Ein System und Organisation Kontrollen (SOC) Bericht ist wie eine Schulnote im Fenster eines Restaurants.
Auf einen Blick zeigt er Ihren Kunden, dass Sie auf wichtige Details achten. Er enthält detaillierte Informationen darüber, wie gut Sie Kundendaten vor unbefugtem Zugriff schützen.
Aber was ist ein SOC 1 und SOC 2 Bericht, und wie erhält man einen?
SOC 1 vs SOC 2 Bericht
Ein SOC 1-Bericht ist für Organisationen, deren interne Sicherheitskontrollen die Finanzberichterstattung eines Kunden beeinflussen können. Denken Sie an Lohnabrechnungen, Schadensfälle oder Zahlungsabwicklungsunternehmen. SOC 1-Berichte können den Kunden versichern, dass ihre Finanzinformationen sicher verarbeitet werden.
Ein SOC 2-Bericht hilft SaaS- und Dienstleistungsorganisationen, die Sicherheit ihrer Cloud- und Rechenzentrumssteuerungen nachzuweisen.
Sowohl SOC 1 als auch SOC 2 sind Bestätigungsberichte, bei denen das Management einer Organisation bestätigt, dass bestimmte Informationssicherheitskontrollen vorhanden sind.
Dann wird ein unabhängiger Prüfer, der vom American Institute of Certified Public Accountants (AICPA) akkreditiert ist, hinzugezogen, um diese Behauptungen zu überprüfen und entweder zuzustimmen oder abzulehnen.
Was ist ein SOC 2-Bericht?
Am Ende einer SOC 2-Prüfung erstellt der Prüfer einen SOC 2-Bericht. Dieser Bericht enthält deren Meinung dazu, ob die interne Cybersicherheitsstrategie Ihres Unternehmens den SOC 2-Sicherheitsstandards entspricht.
Denken Sie daran, es gibt keine offizielle SOC 2-Zertifizierung — nur den Bericht mit der offiziellen Meinung des Prüfers zur operativen Wirksamkeit der Kontrollen Ihrer Dienstleistungsorganisation. Jede Organisation, die eine SOC 2-Prüfung durchführt, erhält einen SOC 2-Bericht, unabhängig davon, ob sie die Prüfung bestanden hat oder nicht.
Was ist in einem SOC 2-Bericht enthalten?
Ein endgültiger SOC 2-Bericht enthält mehrere Abschnitte:
Management Assertion
Der Assertion-Abschnitt fasst zusammen, was die Unternehmensleitung dem Prüfer über ihre Sicherheits- und Datenschutzkontrollen berichtet hat. Er erklärt, ob die Systeme im Bericht fair dargestellt werden. Dieser Abschnitt beschreibt auch, ob Ihre Systeme die Trust Service Criteria (früher Trust Services Principles) erfüllen, die Sie in Ihre Prüfung aufgenommen haben.
Independent Service Auditor’s Report
Dieser Abschnitt enthält die formelle Meinung des Prüfers darüber, wie gut Ihre Kontrollen gegen die ausgewählten TSC abschneiden.
- Eine „unqualifizierte Meinung“ ist ein voller Erfolg.
- Eine „qualifizierte Meinung“ bedeutet, dass das Unternehmen fast konform ist, aber ein oder mehrere Bereiche noch nicht erfüllt sind.
- Eine „ablehnende Meinung“ ist ein Misserfolg. Das Unternehmen fällt in einem oder mehreren nicht verhandelbaren Bereichen durch.
- Ein „Haftungsausschluss der Meinung“ bedeutet, dass dem Prüfer nicht genügend Beweise vorliegen, um eine der ersten drei Optionen zu unterstützen.
System Overview
Der Systemüberblick erklärt, was Ihr Unternehmen tut. Er enthält Branche, Standort und wie Sie Ihre Infrastruktur beschreiben. Er enthält auch eine Zusammenfassung Ihrer Datensicherheitskontrollen und warum Sie diese implementiert haben.
Infrastructure
Dieser Abschnitt beschreibt die Personen, Richtlinien, Prozesse, Software, Daten und Technologie der Organisation. Es enthält auch Informationen über Drittanbieter, an die ausgelagert wird.
Relevante Aspekte der Kontrollumgebung
Dieser Teil erklärt die wichtigsten Aspekte Ihrer internen Kontrollumgebung. Beispiele beinhalten:
- Informationssysteme
- Risikomanagement- und Risikobewertungsrichtlinien/-prozesse
- Überwachungsstrategien
Ergänzende Kontrollmaßnahmen der Benutzerorganisation
Ergänzende Kontrollmaßnahmen der Benutzerorganisation (CUECs) sind auch als Benutzerkontrollüberlegungen (UCCs) bekannt. Dies sind Kontrollen, deren Implementierung den Kunden der Organisation obliegt.
Hier ist ein Beispiel:
Tonnenweise Unternehmen nutzen Dropbox oder Google Drive, um Dateien zu teilen und zusammenzuarbeiten.
Aber diese Datei-Sharing-Dienste können nicht wissen, wer auf bestimmte Unternehmensdateien zugreifen darf. Es liegt am Kunden von Dropbox (der Benutzerorganisation), den Überblick darüber zu behalten, wer Zugriff haben sollte. Es ist auch ihre Verantwortung, den Zugriff für ehemalige Mitarbeiter oder Anbieter zu entfernen.
Ergänzende Kontrollmaßnahmen der Subservice-Organisation
Das American Institute of CPAs definiert eine Subservice-Organisation als einen unterstützenden Anbieter. Beispiele dafür sind Hosting von Rechenzentren und Transaktions-/Datenverarbeitungsdienste. Abhängig von der Art des ausgelagerten Dienstes kann Ihre Organisation einige der Kontrollen dieser Subservice-Organisation in Ihre Prüfung einbeziehen wollen.
Trust Services Criteria, kriterienbezogene Kontrollen und Kontrolltests
Dies listet jede interne Sicherheitskontrolle auf, die Ihr Unternehmen implementiert hat, zusammen mit den Ergebnissen der Kontrolltests.
Weitere Informationen
Von dem Unternehmen bereitgestellte Informationen, die der Prüfer als nicht relevant erachtet hat.
SOC 2 Berichtstypen: Typ I vs Typ II Prüfberichte
Was beinhaltet ein SOC 2 Typ I Prüfbericht?
SOC 2 Typ I Prüfungen analysieren die internen Kontrollen einer Organisation zu einem bestimmten Zeitpunkt. Sie bewerten, wie gut ein Unternehmen seine interne Sicherheitslage gestaltet hat.
Ein SOC 2 Typ I Prüfbericht bietet einen Überblick über das System, die Kontrollen und die Prozesse der Dienstleistungsorganisation in Bezug auf spezifische TSC.
Einzelne interne Kontrollen sind mit Kontrollzielen oder Trust Services Criteria verknüpft. Oft sind mehr als eine interne Kontrolle mit einem einzigen Kontrollziel verknüpft.
Der Bericht enthält auch eine Beschreibung der Benutzerkontrollen, die für das Funktionieren des Kontrollsystems erforderlich sind. Falls erforderlich, sind auch Kontrollen der Subservice-Organisationen enthalten.
Zum Schluss enthalten Typ-1-Berichte eine Management-Assertion. Diese fasst zusammen, wie das System und die Kontrollen der Organisation die Kontrollziele erfüllen.
Was ist in einem SOC 2 Typ II Prüfbericht enthalten?
Viele der Aspekte, die von einer SOC 2 Typ II Prüfung behandelt werden, sind identisch mit denen einer SOC 2 Typ I Prüfung. Beide bewerten die internen Kontrollen und Prozesse eines Unternehmens in Bezug auf spezifische TSC.
Der Hauptunterschied zwischen den Arten von SOC-Berichten ist der Zeitraum, der in der SOC-Prüfung abgedeckt wird, und der Detaillierungsgrad im Abschlussbericht. Während SOC 2 Typ I Prüfungen die Kontrollen eines Unternehmens zu einem bestimmten Zeitpunkt untersuchen, analysieren SOC 2 Typ II Prüfungen, wie gut diese Kontrollen im Laufe der Zeit funktionieren.
Daher ist der SOC 2 Typ II Prüfbericht umfassender als ein Typ I Bericht und bietet den Kunden oft ein höheres Maß an Sicherheit.
SOC 2 Typ 2-Berichte decken alles in einem Typ I-Bericht ab. Plus Details zu den Tests, die der Prüfer durchgeführt hat, um jede Kontrolle zu bewerten, und die Ergebnisse. Der Bericht dokumentiert auch alle Ausnahmen.
Wer muss einen SOC 2-Bericht sehen?
Mehrere Interessengruppen könnten Ihren SOC 2-Bericht lesen müssen oder wollen, darunter:
- Aktuelle und potenzielle Kunden möchten wissen, wie Sie mit ihren sensiblen Daten umgehen.
- Geschäftspartner möchten wissen, welche internen Kontrollen zum Schutz von Daten und zur Verhinderung kostspieliger Datenverletzungen vorhanden sind.
- Externe Prüfer müssen möglicherweise die internen Kontrollen zur Sicherheit von Kundendaten untersuchen.
- Potenzielle Investoren benötigen glaubwürdige, verlässliche Daten über die Sicherheit und das Niveau der Raffinesse Ihres Unternehmens.
- Regulierungsbehörden können überprüfen, ob die Kontrollen und Systeme Ihrer Organisation den geltenden Gesetzen und Vorschriften entsprechen.
Da der SOC 2-Bericht so detaillierte Informationen über die Systeme und Prozesse eines Unternehmens enthält, teilen die meisten Organisationen und Dienstleister ihren SOC 2-Bericht nur unter einer NDA.
Häufig gestellte Fragen
Was ist der SOC 2-Bericht?
Der SOC 2-Bericht bestätigt die Gestaltung und operative Wirksamkeit der für Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit oder Datenschutz relevanten Kontrollen einer Organisation und hilft, Vertrauen zwischen Dienstleistern und deren Kunden aufzubauen.
Welche Unternehmen benötigen einen SOC 2?
Jede Dienstleistungsorganisation, die mit sensiblen Informationen umgeht, die nicht mit der Finanzberichterstattung zusammenhängen oder die die internen Kontrollen ihrer Nutzer betreffen (ausgenommen Finanzoperationen), kann einen SOC 2-Bericht benötigen. Dazu gehören:
- Cloud-Dienstleister
- SaaS-Anbieter
- HR-Management-Dienstleistungen
- Recruiting-Plattformen
- Hosting-Rechenzentren
Ist ein SOC 2 Typ 2-Bericht vertraulich?
Ja, ein SOC 2 Typ 2-Bericht enthält vertrauliche Informationen, einschließlich detaillierter Informationen über das System und die Kontrollen der Organisation sowie über die Tests, Verfahren und Ergebnisse des Prüfers. Deshalb ist ein SOC 2-Bericht ein Bericht mit eingeschränkter Nutzung und kann nicht öffentlich veröffentlicht werden. Wenn Kunden und potenzielle Kunden diesen Bericht sehen möchten, lassen die meisten Organisationen sie zuerst eine Geheimhaltungsvereinbarung (NDA) unterzeichnen.