Federal Financial Institutions Examination Council (FFIEC)Federal Financial Institutions Examination Council (FFIEC)

FFIEC-ÜbersichtFFIEC overview

Das Federal Financial Institutions Examination Council (FFIEC) ist ein formelles interinstitutionellen Gremium mit fünf Bankenaufsichtsbehörden, die für US-bundesstaatliche Prüfungen von Finanzinstituten in den Vereinigten Staaten zuständig sind.The Federal Financial Institutions Examination Council (FFIEC) is a formal interagency body comprising five banking regulators that are responsible for US federal government examinations of financial institutions in the United States. Das FFIEC Examiner Education Office veröffentlicht IT-Prüfungshandbücher, die für Feld Prüfer aus FFIEC-Mitgliedsorganisationen vorgesehen sind.The FFIEC Examiner Education Office publishes IT Examination Handbooks intended for field examiners from FFIEC member agencies.

Das FFIEC Audit IT Examination Handbook enthält Anleitungen für diese Prüfer, um die Qualität und Effektivität von IT-Überwachungsprogrammen sowohl von Finanzinstituten als auch von FDA zu bewerten.The FFIEC Audit IT Examination Handbook contains guidance for these examiners to assess the quality and effectiveness of IT audit programs of both financial institutions and TSPs. Sie enthält insbesondere die Erwähnung der Berichte SOC 1, SOC 2 und SOC 3 des American Institute of Certified Public Buchhalter (AICPA) als Beispiele für unabhängige Prüfungsberichte.Specifically, it includes mention of SOC 1, SOC 2, and SOC 3 attestation reports of the American Institute of Certified Public Accountants (AICPA) as examples of independent audit reports. Das FFIEC empfiehlt jedoch, dass Finanzinstitute nicht ausschließlich auf die in diesen Berichten enthaltenen Informationen zurückgreifen, sondern auch die Überprüfung und Überwachung verwenden, die ausführlich im FFIEC Outsourcing Technology Services IT Examination Handbookerläutert werden.However, the FFIEC recommends that financial institutions not rely solely on the information contained in these reports, but also use verification and monitoring procedures discussed in detail in the FFIEC Outsourcing Technology Services IT Examination Handbook.

Microsoft und FFIECMicrosoft and FFIEC

Microsoft Azure, Microsoft Power BI und Microsoft Office 365 wurden entwickelt, um den hohen Anforderungen der Bereitstellung von Cloud-Diensten für Finanz Dienstleistungs Institutionen gerecht zu werden.Microsoft Azure, Microsoft Power BI, and Microsoft Office 365 are built to meet the stringent requirements of Providing cloud services for financial services institutions. Im Rahmen unserer Unterstützung bieten wir Ihnen Hilfestellung bei der Einhaltung der FFIEC-Überwachungsanforderungen für die Informationstechnologie und der Möglichkeit, Azure SOC-Bescheinigungen bei der Verfolgung ihrer FFIEC-Compliance-Verpflichtungen zu verwenden.As part of our support, we offer guidance to help you comply with FFIEC audit requirements for information technology and the ability to use Azure SOC attestations when pursuing your FFIEC compliance obligations.

Beschleunigen Sie die Bereitstellung von Finanzdienstleistungen: Laden Sie das Azure Security and Compliance FFIEC Financial Services Blueprint herunter .Accelerate your financial services deployment: Download the Azure Security and Compliance FFIEC Financial Services Blueprint

Damit Kunden von Finanzinstituten ihre FFIEC-Compliance-Anforderungen mit Azure erfüllen können, hat Microsoft Folgendes entwickelt:To help financial institution clients meet their FFIEC compliance requirements with Azure, Microsoft has developed the:

  • Cloud Security Diagnostic Tool * * , mit dem Sie eine Risikobewertung von Azure Services effizienter ausführen können.Cloud Security Diagnostic Tool** to help you more efficiently conduct a risk assessment of Azure services. Das Tool (eine Excel-Tabelle) enthält 19 Informations Sicherheitsdomänen (wie Netzwerk-und Systemsicherheit sowie Informationen und Risikomanagement), die die Anforderungen von Finanzdienstleistungsvorschriften und anderen relevanten Standards sowie die FFIEC IT-Prüfungshandbücher nachverfolgen.The tool (an Excel spreadsheet) features 19 information security domains (such as network and system security and information and risk management) that track the requirements of financial services regulations and other relevant standards, as well as the FFIEC IT Examination Handbooks. Das Tool erläutert, wie Azure den einzelnen Anforderungen entspricht, die für Technologiedienst Anbieter (FDA) gelten.The tool explains how Azure complies with each requirement applicable to technology service providers (TSPs).
  • Azure Security and Compliance Blueprint für FFIEC regulierte Dienste Workloads, ein Begleiter für das Diagnosetool.Azure Security and Compliance Blueprint for FFIEC Regulated Services Workloads, a companion to the diagnostic tool. Es bietet Anleitungen zur Verwendung von Azure Cloud-Diensten sowie Überlegungen zur Einhaltung von FFIEC-Anforderungen und Richtlinien zur Risikobewertung durch die Kunden.It offers guidance on the use of Azure cloud services and considerations for customer compliance with FFIEC requirements and risk assessment guidelines.

Zur weiteren Unterstützung bei der Erfüllung der FFIEC-Anforderungen bieten Microsoft Cloud Services SOC-Bestätigungs Berichte , die von einer unabhängigen CPA-Firma erstellt wurden.To further help you comply with FFIEC requirements, Microsoft cloud services provide SOC attestation reports produced by an independent CPA firm. Die Zertifizierung für SOC 1 Typ 2 basiert beispielsweise auf dem AICPA SSAE 18-Standard (siehe Abschnitt "at-C" 105), der SAS 70 ersetzt hat und für die Berichterstellung über bestimmte Steuerelemente für die Finanzberichterstattung geeignet ist.For example, the SOC 1 Type 2 attestation is based on the AICPA SSAE 18 standard (see AT-C Section 105) that replaced SAS 70, and is appropriate for reporting on certain controls for financial reporting. Die SoC-Berichte enthalten die Stellungnahme des Auditors zur Effektivität von Microsoft-Steuerelementen bei der Erreichung der zugehörigen Kontrollziele während des angegebenen Überwachungszeitraums.The SOC reports include the auditor's opinion on the effectiveness of Microsoft controls in achieving the related control objectives during the specified monitoring period. Finanzinstitute können diese formelle Überwachung bei der Verfolgung von FFIEC-spezifischen Compliance-Verpflichtungen für in Azure, Power BI und Office 365 bereitgestellte Ressourcen verwenden.Financial institutions can use this formal audit when pursuing FFIEC-specific compliance obligations for assets deployed on Azure, Power BI, and Office 365.

Microsoft Cloud Services im LeistungsumfangMicrosoft in-scope cloud services

  • AzureAzure
  • IntuneIntune
  • Office 365Office 365
  • Power BI-Clouddienst entweder als eigenständiger Dienst oder als Bestandteil eines Office 365 Markenplans oder einer Office 365 SuitePower BI cloud service either as a standalone service or as included in an Office 365 branded plan or suite

Prüfungen, Berichte und ZertifikateAudits, reports, and certificates

Azure-und Office 365 SOC-Bestätigungs Berichte.Azure and Office 365 SOC attestation reports.

Häufig gestellte FragenFrequently asked questions

Kann ich die Microsoft-Konformität mit SOC-Standards verwenden, um die FFIEC-Compliance-Verpflichtungen für meine Institution zu erfüllen?Can I use Microsoft compliance with SOC standards to meet the FFIEC compliance obligations for my institution?

Um Sie bei der Erfüllung dieser Verpflichtungen zu unterstützen, stellt Microsoft die Einzelheiten zur Einhaltung unserer SOC-Standards wie oben beschrieben zur Verfügung.To help you meet these obligations, Microsoft supplies the specifics about our compliance with SOC standards as described above. Letztlich liegt es jedoch an Ihnen, festzustellen, ob unsere Dienste den spezifischen Gesetzen und Bestimmungen entsprechen, die für Ihre Institution gelten.However, ultimately, it is up to you to determine whether our services comply with the specific laws and regulations applicable to your institution. Das FFIEC rät außerdem dazu, dass Benutzer von Überwachungsberichten oder-Überprüfungen nicht allein auf die im Bericht enthaltenen Informationen Vertrauen sollten, um die interne Kontrollumgebung des TSP zu überprüfen.The FFIEC also advises that 'users of audit reports or reviews should not rely solely on the information contained in the report to verify the internal control environment of the TSP. Sie sollten zusätzliche Überprüfungs-und Überwachungsverfahren verwenden, die in der Broschüre "Outsourcing Technology " des FFIEC-IT-Prüfungs Handbuchs ausführlicher erläutert werden.They should use additional verification and monitoring procedures as discussed more fully in the Outsourcing Technology Booklet of the FFIEC IT Examination Handbook.'

Bewerten des Risikos mithilfe von Microsoft Compliance-ManagerUse Microsoft Compliance Manager to assess your risk

Microsoft Compliance Manager ist ein Feature im Microsoft 365 Compliance Center , mit dem Sie die Compliance-Haltung ihrer Organisation besser verstehen und Maßnahmen zur Verringerung von Risiken unterstützen können.Microsoft Compliance Manager is a feature in the Microsoft 365 compliance center to help you understand your organization's compliance posture and take actions to help reduce risks. Compliance-Manager bietet eine Premium-Vorlage für die Erstellung einer Bewertung für diese Verordnung.Compliance Manager offers a premium template for building an assessment for this regulation. Suchen Sie die Vorlage auf der Seite " Bewertungs Vorlagen " im Compliance-Manager.Find the template in the assessment templates page in Compliance Manager. Hier erfahren Sie, wie Sie Assessments im Compliance-Manager erstellen.Learn how to build assessments in Compliance Manager.

RessourcenResources

Weitere Microsoft-Ressourcen für FinanzdiensteOther Microsoft resources for financial services