Eidgenössischer Prüfungsrat für Finanzinstitute (FFIEC)

Übersicht über FFIEC

Der Federal Financial Institutions Examination Council (FFIEC) ist ein formelles Interagency-Gremium, das fünf Bankenaufsichtsbehörden umfasst, die für die Untersuchung von Finanzinstituten im USA zuständig sind. Das FFIEC Prüfer-Bildungsbüro veröffentlicht IT-Prüfungshandbuche, die von den FFIEC-Mitgliedsagenturen für Feldprüfer bestimmt sind.

Das FFIEC Audit IT Examination Handbook enthält Anleitungen für diese Prüfer, um die Qualität und Wirksamkeit von IT-Audit-Programmen sowohl von Finanzinstituten als auch von TSPs zu bewerten. Insbesondere enthält sie Erwähnung von SOC 1, SOC 2 und SOC 3 Nachweisberichte des American Institute of Certified Public Accountants (AICPA) als Beispiele für unabhängige Prüfberichte. Die FFIEC empfiehlt den Finanzinstituten jedoch, sich nicht nur auf die in diesen Berichten enthaltenen Informationen zu verlassen, sondern auch Überprüfungs- und Überwachungsverfahren zu verwenden, die im FFIEC Outsourcing Technology Services IT-Prüfungshandbuch ausführlich erläutert werden.

Microsoft und FFIEC

Microsoft Azure, Microsoft Power BI und Microsoft Office 365 wurden entwickelt, um die strengen Anforderungen an die Bereitstellung von Clouddiensten für Finanzdienstleister zu erfüllen. Azure bietet Finanzinstituten SOC 1 Typ 2, SOC 2 Typ 2 und SOC 3 Nachweisberichte, die von einem unabhängigen Wirtschaftsprüfungsunternehmen erstellt wurden, um Kunden bei der Erfüllung ihrer eigenen FFIEC-Complianceverpflichtungen zu unterstützen. Der SOC 1 Typ 2-Nachweis wird z. B. wie folgt ausgeführt:

  • SSAE Nr. 18, Nachweisstandards: Klarstellung und Reodifizierung, einschließlich AT-C Abschnitt 320, Bericht über eine Prüfung von Kontrollen bei einer Dienstorganisation, die für die interne Kontrolle der Finanzberichterstattung von Benutzerentitäten relevant ist (AICPA, Professional Standards).
  • SOC 1-Berichterstellung über eine Untersuchung von Kontrollen bei einer Dienstleistungsorganisation, relevant für das interne Kontrollsystem für die Finanzberichterstattung der Benutzerentitäten (AICPA-Handbuch).

Der AICPA SSAE 18-Standard ersetzt SAS 70 und eignet sich für die Berichterstattung über Kontrollen bei einem Dienst organization relevant für interne Kontrollen der Finanzberichterstattung von Benutzerentitäten. Dies ist die formale Prüfung, die Finanzinstitute für Überprüfungen von Technologiedienstanbietern von Drittanbietern nutzen können, wenn sie ihre eigenen FFIEC-spezifischen Complianceverpflichtungen für in Azure bereitgestellte Ressourcen verfolgen. Sie enthält die Stellungnahme des Prüfers zur Wirksamkeit der Kontrolle, um die damit verbundenen Kontrollziele während des angegebenen Überwachungszeitraums zu erreichen.

Darüber hinaus hat Azure ein Excel-basiertes Cloudsicherheitsdiagnosetool entwickelt, das eine Risikobewertung beschleunigen soll, die ein Finanzinstitut im Vergleich zu Azure-Diensten durchführen möchte. Das Tool basiert auf einer Kalkulationstabelle mit 19 separaten Domänen, die Anforderungen identifizieren, die in relevanten Standards und finanzdienstleistungsbezogenen Vorschriften, einschließlich der FFIEC IT-Prüfungshandbücher, festgelegt sind. Das Risikobewertungstool ist mit Erläuterungen dazu aufgefüllt, wie Azure die anforderungen von Clouddienstanbietern erfüllt, und kann Kunden bei der Erfüllung ihrer eigenen FFIEC-Complianceanforderungen unterstützen.

Außerdem steht Kunden die Begleitmappe zur Diagnose von Azure FFIEC-Cloudsicherheit zur Verfügung, die Anleitungen zur Verwendung von Azure-Diensten und Überlegungen zur Kundenkonformität mit FFIEC-Anforderungen bietet.

Zu Microsoft gehörende Cloudplattformen und -dienste

  • Azure
  • Intune
  • Office 365, Office 365 US-Regierung
  • Power BI-Clouddienst (entweder als eigenständiger Dienst oder in einem firmenspezifischen Office 365-Plan oder einer -Anwendungssuite enthalten)

Azure-Anleitungsdokumente

Zur Unterstützung von Finanzinstituten, die der FFIEC-Aufsicht bei der Cloudeinführung unterliegen, hat Microsoft die folgenden Leitfadendokumente veröffentlicht, die im Abschnitt Service Trust Portal Data Protection Resources – Compliance Guides heruntergeladen werden können:

  • Azure – Diagnosetool für die Cloudsicherheit
  • Azure – FFIEC–Diagnosearbeitsmappen für FFIEC-Cloudsicherheit

Office 365 und FFIEC

Office 365 Umgebungen

Microsoft Office 365 ist eine mehrinstanzenfähige Hyperscale-Cloudplattform und eine integrierte Oberfläche für Apps und Dienste, die Kunden in mehreren Regionen weltweit zur Verfügung steht. Die meisten Office 365-Dienste ermöglichen es Kunden, die Region anzugeben, in der sich ihre Kundendaten befinden. Microsoft kann Kundendaten aus Gründen der Datenresilienz in andere Regionen innerhalb desselben geografischen Gebiets (z. B. die USA) replizieren, Microsoft repliziert jedoch keine Kundendaten außerhalb des ausgewählten geografischen Bereichs.

In diesem Abschnitt werden die folgenden Office 365 Umgebungen behandelt:

  • Clientsoftware (Client): Kommerzielle Clientsoftware, die auf Kundengeräten ausgeführt wird.
  • Office 365 (Kommerziell): Der kommerzielle öffentliche Office 365-Clouddienst, der global verfügbar ist.
  • Office 365 Government Community Cloud (GCC): Der Office 365 GCC-Clouddienst ist für Bundes-, Landes-, Kommunal- und Stammesregierungen der Vereinigten Staaten sowie für Auftragnehmer verfügbar, die Daten im Auftrag der US-Regierung speichern oder verarbeiten.
  • Office 365 Government Community Cloud – High (GCC High): Der Office 365 GCC-High-Clouddienst wurde gemäß den Sicherheitsanforderungen der Richtlinien des Verteidigungsministeriums (DoD) Level 4 entwickelt und unterstützt streng regulierte Bundes- und Verteidigungsinformationen. Diese Umgebung wird von Bundesbehörden, der Defense Industrial Base (DIBs) und staatlichen Auftragnehmern verwendet.
  • Office 365 DoD (DoD): Der Office 365 DoD-Clouddienst wurde gemäß den DoD-Sicherheitsanforderungen der Stufe 5 entwickelt und unterstützt strenge Bundes- und Verteidigungsvorschriften. Diese Umgebung ist für die ausschließliche Verwendung durch das US-Verteidigungsministerium bestimmt.

Verwenden Sie diesen Abschnitt, um Ihre Complianceverpflichtungen in regulierten Branchen und globalen Märkten zu erfüllen. Informationen dazu, welche Dienste in welchen Regionen verfügbar sind, finden Sie in den Informationen zur internationalen Verfügbarkeit und im Artikel Wo Ihre Microsoft 365 Kundendaten gespeichert werden. Weitere Informationen zur Office 365 Government-Cloudumgebung finden Sie im Artikel Office 365 Government-Cloud.

Ihre Organisation ist vollständig dafür verantwortlich, die Einhaltung aller geltenden Gesetze und Bestimmungen sicherzustellen. Die in diesem Abschnitt bereitgestellten Informationen stellen keine rechtliche Beratung dar und Sie sollten sich bei Fragen zur Einhaltung gesetzlicher Bestimmungen für Ihre Organisation an Rechtsberater wenden.

Office 365-Anwendbarkeit und im Leistungsumfang enthaltene Dienste

Verwenden Sie die folgende Tabelle, um die Anwendbarkeit für Ihre Office 365-Dienste und -Abonnements zu bestimmen:

Anwendbarkeit Im Leistungsumfang enthaltene Dienste
Kommerziell Microsoft Entra ID, Azure Information Protection, Bookings, Compliance Manager, Delve, Exchange Online, Exchange Online Protection, Forms, Kaizala, Microsoft Analytics, Microsoft Booking, Microsoft Defender for Office 365, Microsoft Graph, Microsoft Teams, Microsoft To-Do für Web, MyAnalytics, Office 365 Advanced Compliance Add-On, Office 365 Cloud App Security, Office 365 Groups, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, StaffHub, Stream, Sway, Viva Engage
GCC Microsoft Entra ID, Compliance Manager, Delve, Exchange Online, Forms, Microsoft Defender for Office 365, Microsoft Teams, MyAnalytics, Office 365 Advanced Compliance Add-On, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, Stream

Office 365-Audits, -Berichte und -Zertifikate

Weitere Informationen finden Sie in den Office 365 SOC-Nachweisberichten.

Häufig gestellte Fragen

Kann ich die Microsoft-Konformität mit SOC-Standards verwenden, um die FFIEC-Konformitätsverpflichtungen für meine Einrichtung zu erfüllen?

Um Ihnen bei der Erfüllung dieser Verpflichtungen zu helfen, liefert Microsoft die Einzelheiten zur Einhaltung der SOC-Standards, wie weiter oben beschrieben. Letztendlich liegt es jedoch an Ihnen, zu bestimmen, ob unsere Dienste den spezifischen Gesetzen und Vorschriften entsprechen, die für Ihre Einrichtung gelten. Der FFIEC rät auch, dass "sich die Nutzer von Prüfberichten oder Überprüfungen nicht allein auf die im Bericht enthaltenen Informationen verlassen sollten, um die interne Kontrollumgebung des TSP zu überprüfen. Sie sollten andere Überprüfungs- und Überwachungsverfahren anwenden, die in der Broschüre "Outsourcing Technology" des FFIEC IT-Prüfungshandbuchs ausführlicher erläutert werden."

Verwenden von Microsoft Purview Compliance Manager zum Bewerten Ihres Risikos

Microsoft Purview Compliance Manager ist ein Feature im Microsoft Purview-Complianceportal, das Ihnen hilft, den Compliancestatus Ihrer organization zu verstehen und Maßnahmen zur Verringerung von Risiken zu ergreifen. Compliance Manager bietet eine Premiumvorlage für die Erstellung einer Bewertung für diese Verordnung. Suchen Sie die Vorlage auf der Seite Bewertungsvorlagen im Compliance Manager. Erfahren Sie, wie Sie Bewertungen im Compliance-Manager erstellen.

Ressourcen

Weitere Microsoft-Ressourcen für Finanzdienste