Der SOC 2®-Rahmen umfasst 5 Trust Services Kriterien, die aus 64 einzelnen Anforderungen bestehen. Kontrollmaßnahmen sind die Sicherheitsmaßnahmen, die Sie einführen, um diese Anforderungen zu erfüllen. Während Ihres Audits bewertet der Wirtschaftsprüfer Ihre Kontrollmaßnahmen, um Ihren Bestätigungs-/Prüfbericht zu erstellen.
Interne Kontrollmaßnahmen können Richtlinien, Verfahren, Regeln und Mechanismen sein, um die Konformität sicherzustellen.
Ein Beispiel wäre, dass eine Person eine Rechnung genehmigt, bevor eine andere Person sie bezahlt.
Wie viele Kontrollmaßnahmen gibt es in SOC 2? So viele, wie Ihre Organisation benötigt, um mit den ausgewählten TSCs konform zu sein.
AICPA SOC 2 Schwerpunkte
Im Gegensatz zu anderen Informationssicherheitsrahmenwerken wie ISO 27001 gibt es keine universelle SOC 2-Anforderungsliste.
In seinem offiziellen SOC 2-Leitfaden stellt das American Institute of Certified Public Accountants (AICPA) "Schwerpunkte" für jedes Trust Services Kriterium (früher Trust Services Prinzipien) zur Verfügung. Diese Schwerpunkte sind Beispiele dafür, wie eine Organisation die Anforderungen für jedes Kriterium erfüllen kann. Sie sollen Organisationen und Dienstleistern dabei helfen, ihre Kontrollumgebung zu entwerfen und umzusetzen.
Es ist wichtig zu beachten, dass die Schwerpunkte keine Anforderungen sind. Es sind Richtlinien, die Ihnen helfen sollen, besser zu verstehen, was Sie tun können, um jede Anforderung zu erfüllen. Sie sind auch eine gute Ressource, um zu verstehen, wie ein Prüfer über jedes TSC denkt, wenn er die Kontrollmaßnahmen Ihrer Organisation bewertet und testet.
Hier ist ein Beispiel aus dem AICPA SOC 2-Leitfaden, das Schwerpunkte für CC1.1 zeigt: Demonstration eines Engagements für Integrität und ethische Werte.
Der zweite aufgeführte Schwerpunkt diskutiert Verhaltensstandards, die klar definiert und auf allen Ebenen des Unternehmens kommuniziert werden. Die Implementierung einer Verhaltenskodex-Richtlinie ist ein Beispiel dafür, wie Organisationen die Anforderungen von CC1.1 erfüllen können.
Auch wenn es spezifische Kriterien für die Konformität gibt, ist es Ihnen und Ihrem Wirtschaftsprüfer überlassen, wie Ihre Organisation diese erfüllt. Letztendlich sind keine zwei SOC 2-Audits identisch.
Lassen Sie uns erkunden, was jedes Trust Services Kriterium bedeutet und welche Kontrollmaßnahmen ein Prüfer basierend auf jedem erwarten könnte.
SOC 2 Kontrollmaßnahmen-Liste
Sicherheitskontrollen
Sicherheit ist der grundlegende Kern der SOC 2-Konformitätsanforderungen. Die Kategorie umfasst starke betriebliche Prozesse rund um Sicherheit und Konformität. Sie beinhaltet auch Abwehrmaßnahmen gegen alle Formen von Angriffen, von Man-in-the-Middle-Angriffen bis hin zu böswilligen Personen, die physisch auf Ihre Server zugreifen.
Ein Prüfer könnte nach Zwei-Faktor-Authentifizierungssystemen und Web-Firewalls suchen. Sie werden auch auf Dinge achten, die die Cybersicherheit und Datensicherheit indirekt beeinflussen, wie Richtlinien, die bestimmen, wer für Sicherheitsrollen eingestellt wird.
Datenschutzkontrollen
Datenschutz gilt für alle Informationen, die als sensibel angesehen werden. Um die SOC 2-Anforderungen für Datenschutz zu erfüllen, muss eine Organisation ihre Richtlinien gegenüber allen Personen, deren Kundendaten sie speichern, kommunizieren.
Wenn die Organisation sensible Informationen sammelt, muss sie:
- Die Zustimmung der betroffenen Person einholen
- Die Menge an gesammelten privaten Informationen begrenzen
- Sie auf rechtmäßige Weise sammeln
- Sie nur für die Zwecke verwenden, für die sie gesammelt wurden
Schließlich ist die Dienstleistungsorganisation verpflichtet, personenbezogene Daten zu entsorgen, wenn sie ihren Zweck erfüllt haben.
Vertraulichkeitskontrollen
Vertrauliche Informationen unterscheiden sich von privaten Informationen dadurch, dass sie, um nützlich zu sein, mit anderen Parteien geteilt werden müssen. Das häufigste Beispiel sind Gesundheitsdaten. Sie sind hochsensibel, aber wertlos, wenn man sie nicht zwischen Krankenhäusern, Apotheken und Spezialisten teilen kann.
Statt die Informationen völlig sicher aufzubewahren, konzentriert sich die Kategorie Vertraulichkeit darauf, sicherzustellen, dass sie sicher geteilt werden.
Um die Vertraulichkeitskriterien von SOC 2 zu erfüllen, ist ein klarer Prozess zur Identifizierung vertraulicher Informationen erforderlich. Vertrauliche Daten müssen bis zum Ende eines vordefinierten Aufbewahrungszeitraums vor unbefugtem Zugriff geschützt und dann vernichtet werden.
Kontrollen zur Integrität der Verarbeitung
Funktionieren die Systeme, die zur Speicherung, Verarbeitung und Abruf von Informationen verwendet werden, wie sie sollen?
Einige Kontrollen in der PI-Serie beziehen sich auf die Fähigkeit der Organisation, festzulegen, welche Daten sie benötigt, um ihre Ziele zu erreichen. Andere definieren die Integrität der Verarbeitung in Bezug auf Eingaben und Ausgaben. Zum Beispiel, wenn ein Kunde eine Bestellung auf einer E-Commerce-Website eingibt, ist die Ausgabe die schnelle Lieferung des Produkts.
Ausgaben sollten nur an ihre jeweiligen Empfänger weitergegeben werden. Fehler sollten so schnell wie möglich erkannt und korrigiert werden.
Verfügbarkeitskontrollen
Die Verfügbarkeitskontrollen in SOC 2 konzentrieren sich darauf, Ausfallzeiten zu minimieren. Sie sind besonders wichtig für SaaS- und Cloud-Computing-Anbieter.
Sind die Systeme der Dienstleistungsorganisation sicher gesichert? Gibt es einen Wiederherstellungsplan für den Katastrophenfall? Gibt es einen Business Continuity Plan, der auf unvorhergesehene Ereignisse oder Sicherheitsvorfälle angewendet werden kann? Eine formale Risikobewertung, Risikomanagement und Risikominderungsprozess sind wichtig, um Bedrohungen von Rechenzentren zu identifizieren und die Verfügbarkeit aufrechtzuerhalten.
A1-Serienkontrollen verlangen von Organisationen:
- Systemkapazität vorherzusagen
- Umweltbedrohungen zu identifizieren und zu mindern
- Zu identifizieren, welche Daten gesichert werden sollen
FAQs
Wie viele SOC 2-Kontrollen gibt es?
Das SOC 2-Framework umfasst 5 Trust Services-Kriterien, die sich aus 64 einzelnen Anforderungen zusammensetzen. Kontrollen sind die Sicherheitsmaßnahmen, die Sie implementieren, um die SOC 2-Anforderungen zu erfüllen. Die Anzahl der implementierten Kontrollen hängt von der Anzahl der in Ihrem Audit enthaltenen TSC und der Komplexität Ihrer Infrastruktur und Organisation ab. Typischerweise behandelt ein SOC 2 Type 2 Audit, das die Sicherheit abdeckt (der einzige erforderliche TSC), die Eignung des Designs und die operative Effektivität von durchschnittlich 80 Kontrollen. Bei Serviceorganisationen, die ausschließlich in der Cloud arbeiten, sinkt der Durchschnitt auf 60. Bei Organisationen mit komplexerer Infrastruktur und Organisationsstruktur steigt der Durchschnitt auf 100.
Was ist der Unterschied zwischen SOC 1 und SOC 2 Kontrollen?
SOC 2-Kontrollen sind Kontrollen, die bei einer Serviceorganisation implementiert werden und die für Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit oder Datenschutz relevant sind. SOC 1-Kontrollen sind Kontrollen, die bei einer Serviceorganisation implementiert werden und die für die interne Kontrolle der Benutzerorganisationen (z. B. Organisationen, die Serviceorganisationen nutzen) über die Finanzberichterstattung relevant sind.
Was ist ein Beispiel für eine SOC 2-Kontrolle?
Ein Beispiel für eine SOC 2-Kontrolle ist eine Informationssicherheitspolitik, die vom Chief Technology Officer überprüft wird, um sicherzustellen, dass sie Überlegungen zum strategischen Plan, die anwendbaren Gesetze für die jeweiligen Gebiete und die Rollen und Verantwortlichkeiten für Führungskräfte und leitende Angestellte enthält.