SOC 2-Prüfungen dürfen nur von einer lizenzierten Wirtschaftsprüfungsgesellschaft oder einer vom American Institute of Certified Public Accountants (AICPA) akkreditierten Agentur durchgeführt werden.

Darüber hinaus muss der Prüfer oder die prüfende Firma ein völlig unabhängiger Wirtschaftsprüfer sein, was bedeutet, dass sie keine Beziehung zu der von ihnen geprüften Serviceorganisation haben dürfen.

Die AICPA verlangt von SOC-Prüfern, dass sie:

Die professionellen Standards des AICPA einhalten
Die neuesten Leitlinien zur Planung, Durchführung und Überwachung von Prüfungsverfahren beachten
Sich peer reviews unterziehen, die ihre Qualifikationen und die Gültigkeit ihrer Prüfungen bestätigen.

Was macht ein SOC 2-Prüfer?

SOC 2-Konformität erfordert eine externe Prüfung durch einen Informationssicherheitsprüfer. Diese SOC 2-Experten bewerten, wie effektiv Ihr Sicherheitsprogramm ist und ob Ihre internen Kontrollen den Anforderungen Ihrer gewählten Trust Services Criteria (TSC) entsprechen.

Je nachdem, für welchen Zeitraum Ihr Bericht gilt und ob Sie einen SOC 2 Type 1- oder einen SOC 2 Type 2-Bericht anstreben, wird Ihr Prüfer zwischen ein paar Wochen und einigen Monaten mit Ihrem Team arbeiten, bevor er einen SOC 2-Bericht erstellt.

Wahrscheinlich wird er damit beginnen, wichtigen Stakeholdern Fragen zu den Richtlinien und Prozessen Ihres Unternehmens, Ihrem Risikomanagementansatz, Ihrer IT-Infrastruktur und Ihren Sicherheitskontrollen zu stellen.

Anschließend wird der Prüfer Beweise über Ihr Kontrollumfeld überprüfen. Er nutzt diese Dokumentation, um das Design der Kontrollen besser zu verstehen und deren operative Effektivität zu bewerten.

Nach der Bewertung erstellt der Prüfer einen detaillierten Prüfbericht, der die Ergebnisse und die abschließende Meinung des Prüfers zusammenfasst. Eine positive Meinung bedeutet, dass Ihre Serviceorganisation den SOC 2-Anforderungen entspricht.

Der Prüfbericht deckt die Ergebnisse des Prüfers ab, einschließlich einer Beschreibung des Prüfungsumfangs, der Testergebnisse und einer Liste aller während der Prüfung entdeckten Cybersicherheitsprobleme sowie ihrer Empfehlungen für Verbesserungen oder erforderlichen Maßnahmen zur Behebung. Er enthält auch eine Managementbehauptung, die es Ihrer Organisation ermöglicht, Behauptungen (oder "Assertions") über Ihre eigenen Systeme und Kontrollen aufzustellen.

Einige Wirtschaftsprüfungsgesellschaften bieten zusätzliche Dienstleistungen zur Vorbereitung an, wie z. B. eine Lückenanalyse oder eine SOC 2-Bereitschaftsbewertung. Diese können besonders nützlich sein, wenn Sie sich auf Ihre erste Prüfung vorbereiten, da sie zusätzliche Einblicke geben, ob die Kontrollen und Datensicherheitssysteme Ihrer Serviceorganisation dort sind, wo sie für eine erfolgreiche Prüfung sein müssen.

Wie man eine Wirtschaftsprüfungsgesellschaft für Ihre SOC 2-Prüfung auswählt

Die Wahl eines Prüfers ist ein entscheidender Schritt im AICPA SOC 2-Prüfungsprozess, wird aber von Unternehmen oft übersehen.

Ein Prüfer sollte klare Erfahrung in der Durchführung von SOC-Prüfungen haben und in der Lage sein, Beispiele von Berichten zu zeigen, die er in der Vergangenheit erstellt hat. Idealerweise sollte er Erfahrung mit Ihrer speziellen Art von Serviceorganisation haben.

Die meisten Dienstleistungsunternehmen führen Interviews mit mehreren Prüfern, bevor sie einen einstellen.

Denken Sie daran, dass Sie nicht nur einen Prüfer aufgrund seiner Qualifikationen auswählen - Sie wählen auch eine Person aus, mit der Sie zwischen einigen Wochen bis zu einem Jahr zusammenarbeiten werden.

Die besten SOC 2 Prüfer sind Ihre Partner im Compliance-Prozess.

Es ist wichtig sicherzustellen, dass Ihre Persönlichkeiten und Prioritäten kompatibel sind.

Hier sind ein paar Tipps, die Ihnen bei der Auswahl eines SOC 2 Prüfers helfen:

Produkt

Risikomanagement

Sicherheitsbewertungen von Anbietern

Unterstützte Frameworks

Lösungen

Top-Frameworks

Partnertypen

Partnerprogramm

Ressourcen für Sicherheit und Compliance

Framework-Ressourcen

Kundenressourcen

Unternehmen

Wer führt eine SOC 2-Prüfung durch?

Was macht ein SOC 2-Prüfer?

Wie man eine Wirtschaftsprüfungsgesellschaft für Ihre SOC 2-Prüfung auswählt

SOC 2 Überblick

Was ist SOC 2®?

Warum ist SOC 2 wichtig?

SOC 1 vs SOC 2 vs SOC 3

Trust-Dienstleistungskriterien

Common Criteria

SOC 2 Kontrollmaßnahmen

Die Geschichte von SOC 2

Berichtstrukturen

Was ist ein SOC 2-Bericht?

Was deckt ein SOC 2-Bericht ab?

Ein Beispielbericht von SOC 2 aus der realen Welt

Gültigkeit des SOC 2-Berichts

Gemeinsame SOC 2-Audit-Ausnahmen und wie man sie vermeidet

Was ist ein SOC 2-Bridge Letter? + Vorlage

Auditprozess, Zeitplan und Kosten

SOC 2 Typ 1 vs Typ 2

Der SOC 2-Audit-Prozess

Wie lange dauert ein SOC 2-Audit?

Wie viel kostet ein SOC 2-Audit?

Wer führt eine SOC 2-Prüfung durch?

SOC 2 Audit-Häufigkeit

Wie man sich auf eine Prüfung vorbereitet

Bestimmen Sie den Umfang Ihres SOC 2 Audits

SOC 2 Konformitätsanforderungen

Erstellung eines SOC 2 Projektplans

SOC 2 Richtlinien und Verfahren

SOC 2 Compliance Documentation

SOC 2 Bereitschaftsbewertungen

Automatisierung der SOC 2-Compliance

Was ist SOC 2 Compliance Automation?

Die Kostenvorteile der SOC 2-Automatisierung

Sicherheitseinblicke

Einhaltung der SOC 2-Compliance das ganze Jahr über

SOC 2 Ressourcen und Tools

SOC 2 Audit-Schulung

SOC 2® FAQs: Häufig gestellte Compliance-Fragen beantwortet

Vertrauenswürdige SOC 2 Prüfungsunternehmen