Microsoft Leverandørsikkerhet og personvernforsikring (SSPA) programmet krever at leverandørene har et tilstrekkelig sikkerhets- og personvernprogram på plass for å behandle Microsofts konfidensielle data eller personopplysninger.

Fra desember 2021, Microsoft opplyser i sin SSPA at den ikke lenger vil godta SOC 2 rapporter; i stedet, ISO 27001 & ISO 27701 er oppført som krav.

  • Versjon 7, publisert november 2020 – SIDE 11, 14 og 15

  • Se vedlegg A: SOC 2-rapporter (med sikkerhetsdekning) vil ikke bli akseptert etter desember 2021

  • Konfidensiell databehandling: Send inn ISO 27001

  • Personlig, konfidensiell databehandling: Send inn ISO 27701 og ISO 27001

Microsofts "godkjenning" av ISO 27001 og ISO/IEC 27701 har brede implikasjoner. Når en industrileder innen datasikkerhet og personvern, som Microsoft, formelt "godkjenner" en standard fremfor en annen på denne måten, er det pålagt andre industriledere å følge. Dette markerer et betydelig skifte fra det tidligere aksepterte amerikanske kravet om å overholde SOC 2.

Hva er SSPA-programmet (Supplier Security and Privacy Assurance)?

Supplier Security and Privacy Assurance-programmet er et bedriftsinitiativ tatt av Microsoft for å sikre at leverandører overholder Microsofts strenge databeskyttelseskrav. Microsoft Supplier Data Protection Requirements (“DPR”) er Microsofts grunnleggende databehandlingsinstruksjoner for leverandører.

Microsoft Supplier Data Protection Requirements (MSDRP) beskriver Microsofts databehandlingsinstruksjoner, levert gjennom Supplier Security & Privacy Assurance Program til leverandører som arbeider med Microsofts konfidensielle data og/eller personopplysninger.

SSPA-programmet dekker et bredt spekter av konfidensielle databehandlingsaktiviteter, inkludert revisjonssvar og rapportering; administrasjon av datatilgang; hendelseshåndtering av informasjonssikkerhet; tredjeparts risikostyring; vurderinger av personvernkonsekvenser og sertifiseringer av personvern for leverandørdata. I hovedsak gir SSPA-programmet veiledning for håndtering av risiko knyttet til behandling av personopplysninger for eksterne parter.

«SSPA driver overholdelse av disse kravene gjennom en årlig samsvarssyklus; for nye leverandører kan ikke arbeidet starte før dette er fullført. Hvis en leverandør behandler personopplysninger og/eller Microsoft konfidensielle data, vil de samarbeide med sin forretningssponsor for å registrere seg i SSPA-programmet. Leverandører kan også velges til å gi uavhengig forsikring ved å fullføre en vurdering mot DPR.»

"Sterk personvern- og sikkerhetspraksis er avgjørende for vårt oppdrag, avgjørende for kundenes tillit, og i flere jurisdiksjoner, påkrevd ved lov. Standardene som er fanget opp i Microsofts retningslinjer for personvern og sikkerhet gjenspeiler våre verdier som selskap, og disse strekker seg til våre leverandører (som din bedrift) som behandler Microsoft-data på våre vegne."

Oppsummert er Microsoft Supplier Security and Privacy Assurance (SSPA) et bedriftsomfattende program som sikrer at Microsoft-leverandører er tilstrekkelig beskyttet når det gjelder informasjonssikkerhet og personvern for å få tillatelse til å behandle personopplysninger, informasjonsressurser eller Microsofts konfidensielle data i samsvar med Microsoft retningslinjer.

Anta at Microsoft ikke allerede autoriserer en ny leverandør. I så fall må den demonstrere samsvar med Microsoft gjennom ISO 27001- og ISO 27701-sertifiseringer eller gjennomgå en SSPA-vurdering av en av Microsofts "Preferred Assessors" før godkjenning. Microsoft validerer samsvar fra sine leverandører på årlig basis.

Hvorfor har Microsoft droppet SOC 2 til fordel for ISO?

Microsofts bekreftelse av ISO 27001 og 27701 er en avgjørende tillitserklæring til fordelen med ISO 27001 og 27701-sertifiseringer for å vise frem organisasjonens omfattende infosec- og personvernprogram i samsvar med viktige personvernlover og -forskrifter som GDPR, CCPA, POPIA, APPS og APAC.

  • SOC-samsvar er ikke internasjonalt anerkjent, mens ISO-standarder er det. Det er viktig å påpeke at ISO 27701 fortsatt er oppdatert (publisert i 2019), noe som betyr at den er tett på linje med internasjonale personvernlover og -forskrifter.

  • En SOC 2-attest trenger ikke å innhentes fra et uavhengig sertifiseringsorgan, noe som betyr at det er mer åpent for muligheten for et nivå av uærlighet som ligner på å markere dine egne lekser.

  • En SOC 2-rapport er vanligvis lengre enn 100 sider, og tredjeparter gir den sjelden den undersøkelsen den trenger fordi de er så lange.

  • Det er viktig å merke seg at revisjonene som utføres av SOC 2 kan være tyngende, kjedelige og kostbare for leverandører.

  • Å holde ISO 27001-sertifisering er rimeligere enn å regelmessig holde SOC 2-revisjonsattesteprogrammer oppdatert.

  • Kostnaden for å opprettholde en ISO 27701-sertifisering er bemerkelsesverdig lavere enn kostnaden for å opprettholde en SOC 2 Type 2 med attestering av Privacy Trust Services Criteria.

  • Administrasjonen av både sikkerhet og personvern som en enkelt logisk konstruksjon i et ISO 27701 Privacy Information Management System (PIMS) er spesielt enklere enn å kjøre forskjellige programmer ved siden av hverandre.

Alle vi har hjulpet med å gå for ISO 27001 besto første gang. Det kunne du også.
Bestill demoen din

Er ISO 27001 bedre enn en SOC 2-rapport?

De intrikate detaljene og fordelene med de to har blitt sammenlignet i mange artikler på nettet. Svaret på dette spørsmålet er alltid utilfredsstillende: "det kommer an på", betyr at det avhenger av hvor du befinner deg i forhold til kundene dine.

Med andre ord, som rådet sier, hvis de fleste av kundene dine er lokalisert i USA, bør du gå med SOC 2. Hvis de fleste av kundene dine befinner seg utenfor USA, vil ISO 27001 være et godt valg. Det er fundamentalt ukorrekt og ineffektivt for transnasjonale organisasjoner, SaaS-selskaper eller lignende å følge dette rådet, da det ikke fungerer.

SaaS-selskaper, for eksempel, vil nesten helt sikkert ha en blanding av nasjonale og internasjonale kunder; hvis ikke nå, så er det nesten helt sikkert på veikartet i nær fremtid.

Dessuten blir de fleste bedrifter stadig mer internasjonale i sin virksomhet, og det er derfor en slik sertifisering har blitt en nødvendighet i utgangspunktet. I tillegg opererer selskapene som etterspør sertifiseringer som ISO 27001 i utgangspunktet ofte internasjonalt uansett.

Det kritiske punktet er imidlertid følgende. Vi har jobbet i SaaS og compliance globalt i mange år hos ISMS.online. Så vidt vi vet har vi ikke vært borti en situasjon der et selskap ba om SOC 2, men avviste ISO 27001 da det ble tilbudt dem.

Så hva er hovedforskjellen? Er ikke det ene like bra som det andre? Vel, ja og nei. Internasjonalt er det imidlertid ganske vanlig at det motsatte skjer.

SOC 2 vil holde en plass for noen USA-sentriske organisasjoner, men de smarte pengene er å få ISO 27001 og der det er hensiktsmessig ISO 27701.

Vår anbefaling er derfor fortsatt ISO 27001 over SOC 2 selv for USA-baserte selskaper, med de fleste av deres kunder basert i USA.

Hvorfor ISO 27001 er det bedre valget

Det er viktig å merke seg at SOC 2-rammeverket er basert på fem tillitsprinsipper. Disse er sikkerhet, tilgjengelighet, behandlingsintegritet, konfidensialitet og personvern.

For å få en SOC 2-rapport trenger du bare å implementere den første, som er sikkerhet, i din organisasjon. Resten er bare anbefalte tiltak som du kanskje eller ikke kan ta. Disse tiltakene påvirker ikke rapporten din hvis de ikke implementeres i din organisasjon. Med andre ord vil ikke rapporten din bli påvirket hvis prosessene dine ikke er konfidensielle eller hvis de ikke behandles med integritet.

Det er ingen tvil om at dette gjør SOC 2-kriteriene for tillitstjenester mye mer fleksible og enklere. Det lar imidlertid døren stå åpen for vår naturlige tendens til å ville gjøre det minste for å krysse av for samsvarsboksen.

Vi kan alle forholde oss til det, men det betyr ikke nødvendigvis at det er en god ting. Selv om du krysser av, betyr ikke rapporten du sender til revisor på slutten av prosessen at prosessene dine er sikre.

Mange selskaper ender opp med rapporter som er "avkrysningsboksøvelser", men egentlig ikke "fullførte" eller robuste samsvarsmekanismer.

Med andre ord er rapportene deres ufullstendige fordi de ikke viser samsvar med alle fem tillitstjenesteprinsippene innenfor SOC type i- eller type ii-rammeverket.

Derimot sikrer ISO 27001 at kontrollene som implementeres i organisasjonen din er basert på en risikovurdering av organisasjonen og dine krav til informasjonssikkerhet.

Med riktig implementering av et styringssystem for informasjonssikkerhet kan du ikke komme unna med å ikke implementere alle kontrollene innenfor ISO 27001 uten god grunn.

Sikkerhetskontrollene dine vil alltid være opptatt av sikkerhet, tilgjengelighet, behandlingsintegritet, konfidensialitet og personvern under implementeringsprosessen.

Ta deg tid til å reflektere over dette et øyeblikk. Når det gjelder å beskytte kundenes informasjon, kan du virkelig forventes å ta sikkerheten uten å forholde deg til kundedataintegritet, konfidensialitet og personvern samtidig?

Videre er tilgjengelighet den viktigste faktoren for kundene dine, og kommer på andreplass etter sikkerhet når det gjelder deres prioriteringer.

Dette er spesielt viktig ved sikring av personopplysninger som kredittkortnummer og personnummer. Det ville være best om du tok alle forholdsregler for å beskytte denne informasjonen mot tyveri eller misbruk av hackere eller andre ondsinnede parter.

Hva dette betyr for virksomheten din og neste trinn

På grunn av de mange fordelene som ISO 27001 tilbyr, er ISO 27001 og 27701 de åpenbare valgene hvis du ønsker å implementere et robust rammeverk for informasjonssikkerhetskontroll og ikke bare krysse av for informasjonssikkerhet, cybersikkerhet og personvern.

Implementering av et ISMS vil hjelpe deg med å oppnå regeloverholdelse og redusere risikoen for brudd, manglende overholdelse eller verre. Det hjelper med å identifisere sårbarheter og svakheter i organisasjonens cybersikkerhetsstilling før de blir et problem. Dette kan forhindre skade på omdømme og potensielle økonomiske bøter/straff.

Klar til å ta grep?

Bestill demoen din

cta-bilde

ISO 27001 driver beste praksis og integreres med andre standarder

En av hovedkomponentene i ISO 27001 er ISO Annex L, beskrivelsen av kravene og egenskapene til et generisk styringssystem, som i hovedsak beskriver funksjonene og kravene til systemet. 

Viktigheten av dette punktet kan ikke overvurderes. Å ha et styringssystem for din bedrift kan gå utover å beskytte informasjonsressurser og personvern. En ISMS fremmer sterk forretningspraksis og bedre organisasjonsmessig ytelse. Dette gjør deg i sin tur i stand til å betjene kundene dine bedre og oppnå forretningsmålene dine raskere og mer effektivt.

Implementering av et ISMS lar deg holde styr på gjeldende praksis, måle ytelse og målområder for forbedring over tid. Det hjelper deg også å opprettholde et konkurransefortrinn gjennom å forbedre kundetilfredsheten, optimalisere forretningsdriften og identifisere vekstmuligheter.

Selv om ISO 27001 fokuserer på informasjonssikkerhet, betyr vedlegg L at det integreres veldig godt med andre ISO-standarder som også er basert på vedlegg L. Som en del av dine generelle styringssystemutvikling og forbedringsaktiviteter, kan det være lurt å introdusere disse standardene på et senere tidspunkt Dato. Det finnes over 50 ISO-standarder, inkludert ISO 9001 for kvalitetsstyring og ISO 22301 for forretningskontinuitet.

Selv om vi ikke foreslår at du ser på disse standardene, er poenget foreløpig at det er mulig. ISO-standarder og ISMS.onlines Integrated Management System (IMS)-plattform gir en oppgraderingsvei, slik at du ikke trenger å kjøpe ny programvare. Et silorammeverk som SOC 2 gir ikke denne fordelen.

ISO 27001 koster mindre

Det er en vanlig misforståelse at ISO 27001-standardimplementering er dyrere enn SOC 2-implementering; faktisk er ISO 27001-sertifisering billigere å implementere og vedlikeholde enn SOC 2, og med en rimelig margin.

ISO 27001-revisjonen er sentrert om driften av Information Security Management System (ISMS) for å bekrefte riktig implementering av vedlegg A-kontroller, så kostnadene er mindre enn en SOC 2-revisjon. Følgelig prøver tilsynet kun tekniske (vedlegg A) kontroller. På grunn av mangelen på et ISMS, fokuserer SOC 2-revisjoner på å vurdere TSC-sikkerhetskontroller i stedet for ISMS.

En betydelig fordel med ISO-sertifisering er at det er en konkurransedyktig bransje, slik at du enkelt kan shoppe rundt for den beste prisen.

For å gjennomføre en SOC 2-revisjon må du finne et selskap lisensiert som CPA (Certified Public Accountant) som er i stand til å utføre disse revisjonene. Spesielt i Europa er det svært få selskaper som gjør dette, og de som gjør det pleier å være de større profesjonelle tjenesteselskapene, noe som betyr at de tar mer betalt.

Vedlikeholds- og resertifiseringskostnader og tidsrammer

Organisasjoner er ansvarlige for å opprettholde sin ISO-sertifisering gjennom overvåkingsrevisjoner som utføres årlig eller hver sjette måned, avhengig av størrelsen og omfanget av organisasjonen i år 2 og 3. Disse kortere revisjonene er rimeligere enn den første revisjonen for sertifisering siden de tar omtrent en tredjedel av tiden å fullføre. I løpet av det fjerde året vil du bli pålagt å gjennomgå fullstendig resertifisering, og revisjonssyklusen vil begynne på nytt.

Som en del av SOC 2 trenger du en full årlig revisjon for å sikre at revisjonsselskapets attestasjon forblir gyldig. Selv om du ikke trenger å bruke det samme beløpet som da du registrerte deg hos dem for første gang i år 1, vil den oppdaterte revisjonsrapporten fortsatt koste deg minst €10,000 XNUMX.

Følgelig, hvis du antar at alt annet er likt, har ISO 27001 en lavere prislapp enn SOC 2 i det lange løp.

Allerede ISO 27001-sertifisert?

Hvis du allerede er ISO 27001-sertifisert, kan du tilpasse personvernprogrammet ditt med ISO 27701-veiledningen og integrere det i ISMS-en din; denne oppgraderingen er kjent som Privacy Information Management System eller PIMS. Du kan kjøpe personvernstandarden og endre omfanget av kontrollene og retningslinjene for å inkludere PIMS-veiledning. Samarbeid med revisoren din for å utvide sertifiseringsomfanget til å inkludere ISO 27701 ved etterfølgende overvåkings- eller resertifiseringsrevisjon.

Allerede SOC 2 attestert?

Å gå fra en SOC 2-attest til en ISO 27001-sertifisering er noe involvert, men det er ikke for utfordrende. Du må håndtere risiko effektivt i ISO 27001, så SOC 2-sikkerhetskontrollene du har på plass vil sannsynligvis være de samme.

Du vil bli bedt om å dokumentere tilnærmingen din og sende den til en uavhengig tredjepartsrevisor for godkjenning før du blir sertifisert. For mindre organisasjoner gjør ISMS.online at ISO 27001-sertifisering er enkel å administrere internt uten behov for støtte fra en tredjepartskonsulent.

For større organisasjoner er det ikke uvanlig å outsource ISMS-sertifiseringsprosessen til en uavhengig tredjepart, da det sikrer kvaliteten og upartiskheten til ISMS-dokumentasjonen din; igjen trenger du ikke å gjøre dette med ISMS.online, da vår virtuelle coach, Adapt, Adopt Add (AAA Framework) og Assured Results Method (ARM) vil sikre at du har støtten som trengs for å oppnå sertifisering første gang.

Dobbel SOC 2-sertifisering og ISO 27001-sertifisering innebærer først og fremst å legge ISO 27001 ISMS på toppen av dine eksisterende kontroller og modifisere noe av dokumentasjonen for å gjenspeile forskjellene i attestasjonsrammeverk. ISMS.online gir en klar kartleggingsvei mellom ISO 27001 og SOC 2, noe som forenkler både sertifisering og attestering.

Allerede SOC 2 attestert (inkludert personvern)?

Som med forrige scenario, må du også overføre personvernprogrammet til ISO 27001 sammen med SOC 2-overgangen. Nok en gang forenkler SOC 2- og ISO 27701-kartleggingen i ISMS.online overgangen mellom de to.

Ikke SOC 2-sertifisert eller ISO 27001-sertifisert?

Så lenge du har en klient som ber om attestasjon, kan du fortsette din årlige SSPA-vurdering. Å gå mot ISO 27001- og ISO 27701-sertifisering innen 12 måneder er tilrådelig hvis du er pålagt å bevise sikkerhet og samsvar overfor andre interessenter.

Du kan fokusere på ISO 27001 i løpet av det første året hvis du er begrenset til båndbredde og/eller budsjett, og deretter adressere ISO 27701 i løpet av det andre året når du gjennomfører din første overvåkingsrevisjon hvis du har ressurser og/eller budsjett til å gjøre det .

Hvordan ISMS.online kan hjelpe

Som nevnt tidligere har Microsoft godkjent ISO 27001 over SOC 2, med virkning fra desember 2021, og selv om dette kanskje ikke betyr at SOC 2 faller i tid, vil andre multinasjonale selskaper sannsynligvis følge etter med lignende krav fra leverandørkjedene deres.

ISMS.online gjør deg klar for ISO27001-sertifisering ved å automatisere mange av oppgavene som er involvert. Når du først er ombord på bedriften din til ISMS.online, gir plattformen vår kartleggingsskjema, verktøy, rammeverk, policyer, kontroller, handlingskraftig dokumentasjon og veiledning for å hjelpe deg med å oppfylle alle ISO 27001-krav og SOC 2-kontroll.

Klikk her for å bestill en demo.

Last ned vår gratis guide til rask og bærekraftig sertifisering

cta-bilde