Wie wählt man die richtigen SOC 2-Prinzipien?
Eine häufig gestellte Frage ist, wer für die Festlegung und Auswahl der Grundsätze verantwortlich ist, die in eine SOC 2-Prüfung einbezogen werden sollen. Die Antwort auf diese Frage ist nicht immer das, was ein Dienstleistungsunternehmen hören möchte. Wie bei einem SOC 1 ist das Management immer mit der Auswahl der Trust Services Principles (TSPs) betraut. Oft kommt es darauf an, welche Prinzipien zu Ihrem Unternehmen, Ihren Dienstleistungen und Ihren Kunden passen. Leider gibt es keine endgültige Liste von Regeln, die bei der Auswahl dieser Grundsätze befolgt werden müssen. Im Folgenden finden Sie eine Beschreibung dieser TSPs:
- Informationssicherheit: Das System ist vor unbefugtem Zugriff, unbefugter Nutzung oder unbefugter Änderung geschützt, um die Systemanforderungen des Unternehmens zu erfüllen.
- Verfügbarkeit: Das System ist für den Betrieb und die Nutzung wie zugesagt oder vereinbart verfügbar.
- Integrität der Verarbeitung: Die Systemverarbeitung ist vollständig, gültig, genau, pünktlich und autorisiert.
- Vertraulichkeit: Informationen, die als vertraulich bezeichnet werden, werden wie zugesagt oder vereinbart geschützt.
- Datenschutz: Persönliche Daten werden gesammelt, verwendet, aufbewahrt, weitergegeben und entsorgt, um die Ziele des Unternehmens zu erreichen.
Der Umfang
Bevor Sie sich für die Grundsätze entscheiden, müssen Sie zunächst den Umfang der Untersuchung festlegen. Dies geschieht durch die Identifizierung der verschiedenen Komponenten, die in den Geltungsbereich fallen, einschließlich Dritter, die dieselben Dienstleistungen anbieten. Dies ist ein wichtiger Schritt, denn Unternehmen haben oft eine engere Sicht auf ihre Dienstleistungen und darauf, was in ein SOC 2-System aufgenommen werden sollte. Darüber hinaus müssen Unternehmen bei der Festlegung des Rahmens für eine SOC 2-Prüfung ihre Infrastruktur, Software, Mitarbeiter, Verfahren und Daten sorgfältig berücksichtigen. Jede dieser einzelnen Komponenten wird in der SOC 2-Literatur näher beschrieben.
Informationssicherheit
Nach der Festlegung des Geltungsbereichs besteht der nächste Schritt darin, zu bestimmen, welche Prinzipien auf das System der Serviceorganisation zutreffen. Nehmen wir zum Beispiel den Grundsatz der Sicherheit. Dieser muss in allen SOC 2-Prüfungen enthalten sein, da er Kriterien enthält, die mit allen anderen Prinzipien zusammenhängen. Zu diesen gemeinsamen Kriterien gehört die Gewährleistung der Sicherheit eines Systems, wie z.B. das Aufspüren und Verhindern von unbefugter Änderung, Zerstörung oder Offenlegung von Informationen.
Wenn ein Kunde eine hinreichende Garantie für die Sicherheit seiner Daten wünscht, ist er wahrscheinlich am meisten an dem Prinzip der Sicherheit interessiert. Dieser Grundsatz ist so weit gefasst, dass es für den Kunden ausreichen kann, nur diesen Grundsatz zu prüfen, um ein Gefühl der Sicherheit über seine Daten zu erhalten.
Verfügbarkeit
Das am zweithäufigsten gewählte Prinzip für eine SOC 2-Prüfung ist die Verfügbarkeit. Da die meisten Dienstleistungsunternehmen ihren Kunden einen ausgelagerten Dienst anbieten, wird die Verfügbarkeit dieses Dienstes oft vertraglich durch Service Level Agreements (SLAs) festgelegt. Daher ist das Prinzip der Verfügbarkeit ein zwingendes Kriterium für eine SOC 2-Prüfung.
Integrität der Verarbeitung
Wenn das Dienstleistungsunternehmen Transaktionen für seine Kunden verarbeitet, ist ein drittes interessantes Prinzip die Verarbeitungsintegrität. Dieser Grundsatz trägt dazu bei, dass die Daten vollständig, gültig, genau und in einer autorisierten Weise verarbeitet werden. Neben dem Sicherheitsprinzip, dem Verfügbarkeitsprinzip und der Verarbeitungsintegrität können zwei weitere Prinzipien in eine SOC 2-Prüfung einbezogen werden.
Vertraulichkeit und Datenschutz
Die beiden letzten Grundsätze sind Vertraulichkeit und Datenschutz. Sie werden oft in demselben Zusammenhang diskutiert, obwohl es sich um unterschiedliche Prinzipien handelt. Darüber hinaus halten viele Organisationen diese beiden Prinzipien für die SOC 2-Prüfung für sehr wichtig. Die Prinzipien sind insofern ähnlich, als sie sich beide auf die Informationen ‚im‘ System beziehen. Der Unterschied besteht darin, dass der Grundsatz des Datenschutzes nur für persönliche Informationen gilt. Der Begriff „vertrauliche Informationen“ kann jedoch für verschiedene Unternehmen unterschiedliche Bedeutungen haben. Wenn die Serviceorganisation mit vertraulichen Informationen umgeht und besondere Vereinbarungen über den Schutz dieser Daten getroffen wurden, ist der Grundsatz der Vertraulichkeit relevant.
Im Rahmen einer SOC 2-Prüfung bezieht sich der Datenschutz auf den Schutz persönlicher Daten. Wenn eine Serviceorganisation für die Verwaltung des Lebenszyklus‘ personenbezogener Daten (auch bekannt als PII, Personally Identifiable Information) verantwortlich ist, dann ist es interessant, dieses Prinzip in die Untersuchung einzubeziehen. Der Lebenszyklus bezieht sich auf die Erfassung, Verwendung, Weitergabe, Speicherung und Vernichtung von personenbezogenen Daten.
Insgesamt ist die Wahl der richtigen Prinzipien ein wichtiger Prozess. Es beginnt damit, dass Sie gut darüber informiert sind, welche Prinzipien in einer bestimmten Situation am besten angewendet werden. Dies erfordert ein gutes Verständnis der Organisation. Daher sind das Wissen und die Erfahrung eines erfahrenen SOC 2-Unternehmens von unschätzbarem Wert. Ein seriöses Unternehmen wird eine Organisation bei der Auswahl der geeigneten Prinzipien für die SOC 2-Prüfung unterstützen.