De Microsoft Leveranciersbeveiliging en privacygarantie (SSPA) programma vereist dat haar leveranciers over een adequaat beveiligings- en privacyprogramma beschikken om vertrouwelijke gegevens of persoonlijke gegevens van Microsoft te verwerken.
Vanaf december 2021 heeft Microsoft staat in zijn SSPA dat het SOC 2 niet langer accepteert rapporten; in plaats daarvan worden ISO 27001 en ISO 27701 vermeld als vereisten.
- Versie 7, gepubliceerd in november 2020 – PAGINA 11, 14 & 15
- Zie bijlage A: SOC 2-rapporten (met beveiligingsdekking) worden na december 2021 niet geaccepteerd
- Vertrouwelijke gegevensverwerking: ISO 27001 indienen
- Persoonlijke, vertrouwelijke gegevensverwerking: ISO 27701 en ISO 27001 indienen
De “goedkeuring” door Microsoft van ISO 27001 en ISO/IEC 27701 heeft brede implicaties. Wanneer een marktleider op het gebied van gegevensbeveiliging en privacy, zoals Microsoft, op deze manier formeel de ene standaard boven de andere ‘onderschrijft’, is het de taak van andere marktleiders in de sector om dit te volgen. Dit markeert een aanzienlijke verschuiving ten opzichte van de eerder aanvaarde Amerikaanse eis om te voldoen aan SOC 2.
Wat is het Supplier Security and Privacy Assurance (SSPA)-programma?
Het Supplier Security and Privacy Assurance Program is een bedrijfsinitiatief van Microsoft om ervoor te zorgen dat leveranciers voldoen aan de strenge eisen van Microsoft op het gebied van gegevensbescherming. De Microsoft Leveranciersgegevensbeschermingsvereisten (“DPR”) zijn de basisinstructies voor gegevensverwerking van Microsoft voor leveranciers.
In de Microsoft Supplier Data Protection Requirements (MSDRP) worden de gegevensverwerkingsinstructies van Microsoft beschreven, die via het Supplier Security & Privacy Assurance Program worden verstrekt aan leveranciers die werken met vertrouwelijke gegevens en/of persoonlijke gegevens van Microsoft.
Het SSPA-programma omvat een breed scala aan vertrouwelijke gegevensverwerkingsactiviteiten, waaronder auditrespons en rapportage; beheer van gegevenstoegang; beheer van informatiebeveiligingsincidenten; risicobeheer door derden; privacy-impactbeoordelingen en certificeringen voor de privacy van leveranciersgegevens. In wezen biedt het SSPA-programma richtlijnen voor het beheren van risico's die verband houden met de verwerking van persoonsgegevens voor externe partijen.
“De SSPA stimuleert de naleving van deze vereisten via een jaarlijkse compliancecyclus; voor nieuwe leveranciers kunnen de werkzaamheden pas beginnen als deze klaar zijn. Als een leverancier Persoonsgegevens en/of Vertrouwelijke gegevens van Microsoft verwerkt, zal hij samenwerken met zijn bedrijfssponsor om zich in te schrijven voor het SSPA-programma. Leveranciers kunnen ook worden geselecteerd om onafhankelijke zekerheid te bieden door een beoordeling aan de hand van de DPR te voltooien.”
“Sterke privacy- en beveiligingspraktijken zijn van cruciaal belang voor onze missie, essentieel voor het vertrouwen van klanten, en in verschillende rechtsgebieden vereist door de wet. De normen die zijn vastgelegd in het privacy- en beveiligingsbeleid van Microsoft weerspiegelen onze waarden als bedrijf, en deze strekken zich uit tot onze leveranciers (zoals uw bedrijf) die namens ons Microsoft-gegevens verwerken.”
Samenvattend is Microsoft Supplier Security and Privacy Assurance (SSPA) een bedrijfsbreed programma dat ervoor zorgt dat Microsoft-leveranciers voldoende worden beschermd op het gebied van informatiebeveiliging en privacy, zodat ze persoonlijke gegevens, informatiemiddelen of vertrouwelijke gegevens van Microsoft mogen verwerken in overeenstemming met Microsoft beleid.
Stel dat Microsoft nog geen nieuwe leverancier autoriseert. In dat geval moet het de naleving aan Microsoft aantonen via ISO 27001- en ISO 27701-certificeringen of een SSPA-beoordeling ondergaan door een van de “Preferred Assessors” van Microsoft voordat het wordt goedgekeurd. Microsoft valideert jaarlijks de naleving van zijn providers.
Waarom heeft Microsoft SOC 2 laten vallen ten gunste van ISO?
De bevestiging door Microsoft van ISO 27001 & 27701 is een beslissende blijk van vertrouwen in het voordeel van ISO 27001 & 27701-certificeringen om het uitgebreide infosec- en privacyprogramma van uw organisatie onder de aandacht te brengen, in lijn met belangrijke privacywetten en -regelgeving zoals GDPR, CCPA, POPIA, APPS en APAC.
- SOC-naleving wordt niet internationaal erkend, terwijl ISO-normen dat wel zijn. Het is belangrijk om erop te wijzen dat ISO 27701 nog steeds actueel is (gepubliceerd in 2019) en daarmee nauw aansluit bij de internationale privacywet- en regelgeving.
- Een SOC 2-attest hoeft niet te worden verkregen van een onafhankelijke certificeringsinstantie, wat betekent dat deze meer openstaat voor de mogelijkheid van een mate van oneerlijkheid die vergelijkbaar is met het nakijken van uw eigen huiswerk.
- Een SOC 2-rapport is doorgaans langer dan 100 pagina's en derden besteden er zelden aandacht aan omdat het zo lang is.
- Het is belangrijk op te merken dat de audits die door SOC 2 worden uitgevoerd lastig, vervelend en duur kunnen zijn voor leveranciers.
- Het behouden van de ISO 27001-certificering is goedkoper dan het regelmatig up-to-date houden van SOC 2-auditattestatieprogramma's.
- De kosten voor het behouden van een ISO 27701-certificering zijn aanzienlijk lager dan die voor het behouden van een SOC 2 Type 2 met Privacy Trust Services Criteria-attest.
- Het beheer van zowel beveiliging als privacy als één logisch construct binnen een ISO 27701 Privacy Information Management System (PIMS) is aanzienlijk eenvoudiger dan het naast elkaar draaien van verschillende programma's.
Is ISO 27001 beter dan een SOC 2-rapport?
De ingewikkelde details en voordelen van de twee zijn in veel online artikelen uitgebreid vergeleken. Het antwoord op deze vraag is altijd onbevredigend: “het hangt ervan af”, wat betekent dat het afhangt van waar u zich bevindt ten opzichte van uw klanten.
Met andere woorden, zoals het advies luidt: als de meeste van uw klanten zich in de Verenigde Staten bevinden, moet u voor SOC 2 kiezen. Als de meeste van uw klanten zich buiten de Verenigde Staten bevinden, dan zou ISO 27001 een goede keuze zijn. Het is fundamenteel onjuist en ineffectief voor transnationale organisaties, SaaS-bedrijven en dergelijke om dit advies op te volgen, aangezien het niet werkt.
SaaS-bedrijven zullen bijvoorbeeld vrijwel zeker een mix van binnenlandse en internationale klanten hebben; zo niet nu, dan staat het vrijwel zeker op de routekaart in de nabije toekomst.
Bovendien worden de meeste bedrijven steeds internationaler in hun activiteiten, waardoor een dergelijke certificering in de eerste plaats een noodzaak is geworden. Bovendien opereren de bedrijven die in de eerste plaats certificeringen zoals ISO 27001 eisen, vaak toch internationaal.
Het kritische punt is echter het volgende. Bij ISMS.online werken we al vele jaren wereldwijd in SaaS en compliance. Voor zover wij weten zijn wij nog geen situatie tegengekomen waarin een bedrijf SOC 2 had aangevraagd, maar ISO 27001 had afgewezen toen het hen werd aangeboden.
Wat is het belangrijkste verschil? Is het een niet net zo goed als het ander? Nou ja en nee. Internationaal is het echter vrij gebruikelijk dat het tegenovergestelde gebeurt.
SOC 2 zal plaats bieden aan een aantal op de VS gerichte organisaties, maar het slimme geld zit in het verkrijgen van ISO 27001 en waar nodig ISO 27701.
Onze aanbeveling is daarom nog steeds ISO 27001 boven SOC 2, zelfs voor in de VS gevestigde bedrijven, waarvan de meeste klanten in de VS zijn gevestigd.
Waarom ISO 27001 de betere keuze is
Het is belangrijk op te merken dat het SOC 2-framework gebaseerd is op vijf vertrouwensprincipes. Dit zijn beveiliging, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy.
Om een SOC 2-rapport te krijgen, hoeft u alleen het eerste, namelijk beveiliging, in uw organisatie te implementeren. De rest zijn slechts aanbevolen maatregelen die u wel of niet kunt nemen. Deze maatregelen hebben geen invloed op uw melding als ze niet binnen uw organisatie worden geïmplementeerd. Met andere woorden: uw melding heeft geen gevolgen als uw processen niet vertrouwelijk zijn of niet op een integere manier worden afgehandeld.
Het lijdt geen twijfel dat dit de criteria voor SOC 2-vertrouwensdiensten veel flexibeler en eenvoudiger maakt. Het laat echter wel de deur open voor onze natuurlijke neiging om het minimum te willen doen om dat vakje aan te vinken.
We kunnen ons er allemaal mee identificeren, maar dat betekent niet noodzakelijkerwijs dat het een goede zaak is. Ook al vinkt u vakjes aan, het rapport dat u aan het einde van het proces aan uw auditor indient, betekent niet dat uw processen veilig zijn.
Veel bedrijven eindigen met rapporten die 'aanvinkvakjes' zijn, maar niet echt 'afgerond' of robuuste nalevingsmechanismen.
Met andere woorden, hun rapporten zijn onvolledig omdat ze niet de naleving aantonen van alle vijf de principes van vertrouwensdiensten binnen het SOC type i- of type ii-framework.
ISO 27001 zorgt er daarentegen voor dat de in uw organisatie geïmplementeerde controles gebaseerd zijn op een risicobeoordeling van uw organisatie en uw informatiebeveiligingseisen.
Met de juiste implementatie van een managementsysteem voor informatiebeveiliging kunt u er niet zonder goede reden mee wegkomen als u niet alle controles binnen ISO 27001 implementeert.
Uw beveiligingscontroles zullen tijdens het implementatieproces altijd betrekking hebben op beveiliging, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy.
Neem even de tijd om hier even over na te denken. Als het gaat om het beschermen van de informatie van uw klanten, kan er dan echt van u worden verwacht dat u de beveiliging aanpakt zonder tegelijkertijd rekening te houden met de integriteit, vertrouwelijkheid en privacy van klantgegevens?
Bovendien is beschikbaarheid de belangrijkste factor voor uw klanten, die na veiligheid op de tweede plaats komt als het gaat om hun prioriteiten.
Dit is vooral belangrijk bij het beschermen van persoonlijke gegevens, zoals creditcardnummers en burgerservicenummers. Het beste is als u alle voorzorgsmaatregelen neemt om deze informatie te beschermen tegen diefstal of misbruik door hackers of andere kwaadwillende partijen.
Wat dit betekent voor uw bedrijf en volgende stappen
Vanwege de talrijke voordelen die ISO 27001 biedt, zijn ISO 27001 en 27701 de voor de hand liggende keuze(s) als u een robuust controlekader voor informatiebeveiliging wilt implementeren en niet alleen maar vinkjes op het gebied van informatiebeveiliging, cyberveiligheid en privacy.
Het implementeren van een ISMS zal u in grote mate helpen bij het bereiken van naleving van de regelgeving en het beperken van de risico's op inbreuken, niet-naleving of erger. Het helpt kwetsbaarheden en zwakke punten in de cyberbeveiliging van uw organisatie te identificeren voordat ze een probleem worden. Dit kan reputatieschade en mogelijke financiële boetes/sancties voorkomen.
ISO 27001 stimuleert de beste praktijken en integreert met andere normen
Een van de belangrijkste componenten van ISO 27001 is ISO Annex L, de beschrijving van de eisen en kenmerken voor een generiek managementsysteem, waarin in wezen de kenmerken en eisen van het systeem worden beschreven.
Het belang van dit punt kan niet genoeg worden benadrukt. Het hebben van een beheersysteem voor uw bedrijf kan verder gaan dan het beschermen van informatiemiddelen en privacy. Een ISMS bevordert sterke bedrijfspraktijken en betere algemene prestaties van de organisatie. Hierdoor kunt u uw klanten beter bedienen en uw bedrijfsdoelen sneller en efficiënter bereiken.
Door een ISMS te implementeren, kunt u de huidige praktijken bijhouden, de prestaties meten en in de loop van de tijd de gebieden voor verbetering bepalen. Het helpt u ook een concurrentievoordeel te behouden door de klanttevredenheid te verbeteren, de bedrijfsvoering te optimaliseren en groeimogelijkheden te identificeren.
Hoewel ISO 27001 zich richt op informatiebeveiliging, betekent bijlage L dat deze zeer goed kan worden geïntegreerd met andere ISO-normen die ook op bijlage L zijn gebaseerd. Als onderdeel van uw algehele ontwikkelings- en verbeteringsactiviteiten voor managementsystemen, wilt u deze normen wellicht op een later tijdstip introduceren. datum. Er zijn meer dan 50 ISO-normen, waaronder ISO 9001 voor kwaliteitsmanagement en ISO 22301 voor bedrijfscontinuïteit.
Hoewel we niet suggereren dat u naar deze normen kijkt, is het punt voorlopig dat het mogelijk is. ISO-normen en het Integrated Management System (IMS)-platform van ISMS.online bieden een upgradepad, zodat u geen nieuwe software hoeft te kopen. Een siloframework zoals SOC 2 biedt dit voordeel niet.
ISO 27001 kost minder
Er bestaat een algemene misvatting dat de implementatie van de ISO 27001-standaard duurder is dan de implementatie van SOC 2; in feite is ISO 27001-certificering goedkoper te implementeren en te onderhouden dan SOC 2, en met een redelijke marge.
De ISO 27001-audit is gericht op de werking van het Information Security Management System (ISMS) om de juiste implementatie van bijlage A-controles te bevestigen, zodat de kosten lager zijn dan die van een SOC 2-audit. Dienovereenkomstig worden bij de audit uitsluitend technische (bijlage A) controles bemonsterd. Vanwege het ontbreken van een ISMS richten SOC 2-audits zich op het beoordelen van TSC-beveiligingscontroles in plaats van op het ISMS.
Een belangrijk voordeel van ISO-certificering is dat het een competitieve sector is, dus u kunt gemakkelijk rondkijken voor de beste prijs.
Om een SOC 2-audit uit te voeren, moet u een bedrijf vinden met een licentie als CPA (Certified Public Accountant) die deze audits kan uitvoeren. Vooral in Europa doen maar heel weinig bedrijven dit, en de bedrijven die dat wel doen zijn meestal de grotere bedrijven in de professionele dienstverlening, wat betekent dat ze meer in rekening brengen.
Onderhouds- en hercertificeringskosten en tijdsbestekken
Organisaties zijn verantwoordelijk voor het behouden van hun ISO-certificering door middel van surveillance (check-up) audits die jaarlijks of elke zes maanden worden uitgevoerd, afhankelijk van de omvang en reikwijdte van uw organisatie in jaar 2 en 3. Deze kortere audits zijn goedkoper dan de initiële audit voor certificering omdat ze ongeveer een derde van de tijd in beslag nemen. Tijdens het vierde jaar moet u een volledige hercertificering ondergaan en begint de auditcyclus opnieuw.
Als onderdeel van SOC 2 heeft u een volledige jaarlijkse audit nodig om er zeker van te zijn dat het attest van de accountantsorganisatie geldig blijft. Hoewel u niet hetzelfde bedrag hoeft uit te geven als toen u zich in jaar 1 voor de eerste keer bij hen aanmeldde, kost het bijgewerkte auditrapport u nog steeds minimaal € 10,000.
Als je ervan uitgaat dat al het andere gelijk is, heeft ISO 27001 op de lange termijn dus een lager prijskaartje dan SOC 2.
Al ISO 27001 gecertificeerd?
Als u al ISO 27001-gecertificeerd bent, kunt u uw privacyprogramma afstemmen op de ISO 27701-richtlijnen en dit integreren in uw ISMS; deze upgrade staat bekend als Privacy Information Management System of PIMS. U kunt de privacystandaard kopen en de reikwijdte van uw controles en beleid aanpassen om PIMS-richtlijnen op te nemen. Werk samen met uw auditor om de reikwijdte van uw certificering uit te breiden met ISO 27701 tijdens uw daaropvolgende surveillance- of hercertificeringsaudit.
Al SOC 2 gecertificeerd?
De overstap van een SOC 2-attest naar een ISO 27001-certificering is enigszins ingewikkeld, maar niet zo uitdagend. U moet risico's effectief beheren in ISO 27001, dus de SOC 2-beveiligingscontroles die u heeft ingevoerd zullen waarschijnlijk hetzelfde zijn.
Voordat u wordt gecertificeerd, moet u uw aanpak documenteren en ter goedkeuring voorleggen aan een onafhankelijke externe auditor. Voor kleinere organisaties zorgt ISMS.online ervoor dat de ISO 27001-certificering eenvoudig intern te beheren is, zonder dat er ondersteuning van een externe consultant nodig is.
Voor grotere organisaties is het uitbesteden van het ISMS-certificeringsproces aan een onafhankelijke derde partij niet ongebruikelijk, omdat dit de kwaliteit en onpartijdigheid van uw ISMS-documentatie garandeert; opnieuw hoeft u dit niet te doen met ISMS.online, omdat onze Virtual Coach, Adapt, Adopt Add (AAA Framework) en Assured Results Method (ARM) ervoor zorgen dat u de ondersteuning krijgt die nodig is om de eerste keer een certificering te behalen.
Dubbele SOC 2-attestering en ISO 27001-certificering houdt voornamelijk in dat het ISO 27001 ISMS bovenop uw bestaande controles wordt gelegd en dat een deel van uw documentatie wordt aangepast om de verschillen in attesteringskaders weer te geven. ISMS.online biedt een duidelijk mappingpad tussen ISO 27001 en SOC 2, waardoor zowel certificering als attestering wordt vereenvoudigd.
Al SOC 2 gecertificeerd (inclusief privacy)?
Net als bij het vorige scenario moet u naast de SOC 27001-overgang ook het Privacyprogramma overzetten naar ISO 2. Opnieuw vereenvoudigt de SOC 2- en ISO 27701-mapping binnen ISMS.online de overgang tussen de twee.
Niet SOC 2 gecertificeerd of ISO 27001 gecertificeerd?
Zolang u een klant heeft die om een attest vraagt, kunt u doorgaan met uw jaarlijkse SSPA-beoordeling. Het is raadzaam om binnen 27001 maanden richting ISO 27701- en ISO 12-certificering te gaan als u de veiligheid en naleving aan andere belanghebbenden moet bewijzen.
U kunt zich tijdens uw eerste jaar concentreren op ISO 27001 als u beperkt bent door bandbreedte en/of budget, en u vervolgens tijdens uw tweede jaar op ISO 27701 richten wanneer u uw eerste toezichtsaudit uitvoert, als u daar de middelen en/of het budget voor heeft .
Hoe ISMS.online kan helpen
Zoals eerder opgemerkt heeft Microsoft ISO 27001 boven SOC 2 met ingang van december 2021 onderschreven, en hoewel dit misschien niet de tijdige ondergang van SOC 2 betekent, zullen andere multinationale bedrijven waarschijnlijk dit voorbeeld volgen met soortgelijke eisen van hun toeleveringsketens.
ISMS.online bereidt u voor op de ISO27001-certificering door veel van de betrokken taken te automatiseren. Zodra u uw bedrijf heeft aangemeld bij ISMS.online, biedt ons platform de blauwdruk, tools, raamwerken, beleid, controles, bruikbare documentatie en begeleiding om u te helpen aan alle ISO 27001-vereisten en SOC 2-controles te voldoen.
Klik hier om naar boek een demo.
