100 % in der EU gehostet
ISOPlanner™ enthält ein vorgefertigtes SOC2-Framework, das auf die Trust Service Criteria abgestimmt ist. Die Kontrollen sind strukturiert und zur Zuweisung bereit, keine Lückenanalyse von Grund auf, keine leere Tabelle zum Ausfüllen.
Der KI-Assistent liest Ihre aktiven SOC2-Kontrollen und generiert spezifische Arbeitsaufgaben für die verantwortlichen Teammitglieder. Die Kontrollverantwortlichen erhalten Aufgaben, die an die spezifischen Anforderungen gebunden sind, die sie erfüllen müssen, ohne manuelle Übersetzung von der Framework-Sprache in operative Schritte.
Nachweise für den Beobachtungszeitraum, eine spezifische Anforderung von SOC2 Typ II, werden kontinuierlich in SharePoint gesammelt und gespeichert. Für Microsoft-native Kontrollen, einschließlich MFA-Verifizierung und Secure Score, ist dies automatisiert. Die Nachweise sind nach Kontrollen organisiert und stehen den Auditoren ohne Last-Minute-Vorbereitung zur Verfügung.
Planen Sie Ihre internen Bereitschaftsbewertungen und verwalten Sie den Auditor-Zugriff direkt in ISOPlanner™. Der vollständige Audit-Trail, Kontrollzuweisungen, Nachweiseinreichungen, Überprüfungsaufzeichnungen, wird in SharePoint geführt.
01.
Was ist der Unterschied zwischen einem SOC2 Type I- und einem Type II-Bericht?
Ein SOC2 Type I-Bericht bewertet die Gestaltung und das Vorhandensein von Sicherheitskontrollen zu einem bestimmten Zeitpunkt. Ein Type II-Bericht prüft die Wirksamkeit dieser Kontrollen über einen zusammenhängenden Beobachtungszeitraum, in der Regel sechs bis zwölf Monate. Type II-Berichte haben bei Kunden und Geschäftspartnern mehr Gewicht, da sie die konsequente Anwendung der Sicherheitsmaßnahmen belegen. ISOPlanner™ unterstützt Sie bei der Verwaltung Ihrer Kontrollen und Nachweise für beide Berichtstypen.
02.
Was sind die fünf Trust Services Criteria in SOC2?
Die fünf Trust Services Criteria lauten: Sicherheit (Pflichtkriterium), Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz. Sicherheit ist das einzige Pflichtkriterium und bildet die Grundlage jedes SOC2-Berichts. Organisationen wählen zusätzliche Kategorien entsprechend ihrer Dienstleistungsart und den Anforderungen ihrer Kunden. ISOPlanner™ hilft Ihnen, die relevanten Kriterien auszuwählen und die zugehörigen Kontrollen einzurichten.
03.
Wie lange dauert eine SOC2-Prüfung in der Regel?
Eine SOC2 Type I-Prüfung dauert üblicherweise zwei bis vier Monate, einschließlich Vorbereitung und formaler Prüfung. Eine Type II-Prüfung umfasst zusätzlich einen Beobachtungszeitraum von sechs bis zwölf Monaten, sodass das gesamte Verfahren neun bis fünfzehn Monate in Anspruch nehmen kann. ISOPlanner™ hilft Ihnen, Ihr Kontrollrahmenwerk und Ihre Nachweise vor Prüfungsbeginn vorzubereiten und so kostspielige Nacharbeiten zu vermeiden.
04.
Wer ist berechtigt, eine SOC2-Bescheinigung durchzuführen?
Eine SOC2-Bescheinigung darf ausschließlich von einem zertifizierten Wirtschaftsprüfer (CPA) durchgeführt werden, der vom American Institute of Certified Public Accountants (AICPA) anerkannt ist. Reguläre ISO-Zertifizierungsstellen oder andere Prüfgesellschaften sind hierfür nicht zugelassen. ISOPlanner™ hilft Ihnen, Ihre Unterlagen für die formale Bescheinigung durch ein spezialisiertes AICPA-Prüfungsunternehmen vorzubereiten.
05.
Wie verhält sich SOC2 zu ISO 27001?
SOC2 und ISO 27001 sind komplementäre Rahmenwerke, die teilweise überlappende Sicherheitsanforderungen stellen, aber unterschiedliche Zielgruppen ansprechen. ISO 27001 ist eine internationale Norm mit formalem Zertifikat; SOC2 ist ein Bescheinigungsbericht, der vor allem im nordamerikanischen Markt und bei SaaS-Kunden gefordert wird. ISOPlanner™ unterstützt die Zuordnung beider Rahmenwerke, um doppelten Aufwand zu vermeiden.
06.
Ist ein SOC2-Bericht vertraulich und wer darf ihn erhalten?
Ja, ein SOC2-Bericht ist vertraulich und wird in der Regel nur an Kunden und Geschäftspartner unter einer Verschwiegenheitsvereinbarung weitergegeben. Für ein öffentliches Dokument bietet sich ein SOC 3-Bericht an, der eine Zusammenfassung ohne sensible technische Details enthält. ISOPlanner™ hilft Ihnen zu entscheiden, welcher Berichtstyp Ihren geschäftlichen Anforderungen und Kundenerwartungen am besten entspricht.
07.
Welche Nachweise sind für eine SOC2-Prüfung erforderlich?
Für eine SOC2-Prüfung sind in der Regel folgende Nachweise erforderlich: Zugriffsbeurteilungen und Protokolle, Penetrations- und Schwachstellenscans, Vorfallsberichte, Schulungsnachweise für Mitarbeitende, Tests zur Datensicherung und -wiederherstellung sowie Lieferantenbeurteilungen. Die konkreten Anforderungen hängen von den gewählten Trust Services Criteria ab. ISOPlanner™ hilft Ihnen, ein strukturiertes Nachweisdossier aufzubauen und zu pflegen, damit Sie bei Prüfungsbeginn vollständig vorbereitet sind.
Log in to your ISOPlanner™ workspace, or start a free trial.
Log in Start your free trial