E-Mail-Sicherheit

    Was ist ein SOC-Bericht?

    Mit Hilfe von Berichten über System- und Organisationskontrollen (SOC) können Organisationen sicherstellen, dass Anbieter beim Umgang mit Daten ethisch und rechtlich einwandfrei arbeiten.

    by Andrew Williams
    02BLOG_1.jpg

    Wichtige Punkte

    • Das American Institute of Certified Public Accountants (AICPA) kann eine unparteiische Prüfung des Umgangs einer Organisation mit Netzen, Daten und Kontrollen vornehmen.
    • SOC-Audits bewerten eine Reihe von Best Practices nach einem unvoreingenommenen und transparenten Rahmen, der von der AICPA festgelegt wurde, und helfen potenziellen Kunden und Partnern bei der Einschätzung möglicher Risiken.
    • Ein guter SOC-Bericht sollte den Beteiligten die Informationen liefern, die sie benötigen, um fundierte Entscheidungen über die Sicherheitslage eines Unternehmens zu treffen.

    In einer Welt, in der Daten sowohl für Unternehmen als auch für Cyberkriminelle immer wertvoller werden, ist es wichtiger denn je, sicherzustellen, dass Anbieter beim Umgang mit diesen Daten ethisch und rechtlich korrekt handeln. Glaubwürdigkeit und Vertrauenswürdigkeit sind integraler Bestandteil des Geschäftsbetriebs und gewährleisten, dass alle von Kunden und Partnern erfassten und gespeicherten Daten sicher und vertraulich sind und auf Anfrage zur Verfügung stehen. 

    System- und Organisationskontrollberichte (SOC-Berichte) ermöglichen es Organisationen, dies mit Hilfe der Akkreditierung durch Dritte vom American Institute of Certified Public Accountants (AICPA) zu tun, indem sie eine unparteiische Untersuchung darüber liefern, wie eine Organisation mit den folgenden Aspekten umgeht: 

    • Netzwerksicherheit 
    • Verfügbarkeit von Daten 
    • Integrität der Datenverarbeitung 
    • Vertraulichkeit der Daten 
    • Datenschutz 
    • Kontrolle der Finanzberichterstattung 
    • Cybersecurity-Kontrollen 

    SOC-Audits sind eine Möglichkeit, eine Reihe von Best Practices nach einem unvoreingenommenen und transparenten Rahmen zu bewerten, der vom AICPA festgelegt wurde und potenziellen Kunden und Partnern hilft, mögliche Risiken im Umgang mit der jeweiligen Organisation einzuschätzen. Auf diese Weise können Unternehmen anhand der Daten im SOC-Bericht nachweisen, dass ihre Tätigkeiten legal und ethisch einwandfrei sind. 

    SOC-Berichtstypen 

    Es gibt drei Arten von SOC-Berichten, die sich mit verschiedenen Aspekten der Geschäftstätigkeit einer Organisation und den Arten der beteiligten Organisationen befassen. Im Folgenden gehen wir näher auf die einzelnen Aspekte ein. 

    SOC 1 

    Auf der Grundlage des Berichtsstandards SSAE 16 bewertet die SOC-1-Berichterstattung die internen Kontrollen für die Finanzberichterstattung, einschließlich der Transaktionsverarbeitung und der Unterstützung der IT-Kontrollen. Dieser SOC-Bericht bezieht sich nicht nur auf die unmittelbaren Auswirkungen auf die Finanzlage eines Unternehmens, sondern auch auf die nachgelagerten Auswirkungen. 

    SOC 2 

    Die SOC2-Berichterstattung erweitert den Umfang der Daten durch die Bewertung von Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz. Der Berichtsstandard AT 101 besagt, dass die Prüfung der Sicherheitskontrollen obligatorisch ist, während die anderen Elemente fakultativ sind. Diese SOC-Berichte stützen sich auf die Trust Services Criteria. 

    SOC 3 

    Die früher als SysTrust oder WebTrust bekannte SOC-3-Berichterstattung ist im Wesentlichen eine abgespeckte Version von SOC2. Durch die Ausklammerung spezifischer Details der Kontrollen und Ergebnisse während der Tests können diese SOC-Berichte jedoch der breiten Öffentlichkeit zugänglich gemacht werden und werden häufig für Marketingzwecke verwendet. 

    Was ist der Unterschied zwischen SOC-Berichten des Typs I und II? 

    Jeder der oben genannten SOC-Prüfungsrahmen ist in zwei Varianten erhältlich, die beide auf die Erstellung unterschiedlicher Berichte abzielen. Der Hauptunterschied zwischen den beiden Arten von Berichten besteht darin, wo und wann die Daten untersucht werden. 

    • Typ-I-Berichte - Untersuchung von Kontrollen zu einem einzigen Zeitpunkt 
    • Typ-II-Berichte - Untersuchung von Kontrollen über einen bestimmten Zeitraum 

    Das bedeutet, dass die Berichte des Typs I und des Typs II unterschiedliche Schwerpunktbeschreibungen für jedes SOC-Audit bieten. Diese sind wie folgt: 

     

    Typ I 

    Typ II 

    S

    O

    C

    1 

    - Konzentriert sich auf interne Kontrollen, die darauf abzielen, Fehler bei Finanzdaten aufzudecken. 

    - Mit dem Ein-Punkt-Test wird die Wirksamkeit eines Kontrollsatzes nicht geprüft.   

    - Konzentriert sich auf das Testen der Effektivität der internen Kontrollen, die das Risiko von Finanzdaten verringern sollen. 

    - Die Prüfung über einen bestimmten Zeitraum und die Stichprobenmethodik gewährleisten ein genaues und transparentes Bild der betrieblichen Effizienz. 

     

    S

    O

    C

    2

    - Konzentriert sich auf das Testen der Gestaltung von Kontrollen der Vertrauensdienstkriterien, wobei Sicherheitskontrollen ein obligatorisches Element darstellen. 

    - Bei Ein-Punkt-Tests wird die Wirksamkeit der Kontrollen nicht überprüft. 

     

    - Konzentriert sich auf das Testen der operativen Wirksamkeit der Kontrollen der Vertrauensdienstkriterien, um das Risiko eines falschen Umgangs mit Daten zu mindern. 

    - Tests über einen definierten Zeitraum und Stichprobenverfahren für ein genaues und transparentes Bild der betrieblichen Effizienz. 

    S

    O

    C

    3 

    - Abgeschwächte Version von SOC 2 Typ II, die keine vertraulichen Informationen enthält. 

    - Bietet eine Zusammenfassung auf hoher Ebene für den öffentlichen Gebrauch, ohne Details über interne Kontrollen preiszugeben. 

    - Am häufigsten werden sie von Unternehmen eingesetzt, die bereits seit langem SOC-Dienstleistungen anbieten und robuste und ausgereifte Kontrollen einsetzen.

    Was Sie von einem SOC-Audit erwarten können 

    Die Entscheidung über die Art des SOC-Berichts, der für Ihr Unternehmen und seine Ziele am besten geeignet ist, ist der erste Schritt auf dem Weg zum Audit. Sobald Sie dies getan haben, beginnt der offizielle Prozess mit der Durchführung einer SOC-Bereitschaftsbewertung, um Ihr Unternehmen auf das vollständige SOC-Audit vorzubereiten. Das SOC identifiziert Mängel, Lücken und andere potenzielle Gefahrenquellen und arbeitet mit Managern und Sicherheitsteams zusammen, um diese zu beheben. 

    Als Nächstes müssen Sie mit Ihrem Prüfer über den Umfang des SOC-Audits sprechen und alle relevanten Informationen über Elemente wie Technologie-Stacks, Datenflüsse, Infrastruktur, Geschäftsprozesse und Mitarbeiter sammeln. Je nachdem, für welchen SOC-Bericht Sie sich entscheiden, müssen Sie auch festlegen, welche Vertrauensdienstkategorien Sie einbeziehen wollen. 

    Ihr Prüfer wird dann vor Ort in Ihrem Unternehmen tätig werden. Die Vor-Ort-Arbeit umfasst die Überprüfung aller Nachweise und kann Besprechungen zur Begehung und Klärung bestimmter Kontrollen erfordern. Darüber hinaus können zufällig ausgewählte Stichproben von Kontrollen wie die Einarbeitung neuer Mitarbeiter, die Entziehung des Zugangs für ausgeschiedene Mitarbeiter, Zuverlässigkeitsüberprüfungen und Schulungen zum Sicherheitsbewusstsein erforderlich sein. 

    SOC-Audit-Prozess und Checkliste 

    Diese SOC-Audit-Checkliste kann die Grundlage für Ihre Vorbereitungen bilden, damit Ihre Organisation für ein Audit planen kann. Auch wenn jeder SOC-Bericht etwas andere Elemente erfordert, sind die Kernanforderungen doch sehr ähnlich. 

    • Wählen Sie den SOC-Bericht, der für Ihr Unternehmen am besten geeignet ist, auf der Grundlage Ihrer Tätigkeiten 
    • Wählen Sie, welche Art von SOC-Bericht für Ihr Unternehmen am wertvollsten ist 
    • Definieren Sie den Umfang der Prüfung sowohl intern als auch mit Ihrem Prüfer 
    • Durchführung einer internen Risikobewertung für Ihr gesamtes Unternehmen 
    • Durchführung einer Lückenanalyse und Abhilfemaßnahmen 
    • Implementierung geeigneter Kontrollen 
    • Verständnis für die Einhaltung von Vorschriften und rechtliche Konsequenzen 
    • Durchführen einer Bereitschaftsbewertung 

    Wie man einen SOC-Berichtstyp auswählt 

    Die Wahl des richtigen SOC-Berichts für die Bedürfnisse Ihres Unternehmens ist von entscheidender Bedeutung, da der Prüfungsprozess sowohl zeitaufwändig als auch kostspielig sein kann. Im Allgemeinen können Sie sich an die hier aufgeführten Leitlinien halten: 

    • SOC 1 - Zur Erfüllung der Prüfungsanforderungen für Finanzkontrollen zur Einhaltung von Vorschriften   
    • SOC 2 - Wird häufig von Softwareanbietern und -verkäufern verwendet, die für sensible Informationen verantwortlich sind. Betrachtet die von der AICPA definierten Kriterien für Treuhanddienste. 
    • SOC 3 - Ein Zusatz zum SOC-Bericht, der es Ihnen ermöglicht, der Öffentlichkeit mitzuteilen, dass Sie die Trust Service Criteria erfüllen. 

    Bei Ihren Entscheidungen sollten Sie auch die Größe, die Funktion und das Alter Ihres Unternehmens berücksichtigen, wobei SOC 1 eine Einstiegsstufe für diejenigen ist, die nicht mit großen Mengen an Kundendaten arbeiten, und SOC 2 eine umfassende Untersuchung der Vertrauenswürdigkeit eines Unternehmens darstellt. 

    Die Entscheidung zwischen Typ-I- und Typ-II-Berichten ist in etwa gleich, da der Sprung von einem Typ-I-Bericht zu einem Typ-II-Bericht sowohl hinsichtlich der Kosten als auch des Zeitaufwands erheblich ist. Wenn Ihre Organisation neu ist, z. B. ein aufstrebendes Start-up-Unternehmen, kann die Erlangung der Typ-II-Akkreditierung eine Herausforderung darstellen, da die Kontrollen Ihrer Organisation möglicherweise noch nicht lange genug in Betrieb sind, um die strengen Tests im Laufe der Zeit zu bestehen. In diesem Fall könnte der ideale Ansatz darin bestehen, mit der Typ-I-Akkreditierung zu beginnen und in Zukunft auf die Typ-II-Akkreditierung hinzuarbeiten 

    Berichte des Typs II sind für etabliertere Organisationen vorzuziehen, da sie allen Beteiligten eine größere Sicherheit bieten. Darüber hinaus können Sie mit einem Typ-II-Bericht in Verbindung mit einem SOC-3-Bericht der Öffentlichkeit und potenziellen Partnern beweisen, dass Ihr Unternehmen die Vorschriften in vollem Umfang einhält und ständig bestrebt ist, die besten Praktiken im Bereich der Datenverwaltung zu erfüllen. 

    Die Quintessenz

    Ein guter SOC-Bericht sollte den Beteiligten die Informationen liefern, die sie benötigen, um fundierte Entscheidungen über die Sicherheitslage eines Unternehmens zu treffen. Es gibt so viele Arten von SOC-Berichten, dass es schwierig sein kann, zu entscheiden, welcher der richtige für Ihr Unternehmen ist. Aber mit diesem Wissen sollten Sie in der Lage sein, eine Entscheidung zu treffen, die Ihren Bedürfnissen am besten entspricht.

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang