Eine ordnungsgemäße Dokumentation ist für eine erfolgreiche SOC 2-Prüfung unerlässlich. Dazu gehören auch klare und prägnante Richtlinien.
Wenn Sie jedoch noch keine Richtlinienbibliothek haben, kann es schwierig sein zu wissen, wo Sie anfangen sollen.
Sie fragen sich vielleicht:
Welche allgemeinen Richtlinien muss ich bei einer Prüfung einhalten?
Ihre Richtlinien beschreiben, was Sie tun, um Kundendaten zu schützen – Dinge wie Mitarbeiterschulungen und Verwaltung von Anbietern. Ihre Verfahren erklären, wie Sie dies tun – die genauen Schritte, die Sie unternehmen, und wie Sie auf bestimmte Auslöser reagieren.
SOC 2 Richtlinien
Alle SOC 2-Prüfungen beinhalten eine Überprüfung der Richtlinien Ihrer Organisation durch einen Prüfer.
Richtlinien müssen dokumentiert, formell überprüft und von den Mitarbeitern akzeptiert werden.
Jede Richtlinie unterstützt ein Element Ihrer gesamten Sicherheitsstrategie und Ihres Umgangs mit Kundendaten.
Im Allgemeinen sind dies die SOC 2-Richtlinienanforderungen, nach denen Ihr Prüfer suchen wird:
- Akzeptable Nutzung Richtlinie: Definiert, wie das Netzwerk, die Website oder das System genutzt werden dürfen. Kann auch definieren, welche Geräte und Arten von Wechselmedien verwendet werden können, Passwortanforderungen und wie Geräte ausgegeben und zurückgegeben werden.
- Zugriffskontrolle Richtlinie: Definiert, wer Zugriff auf die Systeme des Unternehmens hat und wie oft diese Zugriffsberechtigungen überprüft werden.
- Geschäftskontinuität Richtlinie: Definiert, wie Mitarbeiter auf eine Unterbrechung reagieren werden, um den Geschäftsbetrieb reibungslos aufrechtzuerhalten.
- Änderungsmanagement Richtlinie: Definiert, wie Systemänderungen dokumentiert und in Ihrer Organisation kommuniziert werden.
- Vertraulichkeit Richtlinie: Definiert, wie Ihre Organisation vertrauliche Informationen über Kunden, Partner oder das Unternehmen selbst behandelt.
- Verhaltenskodex Richtlinie: Definiert die Richtlinien, an die sich sowohl Mitarbeiter als auch Arbeitgeber halten müssen. Dies beinhaltet, wie Menschen am Arbeitsplatz miteinander umgehen sollten.
- Datenklassifizierung Richtlinie: Definiert, wie Sie sensible Daten entsprechend dem Risiko für Ihre Organisation klassifizieren.
- Katastrophenwiederherstellung Richtlinie: Definiert, wie Ihr Unternehmen nach einem katastrophalen Ereignis wiederherstellen wird. Sie enthält auch die minimal notwendigen Funktionen, die Ihr Unternehmen zur Fortsetzung des Geschäftsbetriebs benötigt.
- Verschlüsselung Richtlinie: Definiert die Art der Daten, die Ihre Organisation verschlüsseln wird und wie sie verschlüsselt werden.
- Vorfallreaktion Richtlinie: Definiert Rollen und Verantwortlichkeiten im Falle eines Datenverstoßes und während der anschließenden Untersuchung.
- Informationssicherheits Richtlinie: Definiert Ihren Ansatz zur Informationssicherheit und warum Sie Prozesse und Richtlinien implementieren.
- Informations-, Software- und Systembackup Richtlinie: Definiert, wie Informationen aus Geschäftsanwendungen gespeichert werden, um die Datenwiederherstellung zu gewährleisten.
- Protokollierungs- und Überwachungs Richtlinie: Definiert, welche Protokolle Sie erfassen und überwachen werden. Sie behandelt auch, was in diesen Protokollen erfasst wird und welche Systeme für die Protokollierung konfiguriert werden.
- Physische Sicherheit Richtlinie: Definiert, wie Sie den physischen Zugang zu den Standorten Ihres Unternehmens überwachen und sichern werden. Was werden Sie tun, um unbefugten physischen Zugang zu Rechenzentren und Geräten zu verhindern?
- Passwort Richtlinie: Definiert die Anforderungen für die Verwendung starker Passwörter, Passwortmanager und Passwortabläufe.
- Remote-Zugriff Richtlinie: Definiert, wer berechtigt ist, remote zu arbeiten. Sie definiert auch, welche Art von Konnektivität sie verwenden und wie diese Verbindung geschützt und überwacht wird.
- Risikoanalyse- und Minderungsrichtlinie: Definiert Sicherheitsbedrohungen, die auftreten könnten, und den Handlungsplan, um diese Vorfälle zu verhindern.
- Softwareentwicklungs-Lebenszyklusrichtlinie: Definiert, wie sichergestellt wird, dass Ihre Software sicher aufgebaut, regelmäßig getestet und den regulatorischen Anforderungen entspricht.
- Richtlinie für das Lieferantenmanagement: Definiert Lieferanten, die Risiken einführen könnten, sowie Kontrollen, die zur Minimierung dieser Risiken umgesetzt werden.
- Sicherheitsrichtlinie für Arbeitsstationen: Definiert, wie die Arbeitsstationen Ihrer Mitarbeiter gesichert werden, um das Risiko von Datenverlust und unbefugtem Zugriff zu reduzieren.
Wie weisen Sie nach, dass Sie Ihre Richtlinien einhalten?
Während Ihrer SOC 2 Typ II-Prüfung müssen Sie Ihrem Prüfer nachweisen, dass Sie die von Ihnen festgelegten Richtlinien und Prozesse einhalten.
Dies bedeutet, dass Sie Ihrem Prüfer die Beweise vorlegen, die Sie während Ihres Prüfungszeitraums gesammelt haben.
Die Sammlung und Organisation dieser Beweise kann eine äußerst mühsame und zeitaufwändige Aufgabe sein. Dies beinhaltet oft das Aufnehmen und Organisieren von Screenshots in Dropbox- oder Google Drive-Ordner. Anschließend manuelles Erstellen und Aktualisieren von Tabellenkalkulationen zur Katalogisierung der Beweise.
Secureframe automatisiert den Prozess der Beweissammlung, spart Ihrem Team Hunderte von Stunden (und wahrscheinlich genauso viele Kopfschmerzen). Unsere Plattform bietet über 100 tiefgehende Integrationen, um sich mit Ihrer Cloud-Infrastruktur und Ihrem HRIS zu verbinden. Wir sammeln automatisch Beweise und überwachen Ihren Technologiestack kontinuierlich, um die kontinuierliche Compliance sicherzustellen.