SOC 2 Prüfungsberichte können über 100 Seiten lang sein und detaillierte Informationen über die Systeme und Prüfungsergebnisse enthalten. Einer der wichtigsten (und umfangreichsten) Abschnitte des Berichts ist die Systembeschreibung.

SOC 2 Berichte haben typischerweise fünf Hauptabschnitte:

1. Prüfungsbericht des Auditors: Eine Zusammenfassung der Prüfung und ihrer Ergebnisse. Dieser Abschnitt enthält die Meinung des Auditors darüber, wie gut Ihre Kontrollumgebung mit den SOC 2 Anforderungen übereinstimmt.
2. Management Assertion: Behauptungen des Managements über seine Systeme und internen Kontrollen
3. Systembeschreibung: Ein detaillierter Überblick über das geprüfte System, einschließlich seiner Komponenten, Verfahren und Systemvorfälle.
4. Kontrolltests: Eine Beschreibung der durchgeführten Tests und deren Ergebnisse.
5. Weitere Informationen: Jegliche zusätzlichen Informationen, wie die Antwort des Managements auf etwaige Prüfungsabweichungen.

Sich hinzusetzen, um die Systembeschreibung zu schreiben, kann entmutigend sein, besonders wenn Sie nicht genau wissen, was einzuschließen ist oder wo Sie anfangen sollen. Wenn das auf Sie zutrifft, sind Sie an der richtigen Stelle.

Wir erklären, was in eine SOC 2 Systembeschreibung gehört, führen Sie durch den Schreibprozess und teilen echte Beispiele, die Sie als Referenz verwenden können.

Was ist eine SOC 2 Systembeschreibung und warum ist sie wichtig?

Jeder SOC 2 Prüfung endet mit einem schriftlichen Bericht, der den Umfang und die Ergebnisse der Prüfung zusammenfasst. Einige Abschnitte des SOC 2 Berichts werden vom Auditor geschrieben, andere von der Dienstleistungsorganisation.

Die SOC 2 Systembeschreibung ist ein Teil, der von der Organisation geschrieben wird. Es ist eine detaillierte Zusammenfassung Ihrer Dienstleistungen und der Kontrollen, die Sie implementiert haben, um die für Ihre Prüfung relevanten Trust Services Criteria zu erfüllen.

Lassen Sie es uns noch einfacher ausdrücken. Stellen Sie sich vor, Sie besitzen ein Auto, das Sie an Personen vermieten (Ihre Dienstleistung). Die SOC 2 Systembeschreibung ist wie ein umfassendes Handbuch für dieses Auto. Es würde Informationen enthalten wie:

1. Wofür das Auto verwendet werden sollte (Beschreibung Ihrer Dienstleistungen).
2. Wie oft es gewartet wird und von wem (Informationen über Drittanbieter oder Auftragnehmer, die Sie verwenden).
3. Die verschiedenen Sicherheitsfunktionen des Autos, wie Spurhalteassistent, automatisches Bremsen und Airbags (Sicherheitskontrollen, die Sie implementiert haben, um die Sicherheit, Vertraulichkeit, Verfügbarkeit, den Datenschutz und die Integrität der Datenverarbeitung zu gewährleisten).
4. Verfahren zur sicheren Nutzung des Autos (Richtlinien und Verfahren Ihres Unternehmens).

Dieses Handbuch (oder die SOC 2 Systembeschreibung) hilft Kunden zu verstehen, was Sie getan haben, um sicherzustellen, dass Ihre Dienstleistungen sicher, zuverlässig und ordnungsgemäß gewartet sind. Es ist ein entscheidender Teil des Aufbaus von Vertrauen bei Kunden und Partnern und zeigt, dass Sie sich den höchsten Standards der Informationssicherheit verpflichtet haben.

Was in eine SOC 2 Systembeschreibung gehört

Nun wollen wir uns den Kernpunkten zuwenden, wie man eine SOC 2 Systembeschreibung schreibt.

Eine Systembeschreibung kann in acht grundlegende Teile unterteilt werden. Wir werden jeden Teil im Folgenden durchgehen, einige Beispiele einfügen und Tipps und bewährte Praktiken von unserem Team aus SOC 2 Experten und ehemaligen Prüfern teilen.

Teil 1: Unternehmensübersicht und bereitgestellte Dienstleistungen

Der erste Teil der Systembeschreibung gibt einen Überblick darüber, was die Organisation tut.

Die ABC Company hilft Unternehmen, Talente zu gewinnen und zu binden, indem sie die Verbindung zu den richtigen Bewerbern erleichtert. Wir haben 100 Millionen Dollar von Investitionsfirmen wie VCFirm1 und VCFirm2 erhalten und haben weltweit 10.000 Kunden.

Die Plattform der ABC Company wurde von der ABC Company entwickelt und gebaut. Die Plattform wird auf AWS-Cloud-Infrastruktur gehostet, die über die Website abc.co zugänglich ist.

Teil 2: Systemgrenzen

Dies ist eine Beschreibung dessen, was als Teil des Geltungsbereichs des SOC 2 Audits abgedeckt wird.

Die Systemgrenzen, die im Rahmen dieses Berichts berücksichtigt werden, umfassen die Produktionssysteme, Infrastruktur, Software, Personen, Verfahren und Daten, die das XYZ-System unterstützen.

Teil 3: Subservice-Organisationen

Schreiben Sie einen Absatz, der die Technologien zusammenfasst, die in der Systembeschreibung behandelt werden. Dies kann eine einfache Liste der von Ihnen verwendeten Dienstleistungen und ihrer Gründe sein.

Die ABC Company verwendet AWS, eine Subservice-Organisation, um Cloud-Infrastruktur bereitzustellen; Dropbox, eine Subservice-Organisation, für cloudbasiertes Datei-Sharing; und Slack, eine Subservice-Organisation, für Teamkommunikation und -zusammenarbeit.

Teil 4: Hauptdienstverpflichtungen und Systemanforderungen

Im nächsten Abschnitt müssen Sie zeigen, wie Ihr System die Dienstverpflichtungen und Systemanforderungen erfüllt.

1. Dienstverpflichtungen: Dies sind im Wesentlichen die Versprechen, die eine Dienstorganisation Kunden, Partnern und anderen Interessengruppen gibt. Diese könnten in Service Level Agreements (SLAs), Verträgen oder anderen formalen Dokumenten festgehalten werden und beziehen sich oft auf Datensicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz.

Ein Cloud-Service-Provider könnte zum Beispiel eine bestimmte Menge an Betriebszeit zusagen, wie etwa 99,9 % Verfügbarkeit, Sicherheitsmaßnahmen wie Datenverschlüsselung oder zeitnahe Datensicherung und -wiederherstellung.

2. Systemanforderungen: Wie muss das System funktionieren, um die angegebenen Dienstverpflichtungen zu erfüllen?

Systemanforderungen können sowohl funktionale Aspekte (was das System tut, wie etwa Transaktionen verarbeiten oder Daten speichern) als auch nicht-funktionale Aspekte umfassen (wie das System performt, wie etwa seine Verfügbarkeit, Zuverlässigkeit oder Sicherheitsstufe).

Teil 5: Systemkomponenten

Dieser Abschnitt beschreibt die verschiedenen Komponenten, aus denen das zu auditierende System besteht, und sollte fünf Punkte abdecken:

1. Infrastruktur: Welche Hardware und andere Komponenten machen das zu auditierende System aus? Dies kann Hardware, Server, Datenspeicherung usw. umfassen. Einige Organisationen fügen Beschreibungen und/oder Diagramme ein, um die Infrastrukturkomponenten und ihre Beziehungen zueinander zu erklären.
2. Software: Listen Sie die Anbietersoftware auf, die zur Bereitstellung der Dienstleistungen oder Produkte im Rahmen Ihres SOC 2 Audits verwendet wird. Dies kann in Form einer Tabelle sein, in der Sie jede Anbietersoftware und ihre Funktion auflisten.
3. Personen: Welche Abteilungen oder Teams sind in die Sicherheit, Governance, den Betrieb und das Management Ihres Produkts oder Dienstes involviert? Dies wird wahrscheinlich in Form eines Organisationsdiagramms oder einer aufgelisteten Beschreibung von Abteilungen und/oder Teams erfolgen.
4. Daten: Welche Arten von Daten kommen in Ihre Systeme und wie werden sie geschützt? Listen Sie die Arten von Daten auf, die von Ihren Datenbanken, Speicherplätzen und Dateien verwendet werden, und diagrammieren Sie, wie sie durch Ihre Systeme und Prozesse fließen.
5. Richtlinien, Prozesse und Verfahren: In diesem Abschnitt erklären Sie, wie Sie eine Kontrollumgebung entworfen haben, die für die Informationssicherheit relevant ist. Geben Sie Details zu Ihren Richtlinien, Prozessen oder Verfahren für Zugangskontrollen, Überwachungs- und Protokollierungsverfahren, Änderungsmanagement- und Geschäftskontinuitätsprozesse, Schulungen zum Bewusstsein für Cybersicherheit, usw. an.

Teil 6: Interne Kontrollen

Hier werden Sie die Schritte erläutern, die Sie unternommen haben, um effektive Informationssicherheitskontrollen in Ihrem Unternehmen zu entwerfen und zu implementieren.

• Kontrollumgebung: Erklären Sie, wie die Unternehmensleitung mit Informationssicherheit und Sicherheitskontrollen umgeht. Welche Prinzipien verwenden Sie, um Ihren Ansatz zur Informationssicherheit zu definieren? Welche Beteiligung oder Verantwortung hat der Vorstand bei der Führung oder Unterstützung starker Informationssicherheitspraktiken? Welche Einstellungs- und Onboarding-Praktiken haben Sie implementiert, um eine starke Sicherheitskultur im gesamten Unternehmen sicherzustellen?
• Risikomanagement- und Risikobewertungsprozesse: Beschreiben Sie, wie Ihre Organisation Risiken identifiziert, bewertet und mindert. Dieser Abschnitt sollte abdecken, wie oft Sie Risikobewertungen durchführen (sollte mindestens jährlich sein). Er sollte auch Ihren Ansatz zur Identifizierung, Analyse, Priorisierung und Behandlung von Risiken sowie zur Kommunikation und Überwachung von Risiken innerhalb Ihrer Organisation erklären.
• Informations- und Kommunikationssysteme: Beschreiben Sie, wie Ihre Organisation sowohl mit Mitarbeitern als auch mit Kunden über Geschäftsziele, Betriebsergebnisse und/oder die interne Kontrollumgebung kommuniziert.
• Überwachungskontrollen: Erklären Sie, wie Ihre Organisation Kontrollen überwacht, um sicherzustellen, dass sie wie beabsichtigt funktionieren. Verwenden Sie Schwachstellenscans oder Penetrationstests? Führen Sie regelmäßige interne Sicherheitsüberprüfungen durch? Verwenden Sie kontinuierliche Überwachungsdienste?
• Kontrollaktivitäten: Detaillieren Sie die internen Kontrollen, die Sie in Bezug auf die Informationssicherheit implementiert haben, einschließlich Richtlinien, Verfahren und Prozesse. Zum Beispiel:
  undefinedundefinedundefinedundefinedundefinedundefinedundefined

Teil 7: Ergänzende Unterdienstleistungsorganisation-Kontrollen

Listen Sie alle Sicherheitskontrollen auf, die Unterdienstleistungsorganisationen implementieren müssen, zusammen mit den entsprechenden Trust Services-Kriterien.

Unterdienstleistungsorganisation Name: AWS

Ergänzende Unterdienstleistungsorganisation-Kontrollen: Kontrollen sind implementiert und funktionieren effektiv, um sicherzustellen, dass die Datenbackup- und Wiederherstellungsprozesse die Wiederherstellungsziele erfüllen.

Zutreffende Kriterien: CC 9.1

Teil 8: Ergänzende Benutzereinheitenkontrollen

Listen Sie alle Kontrollen auf, die Endnutzer Ihres Dienstes/Plattform/Systems im Rahmen Ihres SOC 2 selbst implementieren müssen.

Zum Beispiel könnten Ihre Kunden dafür verantwortlich sein, sicherzustellen, dass nur autorisierte Personen Zugriff auf Ihre Plattform erhalten.

Ergänzende Benutzereinheitenkontrollen: Es sollten Kontrollen implementiert werden, um sicherzustellen, dass Daten über eine sichere Verbindung an [Organisation] gesendet werden.

Zutreffende Kriterien: CC 6.6

Tipps und bewährte Praktiken von SOC 2-Prüfern

Vermeiden Sie Marketing-Jargon. Das American Institute of Certified Public Accountants (AICPA) warnt ausdrücklich davor, in der Beschreibung Ihres Systems Werbeprahlerei zu verwenden. Halten Sie Ihre Beschreibung präzise und auf den Punkt.

Seien Sie so genau wie möglich. Als Teil Ihres SOC 2-Audits wird der Prüfer seine Meinung darüber äußern, ob die Systembeschreibung genau und vollständig ist und die SOC 2-Zertifizierungsstandards erfüllt. Falschangaben oder Ungenauigkeiten können dazu führen, dass der Prüfer in Ihrem Abschlussbericht eine qualifizierte Meinung abgibt.

Seien Sie umfassend, aber nicht zu detailliert. Wenn Sie Ihre Systembeschreibung schreiben, fragen Sie sich möglicherweise, wie viele Details Sie angeben sollen. Geben Sie genügend Informationen an, um nachzuweisen, dass Sie die TSC-Anforderungen erfüllt haben, ohne dabei Geschäftsgeheimnisse, geistiges Eigentum oder andere sensible Geschäftsinformationen preiszugeben.

Weitere kostenlose Ressourcen zur Einhaltung von SOC 2 Typ I und Typ II

SOC 2-konform zu werden, kann ein anspruchsvoller und komplexer Prozess sein. Bei Secureframe ist es unsere Mission, die Sicherheitskonformität für alle Organisationen zu entmystifizieren und zu vereinfachen.

Unsere Compliance-Automatisierungsplattform überwacht Ihr Cloud-Infrastruktur auf Konformität, vereinfacht das Lieferanten- und Personalmanagement und sammelt automatisch Auditnachweise. Wir haben auch ein SOC 2 Compliance Hub erstellt, um Sie durch den Audit-Prozess zu führen, und eine Bibliothek mit kostenlosen SOC 2-Vorlagen, Checklisten zur Bereitschaft und Nachweistabellen, um Ihnen stundenlange manuelle Auditvorbereitungen zu ersparen.