Introductie Richtlijn 3000 Service Organisation Control rapporten

Transcriptie

1 Introductie Richtlijn 3000 Service Organisation Control rapporten Gebaseerd op het AICPA SOC 2 en de Trust Services Principles & Criteria René Ewals 14 april 2016

2 Agenda Eerste deel: Over vergelijking met en inpassing in bestaande assurance-standaarden Tweede deel: inhoud Trust Services Principles & Criteria 2

3 Deel 1: Vergelijking en inpassing in huidige assurance-standaarden Beknopte introductie

4 Inpassing in bekende standaarden Binnen NOREA een assurance stramien en twee assurance-standaarden: Richtlijn 3000 Richtlijn 3402 Service Organisational Control rapport is nu passend gemaakt binnen de Richtlijn Het is een assurance-rapport gericht op de IT Service organisaties Het normenkader is gebaseerd op de Trust Service Principles & Criteria zoals opgesteld door de AICPA Geen verwijzing opnemen als zijnde een Service Organizational Control (SOC2 ) rapport In de presentatie gebruiken we wel deze term, maar op het officiële rapport is dit niet toegestaan. Dit heeft te maken met de Amerikaanse wet- en regelgeving waar deze term onder valt, terwijl RE s de werkzaamheden uitvoeren binnen de Nederlandse wet- en regelgeving. 4

5 Uitvoeren van opdrachten Voor elke opdracht geldt, dat de RE over voldoende kennis en expertise moet beschikken om de opdracht te mogen uitvoeren. Denk hierbij aan: Stramien assurance-opdrachten; Richtlijn 3000; Richtlijn Voorts aan te raden om: Kennis te hebben van de inhoud van de AICPA SOC2 guide (Reporting on Controls at a Sevice Organization, relevant to Security, Availability, Processing Integrity, Confidentiality, or Privacy (SOC2 )). Meest recente editie is van 1 juli Kennis te hebben van de inhoud van de Trust Services Principles & Criteria (TSP sectie 100). 5

6 Gebruikers rapport Het rapport is bedoeld voor gebruikers die de inhoud en de doelstelling van het rapport kunnen begrijpen. Dit omvat onder meer: Het management van de serviceorganisatie; Het management van de gebruikende entiteit; Potentiële gebruikers die de informatie toepassen bij het selecteren van een serviceorganisatie of om vast te stellen of deze voldoet aan de eisen. Deze gebruikers verkrijgen de kennis daartoe tijdens het uitvoeren van de due diligence; Accountants, IT-auditors en andere auditors die de beheersmaatregelen bij de gebruikende entiteit(en) beoordelen; Toezichthoudende entiteiten; De rapporten zijn niet bestemd voor een breed publiek en mogen niet worden gepubliceerd op websites of andere publiekelijk toegankelijke media. 6

7 Sectie III: beschrijving van het systeem (1) Sectie III omvat de volgende componenten: Infrastructuur: de fysieke structuren van de gebruikte IT (zoals faciliteiten, computers, apparatuur, mobiele apparatuur, communicatienetwerken) Software: de applicatiesoftware en de systeemsoftware die zijn applicatiesoftware ondersteunt (zoals besturingssystemen, middleware, utilities) Mensen: de medewerkers die betrokken zijn bij de governance, het gebruik en het beheer van systemen (ontwikkelaars, operators, gebruikers en managers) Procedures: de geautomatiseerde en handmatige werkwijzen in en rondom het systeem Data: de informatie die door het systeem wordt gebruikt en ondersteund (transacties, bestanden, databases en tabellen) 7

8 Sectie III: beschrijving van het systeem (2) En daarnaast de volgende elementen: Beheersingsomgeving (filosofie van het management, beleid en management ten aanzien van beveiliging, fysieke beveiliging, beveiliging van medewerkers, beheersing van omgevingsfactoren, monitoring van systemen, problem management, back-up en herstel, systeem account management); Het proces van risicobeoordeling; Informatie en communicatiesystemen; Monitoring van beheersingsmaatregelen 8

9 Indeling rapport Sectie I: Vermelding van het management Sectie II: Assurance-rapport van de onafhankelijke auditor Sectie III: Beschrijving systeem door de serviceorganisatie Sectie IV: De gehanteerde beginselen en criteria en de door de auditor uitgevoerde testwerkzaamheden inclusief de uitkomst daarvan Sectie V: Overige informatie verschaft door de serviceorganisatie (optioneel en wordt niet onderzocht door de auditor) 9

10 Verschillen tussen ISAE 3000, 3402 en SOC 2 Onderwerp ISAE 3402 ISAE 3000 SOC 2 Mededeling Auditor Gestandaardiseerd Redelijke mate van zekerheid Vorm vrij Redelijke of beperkte mate van zekerheid Mededeling Management Verplicht Niet verplicht Verplicht Gestandaardiseerd Redelijke mate van zekerheid Reikwijdte Gerelateerd aan financiële verslaglegging Niet financiële cijfers IT processen Publiek Beperkt tot service en user organisations Niet vooraf gedefinieerd Beperkt tot service en user organisations Normenstelsel Individueel Individueel Gestandaardiseerd Redelijke zekerheid Testwerkzaamheden Opnemen in rapport Optioneel Opnemen in rapport Conclusie testwerkzaamheden Opnemen in rapport Optioneel Opnemen in rapport 10

11 Deel 2: Over de Trust Services Principles & Criteria Beknopte introductie

12 De principles oftewel beginselen De Trust Services onderkennen de volgende principles/beginselen: Beveiliging: het systeem is beveiligd tegen ongeautoriseerde toegang, gebruik of aanpassing; Beschikbaarheid: het systeem is beschikbaar voor gebruik zoals aangegeven door de serviceorganisatie of zoals overeengekomen; Integriteit van processen: de processen in het systeem zijn volledig, valide, accuraat, tijdig en geautoriseerd; Vertrouwelijkheid: de informatie is vertrouwelijk zoals overeengekomen; Privacy (buiten reikwijdte handreiking) 12

13 Organization and management Communications Common Security Criteria Risk Management and Design and Implementation of Controls Monitoring of Controls Logical and Physical Access Controls System Operations Change Management Privacy In US and Europe under construction Availability Confidentiality Processing Integrity Accessibility of the system as committed by contract, SLA, or other agreements Protect of confidential information in accordance with the organization s commitments and requirements Completeness validity, accuracy, timeliness, and authorization of system processing The Trust Services Criteria (excluding Privacy) were updated in February

14 Koppeling principles/beginselen aan criteria Beveiliging: 28 algemene criteria Beschikbaarheid: 28 algemene criteria en 3 aanvullende criteria Integriteit van processen: 28 algemene criteria en 6 aanvullende criteria Vertrouwelijkheid: 28 algemene criteria en 6 aanvullende criteria Privacy (buiten reikwijdte handreiking) 14

15 Zeven categorieën algemene criteria (common criteria) Organisatie en Management (4) Communicatie (6) Risicomanagement en het ontwerp en de implementatie van beheersingsmaatregelen (3) Monitoring van beheersingsmaatregelen (1) Logische en fysieke toegangsbeveiliging (8) Systeem operatie (2) Change Management (4) Naast criteria en voorbeeld maatregelen (zie volgende slides) worden ook voorbeeld risico s genoemd in de TSP. 15

16 Voorbeelden van de criteria en maatregelen (1) Organisatie en Management (4) The entity has defined organizational structures, reporting lines, authorities, and responsibilities for the design, development, implementation, operation, maintenance and monitoring of the system enabling it to meet its commitments and requirements as they relate to [insert the principle(s) being reported on: security, availability, processing integrity, or confidentiality or any combination thereof]. Example control: The entity evaluates its organizational structure, reporting lines, authorities, and responsibilities as part of its business planning process and as part of its ongoing risk assessment and management process and revises these when necessary to help meet changing commitments and requirements. Communicatie (6) Information regarding the design and operation of the system and its boundaries has been prepared and communicated to authorized internal and external system users to permit users to understand their role in the system and the results of system operation. Example control: System descriptions are available to authorized external users that delineate the boundaries of the system and describe relevant system components as well as the purpose and design of the system. Documentation of the system description is available to authorized users via the entity s customer-facing website. 16

17 Voorbeelden van de criteria en maatregelen (2) Risicomanagement en het ontwerp en de implementatie van beheersingsmaatregelen (3) The entity (1) identifies potential threats that would impair system [insert the principle(s) being reported on: security, availability, processing integrity, or confidentiality or any combination thereof] commitments and requirements, (2) analyzes the significance of risks associated with the identified threats, and (3) determines mitigation strategies for those risks (including controls and other mitigation strategies). Example control: A master list of the entity's system components is maintained, accounting for additions and removals, for management's use. 17

18 Voorbeelden van de criteria en maatregelen (3) Monitoring van beheersingsmaatregelen (1) The design and operating effectiveness of controls are periodically evaluated against [insert the principle(s) being reported on: security, availability, processing integrity, or confidentiality or any combination thereof] commitments and requirements, corrections and other necessary actions relating to identified deficiencies are taken in a timely manner. Example control: Monitoring software is used to identify and evaluate ongoing system performance, security threats, changing resource utilization needs, and unusual system activity. This software sends a message to the operations center and automatically opens an incident, problem, or change management "ticket" record when specific predefined thresholds are met. Logische en fysieke toegangsbeveiliging (8) Logical access security software, infrastructure, and architectures have been implemented to support (1) identification and authentication of authorized users; (2) restriction of authorized user access to system components, or portions thereof, authorized by management, including hardware, data, software, mobile devices, output, and offline elements; and (3) prevention and detection of unauthorized access. Example control: Established entity standards exist for infrastructure and software hardening and configuration that include requirements for implementation of access control software, entity configuration standards, and standardized access control lists. 18

19 Voorbeelden van de criteria en maatregelen (4) Systeem operatie (2) Vulnerabilities of system components to [insert the principle(s) being reported on: security, availability, processing integrity, or confidentiality or any combination thereof] breaches and incidents due to malicious acts, natural disasters, or errors are monitored and evaluated and countermeasures are implemented to compensate for known and new vulnerabilities. Example control: Logging and monitoring software is used to collect data from system infrastructure components and endpoint systems and used to monitor system performance, potential security threats and vulnerabilities, resource utilization, and to detect unusual system activity or service requests. This software sends a message to the operations center and security organization and automatically opens a priority incident or problem ticket and change management system record item. Change Management (4) Insert the principle(s) being reported on: security, availability, processing integrity, or confidentiality or any combination thereof] commitments and requirements, are addressed, during the system development lifecycle including design, acquisition, implementation, configuration, testing, modification, and maintenance of system components. Example control: System change requests are evaluated to determine the potential effect of the change on security, availability, processing integrity, and confidentiality commitments and requirements throughout the change management process. 19

20 Bedankt Voor meer informatie kun je contact opnemen met: René Ewals of NOREA 14 april 2016

21 SOC 2 in de praktijk toegepast Nader toegelicht door InterXion Nederland Dennis Houtekamer - EY 14 april 2016

22 The past, present and future of SOC reporting 22

23 INTerxion & SOC2 Koenraad Zirkzee, Director Operations Theo Buurman Quality Manager Amsterdam, 14 April 2016

24 Who is interxion? Founded 1998 Headquartered in Amsterdam Listed on New York Stock Exchange (INXN) 41 data centres in 13 cities across 11 countries Over 600 Connectivity providers 350+ cloud providers 21 Internet exchanges Over 1,500 customers 400+ employees 24

25 What do we do? Interxion provides datacentre services: Space Power Cooling Security Connectivity (Carrier & Cloud Neutral) We design, build and operate our own datacentres All about Uptime: 100% Availability and Security 25 25

26 Space 26 26

27 Colocation 27 27

28 Secure locations 28 28

29 24/7 access 30 30

30 Fire protection 31 31

31 Electrical power 32 32

32 Backup power 33 33

33 Efficient Cooling 34 34

34 Interxion Schiphol campus AMS6 AMS3 AMS7 AMS5 AMS

35 AMS8 ARCHITECTURE AND DESIGN Front VIEW 36 36

36 AMS8 under construction

37 Datacentre operations? Availability: Maintenance, Inspection, Testing Registration and traceability / Asset Management Change Management Standard Operating Procedures Security: Authentication / Registration Controlled access Monitoring (Access Control / CCTV) Reporting (logs, visitors, deliveries, etc.) 38 38

38 WHY SOC2? 39 39

39 Wie is theo buurman? 40 40

40 Why soc2? 41 41

41 Why soc2? Onze klanten vragen om meer compliancy en assurance Alleen ISO niet meer voldoende Sommige audits geven slechts een momentopname Meerdere standaarden zorgen voor steeds meer audits.. Audit ondersteuning kost ons veel tijd Behoefte aan een standaard die alle relevante aspecten van onze operatie afdekt,..die meer is dan een momentopname...die breed inzetbaar is naar al onze klanten Daarom IX keuze voor SOC2 (type 2): Scope: Availability & Security Full year compliancy 1 rapportage voor de hele groep (HQ+11 landen) 42 42

42 ONZE ERVARINGEN MET SOC

43 Wat kan beter? Meer uitdragen als standaard: Onze klanten zitten wereldwijd (Amerika, India, etc.) Meer (H) erkenning Werken aan bredere acceptatie Coordinatie tijdens audit bij meerdere entiteiten Scope verdeling tussen een hoofdkantoor en filiaal Resultaat: Effectieve en efficiente audits Breed geaccepteerde rapportages, Dus minder dubbel werk Relevante resultaten: Availability en Security zijn goed geregeld! 44 44

44 Wat is er al bereikt? Positief effect, van push naar pull Klanten vragen erom! Uniformiteit in rapportage over landen heen Geeft scherpte aan de operatie Traceability versterkt het kwaliteitssysteem Geeft focus aan beheersmaatregelen in processen Nieuwe wijsheid: 45 45

45 THANK YOU Amsterdam Brussels Copenhagen Dublin Dusseldorf Frankfurt London Madrid Marseille Paris Stockholm Vienna Zurich

46 Stellingen Handreiking SOC2 14 april 2016