Compliance

Risikomanagement-Programm

Der Rahmen für das Sicherheitsrisikomanagement von Hootsuite legt das allgemeine Mandat und die Verpflichtung, die Leitprinzipien sowie die festgelegten Rollen und Verantwortlichkeiten für die Verwaltung, Überwachung und Verbesserung der Risikomanagementpraxis innerhalb des Unternehmens fest. Dieses Programm ist anpassungsfähig, um das interne organisatorische und externe Umfeld, technologische Fortschritte und geschäftliche Veränderungen zu berücksichtigen. Das Rahmenwerk umfasst die Bewertung und Behandlung von Informationssicherheitsrisiken für alle Sicherheitsprozesse, einschließlich der Überprüfung von Anbietern/Lieferanten, des Patchings von Anwendungen/Servern, der Verwaltung von Sicherheitsvorfällen und der Behebung von Schwachstellen.

Hootsuite verfügt über ein engagiertes Team, dessen Aufgabe es ist, objektive Prüfungs- und Beratungsleistungen zu erbringen, die einen Mehrwert schaffen und die Geschäftstätigkeit von Hootsuite stärken. Ihr Mandat besteht darin festzustellen, ob die von der Geschäftsleitung konzipierten und vertretenen Risikomanagement-, Kontroll- und Governance-Prozesse von Hootsuite angemessen sind und für alle Geschäftsbereiche, zu denen auch die Aktivitäten von Hootsuite gehören, wie vorgesehen funktionieren.

Dazu gehören:

1. Sicherstellen, dass das Management zuverlässige interne Kontrollen implementiert hat.

2. Beratung von Geschäftseinheiten in Bezug auf Risiken und Unterstützung des Managements bei der Identifizierung von Kontrollen zur Risikominderung.

3. Bewertung der Kontrollen und Abläufe innerhalb der Geschäftsbereiche und Berichterstattung der Ergebnisse der Bewertung an das Management.

Es gibt einen strukturierten Prozess zur Risikobewertung, um Risiken zu identifizieren und zu managen, die die Fähigkeit von Hootsuite, Dienstleistungen für seine Kunden zu erbringen, beeinträchtigen könnten. Die Bewertung wird jährlich durchgeführt oder wenn eine wesentliche Änderung der Umgebung oder des Geschäftsprozesses stattgefunden hat. Die Bewertung umfasst die folgenden Schritte: Identifizieren, Analysieren, Bewerten und effektives Behandeln von Risiken.

Richtlinien zur Informationssicherheit

Hootsuite hat ein Informationssicherheits-Managementsystem (ISMS) zur Steuerung seiner Abläufe eingerichtet. Es sind Richtlinien und Prozesse vorhanden, um dem Management Anweisungen und Unterstützung für die Informationssicherheit gemäß den Geschäftsanforderungen und relevanten Rahmenwerken, Gesetzen und Vorschriften zu geben. Hootsuite verfügt über eine umfassende Reihe von Informationssicherheitsrichtlinien, die auf den Informationssicherheitsstandards ISO/IEC 27001/27002, Trust Service Criteria (SOC 2), NIST 800-53 und der DSGVO basieren. Dazu gehören Richtlinien im Zusammenhang mit: 

• Zulässige Nutzung

• Zugriffskontrolle 

• Vermögensverwaltung 

• Change-Management 

• Konfigurationsverwaltung 

• Kryptographie 

• Wiederherstellung nach einem Notfall 

• Endpunktsicherheit 

• Klassifizierung von Informationen 

• Sicherheit der Humanressourcen 

• Protokollierung und Überwachung 

• Betriebliche Sicherung 

• Passwort

• Physische Sicherheit und Umgebungssicherheit 

• Verwaltung von Sicherheitsvorfällen

• Sicherheitsrisikomanagement 

• Verwaltung von Sicherheitslücken

• Risikomanagement für Dritte 

• Sicherheit bei drahtlosen Verbindungen

Die Sicherheitsrichtlinien basieren auf den Grundprinzipien der geringsten Rechte, der Notwendigkeit, etwas zu wissen, und der Aufgabentrennung. Die Richtlinien werden jährlich überprüft oder wenn sich die Umgebung oder der Geschäftsprozess erheblich verändert hat.

Verifizierung

Hootsuite führt interne Tests der wichtigsten Sicherheits- und Datenschutzkontrollen durch, um die Einhaltung etablierter Rahmenwerke zu überprüfen. Dazu gehören jährliche Sicherheitspenetrationstests durch Dritte. Die Ergebnisse werden der Geschäftsleitung mitgeteilt; Abhilfemaßnahmen werden überwacht und Kontrollen werden bei Bedarf erneut getestet, um die Compliance sicherzustellen.

Sicherheits- und Datenschutzkontrollen werden jährlich von einem unabhängigen Dritten geprüft, um sicherzustellen, dass Technologie, Prozesse und Verfahren vorhanden sind und befolgt werden. Sie können eine Zusammenfassung unseres SOC 2 Type II-Berichts über Ihren Account Manager anfordern.Unser SOC 3-Bericht enthält Informationen zu den internen Kontrollen von Hootsuite in Bezug auf Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz und steht hier zum Download zur Verfügung.

Die nationale Cybersicherheitsstrategie der britischen Regierung verlangt von allen Anbietern, dass sie die Cyber Essential-Kontrollen einhalten, wenn sie sich um Regierungsaufträge bewerben, die den Umgang mit sensiblen und persönlichen Daten beinhalten. Cyber Essentials wurde von der britischen Regierung in Zusammenarbeit mit der Branche entwickelt und bietet eine Basis für grundlegende Maßnahmen zur Cyberhygiene. Hootsuite hat die Einhaltung des Cyber Essentials-Programms erreicht.

FedRAMP

Das Federal Risk and Authorization Management Program, oder FedRAMP, ist ein landesweites Programm, das die Sicherheitsbewertung von Cloud-Diensten standardisiert, die von US-Bundesbehörden genutzt werden. FedRAMP stellt sicher, dass Unternehmen strenge Standards erfüllen, die von einer externen Stelle geregelt werden. US-Bundesbehörden werden ermutigt, Daten bei externen Cloud-Dienstanbietern zu hosten, die über eine FedRAMP-Autorisierung verfügen.

Die FedRAMP-Autorisierung folgt einem Zertifizierungsprozess, der anhand des NIST SP 800-53-Standards geprüft wird. Abhängig von der Art der vom Anbieter verarbeiteten Bundesdaten gibt es unterschiedliche Berechtigungsstufen. Hootsuite ist nach dem FedRAMP Tailored Li-SaaS-Standard autorisiert.

Wenn Sie Fragen zum Risikomanagementprogramm von Hootsuite, zu Informationssicherheitsrichtlinien oder zum unabhängigen Verifizierungsprozess haben, wenden Sie sich an Ihren Kundenberater oder kontaktieren Sie uns, um mehr zu erfahren.