âś… SEEBURGER erneut ISAE 3402-attestiert

SEEBURGER

The Engine Driving Your Digital Transformation

Cloud

ISAE 3402 – Erneute Attestierung bestätigt Nachhaltigkeit der SEEBURGER AG als Cloud-Anbieter

|

ISAE 3402 - Erneute Attestierung bestätigt Nachhaltigkeit der SEEBURGER AG als Cloud-Anbieter

ISAE 3402 Attestierung SOC 1 – SEEBURGER hat die Prüfung erneut erfolgreich bestanden. Somit wird es für unsere Kunden deutlich einfacher, die für Wirtschaftsprüfer relevanten Sicherheits- und Datenschutznachweise zu erbringen. Alle weiteren Vorteile für die SEEBURGER Cloud-Kunden finden Sie hier übersichtlich zusammengefasst.

ISAE 34202 – Vertrauen ist gut, Kontrolle ist besser!

Moderne Unternehmen beziehen heute ihre IT aus der Cloud. Unternehmen setzen alles daran, die zur Erreichung ihrer Geschäftsziele benötigten Ressourcen kontinuierlich zu optimieren. Dies ist nicht nur verständlich, sondern auch Teil ihrer Pflicht. Eine andere Pflicht ist es aber auch, für die Sicherheit und die Einhaltung von internen und externen Regeln und Gesetzen zu sorgen. Unternehmen müssen deshalb ein internes Kontrollsystem (IKS) einrichten, das wirksame Kontrollen in ihren Prozessen verankert und hinreichende Gewähr dafür bietet, dass die Ordnungsmäßigkeit der Prozesse gewährleistet ist.

Wenn ein Unternehmen nun geschäftsrelevante Funktionen in die Cloud auslagert, werden die Verantwortlichkeiten für die ordnungsgemäße Abwicklung nicht automatisch mit ausgelagert. Sie verbleiben beim Unternehmen und stellen es vor eine schwierige Herausforderung: Wie kann das Unternehmen sicherstellen, dass der Dienstleister Kontrollen einhält, die Funktionstrennung aufrechterhält und den Zugriff auf Daten schützt?

Wirtschaftsprüfer, die die Wirksamkeit des IKS im Unternehmen beurteilen müssen, wollen auch die ausgelagerten IT-Funktionen genauer untersuchen. Das Vorhandensein eines Service Level Agreements (SLA) und regelmäßige Berichte über die Dienstleistungen reichen hier nicht aus. Vielmehr bestehen die Wirtschaftsprüfer auf der Existenz eines ISAE 3402-Prüfberichts. ISAE ist die Abkürzung von „International Standard on Assurance Engagements“ und zertifiziert das Kontrollsystem des Service Providers als Ganzes. Der ISAE-Prüfbericht hat sich in diesem Zusammenhang mittlerweile quasi zum Standard für Outsourcing-Dienstleister entwickelt. Die Grafik anbei verdeutlicht den Zusammenhang.

Der ISAE 3402 Prüfbericht stellt sicher, dass der Dienstleister Kontrollen einhält, die Funktionstrennung aufrechterhält und den Zugriff auf Daten schützt
Abbildung 1: Der ISAE 3402 Prüfbericht stellt sicher, dass der Dienstleister Kontrollen einhält, die Funktionstrennung aufrechterhält und den Zugriff auf Daten schützt

ISAE 3402 SOC 1 bestätigt Wirksamkeit des internen Kontrollsystems der SEEBURGER AG

Die jährliche Prüfung des International Standard on Assurance Engagements (ISAE) 3402 SOC 1 konzentrierte sich auf die folgenden Prozesse zur Leistungserbringung der Outsourcing-Dienstleistungen für unsere Kunden

  • Risk Management
  • User & Access Management
  • Physical Security
  • Backup & Recovery
  • Business Continuity Management

sowie die Cloud Service Betriebsprozesse

  • Go Live Process
  • Event Management
  • Incident Management
  • Change Management

Die Prüfer eines führenden Wirtschaftsprüfungs- und Beratungsunternehmens verbrachten drei Wochen damit, eine große Anzahl von Stichproben aus einem ganzen Jahr rückwirkend auszuwerten.  Die Stichproben wurden anhand der definierten Prozesse und Kontrollziele der oben genannten Themenbereiche ausgewählt. Wurden Abweichungen festgestellt, wurde die mögliche Abweichung durch zusätzliche Stichproben verifiziert.

Das Vorgehen macht deutlich, dass es bei ISAE nicht ausreicht, den ordnungsgemäßen Betrieb nur zum Zeitpunkt der Prüfung zu gewährleisten, wie es bei vielen anderen Zertifizierungen der Fall ist, bei denen nur Stichtagsbeobachtungen (Momentaufnahmen) gemacht werden. ISAE verlangt von einem Dienstleistungsanbieter, dass er die Kontrollziele jederzeit erfüllt und vollständige Nachweise für die Einhaltung der Vorschriften vorlegt.

Die SEEBURGER AG hat die PrĂĽfung des International Standard on Assurance Engagements (ISAE) 3402 SOC 1 erneut erfolgreich bestanden und damit die Wirksamkeit ihres internen Kontrollsystems (IKS) erfolgreich nachgewiesen.

ISAE 3402 Attestierung – die Vorteile für unsere Kunden

  • Der Kunde erhält den Nachweis eines unabhängigen PrĂĽfinstitutes, dass seine sensiblen Geschäftsprozesse bei SEEBURGER sicher sind.
  • Das erfolgreiche Audit bestätigt bestmögliche Sicherheit und Datenschutz mit SEEBURGER als vertrauenswĂĽrdigem Anbieter.
  • Dies vereinfacht die Nachweispflicht der Kunden gegenĂĽber ihren eigenen Kunden und WirtschaftsprĂĽfern erheblich, weil
    • fĂĽr die ausgelagerten Prozesse keine ZuverlässigkeitsprĂĽfung mehr notwendig ist (da durch die Zertifizierung nachgewiesen).
    • die Wirksamkeit dieser Prozesse auch kĂĽnftig nicht mehr einzeln nachgewiesen werden muss.
  • Die ISAE-Zertifizierung stellt sicher, dass dieses interne Kontrollsystem funktioniert, dass es also (a) methodisch geeignet ist, sicherzustellen, dass alle Mitarbeiter im Betreib sich ordnungsgemäß verhalten und dass dies (b) in vielen Stichproben bewiesen

Die erneute Attestierung nach ISAE 3402 bietet für unsere Kunden die beruhigende Gewissheit, dass ihre Daten bei uns in besten Händen sind.

ISAE 3402 Attestierung – mehr Sicherheit mit SEEBURGER

Das SEEBURGER ISAE 3402 (SOC 1) Testat ist für unsere Kunden ein wertvolles Dokument zum Nachweis der Wirksamkeit des internen Kontrollsystems der SEEBURGER Cloud-Dienstleistungen. Auch wird letztendlich durch die Audits und Prozesse, die im Vorfeld für eine Attestierung erforderlich sind, die Betriebssicherheit signifikant erhöht. Um also angemessen auf ständig steigende Sicherheitsanforderungen sowie sich schnell ändernde und immer komplexer werdende Bedrohungssituationen reagieren zu können, hat SEEBURGER ein internes Kontrollsystem (IKS) nach COSO (Committee of Sponsoring Organizations of the Treadway Commission) als zentralen Managementprozess entwickelt. Auf diese Weise ist sichergestellt, dass das System in die Geschäftsprozesse im Anwendungsbereich integriert ist und die Verantwortlichkeiten festgelegt sind.

Der Zweck des internen Kontrollsystems besteht darin, alle Informationen zu schützen, die im Rahmen der Geschäftstätigkeit im Einklang mit gesetzlichen Bestimmungen, nationalen und internationalen Standards, internen Unternehmensstandards sowie vertraglichen Verpflichtungen empfangen, generiert, verteilt, archiviert und vernichtet werden.

ISAE 3402 Attestierung – Automatisierte Prozesse vereinfachen zukünftige Überwachung der Kontrollziele

Schon vor der Einführung der ISAE-Attestierung stellte sich das SEEBURGER Betriebsteam folgende Frage: Wie kann ein internes Kontrollsystem eingerichtet werden, ohne einen enormen manuellen Kontrollaufwand zu verursachen? Die Antwort klingt so banal wie einfach: Durch weitgehende Automatisierung! SEEBURGER hat daher die Überwachung seiner Kontrollziele von Anfang an direkt in seine Geschäftsprozesse und Cloud-Organisation integriert.

Mit selbst entwickelten Anwendungen werden zum Beispiel alle Zugriffe auf die Cloud-Systeme zentral gesteuert, ĂĽberwacht und lĂĽckenlos dokumentiert. Ein automatisiertes Monitoring- und Berichtssystem ĂĽberwacht die Einhaltung jeder einzelnen Kontrolle – viele tausend Mal am Tag. Durch diesen hohen Automatisierungsgrad konnte SEEBURGER den manuellen Aufwand so weit reduzieren, dass der Mehraufwand fĂĽr die Kontrollen, deren Implementierung und das Testen mehr als kompensiert werden konnte.

Dr. Martin Kuntz, Chief Cloud Officer: „Bei SEEBURGER verfolgen wir die weitgehende Automatisierung komplexer Kontrollziele weniger um der Zertifizierung willen, sondern primär zur Optimierung von Geschäftsprozessen und Organisationsstrukturen. Daraus ergeben sich fast automatisch wirtschaftlich sinnvolle Synergien und qualitative Verbesserungen fĂĽr unsere Kunden“.

Martin Kuntz weiter: „Ein weiterer, eher unerwarteter positiver Nebeneffekt ist, dass der hohe Automatisierungsgrad, die zunehmende Effektivität der internen Prozesse und der gelebte interne kontinuierliche Verbesserungsprozess die Motivation des Betriebspersonals erhöht haben. Die Mitarbeiter können sich mehr auf ihre Kernaufgaben konzentrieren und werden von lästigen Dokumentationsaufgaben entlastet“.

Haben Sie Fragen oder Anmerkungen?

Wir freuen uns hier ĂĽber Ihre Nachricht.

Teilen Sie diesen Beitrag, wählen Sie Ihre Plattform!
Uwe Heber - Vice President Operation, Cloud & Managed Services, SEEBURGER AG.

Ăśber den Autor:

Vice President Operation, Cloud & Managed Services, SEEBURGER AG. Uwe Heber arbeitet seit dem Jahr 2000 für die SEEBURGER AG. Seit 2006 als Leiter des Bereiches Managed Services und seit 2012 verantwortet er den operativen Cloud & Managed Services Betrieb der SEEBURGER AG. Seine Schwerpunkte sind Cloud Betriebsprozesse, Service Architektur, Zertifizierungen und Audits sowie Produktmanagement. Uwe Heber ist Diplom-Kaufmann (FH). Vor seiner Tätigkeit im Bereich SEEBURGER Cloud war er als Projektleiter im SEEBURGER Consulting sowie als Teamleiter im SEEBURGER Support tätig.