Wir haben das ISAE3000 Type 1 Audit bestanden

·

Introduction

Sehr geehrte Leser & EGSSIS-Fans,

jeder ist sich der Bedeutung von IT-Sicherheit bewusst, wenn es um sensible Daten und Systeme geht, auch wenn Sie kein IT-Experte sind.

In den letzten Jahrzehnten haben verschiedene Arten von Angriffen zugenommen, die ganze IT-Systeme lahmlegen können. Wir werden Ihnen keine Beispiele zeigen, mit einer oberflächliche Google-Suche finden Lesestoff für die nächsten Jahre 😉.

In der Vergangenheit (und in einigen Fällen auch heute noch) stellten Unternehmen Kontrolle und Sicherheit sicher, indem sie lokale Server verwalteten, auf denen eigene (oder fremde) Anwendungen liefen. Ein Teil dieser Verantwortung hat sich aufgrund der Verlagerung von Anwendungen in die Cloud und durch das Outsourcings von Lösungen an spezialisierte Software-as-a-Service-Anbieter auf die IT-Anbieter verlagert.

Cloud-Hosting-Anbieter bieten Dienste zu einem Bruchteil der Kosten für eine Selbstinstallation auf lokalen Servern an. Flexible Zahlungspläne vermeiden große Investitionen und bieten neue Möglichkeiten für neue und bestehende Geschäftszweige.

Flexibilität und Kostenkontrolle bringen auch Risiken mit sich; sind Security, Datenschutz und Verfügbarkeit so solide etabliert, wie Sie es erwarten oder wie es Ihre Vorgesetzten und Kunden verlangen? Ein ISAE 3000 (SOC 2) Audit liefert alle Antworten auf diese Fragen und Risiken.

Was ist ein ISAE 3000, SOC2 audit

ISAE steht für International Standards für Assurance Engagements. Unternehmen lagern zunehmend Prozesse oder Daten an Dienstleister aus. Prozesse oder Speicher, die keinen Bezug zu Finanzprozessen haben, sind für einen ISAE 3000 (SOC 2-Bericht) relevant.

Ein SOC2-Bericht ist ein interner Kontrollbericht, der sich auf Kontrollen bei einem Service Provider konzentriert, die für die Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und den Datenschutz einer Organisation relevant sind. Ein ISAE 3000 (SOC 2)-Bericht stellt sicher, dass eine Dienstleistungsorganisation Daten während der Verarbeitung oder Speicherung privat und sicher aufbewahrt und dass die Daten jederzeit zugänglich sind.

Was heißt das für Sie

Unsere Kunden sind in ganz Europa im Gas- und Stromhandel bis hin zur Versorgung von Endverbrauchern (Stadtwerke, große Industriebetriebe usw.) tätig. Während unsere SaaS-Lösungen für die Abwicklung des operativen Geschäfts eingesetzt werden, sind sie eng in das Softwaresystem unserer Kunden integriert.

Wir müssen Daten mit Software austauschen, die für den Gas- und Stromhandel, Prognosen, Kapazitätsbuchungen usw. zuständig sind. Darüber hinaus wickelt unsere Software die Kommunikation zwischen unseren Kunden und ihren Gegenparteien (TSOs, SSOs, etc.) ab.

Wir verhindern das Abfangen von Nachrichten und die Verfälschung von Daten. Diese Sicherheitsmaßnahmen sind erforderlich, um erhebliche Verluste zu verhindern, wie z.B. Ausgleichsenergiekosten, Verletzung von Vertragsgrenzen, die Nichtausführung eines profitablen Handels oder das Gas/den Strom nicht dorthin liefern zu können, wo Sie ihn benötigen.

Warum wir das machen

“Der Grund, warum wir die ISAE/ISO-Frameworks für Informationssicherheit implementieren, ist, dass wir uns um Ihre Informationen kümmern.

Solche Frameworks bestehen aus einer Reihe von Kontrollzielen und damit verbundenen Kontrollaktivitäten, die wir in Richtlinien und Verfahren in unserer Organisation umgesetzt haben. Alle EGSSIS-Mitarbeiter werden regelmäßig geschult, so dass sie nach diesen Richtlinien und Verfahren arbeiten.

Die Umsetzung dieser Verfahren in eine bestehende Arbeitsweise (basierend auf AGILE) war eine Herausforderung, da wir die Arbeitsbelastung unserer Mitarbeiter nicht erhöhen wollten.  Daher werden die meisten Verfahren durch Automatisierungsabläufe in JIRA / Teams / Monitoring-Tools unterstützt, wo wir die Mitarbeiter durch diese Prozesse führen.  Ein zusätzlicher Vorteil ist, dass unsere Prüfer alle Daten in einem System (JIRA) sammeln können.

Das Fazit für Sie als Kunden ist, dass wir Ihre Daten schätzen und dass wir sie schützen, indem wir die richtigen Verfahren anwenden”.

Jan Corluy – Chief Technology Officer at EGSSIS

Unsere Prüfer: EY Belgien

EY Belgien verfügt über ein Team hochqualifizierter IT-Sicherheitsexperten. Während der ISAE3000, Soc2 Typ 1 Prüfung haben wir eng mit dem Team von EY zusammengearbeitet, um eine Reihe von Themen zu bewerten, zu dokumentieren und zu verbessern:

  • Security & Risiko Management
  • Change Management
  • Logisches Access Management
  • Disaster Recovery
    (lesen mehr über unsere DR-Übung hier)
  • Vorfallsmanagement
  • Verwundbarkeitsmanagement
  • Operations Management
  • Versorgungsmanagement

Nach 9 Monaten harter Arbeit unseres CTO, Jan Corluy, und des IT- und Operations-Team haben wir das ISAE3000, Soc2 Typ 1 Audit am 25.06.2020 erfolgreich bestanden!

Der nächste Schritt: ISO 27001

Die ISAE-Implementierung lieferte uns wichtige Informationen für die Umsetzung von Teilprozessen von Kontrollen und Kontrollaktivitäten des ISO 27001 Frameworks.

Um auf unserem Implementierungsweg für das ISO-Projekt weiter voranzukommen, haben wir derzeit alle ISO 27001-Dokumente vorbereitet.  Der nächste Schritt besteht nun darin, diese Dokumente / Richtlinien in klare Verfahren / automatisierte Kontrollen zu übersetzen und unsere Mitarbeiter in deren Anwendung zu schulen.

Kontaktieren Sie uns für den vollständigen Bericht

Jeder Interessent und Kunde, der den 71-seitigen Prüfbericht lesen möchte, sollte nicht zögern, danach zu fragen. Nehmen Sie über den untenstehenden Button Kontakt auf oder kontaktieren Sie Ihren EGSSIS-Kundenbetreuer!