Dieser Artikel wurde maschinell übersetzt.
Ihr Kunde hat einen Nachweis verlangt, dass Sie Ihre Daten schützen. Sie denken über SOC 1 vs. SOC 2 nach. Welcher Bericht wird Ihren Kunden zufrieden stellen?
Das SOC bezieht sich in beiden Berichten auf die "Service-Unternehmens-Steuerung". In diesen Berichten bezieht sich die "Kontrolle" auf Pläne und Verfahren, die Sie entwickelt haben. Der Unterschied besteht in der Art der Daten und dem Scoping der Überprüfung.
Die SOC-Berichte wurden von AICPA entwickelt. Das Unternehmen bestätigt , dass Wirtschaftsprüfer (CPAs) das Audit absolvieren. Die Suite von Berichten bedeutet, dass Unternehmen genau die Art von Bewertungen erhalten können, die ihre Kunden verlangen.
Lassen Sie uns tiefer in SOC 1 und SOC 2 eintauchen, damit Sie eine fundierte Entscheidung treffen können.
Was ist SOC 1?
Entscheiden Sie sich für ein SOC 1-Audit, und ein CPA prüft Ihre Pläne, Richtlinien und Verfahren in Bezug auf Finanzinformationen.
Ihr Prüfer könnte prüfen, wie Sie:
- Prozess. Wie manipulieren Sie Daten für Ihren Kunden? Wie stellen Sie sicher, dass Sie nichts ändern, was Sie nicht ändern sollten?
- Sicher. Wie schützen Sie Kundeninformationen vor Manipulation von außen?
Bereiten Sie sich auf das Audit mit einem Bericht vor, in dem detailliert beschrieben wird, wie Sie mit Finanzdaten umgehen. Ihr Prüfer verwendet dies als Ausgangspunkt für die weitere Arbeit.
Die Dauer des Audits hängt von dem Typ ab, den Sie auswählen:
- Typ 1: In diesem Bericht wird ein Moment hervorgehoben. Ihr Prüfer sieht sich die relevanten Informationen an und fährt dann fort.
- Typ 2: Ihr Prüfer prüft Verfahren und Prozesse über einen längeren Zeitraum, um sicherzustellen, dass sie wie vorgesehen funktionieren.
Jedes Unternehmen, das das Potenzial hat, Finanzdaten zu manipulieren, benötigt wahrscheinlich ein SOC 1-Audit.
Was ist SOC 2?
Wenn Sie sich für ein SOC 2-Audit entscheiden, hat ein CPA ein viel größeres Scoping. Der Bericht besteht aus mehreren Punkten, und in jedem Punkt müssen Sie nachweisen, dass Sie den Branchenstandard erfüllen.
Ein SOC 2-Audit umfasst eine Untersuchung Ihrer internen Kontrollen in Bezug auf:
- Sicherheit
- Verfügbarkeit
- Verarbeitungsintegrität
- Vertraulichkeit
- Datenschutz
Sie können einen Prüfer bitten, alle fünf Aspekte zu überprüfen, oder Sie könnten sich die Punkte herauspicken, die auf Ihr spezifisches Unternehmen zutreffen.
Auch hier stehen Ihnen zwei Arten von Berichten zur Verfügung. Typ 1 untersucht einen Zeitpunkt, und Typ 2 beinhaltet eine längere Untersuchung.
SOC 1 im Vergleich zu SOC 2
Wenn Sie ausschließlich mit Finanzinformationen arbeiten, ist ein SOC 1-Audit sinnvoll. Wenn Sie nicht mit Finanzdaten, sondern mit Kundeninformationen umgehen, könnte SOC 2 besser geeignet sein. Manche Unternehmen benötigen beide Berichte.
AICPA sagt, dass sich viele Unternehmen für SOC 1-Berichte entscheiden. Aber mit zunehmendem Bewusstsein für Sicherheitsprobleme gibt es immer mehr Add-on-SOC 2-Berichte.
Diese schnelle Vergleichstabelle könnte Ihre Entscheidung klarer machen.
SOC 1 | SOC 2 | |
Umfang | Finanzdaten | Jede Art von Kundendaten |
Zielgruppe | Potenzieller Kunde und Ihr Büro | Potenzieller Kunde, Ihr Büro, Aufsichtsbehörden |
Untersuchte Kontrollen | Kontrollen von Finanzinformationen | Eines der fünf Serviceprinzipien (Sicherheit, Vertraulichkeit, Integrität der Verarbeitung, Datenschutz, Verfügbarkeit) |
Arten von Berichten | Typ 1 und Typ 2 | Typ 1 und Typ 2 |
Referenz zu Steuerelementen | Undefiniert | Definiert |
Verteilung | Eingeschränkt | Eingeschränkt |
Referenzen
System- und Unternehmenssteuerungen: SOC-Suite von Services. AICPA.
Umfrage zu System und Unternehmen Controls (SOC). (2021). AICPA.
