SOC 2 vs. SOC 1 Typ 2
Ein ISAE Typ 2 Bericht
Ein ISAE 3402 | SOC 1 Bericht ist eine Bescheinigung, die einer Organisation ausgestellt wird. In einem ISAE 3402 | SOC 1 Typ 2-Bericht wird erörtert, wie der Dienstleister Risiken im Zusammenhang mit ausgelagerten Prozessen verwaltet. Der Bewertungsrahmen wird durch das Outsourcing selbst und die Finanzprozesse gebildet (besteht ein Zusammenhang mit dem Jahresabschluss?). Insbesondere in der Finanzwelt ist es üblich, eine Bescheinigung nach ISAE 3042 | SOC 1 vorweisen zu können. Ein Finanzinstitut wird zum Beispiel immer einen ISAE 3402 | SOC 1-Bericht von den Lieferanten verlangen, bevor der Lieferant die Dienstleistungen erbringen darf.
ISAE 3402 | SOC 1 basiert auf der Anforderung, dass sich die Ziele auf die Bedürfnisse des Kontos der Organisation beziehen müssen, die die Dienstleistung erwirbt. Mit anderen Worten: Der Kontrollrahmen (Kontrollziele und -maßnahmen) kann bei ISAE selbst zusammengestellt werden. Die Idee dahinter ist, dass die Risiken der Auslagerung von Aktivitäten von der jeweiligen Situation abhängen. Die darauf basierenden Managementziele und -maßnahmen sind also ein Stück Maßarbeit.
Ein ISAE 3000 | SOC 2 Bericht
In einem ISAE 3000| SOC 2-Bericht wird der Bewertungsrahmen nicht durch das Outsourcing selbst, sondern durch die Informationssicherheit gebildet. ISAE 3000 | SOC 2 Berichte konzentrieren sich daher nicht auf Finanzprozesse, sondern auf Trust Services Kriterien wie Sicherheit, Verfügbarkeit, Vertraulichkeit, Verarbeitungsintegrität und Datenschutz in einer Dienstleistungsorganisation. In einem ISAE 3000 | SOC 2 Bericht wird der Umfang daher durch diese vordefinierten Managementziele (Trust Service Criteria) bestimmt.
Bei ISAE 3000| SOC 2 geht es vor allem darum, sicherzustellen, dass die verarbeiteten oder gehosteten Daten keine Auswirkungen auf die Jahresabschlüsse der Kunden haben. Diese Kunden sind besonders daran interessiert, ob die Informationssicherheit und der Datenschutz korrekt gehandhabt werden. Bei einem ISAE 3000| SOC 2-Bericht kann man zum Beispiel daran denken, Gewissheit über externe Cloud-Dienste zu erhalten.