Die Sicherung der Daten Ihrer Organisation ist nicht nur eine gute Praxis – sie ist eine Notwendigkeit. Aber bei Hunderten von verfügbaren Regulierungs- und Sicherheitskonformitätsrahmenwerken, wie wissen Sie, welche für Ihr Unternehmen die richtigen sind? Außerdem, warum sind diese Rahmenwerke wichtig und wie können sie Ihnen helfen, Ihre Sicherheitslage zu stärken?

Das richtige Rahmenwerk bietet Ihnen eine strukturierte Methode zum Risikomanagement und stellt sicher, dass Sie gesetzliche und vertragliche Verpflichtungen erfüllen. In diesem Artikel werden wir die Grundlagen von 15 Regulierungs- und Sicherheitskonformitätsrahmenwerken erörtern, um Ihnen zu helfen, eine fundierte Entscheidung darüber zu treffen, welche für Ihre Organisation relevant sind.

Strukturierte Sicherheit: Warum Konformitätsrahmenwerke wichtig sind

Sicherheitskonformitätsrahmenwerke bieten ein strukturiertes Regelwerk und bewährte Verfahren für Datensicherheit und Datenschutz. Diese Rahmenwerke werden oft von Branchenexperten entwickelt und sollen Unternehmen dabei helfen, sich in der komplexen Landschaft der Cybersicherheit zurechtzufinden. Durch die Einhaltung eines vertrauenswürdigen Rahmenwerks können Organisationen sicherstellen, dass sie ihre Sorgfaltspflicht zum Schutz sensibler Daten erfüllen, Sicherheitsrisiken mindern und sogar gesetzliche Vorschriften einhalten.

Konformitätsrahmenwerke verfolgen mehrere Ziele. Erstens bieten sie eine Roadmap zur Schaffung einer sicheren Umgebung, die auf spezifische Bedürfnisse zugeschnitten ist – sei es im Gesundheitswesen, in der Finanzbranche oder im Einzelhandel. Zweitens helfen sie, Sicherheitsprotokolle zu standardisieren, was es Organisationen erleichtert, sicher zu kommunizieren und zusammenzuarbeiten. Schließlich ist die Einhaltung relevanter Sicherheitsrahmenwerke in vielen Fällen nicht optional. Das Versäumnis, entsprechende Rahmenwerke einzuhalten, kann schwerwiegende finanzielle und rechtliche Folgen haben und den Ruf der Marke schädigen.

Wie man entscheidet, welche Konformitätsrahmenwerke man übernehmen sollte

Jedes Rahmenwerk hat seine eigenen Anforderungen und Audit-Prozesse. Die Entscheidung, welches(n) Rahmenwerk(e) man übernehmen sollte, wird oft von mehreren Faktoren geleitet:

  • Branchenspezifisch: Manche Rahmenwerke sind branchenspezifisch. Beispielsweise müssen Gesundheitseinrichtungen in den Vereinigten Staaten HIPAA einhalten, während Finanzinstitute typischerweise an SOX gebunden sind.
  • Geografische Reichweite: Ihr Standort und die Standorte Ihrer Kunden können diktieren, welche Rahmenwerke Sie benötigen. Zum Beispiel erfordern EU-Kunden die Einhaltung der DSGVO, und ein globaler Markt wird wahrscheinlich eine ISO 27001-Zertifizierung erfordern.
  • Geschäftsziele: Manchmal wird die Wahl des Rahmenwerks auch von Ihren Geschäftsziele beeinflusst. Wenn Sie einen bestimmten Markt anstreben oder eine Übernahme planen, kann die Einhaltung bestimmter Rahmenwerke Sie für Investoren oder potenzielle Käufer attraktiver machen.
  • Verfügbare Ressourcen: Die Implementierung eines Konformitätsrahmenwerks erfordert erhebliche Investitionen von Zeit, Personal und Technologie, und dieser Aufwand kann je nach Rahmenwerk variieren. Die Verfügbarkeit von Ressourcen in Ihrer Organisation kann ein entscheidender Faktor bei der Entscheidung sein, welche Rahmenwerke wann übernommen werden sollen.

Regulierungsrahmenwerke

Regulierungsrahmen sind eine Reihe von Richtlinien, Regeln und Prinzipien, die von Regulierungsbehörden oder Regierungen festgelegt werden, um bestimmte Aktivitäten, Industrien oder Sektoren zu überwachen. Diese Rahmenbedingungen sind gesetzlich vorgeschrieben und werden entwickelt, um sicherzustellen, dass die Branche im Einklang mit öffentlichen Interessen wie Sicherheit, Fairness und ökologischer Nachhaltigkeit arbeitet.

Im Folgenden erklären wir die Grundlagen von acht wichtigen Regulierungsrahmen, die weltweit in Kraft sind.

Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union

GDPR gibt den EU-Bürgern mehr Kontrolle über ihre persönlichen Daten und verändert die Art und Weise, wie Organisationen den Datenschutz angehen müssen. Die DSGVO gilt sowohl für Organisationen innerhalb der EU als auch für Organisationen außerhalb der EU, die die persönlichen Daten von EU-Bürgern verarbeiten.

DSGVO definiert personenbezogene Daten breit als alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu können Name, Adresse, IP-Adresse, Gesundheitsinformationen, Finanzdaten und mehr gehören.

Wichtige regulatorische Anforderungen:

  • Eine rechtliche Grundlage für die Datenverarbeitung schaffen
  • Die Einwilligung der betroffenen Personen in einer Weise einholen, die klar, spezifisch, informiert und unmissverständlich ist.
  • Die Rechte der Betroffenen wahren, einschließlich des Rechts auf Löschung
  • Technische und organisatorische Vorkehrungen treffen, um die Datensicherheit zu gewährleisten
  • Im Falle eines Datenverstoßes rechtzeitige Benachrichtigungen senden
  • Einen Datenschutzbeauftragten benennen (falls zutreffend)
  • Produkte und Dienstleistungen mit Blick auf den Datenschutz entwerfen
  • Eine Datenschutz-Folgenabschätzung durchführen, um zu erklären, wie Sie Risiken identifizieren und minimieren
  • Beschränkungen für die Übermittlung personenbezogener Daten außerhalb der EU einhalten
  • Feststellen, ob Datenschutzgesetze für Ihr Unternehmen gelten
  • Mindestens einmal jährlich ein Datenschutzbewusstseinstraining absolvieren

Die DSGVO wird von der Europäischen Datenschutzbehörde (EDPB) durchgesetzt, die sich aus Datenschutzbehörden der 27 EU-Mitgliedsstaaten zusammensetzt. Unternehmen, die die DSGVO nicht einhalten, können mit Geldstrafen von bis zu 20 Millionen Euro oder 4 % ihres Jahresumsatzes für das vorherige Geschäftsjahr belegt werden, je nachdem, welcher Betrag höher ist.

Das California Consumer Privacy Act (CCPA)

Das California Consumer Privacy Act (CCPA) ist eine der umfassendsten Datenschutzgesetze in den USA. Es gewährt den Verbrauchern in Kalifornien mehr Kontrolle über ihre persönlichen Informationen, indem sie verstehen können, wie ihre Daten verwendet werden, und die Möglichkeit haben, zu verlangen, dass ihre Daten gelöscht oder nicht an Dritte verkauft werden.

Das Gesetz gilt für gewinnorientierte Unternehmen, die in Kalifornien geschäftlich tätig sind und entweder einen jährlichen Bruttoumsatz von mehr als 25 Millionen US-Dollar haben; die persönlichen Informationen von 50.000 oder mehr kalifornischen Einwohnern, Haushalten oder Geräten kaufen, erhalten oder verkaufen; oder 50 % oder mehr ihres Jahresumsatzes aus dem Verkauf der persönlichen Informationen von kalifornischen Einwohnern erzielen.

Wichtige regulatorische Anforderungen:

  • Verbraucher können Auskunft über die spezifischen persönlichen Informationen verlangen, die ein Unternehmen über sie gesammelt hat.
  • Verbraucher können Unternehmen auffordern, ihre persönlichen Informationen zu löschen.
  • Verbraucher können Unternehmen, die ihre persönlichen Informationen an Dritte verkaufen, anweisen, dies zu unterlassen.
  • Unternehmen dürfen Verbraucher nicht dafür diskriminieren, dass sie ihre Rechte gemäß dem CCPA ausüben, wie z.B. durch unterschiedliche Preise oder unterschiedliche Leistungsniveaus.

Der CCPA wird von dem Generalstaatsanwalt von Kalifornien durchgesetzt. Verstöße, die nicht innerhalb von 30 Tagen nach Benachrichtigung behoben werden, können zu zivilrechtlichen Strafen von bis zu 2.500 US-Dollar pro Verstoß und bis zu 7.500 US-Dollar pro vorsätzlichem Verstoß führen. Im Falle von Datenverstößen können Verbraucher Schadensersatz von 100 bis 750 US-Dollar pro Verbraucher, pro Vorfall oder tatsächlichen Schäden (je nachdem, welcher Betrag höher ist) geltend machen.

Das Health Insurance Portability and Accountability Act (HIPAA)

Das Health Insurance Portability and Accountability Act (HIPAA) ist ein US-Bundesgesetz, das Standards für den Schutz sensibler Gesundheitsinformationen von Patienten festlegt.

HIPAA gilt sowohl für betroffene Einrichtungen (Ärzte, Gesundheitskliniken, Krankenhäuser usw.) als auch für deren Geschäftspartner (Einrichtungen, die Dienstleistungen einer betroffenen Einrichtung erbringen, die die Nutzung oder Offenlegung geschützter Gesundheitsinformationen umfassen).

Wichtige regulatorische Anforderungen:

  • Datenschutzrichtlinie: Schützt die Privatsphäre von individuell identifizierbaren Gesundheitsinformationen, die als geschützte Gesundheitsinformationen (PHI) bekannt sind.
  • Sicherheitsrichtlinie: Gibt eine Reihe von administrativen, physischen und technischen Sicherheitsmaßnahmen vor, um die Vertraulichkeit, Integrität und Verfügbarkeit elektronischer PHI zu gewährleisten.
  • Verstoßbenachrichtigungsregel: Betroffene Personen müssen innerhalb von 60 Tagen nach Entdeckung des Verstoßes über einen Verstoß benachrichtigt werden. Benachrichtigungen müssen schriftlich erfolgen. In bestimmten Fällen muss die Benachrichtigung an die Medien und den Sekretär des Ministeriums für Gesundheit und menschliche Dienste (HHS) erfolgen.
  • Regel des minimalen Notwendigen: Offenlegungen oder Anforderungen von PHI sollten auf das minimal Notwendige beschränkt sein, um den Zweck zu erreichen.
  • Omnibus-Regel: Diese Regel integriert Bestimmungen aus dem HITECH-Gesetz und behandelt Bereiche wie die Verantwortung der Geschäftspartner und die Rechte der Patienten auf elektronische Kopien ihrer Gesundheitsakten.

Das HHS-Büro für Bürgerrechte (OCR) setzt die Datenschutz- und Sicherheitsregeln durch. Verstöße reichen je nach Schwere und Absicht hinter dem Verstoß. Die Strafen können von 100 US-Dollar pro Verstoß bis zu 1,5 Millionen US-Dollar sowie strafrechtliche Strafen variieren.

Das Federal Risk and Authorization Management Program (FedRAMP)

FedRAMP ist ein Programm der US-Bundesregierung, das die Sicherheitsbewertung, Risikoabschätzung, Autorisierungs- und kontinuierliche Überwachungsprozesse für Cloud-Dienste, die von Bundesbehörden genutzt werden, standardisiert.

Sowohl kommerzielle als auch nicht kommerzielle Cloud-Dienste (einschließlich derjenigen, die intern von Bundesbehörden entwickelt wurden) müssen FedRAMP erfüllen, wenn sie von Bundesbehörden übernommen werden sollen.

Wesentliche regulatorische Anforderungen:

  • Ein System-Sicherheitsplan (SSP), der die Cloud-Systemgrenzen, die Systemumgebung, die Funktionsweise und die vorhandenen Sicherheitsprozesse und -richtlinien beschreibt.
  • Eine Reihe standardisierter Sicherheitskontrollen, die aus NIST SP 800-53 abgeleitet sind, einschließlich Zugriffskontrollen, Vorfallsreaktion, Notfallplanung sowie System- und Informationsintegrität.
  • Kontinuierliche Überwachung und Berichterstattung über ihren Sicherheitsstatus, einschließlich regelmäßiger Berichterstattung, Änderungsmanagementprozesse und Schwachstellen-Scans.
  • Einhaltung von 26 NIST 800-53 Kontrollfamilien.
  • Jährliche Sicherheitsbewertungen, die von einem 3PAO durchgeführt werden.

FedRAMP wird von der Allgemeinen Dienstverwaltung (GSA) verwaltet, während die einzelnen Bundesbehörden für die Erteilung der Betriebsberechtigungen (ATOs) und die Sicherstellung der Einhaltung von FedRAMP der von ihnen verwendeten Cloud-Dienste verantwortlich sind.

Nichteinhaltung bedeutet, dass einem Cloud-Service-Anbieter möglicherweise keine ATO erteilt wird, was ihn effektiv daran hindert, von Bundesbehörden übernommen zu werden.

Das Gesetz zur Verwaltung der Informationssicherheit der Bundesregierung (FISMA)

Das Gesetz zur Verwaltung der Informationssicherheit der Bundesregierung (FISMA) ist ein US-Bundesgesetz. Es zielt darauf ab, die Cybersicherheit von Bundesbehörden und deren Informationssystemen zu verbessern, indem es von den Agenturen verlangt, Programme zur Entwicklung, Dokumentation und Implementierung von Informationssicherheit und Schutz zu storage.

Wesentliche regulatorische Anforderungen: 

  • Risikobewertungen: Agenturen sind verpflichtet, regelmäßige Risikobewertungen durchzuführen, um die Wahrscheinlichkeit und die Auswirkungen potenzieller Sicherheitsverletzungen zu bestimmen.
  • Sicherheitskontrollen: Basierend auf den Risikostufen müssen Regierungsbehörden geeignete Sicherheitskontrollen aus der NIST-Sonderpublikation 800-53 auswählen und implementieren.
  • Zertifizierung und Akkreditierung: Informationssysteme müssen für ihre Sicherheitsprozesse zertifiziert und dann von Behördenvertretern akkreditiert werden, um zu funktionieren.
  • Kontinuierliche Überwachung: Agenturen müssen ihre Sicherheitskontrollen kontinuierlich überwachen und regelmäßige Risikobewertungen durchführen, um die laufende Wirksamkeit sicherzustellen.
  • Vorfallbericht: Agenturen müssen Vorkehrungen zum Erkennen, Melden und Reagieren auf Sicherheitsvorfälle treffen.
  • Jährliche unabhängige Bewertungen: Laufende Bewertungen des Informationssicherheitsprogramms einer Agentur müssen von unabhängigen Prüfern durchgeführt werden.

FISMA wird vom Büro für Verwaltung und Haushalt (OMB) durchgesetzt, während das Ministerium für innere Sicherheit (DHS) Unterstützung bei der Umsetzung bietet und das Nationale Institut für Standards und Technologie (NIST) Standards und Richtlinien entwickelt.

Die Zertifizierung des Cybersecurity Reifegrads (CMMC)

Die Zertifizierung des Cybersecurity Reifegrads (CMMC) ist darauf ausgelegt, den Schutz sensibler Verteidigungsinformationen, insbesondere Bundesvertragsinformationen (FCI) und kontrollierter nicht klassifizierter Informationen (CUI), zu verbessern, indem überprüft wird, ob Unternehmen innerhalb der Versorgungskette des Verteidigungsministeriums die erforderlichen Kontrollen haben, um sensible Daten angemessen zu schützen. Ab 2026 wird jedes Unternehmen, das als Auftragnehmer des Verteidigungsministeriums arbeitet, gesetzlich verpflichtet sein, die CMMC-Standards einzuhalten.

Wesentliche regulatorische Anforderungen: 

  • Stufe 1: Grundlegend: Organisationen haben grundlegende Cybersicherheitspraktiken implementiert. Diese Sicherheitspraktiken können von Organisationen ad-hoc umgesetzt werden, ohne auf Dokumentation angewiesen zu sein. Die Zertifizierung erfordert eine jährliche Selbsteinschätzung. Der CMMC Level 1 ist für Auftragnehmer und Unterauftragnehmer des Verteidigungsministeriums (DoD), die mit Bundesvertragsinformationen umgehen.
  • Stufe 2: Fortgeschritten: Organisationen müssen formell dokumentierte, wiederholbare Prozesse implementiert haben und diese wie dokumentiert durchführen. Organisationen, die Informationen im Zusammenhang mit der nationalen Sicherheit verarbeiten, müssen alle drei Jahre eine Drittparteibewertung (C3PAO) durchlaufen. Organisationen, die keine Daten verarbeiten, die für die nationale Sicherheit kritisch sind, führen jährlich eine Selbsteinschätzung durch.
  • Stufe 3: Experte: Organisationen müssen über dedizierte Strategien und Ressourcen verfügen, um fortgeschrittene persistente Bedrohungen (APTs) zu bewältigen. Dies beinhaltet typischerweise dokumentierte Ziele, Projekte, Ressourcen und Schulungsprogramme. Stufe 3 gilt für Unternehmen, die die sensibelsten Informationen für DoD-Programme verarbeiten.

Die CMMC-Akkreditierungsstelle schult und akkreditiert zertifizierte Drittparteibewertungsorganisationen (C3PAOs), die dann mit der Bewertung von Unternehmen basierend auf CMMC-Standards beauftragt werden. Unternehmen, die nicht auf dem entsprechenden CMMC-Level zertifiziert sind, dürfen keine Angebote für DoD-Verträge abgeben oder gewinnen, die dieses Zertifizierungslevel erfordern.

Das Sarbanes-Oxley-Gesetz (SOX)

Das Sarbanes-Oxley-Gesetz von 2002 (SOX) ist ein US-amerikanisches Bundesgesetz, das darauf abzielt, die Corporate Governance und Verantwortlichkeit zu verbessern. Es soll Investoren vor betrügerischen Finanzberichterstattungen durch Unternehmen schützen. Durch die Betonung der erhöhten Transparenz in der Finanzberichterstattung. SOX hält auch Führungskräfte für die finanzielle Offenlegung ihrer Unternehmen verantwortlich.

Wichtige regulatorische Anforderungen:

  • Verantwortlichkeit der Unternehmensführung für Finanzberichte: Die oberste Führungsebene muss die Genauigkeit der gemeldeten Finanzberichte zertifizieren.
  • Managementbewertung interner Kontrollen: Das Management und der externe Prüfer müssen über die Angemessenheit der internen Kontrollen eines Unternehmens über die Finanzberichterstattung berichten.
  • Aufzeichnungspflichten: SOX enthält Anforderungen in Bezug auf die Vernichtung, Änderung oder Fälschung von Aufzeichnungen.
  • Strafen für falsche Zertifizierungen: Es werden Strafen für die Zertifizierung irreführender oder betrügerischer Finanzberichte verhängt.

Die Securities and Exchange Commission (SEC) ist die primäre Regulierungsbehörde für SOX und überwacht die Prüfungen öffentlicher Unternehmen. Verstöße oder Falschdarstellungen können sowohl straf- als auch zivilrechtliche Strafen nach sich ziehen.

Informationssicherheits-Compliance-Rahmenwerke

Informationssicherheitsrahmenwerke sind strukturierte Richtlinien und bewährte Verfahren, die Organisationen dabei helfen sollen, die Wirksamkeit ihrer Informationssicherheitslage zu implementieren, zu verwalten und zu messen. Diese Rahmenwerke bieten einen systematischen Ansatz zum Schutz sensibler Daten vor unbefugtem Zugriff, Offenlegung, Änderung und Zerstörung.

Auch wenn die Einhaltung dieser Rahmenwerke gesetzlich nicht vorgeschrieben ist, sind die meisten von ihnen für Unternehmen unerlässlich, um auf dem Markt wettbewerbsfähig zu sein. Die meisten Kunden, insbesondere große Unternehmen, werden keine Partnerschaften mit Anbietern eingehen, die keine Compliance-Berichte oder Zertifizierungen für bestimmte Sicherheitsrahmenwerke vorweisen können.

Wir erläutern die Grundlagen der gefragtesten Rahmenwerke unten.

System- und Organisationskontrollen 2 (SOC 2)

SOC 2 soll Vertrauen und Transparenz in die Fähigkeit einer Dienstleistungsorganisation, Datensicherheit zu gewährleisten, schaffen. Erstellt vom American Institute of Certified Public Accountants (AICPA), konzentriert sich SOC 2 darauf, sensible Daten durch die fünf Trust Services Criteria zu schützen: Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz.

Es gibt zwei Arten von SOC 2-Berichten. Ein Typ-I-Bericht bewertet die Kontrollen einer Organisation zu einem bestimmten Zeitpunkt. Ein Typ-II-Bericht bewertet, wie die Kontrollen einer Organisation über einen bestimmten Zeitraum, typischerweise 3-12 Monate, funktionieren. Die Länge des Prüfungsfensters liegt bei der Organisation, aber im Allgemeinen werden Organisationen beim ersten Mal 3 Monate und dann beim zweiten Mal 6 oder 12 Monate wählen, bis sie jährliche 12-monatige Prüfungsfenster durchführen.

Obwohl gesetzlich nicht vorgeschrieben, sind SOC 2-Berichte zu einem de facto Industriestandard für Datensicherheit und -verwaltung geworden. Sie werden typischerweise von Unternehmen gefordert, wenn sie Partnerschaften mit Drittanbietern in Betracht ziehen.

Die Compliance-Anforderungen variieren je nachdem, welche Trust Services-Kriterien im Rahmen einer SOC 2-Prüfung berücksichtigt werden.

Wichtige Sicherheitsanforderungen:

Sicherheit

  • Logische und physische Zugangskontrollen: Stellen Sie sicher, dass nur autorisierte Personen auf Systeme und Daten zugreifen können.
  • Eindringungserkennung: Implementieren Sie Maßnahmen zur Erkennung und Reaktion auf Sicherheitsvorfälle.
  • Datenverschlüsselung: Verschlüsseln Sie sensible Daten während der Übertragung und im Ruhezustand.
  • Firewalls und Netzwerksicherheit: Implementieren Sie Firewalls, um unbefugten Zugriff auf Netzwerke zu blockieren.

Verfügbarkeit

  • Systemüberwachung: Überwachen Sie regelmäßig die Systemleistung und -verfügbarkeit.
  • Katastrophenwiederherstellung und Geschäftskontinuität: Richten Sie einen Katastrophenwiederherstellungsplan ein und pflegen Sie ihn, um die kontinuierliche Verfügbarkeit von Diensten sicherzustellen.
  • Vorfallmanagement: Definieren und befolgen Sie Verfahren zum Umgang mit Vorfällen, die die Verfügbarkeit beeinträchtigen.
  • Redundanz: Verwenden Sie redundante Systeme, Rechenzentren und andere wesentliche Komponenten, um die Serviceverfügbarkeit aufrechtzuerhalten.

Verarbeitungsintegrität

  • Qualitätssicherung und Fehlerprüfung: Implementieren Sie Qualitätsprüfungen, um eine genaue Datenverarbeitung sicherzustellen.
  • Prozessüberwachung: Überwachen Sie Verarbeitungssysteme, um unvollständige, ungenaue oder unbefugte Transaktionen zu erkennen.
  • Datenüberprüfung: Implementieren Sie Maßnahmen zur Überprüfung von Dateninput und -output.
  • Integritätsüberwachungstools: Verwenden Sie Tools, um die Datenintegrität während der Verarbeitung und Speicherung sicherzustellen.

Vertraulichkeit

  • Datenklassifizierung: Klassifizieren Sie Daten basierend auf ihrem Sensitivitätsgrad.
  • Zugriffsbeschränkungen: Beschränken Sie den Zugriff auf vertrauliche Daten auf Basis des Need-to-know-Prinzips.
  • Vertraulichkeitsrichtlinien: Entwickeln und kommunizieren Sie Richtlinien zur Handhabung vertraulicher Daten.
  • Datenmaskierung und Schwärzung: Verwenden Sie Maskierung und Schwärzung, um Teile sensibler Daten bei Bedarf zu verbergen.

Privatsphäre

  • Identifizierung persönlicher Informationen: Identifizieren Sie persönliche Informationen (PII) und stellen Sie sicher, dass sie mit besonderer Sorgfalt behandelt werden.
  • Datenschutzrichtlinien: Entwickeln Sie Datenschutzrichtlinien und kommunizieren Sie diese an relevante Stakeholder.
  • Benutzereinwilligung: Wenn zutreffend, holen Sie die Zustimmung zur Erhebung, Verarbeitung und Weitergabe personenbezogener Daten ein.
  • Datenschutzschulung: Schulen Sie das Personal über Datenschutzanforderungen und -verantwortlichkeiten.

International Organization for Standardization/International Electrotechnical Commission 27001 (ISO/IEC 27001)

Ähnlich wie SOC 2 hilft ISO 27001 Organisationen dabei, ihre Informationswerte zu schützen. International respektiert, bietet der Standard Leitlinien zur Einrichtung, Implementierung, Aufrechterhaltung und kontinuierlichen Verbesserung eines Managementsystems für Informationssicherheit (ISMS).

Unternehmen können sich entscheiden, eine ISO 27001-Zertifizierung zu erlangen, indem sie eine Prüfung durch eine akkreditierte Zertifizierungsstelle durchführen lassen. Die Zertifizierung umfasst normalerweise zwei Phasen: eine Phase-1-Prüfung zur Überprüfung der Dokumentation und eine Phase-2-Prüfung zur Bewertung der Wirksamkeit des ISMS. Die Zertifizierung ist drei Jahre gültig und beinhaltet jährliche Überwachungsaudits.

Wichtige Sicherheitsanforderungen:

  • ISO 27002:2022 Anhang A: Dieses Dokument enthält eine Liste von 93 potenziellen Sicherheitskontrollen, die eine Organisation implementieren kann. Diese Kontrollen sind in 4 Kategorien unterteilt, darunter Organisation, Menschen, Physisch und Technologisch.
  • Engagement der Führungsebene: Das Executive Management muss ein Engagement für die ordnungsgemäße Erstellung, Aufrechterhaltung und kontinuierliche Verbesserung des ISMS demonstrieren.
  • Risikobewertung: Identifizieren Sie Informationswerte, interne und externe Bedrohungen, Schwachstellen, Auswirkungen, Wahrscheinlichkeiten und Risikostufen.
  • Behandlung von Risiken: Definieren Sie, wie die identifizierten Risiken gemindert, vermieden, übertragen oder akzeptiert werden sollen. Implementieren Sie ausgewählte Kontrollen und Verfahren zur Verwaltung von Cybersicherheitsrisiken.
  • Bewertung und Verbesserung: Regelmäßige interne Audits und Managementbewertungen müssen durchgeführt werden, um die Wirksamkeit des ISMS zu überwachen. Alle Nichtkonformitäten müssen adressiert werden, um das ISMS kontinuierlich zu verbessern.

National Institute of Standards and Technology Cybersecurity Framework (NIST CSF)

Das NIST Cybersecurity Framework bietet einen organisierten und kosteneffizienten Ansatz zur Verwaltung von Cybersicherheitsrisiken. Ein besonders bemerkenswerter Aspekt des NIST CSF ist seine Flexibilität. Organisationen können das Framework an ihre spezifischen Risiko-Profile und Geschäftsanforderungen anpassen.

Das aktuelle Framework basiert auf fünf Kernfunktionen:

  • Identifizieren: Verstehen Sie Cybersicherheitsrisiken für Systeme, Menschen, Vermögenswerte und Daten.
  • Schützen: Implementieren Sie Schutzmaßnahmen, um die Bereitstellung kritischer Dienste sicherzustellen.
  • Erkennen: Entwickeln Sie eine Methode zur Identifizierung von Sicherheitsevents und Anomalien.
  • Reagieren: Entwickeln Sie eine Methode zur Reaktion auf einen erkannten Sicherheitsvorfall, einschließlich Kommunikation und Analyse.
  • Wiederherstellen: Entwickeln Sie eine Methode zur Wiederherstellung von Fähigkeiten oder Diensten nach einem Cybersicherheitsvorfall.

NIST CSF 2.0 wird Anfang 2024 veröffentlicht und wird Governance als sechste Kernfunktion beinhalten.

Wichtige Sicherheitsanforderungen:

  • Durchführung einer Risikoanalyse, um die Risikoposition der Organisation zu verstehen.
  • Auswahl geeigneter Sicherheitskontrollen basierend auf der Risikoanalyse.
  • Implementierung von Richtlinien, Verfahren und Technologien, die erforderlich sind, um die Ergebnisse des Frameworks zu erreichen.
  • Überwachung der Wirksamkeit von Sicherheitskontrollen und Anpassungen bei Bedarf.

National Institute of Standards and Technology Risk Management Framework (NIST RMF)

Beschrieben in NIST Special Publication 800-37, wurde das Risk Management Framework entwickelt, um Bundesbehörden und anderen Organisationen zu helfen, Informationssicherheitsrisiken effektiv zu managen. Es bietet einen strukturierten Prozess, der Sicherheits- und Risikomanagementaktivitäten in den Systementwicklungslebenszyklus integriert:

  • Vorbereiten: Etablieren Sie den Kontext, die Prioritäten und die Ressourcen für den RMF-Prozess innerhalb der Organisation.
  • Kategorisieren: Identifizieren Sie, welche Art von Informationen das System verarbeitet und wie wichtig diese für die Organisation sind.
  • Auswählen: Wählen Sie Sicherheitskontrollen für das System, die an die Kategorisierung der Informationen angepasst sind.
  • Implementieren: Implementieren Sie die gewählten Sicherheitskontrollen und dokumentieren Sie deren Implementierung.
  • Bewerten: Testen und bewerten Sie die Sicherheitskontrollen, um sicherzustellen, dass sie wirksam sind.
  • Autorisieren: Basierend auf der Bewertung der Sicherheitskontrollen, autorisieren Sie den Betrieb des Systems oder verweigern diesen.
  • Überwachen: Überwachen Sie kontinuierlich die Sicherheitskontrollen und die Risikoposition des Information Systems und berichten Sie über Änderungen.

Wichtige Sicherheitsanforderungen:

  • Führen Sie eine umfassende Risikoanalyse durch, um Risiken zu verstehen und zu dokumentieren.
  • Wählen Sie geeignete Kontrollen aus dem NIST-Katalog für Sicherheitskontrollen (NIST 800-53).
  • Dokumentieren Sie jeden Schritt, einschließlich System-Sicherheitspläne (SSP), Risikoanalyseberichte und Autorisierungspakete.
  • Halten Sie ein fortlaufendes Bewusstsein für Informationssicherheit, Schwachstellen und Bedrohungen aufrecht, um risikobasierte Entscheidungen der Organisation zu unterstützen.

Payment Card Industry Data Security Standard (PCI DSS)

Der Payment Card Industry Data Security Standard (PCI DSS) ist eine Reihe von Sicherheitsstandards, die sicherstellen sollen, dass alle Unternehmen, die Kreditkartendaten akzeptieren, verarbeiten, speichern oder übertragen, eine sichere Umgebung aufrechterhalten. Erstellt vom Payment Card Industry Security Standards Council (PCI SSC), zielt dieser Standard darauf ab, Daten von Karteninhabern vor Diebstahl zu schützen und sichere Zahlungssysteme zu gewährleisten.

Die PCI DSS-Konformität wird von Akquisitionsbanken und Kartenmarken durchgesetzt. Geldstrafen können zwischen 5.000 und 100.000 USD pro Monat betragen, und andere Strafen können erhöhte Transaktionsgebühren oder die Beendigung der Fähigkeit zur Annahme von Kartenzahlungen umfassen.

Abhängig vom jährlichen Transaktionsvolumen müssen Unternehmen regelmäßige Sicherheitsaudits durch einen qualifizierten Sicherheitsbewerter (QSA) durchführen oder einen Selbstbewertungsfragebogen (SAQ) ausfüllen.

Wichtige Sicherheitsanforderungen:

PCI DSS ist um sechs Kernziele herum strukturiert, die in zwölf wichtige Anforderungen unterteilt sind.

1. Aufbau und Wartung eines sicheren Netzwerks und Systems

  • Anforderung 1: Installieren und warten Sie eine Firewall-Konfiguration zum Schutz von Karteninhaberdaten.
  • Anforderung 2: Verwenden Sie keine vom Anbieter bereitgestellten Standardkennwörter für Systemkennwörter und andere Sicherheitsparameter.

2. Schutz der Karteninhaberdaten

  • Anforderung 3: Schützen Sie gespeicherte Karteninhaberdaten.
  • Anforderung 4: Verschlüsseln Sie die Übertragung von Karteninhaberdaten über offene, öffentliche Netzwerke.

3. Aufrechterhaltung eines Programms zur Schwachstellenverwaltung

  • Anforderung 5: Verwenden und aktualisieren Sie regelmäßig Antivirensoftware.
  • Anforderung 6: Entwickeln und pflegen Sie sichere Systeme und Anwendungen.

4. Implementierung starker Zugriffskontrollmaßnahmen

  • Anforderung 7: Beschränken Sie den Zugriff auf Karteninhaberdaten nach dem Grundsatz „need-to-know“.
  • Anforderung 8: Identifizieren und authentifizieren Sie den Zugriff auf Systemkomponenten.
  • Anforderung 9: Beschränken Sie den physischen Zugang zu Karteninhaberdaten.

5. Netzwerke regelmäßig überwachen und testen

  • Anforderung 10: Verfolgen und überwachen Sie jeden Zugriff auf Netzwerkressourcen und Karteninhaberdaten.
  • Anforderung 11: Testen Sie regelmäßig Sicherheitssysteme und -prozesse. Dazu gehören Scans, die von „Approved Scanning Vendors“ (ASV-Scans) durchgeführt werden, was eine harte PCI-Anforderung ist.

6. Aufrechterhaltung einer Informationssicherheitspolitik

  • Anforderung 12: Pflegen Sie eine Richtlinie, die die Informationssicherheit für alle Mitarbeiter anspricht.

Center for Internet Security (CIS) Controls

Das Center for Internet Security Controls (CIS Controls) ist eine Sammlung bewährter Methoden, die Organisationen dabei helfen sollen, Sicherheitsvorfälle zu verhindern, zu erkennen und zu mindern. Das CIS-Controls-Framework besteht aus einer Reihe von Kontrollen, die in drei Kategorien unterteilt sind:

  • Grundlegende Kontrollen: Wesentliche Maßnahmen zur Cyberabwehr, die klare Sicherheitsvorteile bieten und als grundlegend für Organisationen gelten.
  • Grundkontrollen: Speziellere und detailliertere Sicherheitsmaßnahmen, die eine Organisation mit ausgereifteren Cyber-Sicherheitsfähigkeiten implementieren sollte.
  • Organisatorische Kontrollen: Diese Kontrollen konzentrieren sich auf die Governance- und Evaluierungsaspekte der Cybersicherheit.

Wichtige Sicherheitsanforderungen:

  • Führen Sie ein aktives Inventar aller Hardware-Geräte.
  • Führen Sie ein Inventar autorisierter Software und verhindern Sie die Ausführung nicht autorisierter Software.
  • Stellen Sie sicher, dass sensible Daten sowohl im Ruhezustand als auch während der Übertragung verschlüsselt und angemessen geschützt sind.
  • Entwickeln und implementieren Sie einen Vorfallreaktionsplan und eine schnelle Reaktionsfähigkeit.
  • Schulen Sie das Personal und überwachen Sie es, um sicherzustellen, dass es bewährte Methoden befolgt.
  • Sichern Sie Systeme und Daten regelmäßig und stellen Sie sicher, dass Wiederherstellungsprozesse funktionsfähig sind.
  • Pflegen und erzwingen Sie Sicherheitskonfigurationen für Netzwerkgeräte und Systeme.
  • Überwachen und kontrollieren Sie die Kommunikation, die Netzwerkgrenzen überschreitet.
  • Stellen Sie sicher, dass sensible Daten sowohl im Ruhezustand als auch während der Übertragung verschlüsselt und gut geschützt sind.
  • Führen Sie regelmäßige Penetrationstests durch, um sicherzustellen, dass die Kontrollen gegen aktive Bedrohungen wirksam sind.

Microsoft Supplier Security & Privacy Assurance Program (SSPA)

Microsoft SSPA wurde entwickelt, um sicherzustellen, dass die Lieferanten von Microsoft standardisierte Sicherheits- und Datenschutzanforderungen erfüllen. Ziel ist es, Risiken im Zusammenhang mit der Datenverarbeitung, Datenspeicherung und anderen Aspekten der Informationssicherheit und des Datenschutzes zu mindern.

Wichtige Sicherheitsanforderungen:

  • Lieferanten müssen die Datenschutzrichtlinien von Microsoft einhalten und die geltenden Gesetze und Vorschriften befolgen.
  • Lieferanten sind häufig verpflichtet, ein ISMS zu haben, das den Standards von Microsoft entspricht.
  • Lieferanten müssen einen definierten Vorfallreaktionsplan haben, der die Benachrichtigung von Microsoft im Falle von Sicherheits- oder Datenschutzvorfällen umfasst.
  • Strenge Zugriffskontrollen für Microsoft-bezogene Daten, einschließlich Multi-Faktor-Authentifizierung und regelmäßiger Zugriffskontrollen.
  • Daten, sowohl im Ruhezustand als auch während der Übertragung, müssen gemäß den Anforderungen von Microsoft verschlüsselt werden.
  • Lieferanten unterliegen Prüfungen zur Überprüfung der Einhaltung der SSPA-Anforderungen und müssen möglicherweise Nachweise für interne Prüfungen, Sicherheitszertifizierungen oder andere Indikatoren für Sicherheits- und Datenschutzmaßnahmen vorlegen.
  • Einige Lieferanten müssen möglicherweise als Teil des SSPA-Programms Sicherheitsbewertungen durch Dritte unterzogen werden.

Kontrollziele für Informations- und verwandte Technologien (COBIT)

Ursprünglich von der ISACA (Information Systems Audit and Control Association) entwickelt, hat sich COBIT zu einem führenden Framework für Governance, Risiko und Compliance entwickelt. Es zielt darauf ab, die IT-Prozesse und das Compliance-Programm eines Unternehmens mit den Geschäftszielen in Einklang zu bringen.

Wichtige Sicherheitsanforderungen:

  • Identifizierung, Bewertung und Management von IT-Risiken.
  • Sicherstellung der optimalen Nutzung von IT-Ressourcen, einschließlich Personen, Informationen, Infrastruktur und Anwendungen.
  • Erfüllung der Compliance-Anforderungen in Bezug auf Gesetze, Vorschriften und vertragliche Vereinbarungen.
  • Ausrichtung der IT-Ziele und -Prozesse an den strategischen Zielen und Geschäftsbereichen des Unternehmens.
  • Einrichtung von KPIs und anderen Metriken zur Verfolgung der Leistung von IT-Diensten und -Prozessen.
  • Gewährleistung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationswerten.
  • Einrichtung von Prozessen für kontinuierliche Verbesserung und Qualitätssicherung im IT-Betrieb.

Wie Sie Ihre Compliance-Haltung mit Automatisierung vereinfachen und stärken können

Die Automatisierung verändert grundlegend die Art und Weise, wie Unternehmen regulatorische und sicherheitsrelevante Compliance erreichen und aufrechterhalten.

GRC-Automatisierungsplattformen können die Beweissammlung rationalisieren, das Lieferantenmanagement vereinfachen, Mitarbeiterschulungen erleichtern, doppelte Anstrengungen für mehrere Compliance-Audits beseitigen und Abschlussberichte von Audits beschleunigen - alles in allem führen diese Maßnahmen zu erheblichen Zeit- und Kosteneinsparungen.

Erfahren Sie mehr darüber, wie Secureframe mit über 20 hausintern entwickelten Frameworks sowie individuellen Framework-Funktionen diese Compliance-Frameworks automatisieren kann, indem Sie eine Demo vereinbaren.

Vertrauen nutzen, um Wachstum zu beschleunigen

Demo anfordernangle-right
cta-bg

SOC 1®, SOC 2® und SOC 3® sind eingetragene Marken des American Institute of Certified Public Accountants in den Vereinigten Staaten. Die AICPA® Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, und Privacy sind urheberrechtlich geschützt von der Association of International Certified Professional Accountants. Alle Rechte vorbehalten.