Incident ResponseJan Kahmen6 min Lesezeit

Was ist der Unterschied zwischen SOC 1 und SOC 2?

SOC 1 und SOC 2 sind beide Standards des Auditing für Systeme und Organisationen. SOC 1 beschreibt die Prüfung, die durchgeführt wird, um die Leistung von internen Kontrollen zu bewerten, die die Finanzberichterstattung einer Organisation betreffen.

Was ist der Unterschied zwischen SOC 1 und SOC 2?

SOC 1

SOC 1 (Service Organisation Control 1) ist ein Bericht, der die wirksame Umsetzung interner Kontrollen einer Organisation bewertet, soweit diese die Finanzberichterstattung betreffen. Der Bericht wird in der Regel von einem externen Wirtschaftsprüfer erstellt und umfasst eine Prüfung, die sich auf den gesamten Prozess des Unternehmens oder einen Teil davon bezieht.

  • SOC 1 bezieht sich auf die interne Kontrolle von Abschlüssen und Berichten.
  • Der Standard richtet sich an Organisationen, deren Dienstleistungen sich auf die Finanzberichte eines Kunden auswirken können -- beispielsweise Unternehmen, die Zahlungsvorgänge verarbeiten.

SOC 2

SOC 2 (Service Organisation Control 2) ist ein Bericht, der die wirksame Umsetzung interner Kontrollen einer Organisation bewertet, soweit diese Datensicherheit, Verfügbarkeit, Vertraulichkeit, Verarbeitungsintegrität und Datenschutz betreffen. Auch dieser Bericht wird in der Regel von einem externen Wirtschaftsprüfer erstellt und umfasst eine Prüfung des gesamten Prozesses oder eines Teilbereichs.

  • SOC 2 bezieht sich auf interne Kontrollen für Sicherheit, Vertraulichkeit, Verarbeitungsintegrität, Datenschutz und Verfügbarkeit von Kundendaten.
  • Der Standard richtet sich an Organisationen, die Kundendaten jeglicher Art speichern, verarbeiten oder übertragen -- beispielsweise SaaS-Unternehmen, Anbieter von Datenhosting oder -verarbeitung sowie Cloud-Speicherdienste.

SOC-Berichtstypen: Type I und Type II

Ein Bericht des Typs I kann in bestimmten Fällen die ideale Wahl für Ihr Unternehmen sein. Wenn Sie beispielsweise noch nicht lange über formale Systeme verfügen, bietet diese Art von Bericht eine effektive Möglichkeit, die Einhaltung von Vorschriften nachzuweisen, ohne monatelang auf einen Bericht vom Typ II warten zu müssen. Wenn Sie einen engen Zeitplan haben und dennoch einen gründlicheren Typ-II-Bericht benötigen, kann ein Bericht mit einem dreimonatigen Prüfungszeitraum die optimale Lösung sein.

Was ist die SOC 2 Common Criteria Liste?

Organisationen können wählen, welche SOC 2 Trust Services-Kriterien sie in den Umfang ihrer Prüfung einbeziehen. Jeder SOC 2-Bericht muss jedoch die Sicherheitskriterien enthalten. Diese Kriterien werden anhand der Common Criteria geprüft.

  • CC1 -- Kontrollumfeld: Legt die Organisation Wert auf Integrität und Sicherheit?
  • CC2 -- Kommunikation und Information: Gibt es Richtlinien und Verfahren, die die Sicherheit gewährleisten? Werden sie sowohl internen als auch externen Partnern wirksam vermittelt?
  • CC3 -- Risikobewertung: Analysiert die Organisation Risiken und überwacht sie, wie sich Änderungen auf diese Risiken auswirken?
  • CC4 -- Überwachung der Kontrollmechanismen: Überwacht, bewertet und kommuniziert die Organisation die Wirksamkeit ihrer Kontrollen?
  • CC5 -- Kontrolltätigkeiten: Sind die richtigen Kontrollen, Prozesse und Technologien vorhanden, um Risiken zu reduzieren?
  • CC6 -- Logische und physische Zugangskontrollen: Verschlüsselt die Organisation ihre Daten? Wird kontrolliert, wer auf Daten zugreifen kann, und wird der physische Zugang zu Servern eingeschränkt?
  • CC7 -- Systembetrieb: Werden die Systeme überwacht, um einen ordnungsgemäßen Betrieb sicherzustellen? Gibt es Pläne für die Reaktion auf Vorfälle und die Wiederherstellung im Notfall?
  • CC8 -- Änderungsverwaltung: Werden wesentliche Änderungen an Systemen ordnungsgemäß getestet und vorab genehmigt?
  • CC9 -- Risikominderung: Begrenzt die Organisation Risiken durch angemessene Geschäftsprozesse und Lieferantenmanagement?

Was sind die fünf AICPA-Kriterien für Treuhanddienstleistungen?

Die AICPA Trust Services Criteria definieren fünf Kriterien für die Bewertung der Sicherheitskontrollen einer Organisation im Hinblick auf die SOC 2-Konformität: Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz.

  1. Prüfung -- Ein Wirtschaftsprüfer muss seine Prüfung mit der Sorgfalt eines angemessenen Experten durchführen.
  2. Berichterstellung -- Der Wirtschaftsprüfer muss einen Bericht über seine Prüfungsergebnisse erstellen.
  3. Unabhängigkeit -- Der Wirtschaftsprüfer muss nachweisen, dass er nicht durch finanzielle oder andere Interessen beeinflusst wurde.
  4. Zuverlässigkeit -- Der Wirtschaftsprüfer muss den Grundsätzen guter Treuhandpraxis entsprechen.
  5. Kompetenz -- Der Wirtschaftsprüfer muss sicherstellen, dass er über die Fähigkeiten und Kenntnisse verfügt, um die Prüfung erfolgreich abzuschließen.

Fazit

SOC 1 bezieht sich auf interne Kontrollen für die Finanzberichterstattung, während SOC 2 interne Kontrollen für Datensicherheit, Verfügbarkeit, Vertraulichkeit, Verarbeitungsintegrität und Datenschutz abdeckt. Die AICPA Trust Services Criteria definieren fünf Kriterien für die Bewertung der Sicherheitskontrollen einer Organisation im Hinblick auf die SOC 2-Konformität: Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz. Um diese fünf Kriterien zu erfüllen, muss ein Wirtschaftsprüfer eine formelle Prüfung mit der gebotenen Sorgfalt durchführen.