Was gibt's Neues bei SOC 2? Wie sich AICPA Updates auf Auditoren und Dienstleistungsorganisationen auswirken

  • November 15, 2022

SOC 2 ist zum Goldstandard für Unternehmen geworden, um ihr Engagement für ihre Kunden zu beweisen, einschließlich wie sie die Daten ihrer Kunden schützen und ihre Dienstleistungen zuverlässig, belastbar und konsistent machen.

Das American Institute of Certified Public Accountants (AICPA) hat eine Reihe von Richtlinien für den Inhalt eines SOC 2-Berichts entwickelt, der auf mehreren wichtigen Dokumenten basiert, einschließlich des TSP 100 und DC 200. CPAs oder zertifizierte Wirtschaftsprüfungsgesellschaften verwenden diese SOC 2-Richtliniendokumente, um die Compliance- und Sicherheitspraktiken eines Unternehmens zu bestätigen.

Im Oktober 2022 veröffentlichte das AICPA überarbeitete Versionen beider Dokumente. Nachfolgend geben wir einen Überblick über diese Unterschiede und was sie für Prüfer und Dienstleistungsunternehmen bedeuten.

Was ändert sich bei TSP 100?

Das SOC 2-Framework basiert auf fünf Trust Services Kriterien: Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz. Die Kriterien in jeder Kategorie werden vom AICPA im TSP 100 definiert.

Das TSP 100 enthält Schwerpunkte, die als Umsetzungshilfe für jedes Kriterium dienen. Nehmen Sie zum Beispiel das folgende Kriterium: „Die Organisation zeigt ein Engagement für Integrität und ethische Werte.“ Für sowohl Organisationen, die dies nachweisen müssen, als auch Prüfer, die dies überprüfen müssen, bietet das TSP 100-Dokument im Wesentlichen Vorschläge, was eine Organisation tun kann, um diese Anforderung zu erfüllen. Dazu gehören die Festlegung von Verhaltensstandards und die Berücksichtigung von Auftragnehmern und Lieferantenmitarbeitern bei der Festlegung und Bewertung der Einhaltung dieser Standards.

In der jüngsten Aktualisierung hat das AICPA überarbeitete Schwerpunkte für mehrere der Kriterien innerhalb des TSP 100 herausgegeben, wobei sich die meisten Aktualisierungen auf die Kategorien Datenschutz und Vertraulichkeit konzentrieren. Mehrere weitere Updates wurden hinzugefügt, um die Anwendung bestehender Kriterien auf neue Technologien und sich entwickelnde Risiken zu klären.

Zum Beispiel bezieht sich die CC7.4 auf die Reaktion auf identifizierte Sicherheitsvorfälle. Die Überarbeitung umfasst zusätzliche Schwerpunkte für Organisationen, die sowohl Sicherheit als auch Datenschutz als Trust Services Kriterien verwenden, einschließlich der Anwendung von Verfahren zur Reaktion auf Verstöße, wenn ein Datenschutzvorfall bestätigt wird.

Es ist wichtig zu beachten, dass keine neuen Trust Services-Kriterien hinzugefügt oder geändert wurden. Die Überarbeitungen geben Organisationen und Prüfern einfach neue Möglichkeiten, über die Kriterien im aktuellen Umfeld nachzudenken.

Was ändert sich bei DC 200?

Jeder SOC 2 Bericht enthält vier Abschnitte, mit einem optionalen fünften. Der größte Abschnitt des SOC 2 Berichts ist die Beschreibung des Systems der Dienstleistungsorganisation. Dies umfasst alles von einem Überblick über das Unternehmen – wer sie sind, was sie tun und welche Technologie sie verwenden – bis hin zu einer Beschreibung aller Kontrollen, die sie in Bezug auf die im Bericht enthaltenen Kategorien der Trust Services Criteria implementiert haben. Die Richtlinien für das, was in diesen Abschnitt gehört, bekannt als Beschreibungskriterien, sind im DC 200 detailliert beschrieben.

Das AICPA hat Klarstellungen für die Umsetzungshinweise zu diesen Beschreibungskriterien herausgegeben. Die Klarstellungen waren geringfügig und konzentrierten sich hauptsächlich darauf, mehr Beispiele bereitzustellen.

Beispielsweise geht es bei DC4 darum, dass eine Organisation die Art, den Zeitpunkt, den Umfang und die Handhabung aller wesentlichen Systemvorfälle, die während des im SOC 2 Bericht abgedeckten Zeitraums identifiziert wurden, offenlegen muss. Die überarbeiteten Umsetzungshinweise von 2022 enthalten mehr Beispiele, die einem Prüfer oder einer Organisation helfen können zu bestimmen, ob ein Vorfall offengelegt werden sollte – wie z.B., wenn er zum Diebstahl, zur Manipulation oder zur unbefugten Nutzung sensibler Informationen geführt hat.

Es ist wichtig festzuhalten, dass keine Beschreibungskriterien geändert oder hinzugefügt wurden.

Was bedeuten diese Änderungen für Auditoren?

Sowohl der TSP 100 als auch der DC 200 sind dazu gedacht, Auditoren Anweisungen zu geben, wie sie das Kontrollsystem eines Unternehmens bei der Durchführung einer SOC 2 Prüfung bewerten und wie sie beurteilen können, ob die Systembeschreibung im SOC 2 Bericht ausreichend dargestellt ist, um den Bedürfnissen der Nutzer des Berichts gerecht zu werden.

Auditoren sollten beide überarbeiteten Dokumente sorgfältig durchlesen, um sicherzustellen, dass sie die Sicherheitslage einer Organisation richtig bewerten und einen SOC 2 Bericht verfassen.

Was bedeuten diese Änderungen für Dienstleistungsorganisationen?

Das hängt davon ab, ob Sie die Compliance-Automatisierungsplattform von Secureframe verwenden.

Wenn Ihr Unternehmen sich ohne eine Automatisierungsplattform auf eine SOC 2 Prüfung vorbereitet, sollten Sie sich mit den TSP 100 Revised Points of Focus vertraut machen, um sicherzustellen, dass Ihre Kontrollen die Anforderungen für jedes Vertrauen Dienstleistungskriterium erfüllen, insbesondere in Bezug auf Datenschutz und Vertraulichkeit.

Wenn Sie jedoch die Compliance-Automatisierungsplattform von Secureframe verwenden, berücksichtigen unsere Compliance-Experten kontinuierlich Aktualisierungen wie diese, wenn sie Tests in unserer Plattform erstellen, und heben bei Bedarf vorgeschlagene Änderungen hervor. Das bedeutet, dass Sie sich nicht selbst durch die Berge von Updates wühlen müssen, um herauszufinden, was sie für Sie und Ihr Unternehmen bedeuten.

Wie Secureframe die SOC 2 Compliance vereinfacht

Während die Aufrechterhaltung eines aktuellen Kontrollsystems letztlich die Verantwortung Ihrer eigenen Organisation ist, vereinfacht und rationalisiert die Zusammenarbeit mit Secureframe den Prozess.

Wir sparen Teams Hunderte von Stunden und Tausende von Dollar, indem wir Sicherheitsrichtlinien schreiben, Beweise sammeln, Sicherheitsberater einstellen und Bereitschaftsbewertungen durchführen. Und da Secureframe Ihre Infrastruktur kontinuierlich überwacht und Sie über Schwachstellen informiert, erhalten Sie Ihren SOC 2 Bericht schneller und sparen Geld, während Sie Ihre Sicherheitslage stärken.

Fordern Sie eine Demo an, um mehr darüber zu erfahren, wie wir Ihnen helfen können, innerhalb von Wochen und nicht Monaten SOC 2 konform zu werden.