IT-Attestation

Unternehmen lagern zunehmend IT-Systeme, Geschäftsprozesse und Datenverarbeitung an externe Dienstleistungsorganisationen aus, um sich auf ihre Kernkompetenzen zu konzentrieren, Kosten zu senken und neue Funktionen schnell bereitzustellen. Hierbei ist wesentlich, dass Unternehmen ihrer Verantwortung für die ausgelagerten Vorgänge sowie deren ordnungsgemäße Abbildung in der Rechnungslegung nachkommen. Eine Möglichkeit besteht darin, dass externe Dienstleistungsorganisationen jährlich ihr internes Kontrollsystem nach internationalen Standards wie insbesondere ISAE 3402 (SOC 1) prüfen und attestieren lassen. 

KPMG bietet Readiness Assessments an, die eine Evaluierung der IST-Situation beinhalten („Gap-Analyse“) und Beobachtungen sowie Empfehlungen zu etwaigen Lücken im Kontrollumfeld liefern.

Wir führen Prüfungen des dienstleistungsbezogenen internen Kontrollsystems von Dienstleistungsorganisationen i. Z. m. SOC 1 (ISAE 3402), SOC 2 und SOC 3 durch. Die Auswahl des Berichtstyps hängt von den Anforderungen der Kund:innen ab:

SOC 1 / ISAE 3402 (International Standard on Assurance Engagements 3402) ist ein international anerkannter Standard, der die Prüfung des dienstleistungsbezogenen Internen Kontrollsystems von Dienstleistungsorganisationen mit Bezug zum rechnungslegungsbezogenen Internen Kontrollsystem („IKS“) der Kundenorganisationen regelt.

Der ISAE-3402-Bericht bietet zwei Arten von Prüfungsberichten:

• Bericht Typ 1: Bei diesem Bericht wird die Konzeption und Einrichtung der dargestellten Kontrollen zu einem Zeitpunkt beurteilt.
• Bericht Typ 2: Bei diesem Bericht wird zusätzlich zur Beurteilung der Konzeption und Einrichtung der dargestellten Kontrollen auch deren Wirksamkeit über einen Zeitraum beurteilt.

Falls kein Bezug zum rechnungslegungsbezogenen internen Kontrollsystem eines Kunden besteht, ist die Prüfung typischerweise nach dem Fachgutachten KFS/PG13 „Durchführung von sonstigen Prüfungen“ abzuwickeln.

SOC 2 ist ein Bericht mit typischerweise Fokus auf Sicherheit, Verfügbarkeit, Vertraulichkeit, Integrität der Verarbeitung und/oder Datenschutz. Wenn Sie ein:e Anbieter:in von Dienstleistungen sind (z. B. ein Rechenzentrum, ein Cloud-Service-Anbieter, ein Webhosting-Unternehmen, ein Telekommunikationsbetreiber, ein Outsourcing-Unternehmen) und sensible Daten erfasst, speichert oder verarbeitet, hilft Ihnen dieser Bericht dabei, Ihre Kund:innen davon zu überzeugen, dass angemessene Sicherheitsvorkehrungen für ihre Daten getroffen wurden.

SOC 3 ist ein kurzer Bericht, der einen Überblick über die im SOC-2-Bericht enthaltenen Informationen gibt, wobei spezifische und vertrauliche Informationen über Systeme und Kontrollen entfernt wurden. Dieses Dokument kann einem breiten Kreis an Adressaten zugänglich gemacht werden.

Unsere IT-Attestation-Leistungen und resultierenden SOC-Berichte stärken das Vertrauen in die Zuverlässigkeit und die Wirksamkeit von internen Kontrollsystemen von Dienstleistungsorganisationen. Das hilft jenen Unternehmen, die IT-Leistungen auslagern, ihrer Verantwortung nachzukommen, stellt aber auch einen wesentlichen Wettbewerbsvorteil für die Dienstleistungsorganisationen selbst dar. 

Die ISO/IEC 27001 ist ein international anerkannter Standard mit dem Ziel, eine Anleitung bereitzustellen, auf deren Basis ein Informationssicherheits-Managementsystem (ISMS) betrieben, überwacht und kontinuierlich verbessert werden kann. Unternehmen können sich gemäß ISO/IEC 27001 zertifizieren lassen und somit ihren Kund:innen gegenüber gewährleisten, dass angemessene Sicherheitsmaßnahmen zur Gewährleistung der Verfügbarkeit, Integrität und Vertraulichkeit ihrer Systeme getroffen wurden. KPMG unterstützt Unternehmen bei der Einführung eines ISMS oder der Zertifizierung eines solchen.

Initial wird im Rahmen einer GAP-Analyse ein ISO-27001-Audit simuliert. Dabei wird der Ist-Stand des Unternehmens hinsichtlich der Informationssicherheit erhoben und mit den Anforderungen der ISO 27001 abgeglichen. Ergebnis der GAP-Analyse ist ein Auditbericht, in dem alle Findings beschrieben werden. Anhand der identifizierten GAPs werden Maßnahmen zur Compliance-Erreichung vorgeschlagen. Im Anschluss wird der zu zertifizierende Geltungsbereich (Scope) definiert. Hierzu werden alle relevanten Stakeholder:innen eruiert und ein gemeinsamer Workshop aufgesetzt, da ein falsch oder ungünstig gewählter Geltungsbereich im weiteren Projektverlauf zu Verzögerungen führen kann.
Im Rahmen der anschließenden Maßnahmenumsetzung unterstützt KPMG u. a. bei der Bewältigung der Tätigkeiten durch Bereitstellung von Dokumentationsvorlagen bzw. Anpassung der bestehenden Dokumentationsvorlagen, Bereitstellen von Templates für die erforderlichen Pflichtdokumente sowie Anpassung dieser an die Anforderungen des:der Auftraggeber:in und Durchführung von Mitarbeiter:innenschulungen.

Abschließend wird, im Zuge eines ISO-27001-Readiness-Checks abermals ein ISO-27001-Audit simuliert. Der Readiness-Check wird hauptsächlich in Form von Interviews mit den Prozess- und IT-Verantwortlichen durchgeführt, wobei stichprobenartig Aufzeichnungen geprüft werden. Zusätzlich wird zur Bewertung der physischen Sicherheit und Effektivitäts-Feststellung der Maßnahmen eine Begehung des Standortes durchgeführt. Das Ergebnis ist ein Bericht, in dem Findings beschrieben werden, die vor der Bestellung eines:einer ISO-27001-Prüfer:in adressiert werden sollten.

KPMG führt als unabhängiger Zertifizierungsprüfer eine umfassende Überprüfung des Informationssicherheits-Managementsystems durch, um festzustellen, ob alle Anforderungen der ISO 27001 erfüllt sind. Nach erfolgreichem Abschluss des Audits wird eine offizielle Zertifizierung für den festgelegten Geltungsbereich ausgestellt, der die Konformität des Informationssicherheits-Managementsystems mit den ISO-27001-Standards bescheinigt. Zertifizierte Unternehmen müssen sich, bis zur Re-Zertifizierung nach drei Jahren, jährlichen Überwachungsaudits unterziehen, um sicherzustellen, dass das Informationssicherheits-Managementsystem weiterhin den ISO-27001-Standards entspricht.

Eine Zertifizierung nach ISO/IEC 27001 trägt dazu bei, das Vertrauen von Kund:innen und Partnern zu stärken, das Risikomanagement zu verbessern, die Einhaltung rechtlicher und regulatorischer Anforderungen zu gewährleisten, und letztlich durch kontinuierliche Verbesserungen im Bereich der Informationssicherheit einen Wettbewerbsvorteil zu erlangen.

Gerne beraten wir Sie zu weiteren ISO-Standards wie beispielsweise:

• 22301 (Business Continuity Management)
• 9001 (Qualitätsmanagement)
• 27701 (Datenschutz-Managementsystem)

KPMG prüft Ihr Unternehmen gemäß branchenspezifischen Standards bzw. bereitet Sie auf deren Prüfung durch Dritte vor. Dabei beraten und begleiten wir Sie auf dem Weg zur Konformität, führen GAP- und Readiness-Assessments durch und bereiten Sie und Ihre Mitarbeiter:innen optimal auf die bevorstehenden Prüfungshandlungen vor.

Der IDW PS 880 ist ein Prüfungsstandard (PS) des Instituts der Wirtschaftsprüfer (IDW) zur Prüfung von Softwareprodukten. KPMG prüft hierbei u. a. einzelne Systemkomponenten oder Gesamtlösungen hinsichtlich der angemessenen Konzipierung, Wartung sowie Test- und Freigabeverfahren. Des Weiteren wird anhand verschiedener Testcases die sachgerechte Umsetzung der Systemfunktionen überprüft. Kund:innen erhalten bei erfolgreicher Prüfung für ihr Produkt die Bescheinigung „Zertifiziert nach IDW PS 880“. Diese Zertifizierung stellt ein Qualitätsmerkmal der umfassten Produkte dar und bietet Unternehmen einen Wettbewerbsvorteil, der gezielt eingesetzt werden kann, um sich von der Konkurrenz abzuheben.

TISAX (Trusted Information Security Assessment Exchange) ist ein vom Verband der Automobilindustrie (VDA) freigegebener und veröffentlichter Prüf- und Austauschmechanismus. Dieser erlaubt es Automobilherstellern sicherzustellen, dass innerhalb der gesamten Lieferkette ein angemessenes und einheitliches Informationssicherheitsniveau vorherrscht. Wenngleich TISAX vom europäischen Gesetzgeber nicht verpflichtend gefordert wird, wird ein positives Prüfungsergebnis bereits von vielen namhaften deutschen Automobilherstellern für die Zusammenarbeit mit Zulieferern vorausgesetzt. Automobilzulieferer (die Teile, Komponenten, Dienstleistungen usw. anbieten) müssen gemäß TISAX ein Informationssicherheits-Managementsystem (ISMS) einführen und aufrechterhalten und anschließend die TISAX-Prüfung bestehen, um weiterhin von einem OEM unter Vertrag genommen zu werden und/oder auf dem deutschen Automobilmarkt zu partizipieren.

KPMG unterstützt Unternehmen beim Aufbau eines ISMS gemäß TISAX oder prüft die festgelegten Bereiche. Das Prüfergebnis ist drei Jahre lang gültig und muss nach Ablauf erneut ausgestellt werden.