2 Beiträge mit Tag "soc2"

Wenn Sie in einem mittel- und osteuropäischen Unternehmen für Engineering oder Sicherheit verantwortlich sind, haben Sie dieses Gespräch in den letzten sechs Monaten wahrscheinlich zweimal geführt — einmal von den Juristen („wir brauchen ISO 27001") und einmal von einem potenziellen US-amerikanischen Unternehmenskunden („wir brauchen SOC 2 Type II"). Beide haben recht. Beide haben reale Konsequenzen. Und beide haben Privileged Access Management als grundlegende Anforderung an Kontrollmechanismen. Die Frage lautet: Welches implementieren Sie zuerst, und überschneidet sich die Arbeit?

SOC 2 Type II-Bereitschaft ist ein Marathon. Die meisten Organisationen arbeiten sich durch Richtliniendokumentation, Lieferantenrisikobefragungen und Netzwerksegmentierungsdiagramme ohne größere Probleme. Dann stoßen sie auf CC6 — Logische und Physische Zugangskontrollmechanismen — und das Audit wird schwierig.

CC6 ist der Ort, wo Prüfer die meiste Zeit verbringen und wo Unternehmen am häufigsten Ausnahmen erhalten. Es umfasst wer Zugriff auf Ihre Systeme hat, wie dieser Zugriff kontrolliert wird, wie er überwacht wird und wie er überprüft wird. Wenn Ihre Antwort auf privilegiertes Zugriffsmanagement lautet „wir verwenden VPN plus RDP mit gemeinsam genutzten Administratorzugangsdaten", werden Sie das Audit nicht bestehen.

Hier erfahren Sie genau, was CC6 verlangt, wonach Prüfer fragen und wie Sie Nachweise liefern.