Trust Services Criteria (TSC) sind eine Reihe von Standards, die zur Bewertung der Wirksamkeit der Kontrollen einer Organisation in Bezug auf Sicherheit, Verarbeitung Integritรคt, Vertraulichkeit und Verfรผgbarkeit.
Was sind Kriterien fรผr Vertrauensdienste?
Der Begriff โTrust Services Criteriaโ bezeichnet einen umfassenden Rahmen, der entwickelt wurde, um die Angemessenheit und Wirksamkeit der Kontrollen einer Organisation in verschiedenen Aspekten des Datenschutzes und der Systemleistung zu bewerten. Insbesondere konzentriert sich TSC auf die Prinzipien der Sicherheit, Verfรผgbarkeit, Verarbeitung Integritรคt, Vertraulichkeit und Datenschutz. Es wird hauptsรคchlich im Rahmen von Audits verwendet, wie z. B. SOC 2 (System- und Organisationskontrollen), um sicherzustellen, dass Serviceorganisationen strenge Anforderungen hinsichtlich des Schutzes vertraulicher Informationen und der Zuverlรคssigkeit ihrer Betriebssysteme.
Durch die Bewertung dieser Kriterien demonstrieren Unternehmen ihr Engagement fรผr hohe Standards in Bezug auf Datenschutz, operative Belastbarkeit und Privatsphรคre, die fรผr die Vertrauensbildung bei Kunden und Stakeholdern unerlรคsslich sind. TSC bietet einen strukturierten Ansatz zur Bewertung der internen Kontrollen eines Unternehmens und stellt sicher, dass diese nicht nur den Branchenstandards entsprechen, sondern auch die damit verbundenen Risiken minimieren. Datenverstรถรe, System AusfallzeitUnd andere Schwachstellen.
Was sind die fรผnf Kriterien fรผr Vertrauensdienste?
Die fรผnf Kriterien fรผr Vertrauensdienste sind:
- Security. Dieses Kriterium konzentriert sich auf den Schutz von Systemen und Daten vor unbefugtem Zugriff, Angriffen und Sicherheitsverletzungen. Es stellt sicher, dass geeignete Sicherheitsmaรnahmen vorhanden sind, um Schรคden am Unternehmensvermรถgen zu verhindern und die Vertraulichkeit, Integritรคt und Verfรผgbarkeit von Informationen zu gewรคhrleisten.
- Verfรผgbarkeit. Dieses Kriterium bewertet, ob die von der Organisation bereitgestellten Systeme und Dienste wie vereinbart betriebsbereit sind. Es umfasst die Bewertung der Fรคhigkeit der Organisation, Betriebszeit und treffen Service Level Agreements (SLAs).
- VerarbeitungsintegritรคtDieses Kriterium stellt sicher, dass die Prozesse des Systems vollstรคndig, genau und zeitnah sind. Es bewertet, ob das System Daten konsistent gemรคร den Geschรคftszielen und den Benutzererwartungen verarbeiten kann.
- Vertraulichkeit. Bei diesem Kriterium geht es darum, sicherzustellen, dass als vertraulich eingestufte Informationen entsprechend ihrer Sensibilitรคt geschรผtzt werden. Es geht darum, sensible Daten vor unbefugtem Zugriff und Offenlegung zu schรผtzen.
- DatenschutzDieses Kriterium stellt sicher, dass personenbezogene Daten gemรคร den geltenden Datenschutzgesetzen und -vorschriften erhoben, verwendet, gespeichert, weitergegeben und entsorgt werden. Es bewertet die Fรคhigkeit der Organisation, den Schutz personenbezogener Daten so zu gewรคhrleisten, dass sowohl gesetzliche als auch vertragliche Verpflichtungen erfรผllt werden.
Trust Services-Kriterien und COSO-Integration
Die Kriterien fรผr Vertrauensdienste und das Rahmenwerk des Committee of Sponsoring Organizations of the Treadway Commission (COSO) sind beide fรผr die Bewertung der internen Kontrollen eines Unternehmens von entscheidender Bedeutung, konzentrieren sich jedoch auf unterschiedliche Aspekte der Governance und des Risikomanagements. Die Integration von TSC und COSO kann Unternehmen dabei helfen, einen umfassenden Ansatz fรผr Risikomanagement, Compliance und die Wirksamkeit interner Kontrollen sicherzustellen.
Der Kriterien fรผr Vertrauensdienste, Wie bereits erwรคhnt, umfassen sie fรผnf Schlรผsselbereiche: Sicherheit, Verfรผgbarkeit, Verarbeitungsintegritรคt, Vertraulichkeit und Datenschutz. Diese Kriterien werden vor allem bei Audits wie SOC 2 verwendet, um zu bewerten, ob die Kontrollen eines Unternehmens zum Schutz von Daten und zur Gewรคhrleistung eines zuverlรคssigen Systembetriebs konzipiert und wirksam sind. Die Kriterien helfen Unternehmen, ihr Engagement fรผr den Schutz sensibler Daten, die Gewรคhrleistung einer hohen Systemverfรผgbarkeit und den Schutz von Datenschutzrechten unter Beweis zu stellen.
Der COSO-Rahmenwerkbietet dagegen einen umfassenderen, รผbergreifenden Satz von Grundsรคtzen und Praktiken fรผr eine effektive interne Kontrolle. Er umfasst fรผnf Komponenten: Kontrollumfeld, Risikobewertung, Kontrollaktivitรคten, Information und Kommunikation sowie รberwachung. Das COSO-Framework wird hรคufig zur Bewertung interner Kontrollen in Bereichen wie der Finanzberichterstattung und der Einhaltung von Gesetzen und Vorschriften verwendet und ist ein weit verbreiteter Standard fรผr Governance und Risikomanagement.
Integration von Trust Services-Kriterien und dem COSO-Framework
Die Integration von TSC und COSO schafft ein robusteres internes Kontrollumfeld fรผr ein Unternehmen, indem sichergestellt wird, dass sowohl die technischen als auch die organisatorischen Aspekte des Risikomanagements angemessen berรผcksichtigt werden. Dies umfasst:
- KontrollumfeldDas COSO-Kontrollumfeld setzt die Weichen fรผr die Fรผhrungsspitze und stellt sicher, dass sich die Fรผhrungsebene fรผr Sicherheit, Verfรผgbarkeit, Verarbeitungsintegritรคt, Vertraulichkeit und Datenschutz einsetzt. Dies steht im Einklang mit dem TSC, der eine รberwachung der Kontrollen zum Schutz von Systemen und Daten durch die oberste Fรผhrungsebene vorschreibt.
- RisikobewertungSowohl TSC als auch COSO betonen die Bedeutung von Risikobewertungen. Die Sicherheits- und Datenschutzkriterien von TSC verpflichten Unternehmen, Risiken fรผr vertrauliche Informationen zu identifizieren und zu minimieren, wรคhrend die Risikobewertungskomponente von COSO sicherstellt, dass finanzielle, betriebliche und Compliance-Risiken ordnungsgemรคร identifiziert, bewertet und gemanagt werden.
- Kontrollaktivitรคten. Die Kontrollaktivitรคten des COSO stellen sicher, dass Richtlinien und Verfahren zur Bewรคltigung identifizierter Risiken vorhanden sind. Dies unterstรผtzt das TSC direkt, insbesondere in Bereichen wie Verarbeitungsintegritรคt und Vertraulichkeit, wo detaillierte Prozesse entwickelt werden mรผssen, um die korrekte Verarbeitung von Daten und den Schutz vertraulicher Informationen zu gewรคhrleisten.
- Information und Kommunikation. Beide Rahmenwerke betonen die Bedeutung einer effektiven Kommunikation relevanter Informationen im gesamten Unternehmen. Die Datenschutz- und Sicherheitskriterien des TSC verlangen eine klare und transparente Kommunikation von Informationen zum Umgang mit Daten, wรคhrend die Komponente des COSO die Rolle der Kommunikation bei der Verwaltung interner Kontrollen und der Gewรคhrleistung der Rechenschaftspflicht betont.
- Netzwerk PerformanceDie รberwachungskomponente von COSO stellt sicher, dass die internen Kontrollen kontinuierlich evaluiert und verbessert werden. Dies entspricht den Anforderungen des TSC an die kontinuierliche รberwachung von Kontrollen, insbesondere in Bereichen wie Sicherheit und Verfรผgbarkeit, um sicherzustellen, dass die Systeme sicher, zugรคnglich und frei von Schwachstellen bleiben.
Kriterien fรผr Vertrauensdienste in SOC 2
Im Kontext von SOC 2 sind TSC die Standards, die zur Beurteilung und Bewertung der von Serviceorganisationen implementierten Kontrollen zum Schutz sensibler Daten, zur Gewรคhrleistung der Systemzuverlรคssigkeit und zum Schutz der Privatsphรคre verwendet werden.
SOC 2 ist ein Rahmenwerk, das in erster Linie zur Bewertung der Sicherheit, Verfรผgbarkeit, Verarbeitungsintegritรคt, Vertraulichkeit und Privatsphรคre der Systeme und Daten eines Unternehmens verwendet wird. Anhand dieser Kriterien lรคsst sich feststellen, ob die Kontrollen des Unternehmens bestimmte Anforderungen zum Schutz vertraulicher Informationen erfรผllen und die Erwartungen seiner Kunden und Stakeholder erfรผllen.
SOC 2-Berichte werden typischerweise von Technologieunternehmen verwendet, insbesondere von solchen, die cloud-basiert bzw SaaS (Software-as-a-Service) Lรถsungen, um ihr Engagement fรผr die Einhaltung hรถchster Standards in Bezug auf Datenschutz, Privatsphรคre und Sicherheit zu demonstrieren.
Die fรผnf Vertrauensdienstekriterien in SOC 2 sind:
- Security. Das Kriterium Sicherheit konzentriert sich auf den Schutz der Systeme vor unberechtigtem Zugriff, Cyber-Angriffeund andere Formen des Eindringens. Es bewertet, ob die Systeme und Daten einer Organisation sowohl vor internen als auch vor externen Bedrohungen geschรผtzt sind. Wichtige Sicherheitsmaรnahmen kรถnnen sein: Firewalls, Verschlรผsselung, Einbrucherkennungssystemund andere technische Kontrollen, die unbefugten Zugriff oder Datenรคnderungen verhindern.
- VerfรผgbarkeitDieses Kriterium bewertet, ob die Systeme und Dienste der Organisation fรผr den vorgesehenen Betrieb und die vorgesehene Nutzung verfรผgbar sind. Es beurteilt die Fรคhigkeit der Organisation, die Verfรผgbarkeit aufrechtzuerhalten und Service-Level-Vereinbarungen einzuhalten. Dies ist entscheidend fรผr Kunden, die fรผr ihren eigenen Betrieb auf die Verfรผgbarkeit von Diensten angewiesen sind, wie beispielsweise in cloud Hosting- oder SaaS-Lรถsungen.
- VerarbeitungsintegritรคtDie Verarbeitungsintegritรคt stellt sicher, dass Systeme Daten korrekt, vollstรคndig und zeitnah verarbeiten. Dieses Kriterium bewertet, ob die Systemprozesse korrekt funktionieren und die gewรผnschten Ergebnisse liefern. Dies ist fรผr Kunden, die auf die Zuverlรคssigkeit der verarbeiteten Informationen angewiesen sind, von entscheidender Bedeutung. Dies kann die Validierung der Transaktionsgenauigkeit, die zeitnahe Verarbeitung und die ordnungsgemรครe Fehlerbehandlung umfassen.
- VertraulichkeitDas Vertraulichkeitskriterium konzentriert sich auf den Schutz sensibler Informationen vor unbefugtem Zugriff oder Offenlegung. Es bewertet die Fรคhigkeit des Unternehmens, vertrauliche Daten wie geistiges Eigentum, Geschรคftsgeheimnisse und personenbezogene Daten gemรคร Datenschutzgesetzen und vertraglichen Verpflichtungen zu schรผtzen. Dies kann Verschlรผsselung, sichere Speicherung und eingeschrรคnkte Zugriffsprotokolle umfassen.
- DatenschutzDas Datenschutzkriterium stellt sicher, dass personenbezogene Daten in รbereinstimmung mit den einschlรคgigen Datenschutzgesetzen erhoben, verwendet, aufbewahrt, offengelegt und entsorgt werden, wie beispielsweise dem DSGVO oder CCPA. Es stellt sicher, dass Organisationen Verfahren implementieren, die personenbezogene Daten schรผtzen, die Datenschutzrechte des Einzelnen wahren und gleichzeitig gesetzliche und behรถrdliche Anforderungen einhalten.
Kriterien fรผr Vertrauensdienste und andere Compliance-Frameworks
Hier ist ein Vergleich des in SOC 2 verwendeten TSC mit anderen gรคngigen Compliance-Frameworks:
| Compliance-Framework | Schlรผsselbereiche/Kriterien | Setzen Sie mit Achtsamkeit | Typische Anwendungsfรคlle |
| SOC 2 (Kriterien fรผr Vertrauensdienste) | Sicherheit, Verfรผgbarkeit, Verarbeitungsintegritรคt, Vertraulichkeit, Datenschutz | Bewertet die Wirksamkeit interner Kontrollen in Bezug auf Sicherheit, Datenschutz, Verfรผgbarkeit und Datenintegritรคt fรผr Serviceorganisationen | Cloud Dienstleister, SaaS-Unternehmen, IT-Dienstleister |
| SOC 1 | Kontrollziele fรผr die Finanzberichterstattung (keine Vertrauenskriterien) | Konzentriert sich auf Kontrollen im Zusammenhang mit der Finanzberichterstattung, insbesondere fรผr Benutzerorganisationen, die auf ausgelagerte Dienste angewiesen sind | Ausgelagerte Finanzdienstleistungen, Lohn- und Gehaltsabrechnungsdienste sowie Buchhaltungsfirmen |
| ISO / IEC 27001 | Informationssicherheit Managementsystem (ISMS) | Konzentriert sich auf den Aufbau, die Implementierung und die Aufrechterhaltung eines Informationssicherheits-Managementsystems (ISMS) | Unternehmen, die ein umfassendes Informationssicherheitssystem benรถtigen |
| HIPAA (Gesetz zur Portabilitรคt und Rechenschaftspflicht von Krankenversicherungen) | Sicherheit, Datenschutz, Meldung von Verstรถรen, Durchsetzung | Konzentriert sich auf den Schutz der Privatsphรคre und Sicherheit von Gesundheitsinformationen im US-Gesundheitswesen | Gesundheitsorganisationen, Gesundheitsdienstleister, Krankenkassen |
| DSGVO (Allgemeine Datenschutzverordnung) | Datenschutz | Schรผtzt die personenbezogenen Daten und die Privatsphรคre von Personen innerhalb der Europรคischen Union | Unternehmen, die personenbezogene Daten von EU-Bรผrgern verarbeiten, multinationale Konzerne |
| PCI DSS (Payment Card Industry Data Security Standard) | Datenschutz, Netzwerksicherheit, รberwachung und Zugriffskontrolle | Konzentriert sich auf die Sicherung von Zahlungskarteninformationen und die Gewรคhrleistung sicherer Transaktionen fรผr Karteninhaber | E-Commerce-Plattformen, Hรคndler, Zahlungsabwickler, Finanzinstitute |
| NIST Cybersecurity Framework | Identifizieren, Schรผtzen, Erkennen, Reagieren, Wiederherstellen | Bietet einen risikobasierten Ansatz zur Verbesserung der Cybersicherheitsinfrastruktur und -resilienz | Regierungsstellen, kritische Infrastrukturen und Unternehmen, die umfassende Beratung zur Cybersicherheit suchen |
| FISMA (Federal Information Security Modernization Act) | Sicherheit und Privatsphรคre | Der Schwerpunkt liegt auf der Gewรคhrleistung des Schutzes der Informationssysteme und Daten des Bundes | US-Bundesbehรถrden, Auftragnehmer und Einrichtungen, die mit Bundesdaten arbeiten |
| CSA STAR (Cloud Security Alliance Sicherheits-, Vertrauens- und Assurance-Register) | Sicherheit, Datenschutz, Governance, Risiko und Compliance | Cloud Sicherheitsstandards, die sich auf die Sicherheitslage von cloud Anbieter und das Vertrauen, das sie bei Kunden aufbauen | Cloud Anbieter, Unternehmen, die cloud Leistungen |
Beispiele fรผr Kriterien fรผr Vertrauensdienste
Hier sind einige Beispiele fรผr die Anwendung der TSC in verschiedenen Szenarien:
- Security. Ein Online-Zahlungsprozessor implementiert Multi-Faktor-Authentifizierung fรผr Benutzer und Administratoren. Dadurch wird sichergestellt, dass nur autorisierte Personen auf vertrauliche Zahlungsinformationen und Verarbeitungssysteme zugreifen kรถnnen. Das Risiko unbefugter Zugriffe oder Cyberangriffe wird dadurch verringert.
- Verfรผgbarkeit. A cloud Hosting-Anbieter setzt eine automatisierte backup und Notfallwiederherstellung Lรถsung mit einem SLA von 99.9 % Verfรผgbarkeit. Dies garantiert, dass die Websites und Daten der Kunden auch bei unerwarteten Systemausfรคllen oder Katastrophen immer verfรผgbar sind, wodurch Ausfallzeiten und Serviceunterbrechungen minimiert werden.
- Verarbeitungsintegritรคt. Ein Anbieter von Kundensupport-Software stellt sicher, dass alle Kundenanfragen automatisch erfasst und innerhalb weniger Minuten an das entsprechende Support-Team weitergeleitet werden. Das System bietet Echtzeit Aktualisierungen und Bestรคtigungen, um die Datengenauigkeit und die rechtzeitige Bearbeitung von Kundenanfragen sicherzustellen.
- Vertraulichkeit. Eine Anwaltskanzlei nutzt Verschlรผsselung, um vertrauliche Mandantendaten in ihrer Datenbank zu schรผtzen. Der Zugriff auf vertrauliche Dokumente ist zudem nur autorisierten Mitarbeitern gestattet. So wird sichergestellt, dass Rechtsdokumente und Mandantenkommunikation nicht unbefugten Dritten zugรคnglich sind.
- Privatsphรคre. Ein Gesundheitsdienstleister erhebt persรถnliche Gesundheitsdaten (PHI) von Patienten, wendet jedoch strenge Verfahren zur Datenverarbeitung an. Dazu gehรถrt die Verschlรผsselung von PHI sowohl wรคhrend der รbertragung als auch im Ruhezustand sowie die Mรถglichkeit fรผr Patienten, auf ihre Daten zuzugreifen und sie zu lรถschen, um Datenschutzbestimmungen wie HIPAA einzuhalten.
Warum sind Kriterien fรผr Vertrauensdienste wichtig?
Kriterien fรผr Vertrauensdienste sind wichtig, da sie Unternehmen eine strukturierte und standardisierte Mรถglichkeit bieten, ihr Engagement fรผr die Sicherung und Verwaltung von Daten, die Gewรคhrleistung zuverlรคssiger Dienste und den Schutz der Kundendaten zu demonstrieren. Hier sind einige wichtige Grรผnde, warum TSC so wichtig sind:
- Baut Vertrauen bei Kunden und Stakeholdern auf. Organisationen, die die Kriterien fรผr Vertrauensdienste erfรผllen, zeigen ihr Engagement fรผr den Schutz sensibler Informationen und die Aufrechterhaltung der Betriebssicherheit. Dies fรถrdert das Vertrauen bei Kunden, Partnern und Stakeholdern, was fรผr das Unternehmenswachstum und die Kundenbindung von entscheidender Bedeutung ist.
- Verbessert den Datenschutz und die Sicherheit. Die Kriterien unterstรผtzen Unternehmen bei der Implementierung robuster Sicherheitsmaรnahmen zum Schutz ihrer Daten vor unbefugtem Zugriff, Cyberangriffen und Datendiebstahl. Durch die Fokussierung auf Sicherheits- und Vertraulichkeitsaspekte stellt TSC sicher, dass sensible Informationen angemessen geschรผtzt sind.
- Unterstรผtzt die Einhaltung gesetzlicher Vorschriften. Viele regulatorische Rahmenbedingungen, wie die DSGVO, HIPAAsowie PCI DSS, รผberschneiden sich mit den im TSC festgelegten Kriterien. Die Einhaltung dieser Standards hilft Unternehmen, gesetzliche und regulatorische Anforderungen zu erfรผllen und reduziert das Risiko von Verstรถรen und mรถglichen Strafen.
- Mindert Betriebsrisiken. Durch den Fokus auf Verfรผgbarkeit und Verarbeitungsintegritรคt stellt TSC sicher, dass die Systeme belastbar, prรคzise und bei Bedarf verfรผgbar sind. Dies minimiert das Risiko von Systemausfรคllen, Datenfehlern oder Serviceunterbrechungen, die den Geschรคftsbetrieb und die Kundenzufriedenheit beeintrรคchtigen kรถnnten.
- Verbessert die betriebliche Effizienz. Die Implementierung von TSC hilft Unternehmen, ihre Prozesse zu optimieren, Schwachstellen zu identifizieren und ihre Kontrollumgebung zu verbessern. Dies fรผhrt zu einem effizienteren Risikomanagement, reduziert Entlassungenund stellt sicher, dass die Ressourcen richtig zugewiesen werden, um die Systemintegritรคt aufrechtzuerhalten.
- Bietet einen Wettbewerbsvorteil. Die Einhaltung der Kriterien fรผr Vertrauensdienste zeigt, dass ein Unternehmen die Best Practices der Branche befolgt. Dies hebt ein Unternehmen in wettbewerbsintensiven Mรคrkten hervor, da Kunden eher Dienstleister wรคhlen, die priorisieren data security, Datenschutz und Betriebszuverlรคssigkeit.
- Reduziert das Risiko von Datenschutzverletzungen und rechtlichen Haftungen. Da Datenschutz und Vertraulichkeit Kernbestandteile des TSC sind, sind Unternehmen besser gerรผstet, Kundendaten vor Datendiebstรคhlen zu schรผtzen. Durch die Einhaltung dieser Kriterien minimieren Unternehmen das Risiko kostspieliger Datendiebstahls, Klagen und Reputationsschรคden.
- Ermรถglicht transparentes Reporting. Die Einhaltung des TSC wird hรคufig durch externe Audits, beispielsweise SOC 2-Berichte, รผberprรผft. Diese Bewertungen durch Dritte sorgen fรผr Transparenz und eine unabhรคngige Validierung des Datenschutz-Engagements eines Unternehmens und bieten Kunden und Investoren Sicherheit.
Wer verwaltet die Kriterien fรผr Vertrauensdienste?
Die Kriterien fรผr Treuhanddienste werden vom American Institute of Certified Public Accountants (AICPA) verwaltet. Das AICPA ist eine Berufsorganisation, die Standards fรผr Wirtschaftsprรผfung, Rechnungslegung und Berichterstattung in den Vereinigten Staaten festlegt.
Das AICPA hat die Kriterien fรผr Vertrauensdienste als Teil des SOC-Frameworks entwickelt, das die Berichte SOC 1, SOC 2 und SOC 3 umfasst. Diese Kriterien werden vom AICPA regelmรครig รผberprรผft und aktualisiert, um sie an sich entwickelnde Branchenstandards, technologische Fortschritte und regulatorische Anforderungen anzupassen. Der TSC dient als Grundlage fรผr die Bewertung der Kontrollen von Serviceorganisationen hinsichtlich Sicherheit, Verfรผgbarkeit, Verarbeitungsintegritรคt, Vertraulichkeit und Datenschutz, insbesondere im Rahmen von SOC 2- und SOC 3-Audits.
Durch Konsultationen mit Branchenexperten und Interessenvertretern stellt das AICPA sicher, dass die Kriterien weiterhin relevant sind. So kรถnnen Unternehmen die Einhaltung bewรคhrter Verfahren nachweisen und den Schutz vertraulicher Daten und die Systemintegritรคt gewรคhrleisten.
Wie oft sollten die Kriterienkontrollen fรผr Vertrauensdienste aktualisiert werden?
Die Kontrollen der Vertrauensdienstekriterien sollten regelmรครig aktualisiert werden, um sicherzustellen, dass sie wirksam bleiben und den sich entwickelnden Sicherheits-, Datenschutz- und regulatorischen Standards entsprechen. Die Hรคufigkeit der Aktualisierungen hรคngt jedoch von verschiedenen Faktoren ab, wie z. B. รnderungen in den Systemen des Unternehmens, neu auftretenden Bedrohungen und รnderungen der regulatorischen Anforderungen. Hier sind einige Richtlinien fรผr die รberprรผfung und Aktualisierung von Kontrollen:
- Laufende รberwachung und Aktualisierungen. Die Kontrollen sollten kontinuierlich รผberwacht werden, und etwaige Lรผcken oder Ineffizienzen sollten eine รberprรผfung auslรถsen. Regelmรครige interne Audits, automatisiertes Monitoring und die Erfassung von Bedrohungsdaten helfen dabei, Bereiche zu identifizieren, in denen die Kontrollen mรถglicherweise hรคufiger aktualisiert werden mรผssen.
- Jahresrรผckblick. Es wird empfohlen, dass Unternehmen ihre TSC-Kontrollen mindestens einmal jรคhrlich รผberprรผfen, um sicherzustellen, dass sie den aktuellen Branchenstandards und sich entwickelnden Bedrohungen entsprechen. Eine jรคhrliche รberprรผfung hilft Unternehmen, sich proaktiv an neue Risiken, Technologien und Compliance-Anforderungen anzupassen. Sie stellt auรerdem sicher, dass sich alle รnderungen im Geschรคfts- oder Betriebsumfeld in den Kontrollen widerspiegeln.
- Nach groรen Verรคnderungen. Wenn eine Organisation ein grรถรeres System-Upgrade durchfรผhrt, รคndert sich die Architektur (z. B. Umzug in die cloud) oder eine Aktualisierung kritischer Infrastrukturen ist es wichtig, die Kontrollen zu รผberprรผfen und gegebenenfalls zu aktualisieren. Auch bei einer Fusion oder รbernahme eines anderen Unternehmens sollten die bestehenden Kontrollen รผberprรผft werden, um die Integration in die neuen Geschรคftsprozesse sicherzustellen.
- Nach regulatorischen oder gesetzlichen รnderungen. รnderungen der Datenschutzgesetze (zB DSGVO, CCPA) oder Branchenvorschriften (z. B. HIPAA, PCI DSS) kรถnnen Aktualisierungen der Kontrollen der Organisation erforderlich machen, um die fortlaufende Einhaltung der neuen rechtlichen Rahmenbedingungen sicherzustellen.
- Als Reaktion auf festgestellte Schwachstellen oder Sicherheitsvorfรคlle. Wird eine Schwachstelle entdeckt oder kommt es zu einem Datenleck, sollten die Kontrollen umgehend รผberprรผft werden, um sicherzustellen, dass geeignete Maรnahmen ergriffen werden, um รคhnliche Vorfรคlle in Zukunft zu verhindern. Diese รberprรผfung kรถnnte zu einer Verschรคrfung der Sicherheitsrichtlinien, der Einfรผhrung neuer รberwachungstools oder รnderungen der Datenverarbeitung fรผhren.
- Im Rahmen von SOC 2-Audits. Wenn eine Organisation einem SOC 2 Typ II-Audit unterzogen wird, bei dem die betriebliche Wirksamkeit von Kontrollen รผber einen bestimmten Zeitraum (normalerweise 6โ12 Monate) bewertet wird, empfiehlt es sich, die Kontrollen in Vorbereitung auf das Audit zu รผberprรผfen und gegebenenfalls zu aktualisieren. Beim SOC 2-Audit wird beurteilt, ob die Kontrollen der Organisation effektiv konzipiert und betrieben werden. Daher ist es wichtig, vor dem Audit sicherzustellen, dass die Kontrollen aktuell und umfassend sind.
