System- und Organisationskontrollen (System and Organization Controls, SOC) 2, Typ 2
SOC 2, Typ 2 Überblick
System- und Organisationskontrollen (System and Organization Control, SOC) für Dienstleistungsorganisationen sind interne Kontrollberichte, die von AICPA (American Institute of Certified Public Accountants) erstellt wurden. Sie sollen dienste untersuchen, die von einem Dienst organization bereitgestellt werden, damit Endbenutzer das risiko eines ausgelagerten Diensts bewerten und beheben können.
Eine SOC 2, Typ 2-Bescheinigung wird durchgeführt unter:
- SSAE Nr. 18, Nachweisstandards: Klarstellung und Reodifizierung, einschließlich AT-C Abschnitt 105, Konzepte, die allen Nachweiseinsätzen gemeinsam sind, und AT-C Abschnitt 205, Prüfungseinsätze (AICPA, Professional Standards).
- SOC 2-Berichterstellung über eine Untersuchung der Kontrollen bei einer Dienstleistungsorganisation, relevant in Bezug auf Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit oder Datenschutz (AICPA-Handbuch).
- TSP Abschnitt 100, 2017– Kriterien für Vertrauensdienste für Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz (AICPA, 2017 Trust Services Criteria).
Darüber hinaus werden im Office 365 SOC 2, Typ 2-Bescheinigungsbericht die Anforderungen adressiert, die in der Cloud Security Alliance (CSA) Cloud Controls Matrix (CCM) und im Kriterienkatalog C5 (Cloud Computing Compliance Criteria Catalog C5:2020) des Deutschen Bundesamt für Informationssicherheit (BSI) festgelegt sind.
Office 365 SOC 2-Nachweise basieren auf strengen umfassenden Prüfungen von Dritten (auch als Audits bezeichnet), die von einer unabhängigen AICPA-akkreditierten CPA-Firma durchgeführt werden. Am Ende einer SOC 2-Prüfung gibt der Wirtschaftsprüfer ein Urteil in einem SOC 2, Typ 2-Bericht ab, der das System des Cloud-Dienstanbieters (Cloud Service Provider, CSP) beschreibt und die Angemessenheit der Beschreibung seiner Kontrollen durch den Wirtschaftsprüfer bewertet. Außerdem wird bewertet, ob die Kontrollen des CSP ordnungsgemäß gestaltet sind, ob sie an einem bestimmten Datum in Betrieb waren und ob sie in einem bestimmten Zeitraum effektiv funktionierten. Office 365 SOC 2, Typ 2-Berichte sind für Systemsicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz relevant.
Eingeschlossene Cloudplattformen und -dienste von Microsoft
Microsoft-Onlinedienste im Bereich werden im Azure SOC 2, Typ 2-Bescheinigungsbericht angezeigt:
- Azure (ausführliche Informationen finden Sie unter Microsoft Azure-Complianceangebote)
- Azure DevOps (siehe separate Azure DevOps SOC 2 Typ 2 Attestation Report)
- Dynamics 365 (ausführliche Erkenntnisse finden Sie im Azure SOC 2, Typ 2-Bescheinigungsbericht)
- Microsoft Defender XDR
- Microsoft Defender for Cloud Apps
- Microsoft Defender für Endpunkt
- Microsoft Defender for Identity
- Microsoft Forms Pro
- Microsoft Intune
- Microsoft Managed Desktop
- Microsoft Stream
- Microsoft-Bedrohungsexperten
- Viva Topics
- Nominierungsportal
- Office 365, Office 365 U.S. Government, Office 365 U.S. Government – Hoch, Office 365 U.S. Government Defense
- Power Apps
- Power Automate
- Power BI
- Power Virtual Agents
- Update-Compliance
Azure, Dynamics 365 und SOC 2
Weitere Informationen zur Compliance mit Azure, Dynamics 365 und anderen Onlinediensten finden Sie im Azure SOC 2-Angebot.
Office 365 und SOC 2
Office 365 Umgebungen
Microsoft Office 365 ist eine mehrinstanzenfähige Hyperscale-Cloudplattform und eine integrierte Oberfläche für Apps und Dienste, die Kunden in mehreren Regionen weltweit zur Verfügung steht. Die meisten Office 365-Dienste ermöglichen es Kunden, die Region anzugeben, in der sich ihre Kundendaten befinden. Microsoft kann Kundendaten aus Gründen der Datenresilienz in andere Regionen innerhalb desselben geografischen Gebiets (z. B. die USA) replizieren, Microsoft repliziert jedoch keine Kundendaten außerhalb des ausgewählten geografischen Bereichs.
In diesem Abschnitt werden die folgenden Office 365 Umgebungen behandelt:
- Clientsoftware (Client): Kommerzielle Clientsoftware, die auf Kundengeräten ausgeführt wird.
- Office 365 (Kommerziell): Der kommerzielle öffentliche Office 365-Clouddienst, der global verfügbar ist.
- Office 365 Government Community Cloud (GCC): Der Office 365 GCC-Clouddienst ist für Bundes-, Landes-, Kommunal- und Stammesregierungen der Vereinigten Staaten sowie für Auftragnehmer verfügbar, die Daten im Auftrag der US-Regierung speichern oder verarbeiten.
- Office 365 Government Community Cloud – High (GCC High): Der Office 365 GCC-High-Clouddienst wurde gemäß den Sicherheitsanforderungen der Richtlinien des Verteidigungsministeriums (DoD) Level 4 entwickelt und unterstützt streng regulierte Bundes- und Verteidigungsinformationen. Diese Umgebung wird von Bundesbehörden, der Defense Industrial Base (DIBs) und staatlichen Auftragnehmern verwendet.
- Office 365 DoD (DoD): Der Office 365 DoD-Clouddienst wurde gemäß den DoD-Sicherheitsanforderungen der Stufe 5 entwickelt und unterstützt strenge Bundes- und Verteidigungsvorschriften. Diese Umgebung ist für die ausschließliche Verwendung durch das US-Verteidigungsministerium bestimmt.
Verwenden Sie diesen Abschnitt, um Ihre Complianceverpflichtungen in regulierten Branchen und globalen Märkten zu erfüllen. Informationen dazu, welche Dienste in welchen Regionen verfügbar sind, finden Sie in den Informationen zur internationalen Verfügbarkeit und im Artikel Wo Ihre Microsoft 365 Kundendaten gespeichert werden. Weitere Informationen zur Office 365 Government-Cloudumgebung finden Sie im Artikel Office 365 Government-Cloud.
Ihre Organisation ist vollständig dafür verantwortlich, die Einhaltung aller geltenden Gesetze und Bestimmungen sicherzustellen. Die in diesem Abschnitt bereitgestellten Informationen stellen keine rechtliche Beratung dar und Sie sollten sich bei Fragen zur Einhaltung gesetzlicher Bestimmungen für Ihre Organisation an Rechtsberater wenden.
Office 365-Anwendbarkeit und im Leistungsumfang enthaltene Dienste
Verwenden Sie die folgende Tabelle, um die Anwendbarkeit für Ihre Office 365-Dienste und -Abonnements zu bestimmen:
Anwendbarkeit | Im Leistungsumfang enthaltene Dienste |
---|---|
Kommerziell | Compliance-Manager, Kunden-Lockbox, Delve, Exchange Online Protection, Exchange Online, Forms, Griffin, Identity Manager, Lockbox (Torus), Microsoft Teams, Microsoft Viva Topics, MyAnalytics, Office 365 Kundenportal, Office 365 Microservices (einschließlich, aber nicht beschränkt auf Kaizala, ObjectStore, Sway, PowerPoint Online Document Service, Query Annotation Service, School Data Sync, Siphon, Speech, StaffHub, eXtensible Application Program), Office Online, Office Services Infrastructure, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, Project Online, Dienstverschlüsselung mit Microsoft Purview Customer Key, SharePoint Online, Skype for Business |
GCC | Microsoft Entra ID, Compliance-Manager, Delve, Exchange Online, Forms, Microsoft Defender for Office 365, Microsoft Teams, Microsoft Viva Topics, MyAnalytics, Office 365 Advanced Compliance Add-On, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, Stream |
GCC High | Microsoft Entra ID, Exchange Online, Forms, Microsoft Defender for Office 365, Microsoft Teams, Office 365 Advanced Compliance Add-On, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business |
DoD | Microsoft Entra ID, Exchange Online, Forms, Microsoft Defender for Office 365, Microsoft Teams, Office 365 Advanced Compliance Add-On, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive for Business, Planner, Power BI, SharePoint Online, Skype for Business |
Office 365-Prüfberichte
- Office 365-Kern – SSAE 18 SOC 2-Bericht
- Office 365-Microservices T1-SSAE 18 SOC 2, Typ 1-Bericht
- Siehe Überbrückungsbriefe und zusätzliche Prüfberichte
In Übereinstimmung mit den AICPA-Anforderungen müssen Sie über ein vorhandenes Abonnement oder ein kostenloses Testkonto in Office 365 oder Office 365 US-Regierung verfügen, um SOC 1- und SOC 2-Nachweisberichte sowie alle Brückenbriefe nach Bedarf herunterladen zu können.
Häufig gestellte Fragen
Wie oft werden Office 365 SOC-Berichte erstellt?
Microsoft gibt jährlich eine vollständige SOC 1 Typ 2- und SOC 2 Typ 2-Prüfung von Office 365 in Auftrag. Die Prüferberichte zu diesen Prüfungen (auch als Audits bezeichnet) werden erstellt, sobald sie nach der Prüfung bereit sind. Der SOC 3-Bericht, der auf der SOC 2-Prüfung basiert, wird gleichzeitig herausgegeben.
Da Microsoft weder den Untersuchungsbereich der Prüfung noch den Zeitrahmen des Abschlusses des Prüfers kontrolliert, gibt es keinen festgelegten Zeitrahmen für die Ausgabe dieser Berichte. Die Berichte werden in der Regel einige Monate nach Ablauf des Prüfungszeitraums ausgegeben. Microsoft lässt keine Lücken in den aufeinanderfolgenden Prüfungszeiträumen von einer Prüfung zur nächsten zu.
Microsoft gibt außerdem eine SOC 1 Typ 1- und SOC 2 Typ 1-Prüfung der Office 365 für neue Microsoft-Dienste in Auftrag, die seit dem letzten SOC Typ 2-Audit ausgestellt wurden. Typ 1-Überwachungen blicken nicht über einen Bestimmten Zeitraum der Leistung zurück.
Aufgrund der komplexen Natur der Office 365 ist der Dienstumfang groß, wenn er als Ganzes betrachtet wird. Dies kann zu Verzögerungen beim Abschluss der Prüfung allein aufgrund der Skalierung führen. Microsoft organisiert alle oben beschriebenen Prüfungen in zwei Kategorien: Kerndienste und Microservices. Microsoft gibt einen Bericht aus, der auf jede Prüfung ausgerichtet ist.
BEI SOC-Prüfungen vom Typ 2 wird ein fortlaufendes 12-monatiges Ausführungsfenster (auch als Prüfungszeitraum oder formaler Ausführungszeitraum bezeichnet) mit jährlich durchgeführten Prüfungen für den Zeitraum vom 1. Oktober bis zum 30. September des nächsten Kalenderjahres untersucht. Die Prüfung beginnt unverzüglich nach Abschluss der Leistungsperiode.
Microsoft gibt auch Brückenbuchstaben (auch als Lückenbuchstaben bezeichnet) aus. Dabei handelt es sich um Selbstnachweise von Microsoft, nicht um Berichte, die auf Prüfungen des Prüfers basieren. Bridge-Schreiben werden während der aktuellen Leistungsperiode ausgestellt, die noch nicht abgeschlossen ist und für die Prüfung bereit ist. Microsoft gibt am Ende jedes Quartals Brückenbriefe aus, um unsere Leistung während des vorherigen Dreimonatszeitraums zu bestätigen. Aufgrund der Leistungsdauer für die SOC Typ 2-Audits werden die Brückenbriefe in der Regel im Dezember, März, Juni und September der aktuellen Betriebsperiode ausgestellt.
Wo erhalte ich die Office 365 SOC-Prüfdokumentation einschließlich Überbrückungsbriefe?
Links zur Überwachungsdokumentation finden Sie im Abschnitt "Überwachungsbericht" des Service Trust Portals. Sie müssen über ein vorhandenes Abonnement oder ein kostenloses Testkonto in Office 365 oder Office 365 US-Regierung verfügen, um sich anzumelden. Sie können dann Prüfzertifikate, Bewertungsberichte und andere anwendbare Dokumente herunterladen, die Ihnen bei Ihren eigenen regulatorischen Anforderungen helfen.
Wo finde ich eine Bewertung der Implementierung der Cloud Security Alliance CCM-Kontrollen?
Microsoft beauftragt eine Prüfung der Office 365, die auf den Grundsätzen und Kriterien des American Institute of Certified Public Accountants (AICPA) Trust Services basieren, einschließlich Sicherheit, Verfügbarkeit, Vertraulichkeit und Verarbeitungsintegrität sowie den Kriterien in der Cloud Security Alliance (CSA) Cloud Controls Matrix (CCM).
Ziel ist es, sowohl die AICPA-Kriterien als auch die im CCM festgelegten Anforderungen in einer effizienten Inspektion zu bewerten. Das Office 365 SOC 2 Typ 2-Audit umfasst die CCM-Kontrollbewertung, wie dies für den CSA STAR-Nachweis erforderlich ist. Weitere Informationen finden Sie im Office 365 SOC 2, Typ 2-Bescheinigungsbericht.
Wo kann ich Verwaltungsantworten auf alle notierten Ausnahmen sehen?
Die meisten Untersuchungen enthalten einige Beobachtungen zu einer oder mehreren der untersuchten spezifischen Kontrollen. Das ist zu erwarten. Verwaltungsantworten auf Ausnahmen befinden sich gegen Ende des SOC-Nachweisberichts. Suchen Sie im Dokument nach "Management Response".
Wo kann ich die Verantwortlichkeiten von Benutzerentitäten sehen?
Verantwortlichkeiten von Benutzerentitäten sind Ihre Kontrollaufgaben, die erforderlich sind, wenn das System als Ganzes den SOC 2-Kontrollstandards entspricht. Diese befinden sich ganz am Ende des SOC-Nachweisberichts. Suchen Sie im Dokument nach "Zuständigkeiten der Benutzerentität".
Verwenden von Microsoft Purview Compliance Manager zum Bewerten Ihres Risikos
Microsoft Purview Compliance Manager ist ein Feature im Microsoft Purview-Complianceportal, das Ihnen hilft, den Compliancestatus Ihrer organization zu verstehen und Maßnahmen zur Verringerung von Risiken zu ergreifen. Compliance Manager bietet eine Premiumvorlage für die Erstellung einer Bewertung für diese Verordnung. Suchen Sie die Vorlage auf der Seite Bewertungsvorlagen im Compliance Manager. Erfahren Sie, wie Sie Bewertungen im Compliance-Manager erstellen.
Ressourcen
- Service Trust Portal-Prüfberichte
- AICPA SOC für Dienstleistungsorganisationen
- SSAE Nr. 18, Standards für Bescheinigung: Klarstellung und Umkodierung (AICPA Professional Standards)
- SOC 2-Berichterstellung über eine Prüfung der Kontrollen in einer Dienstleistungsorganisation, relevant in Bezug auf Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit oder Datenschutz (AICPA-Leitfaden) relevant ist (AICPA-Leitfaden) (zum Kauf verfügbar)