Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Übersicht über FFIEC
Der Federal Financial Institutions Examination Council (FFIEC) ist ein formelles Interagency-Gremium, dem fünf Bankenaufsichtsbehörden angehören. Diese Regulierungsbehörden sind für die Untersuchung von Finanzinstituten der US-Regierung im USA zuständig. Das FFIEC Prüfer-Bildungsbüro veröffentlicht IT-Prüfungshandbuche für Feldprüfer der FFIEC-Mitgliedsagenturen.
Das FFIEC Audit IT Examination Handbook bietet Prüfern Anleitungen zur Bewertung der Qualität und Wirksamkeit von IT-Auditprogrammen bei Finanzinstituten und TSPs. Es erwähnt ausdrücklich SOC 1, SOC 2 und SOC 3 Nachweisberichte des American Institute of Certified Public Accountants (AICPA) als Beispiele für unabhängige Prüfberichte. Die FFIEC empfiehlt jedoch, dass sich die Finanzinstitute nicht allein auf die Informationen in diesen Berichten verlassen. Stattdessen sollten sie auch Überprüfungs- und Überwachungsverfahren anwenden, die im FFIEC Outsourcing Technology Services IT-Prüfungshandbuch ausführlich erläutert werden.
Microsoft und FFIEC
Microsoft Azure, Microsoft Power BI und Microsoft Office 365 wurden entwickelt, um die strengen Anforderungen für die Bereitstellung von Clouddiensten für Finanzdienstleister zu erfüllen. Azure stellt Finanzinstituten SOC 1 Typ 2, SOC 2 Typ 2 und SOC 3 Nachweisberichte von einer unabhängigen Wirtschaftsprüfungsgesellschaft zur Verfügung, um Kunden bei der Erfüllung ihrer eigenen FFIEC-Compliance-Verpflichtungen zu unterstützen. Der SOC 1 Typ 2-Nachweis wird z. B. wie folgt ausgeführt:
- SSAE Nr. 18, Nachweisstandards: Klarstellung und Reodifizierung, einschließlich AT-C Abschnitt 320, Bericht über eine Prüfung von Kontrollen bei einer Dienstorganisation, die für die interne Kontrolle der Finanzberichterstattung von Benutzerentitäten relevant ist (AICPA, Professional Standards).
- SOC 1-Berichterstellung über eine Untersuchung von Kontrollen bei einer Dienstleistungsorganisation, relevant für das interne Kontrollsystem für die Finanzberichterstattung der Benutzerentitäten (AICPA-Handbuch).
Der AICPA SSAE 18-Standard ersetzt SAS 70. Es eignet sich für die Berichterstattung über Kontrollen bei einem Dienst organization, die für die internen Kontrollen der Finanzberichterstattung von Benutzerentitäten relevant sind. Diese formale Prüfung von Finanzinstituten kann für Überprüfungen von Technologiedienstleistern durch Dritte genutzt werden, wenn sie ihre eigenen FFIEC-spezifischen Compliance-Verpflichtungen für Vermögenswerte verfolgen, die auf Azure bereitgestellt werden. Sie enthält die Stellungnahme des Abschlussprüfers zur Wirksamkeit der Kontrolle, um die damit verbundenen Kontrollziele während des angegebenen Überwachungszeitraums zu erreichen.
Darüber hinaus verfügt Azure über ein Excel-basiertes Cloudsicherheitsdiagnosetool, das eine Risikobewertung beschleunigt, die ein Finanzinstitut im Verhältnis zu Azure-Diensten durchführen möchte. Das Tool basiert auf einer Kalkulationstabelle mit 19 separaten Domänen, die Anforderungen aus relevanten Standards und vorschriften im Zusammenhang mit Finanzdienstleistungen identifizieren, einschließlich der FFIEC IT-Prüfungshandbuche. Das Tool zur Risikobewertung ist mit Erläuterungen darüber aufgefüllt, wie Azure den Anforderungen von Clouddienstanbietern entsprechen, und kann Kunden bei der Erfüllung ihrer eigenen FFIEC-Complianceanforderungen unterstützen.
Für Kunden steht auch die Azure FFIEC-Diagnosearbeitsmappe zur Cloudsicherheit zur Verfügung, die Anleitungen zur Verwendung von Azure-Diensten und Überlegungen zur Einhaltung der FFIEC-Anforderungen bietet.
In-Scope-Cloudplattformen und -Dienste von Microsoft
- Azure
- Intune
- Office 365, Office 365 US-Regierung
- Power BI-Clouddienst (entweder als eigenständiger Dienst oder in einem firmenspezifischen Office 365-Plan oder einer -Anwendungssuite enthalten)
Azure Leitfäden
Um Finanzinstituten zu helfen, die der FFIEC-Aufsicht bei der Cloudeinführung unterliegen, hat Microsoft die folgenden Anleitungsdokumente veröffentlicht. Sie können diese Dokumente aus dem Abschnitt Datenschutzressourcen – Complianceleitfäden für Service Trust Portal herunterladen:
- Azure : Diagnosetool für Cloudsicherheit
- Azure – FFIEC-Cloudsicherheits-Diagnosearbeitsmappen-Begleitprogramm
Office 365 und FFIEC
Office 365 Umgebungen
Microsoft Office 365 ist eine mehrinstanzenfähige Hyperscale-Cloudplattform und eine integrierte Oberfläche für Apps und Dienste, die Kunden in mehreren Regionen weltweit zur Verfügung steht. Die meisten Office 365-Dienste ermöglichen es Kunden, die Region anzugeben, in der sich ihre Kundendaten befinden. Microsoft kann Kundendaten aus Gründen der Datenresilienz in andere Regionen innerhalb desselben geografischen Gebiets (z. B. die USA) replizieren, Microsoft repliziert jedoch keine Kundendaten außerhalb des ausgewählten geografischen Bereichs.
In diesem Abschnitt werden die folgenden Office 365 Umgebungen behandelt:
- Clientsoftware (Client): Kommerzielle Clientsoftware, die auf Kundengeräten ausgeführt wird.
- Office 365 (Kommerziell): Der kommerzielle öffentliche Office 365-Clouddienst, der global verfügbar ist.
- Office 365 Government Community Cloud (GCC): Der Office 365 GCC-Clouddienst ist für Bundes-, Landes-, Kommunal- und Stammesregierungen der Vereinigten Staaten sowie für Auftragnehmer verfügbar, die Daten im Auftrag der US-Regierung speichern oder verarbeiten.
- Office 365 Government Community Cloud – High (GCC High): Der Office 365 GCC-High-Clouddienst wurde gemäß den Sicherheitsanforderungen der Richtlinien des Verteidigungsministeriums (DoD) Level 4 entwickelt und unterstützt streng regulierte Bundes- und Verteidigungsinformationen. Diese Umgebung wird von Bundesbehörden, der Defense Industrial Base (DIBs) und staatlichen Auftragnehmern verwendet.
- Office 365 DoD (DoD): Der Office 365 DoD-Clouddienst wurde gemäß den DoD-Sicherheitsanforderungen der Stufe 5 entwickelt und unterstützt strenge Bundes- und Verteidigungsvorschriften. Diese Umgebung ist für die ausschließliche Verwendung durch das US-Verteidigungsministerium bestimmt.
Verwenden Sie diesen Abschnitt, um Ihre Complianceverpflichtungen in regulierten Branchen und globalen Märkten zu erfüllen. Informationen dazu, welche Dienste in welchen Regionen verfügbar sind, finden Sie in den Informationen zur internationalen Verfügbarkeit und im Artikel Wo Ihre Microsoft 365 Kundendaten gespeichert werden. Weitere Informationen zur Office 365 Government-Cloudumgebung finden Sie im Artikel Office 365 Government-Cloud.
Ihre Organisation ist vollständig dafür verantwortlich, die Einhaltung aller geltenden Gesetze und Bestimmungen sicherzustellen. Die in diesem Abschnitt bereitgestellten Informationen stellen keine rechtliche Beratung dar und Sie sollten sich bei Fragen zur Einhaltung gesetzlicher Bestimmungen für Ihre Organisation an Rechtsberater wenden.
Office 365-Anwendbarkeit und im Leistungsumfang enthaltene Dienste
Verwenden Sie die folgende Tabelle, um die Anwendbarkeit für Ihre Office 365-Dienste und -Abonnements zu bestimmen:
| Anwendbarkeit | Im Leistungsumfang enthaltene Dienste |
|---|---|
| Kommerziell | Microsoft Entra ID, Azure Information Protection, Bookings, Compliance Manager, Delve, Exchange Online, Exchange Online Protection, Forms, Kaizala, Microsoft Analytics, Microsoft Booking, Microsoft Defender für Office 365, Microsoft Graph, Microsoft Teams, Microsoft To-Do für Web, MyAnalytics, Office 365 Advanced Compliance Add-On, Office 365 Cloud App Security, Office 365 Gruppen, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, StaffHub, Stream, Sway, Viva Engage |
| GCC | Microsoft Entra ID, Compliance Manager, Delve, Exchange Online, Forms, Microsoft Defender für Office 365, Microsoft Teams, MyAnalytics, Office 365 Advanced Compliance Add-On, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, Stream |
Office 365-Audits, -Berichte und -Zertifikate
Weitere Informationen finden Sie in den Office 365 SOC-Nachweisberichten.
Häufig gestellte Fragen
Kann ich die Microsoft-Konformität mit SOC-Standards verwenden, um die FFIEC-Konformitätsverpflichtungen für meine Einrichtung zu erfüllen?
Um Ihnen bei der Erfüllung dieser Verpflichtungen zu helfen, liefert Microsoft die Einzelheiten zur Einhaltung der SOC-Standards, wie weiter oben beschrieben. Sie müssen jedoch feststellen, ob unsere Dienste den spezifischen Gesetzen und Vorschriften entsprechen, die für Ihre Einrichtung gelten. Die FFIEC rät auch, dass "sich die Nutzer von Prüfberichten oder Überprüfungen nicht allein auf die im Bericht enthaltenen Informationen verlassen sollten, um die interne Kontrollumgebung des TSP zu überprüfen. Sie sollten andere Überprüfungs- und Überwachungsverfahren anwenden, wie in der Broschüre "Outsourcing Technology" des FFIEC IT-Prüfungshandbuchs ausführlicher erläutert wird."
Verwenden von Microsoft Purview Compliance Manager zum Bewerten Ihres Risikos
Microsoft Purview Compliance Manager ist ein Feature im Microsoft Purview-Portal, mit dem Sie den Compliancestatus Ihrer organization verstehen und Maßnahmen ergreifen können, um Risiken zu reduzieren. Compliance Manager bietet eine Premiumvorlage für die Erstellung einer Bewertung für diese Verordnung. Suchen Sie die Vorlage auf der Seite Bewertungsvorlagen im Compliance Manager. Erfahren Sie, wie Sie Bewertungen im Compliance-Manager erstellen.
Ressourcen
- Eidgenössischer Prüfungsrat für Finanzinstitute (FFIEC)
- Compliance map of Cloud Computing and Regulatory Principles in the USA (Compliance map of Cloud Computing and Regulatory Principles in the US)
- FFIEC Audit IT Examenshandbuch
- FFIEC Outsourcing Technology Services IT Prüfungshandbuch