Miksi ISO 27001 on parempi kuin?
SOC 2

Microsoft Toimittajan turvallisuus- ja yksityisyydensuoja (SSPA) Ohjelma edellyttää, että sen toimittajilla on käytössään riittävä suojaus- ja tietosuojaohjelma Microsoftin luottamuksellisten tietojen tai henkilötietojen käsittelemiseksi.

Joulukuusta 2021 lähtien Microsoft toteaa sen SSPA että se ei enää hyväksy SOC 2:ta raportit; sen sijaan ISO 27001 ja ISO 27701 on lueteltu vaatimuksina.

• Versio 7, julkaistu marraskuussa 2020 – SIVU 11, 14 & 15
• Katso liite A: SOC 2 -raportteja (turvallisuuden kattavina) ei hyväksytä joulukuun 2021 jälkeen
• Luottamuksellisten tietojen käsittely: Lähetä ISO 27001
• Henkilökohtaisten, luottamuksellisten tietojen käsittely: Lähetä ISO 27701 ja ISO 27001

Microsoftin ISO 27001:n ja ISO/IEC 27701:n "hyväksynnällä" on laajat seuraukset. Kun alan johtava tietoturvan ja tietosuojan alalla toimiva Microsoft, kuten Microsoft, virallisesti "hyväksyy" yhden standardin toistensa edelle tällä tavalla, muiden alan johtavien toimialojen on noudatettava. Tämä merkitsee merkittävää muutosta aiemmin hyväksytystä Yhdysvaltojen vaatimuksesta noudattaa SOC 2:ta.

Mikä on Toimittajan turvallisuus- ja yksityisyydenvarmistusohjelma (SSPA)?

Toimittajan turvallisuus- ja yksityisyydenvarmistusohjelma on Microsoftin yritysaloite varmistaakseen, että toimittajat noudattavat Microsoftin tiukkoja tietosuojavaatimuksia. Microsoftin toimittajan tietosuojavaatimukset ("DPR") ovat Microsoftin tietojenkäsittelyn perusohjeet toimittajille.

Microsoft Toimittajan tietosuojavaatimukset (MSDRP) kuvaavat Microsoftin tietojenkäsittelyohjeet, jotka toimitetaan Toimittajan turvallisuus- ja tietosuojaohjelman kautta Microsoftin luottamuksellisten tietojen ja/tai henkilötietojen kanssa työskenteleville toimittajille.

SSPA-ohjelma kattaa laajan joukon luottamuksellisia tietojenkäsittelytoimia, mukaan lukien tarkastusvastaukset ja raportointi; tietojen käytön hallinta; Tietoturvaloukkausten hallinta; kolmannen osapuolen riskienhallinta; tietosuojavaikutusten arvioinnit ja toimittajien tietosuojasertifikaatit. Pohjimmiltaan SSPA-ohjelma antaa ohjeita henkilötietojen käsittelyyn liittyvien riskien hallintaan ulkopuolisille osapuolille.

”SSPA varmistaa näiden vaatimusten noudattamisen vuosittaisen vaatimustenmukaisuussyklin kautta. uusille toimittajille työ ei voi alkaa ennen kuin tämä on valmis. Jos toimittaja käsittelee henkilötietoja ja/tai Microsoftin luottamuksellisia tietoja, hän tekee yhteistyötä yrityssponsorinsa kanssa liittyäkseen SSPA-ohjelmaan. Toimittajat voidaan myös valita antamaan riippumaton vakuutus suorittamalla DPR:n vastainen arviointi."

”Vahvat tietosuoja- ja turvallisuuskäytännöt ovat kriittisiä missiomme kannalta, välttämättömiä asiakkaiden luottamuksen kannalta ja useilla lain edellyttämillä lainkäyttöalueilla. Microsoftin tietosuoja- ja suojauskäytäntöihin sisältyvät standardit heijastavat arvojamme yrityksenä, ja ne ulottuvat toimittajiimme (kuten yritykseesi), jotka käsittelevät Microsoft-tietoja puolestamme."

Yhteenvetona voidaan todeta, että Microsoft Supplier Security and Privacy Assurance (SSPA) on yrityksen laajuinen ohjelma, joka takaa, että Microsoftin toimittajat ovat riittävän suojattuja tietoturvan ja yksityisyyden suhteen, jotta he voivat käsitellä henkilötietoja, tietoresursseja tai Microsoftin luottamuksellisia tietoja Microsoftin mukaisesti. politiikkaa.

Oletetaan, että Microsoft ei jo valtuuta uutta toimittajaa. Siinä tapauksessa sen on osoitettava noudattavansa Microsoftia ISO 27001- ja ISO 27701 -sertifioinneilla tai sen on läpäistävä SSPA-arviointi joltakin Microsoftin "Preferred Assessorista" ennen hyväksymistä. Microsoft vahvistaa palveluntarjoajiensa vaatimustenmukaisuuden vuosittain.

Miksi Microsoft on luopunut SOC 2:sta ISO:n hyväksi?

Microsoftin vahvistus ISO 27001 ja 27701 on ratkaiseva luottamuslause ISO 27001 ja 27701 -sertifikaattien hyödylle esittelemällä organisaatiosi kattavaa infosec- ja tietosuojaohjelmaa, joka on linjassa tärkeiden tietosuojalakien ja -säädösten kanssa, kuten GDPR, CCPA, POPIA, APPS ja APAC.

• SOC-vaatimustenmukaisuus ei ole kansainvälisesti tunnustettua, kun taas ISO-standardit ovat. On tärkeää huomauttaa, että ISO 27701 on edelleen ajan tasalla (julkaistu vuonna 2019), mikä tarkoittaa, että se on tiiviisti linjassa kansainvälisten tietosuojalakien ja -määräysten kanssa.
• SOC 2 -todistusta ei tarvitse hankkia riippumattomalta sertifiointielimeltä, mikä tarkoittaa, että se on avoimempi mahdolliselle epärehellisyydelle, joka muistuttaa oman kotitehtäväsi merkitsemistä.
• SOC 2 -raportti on yleensä pidempi kuin 100 sivua, ja kolmannet osapuolet eivät harvoin tarkastelevat sitä, koska ne ovat niin pitkiä.
• On tärkeää huomata, että SOC 2:n suorittamat auditoinnit voivat olla toimittajille työlästä, työlästä ja kallista.
• ISO 27001 -sertifikaatin pitäminen on halvempaa kuin SOC 2 -auditointitodistusohjelmien säännöllinen pitäminen ajan tasalla.
• ISO 27701 -sertifikaatin ylläpitokustannukset ovat huomattavasti alhaisemmat kuin SOC 2 Type 2 -sertifikaatin ja Privacy Trust Services Criteria -todistuksen ylläpitämisen.
• Sekä turvallisuuden että yksityisyyden hallinta yhtenä loogisena rakenteena ISO 27701 Privacy Information Management System (PIMS) -järjestelmässä on huomattavasti helpompaa kuin eri ohjelmien ajaminen rinnakkain.

Onko ISO 27001 parempi kuin SOC 2 -raportti?

Näiden kahden monimutkaisia ​​yksityiskohtia ja etuja on verrattu laajasti monissa artikkeleissa verkossa. Vastaus tähän kysymykseen on aina epätyydyttävä: "se riippuu", eli se riippuu siitä, missä olet suhteessa asiakkaisiisi.

Toisin sanoen neuvojen mukaan, jos suurin osa asiakkaistasi sijaitsee Yhdysvalloissa, sinun tulee käyttää SOC 2:ta. Jos suurin osa asiakkaistasi sijaitsee Yhdysvaltojen ulkopuolella, ISO 27001 olisi hyvä valinta. On pohjimmiltaan väärin ja tehotonta ylikansallisten organisaatioiden, SaaS-yritysten tai vastaavien noudattaa tätä neuvoa, koska se ei toimi.

Esimerkiksi SaaS-yrityksillä on lähes varmasti sekä kotimaisia ​​että kansainvälisiä asiakkaita; jos ei nyt, niin se on lähes varmasti etenemissuunnitelmassa lähitulevaisuudessa.

Lisäksi useimmat yritykset kansainvälistyvät toiminnassaan, minkä vuoksi sertifioinnista on tullut ylipäätään välttämättömyys. Lisäksi yritykset, jotka ylipäätään vaativat sertifikaatteja, kuten ISO 27001, toimivat usein joka tapauksessa kansainvälisesti.

Kriittinen kohta on kuitenkin seuraava. Olemme työskennelleet SaaS- ja vaatimustenmukaisuuden parissa maailmanlaajuisesti useiden vuosien ajan ISMS.onlinessa. Tietojemme mukaan emme ole kohdanneet tilannetta, jossa yritys olisi pyytänyt SOC 2:ta mutta hylännyt ISO 27001 -standardin, kun se heille tarjottiin.

Joten mikä on tärkein ero? Eikö toinen ole yhtä hyvä kuin toinen? No kyllä ​​ja ei. Kansainvälisesti on kuitenkin melko yleistä, että päinvastoin tapahtuu.

SOC 2:ssa on paikka joillekin Yhdysvaltoihin keskittyville organisaatioille, mutta älykäs raha on ISO 27001:n ja tarvittaessa ISO 27701:n hankkimisessa.

Suosittelemme siksi edelleen ISO 27001 yli SOC 2 -standardin jopa yhdysvaltalaisille yrityksille, joiden suurin osa asiakkaista on Yhdysvalloissa.

Miksi ISO 27001 on parempi valinta?

On tärkeää huomata, että SOC 2 -kehys perustuu viiteen luottamusperiaatteeseen. Näitä ovat turvallisuus, saatavuus, käsittelyn eheys, luottamuksellisuus ja yksityisyys.

Saadaksesi SOC 2 -raportin sinun tarvitsee vain ottaa käyttöön ensimmäinen, turvallisuus, organisaatiossasi. Loput ovat vain suositeltuja toimenpiteitä, joita voit tehdä tai olla ottamatta. Nämä toimenpiteet eivät vaikuta raporttiin, jos niitä ei ole toteutettu organisaatiossasi. Toisin sanoen se ei vaikuta raporttiisi, jos prosessisi eivät ole luottamuksellisia tai jos niitä ei käsitellä rehellisesti.

Ei ole epäilystäkään siitä, että tämä tekee SOC 2 -luottamuspalvelukriteereistä paljon joustavampia ja helpompia. Se jättää kuitenkin oven auki luonnolliselle taipumuksellemme haluta tehdä mahdollisimman vähän rastittaaksemme tämän vaatimustenmukaisuusruudun.

Voimme kaikki samaistua siihen, mutta se ei välttämättä tarkoita, että se olisi hyvä asia. Vaikka valitset ruudut, raportti, jonka lähetät tarkastajallesi prosessin lopussa, ei tarkoita, että prosessisi ovat turvallisia.

Monet yritykset päätyvät raportteihin, jotka ovat "valintaruutuharjoituksia", mutta eivät varsinaisesti "täytettyjä" tai vankkoja noudattamismekanismeja.

Toisin sanoen heidän raportit ovat epätäydellisiä, koska ne eivät osoita kaikkien viiden luottamuspalvelun periaatteen noudattamista SOC-tyypin i tai tyypin ii puitteissa.

Sitä vastoin ISO 27001 varmistaa, että organisaatiossasi käyttöönotetut kontrollit perustuvat organisaatiosi riskinarviointiin ja tietoturvavaatimuksiisi.

Kun tietoturvan hallintajärjestelmä on toteutettu asianmukaisesti, et pääse ilman hyvää syytä ilman kaikkia ISO 27001 -standardin mukaisia ​​ohjaimia toteuttamatta.

Turvallisuushallintasi koskevat aina turvallisuutta, saatavuutta, käsittelyn eheyttä, luottamuksellisuutta ja yksityisyyttä käyttöönottoprosessin aikana.

Varaa hetki miettiäksesi tätä hetki. Mitä tulee asiakkaidesi tietojen suojaamiseen, voidaanko sinun todella odottaa käsittelevän turvallisuutta käsittelemättä samanaikaisesti asiakkaiden tietojen eheyttä, luottamuksellisuutta ja yksityisyyttä?

Lisäksi saatavuus on asiakkaillesi tärkein tekijä, ja se on turvallisuuden jälkeen toiseksi tärkein asia.

Tämä on erityisen tärkeää suojattaessa henkilökohtaisia ​​tietoja, kuten luottokorttinumeroita ja sosiaaliturvatunnuksia. Olisi parasta, jos ryhdyit kaikkiin varotoimiin suojataksesi nämä tiedot varkauksilta tai hakkereiden tai muiden haitallisten osapuolten väärinkäytöltä.

Mitä tämä tarkoittaa yrityksellesi ja seuraaville vaiheille

ISO 27001:n tarjoamien lukuisten etujen vuoksi ISO 27001 ja 27701 ovat ilmeinen valinta, jos haluat ottaa käyttöön vankan tietoturvan valvontakehyksen etkä vain merkitä tietoturvaa, kyberturvallisuutta ja yksityisyyttä koskevia valintaruutuja.

ISMS:n käyttöönotto auttaa sinua saavuttamaan säännöstenmukaisuuden ja vähentämään rikkomusten, noudattamatta jättämisen tai vielä pahempaa riskiä. Se auttaa tunnistamaan haavoittuvuuksia ja heikkouksia organisaatiosi kyberturvallisuuden asennossa ennen kuin niistä tulee ongelma. Tämä voi estää mainevaurioita ja mahdollisia taloudellisia seuraamuksia/rangaistuksia.

ISO 27001 ohjaa parhaita käytäntöjä ja integroituu muihin standardeihin

Yksi ISO 27001:n pääkomponenteista on ISO Liite L, kuvaus yleisen hallintajärjestelmän vaatimuksista ja ominaisuuksista, joka kuvaa olennaisesti järjestelmän ominaisuuksia ja vaatimuksia. 

Tämän kohdan merkitystä ei voi yliarvioida. Hallintajärjestelmä yrityksellesi voi olla muutakin kuin tietovarojen ja yksityisyyden suojaaminen. ISMS edistää vahvoja liiketoimintakäytäntöjä ja parempaa yleistä organisaation suorituskykyä. Tämä puolestaan ​​auttaa sinua palvelemaan asiakkaitasi paremmin ja saavuttamaan liiketoimintatavoitteesi nopeammin ja tehokkaammin.

ISMS:n käyttöönoton avulla voit seurata nykyisiä käytäntöjä, mitata suorituskykyä ja kohdistaa parannettavia alueita ajan myötä. Se auttaa myös ylläpitämään kilpailuetua parantamalla asiakastyytyväisyyttä, optimoimalla liiketoimintaa ja tunnistamalla kasvumahdollisuuksia.

Vaikka ISO 27001 keskittyy tietoturvaan, liite L tarkoittaa, että se integroituu erittäin hyvin muihin ISO-standardeihin, jotka myös perustuvat liitteeseen L. Osana yleistä hallintajärjestelmän kehittämistä ja parantamista saatat haluta esitellä nämä standardit myöhemmin. Päivämäärä. ISO-standardeja on yli 50, mukaan lukien ISO 9001 laadunhallintaan ja ISO 22301 liiketoiminnan jatkuvuuden vuoksi.

Vaikka emme ehdota, että tarkastelet näitä standardeja, toistaiseksi asia on, että se on mahdollista. ISO-standardit ja ISMS.onlinen Integrated Management System (IMS) -alusta tarjoavat päivityspolun, joten sinun ei tarvitse ostaa uusia ohjelmistoja. Siilon runko, kuten SOC 2, ei tarjoa tätä etua.

ISO 27001 maksaa vähemmän

On yleinen väärinkäsitys, että ISO 27001 -standardin käyttöönotto on kalliimpaa kuin SOC 2 -toteutus. Itse asiassa ISO 27001 -sertifiointi on halvempaa toteuttaa ja ylläpitää kuin SOC 2 ja kohtuullisella marginaalilla.

ISO 27001 -auditointi keskittyy tietoturvan hallintajärjestelmän (ISMS) toimintaan liitteen A valvontatoimien asianmukaisen täytäntöönpanon varmistamiseksi, joten kustannukset ovat pienemmät kuin SOC 2 -auditointi. Näin ollen tarkastuksessa otetaan otoksia vain teknisistä (liite A) tarkastuksista. ISMS:n puuttumisen vuoksi SOC 2 -auditoinnit keskittyvät TSC-suojauksen valvontaan ISMS:n sijaan.

ISO-sertifioinnin merkittävä etu on, että se on kilpailukykyinen toimiala, joten voit helposti tehdä ostoksia parhaalla hinnalla.

Jotta voit suorittaa SOC 2 -tarkastuksen, sinun on löydettävä yritys, jolla on CPA-lisenssi (Certified Public Accountant), joka pystyy suorittamaan nämä auditoinnit. Etenkin Euroopassa hyvin harvat yritykset tekevät näin, ja ne, jotka tekevät, ovat yleensä suurempia asiantuntijapalveluyrityksiä, mikä tarkoittaa, että ne veloittavat enemmän.

Ylläpito- ja uudelleensertifiointikustannukset ja aikakehykset

Organisaatiot ovat vastuussa ISO-sertifiointinsa ylläpidosta valvonta-auditoinneilla, jotka suoritetaan vuosittain tai kuuden kuukauden välein organisaatiosi koosta ja laajuudesta riippuen vuosina 2 ja 3. Nämä lyhyemmät auditoinnit ovat edullisempia kuin ensimmäinen sertifioinnin auditointi. koska niiden suorittamiseen kuluu noin kolmannes ajasta. Neljännen vuoden aikana sinun on suoritettava täydellinen uudelleensertifiointi, ja auditointisykli alkaa uudelleen.

Osana SOC 2:ta tarvitset täyden vuositarkastuksen varmistaaksesi, että tilintarkastusyrityksen todistus pysyy voimassa. Vaikka sinun ei tarvitse käyttää samaa summaa kuin rekisteröityessäsi heihin ensimmäistä kertaa vuonna 1, päivitetty tarkastusraportti maksaa sinulle silti vähintään 10,000 XNUMX euroa.

Vastaavasti, jos oletetaan, että kaikki muu on sama, ISO 27001:llä on pitkällä aikavälillä alhaisempi hinta kuin SOC 2:lla.

Onko sinulla jo ISO 27001 -sertifioitu?

Jos sinulla on jo ISO 27001 -sertifikaatti, voit mukauttaa tietosuojaohjelmasi ISO 27701 -ohjeistuksen kanssa ja integroida sen ISMS-järjestelmääsi. Tämä päivitys tunnetaan nimellä Privacy Information Management System tai PIMS. Voit ostaa tietosuojastandardin ja muokata säätimiesi ja käytäntöjesi laajuutta sisällyttämällä siihen PIMS-ohjeet. Laajenna sertifiointialueesi kattamaan ISO 27701 myöhemmässä valvonta- tai uudelleensertifiointiauditoinnissasi yhdessä tarkastajasi kanssa.

Onko SOC 2 jo hyväksytty?

Siirtyminen SOC 2 -todistuksesta ISO 27001 -sertifiointiin on jonkin verran mukana, mutta se ei ole liian haastavaa. Sinun on hallittava riskejä tehokkaasti ISO 27001 -standardissa, joten käytössäsi olevat SOC 2 -suojaustoiminnot ovat todennäköisesti samat.

Sinun on dokumentoitava lähestymistapasi ja toimitettava se riippumattoman kolmannen osapuolen tarkastajalle hyväksyttäväksi ennen kuin saat sertifioinnin. Pienemmille organisaatioille ISMS.online tekee ISO 27001 -sertifioinnin helposti hallittavaksi talon sisällä ilman kolmannen osapuolen konsultin tukea.

Suuremmissa organisaatioissa ISMS-sertifiointiprosessin ulkoistaminen riippumattomalle kolmannelle osapuolelle ei ole harvinaista, koska se varmistaa ISMS-dokumentaation laadun ja puolueettomuuden. Sinun ei taaskaan tarvitse tehdä tätä ISMS.onlinen avulla, sillä Virtual Coach, Adapt, Adopt Add (AAA Framework) ja Assured Results Method (ARM) -menetelmämme varmistavat, että sinulla on tarvittava tuki sertifioinnin saavuttamiseen ensimmäistä kertaa.

Kaksois-SOC 2 -todistus ja ISO 27001 -sertifiointi tarkoittaa ensisijaisesti ISO 27001 ISMS:n kerrostamista olemassa olevien ohjausobjektien päälle ja joidenkin asiakirjojen muokkaamista vastaamaan eroja todistuskehyksissä. ISMS.online tarjoaa selkeän kartoituspolun ISO 27001:n ja SOC 2:n välillä, mikä yksinkertaistaa sekä sertifiointia että todistusta.

Onko jo SOC 2 -sertifioitu (mukaan lukien yksityisyys)?

Kuten edellisessä skenaariossa, sinun on myös siirrettävä tietosuojaohjelma ISO 27001 -standardiin SOC 2 -siirtymän ohella. Jälleen kerran SOC 2- ja ISO 27701 -kartoitus ISMS.onlinessa yksinkertaistaa siirtymistä näiden kahden välillä.

Ei SOC 2 -sertifioitu tai ISO 27001 -sertifioitu?

Niin kauan kuin sinulla on todistusta pyytävä asiakas, voit jatkaa vuosittaista SSPA-arviointia. Siirtyminen kohti ISO 27001- ja ISO 27701 -sertifiointia 12 kuukauden sisällä on suositeltavaa, jos sinun on todistettava turvallisuus ja vaatimustenmukaisuus muille sidosryhmille.

Voit keskittyä ISO 27001:een ensimmäisen vuoden aikana, jos rajoitat kaistanleveyttä ja/tai budjettia, ja sitten käsitellä ISO 27701:tä toisena vuonna, kun suoritat ensimmäistä valvontatarkastusta, jos sinulla on resurssit ja/tai budjetti siihen. .

Kuinka ISMS.online voi auttaa

Kuten aiemmin todettiin, Microsoft on hyväksynyt ISO 27001 -standardin SOC 2:n yli joulukuusta 2021 alkaen, ja vaikka tämä ei välttämättä tarkoita SOC 2:n oikea-aikaista lakkautumista, muut monikansalliset yritykset todennäköisesti seuraavat esimerkkiä vastaavien toimitusketjujensa vaatimusten kanssa.

ISMS.online valmistaa sinut ISO27001-sertifiointiin automatisoimalla monet siihen liittyvät tehtävät. Kun siirryt yrityksesi ISMS.online-palveluun, alustamme tarjoaa kartoitussuunnitelman, työkalut, viitekehykset, käytännöt, ohjausobjektit, käyttökelpoisen dokumentaation ja ohjeet, joiden avulla voit täyttää kaikki ISO 27001 -vaatimukset ja SOC 2 -ohjaukset.

Napsauta tästä päästäksesi varaa esittely.