SSAE-Konformität

SSAE-Konformität, auch bekannt als Statement on Standards for Attestation Engagements and Compliance, ist eine Sammlung von Prüfungsstandards und -richtlinien unter Verwendung von Standards, die vom Auditing Standards Board (ASB) des American Institute of Certified Public Accountants (AICPA) veröffentlicht wurden.

Diese Standards definieren, wie Dienstleistungsunternehmen über ihre Compliance-Kontrollen und -Prozesse berichten. SSAE 16 (SOC 1) wurde im April 2010 als Berichtsstandard für alle Aufzeichnungen von Service-Auditoren veröffentlicht und ersetzte die Erklärung zu den Prüfungsstandards Nr. 70. Wenn Sie vertraut sind mit SOC 1 Audits sind Sie höchstwahrscheinlich mit SSAE 16 vertraut. Leider wies SSAE 16 eine Reihe von Schwachstellen auf und wurde am 1. Mai 2017 durch SSAE 18 ersetzt, das diese Lücken schließen sollte.

SSAE 18 ist der aktuell verwendete Standard. Prüfer befolgen die SSAE 18-Vorgaben bei der Durchführung von SOC 1 bis 3-Bewertungen, unabhängig davon, ob es sich um Typ I (zeitpunktbezogene Bewertung der Kontrollen) oder Typ II (über einen Zeitraum von 9 bis 12 Monaten) handelt.

SSAE 18 führte wichtige Änderungen in der Behandlung von Sub-Service-Organisationen ein. Zuvor waren Kontrollen und Prüfungen von Sub-Service-Organisationen (ausgelagert oder als Subunternehmer) nicht Gegenstand des Audits, was zu kritischen Prüfungslücken führte.

Quellen: TechTarget, Otava

Verwandte Begriffe: SOC 1, SOC 2, SOC 3

Was bedeutet das für ein KMU?

KMUs sollten ein prüffähiges Cybersicherheitsprogramm mit Kontrollen für Zugriffsverwaltung, Least Privilege-Prinzip, Verantwortlichkeit, Schulung, Governance und Technologie entwickeln. Jeder dieser Bereiche benötigt Kontrollen und Prozesse, die prüfbare Artefakte produzieren. Dadurch bereitet sich jedes KMU auf eine externe Prüfung durch eine SSAE-18-Bewertung vor. Zunächst sollten Unternehmen eine SOC-1-Prüfung (Point-in-Time-Prüfung) ihrer Kontrollen durchführen. Dies ermöglicht die Behebung von Lücken und die Behebung von Mängeln mit geringerem Zeit- und Kostenaufwand. Nach einer erfolgreichen SOC-1-SSAE-18-Bewertung sollte ein KMU schnell auf SOC2 umsteigen, um die Funktionsfähigkeit der Prozesse im Laufe der Zeit zu validieren.

Ein KMU, das eine SSAE 18 SOC 2 Typ II-Bewertung erfolgreich besteht, sollte auch für andere Arten von Audits gut aufgestellt sein, obwohl es möglicherweise spezifische Vorschriften für HIPAA und PCI gibt, die über die bestehenden Kontrollen hinausgehen.

Die wichtigste Botschaft dieses Artikels über SSAE-Audits ist, dass die Überprüfung der Geschäftsprozesse und -kontrollen äußerst wertvoll ist. Sowohl NIST als auch CyberHoot empfehlen die Einrichtung eines Risikomanagement-Frameworks bei für Organisation. So stellen Sie sicher, dass Sie Ihre begrenzte und wertvolle Zeit und Ihr Geld für die wichtigsten Maßnahmen zur Risikominimierung einsetzen. Das ist gut investierte Zeit und Geld.

CyberHoot kann durch sein Richtlinien- und Prozessmanagement, Schulungsprogramme, Phishing-Tests und sogar die Bewertungen, die Sie zur Selbsteinschätzung vor der externen Bewertung verwenden können, eine wichtige Rolle bei der Vorbereitung von Unternehmen auf solche Audits spielen. E-Mail sales@cyberhoot.com um mehr zu erfahren!  

Um mehr über SSAE und die SOC-Audits zu erfahren, sehen Sie sich dieses kurze Video an:

Tun Sie genug, um Ihr Unternehmen zu schützen?

Melden Sie sich noch heute bei CyberHoot an und schlafen Sie besser, da Sie wissen,

Mitarbeiter sind im Cyberspace geschult und auf der Hut!

Jetzt anmelden!