placeret i USA, så bør du gå med SOC 2. Hvis de fleste af dine kunder er placeret uden for USA, så ville ISO 27001 være et godt valg. Det er grundlæggende ukorrekt og ineffektivt for transnationale organisationer, SaaS-virksomheder eller lignende at følge dette råd, da det ikke virker.

SaaS-virksomheder, for eksempel, vil næsten helt sikkert have en blanding af indenlandske og internationale kunder; hvis ikke nu, så er det næsten helt sikkert på køreplanen i den nærmeste fremtid.

Desuden bliver de fleste virksomheder i stigende grad internationale i deres aktiviteter, hvorfor en sådan certificering i første omgang er blevet en nødvendighed. Derudover opererer de virksomheder, der efterspørger certificeringer som ISO 27001 i første omgang, alligevel ofte internationalt.

Det kritiske punkt er dog følgende. Vi har arbejdet i SaaS og compliance globalt i mange år hos ISMS.online. Så vidt vi ved, er vi ikke stødt på en situation, hvor en virksomhed anmodede om SOC 2, men afviste ISO 27001, da den blev tilbudt dem.

Så hvad er den største forskel? Er det ene ikke lige så godt som det andet? Nå, ja og nej. Internationalt er det dog ret almindeligt, at det modsatte forekommer.

SOC 2 vil holde en plads for nogle USA-centrerede organisationer, men de smarte penge er at få ISO 27001 og hvor det er relevant ISO 27701.

Vores anbefaling er derfor stadig ISO 27001 over SOC 2, selv for USA-baserede virksomheder, med de fleste af deres kunder baseret i USA.

Hvorfor ISO 27001 er det bedre valg

Det er vigtigt at bemærke, at SOC 2-rammen er baseret på fem tillidsprincipper. Disse er sikkerhed, tilgængelighed, behandlingsintegritet, fortrolighed og privatliv.

For at få en SOC 2-rapport skal du kun implementere den første, som er sikkerhed, i din organisation. Resten er kun anbefalede foranstaltninger, som du måske eller måske ikke tager. Disse tiltag påvirker ikke din rapport, hvis de ikke implementeres i din organisation. Med andre ord vil din rapport ikke blive påvirket, hvis dine processer ikke er fortrolige, eller hvis de ikke behandles med integritet.

Der er ingen tvivl om, at dette gør SOC 2 tillidsservicekriterier meget mere fleksible og nemmere. Det lader dog døren stå åben for vores naturlige tendens til at ville gøre det mindste for at sætte kryds i denne overensstemmelsesboks.

Vi kan alle relatere til det, men det betyder ikke nødvendigvis, at det er en god ting. Selvom du afkrydser felter, betyder den rapport, du sender til din revisor i slutningen af ​​processen, ikke, at dine processer er sikre.

Mange virksomheder ender med rapporter, der er "afkrydsningsfeltøvelser", men ikke rigtig "afsluttede" eller robuste overholdelsesmekanismer.

Med andre ord er deres rapporter ufuldstændige, fordi de ikke viser overholdelse af alle fem tillidsserviceprincipper inden for SOC type i- eller type ii-rammerne.

Derimod sikrer ISO 27001, at de kontroller, der implementeres i din organisation, er baseret på en risikovurdering af din organisation og dine krav til informationssikkerhed.

Med den korrekte implementering af et informationssikkerhedsstyringssystem kan du ikke slippe afsted med ikke at implementere alle kontroller inden for ISO 27001 uden god grund.

Dine sikkerhedskontroller vil altid være optaget af sikkerhed, tilgængelighed, behandlingsintegritet, fortrolighed og privatliv under implementeringsprocessen.

Brug et øjeblik på at reflektere over dette et øjeblik. Med hensyn til beskyttelse af dine kunders informationer, kan du virkelig forventes at tage fat på sikkerhed uden at beskæftige dig med kundedataintegritet, fortrolighed og privatliv samtidigt?

Ydermere er tilgængelighed den vigtigste faktor for dine kunder, og kommer kun næst efter sikkerhed med hensyn til deres prioriteter.

Dette er især vigtigt, når du beskytter personlige oplysninger såsom kreditkortnumre og cpr-numre. Det ville være bedst, hvis du tog alle forholdsregler for at beskytte disse oplysninger mod tyveri eller misbrug af hackere eller andre ondsindede parter.

Hvad det betyder for din virksomhed og de næste trin

På grund af de mange fordele, som ISO 27001 byder på, er ISO 27001 & 27701 det oplagte valg, hvis du ønsker at implementere en robust informationssikkerhedskontrolramme og ikke blot afkrydse felter vedrørende informationssikkerhed, cybersikkerhed og privatliv.

Implementering af et ISMS vil i høj grad hjælpe dig med at opnå overholdelse af lovgivningen og mindske risikoen for brud, manglende overholdelse eller endnu værre. Det hjælper med at identificere sårbarheder og svagheder i din organisations cybersikkerhedsposition, før de bliver et problem. Dette kan forhindre skade på omdømme og potentielle økonomiske sanktioner/bøder.

ISO 27001 driver bedste praksis og integreres med andre standarder

En af hovedkomponenterne i ISO 27001 er ISO Annex L, beskrivelsen af ​​kravene og karakteristika for et generisk ledelsessystem, der i det væsentlige beskriver systemets funktioner og krav. 

Betydningen af ​​dette punkt kan ikke overvurderes. At have et ledelsessystem til din virksomhed kan gå ud over at beskytte informationsaktiver og privatliv. En ISMS fremmer stærk forretningspraksis og bedre overordnet organisatorisk præstation. Dette gør dig til gengæld i stand til at betjene dine kunder bedre og nå dine forretningsmål hurtigere og mere effektivt.

Implementering af et ISMS giver dig mulighed for at holde styr på nuværende praksis, måle ydeevne og målrette områder for forbedring over tid. Det hjælper dig også med at bevare en konkurrencefordel ved at forbedre kundetilfredsheden, optimere forretningsdriften og identificere vækstmuligheder.

Selvom ISO 27001 fokuserer på informationssikkerhed, betyder Annex L, at det integreres meget godt med andre ISO-standarder, der også er baseret på Annex L. Som en del af dine overordnede ledelsessystemudviklings- og forbedringsaktiviteter, vil du måske introducere disse standarder på et senere tidspunkt dato. Der er over 50 ISO-standarder, herunder ISO 9001 for kvalitetsstyring og ISO 22301 for forretningskontinuitet.

Selvom vi ikke foreslår, at du ser på disse standarder, er pointen lige nu, at det er muligt. ISO-standarder og ISMS.online's Integrated Management System (IMS) platform giver en opgraderingssti, så du ikke behøver at købe ny software. En siloramme som SOC 2 giver ikke denne fordel.

ISO 27001 koster mindre

Der er en almindelig misforståelse om, at ISO 27001-standardimplementering er dyrere end SOC 2-implementering; faktisk er ISO 27001-certificering billigere at implementere og vedligeholde end SOC 2 og med en rimelig margin.

ISO 27001-revisionen er centreret om driften af ​​Information Security Management System (ISMS) for at bekræfte den korrekte implementering af bilag A-kontroller, så omkostningerne er mindre end en SOC 2-revision. Derfor udtager revisionen kun stikprøver af tekniske (bilag A) kontroller. På grund af manglen på et ISMS fokuserer SOC 2-revisioner på vurdering af TSC-sikkerhedskontroller i stedet for ISMS.

En væsentlig fordel ved ISO-certificering er, at det er en konkurrencedygtig industri, så du nemt kan shoppe rundt til den bedste pris.

For at udføre en SOC 2-revision skal du finde en virksomhed med licens som CPA (Certified Public Accountant), der er i stand til at udføre disse revisioner. Især i Europa er det meget få virksomheder, der gør dette, og dem, der gør, plejer at være de større professionelle servicevirksomheder, hvilket betyder, at de opkræver mere.

Vedligeholdelses- og gencertificeringsomkostninger og tidsrammer

Organisationer er ansvarlige for at opretholde deres ISO-certificering gennem overvågning (check-up) audits udført årligt eller hver sjette måned, afhængigt af størrelsen og omfanget af din organisation i år 2 og 3. Disse kortere audits er mere overkommelige end den første audit for certificering da de tager omkring en tredjedel af tiden at gennemføre. I løbet af det fjerde år skal du gennemgå fuldstændig gencertificering, og revisionscyklussen begynder igen.

Som en del af SOC 2 har du brug for en fuld årlig revision for at sikre, at revisionsfirmaets attestation forbliver gyldig. Selvom du ikke skal bruge det samme beløb, som da du tilmeldte dig hos dem for første gang i år 1, vil den opdaterede revisionsrapport stadig koste dig mindst 10,000 €.

Derfor, hvis du antager, at alt andet er lige, har ISO 27001 et lavere prisskilt end SOC 2 i det lange løb.

Allerede ISO 27001 certificeret?

Hvis du allerede er ISO 27001-certificeret, kan du tilpasse dit privatlivsprogram med ISO 27701-vejledningen og integrere det i dit ISMS; denne opgradering er kendt som Privacy Information Management System eller PIMS. Du kan købe privatlivsstandarden og ændre omfanget af dine kontroller og politikker til at inkludere PIMS-vejledning. Arbejd sammen med din revisor om at udvide dit certificeringsomfang til at omfatte ISO 27701 ved din efterfølgende overvågnings- eller gencertificeringsaudit.

Allerede SOC 2 attesteret?

At flytte fra en SOC 2-attest til en ISO 27001-certificering er noget involveret, men det er ikke for udfordrende. Du bliver nødt til at styre risici effektivt i ISO 27001, så de SOC 2-sikkerhedskontroller, du har på plads, vil sandsynligvis være de samme.

Du vil blive bedt om at dokumentere din tilgang og indsende den til en uafhængig tredjepartsrevisor til godkendelse, før du bliver certificeret. For mindre organisationer gør ISMS.online, at ISO 27001-certificering er nem at administrere internt uden behov for support fra en tredjepartskonsulent.

For større organisationer er det ikke ualmindeligt at outsource ISMS-certificeringsprocessen til en uafhængig tredjepart, da det sikrer kvaliteten og upartiskheden af ​​din ISMS-dokumentation; igen behøver du ikke gøre dette med ISMS.online, da vores Virtual Coach, Adapt, Adopt Add (AAA Framework) og Assured Results Method (ARM) vil sikre, at du har den nødvendige support for at opnå certificering første gang.

Dual SOC 2-attestering og ISO 27001-certificering involverer primært at lægge ISO 27001 ISMS oven på dine eksisterende kontroller og ændre noget af din dokumentation for at afspejle forskellene i attestationsrammer. ISMS.online giver en klar kortlægningssti mellem ISO 27001 og SOC 2, hvilket forenkler både certificering og attestering.

Allerede SOC 2 attesteret (inklusive privatliv)?

Som med det forrige scenarie skal du også overføre Privacy-programmet til ISO 27001 sammen med SOC 2-overgangen. Endnu en gang forenkler SOC 2- og ISO 27701-kortlægningen inden for ISMS.online overgangen mellem de to.

Ikke SOC 2 attesteret eller ISO 27001 certificeret?

Så længe du har en klient, der anmoder om attestering, kan du fortsætte din årlige SSPA-vurdering. Det er tilrådeligt at gå mod ISO 27001 og ISO 27701 certificering inden for 12 måneder, hvis du skal bevise sikkerhed og overholdelse over for andre interessenter.

Du kan fokusere på ISO 27001 i løbet af dit første år, hvis du er begrænset til båndbredde og/eller budget, og derefter adressere ISO 27701 i løbet af dit andet år, når du udfører din første overvågningsrevision, hvis du har ressourcer og/eller budget til at gøre det. .

Hvordan ISMS.online kan hjælpe

Som nævnt tidligere har Microsoft godkendt ISO 27001 over SOC 2 med virkning fra december 2021, og selvom dette måske ikke betyder, at SOC 2 falder i tide, vil andre multinationale virksomheder sandsynligvis følge trop med lignende krav fra deres forsyningskæder.

ISMS.online gør dig klar til ISO27001-certificering ved at automatisere mange af de involverede opgaver. Når du først er ombord på din virksomhed til ISMS.online, leverer vores platform kortlægningsplanen, værktøjer, rammer, politikker, kontroller, handlingsvenlig dokumentation og vejledning til at hjælpe dig med at opfylde alle ISO 27001-krav og SOC 2-kontrol.

Klik her for at book en demo.