Sie haben unzählige Stunden damit verbracht, sich auf Ihren SOC 2-Bericht vorzubereiten. Woher wissen Sie, ob Sie für eine erfolgreiche Prüfung und einen sauberen Bericht bereit sind?

Eine SOC 2-Selbstbewertung kann Ihnen eine klare Vorstellung davon geben, wie gut Sie auf eine externe Prüfung vorbereitet sind, und Ihnen helfen, Lücken in Ihrer Sicherheitslage zu identifizieren, damit Sie diese vor Ihrer Prüfung beheben können.

Lesen Sie weiter für eine Schritt-für-Schritt-Anleitung zur Durchführung einer ordnungsgemäßen Selbstbewertung sowie für eine SOC 2-Bereitschaftscheckliste, damit Sie mit Zuversicht in Ihre Prüfung gehen können.

Was ist ein SOC 2-Audit?

Ein SOC 2 (System and Organization Controls 2) Bericht ist eine Bestätigung durch eine akkreditierte Wirtschaftsprüfungsfirma. Dieser Prüfungsbericht bestätigt, dass Ihre Serviceorganisation über die entsprechenden Cybersicherheitsvorkehrungen verfügt, um Kundendaten zu schützen.

Es gibt zwei Arten von SOC 2-Berichten: SOC 2 Typ I, der Ihre Sicherheitslage zu einem bestimmten Zeitpunkt bewertet, und SOC 2 Typ II, der Ihre Sicherheitslage über einen bestimmten Zeitraum bewertet.

SOC 2-Bereitschaftsbewertung vs. SOC 2-Selbstbewertung: Was ist der Unterschied? 

Eine Bereitschaftsbewertung ist eine formelle Untersuchung, die von einem vom American Institute of Certified Public Accountants (AICPA) akkreditierten Prüfer durchgeführt wird. Es ist wie eine Generalprobe für Ihre formale Prüfung und kann Ihnen helfen festzustellen, ob die Kontrollen Ihrer Organisation die ausgewählten Trust Services Criteria erfüllen und ausreichen, um die Einhaltung der Vorschriften zu beweisen. Eine Bereitschaftsbewertung wird auch eventuelle Lücken in Ihrer Datensicherheit aufdecken, die behoben werden müssen.

Bereitschaftsbewertungen kosten normalerweise zwischen 10-17.000 Dollar, abhängig von der Größe Ihrer Organisation und dem Umfang Ihrer Prüfung.

Anstatt einen Berater zu beauftragen, der eine vollständige Bereitschaftsbewertung durchführt, entscheiden sich einige Organisationen für eine interne SOC 2-Selbstbewertung. Während der Selbstbewertung wird die Organisation bestehende Informationssicherheitskontrollen und Richtlinien auf ihre ausgewählten Trust Services Criteria abbilden, eventuelle Lücken identifizieren und einen Aktionsplan zur Behebung dieser Lücken vor ihrer formalen SOC 2-Prüfung erstellen.

Die Entscheidung, welche Option für Ihre Organisation am besten geeignet ist, hängt oft von den verfügbaren Ressourcen ab. Eine Bereitschaftsbewertung ist eine zusätzliche Ausgabe, während Selbstbewertungen Produktivitätskosten verursachen und davon abhängen, dass jemand im Personal über die erforderliche Expertise verfügt.

Welchen Weg Sie auch wählen, es ist am besten, Ihre Bewertung mehrere Monate vor dem geplanten formalen Compliance-Audit abzuschließen. Sie benötigen Zeit, um alle Lücken zu schließen, die Sie in Ihren Systemen und internen Kontrollen entdecken.

So führen Sie eine SOC 2 Selbstbewertung in 4 Schritten durch

Wenn Sie sich entschieden haben, dass eine SOC 2 Selbstbewertung die richtige Wahl für Ihr Unternehmen ist, fragen Sie sich wahrscheinlich, wie Sie diese durchführen können. Im Wesentlichen geht es bei einer Selbstbewertung darum, zu vergleichen, wo Sie stehen und wo Sie sein müssen, und dann einen konkreten Plan zu erstellen, um dorthin zu gelangen.

Hier sind die vier Hauptschritte einer Selbstbewertung:

Schritt 1: Prüfungsumfang definieren

Sie müssen wissen, worauf Sie sich vorbereiten, bevor Sie entscheiden können, ob Sie bereit sind. Benötigen Sie einen Typ I oder Typ II Bericht? Welche Trust Services Kriterien (früher Trust Services Principles) müssen Sie in Ihr SOC-Audit einbeziehen?

Es gibt einige Möglichkeiten, um zu entscheiden, welche TSC für Ihre Organisation relevant sind. Jedes SOC 2 Audit muss Sicherheit beinhalten, aber alle darüber hinausgehenden TSC sind optional und werden wahrscheinlich durch die Art der von Ihnen angebotenen Dienste und die Anforderungen Ihrer Kunden bestimmt.

Zum Beispiel, wenn Ihre Dienste eine Verfügbarkeit von 99,9 % garantieren, benötigen Sie wahrscheinlich das Verfügbarkeitskriterium. Wenn Ihre Organisation vertrauliche Informationen wie Finanzberichte oder geistiges Eigentum behandelt, müssen Sie wahrscheinlich Vertraulichkeit hinzufügen.

Berücksichtigen Sie zweitens, welche TSC Ihre Kunden in einem Bericht erwarten. Für welche TSC interessieren sie sich am meisten und möchten, dass Sie diese einhalten?

Als nächstes müssen Sie entscheiden, welche Art von SOC 2 Bericht Sie verfolgen möchten: einen Typ I oder Typ II.

Wenn Ihre Organisation dringend einen SOC 2 Bericht benötigt, kann es verlockend sein, sich für den schnelleren, günstigeren Typ I Bericht zu entscheiden. Seien Sie sich jedoch bewusst, dass viele potenzielle Kunden Typ I Berichte ablehnen, und es ist wahrscheinlich, dass Sie irgendwann einen Typ II Bericht benötigen werden.

Die Entscheidung, den Typ II Bericht zu erhalten, kann Ihrer Organisation langfristig Zeit und Geld sparen, indem Sie nur ein Audit anstatt zwei durchführen. Wir finden, dass die beste Option für Unternehmen mit einem dringenden Bedarf an einem SOC 2 Bericht ein Typ II Bericht mit einer kürzeren Überprüfungszeit von 3 Monaten ist.

Schritt 2: Compliance-Anforderungen mit Ihren aktuellen Kontrollen abgleichen

Sobald Sie wissen, welche TSC Sie in Ihren Prüfungsbericht aufnehmen, können Sie Ihren aktuellen System-, Kontroll- und Sicherheitsrichtlinienbestand erfassen, um zu vergleichen, wo Sie stehen und wo Sie sein müssen.

Jedes SOC 2 Audit wird die Allgemeinen Kriterien, auch bekannt als CC-Serie, beinhalten. Ihre Kontrollen sollten mindestens Folgendes abdecken:

• CC1: Kontrollumgebung
  Wie beweist die Organisation, dass sie Sicherheit und Integrität wertschätzt?
• CC2: Kommunikation und Information
  Hat die Organisation Richtlinien und Prozesse implementiert, um Sicherheit zu fördern? Wie werden diese Richtlinien und Prozesse an Mitarbeiter und externe Interessengruppen kommuniziert?
• CC3: Risikobewertung
  Verfügt die Organisation über einen formalen, durchdachten Ansatz zum Risikomanagement?
• CC4: Überwachungskontrollen
  Wie bewertet die Organisation, ob Kontrollen wie beabsichtigt funktionieren?
• CC5: Kontrollaktivitäten
  Hat die Organisation angemessene Kontrollen und Prozesse implementiert, um Risiken zu mindern?
• CC6: Logische und Physische Zugangskontrollen
  Wie schützt die Organisation Daten vor unbefugtem Zugriff?
• CC7: Systembetrieb
  Überwacht die Organisation Systeme, um sicherzustellen, dass sie ordnungsgemäß funktionieren? Gibt es Notfallmaßnahmen und Wiederherstellungspläne, um sicherzustellen, dass sie weiterhin ordnungsgemäß funktionieren?
• CC8: Änderungsmanagement
  Testet und genehmigt die Organisation bedeutende Änderungen an Systemen und Prozessen, bevor sie implementiert werden?
• CC9: Risikominderung
  Berücksichtigt die Organisation Möglichkeiten zur Risikominderung durch Geschäftsprozesse und Lieferantenmanagement?

Die meisten Organisationen erstellen eine Nachweiserfassungstabelle, die jede TSC-Anforderung und die entsprechenden Richtlinien und/oder Kontrollen auflistet. Dies erleichtert es, Lücken zu erkennen und einen Aktionsplan zu erstellen.

Viele SOC 2 Bereitschaftsbewertungen beinhalten auch Interviews mit Mitarbeitern und Kontrollverantwortlichen, um zu besprechen und zu beobachten, wie Kontrollen im täglichen Arbeitsablauf funktionieren. Sie können eine Sicherheitsrichtlinie oder einen Prozess implementiert haben, aber es nützt Ihrer Organisation nichts, wenn sich niemand daran hält.

Schritt 3: Schließen Sie alle Lücken

Für jede identifizierte Lücke müssen Sie einen Sanierungsplan erstellen, der erklärt, was Sie tun werden, um diese Anforderung zu erfüllen, die Person, die für die Überwachung der Implementierung verantwortlich ist, und den Zeitplan für die Fertigstellung. Dokumentieren Sie Ihre Sanierungspläne gründlich, einschließlich aller Besprechungsprotokolle mit Stakeholdern, um Fortschritte, Entscheidungen und nächste Schritte zu besprechen.

Schritt 4: Kommunikation der Ergebnisse und Sanierungspläne

Teilen Sie die Ergebnisse der Selbstbewertung mit den Stakeholdern, einschließlich derjenigen, die für die Behebung der identifizierten Lücken verantwortlich sind. Geben Sie einen Überblick über die Ziele der Selbstbewertung, bewerteten internen Kontrollen, identifizierte neue oder ungelöste Lücken und die Sanierungspläne.

Es ist verlockend, diese Besprechungen als einfache Statusberichte zu betrachten, aber sie sind auch eine wertvolle Gelegenheit, eine starke Sicherheitskultur aufzubauen und Ihre gesamte Organisation auf die Bedeutung der Einhaltung abzustimmen.

Laden Sie die SOC 2 Selbstbewertungs-Checkliste herunter

Die Vorbereitung auf den SOC 2 Prüfungsprozess ist eine große Aufgabe, aber die richtigen Werkzeuge können den Prozess erheblich erleichtern und weniger stressig machen. Diese SOC 2 Compliance-Checkliste führt Sie durch den Bereitschaftsbewertungsprozess, von der Auswahl der anwendbaren TSC bis zur Sammlung von Nachweisen.

Laden Sie hier Ihre Checkliste herunter.

Bereiten Sie sich schneller auf die Prüfung mit Secureframe vor

Egal, ob Sie SOC 2, PCI DSS, ISO 27001 oder HIPAA-Zertifizierung anstreben, Secureframe rationalisiert den Bereitschaftsbewertungsprozess.

Unsere Compliance-Automatisierungsplattform integriert sich in Hunderte von gängigen Geschäftstools, um Ihre Cloud-Infrastruktur zu scannen und automatisch Ihre Prüfungsbereitschaft zu bewerten. Verfolgen Sie Ihren Fortschritt in Richtung Compliance mit einem leicht verständlichen Dashboard, das Ihnen die Rätselraten bei der Prüfungsvorbereitung abnimmt. Fordern Sie noch heute eine Demo an, um mehr zu erfahren.