Ein echtes Beispiel dafür, wie ein SOC 2-Bericht aussehen könnte, kann unglaublich nützlich sein, wenn Sie sich auf eine Prüfung vorbereiten.
Hier ist ein Beispiel-SOC 2-Bericht von ABC Company, einer Plattform für Verwaltungslösungen für Eigenkapital.
Was ist ein SOC 2-Bericht?
Ein SOC 2-Bericht liefert detaillierte Ergebnisse einer SOC 2-Prüfung. Sie enthalten auch eine Fülle von Informationen über die Sicherheitslage Ihres Unternehmens, insbesondere in Bezug auf die von SOC 2 abgedeckten Sicherheitsstandards.
SOC-Berichterstattung und -Standards
Das Verständnis der Kernkonzepte von SOC 2 kann Ihnen helfen, den Bericht besser zu verstehen.
Entwickelt vom American Institute of Certified Public Accountants (AICPA), dienen SOC 2-Berichte speziell für Prüfungen im Zusammenhang mit Sicherheits- und Datenschutzkontrollen.
SOC-Berichte werden auch je nach Zeitpunkt der SOC-Prüfung in Typ I oder Typ II eingeteilt, d.h., ob die SOC-Prüfung zu einem einzigen Zeitpunkt (Typ I) oder fortlaufend (Typ II) stattgefunden hat.
Kontrollen, die von SOC abgedeckt werden
„Kontrollen“ beziehen sich auf Richtlinien, Verfahren oder Prozesse zur Risikominderung.
Eine Sicherheitskontrolle könnte zum Beispiel die Verwendung von Multi-Faktor-Authentifizierung sein, um unautorisierte Anmeldungen zu verhindern. SOC-Berichte verwenden die Trust Services Criteria:
- Sicherheit: Firewalls, Multi-Faktor-Authentifizierung usw.
- Verfügbarkeit: Notfallwiederherstellung, Leistungsüberwachung usw.
- Vertraulichkeit: Zugangskontrolle, Verschlüsselung usw.
- Integrität der Verarbeitung: Prozessüberwachung, Qualitätskontrolle usw.
- Datenschutz: Verschlüsselung, Zugangskontrolle usw.
Ein SOC 2-Bericht bewertet, wie gut eine Dienstleistungsorganisation diese Sicherheitskontrollen implementiert hat.
Struktur des SOC 2-Berichts
Das Hauptziel der SOC 2-Berichterstattung besteht darin, zu erörtern, ob ein bestimmtes System die Prüfungsanforderungen erfüllt. Ein SOC 2-Bericht muss detaillierte Informationen über die Prüfung selbst, das System und die Perspektiven des Managements enthalten.
SOC 2-Berichte umfassen:
- Bericht des Prüfers
- Bestätigung der Geschäftsführung
- Systembeschreibung
- Kontrolltests
- Weitere Informationen
1. Bericht des Prüfers
Der erste Abschnitt eines SOC 2-Berichts ist eine Zusammenfassung der Prüfung, die vom Prüfer bereitgestellt wird. Kurz und bündig sollte dieser Abschnitt eine kurze Zusammenfassung der gesamten SOC-Prüfung enthalten, einschließlich des Umfangs, der Laufzeit und der Meinung des Prüfers.
Für viele ist der wichtigste Teil dieses Abschnitts die Meinung des Prüfers, die aussagt, ob die Dienstleistungsorganisation den SOC 2-Anforderungen entspricht. Hier verwenden Prüfer manchmal spezielle Begriffe, um die Ergebnisse zu beschreiben.
Diese sind:
- Unqualifiziert: Das Unternehmen hat seine Prüfung bestanden.
- Qualifiziert: Das Unternehmen hat bestanden, aber einige Bereiche erfordern Aufmerksamkeit.
- Negativ: Das Unternehmen hat seine Prüfung nicht bestanden.
- Meinungsverweigerung: Der Prüfer hat nicht genügend Informationen, um zu einem fairen Schluss zu kommen.
2. Bestätigung der Geschäftsführung
Die Managementbehauptung ermöglicht es dem Unternehmen, Ansprüche über die geprüften Systeme und Kontrollen zu erheben.
Die meisten Managementbehauptungen sind einfach nur die Art und Weise des Unternehmens zu sagen: „Dies sind unsere Systeme, dies sind deren Kontrollen und das denken wir gerade darüber.“ Dieser Abschnitt kann auch die Behauptungen des Unternehmens über die Prüfung selbst umfassen, wie das Prüfungsfenster und den Umfang.
Dieser Abschnitt mag etwas redundant erscheinen, ist aber oft notwendig, um eine rechtliche Grundlage zwischen dem Unternehmen und dem Prüfer zu schaffen.
3. Systembeschreibung
Während die Managementbehauptung eine kurze Systembeschreibung liefern kann, geht dieser Abschnitt mehr ins Detail. Er behandelt alles von Systemkomponenten über Verfahren bis hin zu Systemvorfällen.
Gemeinsame Teile einer Systembeschreibung sind:
- Systemumfang und -anforderungen
- Systemkomponenten (z.B. Infrastruktur, Personen usw.)
- Kontrollframeworks
- Systemvorfälle
- Ergänzende Informationen (z.B. Benutzerverantwortlichkeiten usw.)
Natürlich ist dieser Abschnitt nur so detailliert und komplex wie das System selbst. Ein einfaches System benötigt möglicherweise nur eine einfache Beschreibung und umgekehrt.
4. Kontrolltests
Leicht der längste Teil eines SOC 2-Berichts, dieser Abschnitt ist eine vollständige Sammlung aller während der Prüfung durchgeführten Tests.
Die meisten SOC 2-Berichte zeigen Tests in Tabellenform mit folgenden Informationen:
- Kriterien (CC)
- Vertrauensdienstkategorie oder Kontrollziele
- Kontrollnummer
- Kontrollbeschreibung vom Unternehmen
- Testbeschreibung vom Prüfer
- Testergebnisse
Im Gegensatz zu anderen Abschnitten müssen Sie hier nur die Tests lesen, die für die Kontrollen relevant sind, an denen Sie interessiert sind. Mit anderen Worten, betrachten Sie diesen Abschnitt eher als Enzyklopädie denn als Roman.
5. Andere Informationen
Einige SOC 2-Berichte können einen zusätzlichen Abschnitt für weitere Informationen oder die Antwort des Managements auf spezifische Testergebnisse enthalten. Im folgenden Beispiel nutzte ABC Company diesen Abschnitt, um Feedback zu Tests zu geben, bei denen Prüfer Ausnahmen festgestellt haben.
SOC 2-Bericht Beispiel
Als Fintech-Unternehmen ist das Geschäft von ABC Company darauf angewiesen, die Daten seiner Kunden sicher zu halten. Ihr SOC 2-Bericht, der unten beschrieben wird, zeigt, wie sie dies durch den Standard der AICPAs Trust Services Criteria tun.
Während viele SOC 2-Berichte über 100 Seiten Dokumentation umfassen, konzentrieren wir uns darauf, einige der umsetzbarsten Bereiche hervorzuheben.
Abschnitt I: Bericht des Prüfers
Von allen Seiten dieses Berichts wird dieser Abschnitt am häufigsten gelesen. Der Prüfer des Unternehmens liefert eine detaillierte Audit-Zusammenfassung, beginnend mit einer Übersicht über den Zweck und einer kurzen Systembeschreibung.
Hier ist ein Ausschnitt des SOC 2-Systembeschreibung Beispiels:
Dieser Text vermittelt ein allgemeines Verständnis der Technologien von ABC Company. Der Rest des Abschnitts bietet kurze Beschreibungen von:
- Verantwortlichkeiten des Prüfers
- Verantwortlichkeiten des Managements
- Prüfungseinschränkungen
- Meinung des Prüfers
Die Meinung des Prüfers ist der Teil, den die meisten Leute zuerst lesen, wenn sie ihren Bericht erhalten. Hier teilt der Prüfer die Ergebnisse der Prüfung mit.
Dieser Bericht zeigt, dass die Kontrollen der ABC Company während des gesamten Prüfungszeitraums „effektiv betrieben“ wurden. Das bedeutet, dass das Unternehmen die Prüfung bestanden hat und SOC 2-konform ist. Trotz des positiven Ergebnisses könnten die Prüfer dennoch Verbesserungsmöglichkeiten gefunden haben. Details zu diesen Informationen finden sich weiter unten im Bericht.
Abschnitt II: Managementbehauptung
In diesem Abschnitt gibt das Management der ABC Company seine eigene Systembeschreibung ab. Dies bestätigt, dass sie mit ihrem Prüfunternehmen auf derselben Seite stehen.
Das Management behauptet auch, dass seine Sicherheitskontrollen „angemessen gestaltet“ und „effektiv betrieben“ werden.
Abschnitt III: Systembeschreibung
Erste Abschnitte bieten eine Zusammenfassung des Systems, aber dieser Abschnitt geht viel detaillierter darauf ein.
Die Systembeschreibung umfasst das beteiligte Personal sowie deren Rollen und Verantwortlichkeiten. Schließlich werden Systemkomponenten und -kontrollen mit ihren jeweiligen Common Criteria gruppiert.
Abschnitt IV: Tests der Kontrollen
Obwohl dies bei weitem der längste Abschnitt des Berichts ist, ist er am einfachsten zu lesen. Er skizziert das allgemeine Prüfungsverfahren und zeigt einzelne Tests in Tabellenform.
Dieser Test überprüft die internen Kontrollen der ABC Company nach den Kriterien der Kontrollumgebung (CC1). Der Prüfer überprüft, ob das Unternehmen „eine Verpflichtung zu Integrität und ethischen Werten demonstriert“ (Trust Services Criteria), indem er Kontrollen im Zusammenhang mit Informationssicherheitsrichtlinien überprüft.
Konkret fragte der Prüfer das Personal der ABC Company, ob Sicherheitsrichtlinien geprüft (1.1a) oder von neuen Mitarbeitern anerkannt wurden (1.1b). Der Prüfer stellte fest, dass 1 von 45 neuen Mitarbeitern die Richtlinien nicht anerkannt hat. 2 von 45 neuen Mitarbeitern haben sie erst lange nach der Annahme des Jobs geprüft.
Abschnitt V: Weitere Informationen
Während viele SOC 2-Berichte an diesem Punkt enden, enthalten einige Berichte Managementantworten auf die in den Tests festgestellten Ausnahmen. Hier erkennt die ABC Company an, dass einige neue Mitarbeiter die Sicherheitsrichtlinien nicht geprüft haben, und verpflichtet sich, häufiger zu überprüfen.