Die AICPA Trust Services Criteria definieren fünf Kriterien zur Bewertung der Sicherheitskontrollen eines Unternehmens für die SOC 2-Compliance: Sicherheit, Verfügbarkeit, Integrität der Verarbeitung, Vertraulichkeit und Datenschutz.

Während Organisationen auswählen können, welche SOC 2 Trust Services Criteria sie in den Umfang ihres Audits einbeziehen möchten, muss jeder SOC 2-Bericht die Security Criteria enthalten, und die Kriterien, die zu deren Prüfung verwendet werden, sind als Common Criteria bekannt.

Was ist die SOC 2 Common Criteria Liste?

Die Security TSC dreht sich darum, Informationen und Systeme zu schützen.

Sind Daten während ihrer Erfassung oder Erstellung sicher? Sind sie während ihrer Nutzung, Verarbeitung, Übertragung und/oder Speicherung sicher? Wie verhindert und überwacht ein Unternehmen etwaige Schwachstellen in seinen Systemen?

Die SOC 2 Common Criteria-Liste, auch bekannt als CC-Serie, umfasst neun Unterkategorien:

  • CC1 — Kontrollumgebung
    Legt das Unternehmen Wert auf Integrität und Sicherheit?
  • CC2 — Kommunikation und Information
    Sind Richtlinien und Verfahren vorhanden, um Sicherheit zu gewährleisten? Werden sie sowohl internen als auch externen Partnern gut kommuniziert?
  • CC3 — Risikobewertung
    Analysiert das Unternehmen Risiken und überwacht, wie sich Änderungen auf diese Risiken auswirken?
  • CC4 — Überwachungsmaßnahmen
    Überwacht, bewertet und kommuniziert das Unternehmen die Effektivität seiner Kontrollen?
  • CC5 — Kontrollaktivitäten
    Sind die richtigen Kontrollen, Prozesse und Technologien vorhanden, um Risiken zu reduzieren?
  • CC6 – Logische und Physische Zugangskontrollen
    Verschlüsselt das Unternehmen Daten? Kontrolliert es, wer auf Daten zugreifen kann und beschränkt den physischen Zugang zu Servern?
  • CC7 – Systemoperationen
    Werden Systeme überwacht, um sicherzustellen, dass sie ordnungsgemäß funktionieren? Sind Notfallpläne und Katastrophenwiederherstellungspläne vorhanden?
  • CC8 – Änderungsmanagement
    Werden wesentliche Änderungen an Systemen ordnungsgemäß getestet und vorher genehmigt?
  • CC9 – Risikominderung
    Mindert das Unternehmen Risiken durch geeignete Geschäftsprozesse und Lieferantenmanagement?

SOC 2 Common Criteria Mapping

Viele Organisationen entscheiden sich dafür, die Einhaltung mehrerer Sicherheitsstandards zu verfolgen. Die AICPA hilft dabei, die Common Criteria auf die Anforderungen anderer Rahmenwerke abzubilden, einschließlich ISO 27001, DSGVO und mehr.

Zuordnung der SOC 2 Common Criteria zu ISO 27001

ISO 27001 legt Anforderungen für die Einrichtung, Implementierung, Aufrechterhaltung und Verbesserung eines Informationssicherheitsmanagementsystems (ISMS) fest. Es umfasst 114 Kontrollen in 14 Gruppen, von denen die Mehrheit auf die SOC 2 Trust Services Criteria abzielt.

Das AICPA ISO 27001 Mapping Spreadsheet zeigt die Überschneidungen mit den Trust Services Criteria auf.

Mapping SOC 2 Common Criteria zur DSGVO

Die Allgemeine Datenschutzverordnung der Europäischen Union soll die Persönlichkeitsrechte der EU-Bürger schützen. Sie gilt für jedes Unternehmen, das mit den Daten dieser geschützten Personen in Berührung kommt. Sie umfasst 99 Artikel in 11 Kapiteln.

Fast alle Artikel der Kapitel 2 und 3 und die meisten Artikel des Kapitels 4 der DSGVO entsprechen den Vertrauenskriterien des SOC 2.

Das AICPA bietet auch eine DSGVO-Zuordnungstabelle an, um Kriterien und Kontrollen abzugleichen.