background

SOC 2 Compliance Documentation

  • soc-2angle-right
  • SOC 2 Compliance Documentation

Ihre Richtlinien und Prozesse sind das Was und Wie Ihrer Sicherheitslage.

Ihre Dokumentation ist der Nachweis, den Sie Ihrem Prüfer vorlegen werden.

Welche Art von SOC-Konformitätsdokumentation ist für Ihr Audit erforderlich?

Das hängt vom Typ und Umfang Ihres Audits ab.

Ein Typ-II-Audit, das nur die Sicherheit abdeckt, erfordert weniger Dokumentation als eines, das mehrere Trust Services Criteria umfasst.

Unabhängig vom Typ und Umfang Ihres Audits gibt es einige Dokumente, die Sie Ihrem Prüfer vorlegen müssen: Die Managementaussage, die Systembeschreibung und die Kontrollmatrix.

Managementaussage

Ihre Managementaussage ist äußerst wichtig, da sie die Grundlage für Ihr gesamtes Audit bildet.

Es handelt sich um eine schriftliche Behauptung, die Ihre Systeme beschreibt.

Die Managementaussage erklärt, wie Ihr System Ihnen hilft, die Serviceverpflichtungen zu erfüllen, die Sie gegenüber Kunden eingegangen sind. Und sie erklärt, wie Ihr System die für Ihr Audit ausgewählten Trust Services Criteria erfüllt.

Die Managementaussage erklärt dem Prüfer, wie Ihr System entwickelt wurde, um zu arbeiten. Auf diese Weise kann der Prüfer Ihre Kontrollen testen, um zu sehen, ob es tatsächlich so funktioniert.

Das Ganze kulminiert darin, dass Ihr Prüfer seine formelle Meinung äußert (den endgültigen SOC 2 Bericht), ob Ihre Managementaussage eine genaue Darstellung des geprüften Systems war.

Sie legen Ihrem Prüfer zu Beginn Ihres Audits Ihre Managementaussage vor. Wenn sich während des Audits etwas an Ihrem System ändert, müssen Sie eine aktualisierte Version vorlegen.

Eine Kopie Ihrer Managementaussage wird auch in Ihrem endgültigen SOC 2 Bericht enthalten sein.

Systembeschreibung

Ihre Systembeschreibung erläutert, welche Aspekte Ihrer Infrastruktur in Ihr SOC 2 Audit einbezogen sind.

Es ist wichtig, sich Gedanken über Ihre Systembeschreibung zu machen. Wenn sie unvollständig ist, muss Ihr Prüfer nach weiteren Details fragen, um seine Bewertung abzuschließen.

Das AICPA bietet hilfreiche Leitlinien zur Erstellung Ihrer Systembeschreibung.

Das sollte sie enthalten:

  • Eine Unternehmensübersicht fasst Ihre Produkte und Dienstleistungen zusammen.
  • Eine Systemübersicht beschreibt die wichtigsten Dienstleistungen, die Sie Kunden anbieten.
  • Hauptdienstverpflichtungen und Systemanforderungen skizzieren die Verpflichtungen, die Sie gegenüber Kunden eingegangen sind. Plus die Systeme, die zur Erfüllung dieser Verpflichtungen erforderlich sind.
  • Komponenten des Systems umfasst Infrastruktur, Software, Daten, Prozesse und Personen.
  • Vorfallsoffenlegung teilt mit, ob Vorfälle Kontrollen oder Dienstverpflichtungen beeinflusst haben.
  • Kriterienoffenlegung beschreibt, welche Trust Services Criteria für das Audit gelten.
  • Relevante Aspekte der Kontrollumgebung skizziert die Kontrollen, die Sie implementiert haben, um jedes TSC zu erfüllen.
  • Komplementäre Benutzerentität und Unterdienstorganisation Steuerungen geben an, für welche Steuerungen Ihre Kunden und Anbieter verantwortlich sind, falls vorhanden. (Zum Beispiel sind die Kunden eines SaaS-Unternehmens typischerweise dafür verantwortlich, den Zugriff ihrer eigenen Mitarbeiter zu gewähren und zu widerrufen.)
  • Kriterienausschlüsse erklären, welche Trust Services Criteria für die Prüfung nicht anwendbar sind.
  • Änderungen am System während des Zeitraums teilen alle Änderungen des internen Kontrollsystems, die während des Prüfungszeitraums aufgetreten sind. (Anwendbar auf SOC 2 Type II-Berichte)

Sie können visuelle Darstellungen wie Flussdiagramme, Tabellen, Grafiken und Diagramme verwenden, um Ihre Systembeschreibung zu veranschaulichen.

Ihre Systembeschreibung muss nicht jeden einzelnen Aspekt Ihrer Infrastruktur umfassen. Sie sollten nur das einbeziehen, was für Ihre SOC 2-Prüfung und die ausgewählten Trust Services Criteria relevant ist.

Wie detailliert sollte Ihre Systembeschreibung sein?

Sie sollte so ausführlich sein, dass ein Leser die Risiken für Ihre Organisation und Ihre Gegenmaßnahmen verstehen kann.

Es wird erwartet, dass sie nicht so detailliert ist, dass sie Ihr Unternehmen einem Risiko aussetzt oder Sicherheitslücken aufzeigt, die ausgenutzt werden könnten.

Kontrollmatrix

Eine Kontrollmatrix ist eine Tabelle, die die spezifischen Steuerungen im Zusammenhang mit SOC 2-Kriterien detailliert beschreibt.

Sie enthält typischerweise:

  • Kriteriumsreferenz: die spezifischen Trust Services Criteria, die die Steuerung erfüllt
  • Steuerungsnummer: diese Referenznummern entsprechen den einzelnen Steuerungen, die Sie implementiert haben
  • Steuerungsaktivität: eine Beschreibung, was diese spezifische Steuerung tut
  • Steuerungsverantwortlicher: die Person, die für die Durchführung oder Überwachung der Steuerung verantwortlich ist. Dies ist die Person, mit der der Prüfer sich trifft, um diese Steuerung zu testen
  • Risikostufe: eine Einschätzung der Geschäftsauswirkung und Wahrscheinlichkeit eines Steuerungsausfalls (niedrig, mittel, hoch). Dies ist optional, hilft jedoch Organisationen, die Steuerungsgesundheit und Sicherheitsverantwortung zu verstehen. Es ist auch eine typische Anforderungsnachweis von Prüfern.

Beispiele für SOC 2-Compliance-Dokumentation

Eine typische SOC 2-Prüfung erfordert Dokumentation für:

Geschäftsbetriebsdokumentation

  • Diagramm Ihres physischen Büros
  • Handbuch zur Unternehmensführung
  • Unternehmensverhaltenskodex
  • Risikomanagementplan
  • Compliance-Programmbudget
  • Lieferantenverträge
  • Pläne zur Geschäftskontinuität und Vorfallsreaktion

HR-Dokumentation

  • Organigramm sowie Übersicht der Rollen und Verantwortlichkeiten
  • Mitarbeiterhandbuch
  • Dokumentation zur Einarbeitung
  • Dokumentation des Kündigungsprozesses
  • Protokolle über Sicherheitsschulungen

IT- und technische Dokumentation

  • Inventar aller Geräte in Ihrem Netzwerk
  • Wartungsaufzeichnungen der Geräte
  • Datenaufbewahrungs- und Vernichtungsrichtlinien
  • Verschlüsselungsrichtlinie
  • Protokollierungsrichtlinie
  • Passwortrichtlinienanforderungen
  • Zugriffsrichtlinie und -protokolle
  • Protokolle zur Systemsicherung und -aktualisierung

Datenschutzdokumentation

  • Hinweis auf Datenschutzpraktiken
  • Datenverwendungsvereinbarung
  • Abmelde- und Opt-out-Richtlinien
  • Vertraulichkeitsrichtlinie und -vereinbarungen

Compliance Documentation

  • Zuvor abgeschlossene Compliance-Berichte, falls zutreffend
  • Risikobewertungen
  • Selbsteinschätzungsfragebögen, falls zutreffend
  • Ergebnisse von Penetrationstests, falls zutreffend

Dokumentenvorbereitung für Ihren Prüfer

Wenn Ihre Dokumentation gut organisiert ist, ersparen Sie sich Kopfschmerzen und können Ihre Prüfung rechtzeitig abschließen. Zudem ermöglicht es Ihrem Prüfer, die Dokumente zu überprüfen, bevor er mit der Überprüfung Ihrer Kontrollen beginnt.

Ein besseres Verständnis Ihrer Systeme hilft ihnen, effektivere Prüfmechanismen zu entwerfen.

Wenn Sie Dokumente für Ihre Prüfung zusammenstellen, sollten Sie ein standardisiertes Berichtsformat in Betracht ziehen, das Folgendes beinhaltet:

  • Der Grund, warum die Richtlinie erstellt wurde
  • Die Abteilung, die für die Genehmigung und Umsetzung der Richtlinie verantwortlich ist
  • Die Genehmigungs- und Umsetzungstermine
  • Die Systeme, Prozesse oder Anwendungen, die von der Richtlinie betroffen sind
  • Die Verfolgung der Benutzerakzeptanz der Richtlinie
angle-rightSOC 2 Richtlinien und VerfahrenSOC 2 Bereitschaftsbewertungenangle-right

SOC 2 Überblick

Berichtstrukturen

Auditprozess, Zeitplan und Kosten

Wie man sich auf eine Prüfung vorbereitet

Automatisierung der SOC 2-Compliance

SOC 2 Ressourcen und Tools