Die Vorbereitung und Durchführung eines SOC 2-Audits kann Hunderte von Stunden manueller Arbeit erfordern – aber das muss nicht sein.

In unserem Secureframe Expert Insights-Webinar, das am Dienstag, dem 31. Januar stattfand, wurde der Secureframe-Compliance-Experte Marc Rubbinaccio, CISSP, CISA von Prüfungspartnern von Insight Assurance begleitet. Marc, Felipe Saboya Gomez, CPA, CIS LA und Jesus Jimenez, CISA, CIS LA, CIS LI, QSA, CDPSE teilten Einblicke, bewährte Verfahren und Tipps zur Straffung des SOC 2-Vorbereitungs- und Prüfungsprozesses.

Hier fassen wir die wichtigsten Erkenntnisse zusammen. Um alle ihre Einblicke zur Vereinfachung des SOC 2-Auditprozesses zu erhalten, sehen Sie sich die Video-Wiederholung auf Abruf an.

Wie man sich auf ein SOC 2-Audit vorbereitet: Wichtige Erkenntnisse

Die All-in-One-Compliance-Automatisierungsplattform von Secureframe und vertrauenswürdige Prüfungspartner wie Insight Assurance haben Tausenden von Kunden geholfen, SOC 2-konform schnell und einfach zu erhalten und zu bleiben. Nachfolgend finden Sie acht Tipps von unserem Compliance-Experten und Prüfungspartner, um schnell SOC 2-bereit zu werden.

1. Herausfinden, ob SOC 2 für Ihre Organisation zutrifft.

SOC 2 kann für Ihre Organisation gelten, wenn Sie jegliche Art von Kundendaten speichern, verarbeiten oder übertragen. Wenn die Kundendaten, die Sie bearbeiten, als sensibel gelten, könnten Ihre Kunden möglicherweise einen SOC 2-Bericht von Ihrer Organisation anfordern, bevor sie Ihnen ihre Daten anvertrauen.

Es gibt Situationen, in denen SOC 2 eine Verantwortung für Ihre Organisation ist, selbst wenn Sie Kundendaten nicht direkt beeinflussen. Wenn Sie beispielsweise ein Dienstleister sind, könnten Sie für bestimmte SOC 2-Anforderungen verantwortlich sein, um die Sicherheit Ihrer Kunden zu unterstützen. Angenommen, Sie hosten Kundenanwendungen auf einer verwalteten Plattform und Infrastruktur. Dann wäre es Ihre Verantwortung, sicherzustellen, dass die Plattform und Infrastruktur die SOC 2-Anforderungen erfüllen, um die Compliance-Bemühungen Ihrer Kunden zu unterstützen.

Wenn Sie Kundendaten speichern, verarbeiten oder übertragen oder die Sicherheit der Daten Ihrer Kunden als Dienstleister beeinflussen, gilt SOC 2 für Ihre Organisation.

2. Wählen Sie zwischen einem SOC 2 Type I oder Type II-Bericht.

Ein SOC 2-Bericht bestätigt die Betriebseffizienz der Sicherheitsprotokolle einer Organisation und hilft bei der Vertrauensbildung zwischen Dienstleistern und ihren Kunden.

Es gibt zwei Typen:

• Type I-Berichte konzentrieren sich auf die Beschreibung des Systems der Dienstleistungsorganisation durch das Management und die Eignung des Designs der Kontrollen zu einem bestimmten Zeitpunkt.
• Type II-Berichte konzentrieren sich auf die Beschreibung des Systems der Dienstleistungsorganisation durch das Management und die Eignung des Designs und der Betriebseffizienz der Kontrollen über einen bestimmten Zeitraum (typischerweise 3-12 Monate).

Wenn Sie die Einhaltung so schnell wie möglich nachweisen müssen, weil ein potenzieller Kunde dies zur Abwicklung des Geschäfts erfordert, kann ein Typ-I-Bericht eine großartige kurzfristige Lösung sein, insbesondere wenn Sie auch an einem Typ-II-Bericht arbeiten.

Das Ziel der meisten Organisationen ist es schließlich, jährlich einen Typ-II-Prüfungsbericht zu erhalten, der einen 12-monatigen Überprüfungszeitraum abdeckt. Diese Art des SOC-Berichts erfordert mehr Zeit und Ressourcen, ist aber auch für Kunden wertvoller. Unternehmensunternehmen oder bestimmte Branchen wie das Finanzwesen arbeiten oft lieber mit Unternehmen zusammen, die einen SOC 2 Type II-Bericht haben.

3. Bestimmen Sie, welche Trust Service Criteria in Ihre Prüfung aufgenommen werden sollen.

SOC 2 hat mehrere Trust Service Criteria, die Sie in Ihre Prüfung aufnehmen können. Sicherheit ist erforderlich, aber es gibt auch Verfügbarkeit, Vertraulichkeit, Integrität der Verarbeitung und Datenschutz.

Der beste Weg zur Auswahl basiert auf Ihrer Umgebung und den Anforderungen Dritter, einschließlich Ihrer Kunden.

• Integrität der Verarbeitung: Angenommen, Sie haben eine Softwarelösung, die Daten verarbeitet, und das endgültige Ergebnis für Ihren Kunden sind irgendwelche verarbeiteten Daten, denen er vertrauen muss. Nehmen Sie Secureframe als Beispiel. Unsere Tests vergleichen Konfigurationsdaten, die wir erhalten, mit den in unsere Plattform eingebauten Tests, um letztendlich ein Bestehen oder Nichtbestehen zu ermitteln. Um das Vertrauen von Prüfungspartnern wie Insight Assurance zu gewinnen, haben wir eine SOC 2-Prüfung durchgeführt, die die Integritätskriterien der Verarbeitung umfasste.
• Vertraulichkeit: Dieses TSC ist wichtig, wenn Ihre Daten für Ihre Kunden besonders sensibel sind, wie z. B. Gesundheitsinformationen, Kreditkartendaten oder Sozialversicherungsnummern.
• Verfügbarkeit: Angenommen, Sie haben eine Software für medizinische Geräte und sie muss jederzeit zu 100 % verfügbar sein, um die Gesundheit oder Behandlung Ihrer Kunden oder ähnliches nicht zu beeinträchtigen. In diesem Fall würde ich empfehlen, die Verfügbarkeit zu prüfen.
• Datenschutz: Erwägen Sie, den Datenschutz in Ihren SOC 2 aufzunehmen, wenn Ihre Kunden oder Dienstleister nach dem Datenschutz ihrer Daten fragen, aber keine spezifischen Rahmenanforderungen haben. Wenn sie von Ihnen verlangen, die GDPR oder CCPA einzuhalten, ist die Durchführung einer SOC 2-Prüfung mit den Datenschutz-TSC dennoch eine großartige Möglichkeit, eine Grundlage zu schaffen und sich auf die Einhaltung dieser komplexeren Datenschutzgesetze vorzubereiten.

4. Identifizieren Sie die betrieblichen Aufgaben, die für die Vorbereitung auf ein SOC 2-Audit erforderlich sind.

Es gibt zwei Hauptkategorien von Kontrollen, die für SOC 2 erfüllt werden müssen: betriebliche und technische Aufgaben.

Betriebliche Aufgaben bestehen aus Prozessen, Verfahren und Überprüfungen, die erforderlich sind, um die Compliance das ganze Jahr über aufrechtzuerhalten. Dazu gehören:

Mitarbeiter On- und Offboarding sowie Schulungen

Zu den SOC 2-Anforderungen im Zusammenhang mit dem Mitarbeiter-Onboarding gehört die Implementierung eines Prozesses zur Durchführung von Hintergrundüberprüfungen potenzieller Neueinstellungen, die Einrichtung eines Schulungsprogramms zur Sicherheitsbewusstseinsbildung, das alle erforderlichen Module umfasst, und die Verpflichtung der Mitarbeiter, Informationssicherheitsrichtlinien, Richtlinien zur akzeptablen Nutzung und einen Verhaltenskodex zu lesen und zu akzeptieren.

Alle betrieblichen Aufgaben müssen sich auf eine etablierte Richtlinie beziehen, einschließlich Zeitplänen für die Durchführung dieser Aktivitäten, wie z. B. die Anforderung, die Schulung zur Sicherheitsbewusstseinsbildung innerhalb von 30 Tagen nach der Einstellung abzuschließen.

Änderungsmanagement

Der Zugang für diese Neueinstellungen muss auch in Übereinstimmung gewährt werden. Das bedeutet, dass eine Rollen- und Verantwortungsmatrix für die Zugangserteilung zu Systemen verwendet, ein Administrator oder Manager den gewährten Zugang überprüft und genehmigt und die Änderung zu Prüfungszwecken dokumentiert wird.

Tatsächlich müssen alle Änderungen einem ähnlichen Prozess unterzogen werden, der dokumentiert und in einer Richtlinie festgehalten werden muss. Infrastruktur- und Codeänderungen müssen von einer anderen Person als dem Autor überprüft und genehmigt, ordnungsgemäß getestet und Rückabwicklungsverfahren enthalten, falls die Änderung zurückgesetzt werden muss.

Richtlinien und Verfahren

Richtlinien und Verfahren müssen für alle betrieblichen und technischen Sicherheitsanforderungen implementiert werden, die angeben, wie Kontrollen in der gesamten Umgebung erfüllt werden. Beispiele für aufrechtzuerhaltende Richtlinien sind:

• Schwachstellenmanagement
• Risikomanagement
• Datenschutz
• Netzwerksicherheit
• Softwareentwicklungssicherheit

Diese Richtlinien müssen Formulierungen zu allen SOC 2-Anforderungen enthalten, einschließlich der Frage, wer der Verantwortliche der Kontrolle ist, wie oft die Kontrolle durchgeführt wird, welche Tools verwendet werden und wie der Prozess zur Durchführung der Kontrollen abläuft.

Wiederkehrende Aufgaben

Es gibt viele Aufgaben, die während des Prüfungszeitraums regelmäßig wiederkehren müssen. Die Verfolgung dieser Aufgaben, um sicherzustellen, dass sie abgeschlossen werden, ist entscheidend für den Erfolg Ihrer Prüfung und Ihre Fähigkeit, die Compliance das ganze Jahr über aufrechtzuerhalten.

Beispiele für diese Aufgaben könnten vierteljährliche logische Zugriffskontrollen, vierteljährliche Schwachstellenscans, jährliche Incident-Response-Tabletop-Übungen, jährliche Penetrationstests und jährliche Risikobewertungen sein. Es ist möglich, dass einige Prüfer unterschiedliche Häufigkeiten dieser Aufgaben verlangen, daher ist es wichtig, ein Tool zur einfachen Verfolgung und Erinnerung zu verwenden.

Risikomanagement

Ein ordnungsgemäßes Risikomanagementprogramm ist für SOC 2 erforderlich. Dazu gehört die Durchführung einer Risikobewertung aller potenziellen betrieblichen und technischen Risiken, die Bewertung und Bewertung der Risiken in gepflegter Dokumentation und dann die Aktualisierung der Risiken mit einem Minderungszeitplan, einschließlich des Prozesses zur erneuten Bewertung der Risiken zu einem späteren Zeitpunkt.

5. Identifizieren Sie die technischen Aufgaben, die für die Vorbereitung auf ein SOC 2-Audit erforderlich sind.

Technische Aufgaben sind die zweite Hauptkategorie von Anforderungen und Kontrolltypen. Technische Aufgaben bestehen darin, die tatsächlichen Sicherheitskonfigurationen im Zusammenhang mit Ihren sensiblen Kundendaten zu implementieren, sicherzustellen, dass die zugehörigen Systeme sicher sind, und Kontrollen zur Überwachung und Entdeckung von Sicherheitsvorfällen zu etablieren. Diese beinhalten:

Schwachstellenmanagement

Schwachstellen müssen für jede verwaltete Plattform oder Anwendung in Ihrer Umgebung identifiziert und behoben werden. Ein mehrschichtiger Ansatz zur Schwachstellenerkennung, der die Überwachung von Sicherheitsnachrichten wie US-CERT und CISA.gov für Schwachstellen umfasst, die die Technologie und Anwendungen, die Sie als Organisation verwenden, betreffen könnten, ist ideal.

Ein weiterer wichtiger Aspekt des Schwachstellenmanagements ist die Einführung eines Schwachstellenscannings. Für Cloud-Infrastrukturen könnte dies die Nutzung eines Cloud-Dienstes wie AWS Inspector oder Azure Defender for Cloud sein. Für Anwendungen würde dies die Nutzung von SAST und DAST bedeuten. SAST ist die Sicherheitsanalyse des Quellcodes während des Softwareentwicklungslebenszyklus, und DAST ist das externe Schwachstellenscanning der Anwendung selbst. Die Kombination von SAST und DAST ist der Weg, um ein starkes Schwachstellenscanning-Programm zu etablieren.

Zuletzt, aber nicht weniger wichtig, sollten Sie jährlich und bei wesentlichen Änderungen Penetrationstests durchführen. Die Beauftragung eines externen Partners zur Durchführung eines Penetrationstests wird Ihnen helfen, Schwachstellen und Schwächen zu entdecken, die über die Fähigkeiten eines Schwachstellenscanners hinausgehen.

Secureframe-Kunden können mit jedem der Penetrationstester in unserem vertrauenswürdigen Partner-Ökosystem zusammenarbeiten.

Verschlüsselung

Die Implementierung starker Verschlüsselung für sensible Daten im Ruhezustand und während der Übertragung über öffentliche Netzwerke ist für SOC 2 erforderlich und entscheidend für die Sicherheit Ihrer Kundendaten.

Protokollierung und Überwachung

Die Protokollierung und Überwachung von Anwendungen, Plattformen und Daten ist entscheidend, um sicherzustellen, dass die etablierten Prozesse und Konfigurationen wie vorgesehen funktionieren. Die Aktivierung der Protokollierung innerhalb der Umgebung und die Festlegung von Sicherheitsüberwachungsmetriken für Ereignisse wie mehrere fehlgeschlagene logische Zugriffsversuche, Änderungen an kritischen Dateisystemen und von Administratoren durchgeführte Aktionen, wird Ihrem Team helfen, Sicherheitsvorfälle und Fehlkonfigurationen in Ihrer Umgebung schnell zu entdecken.

Sichere Konfiguration von Servern, Workstations und Netzwerken

Die Sicherung von Servern, Workstations und Netzwerken beginnt damit, dass alle Ressourcen in Ihrer Umgebung gemäß den Sicherheitsgrundlinien des Anbieters und der Branche, einschließlich der vom AICPA festgelegten Konfigurationsanforderungen, konfiguriert sind. Dazu gehören Festplattenverschlüsselung, Antivirensoftware, Passwortrichtlinien und andere Sicherheitsanforderungen.

6. Nutzung einer Automatisierungsplattform zur Straffung des Bereitschaftsprozesses.

Wenn Sie sich zum ersten Mal auf ein SOC 2-Audit vorbereiten, haben Sie möglicherweise Fragen wie: Wie bestimme ich genau, was erforderlich ist? Sobald ich die Anforderungen ermittelt habe, wie organisiere ich diese Aufgaben und Nachweise? Wie implementiere ich die notwendigen Kontrollen, um diese Anforderungen zu erfüllen?

Hier kommt Secureframe ins Spiel.

Mit unserer Plattform können Sie jede Anforderung des SOC 2-Rahmenwerks einsehen, die in Tests und Kontrollen unterteilt ist. Sie können diese Kontrollen überprüfen und bestimmen, wer in Ihrem Team den fehlgeschlagenen Test beheben muss und diese Person zuweisen. Sie können auch ein Toleranzfenster für diesen Test planen, sodass beim erneuten Durchführen der Aufgaben automatische Benachrichtigungen an den Testverantwortlichen gesendet werden. Dies wird Ihnen helfen, alle Rahmenanforderungen zu verwalten.

Anstatt den Auditoren Screenshots von Konfigurationen bereitzustellen, können Sie Secureframe-Integrationen die Arbeit für Sie erledigen lassen. Integrieren Sie Ihren Cloud-Dienstanbieter, Ihr Versionskontrollwerkzeug und andere Technologien, um Konfigurationsdaten automatisch zu ziehen, die Secureframe mit den Rahmenanforderungen vergleicht. Dieser Vergleich führt zu einem bestandenen oder nicht bestandenen Test mit Abhilfemaßnahmen, die direkt in der Secureframe-Plattform bereitgestellt werden.

Secureframe bietet auch Sicherheitsbewusstseinsschulungen, die in die Plattform integriert sind. Diese Schulungen decken die SOC 2-Anforderungen ab, sodass Sie keinen weiteren Drittanbieter evaluieren oder nutzen müssen. Secureframe bietet auch Sicherheitsschulungen für andere Rahmenwerke wie HIPAA und PCI DSS an.

7. Verstehen Sie, was am SOC 2-Audit-Prozess beteiligt ist.

Es gibt drei Hauptphasen während des Auditprozesses. Der Überblick unten beschreibt den Prozess von Insight Assurance. Jeder Auditprozess variiert leicht, aber die allgemeinen Schritte sind gleich.

Phase 1: Planung

Hierbei führt das Prüfungsunternehmen einen Kickoff durch. Bei Insight Assurance verfolgt dieses Kickoff drei Ziele. Erstens möchten sie den Prüfungsumfang verstehen. Dies stellt sicher, dass nur relevante Systeme, Personen und Daten in das Audit einbezogen werden. Zweitens möchten sie die Zeitpunktdaten identifizieren, wenn sie ein SOC 2 Type I Audit durchführen, oder den Prüfungszeitraum, wenn sie ein Type II Audit durchführen. Drittens möchten sie über den gewünschten Zeitplan für das Audit sprechen und Erwartungen setzen.

Sobald sie den Umfang, den Zeitplan und den Ansprechpartner verstanden haben, gehen sie zu virtuellen Interviews und Kontrollgesprächen über. Dies wird auch als Walkthroughs bezeichnet. Hierbei tauchen sie tief in Ihre Umgebung, Richtlinien und Verfahren ein.

Phase 2: Feldarbeit

In dieser Phase führt das Unternehmen die Beweiserhebung und -prüfung durch. Bei Insight Assurance lässt sich ein Mitarbeiter oder ein leitender Prüfer einen allgemeinen Überblick verschaffen, um sicherzustellen, dass es keine Probleme mit Ihren Richtlinien oder Integrationen gibt. Sobald diese allgemeine Überprüfung abgeschlossen ist, führt ein Partner oder Mitglied der Geschäftsführung eine detaillierte Überprüfung durch. Sie gehen alle Beweise und Tests durch, die abgeschlossen wurden, um mögliche Probleme oder potenzielle Ausnahmen zu identifizieren, die zusätzliche Beweise erfordern könnten.

Phase 3: Berichterstattung

In dieser letzten Phase erstellt das Unternehmen den Bericht mit einer Stellungnahme, der Erklärung der Geschäftsführung, der Beschreibung des Systems und dem Test der Kontrollen, um sicherzustellen, dass alle SOC 2-Anforderungen erfüllt sind. Bei Insight Assurance wird dieser Bericht, sobald er fertiggestellt ist, erneut einer internen Qualitätssicherung unterzogen und dann an den Kunden gesendet. Der Kunde hat die Möglichkeit, alle Abschnitte des Berichts durchzulesen und dann Kommentare oder Vorschläge zu Abschnitt 3 zu machen.

Sobald der Kunde seine Zustimmung erteilt, stellt das Unternehmen den SOC 2-Bericht aus.

8. Verwenden Sie auch eine Automatisierungsplattform, die den eigentlichen Auditprozess rationalisiert.

Prüfer haben Zugang zu einem Berichtsansicht, die die ihnen vertrauten Rahmenanforderungen zeigt. Die Berichtsansicht ermöglicht es dem Prüfer, die zu jeder Anforderung zugeordneten Nachweise zu überprüfen, die er dann im Entwurfsbericht für den Kunden leicht dokumentieren kann.

Secureframe bietet den Prüfern die Möglichkeit, Nachweise direkt aus jedem Test oder in großen Mengen zu exportieren, sodass die Prüfer die Nachweise außerhalb der Plattform überprüfen oder für eine einfache Archivierung herunterladen können.

Die Secureframe-Benutzeroberfläche zeigt einfach und ermöglicht die Filterung von massiven Compliance-Anforderungen wie allen relevanten Mitarbeitern und den Konfigurationen ihrer Arbeitsplätze, Richtlinienakzeptanzen und dem Abschluss von Schulungen zur Sicherheitsbewusstsein.

Erhalten und bleiben Sie schneller konform mit Secureframe

Zeitersparnis während des Vorbereitungs- und Prüfungsprozesses führt zu einem viel schnelleren und effizienteren SOC 2-Compliance-Prozess. Wenn Sie bereit sind, loszulegen, vereinbaren Sie eine Demo von Secureframe.