Die Einschätzung der Cyber Academy
SOC 2 ist der AICPA-Prüfbericht über die Kontrollen einer Serviceorganisation, der fünf Trust-Kriterien abdeckt (Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit, Datenschutz). In Nordamerika der Standardnachweis für SaaS-Anbieter; ISO/IEC 27001 ist das europäische Äquivalent. Typ I = Stichtagsbetrachtung; Typ II = Wirksamkeit über 6–12 Monate. Wird häufig im Enterprise-Einkaufsprozess gefordert.
Was SOC 2 tatsächlich bescheinigt
SOC 2 ist keine Zertifizierung, die man besteht oder nicht besteht. Es ist ein Attestierungsbericht, der von einer lizenzierten CPA-Firma nach den Attestierungsstandards der AICPA erstellt wird und in dem ein unabhängiger Prüfer ein Urteil darüber abgibt, ob die Kontrollen einer Dienstleistungsorganisation angemessen ausgestaltet sind und, beim Typ II, über einen Zeitraum hinweg wirksam funktionieren. Der Geltungsbereich ist um die Trust Services Criteria herum aufgebaut: Sicherheit (die einzige verpflichtende Kategorie, auch common criteria genannt), Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz. Sie wählen, welche der fünf auf den von Ihnen angebotenen Dienst zutreffen, und der Bericht wird auf diese Wahl zugeschnitten.
Da es sich um ein Urteil über eine vom Management verfasste Beschreibung handelt, sind zwei SOC-2-Berichte selten identisch. Ein Anbieter deckt möglicherweise nur die Sicherheit ab; ein anderer ergänzt Verfügbarkeit und Vertraulichkeit. Den Bericht zu lesen bedeutet, die Systembeschreibung, die im Geltungsbereich enthaltenen Kriterien, die durchgeführten Tests und vor allem alle vom Prüfer angemerkten Ausnahmen zu lesen. Ein einwandfreier Bericht mit engem Geltungsbereich kann ein schwächerer Nachweis sein als ein Bericht mit geringfügigen Ausnahmen über einen breiten Geltungsbereich.
Typ I gegenüber Typ II
Die Unterscheidung, die Praktikern am wichtigsten ist, ist die zwischen Typ I und Typ II. Typ I ist eine Momentaufnahme: Der Prüfer urteilt, dass die Kontrollen zu einem einzigen Stichtag angemessen ausgestaltet sind. Er belegt, dass die Kontrollen auf dem Papier existieren und an diesem Tag vorhanden waren. Typ II ist derjenige, den Enterprise-Käufer tatsächlich wollen, weil der Prüfer testet, ob diese Kontrollen über einen Prüfzeitraum hinweg wirksam funktioniert haben, der sich typischerweise über sechs bis zwölf Monate erstreckt, und dabei durchgehend Nachweise stichprobenartig erhebt. Ein Typ II beantwortet die eigentliche Beschaffungsfrage: Hat der Anbieter dies durchgängig getan und nicht nur am Tag der Prüfung?
| Dimension | Typ I | Typ II |
|---|---|---|
| Was geprüft wird | Ausgestaltung der Kontrollen | Ausgestaltung und Wirksamkeit im Betrieb |
| Zeitrahmen | Ein einzelner Zeitpunkt | Ein Prüfzeitraum (üblicherweise 6 bis 12 Monate) |
| Nachweis | Kontrollen zum Stichtag vorhanden | Stichprobenartig erhobene Nachweise über den Zeitraum |
| Typische Verwendung | Erster Bericht, Anbieter in der Frühphase | Was die Enterprise-Beschaffung erwartet |
SOC 2 neben ISO 27001
SOC 2 und ISO 27001 beantworten dasselbe Anliegen des Käufers aus zwei Traditionen heraus. SOC 2 ist das nordamerikanische kanonische Signal, eine Attestierung des Prüfers, die an die Trust Services Criteria gebunden ist und in einem wiederkehrenden Zeitraum erneuert wird. ISO 27001 ist der internationale, zertifizierbare Standard, der um ein Managementsystem (das ISMS) herum aufgebaut ist, mit einer Zertifizierung, die von einer akkreditierten Stelle ausgestellt und durch Überwachungsaudits aufrechterhalten wird.
SOC 2 berichtet über Kontrollen anhand von Kriterien; ISO 27001 bescheinigt, dass Sie ein funktionierendes System mit einer Erklärung zur Anwendbarkeit und kontinuierlicher Verbesserung betreiben. Viele Anbieter, die auf beiden Seiten des Atlantiks verkaufen, halten am Ende beide, und die Kontrollnachweise überschneiden sich stark, auch wenn die Lieferergebnisse sich unterscheiden.
In der Praxis behandeln GRC-Teams die beiden als komplementär statt als konkurrierend. Dieselben Zugriffskontrollen, das Änderungsmanagement, die Schwachstellenbehandlung und die Reaktion auf Sicherheitsvorfälle speisen sowohl den Kontrollsatz aus Annex A von ISO 27001 als auch die common criteria von SOC 2. Die Arbeit besteht darin, einmal zuzuordnen und zweimal zu präsentieren.
Frequently asked questions
01Ist SOC 2 eine Zertifizierung?
Nein. SOC 2 ist ein Attestierungsbericht mit dem Urteil eines Prüfers, kein Bestanden/Nicht-bestanden-Zertifikat. Es gibt kein Zertifikat zum Vorzeigen; was existiert, ist ein Bericht, den eine CPA-Firma ausstellt und den Sie unter NDA mit Kunden und Interessenten teilen.
02Sollten wir Typ I oder Typ II anstreben?
Typ I ist ein vernünftiger erster Schritt, um nachzuweisen, dass Ihre Kontrollen korrekt ausgestaltet sind, und er kann schneller ausgestellt werden. Die meisten Enterprise-Käufer erwarten letztlich Typ II, weil er belegt, dass die Kontrollen über einen anhaltenden Zeitraum hinweg wirksam funktioniert haben.
03Benötigen wir alle fünf Trust Services Criteria?
Nein. Sicherheit (die common criteria) ist die einzige verpflichtende Kategorie. Sie ergänzen Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit oder Datenschutz auf Grundlage der Zusagen, die Sie gegenüber Kunden machen, und der Art Ihres Dienstes.
04In welchem Verhältnis steht SOC 2 zu ISO 27001?
Sie erfüllen denselben Vertrauenszweck über unterschiedliche Mechanismen. SOC 2 ist eine US-zentrierte Attestierung anhand der Trust Services Criteria; ISO 27001 ist eine internationale Zertifizierung eines Informationssicherheits-Managementsystems. Die zugrunde liegenden Kontrollen überschneiden sich erheblich, sodass die für das eine erhobenen Nachweise das andere weitgehend stützen.
05Wie oft wird ein SOC-2-Bericht erneuert?
SOC-2-Typ-II-Berichte decken einen definierten Prüfzeitraum ab und werden typischerweise in einem wiederkehrenden Zyklus aufgefrischt, sodass Kunden stets über eine aktuelle Abdeckung verfügen. Anbieter planen den Prüfzeitraum so, dass es keine Lücke zwischen aufeinanderfolgenden Berichten gibt.