Wann und wo entstand SOC 2?

Um den Zweck von SOC 2 zu verstehen, ist es wichtig zu wissen, wie das Rahmenwerk ursprünglich entstanden ist.

Wann begannen SOC-Prüfungen?

Die Wurzeln von SOC 2 reichen bis in die frühen 1970er Jahre zurück. Damals veröffentlichte das American Institute of Certified Public Accountants, das SOC 2 ins Leben gerufen hat, die Stellungnahme zu Prüfungsstandards (SAS) 1.

Das SAS 1-Dokument legte offiziell die Rolle und Verantwortlichkeiten eines unabhängigen Prüfers fest.

Im Laufe der Jahrzehnte wurden neue SAS erstellt, bis hin zu SAS 70 im Jahr 1992.

In den frühen 1990er Jahren nutzten Wirtschaftsprüfer SAS 70, um zu bestimmen, wie effektiv die internen Finanzkontrollen eines Unternehmens waren. Im Laufe der Zeit wurde SAS 70 zu einer Möglichkeit, allgemein über den Umgang der Unternehmen mit Informationssicherheit zu berichten.

In den nächsten 20 Jahren begannen Unternehmen, Dienstleistungen wie Lohnbuchhaltung und Cloud-Computing auszulagern. Und diese Dienstleistungen konnten sich auf die Finanzberichterstattung oder die Datensicherheit auswirken.

Folglich entstand die Notwendigkeit für Unternehmen, ihr Sicherheitsniveau idealerweise durch eine vertrauenswürdige Drittpartei zu validieren.

Wann begann SOC 2?

Im April 2010 kündigte das AICPA einen neuen Prüfungsstandard an: die Stellungnahme zu Standards für Attestierungsaufträge (SSAE 16).

Unter SSAE 16 veröffentlichte das AICPA drei neue Berichte. Dies führte zu den Service Organization Controls (SOC) und dem immer populären SOC 2:

  • SOC 1: Interne Kontrollen für Finanzberichte und Berichterstattung
  • SOC 2: Interne Kontrollen für die fünf Vertrauensdienst-Kriterien. (Diese sind Sicherheit, Vertraulichkeit, Verarbeitungsintegrität, Datenschutz und Verfügbarkeit von Kundendaten)
  • SOC 3: SOC 2-Ergebnisse, zugeschnitten für ein öffentliches Publikum

Im Mai 2017 ersetzte das AICPA SSAE 16 durch SSAE 18, um einige verwirrende Aspekte von SSAE 16 zu aktualisieren und zu vereinfachen.

SSAE 18 wird jetzt für alle SOC 1-, SOC 2- und SOC 3-Berichte verwendet.