Einige der häufigsten Fragen, die wir von unseren Kunden hören, betreffen den Auditumfang. Fragen wie: „Welche Trust Services Kriterien muss ich in meinen SOC 2-Bericht aufnehmen?“

„Wie lange sollte mein Auditzeitraum sein?“

„Sind Auftragnehmer und Freiberufler für mein Audit relevant?“

Unten beantworten wir häufige Fragen zu Mitarbeitern und dem Auditumfang für spezifische Rahmenwerke einschließlich SOC 2, ISO 27001, PCI DSS und HIPAA sowie weitere häufige Fragen zum Auditumfang.

Wie man den Auditumfang für Personal definiert

Da Fernarbeit, Auftragsnehmer und Freiberufler immer häufiger werden, wird es zunehmend komplexer zu verstehen, welche Mitarbeiter für ein Informationssicherheitsaudit relevant sind. Zu wissen, welche Mitarbeiter einbezogen oder ausgeschlossen werden müssen, hat einen bedeutenden Einfluss auf den Erfolg Ihres Audits – und auf Ihre umfassenderen Informationssicherheitspraktiken.

Lassen Sie uns die Kriterien untersuchen, anhand derer bestimmt wird, welche Mitarbeiter für wichtige Informationssicherheitsrahmenwerke relevant sind.

SOC 2

Im Allgemeinen sollten alle Mitarbeiter, die Zugang zu den im Audit überprüften Systemen oder Daten haben, als relevant betrachtet werden.

Beginnen Sie mit der Identifizierung der Systeme, Prozesse und Daten, die für Ihre ausgewählten Trust Services Kriterien relevant sind. Überlegen Sie dann, welche Mitarbeiter Zugang haben. Dies kann IT-Mitarbeiter, Netzwerkadministratoren, Datenanalysten, Ingenieure, Produktdesigner – alle Mitarbeiter, die eine Rolle bei der Entwicklung, Implementierung oder Verwaltung der überprüften Systeme oder Prozesse spielen, umfassen.

Was ist mit Auftragnehmern?

Unser Compliance-Experte Rob Gutierrez erklärte es gut während einer kürzlichen Secureframe | Office Hours Q&A-Sitzung: „Der Umfang eines SOC 2 bezieht sich auf Kundendaten, daher ist die entscheidende Frage: Hat der Auftragnehmer Zugang zu Kundendaten? Wenn die Antwort ja lautet, müssen sie diese Anforderungen erfüllen. Wenn die Antwort nein lautet, sind sie nicht relevant und Sie brauchen sich keine Sorgen zu machen.“

Um zu bestimmen, ob Auftrags- oder Freiberufler für Ihr Audit relevant sind, sollten Sie die Art ihrer Arbeit und das Maß an Zugang, das sie zu den Systemen und Daten Ihrer Organisation haben, berücksichtigen. Zum Beispiel würde ein DevOps-Auftragnehmer, der Zugang zu Kunden- oder Firmendaten hat, als relevant für das Audit betrachtet werden. Ein freiberuflicher Designer, der Web- oder Branding-Dienstleistungen erbringt und keinen Zugang zu sensiblen Informationen hat, würde als nicht relevant betrachtet werden.

ISO 27001

Alle Mitarbeiter, die Zugang zu Informationen oder Systemen im Informationssicherheitsmanagementsystem (ISMS) haben, das auditiert wird, sollten im Rahmen des Audits berücksichtigt werden.

Beginnen Sie mit der Definition des Geltungsbereichs Ihres ISMS – welche Informationen müssen geschützt werden und welche Systeme werden zur Verarbeitung dieser Informationen verwendet? Welche Mitarbeiter haben Zugang zu diesen Systemen oder Daten? Alle Mitarbeiter, die Zugang zu Unternehmens-E-Mails, Cloud-Diensten oder gemeinsamen Netzlaufwerken haben, sollten berücksichtigt werden.

Alle Mitarbeiter, die an der Entwicklung, Implementierung oder Verwaltung des ISMS beteiligt sind, können ebenfalls im Geltungsbereich liegen. Denken Sie an Mitglieder des Informationssicherheitsteams, Compliance-Beauftragte und Führungskräfte, die für die Aufrechterhaltung der Sicherheitslage der Organisation verantwortlich sind.

Vertrags- oder Freiberufler müssen möglicherweise in Ihr ISO 27001-Audit einbezogen werden, wenn sie Zugang zu Informationen oder Systemen haben, die für das ISMS relevant sind, das auditiert wird. In vielen Fällen werden Vertrags- oder Freiberufler als Teil der erweiterten Belegschaft einer Organisation betrachtet und haben möglicherweise Zugang zu denselben Systemen, Prozessen und Daten wie reguläre Mitarbeiter.

HIPAA

Die HIPAA-Vorschriften gelten sowohl für abgedeckte Einrichtungen (Gesundheitsdienstleister, Krankenversicherungen und Clearingstellen im Gesundheitswesen) als auch für deren Geschäftspartner (Organisationen, die geschützte Gesundheitsinformationen im Auftrag von abgedeckten Einrichtungen verarbeiten, wie z. B. Ansprüche und Zahlungsabwickler, Datenanalysten und CPA- und Buchhaltungsfirmen).

Um festzustellen, welches Personal im Rahmen der HIPAA-Compliance steht, berücksichtigen Sie Folgendes:

• Gesundheitsdienstleister: Alle Mitarbeiter, die an der Erbringung von Gesundheitsdienstleistungen beteiligt sind, einschließlich Ärzte, Krankenschwestern, Therapeuten, Verwaltungspersonal, Support-Personal und alle anderen Mitarbeiter, die Zugang zu geschützten Gesundheitsinformationen (PHI) haben, sind im Geltungsbereich.
• Krankenversicherungen: Mitarbeiter, die an der Verwaltung von Krankenversicherungen, der Bearbeitung von Ansprüchen, der Verwaltung von Einschreibungen, dem Kundenservice oder der Verwaltung von PHI/ePHI beteiligt sind, sind im Geltungsbereich.
• Clearingstellen im Gesundheitswesen: Personal, das für die Bearbeitung oder Übermittlung von gesundheitsbezogenen Transaktionen oder die Handhabung von PHI/ePHI verantwortlich ist, fällt in den Geltungsbereich.
• Geschäftspartner: Alle Mitarbeiter oder Auftragnehmer von Geschäftspartnern, die PHI bearbeiten oder Zugang zu PHI haben, fallen in den Geltungsbereich der HIPAA-Compliance.

Generell umfasst das im Geltungsbereich befindliche Personal alle, die:

• PHI/ePHI verarbeiten
• Zugang zu Systemen oder Anwendungen haben, die PHI/ePHI speichern oder übertragen
• Eine Rolle bei der Entwicklung, Implementierung oder Verwaltung von HIPAA-Richtlinien und -Verfahren spielen

Es ist wichtig, eine umfassende Analyse der spezifischen Abläufe und Arbeitsabläufe Ihrer Organisation durchzuführen, um alle Mitarbeiter zu identifizieren, die PHI/ePHI handhaben oder Zugang dazu haben. Diese Analyse sollte die Überprüfung von Stellenbeschreibungen, Zugriffsrechten und Verantwortlichkeiten innerhalb Ihrer Organisation umfassen.

Sobald Sie festgestellt haben, welche Mitarbeiter im Geltungsbereich sind, können Sie geeignete Richtlinien, Schulungsprogramme und Sicherheitskontrollen entwickeln, um die Einhaltung der HIPAA-Regeln und -Anforderungen sicherzustellen.

PCI DSS

Welche Mitarbeiter haben Zugang zu Ihrer Karteninhaberdaten-Umgebung (CDE)? Dies sind die Mitarbeiter, die im Geltungsbereich für PCI-Compliance stehen.

Sie können den Umfang Ihres CDE bestimmen, indem Sie dokumentieren, wie Karteninhaberdaten und Zahlungsinformationen durch Ihre Umgebung und alle verbundenen Systeme fließen. Alle Systeme, die Karteninhaberdaten oder Authentifizierungsdaten speichern, verarbeiten oder übertragen, sowie alle Systeme innerhalb desselben physischen oder logischen Netzwerks sind Teil Ihres CDE und unterliegen den PCI-Anforderungen. Alle Mitarbeiter, Auftragnehmer oder Freelancer, die Zugang zu diesen Systemen haben, fallen in den Geltungsbereich.

Darüber hinaus verlangt PCI SAQ-D 9.2, dass Organisationen Verfahren einrichten, um „Personal vor Ort und Besucher zu unterscheiden“, beispielsweise mit ID-Badges. (Laut PCI SSC umfasst das Personal vor Ort alle Voll- und Teilzeitmitarbeiter, Zeitarbeitskräfte, Auftragnehmer und Berater.) Ein Marketing- oder Design-Freelancer, der nicht mit Ihrem CDE interagiert, würde normalerweise als außerhalb des Geltungsbereichs betrachtet werden – es sei denn, Sie haben einen physischen Standort. In diesem Fall benötigt der Auftragnehmer einen ID-Badge und würde in den Geltungsbereich fallen.

Häufig gestellte Fragen zum Audit-Umfang

Die Scoping-Phase legt den Grundstein für das gesamte Informationssicherheitsaudit, indem sie die Grenzen, Ziele und Fokusbereiche definiert. Durch die Beantwortung einiger der am häufigsten gestellten Fragen zum Audit-Umfang hoffen wir, den Prozess zu entmystifizieren und einen Einblick in bewährte Verfahren zu geben.

Warum ist es wichtig, den Umfang eines Audits richtig zu bestimmen?

Definieren Sie einen zu breiten Umfang, verschwenden Sie Zeit und Ressourcen für die Implementierung von Kontrollen zur Bekämpfung von Risiken, die für Ihre Organisation nicht existieren. Das Audit wird auch länger dauern und teurer sein.

Andererseits, wenn Sie einen zu engen Umfang definieren, könnten Sie kritische Sicherheitsrisiken übersehen. Darüber hinaus werden Kunden wahrscheinlich nicht das Maß an Sicherheit haben, das sie benötigen, um mit Ihnen Geschäfte zu machen.

Kann sich der Audit-Umfang während des Audit-Prozesses ändern?

Ja, es ist möglich, dass der Audit-Umfang während des Audit-Prozesses angepasst wird. Zum Beispiel, wenn neue Risiken auftauchen oder wenn signifikante Veränderungen in der Umgebung der Organisation auftreten.

Kann der Audit-Umfang Drittanbieter oder Partner umfassen?

Drittanbieter oder Partner, die direkten Einfluss auf die Informationssicherheit oder Datenverarbeitungsprozesse der Organisation haben, sind typischerweise im Audit-Umfang enthalten. Dies hilft sicherzustellen, dass die gesamte Sicherheitslage der Organisation angemessen beurteilt wird und dass das Drittparteirisiko berücksichtigt wurde.

Wie bestimme ich mein Audit-Fenster?

Die meisten Informationssicherheitsstandards empfehlen ein Audit-Fenster von 6-12 Monaten. Einige Rahmenwerke wie SOC 2 bieten größere Flexibilität und erlauben kürzere, 3-monatige Audit-Fenster.

Unsere Compliance-Experten empfehlen Unternehmen, die dringend einen SOC 2 Type II-Bericht benötigen, für ihren ersten Bericht einen 3-monatigen Audit-Zeitraum zu wählen und dann zu einem 12-monatigen Zeitraum mit jährlichen Audits überzugehen.

Benötige ich separate Audit-Berichte für verschiedene Produktlinien oder Geschäftsstandorte?

Einige Organisationen entscheiden sich dafür, den Audit-Umfang auf eine einzelne Produktlinie oder Datenzentrum-Standort zu beschränken. Zum Beispiel hat Alphabet separate SOC 2 Berichte für Google Workspace, Google Cloud, Apigee, AppSheet, Looker und Payment Gateway. Das Verfolgen von SOC 2 Berichten für mehrere Produkte und Standorte hängt letztendlich davon ab, welche Kunden und Interessenten einen Audit-Bericht benötigen.

Vereinfachen Sie Ihre Compliance-Audits mit Secureframe

Wenn es darum geht, den Umfang eines Informationssicherheitsaudits festzulegen, konzentrieren Sie sich auf die Informationen. Welche Daten müssen geschützt werden? Wovor müssen sie geschützt werden und wie? Wer hat Zugriff darauf?

Egal, ob Sie Ihr erstes oder Ihr fünfzigstes Audit planen, Secureframe vereinfacht und stärkt Ihr gesamtes Compliance-Programm. Unsere Plattform macht es einfach, den Umfang Ihres Audits auf spezifisches Personal, Ressourcen, Geräte, Vermögenswerte usw. einzugrenzen, um die Einhaltung zu beschleunigen und ein effizientes Audit zu gewährleisten.

Unsere Plattform, entworfen von Compliance-Experten und ehemaligen Prüfern, rationalisiert die Auditvorbereitung und hilft Tausenden von Unternehmen, kontinuierliche Compliance mit den strengsten Sicherheits- und Datenschutzstandards der Welt aufrechtzuerhalten. Um mehr zu erfahren, buchen Sie noch heute eine Demo mit einem Produktexperten.