SOC 2, auch bekannt als Kontrolle der Serviceorganisation 2, ist ein Kriterium und Prüfungsverfahren richtet sich an Technologieunternehmen und Anbieter, die vertrauliche Kundendaten in der Cloud speichern.
SOC 2 ist eine Reihe von Richtlinien für Compliance-Anforderungen für Unternehmen, die die cloudbasierte Speicherung von Kundendaten nutzen. SOC 2 ist ein wesentlicher Bestandteil der Regulierungsaufsicht, der Lieferantenmanagementprogramme und der Governance Ihres Unternehmens.
SOC 2 ist ein technisches Audit, und es erfordert umfassende Richtlinien zur Informationssicherheit und Verfahren, die geschrieben und befolgt werden müssen.
Erstellt von der Auditing Standards Board des American Institute of Certified Public Accountants (AICPA), SOC 2 ist ausdrücklich für Dienstleister konzipiert, die Kundendaten in der Cloud speichern. Das bedeutet, dass SOC 2 für nahezu jedes SaaS-Unternehmen gilt, sowie für jedes Unternehmen, das das nutzt Cloud, um Kundendaten und deren Informationen zu speichern.
Der Zweck eines SOC 2-Berichts besteht darin, eine zu bewerten Informationssysteme der Organisation hinsichtlich ihrer Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz.
Vor 2014 mussten nur Unternehmen, die Dienste in der Cloud anbieten, die SOC 1-Compliance-Anforderungen erfüllen. Derzeit muss jedes Unternehmen, das Kundendaten in der Cloud speichert, die SOC-2-Anforderungen erfüllen, um das Risiko und die Gefährdung dieser Daten zu minimieren.
Wir sind so froh, dass wir diese Lösung gefunden haben, sie hat alles einfacher zusammenpassen lassen.
Zu wählen Schutz vor Datenschutzverletzungen ist nicht nur eine defensive Strategie. Es kann auch zum Wachstum Ihres Unternehmens beitragen, indem Sie ein SOC 2-Audit bestehen, um Kunden und Interessenten zu versichern, dass ihre Daten vor böswilligen Bedrohungen wie schädlichen Sicherheitsverletzungen geschützt sind!
Die Einhaltung von SOC 2 kann den Ruf eines Unternehmens stärken, indem es seine internen Kontrollen dokumentiert, bewertet und verbessert.
Die Typ-2-Zertifizierung ist nicht der einzige SOC-Bericht, den Unternehmen erhalten können, aber sie ist einer der robustesten.
Die SOC 2 Typ 2-Zertifizierung kann Organisationen auf folgende Weise zugute kommen:
Ein SOC 1-Bericht konzentriert sich auf die Leistung von Outsourcing-Dienstleistungen durch Organisationen, die für die Finanzberichterstattung eines Unternehmens relevant sind.
Ein SOC 2-Bericht geht auf die Risiken ein des Outsourcings an Drittanbieter in Bereichen, die nicht zur Finanzberichterstattung gehören. Diese Berichte stützen sich auf Kriterien für Vertrauensdienste, die fünf Kategorien abdeckt: Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz.
SOC-3-Berichte ähneln SOC-2-Berichten. Dabei handelt es sich um allgemeine Berichte, die die Serviceorganisation als Marketinginstrument verwenden und potenziellen Kunden zur Verfügung stellen kann.
SOC 2-Berichte belegen die Wirksamkeit der für fünf relevanten internen Kontrollen einer Serviceorganisation Kategorien von Vertrauensdiensten (früher bekannt als „Trust Services Principles“), die von der AICPA festgelegt wurden.
Organisationen werden die Wirksamkeit ihrer Maßnahmen regelmäßig bewerten Richtlinien und Verfahren zur Regelung des unbefugten Zugriffs auf Informationen und ergreifen Sie geeignete Maßnahmen, wenn ein Verstoß auftritt.
Die Informationen und Systeme in einem Organisationsbedarf sowohl zur Nutzung verfügbar als auch betriebsbereit sein, um die Ziele des Unternehmens zu erreichen.
Das System verarbeitet die Transaktion präzise, pünktlich und autorisiert.
Wenn Daten als vertraulich gelten, müssen der Zugriff und die Offenlegung auf einen bestimmten Personenkreis beschränkt werden. Beispiele hierfür sind Firmenpersonal, Geschäftspläne, geistiges Eigentum und andere sensible Finanzinformationen.
Persönlich identifizierbare Informationen (PII) müssen auf sichere Weise gesammelt, verwendet, offengelegt und entsorgt werden. Der Schutz von Kunden- und Kundeninformationen vor unbefugtem Zugriff hat für Serviceorganisationen, die Daten externer Kunden verarbeiten, speichern oder übertragen, höchste Priorität.
Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo
SOC 2 ist ein Prüfverfahren, das sicherstellt, dass Ihre Dienstleister Ihre Daten sicher verwalten, um die Interessen von Ihnen und Ihrer Organisation zu schützen. Die Einhaltung von SOC 2 ist eine Mindestanforderung für sicherheitsbewusste Unternehmen, wenn sie einen SaaS-Anbieter in Betracht ziehen.
SOC 2 ist keine vorgeschriebene Liste von Kontrollen, Tools oder Prozessen. Stattdessen werden die Kriterien angegeben, die vorhanden sein müssen Aufrechterhaltung einer robusten Informationssicherheit. Dadurch kann jedes Unternehmen Praktiken übernehmen und Verfahren, die für seine Ziele und Operationen relevant sind.
ISMS.online bietet Ihnen eine Plattform, die Sie auf dem Weg zur SOC 2-Konformität unterstützt. Jeder Abschnitt von SOC 2 ist in der sicheren Plattform detailliert beschrieben, sodass er leicht verständlich ist. Das reduziert Ihren Arbeitsaufwand, die Kosten und den Stress, nicht zu wissen, ob Sie alles richtig gemacht haben.
Zu den zahlreichen Vorteilen der SOC 2-Konformität gehören:
Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo
Wir sind kostengünstig und schnell
Ein SOC 2-Audit kann nur von einem Auditor mit einer Lizenz des durchgeführt werden Wirtschaftsprüfer (CPA) auf Informationssicherheit spezialisiertes Unternehmen.
Auditoren, die SOC-Audits durchführen, unterliegen den Regeln der AICPA und müssen diese einhalten.
Darüber hinaus muss ein Audit spezifische Leitlinien zur Planung und Durchführung von Verfahren befolgen. AICPA-Mitglieder müssen sich außerdem einer Peer-Review unterziehen, um sicherzustellen, dass die von ihnen durchgeführten Prüfungen gemäß akzeptablen Prüfungsstandards durchgeführt werden.
Ein SOC 2-Bericht versichert Kunden, Management und Benutzer einer Serviceorganisation die Eignung und Wirksamkeit sicherheitsrelevanter Kontrollen.
Das SOC 2-Audit umfasst im Allgemeinen Folgendes:
Während sich SOC 2 auf eine Reihe von bezieht PrüfungsberichteISO 27001 ist ein Standard, der Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) festlegt.
Die Frage sollte es auch nicht sein ISO 27001 oder SOC 2, denn SOC 2 ist ein Auditbericht und ISO 27001 ein Standard zur Einrichtung von Informationssicherheits-Managementsystemen. Es kann als einer der Outputs angesehen werden, die durch eine ISMS-Implementierung geliefert werden können.
ISO Zertifizierung 27001 Die Erstellung eines SOC 2-Berichts ist nicht zwingend erforderlich, ein ISO 27001 ISMS kann jedoch eine solide Grundlage für die Erstellung dieses Dokuments ohne großen Mehraufwand bieten. Dies stärkt das Vertrauen der Kunden, dass das Unternehmen ihre Daten schützen kann.
- | ISO / IEC 27001 | SOC 2 |
---|---|---|
Struktur | Internationaler Standard | Zertifizierungsstandard |
Ort | schützen | In den USA ansässig |
Was wird geprüft? | Das Design und die betriebliche Wirksamkeit Ihres Informationssicherheits-Managementsystems (ISMS) zu einem bestimmten Zeitpunkt | Typ 1: Der Entwurf von Kontrollen zu einem bestimmten Zeitpunkt. Typ 2: Die Gestaltung und betriebliche Wirksamkeit von Kontrollen über einen bestimmten Zeitraum |
Ergebnis | Der besagten Organisation wird ein Auditbericht und – sofern eine Zertifizierung erteilt wird – ein ISO-Zertifikat vorgelegt | SOC 2 Attestation Report – SOC 2 ist keine Zertifizierung |
Ablauf | 3 Jahre | 1 Jahr |
Kriterien für vertrauenswürdige Dienste | ISO/IEC 27001 Kontrolle und Anforderungen |
---|---|
TSC – SICHERHEIT | A.6.1.5 (Informationssicherheit im Projektmanagement – 1 Kontrolle) |
A.6 (Mobile Geräte und Telearbeit – 2 Kontrollen) | |
A.8.1.3 (Akzeptable Nutzung von Vermögenswerten – 1 Kontrolle) | |
A.11.2 (Ausrüstung – 9 Bedienelemente) | |
A.13 (Kommunikationssicherheit – 7 Kontrollen) | |
TSC – VERTRAULICHKEIT | A.8.2 (Informationsklassifizierung – 3 Kontrollen) |
A.13.2 (Informationsübertragung – 3 Kontrollen) | |
A.9.1 (Geschäftsanforderungen an die Zugangskontrolle – 2 Kontrollen) | |
A.9.2 (Benutzerzugriffsverwaltung – 6 Kontrollen) | |
A.9.4 (System- und Anwendungszugriffskontrolle – 5 Kontrollen) | |
TSC – VERARBEITUNGSINTEGRITÄT | A.14 (Systemanschaffung, -entwicklung und -wartung – 13 Kontrollen) |
TSC – VERFÜGBARKEIT | A.17 (Informationssicherheitsaspekte des Business Continuity Managements – 4 Kontrollen) |
AGB – DATENSCHUTZ | A.18.11 (Ermittlung der geltenden Gesetze und vertraglichen Anforderungen – 1 Kontrolle) |
A.18.1.4 (Datenschutz und Schutz personenbezogener Daten – 1 Kontrolle) |
Ich würde ISMS.online auf jeden Fall empfehlen, da es die Einrichtung und Verwaltung Ihres ISMS so einfach wie möglich macht.
Laden Sie unseren kostenlosen Leitfaden für eine schnelle und nachhaltige Zertifizierung herunter
Sowohl die SOC 2-Berichte vom Typ I als auch vom Typ II bieten eine unabhängige Bewertung der Serviceorganisation, einschließlich ihrer Beschreibung der Kontrollen und Expertenmeinungen zur Managementvertretung. Diese beiden Berichtstypen verfügen auch über gleiche Verfahren zur Beurteilung der Eignung verschiedener Systemdesigns.
Der Hauptunterschied zwischen SOC 1 und SOC 2 besteht darin, dass sich SOC 1 auf die internen Kontrollen einer Organisation konzentriert, die sich auf die Finanzberichte der Kunden auswirken können. Im Gegensatz dazu konzentriert sich SOC 2 auf betriebliche Kontrollen, die in den Trust Services Criteria der AICPA beschrieben sind.
Die Arbeit des Service-Auditors für SOC 2- und SOC 3-Berichte ist sehr ähnlich. Beide berichten nach AICPA-Standards, sodass die identifizierten und getesteten Kontrollen in der Regel für beide Berichte gleich sind. Der Hauptunterschied zwischen diesen beiden Aussagen liegt in ihrer Berichterstattung. Ein SOC 3 ist immer vom Typ II und bietet keine Option für Typ I. Darüber hinaus unterliegen SOC 2-Berichte einer eingeschränkten Verwendung – sie sind für die Verwendung durch das Management, Kunden und die Prüfer ihrer Kunden konzipiert.
SOC-3-Berichte sind weniger detailliert als SOC-1- und SOC-2-Berichte, da sie kaum oder gar keine vertraulichen Informationen enthalten. Die Serviceorganisation kann sie frei verteilen und eignet sich eher für allgemeine Dokumente mit wenigen Details.
Dieser Bericht geht nicht sehr detailliert auf das System und seine Funktionsweise, die getesteten Kontrollen und die Ergebnisse dieser Tests ein. SOC 3 ist eine großartige Möglichkeit, sich bei potenziellen Kunden zu vermarkten, aber SOC 3 allein würde in der Regel nicht die aktuellen Kundenbedürfnisse oder deren Prüfer erfüllen.