Incident ResponseJan Kahmen6 min Lesezeit

Was ist der Unterschied zwischen SOC 1 und SOC 2 ?

SOC1 und SOC2 sind beide Standards des Auditing für Systeme und Organisationen. SOC1 beschreibt die Prüfung, die durchgeführt wird, um die Leistung von internen Kontrollen zu bewerten, die die Finanzberichterstattung einer Organisation betreffen.

Inhaltsverzeichnis

Was ist der Unterschied zwischen SOC 1 und SOC 2 ?

SOC 1

SOC 1 (Service Organisation Control 1) ist ein Bericht, der sich auf die effektive Umsetzung von internen Kontrollen einer Organisation konzentriert, die die Finanzberichterstellung beeinflussen. Der Bericht wird normalerweise durch einen externen Wirtschaftsprüfer erstellt und beinhaltet normalerweise eine Prüfung, die sich auf den gesamten Prozess des Unternehmens oder einen Teil davon konzentriert.

  • SOC 1 bezieht sich auf die interne Kontrolle von Abschlüssen und Berichten.
  • Für Organisationen, die eine Dienstleistung erbringt, die sich auf die Finanzberichte eines Kunden auswirken kann. Z.B. Unternehmen, die Zahlungsvorgänge verarbeiten.

SOC 2

SOC 2 (Service Organisation Control 2) ist ein Bericht, der sich auf die effektive Umsetzung von internen Kontrollen einer Organisation konzentriert, die Datensicherheit, Verfügbarkeit, Konfidenzialität, Integrität und die Einhaltung von Regeln und Richtlinien betreffen. Der Bericht wird normalerweise durch einen externen Wirtschaftsprüfer erstellt und beinhaltet normalerweise eine Prüfung, die sich auf den gesamten Prozess des Unternehmens oder einen Teil davon konzentriert.

  • SOC 2 bezieht sich auf interne Kontrollen für Sicherheit, Vertraulichkeit, Integrität der Verarbeitung, Datenschutz und Verfügbarkeit von Kundendaten.
  • Für Organisationen, die Kundendaten jeglicher Art speichern, verarbeiten oder übertragen. Z. B. SaaS-Unternehmen, Anbieter von Datenhosting oder -verarbeitung oder Cloud-Speicherdienste.

Unterschied SOC1 und SOC2

In Szenarien, in denen Ihr Unternehmen bereits seit einiger Zeit über formale Systeme verfügt, könnte ein Bericht des Typs I der richtige Weg sein. Diese Art von Bericht kann die Gewähr dafür bieten, dass die Systeme ordnungsgemäß aktualisiert und gewartet wurden.

Ein Bericht des Typs I kann in bestimmten Fällen die ideale Wahl für die Bedürfnisse Ihres Unternehmens sein. Wenn Sie z. B. noch nicht lange über formale Systeme verfügen, kann diese Art von Bericht eine effektive Möglichkeit sein, die Einhaltung der Vorschriften nachzuweisen, ohne monatelang auf einen Bericht vom Typ II warten zu müssen. Wenn Sie einen engen Zeitplan haben und einen gründlicheren Typ-II-Bericht benötigen, könnte ein Bericht, der einen dreimonatigen Prüfungszeitraum abdeckt, die optimale Lösung sein. Wenn Ihr Unternehmen bereits seit einiger Zeit formale Systeme einsetzt, kann ein Bericht des Typs I die Gewähr dafür bieten, dass die Systeme ordnungsgemäß aktualisiert und gewartet wurden.

Was ist die SOC 2 Common Criteria Liste?

Organisationen können wählen, welche SOC 2 Trust Services-Kriterien sie in den Umfang ihrer Prüfung einbeziehen; jeder SOC 2-Bericht muss jedoch die Sicherheitskriterien enthalten. Diese Kriterien werden anhand der Common Criteria geprüft.

  • CC1 - Kontrollumfeld
    Legt die Organisation Wert auf Integrität und Sicherheit?
  • CC2 - Kommunikation und Information
    Gibt es Richtlinien und Verfahren, die die Sicherheit gewährleisten? Werden sie sowohl internen als auch externen Partnern gut vermittelt?
  • CC3 - Risikobewertung
    Analysiert die Organisation Risiken und überwacht sie, wie sich Änderungen auf diese Risiken auswirken?
  • CC4 - Überwachung der Kontrollmechanismen
    Überwacht, bewertet und kommuniziert die Organisation die Wirksamkeit ihrer Kontrollen?
  • CC5 - Kontrolltätigkeiten
    Sind die richtigen Kontrollen, Prozesse und Technologien vorhanden, um Risiken zu reduzieren?
  • CC6 - Logische und physische Zugangskontrollen
    Verschlüsselt die Organisation die Daten? Wird kontrolliert, wer auf Daten zugreifen kann, und wird der physische Zugang zu Servern eingeschränkt?
  • CC7 - Systembetrieb
    Werden die Systeme überwacht, um sicherzustellen, dass sie ordnungsgemäß funktionieren? Gibt es Pläne für die Reaktion auf Zwischenfälle und die Wiederherstellung im Notfall?
  • CC8 - Änderungsverwaltung
    Werden wesentliche Änderungen an Systemen ordnungsgemäß getestet und vorher genehmigt?
  • CC9 - Risikominderung
    Begrenzt die Organisation das Risiko durch angemessene Geschäftsprozesse und Lieferantenmanagement?

Was sind die fünf AICPA-Kriterien für Treuhanddienstleistungen?

Die AICPA Trust Services Criteria definieren fünf Kriterien für die Bewertung der Sicherheitskontrollen einer Organisation im Hinblick auf die SOC 2-Konformität: Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz.

  1. Prüfung – ein Wirtschaftsprüfer muss seine Prüfung mit der Sorgfalt eines angemessenen Experten durchführen.
  2. Berichterstellung – der Wirtschaftsprüfer muss einen Bericht über seine Prüfungsergebnisse erstellen.
  3. Unabhängigkeit – der Wirtschaftsprüfer muss nachweisen, dass er nicht durch finanzielle oder andere Interessen beeinflusst wurde.
  4. Zuverlässigkeit – der Wirtschaftsprüfer muss den Grundsätzen guter Treuhandpraxis entsprechen.
  5. Kompetenz – der Wirtschaftsprüfer muss sicherstellen, dass er über die Fähigkeiten und Kenntnisse verfügt, um die Prüfung zu einem zufriedenstellenden Abschluss zu bringen.

Fazit

SOC 1 bezieht sich auf interne Kontrollen für Finanzberichte und SOC 2 auf interne Kontrollen für Datensicherheit, Verfügbarkeit, Konfidenzialität, Integrität und die Einhaltung von Regeln und Richtlinien. Die AICPA Trust Services Criteria definieren fünf Kriterien für die Bewertung der Sicherheitskontrollen einer Organisation im Hinblick auf die SOC 2-Konformität: Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz. Um die fünf Kriterien zu erfüllen, muss ein Wirtschaftsprüfer eine formelle Prüfung mit der Sorgfalt eines angemessenen Experten durchführen

Erweitern Sie Ihren Horizont mit einer Reifegradanalyse!

Reifegradanalyse für 1990 € !

Buchen Sie unserer Kennenlernprojekt, um einen groben aber ganzheitlichen Überblick über Ihre Maßnahmen in der Informationssicherheit zu bekommen!

Kontakt

Neugierig? Überzeugt? Interessiert?

Vereinbaren Sie ein unverbindliches Erstgespräch mit einem unserer Vertriebsmitarbeiter. Nutzen Sie den folgenden Link, um einen Termin auszuwählen: