Sobald Sie sich entschieden haben, einen formellen SOC 2-Bericht zu verfolgen, müssen Sie den Audit-Prozess starten.
Wie führt man einen SOC 2-Audit durch? Wie lange dauert ein SOC 2-Audit? Wie sollten Sie sich vorbereiten und wer muss beteiligt sein?
Auch wenn jedes Unternehmen einzigartig ist und jeder Audit unterschiedlich verläuft, folgt der SOC 2-Audit-Prozess typischerweise einer Reihe von Schritten.
Schritt 1: Wählen Sie Ihren Berichtstyp
Bevor Sie einen Auditor in Ihr Büro einladen, ist Ihr erster Schritt zu entscheiden, welche Art von SOC 2-Bescheinigungsbericht Ihre Dienstleistungsorganisation benötigt.
- SOC 2 Typ I: Dies ist eine Art von Audit, das überprüft, ob Ihre Systeme gemäß den Trust Services-Kriterien (früher Trust Services-Prinzipien) entworfen wurden.
Typ I Audits sind relativ günstig und einfach (sie können leicht in weniger als einem Monat durchgeführt werden), aber sie liefern weniger vollständige Informationen. Denken Sie an ein Kind, das sein Zimmer eine Stunde bevor es weiß, dass seine Eltern es inspizieren werden, aufräumt. Das Zimmer mag sauber sein, aber es gibt keine Beweise dafür, dass Best Practices konsequent befolgt werden. - SOC 2 Typ II: Ein Typ 2-Audit untersucht, wie Ihre Systeme entworfen sind UND ob sie funktionieren.
Ein Typ II SOC-Bericht dauert länger (bis zu einem Jahr), da der Auditor Experimente mit Ihren Informationssystemen durchführen muss. Sobald Sie jedoch bestanden haben, besteht kein Zweifel an Ihrem Niveau der Einhaltung von Vorschriften und Sicherheitsstandards.
Wählen Sie Ihren Audit-Typ basierend auf Ihrem Budget und Ihrem Dringlichkeitsgrad.
Schritt 2: Definieren Sie den Umfang Ihres Audits
Zuerst entscheiden Sie, ob Sie einen SOC 2 auf Unternehmensebene oder für einen bestimmten Dienst verfolgen wollen.
Als nächstes entscheiden Sie den Zeitraum, den Ihr Audit abdecken soll. Das American Institute of Certified Public Accountants (AICPA) empfiehlt mindestens sechs Monate für Typ II-Audits.
Schließlich wählen Sie die Trust Services-Kriterien, die Sie auditieren möchten. Denken Sie daran, dass Sie nicht alle fünf TSCs erfüllen müssen, wenn Sie nicht möchten. Sie können mit nur Sicherheit beginnen, alle fünf TSCs auf einmal in Angriff nehmen oder so viele wie möglich, die Sie sich leisten können.
Wenn Ihrem Unternehmen begrenzte Ressourcen zur Verfügung stehen, sollten Sie überlegen, die TSCs zu verfolgen, die Sie am ehesten erreichen können. Oder verfolgen Sie diejenigen mit dem größten potenziellen Wert basierend auf Ihrem Unternehmen und Ihrer Branche.
Bestimmte Branchen möchten möglicherweise auch bestimmte TSCs auswählen. Beispielsweise müssen Gesundheitsunternehmen HIPAA einhalten, daher kann es eine gute Wahl sein, neben Sicherheit auch Datenschutz zu verfolgen.
Nachdem Sie Ihren Berichtszeitraum und die TSCs ausgewählt haben, bestimmen Sie, welche Informationssicherheitskontrollen und -systeme relevant sind. Sammeln Sie dann alle Dokumentationen über diese Systeme und Kontrollen.
Während Ihres Audits wird der Auditor diese Dokumentation zusammen mit Ihren Systemen und Kontrollen überprüfen, um die Betriebseffektivität zu bestimmen. Dokumente, die Sie möglicherweise bereitstellen müssen, umfassen:
- Vermögensverzeichnisse
- Änderungsmanagementinformationen
- Wartungsaufzeichnungen der Geräte
- Protokolle der System-Backups
- Verhaltens- und Ethikrichtlinien
- Geschäftskontinuitäts- und Vorfallreaktionspläne
Schritt 3: Durchführung einer Lückenanalyse
Jetzt, wo Sie alle Ihre Systeme, Kontrollen und Dokumente an ihrem Platz haben, müssen Sie Ihren aktuellen Stand mit den Anforderungen der SOC 2-Konformität vergleichen.
Diese Lückenanalyse ermöglicht es Ihnen, Bereiche zu identifizieren, in denen Ihr System beim Schutz von Kundendaten hinter den Anforderungen zurückbleibt. Auf diese Weise können Sie einen Maßnahmenplan erstellen, um diese Punkte in Einklang zu bringen, bevor Ihr formelles SOC 2-Audit stattfindet.
Schritt 4: Durchführung einer Bereitschaftsbewertung
Im Rahmen Ihrer Vorbereitung können Sie einen SOC-Prüfer hinzuziehen, um Fragen oder Bedenken zu klären. Der Prüfer kann auch eine Bereitschaftsbewertung durchführen.
Während der Bereitschaftsbewertung führt das Prüfungsunternehmen eine eigene Lückenanalyse durch und gibt Ihnen einige Empfehlungen. Sie werden Ihnen auch die Anforderungen der von Ihnen ausgewählten Trust Services Criteria (TSC) erklären. Sie müssen sich mit den TSC vertraut machen und in der Lage sein, Fragen wie diese zu beantworten:
- “Wie wird mein System gegen Angriffe geschützt?” (Security)
- “Wie entscheiden wir, wann sensible Daten aus dem System verfügbar gemacht werden?” (Availability)
- “Funktioniert das System wie vorgesehen?” (Integrität der Verarbeitung)
- “Wie stellen wir sicher, dass das System private Informationen sicher aufbewahrt?” (Privacy)
- “Wie wird der Austausch von Informationen sicher gestaltet, wenn dies erforderlich ist?” (Vertraulichkeit)
Am Ende der Bereitschaftsbewertung stellt Ihnen das Prüfungsunternehmen einen Bericht zur Verfügung. Dieser Bericht erläutert, welche Kontrollen in Ihren endgültigen SOC 2-Auditbericht aufgenommen werden würden. Er erklärt auch, wie diese Kontrollen für Ihre gewählten TSC relevant sind und welche Lücken verhindern könnten, dass Sie diese Anforderungen erfüllen.
Schritt 5: Auswahl eines Prüfers
Jetzt sind alle Vorarbeiten abgeschlossen und es ist Zeit für Ihr Audit. Zuerst müssen Sie einen akkreditierten Wirtschaftsprüfer finden, der ein SOC 2-Audit durchführen und Ihrem Unternehmen einen formellen Bericht ausstellen kann.
Stellen Sie sicher, dass das von Ihnen ausgewählte Unternehmen bei der AICPA registriert ist und Audits nach den neuesten AICPA-Richtlinien durchführt.
Hier sind einige weitere Faktoren, die Sie bei der Auswahl eines Wirtschaftsprüfungsunternehmens berücksichtigen sollten:
- Erfahrungsniveau: Finden Sie ein Team, das SOC-Audits für Unternehmen in Ihrer Branche und ähnlicher Größe durchgeführt hat. Fragen Sie nach Peer-Reviews, um mehr über die Erfahrungen anderer Unternehmen zu erfahren.
- Dauer des Engagements: Stellen Sie sicher, dass Sie und Ihr Prüfungsunternehmen sich einig sind über die Art des Berichts, den Sie verfolgen, und den Zeitrahmen für die Bewertung. Insbesondere sollten Sie die Zeitplanung der Vor-Ort-Bewertung des Prüfers besprechen.
- Prozess: Ihr Prüfungsunternehmen sollte in der Lage sein, den Prozess der Durchführung der Prüfung und der Erstellung eines Berichts klar zu erklären. Haben sie ein Online-Portal zum Hochladen von Beweismitteln, oder verlassen sie sich auf Google Drive und Dropbox? Ermöglicht ihr System, den Fortschritt und die Bewertungen in Echtzeit zu überprüfen? Zu verstehen, wie Sie zusammenarbeiten und miteinander kommunizieren werden, hilft, eine gute Passform sicherzustellen.
- Persönlichkeit: Sofern Sie keinen Typ-I-Bericht verfolgen, werden Sie voraussichtlich mindestens 6 Monate mit Ihrem Prüfungsunternehmen zusammenarbeiten. Dies umfasst die Zeit, die Sie vor Ort in Ihrem Büro verbringen. Wie bei jeder Partnerschaft ist es wichtig, jemanden zu finden, mit dem Sie gut kommunizieren und zusammenarbeiten können.
Schritt 6: Beginnen Sie den formellen Prüfungsprozess
Ihr Prüfer wird mehrere Wochen bis einige Monate mit Ihrem Team arbeiten, bevor er einen SOC 2-Bericht erstellt.
Bevor die eigentliche Prüfung beginnt, wird Ihr Prüfer Sie wahrscheinlich kontaktieren, um einen Termin zu vereinbaren, der für beide Parteien passt. Sie werden Ihnen möglicherweise auch den Prüfungsprozess erläutern, damit Sie wissen, was Sie erwartet, und sie werden möglicherweise einige erste Informationen anfordern, um den Ablauf zu erleichtern.
Sobald der Prüfer in Ihrem Büro ankommt, folgt dieser allgemeine Prozess:
1. Der Sicherheitsfragebogen
Viele Prüfungsunternehmen beginnen damit, dass sie Ihrem Team Fragen zu Unternehmensrichtlinien, -prozessen, IT-Infrastruktur und -Kontrollen stellen.
Es hilft, wenn Ihr Team bereits frühzeitig vor der Prüfung gute Sicherheitsgewohnheiten entwickelt. Sie können Fragen dann mit Zuversicht beantworten.
2. Sammeln von Nachweisen für Kontrollen
Als nächstes werden die Prüfer Ihr Team bitten, Nachweise und Dokumentationen zu Ihren Kontrollen vorzulegen. Prüfer überprüfen typischerweise durchschnittlich 85 einzigartige Kontrollen.
Sie benötigen Nachweise für alle Ihre Sicherheitsrichtlinien und internen Kontrollen, um zu zeigen, dass diese den Anforderungen entsprechen. Prüfer verwenden dies als Teil ihrer Bewertung, um zu verstehen, wie die Kontrollen funktionieren sollen.
3. Bewertung
Während der Bewertung konsultieren die Prüfer die Verantwortlichen für jeden Prozess. Sie gehen gemeinsam die Geschäftsprozesse und Sicherheitspraktiken durch, um diese besser zu verstehen.
4. Nachverfolgung
SOC 2-Prüfungen sind intensiv. Prüfer finden oft Bereiche, in denen sie trotz der gesamten Vorbereitungsarbeit mehr Nachweise benötigen. Eine typische Prüfung erfordert durchschnittlich 100 Nachweisanfragen, die alle dokumentiert werden müssen.
Sie werden Ihr Team möglicherweise um Klarstellungen zu Prozessen oder Kontrollen bitten, oder sie möchten zusätzliche Dokumentationen. Wenn der Prüfer Compliance-Lücken bemerkt, die schnell behoben werden können, könnten sie Sie bitten, diese vor dem Fortfahren zu beheben.
5. Abgeschlossener SOC 2-Bericht
Am Ende der Prüfung erhalten Sie einen schriftlichen SOC 2-Bericht, der die Ergebnisse zusammenfasst. Wenn Sie eine uneingeschränkte Meinung erhalten, Glückwunsch! Wenn nicht, verwenden Sie Ihren SOC 2-Bericht als Bedienungsanleitung, um die Lücken zu schließen, und versuchen Sie es erneut.
Sie haben auch die Möglichkeit, eine Stellungnahme der Geschäftsführung zu Ausnahmen oder auftretenden Problemen hinzuzufügen. Zum Beispiel können Sie eine Ausnahme erklären oder ein Update darüber bieten, wie Sie sie gelöst haben.
Wie oft werden SOC 2-Prüfungen durchgeführt?
Die goldene Regel lautet, alle 12 Monate ein SOC-Audit zu planen.
Ein Audit alle 12 Monate abzuschließen, gibt Ihnen genügend Zeit, um Cybersicherheitskontrollen hinzuzufügen, Mitarbeiterleistungsbewertungen durchzuführen usw.
Ein 12-monatiger Typ-II-Audit verringert auch das Risiko, in Ihrem Bericht „nicht betrieben“ Markierungen zu erhalten.
Angenommen, Ihr Typ-II-Bewertungszeitraum läuft vom 1. Juli bis zum 31. Dezember. Selbst wenn Sie im Juni einen Penetrationstest durchführen ließen, fällt dieser außerhalb Ihres Audit-Fensters. Sie erhalten eine „nicht betrieben“ Markierung für diese Kontrolle, da der Auditor die Kontrollaktivität während Ihres Bewertungszeitraums nicht bestätigen kann.
Alles in allem führt eine 12-monatige Bewertung in der Regel zu einem saubereren Bericht. Und das führt zu einem erhöhten Vertrauen potenzieller und bestehender Kunden.