Im Blogartikel Continuous Compliance: Vom traditionellen Audit zur Echtzeit-Zertifizierung ging es um die Vorteile von Continuous Compliance im Rahmen des Projektes MEDINA – und um das „Company Compliance Dashboard“, das Schwerpunkt dieses Beitrages ist.
Mit dem Company Compliance Dashboard (CCD) zur Echtzeit-Zertifizierung
Wie erwähnt, arbeitet Fabasoft mit sieben weiteren europäischen Partnern im Horizon 2020-Projekt MEDINA daran, Cloud-Dienstleistern die Chance zu bieten, eine automatisierte, kontinuierliche Zertifizierung weitestgehend in Echtzeit zu erreichen. Als Teil des Use Cases wird das Fabasoft (Company) Compliance Dashboard als Demosystem implementiert. Die Gestaltung des User Interfaces findet in Zusammenarbeit mit Compliance Managern und Internal Control Ownern statt, um deren Bedürfnisse zu erfüllen.
Das CCD im Detail
Ein CCD versetzt Cloud-Service-Provider (CSP) künftig in die Lage, das MEDINA-Framework anzusprechen und den maximalen Nutzen aus der Entwicklung von kontinuierlichen Zertifizierungen zu ziehen. Compliance Manager importieren die definierten Prüfkataloge zum Nachweis der Sicherheit und Transparenz der angebotenen Services über ein CCD und verteilen die Maßnahmen zur Bearbeitung an die internen Kontrollverantwortlichen (Internal Control Owner). Der Datenaustausch läuft dabei über die MEDINA-API, eine standardisierte Schnittstelle. Externe Prüfungsinstanzen erhalten den gesicherten Zugang über das sogenannte Audit UI.
Status quo von MEDINA
Im MEDINA-Projekt liegt der Fokus derzeit auf dem kommenden EU-Sicherheitskatalog EUCS (European Cybersecurity Certification Scheme for Cloud Services – ENISA). Das MEDINA-Konsortium entwickelt in Absprache mit der Agentur für Cybersicherheit (ENISA) und dem European Telecommunications Standards Institute (ETSI) einheitliche „Assessment Rules“ – Kontrollmaßnahmen, Metriken und Messverfahren – z. B. im OSCAL-Format (Open Security Controls Assessment Language).
Es ist vorgesehen, mit einem CCD auch andere Sicherheitskataloge und Audits zu koordinieren, zu administrieren und nachzuverfolgen, etwa BSI C5, SOC2 usw.:
Die Vorteile der Verwaltung von Audits im CCD
Mithilfe eines CCDs gelingt es Compliance Managern demnach, die wichtigsten Sicherheitsstandards wie EUCS, BSI C5 oder SOC2 zu importieren und auch intern zu verwalten. Metriken sind in den unterschiedlichen Anforderungskatalogen anwendbar bzw. überprüfbar, der aktuelle Kontrollstatus ist stets nachvollziehbar. Die Nachweise und vertraulichen Inhalte bleiben zur Gänze in der Hoheit des CSPs, akkreditierte Auditoren erhalten mit gesicherten Zugängen Einsicht.
In Verbindung mit der Fabasoft Cloud profitieren die User außerdem von der integrierten BPMN 2.0-Workflow-Engine, dem gezielten Delegieren von Aufgaben oder dem Fristenmanagement mit automatisierten Benachrichtigungen.
Durch die ständige Kommunikation des Compliance-Status lässt sich das hohe Sicherheitsniveau der Cloud-Services zu jeder Zeit gegenüber Regulierungsbehörden und unabhängigen Prüfungsinstanzen belegen. Die somit stets verfügbare Bestätigung vollständiger Daten- und Informationssicherheit verbessert einerseits die Vertrauenswürdigkeit und andererseits die Transparenz von Cloud-Services und bietet eine signifikante Effizienzsteigerung.
Wenn Sie mehr über Medina, Continuous Compliance oder das Company Compliance Dashboard wissen möchten, schreiben Sie mir gerne eine E-Mail.
