Das SOC 2-Framework basiert auf fünf Trust-Dienstleistungskriterien (früher Trust-Dienstleistungsprinzipien genannt), die vom American Institute of Certified Public Accountants (AICPA) definiert wurden.
Diese Trust-Dienstleistungskriterien sind die grundlegenden Elemente Ihrer Cybersicherheitsstrategie. Sie umfassen Organisationskontrollen, Risikobewertung, Risikominderung, Risikomanagement und Änderungsmanagement.
Die fünf Trust-Dienstleistungskriterien sind:
- Sicherheit: Schutz von Informationen vor Schwachstellen und unbefugtem Zugriff
- Verfügbarkeit: Sicherstellung, dass Mitarbeiter und Kunden sich auf Ihre Systeme verlassen können, um ihre Arbeit zu erledigen
- Verarbeitungsintegrität: Überprüfung, ob die Systeme des Unternehmens wie beabsichtigt funktionieren
- Vertraulichkeit: Schutz vertraulicher Informationen durch Einschränkung des Zugriffs, der Speicherung und der Nutzung
- Datenschutz: Schutz sensibler persönlicher Informationen vor unbefugten Benutzern
Sicherheit ist das einzige für jedes SOC 2-Audit erforderliche Trust-Dienstleistungskriterium. Zusätzliche Kriterien sind optional, je nach den Dienstleistungen, die Sie Ihren Kunden anbieten.
Viele Organisationen haben nicht die Ressourcen, um ihre Informationssicherheitssysteme und internen Kontrollen in Übereinstimmung mit jedem Trust-Dienstleistungskriterium zu bringen.
Es ist am besten, die Trust-Dienstleistungskriterien zu verfolgen, denen Sie am nächsten sind oder die den größten Einfluss auf Ihre Organisation haben. Sie können die anderen Kriterien später hinzufügen.
Was sind die fünf AICPA Trust-Dienstleistungskriterien?
1. Sicherheit
Die Sicherheitskriterien zielen darauf ab, Informationen vor unbefugter Offenlegung zu schützen.
Die Sicherheitskriterien sind auch als die Gemeinsamen Kriterien bekannt. Sie beweisen, dass die Systeme und die Kontrollumgebung einer Dienstleistungsorganisation vor unbefugtem Zugriff und anderen Risiken geschützt sind.
Sicherheit ist das einzige für jedes SOC 2-Audit erforderliche Trust-Dienstleistungskriterium. Die anderen Kriterien können in den Umfang Ihres Berichts aufgenommen werden, wenn Ihre Organisation dies wählt, sie sind jedoch nicht erforderlich, um die SOC 2-Compliance zu erreichen.
2. Verfügbarkeit
Die Verfügbarkeitskriterien bestimmen, ob Ihre Mitarbeiter und Kunden sich auf Ihre Systeme verlassen können, um ihre Arbeit zu erledigen.
Einige Beispiele sind Datensicherungen, Notfallwiederherstellungs- und Geschäftskontinuitätsplanung. Jede dieser Maßnahmen minimiert Ausfallzeiten bei einem Ausfall. Wenn beispielsweise Ihr Rechenzentrum überflutet wird, haben Sie mehrere Strom- und Computer-Redundanzen. Dies stellt sicher, dass Daten auch im Falle eines Hardwareausfalls verfügbar sind.
Erwägen Sie, zu Ihrem SOC 2 hinzuzufügen, wenn:
- Sie eine Plattform für kontinuierliche Lieferung oder Bereitstellung anbieten.
- Ein Ausfall würde verhindern, dass Ihre Kunden Änderungen an ihren Diensten erstellen oder bereitstellen können. (Z.B. Anbieter von Cloud-Computing oder Cloud-Datenspeicherung)
3. Verarbeitungsintegrität
Die Kriterien für die Verarbeitungsintegrität bestimmen, ob ein System ordnungsgemäß funktioniert. Führt es seine vorgesehenen Funktionen ohne Verzögerung, Fehler, Auslassung oder versehentliche Manipulation aus?
Dies ist nicht dasselbe wie Datenintegrität – ein System kann mit falschen Daten ordnungsgemäß funktionieren. Angenommen, Sie sind ein E-Commerce-Unternehmen. Wenn ein Kunde den Bestellvorgang abschließen kann, erfüllt Ihr Unternehmen die Kriterien für Verarbeitungsintegrität.
Angenommen, der Kunde gibt versehentlich die falsche Adresse ein. Dies ist ein Beispiel für schlechte Datenintegrität. Sie können trotzdem die Anforderung an die Verarbeitungsintegrität erfüllen. Ihr System funktioniert wie vorgesehen und liefert diesen Artikel an die angegebene Adresse. Er wird nur nicht auf der richtigen Kundentürschwelle ankommen.
Erwägen Sie, Ihre SOC 2 hinzuzufügen, wenn:
- Sie Finanzberichterstattungsdienste anbieten oder ein E-Commerce-Unternehmen sind.
- Sie sicherstellen müssen, dass Ihre Transaktionsverarbeitung korrekt ist, um Betrug zu bekämpfen.
4. Vertraulichkeit
Die Vertraulichkeitskriterien bewerten, wie Organisationen vertrauliche Informationen schützen. D.h. durch Einschränkung des Zugriffs, der Speicherung und der Nutzung. Sie können Organisationen dabei helfen, zu definieren, welche Personen auf welche Daten zugreifen können und wie diese Daten weitergegeben werden können. Dies stellt sicher, dass nur autorisierte Personen vertrauliche Informationen wie Rechtsdokumente oder geistiges Eigentum einsehen können.
Erwägen Sie, Ihre SOC 2 hinzuzufügen, wenn:
- Ihre Organisation mit vertraulichen Informationen umgeht. Beispiele umfassen Finanzberichte, Passwörter, Geschäftsstrategien und geistiges Eigentum.
5. Datenschutz
Dieses Kriterium bewertet, wie die Kontrollmaßnahmen einer Organisation die persönlich identifizierbaren Informationen (PII) von Kunden schützen. Es stellt auch sicher, dass ein System, das persönliche Daten verwendet, den allgemein anerkannten Datenschutzgrundsätzen (GAAP) des AICPA entspricht.
Name, physische Adresse, E-Mail-Adresse und Sozialversicherungsnummer sind einige Beispiele für Informationen, die unter diese Datenschutzkategorie fallen. Daten wie Gesundheit, Rasse und Sexualität können für einige Unternehmen und Dienstleister ebenfalls relevant sein.
Erwägen Sie, Ihre SOC 2 hinzuzufügen, wenn:
- Ihre Organisation persönliche Informationen sammelt, speichert, verwendet, bewahrt, offenlegt oder entsorgt.