Waarom ISO 27001 beter is as
SOC 2

Die Microsoft Verskaffersekuriteit en privaatheidsversekering (SSPA) program vereis dat sy verskaffers 'n voldoende sekuriteit- en privaatheidprogram in plek het om Microsoft vertroulike data of persoonlike data te verwerk.

Vanaf Desember 2021, Microsoft stel in sy SSPA dat dit nie meer SOC 2 sal aanvaar nie berigte; in plaas daarvan word ISO 27001 en ISO 27701 as vereistes gelys.

• Weergawe 7, Gepubliseer November 2020 – BLADSY 11, 14 & 15
• Sien Bylaag A: SOC 2-verslae (met sekuriteitsdekking) sal nie na Desember 2021 aanvaar word nie
• Vertroulike dataverwerking: Dien ISO 27001 in
• Persoonlike, vertroulike dataverwerking: Dien ISO 27701 en ISO 27001 in

Microsoft se “endossement” van ISO 27001 en ISO/IEC 27701 het breë implikasies. Wanneer 'n bedryfsleier in datasekuriteit en privaatheid, soos Microsoft, een standaard bo 'n ander op hierdie manier formeel "onderskryf", is dit op ander bedryfsleiers se plig om te volg. Dit dui op 'n beduidende verskuiwing van die voorheen aanvaarde Amerikaanse vereiste om aan SOC 2 te voldoen.

Wat is die program vir verskaffersekuriteit en privaatheidversekering (SSPA)?

Die Verskaffersekuriteit- en Privaatheidsversekeringsprogram is 'n korporatiewe inisiatief wat deur Microsoft onderneem word om te verseker dat verskaffers aan Microsoft se streng databeskermingsvereistes voldoen. Die Microsoft Supplier Data Protection Requirements (“DPR”) is Microsoft se basislyn dataverwerkingsinstruksies vir verskaffers.

Die Microsoft Supplier Data Protection Requirements (MSDRP) beskryf Microsoft se dataverwerkingsinstruksies, gelewer deur die Verskaffersekuriteit- en Privaatheidsversekeringsprogram aan verskaffers wat met Microsoft se vertroulike data en/of persoonlike data werk.

Die SSPA-program dek 'n wye reeks vertroulike dataverwerkingsaktiwiteite, insluitend ouditreaksie en verslagdoening; datatoegangsbestuur; bestuur van inligtingsekuriteitsinsidente; derdeparty risikobestuur; privaatheid impakbeoordelings, en verskaffer data privaatheid sertifisering. In wese bied die SSPA-program leiding vir die bestuur van risiko wat verband hou met persoonlike dataverwerking vir eksterne partye.

“Die SSPA dryf voldoening aan hierdie vereistes deur 'n jaarlikse nakomingsiklus; vir nuwe verskaffers kan werk nie begin voordat dit voltooi is nie. As 'n verskaffer Persoonlike Data en/of Microsoft Vertroulike Data verwerk, sal hulle met hul besigheidsborg saamwerk om by die SSPA-program in te skryf. Verskaffers kan ook gekies word om onafhanklike versekering te verskaf deur 'n assessering teen die DPR te voltooi.”

“Sterk privaatheid- en sekuriteitspraktyke is van kritieke belang vir ons missie, noodsaaklik vir kliëntevertroue, en in verskeie jurisdiksies, wat deur die wet vereis word. Die standaarde wat in Microsoft se privaatheid- en sekuriteitsbeleide vasgelê is, weerspieël ons waardes as 'n maatskappy, en dit strek tot ons verskaffers (soos jou maatskappy) wat Microsoft-data namens ons verwerk.”

Ter opsomming, Microsoft Supplier Security and Privacy Assurance (SSPA) is 'n maatskappywye program wat verseker dat Microsoft-verskaffers voldoende beskerm word in terme van inligtingsekuriteit en privaatheid om toegelaat te word om persoonlike data, inligtingbates of Microsoft-vertroulike data te verwerk in ooreenstemming met Microsoft beleide.

Gestel Microsoft magtig nie reeds 'n nuwe verskaffer nie. In daardie geval moet dit voldoening aan Microsoft demonstreer deur ISO 27001- en ISO 27701-sertifisering of 'n SSPA-assessering deur een van Microsoft se "Voorkeur-assessors" ondergaan voor goedkeuring. Microsoft bekragtig die voldoening van sy verskaffers op 'n jaarlikse basis.

Waarom het Microsoft SOC 2 laat vaar ten gunste van ISO?

Microsoft se bevestiging van ISO 27001 & 27701 is 'n beslissende stem van vertroue in die voordeel van ISO 27001 & 27701-sertifisering om jou organisasie se omvattende inligtingssek- en privaatheidprogram ten toon te stel wat in lyn is met belangrike privaatheidswette en -regulasies soos BBP, CCPA, POPIA, APPS en APAC.

• SOC-voldoening word nie internasionaal erken nie, terwyl ISO-standaarde wel. Dit is belangrik om daarop te wys dat ISO 27701 steeds op datum is (gepubliseer in 2019), wat beteken dit strook nou met internasionale privaatheidswette en -regulasies.
• 'n SOC 2-attest hoef nie van 'n onafhanklike sertifiseringsliggaam verkry te word nie, wat beteken dat dit meer oop is vir die moontlikheid van 'n vlak van oneerlikheid soortgelyk aan die merk van jou eie huiswerk.
• 'n SOC 2-verslag is gewoonlik langer as 100 bladsye, en derde partye gee dit selde die nodige ondersoek omdat dit so lank is.
• Dit is belangrik om daarop te let dat die oudits wat deur SOC 2 onderneem word, moeilik, vervelig en duur vir verskaffers kan wees.
• Om ISO 27001-sertifisering te hou is goedkoper as om gereeld SOC 2-ouditverklaringsprogramme op datum te hou.
• Die koste van die handhawing van 'n ISO 27701-sertifisering is opmerklik laer as dié van die handhawing van 'n SOC 2 Tipe 2 met Privaatheidstrustdienste-kriteria-verklaring.
• Die bestuur van beide sekuriteit en privaatheid as 'n enkele logiese konstruksie binne 'n ISO 27701 Privaatheidsinligtingbestuurstelsel (PIMS) is veral makliker as om verskillende programme langs mekaar te laat loop.

Is ISO 27001 beter as 'n SOC 2-verslag?

Die ingewikkelde besonderhede en voordele van die twee is omvattend vergelyk in baie artikels aanlyn. Die antwoord op hierdie vraag is altyd onbevredigend: "dit hang af", wat beteken dit hang af van waar jy geleë is in verhouding tot jou kliënte.

Met ander woorde, soos die advies lui, as die meeste van jou kliënte in die Verenigde State geleë is, moet jy met SOC 2 gaan. As die meeste van jou kliënte buite die Verenigde State geleë is, sal ISO 27001 'n goeie keuse wees. Dit is fundamenteel verkeerd en ondoeltreffend vir transnasionale organisasies, SaaS-maatskappye of soortgelyke om hierdie advies te volg, aangesien dit nie werk nie.

SaaS-maatskappye sal byvoorbeeld byna seker 'n mengsel van plaaslike en internasionale kliënte hê; indien nie nou nie, dan is dit byna seker in die nabye toekoms op die padkaart.

Boonop word die meeste maatskappye toenemend internasionaal in hul bedrywighede, en daarom het sulke sertifisering in die eerste plek 'n noodsaaklikheid geword. Boonop werk die maatskappye wat in die eerste plek sertifikate soos ISO 27001 eis, in elk geval dikwels internasionaal.

Die kritieke punt is egter die volgende. Ons werk al vir baie jare in SaaS en nakoming wêreldwyd by ISMS.online. Sover ons weet, het ons nog nie 'n situasie teëgekom waar 'n maatskappy SOC 2 versoek het, maar ISO 27001 verwerp het toe dit aan hulle aangebied is nie.

So, wat is die belangrikste verskil? Is die een nie so goed soos die ander nie? Wel, ja en nee. Internasionaal is dit egter redelik algemeen dat die teenoorgestelde voorkom.

SOC 2 sal 'n plek hou vir sommige VSA-gesentreerde organisasies, maar die slim geld is om ISO 27001 en waar toepaslik ISO 27701 te kry.

Ons aanbeveling is dus steeds ISO 27001 bo SOC 2, selfs vir maatskappye wat in die VSA gebaseer is, met die meeste van hul kliënte in die VSA.

Waarom ISO 27001 die beter keuse is

Dit is belangrik om daarop te let dat die SOC 2-raamwerk op vyf vertrouensbeginsels gebaseer is. Dit is sekuriteit, beskikbaarheid, verwerkingsintegriteit, vertroulikheid en privaatheid.

Om 'n SOC 2-verslag te kry, hoef jy net die eerste een, wat sekuriteit is, in jou organisasie te implementeer. Die res is net aanbevole maatreëls wat jy mag of nie mag neem nie. Hierdie maatreëls raak nie jou verslag as dit nie binne jou organisasie geïmplementeer word nie. Met ander woorde, jou verslag sal nie geraak word as jou prosesse nie vertroulik is nie of as dit nie met integriteit verwerk word nie.

Daar is geen twyfel dat dit SOC 2-trustdienstekriteria baie meer buigsaam en makliker maak nie. Dit laat egter die deur oop vir ons natuurlike neiging om die minimum te wil doen om daardie voldoeningsblokkie af te merk.

Ons kan almal daarmee vereenselwig, maar dit beteken nie noodwendig dat dit 'n goeie ding is nie. Al merk jy blokkies af, beteken die verslag wat jy aan die einde van die proses aan jou ouditeur indien nie dat jou prosesse veilig is nie.

Baie maatskappye eindig met verslae wat 'merkblokkie-oefeninge' is, maar nie regtig 'voltooide' of robuuste voldoeningsmeganismes nie.

Met ander woorde, hul verslae is onvolledig omdat dit nie voldoening aan al vyf trustdiensbeginsels binne die SOC tipe i- of tipe ii-raamwerk toon nie.

Daarenteen verseker ISO 27001 dat die beheermaatreëls wat in jou organisasie geïmplementeer word, gebaseer is op 'n risikobeoordeling van jou organisasie en jou inligtingsekuriteitsvereistes.

Met die behoorlike implementering van 'n inligtingsekuriteitbestuurstelsel kan jy nie sonder goeie rede wegkom om nie al die kontroles binne ISO 27001 te implementeer nie.

Jou sekuriteitskontroles sal altyd gemoeid wees met sekuriteit, beskikbaarheid, verwerkingsintegriteit, vertroulikheid en privaatheid tydens die implementeringsproses.

Neem 'n oomblik om vir 'n oomblik hieroor na te dink. Wat die beskerming van u kliënte se inligting betref, kan daar werklik van u verwag word om sekuriteit aan te spreek sonder om tegelykertyd met klantdata-integriteit, vertroulikheid en privaatheid om te gaan?

Verder is beskikbaarheid die belangrikste faktor vir jou kliënte, en kom net tweede na sekuriteit in terme van hul prioriteite.

Dit is veral belangrik wanneer persoonlike inligting soos kredietkaartnommers en sosiale sekerheidsnommers beskerm word. Dit sal die beste wees as jy alle voorsorgmaatreëls tref om hierdie inligting teen diefstal of misbruik deur kuberkrakers of ander kwaadwillige partye te beskerm.

Wat dit vir jou besigheid en volgende stappe beteken

As gevolg van die talle voordele wat ISO 27001 bied, is ISO 27001 & 27701 die voor die hand liggende keuse(s) as jy 'n robuuste inligtingsekuriteitbeheerraamwerk wil implementeer en nie net blokkies met betrekking tot inligtingsekuriteit, kubersekuriteit en privaatheid wil afmerk nie.

Die implementering van 'n ISMS sal 'n lang pad help om jou te help om regulatoriese voldoening te bereik en die risiko's van oortredings, nie-nakoming of erger te verminder. Dit help om kwesbaarhede en swakhede in jou organisasie se kuberveiligheidsposisie te identifiseer voordat dit 'n probleem word. Dit kan reputasieskade en potensiële finansiële boetes/boetes voorkom.

ISO 27001 dryf beste praktyk en integreer met ander standaarde

Een van die hoofkomponente van ISO 27001 is ISO Bylae L, die beskrywing van die vereistes en kenmerke vir 'n generiese bestuurstelsel, wat in wese die kenmerke en vereistes van die stelsel beskryf. 

Die belangrikheid van hierdie punt kan nie oorskat word nie. Om 'n bestuurstelsel vir u onderneming te hê, kan verder gaan as die beskerming van inligtingsbates en privaatheid. 'n ISMS bevorder sterk besigheidspraktyke en beter algehele organisatoriese prestasie. Dit stel jou op sy beurt in staat om jou kliënte beter te bedien en jou besigheidsdoelwitte vinniger en doeltreffender te bereik.

Die implementering van 'n ISMS laat jou toe om tred te hou met huidige praktyke, prestasie te meet en teikenareas vir verbetering oor tyd. Dit help jou ook om ’n mededingende voorsprong te handhaaf deur klanttevredenheid te verbeter, sakebedrywighede te optimaliseer en groeigeleenthede te identifiseer.

Alhoewel ISO 27001 op inligtingsekuriteit fokus, beteken Bylae L dat dit baie goed integreer met ander ISO-standaarde wat ook op Aanhangsel L gebaseer is. As deel van jou algehele bestuurstelselontwikkeling en -verbeteringsaktiwiteite, wil jy dalk hierdie standaarde later instel. datum. Daar is meer as 50 ISO-standaarde, insluitend ISO 9001 vir gehaltebestuur en ISO 22301 vir besigheidskontinuïteit.

Alhoewel ons nie voorstel dat jy na hierdie standaarde kyk nie, is die punt vir eers dat dit moontlik is. ISO-standaarde en ISMS.online se Geïntegreerde Bestuurstelsel (IMS)-platform bied 'n opgraderingspad, sodat jy nie nuwe sagteware hoef te koop nie. 'n Silo-raamwerk soos SOC 2 bied nie hierdie voordeel nie.

ISO 27001 kos minder

Daar is 'n algemene wanopvatting dat ISO 27001-standaardimplementering duurder is as SOC 2-implementering; trouens, ISO 27001-sertifisering is goedkoper om te implementeer en in stand te hou as SOC 2, en met 'n redelike marge.

Die ISO 27001-oudit is gesentreer op die werking van die inligtingsekuriteitbestuurstelsel (ISMS) om die behoorlike implementering van aanhangsel A-kontroles te bevestig, dus is die koste minder as 'n SOC 2-oudit. Gevolglik, die oudit monsters slegs tegniese (Bylae A) kontroles. Weens die gebrek aan 'n ISBS, fokus SOC 2-oudits op die assessering van TSC-sekuriteitskontroles eerder as die ISMS.

'n Beduidende voordeel van ISO-sertifisering is dat dit 'n mededingende bedryf is, sodat jy maklik kan rondkyk vir die beste prys.

Om 'n SOC 2-oudit uit te voer, moet jy 'n maatskappy vind wat gelisensieer is as 'n CPA (gesertifiseerde openbare rekenmeester) wat in staat is om hierdie oudits uit te voer. Veral in Europa doen baie min maatskappye dit, en diegene wat dit wel doen, is geneig om die groter professionele diensmaatskappye te wees, wat beteken dat hulle meer vra.

Onderhouds- en hersertifiseringskoste en tydraamwerke

Organisasies is verantwoordelik vir die handhawing van hul ISO-sertifisering deur toesig- (kontrole) oudits wat jaarliks ​​of elke ses maande uitgevoer word, afhangende van die grootte en omvang van jou organisasie in jare 2 en 3. Hierdie korter oudits is meer bekostigbaar as die aanvanklike oudit vir sertifisering aangesien dit ongeveer 'n derde van die tyd neem om te voltooi. Gedurende die vierde jaar sal daar van jou verwag word om volledige hersertifisering te ondergaan, en die ouditsiklus sal weer begin.

As deel van SOC 2 het jy 'n volledige jaarlikse oudit nodig om te verseker dat die ouditfirma se verklaring geldig bly. Alhoewel jy nie dieselfde bedrag hoef te spandeer as toe jy vir die eerste keer in jaar 1 by hulle aangesluit het nie, sal die opgedateerde ouditverslag jou steeds ten minste €10,000 XNUMX kos.

Gevolglik, as jy aanneem dat alles anders gelyk is, het ISO 27001 'n laer prysetiket as SOC 2 op die lang termyn.

Reeds ISO 27001 gesertifiseer?

As jy reeds ISO 27001 gesertifiseer is, kan jy jou privaatheidsprogram in lyn bring met ISO 27701 leiding en dit in jou ISMS integreer; hierdie opgradering staan ​​bekend as Privaatheidsinligtingbestuurstelsel of PIMS. Jy kan die privaatheidstandaard koop en die omvang van jou kontroles en beleide verander om PIMS-leiding in te sluit. Werk saam met jou ouditeur om jou sertifiseringsomvang uit te brei om ISO 27701 by jou daaropvolgende toesig- of hersertifiseringsoudit in te sluit.

Volg jy reeds vir SOC 2 Attested?

Om van 'n SOC 2-attestering na 'n ISO 27001-sertifisering te beweeg is ietwat betrokke, maar dit is nie te uitdagend nie. Jy sal risiko doeltreffend in ISO 27001 moet bestuur, so die SOC 2-sekuriteitskontroles wat jy in plek het, sal waarskynlik dieselfde wees.

Daar sal van jou verwag word om jou benadering te dokumenteer en dit aan 'n onafhanklike derdeparty-ouditeur vir goedkeuring voor te lê voordat jy gesertifiseer word. Vir kleiner organisasies maak ISMS.online ISO 27001-sertifisering maklik om intern te bestuur sonder die behoefte aan ondersteuning van 'n derdeparty-konsultant.

Vir groter organisasies is die uitkontraktering van die ISMS-sertifiseringsproses aan 'n onafhanklike derde party nie ongewoon nie, aangesien dit die kwaliteit en onpartydigheid van jou ISMS-dokumentasie verseker; weereens hoef jy dit nie met ISMS.online te doen nie aangesien ons virtuele afrigter, Adapt, Adopt Add (AAA Framework) en Assured Results Method (ARM) sal verseker dat jy die ondersteuning het wat nodig is om die eerste keer sertifisering te behaal.

Dubbele SOC 2-attestering en ISO 27001-sertifisering behels hoofsaaklik om die ISO 27001 ISMS bo-op jou bestaande kontroles te plaas en sommige van jou dokumentasie te wysig om die verskille in attestraamwerke te weerspieël. ISMS.online bied 'n duidelike karteringpad tussen ISO 27001 en SOC 2, wat beide sertifisering en attestasie vereenvoudig.

Reeds SOC 2 attested (insluitend privaatheid)?

Soos met die vorige scenario, moet jy ook die Privaatheidsprogram oorskakel na ISO 27001 saam met die SOC 2-oorgang. Weereens vereenvoudig die SOC 2- en ISO 27701-kartering binne ISMS.online die oorgang tussen die twee.

Nie SOC 2 Gesertifiseer of ISO 27001 gesertifiseer nie?

Solank jy 'n kliënt het wat attestasie versoek, kan jy voortgaan met jou jaarlikse SSPA-assessering. Dit is raadsaam om binne 27001 maande na ISO 27701- en ISO 12-sertifisering te beweeg as daar van jou vereis word om sekuriteit en voldoening aan ander belanghebbendes te bewys.

Jy kan gedurende jou eerste jaar op ISO 27001 fokus as jy beperk is tot bandwydte en/of begroting, en dan ISO 27701 aanspreek tydens jou tweede jaar wanneer jy jou eerste toesigoudit uitvoer as jy die hulpbronne en/of begroting het om dit te doen .

Hoe ISMS.online kan help

Soos vroeër genoem, het Microsoft ISO 27001 bo SOC 2 onderskryf, effektief Desember 2021, en hoewel dit dalk nie die tydige ondergang van SOC 2 beteken nie, sal ander multinasionale maatskappye waarskynlik die voorbeeld volg met soortgelyke vereistes van hul verskaffingskettings.

ISMS.online maak jou gereed vir ISO27001-sertifisering deur baie van die betrokke take te outomatiseer. Sodra jy jou maatskappy by ISMS.online aan boord het, verskaf ons platform die karteringbloudruk, gereedskap, raamwerke, beleide, kontroles, uitvoerbare dokumentasie en leiding om jou te help om aan elke ISO 27001-vereiste en SOC 2-beheer te voldoen.

Klik hier om te bespreek 'n demo.