ISO 27001
Bei der DIN ISO/IEC 27001 – kurz ISO 27001 – handelt es sich um eine internationale Norm für Informationssicherheit in privatwirtschaftlichen, öffentlichen oder gemeinnützigen Organisationen. Sie ist Teil der Normenfamilie ISO/IEC 2700x und wurde von der Internationalen Organisation für Standardisierung (ISO) veröffentlicht. Die prinzipienbasierte Norm beschreibt die Anforderungen für das Einrichten, Realisieren, Betreiben, Optimieren und Aktualisieren (kontinuierlicher Verbesserungsprozess) eines dokumentierten Informationssicherheits-Managementsystems, welches anhand der Normenfamilien aus insgesamt sechs Normen ISO 27001 bis 27005 erarbeitet wird.
Ein ISO-Nachweis wird als einseitiges Zertifikat von akkreditierten ISO-Auditoren vergeben und versteht sich als Stichtagbetrachtung. Für viele Unternehmen galt ISO 27001 bis anhin als Gradmesser für die Maturität der eigenen Informationssicherheit. Doch die Risiken entwickeln sich laufend weiter und die Strafen für Fehler oder Unterlassungen werden höher. Es erstaunt daher nicht, dass das gefragte Mass an Sicherheit von Daten und Prozessen wächst und dazu eine weiter gefasste Betrachtung nötig wird.
ISAE 3402 und SOC 1®
Lagert ein Unternehmen Prozesse aus, die für die Buchführung und Rechnungslegung relevant sind, muss es sicherstellen, dass ein angemessenes internes Kontrollsystem und ein Risikomanagement eingerichtet und wirksam sind. Für das auslagernde Unternehmen und dessen Abschlussprüfer stellt sich die Frage, wie die internen Kontrollen bei den beauftragten Dienstleistungsunternehmen aussehen. Solche Prüfungen bei Dienstleistern sind zeitaufwendig und teuer.
Die verantwortlichen Gremien in der Wirtschaftsprüfung haben das Problem erkannt. So hat das International Auditing and Assurance Standards Board (IAASB) den Prüfungsstandard International Standard on Assurance Engagements 3402 (ISAE 3402) herausgegeben. Das US-amerikanische Pendant dazu nennt sich SOC-1-Report und basiert auf dem Auditing Standards Board des American Institute of Certified Public Accountants (AICPA).
Zweck der beiden Prüfungen ist eine Evaluierung aller relevanten Informationssysteme eines Unternehmens in Bezug auf Vertraulichkeit, Integrität und/oder Verfügbarkeit. Die Auswahl der zu überprüfenden Prozesse liegt ebenfalls im Ermessen des beauftragenden Unternehmens, muss jedoch durch den unabhängigen Prüfer validiert werden. Trotzdem bieten der ISAE- und der SOC-Standard ein gewisses Mass an Flexibilität, wonach sich ein Unternehmen auf jene Bereiche konzentrieren kann, die für Kundschaft, Investierende oder Lieferfirmen sowie auch dessen Abschlussprüfer entscheidend sind. Insbesondere der Abschlussprüfer ist angehalten, den ISAE 3402 / SOC 1® Bericht nach ISA/SA-CH 402 bzw. ISA/SA-CH 315 (Revised) in seine Tätigkeit einzubeziehen.
Das Beste aus zwei Welten
Man soll bekanntlich Äpfel nicht mit Birnen vergleichen. Doch um Klarheit über die Vor- und Nachteile der beiden Nachweise zu schaffen, tun wir es an dieser Stelle trotzdem (vgl. Abbildung).
| Berichtsart | Prüfbericht (ISAE/SOC®) |
Zertifikat (ISO 27001) |
| Berichterstattung | Prüfbericht inklusive Prüfurteil des unabhängigen Prüfers | Zertifikat ohne Prüfurteil |
| Management Statement | Enthält eine Erklärung der Geschäftsleitung zum Kontrollumfeld | Nicht Bestandteil des Zertifikates |
| Resultat | Umfassender Bericht, der die Beschreibung des Kontrollumfelds, das Design sowie die Implementierung der Kontrollen (Typ 1 Bericht) respektive die operative Wirksamkeit der Kontrollen (Typ 2 Bericht) beinhaltet | Einseitige Bescheinigung zur Bestätigung, dass das Managementsystem eingerichtet ist |
| Abstützen auf die Prüfresultate / das Prüfurteil | Kunden, deren Abschlussprüfer und andere Anspruchsgruppen können sich auf die Prüfresultate respektive das Prüfurteil abstützen | Zertifikat bietet keine Prüfungssicherheit
|
| Verteilung | Nur ausgewählte Anspruchsgruppen (ausser ISAE 3000 und SOC3) | Keine Einschränkung der Verteilung |
| Akzeptanzgrad | Anerkannt und akzeptiert von Kunden, deren Abschlussprüfern und anderen ausgewählten Anspruchsgruppen | Je nach Leserschaft |
| Dienstleister | Transparenz über ausgelagerte Dienstleister und den allfälligen Review der ausgelagerten Kontrollen | Nicht offengelegt |
| Einbeziehung der internen Prüfungs- oder Compliance-Funktion | Möglich – das Abstützen auf andere Prüfer respektive Prüffunktionen wird im Bericht offengelegt. | Nicht möglich. |
| Geltungsbereich / Gültigkeit | Zeitpunkt – Typ I Zeitraum – Typ II / meistens 1 Jahr |
Zertifizierungsprüfung im Jahr 1 und Überwachungsprüfung in den Jahren 2 und 3, Zeitpunktbezogen |
| Betrachtungszeitraum | Rückblickend | Vorausschauend |
ISAE/SOC®-Bericht und ISO-27001-Zertifikats im Vergleich
Ein ISO-Zertifikat ist einfacher und schneller zu erhalten als ein ISAE- oder SOC-Prüfbericht. Während sich die ISO-Norm auf die Gestaltung der Kontrollen am Tag X beschränkt, ermöglichen ISAE bzw. SOC® die Prüfung der operativen Wirksamkeit von Kontrollen über einen bestimmten Zeitraum hinweg. Damit ist der Geltungsbereich eines ISAE- oder SOC®-Prüfberichts wesentlich breiter gefasst als derjenige eines ISO-Zertifikats. In einem Prüfbericht wird neben den üblichen Kapiteln wie der eigenen Einschätzung der Gesellschaft, Kontrollziele und deren detaillierte Beschreibung eine unabhängige Meinung des Prüfers dargelegt. Eine solche fehlt komplett in einem ISO-Zertifikat. Demnach kann sich die externe Revision auf einen Prüfbericht abstützen, nicht aber auf ein Zertifikat. Das Zertifikat gibt dem Management lediglich Aufschluss darüber, welche Kontrollen der Informationssicherheit genügend ausgeprägt und welche allenfalls aus prospektiver Sicht zu optimieren oder neu aufzusetzen sind.
Operative Berichterstattung im Aufwind
Die Bekanntheit und Attraktivität von ISAE- und SOC®-Prüfungen steigt und wird gerade für Unternehmen mit internationaler Ausrichtung immer wichtiger – auch in der Schweiz. Sie erlauben der strategischen und operativen Unternehmensführung einen vertieften Einblick in die hauseigene Prozessmaturität, geben wertvolle Anhaltspunkte für ein hochwertiges Kontroll- und Risikomanagement und leisten damit auch einen Beitrag zur Resilienz einer Organisation. ISAE- und SOC® -Prüfberichte decken diverse Anforderungen unterschiedlicher Anspruchsgruppen ab. Damit vermeidet ein Unternehmen doppelten Aufwand für Prüfungsanfragen von unterschiedlicher Seite. Ausserdem eignen sich diese operativen Prüfberichte hervorragend, um von Verwaltungsrat, Kundschaft und Geschäftspartnerfirmen als verantwortungsbewusstes Unternehmen wahrgenommen zu werden, und sich hinsichtlich Vertrauenswürdigkeit und Resilienz von Mitbewerbenden zu differenzieren.
