Die AICPA Trust Services Criteria definieren fünf Kriterien zur Bewertung der Sicherheitskontrollen eines Unternehmens für die SOC 2-Compliance: Sicherheit, Verfügbarkeit, Integrität der Verarbeitung, Vertraulichkeit und Datenschutz.
Während Organisationen auswählen können, welche SOC 2 Trust Services Criteria sie in den Umfang ihres Audits einbeziehen möchten, muss jeder SOC 2-Bericht die Security Criteria enthalten, und die Kriterien, die zu deren Prüfung verwendet werden, sind als Common Criteria bekannt.
Was ist die SOC 2 Common Criteria Liste?
Die Security TSC dreht sich darum, Informationen und Systeme zu schützen.
Sind Daten während ihrer Erfassung oder Erstellung sicher? Sind sie während ihrer Nutzung, Verarbeitung, Übertragung und/oder Speicherung sicher? Wie verhindert und überwacht ein Unternehmen etwaige Schwachstellen in seinen Systemen?
Die SOC 2 Common Criteria-Liste, auch bekannt als CC-Serie, umfasst neun Unterkategorien:
- CC1 — Kontrollumgebung
Legt das Unternehmen Wert auf Integrität und Sicherheit? - CC2 — Kommunikation und Information
Sind Richtlinien und Verfahren vorhanden, um Sicherheit zu gewährleisten? Werden sie sowohl internen als auch externen Partnern gut kommuniziert? - CC3 — Risikobewertung
Analysiert das Unternehmen Risiken und überwacht, wie sich Änderungen auf diese Risiken auswirken? - CC4 — Überwachungsmaßnahmen
Überwacht, bewertet und kommuniziert das Unternehmen die Effektivität seiner Kontrollen? - CC5 — Kontrollaktivitäten
Sind die richtigen Kontrollen, Prozesse und Technologien vorhanden, um Risiken zu reduzieren? - CC6 – Logische und Physische Zugangskontrollen
Verschlüsselt das Unternehmen Daten? Kontrolliert es, wer auf Daten zugreifen kann und beschränkt den physischen Zugang zu Servern? - CC7 – Systemoperationen
Werden Systeme überwacht, um sicherzustellen, dass sie ordnungsgemäß funktionieren? Sind Notfallpläne und Katastrophenwiederherstellungspläne vorhanden? - CC8 – Änderungsmanagement
Werden wesentliche Änderungen an Systemen ordnungsgemäß getestet und vorher genehmigt? - CC9 – Risikominderung
Mindert das Unternehmen Risiken durch geeignete Geschäftsprozesse und Lieferantenmanagement?
SOC 2 Common Criteria Mapping
Viele Organisationen entscheiden sich dafür, die Einhaltung mehrerer Sicherheitsstandards zu verfolgen. Die AICPA hilft dabei, die Common Criteria auf die Anforderungen anderer Rahmenwerke abzubilden, einschließlich ISO 27001, DSGVO und mehr.
Zuordnung der SOC 2 Common Criteria zu ISO 27001
ISO 27001 legt Anforderungen für die Einrichtung, Implementierung, Aufrechterhaltung und Verbesserung eines Informationssicherheitsmanagementsystems (ISMS) fest. Es umfasst 114 Kontrollen in 14 Gruppen, von denen die Mehrheit auf die SOC 2 Trust Services Criteria abzielt.
Das AICPA ISO 27001 Mapping Spreadsheet zeigt die Überschneidungen mit den Trust Services Criteria auf.
Mapping SOC 2 Common Criteria zur DSGVO
Die Allgemeine Datenschutzverordnung der Europäischen Union soll die Persönlichkeitsrechte der EU-Bürger schützen. Sie gilt für jedes Unternehmen, das mit den Daten dieser geschützten Personen in Berührung kommt. Sie umfasst 99 Artikel in 11 Kapiteln.
Fast alle Artikel der Kapitel 2 und 3 und die meisten Artikel des Kapitels 4 der DSGVO entsprechen den Vertrauenskriterien des SOC 2.
Das AICPA bietet auch eine DSGVO-Zuordnungstabelle an, um Kriterien und Kontrollen abzugleichen.