SOC 2 Type II
Erreichen und pflegen Sie SOC 2 Type II-Compliance mit CyberOrigen.
Uebersicht
SOC 2 (Service Organization Control 2) ist ein Auditierungsrahmenwerk fuer Dienstleister, die Kundendaten speichern. Es bewertet Kontrollen basierend auf fuenf Trust Services-Kriterien.
Trust Services-Kriterien
Sicherheit (Erforderlich)
Die Common Criteria - erforderlich fuer alle SOC 2-Audits:
| Kategorie | Beschreibung |
|---|---|
| CC1 | Kontrollumgebung |
| CC2 | Kommunikation & Information |
| CC3 | Risikobewertung |
| CC4 | Ueberwachungsaktivitaeten |
| CC5 | Kontrollaktivitaeten |
| CC6 | Logische & physische Zugriffskontrolle |
| CC7 | Systembetrieb |
| CC8 | Aenderungsmanagement |
| CC9 | Risikominderung |
Verfuegbarkeit (Optional)
Fuer Dienste mit Uptime-Zusagen:
- A1.1: Kapazitaetsplanung
- A1.2: Umgebungsschutz
- A1.3: Wiederherstellungsverfahren
Verarbeitungsintegritaet (Optional)
Fuer genaue Datenverarbeitung:
- PI1.1-PI1.5: Ein-/Ausgabegenauigkeit
Vertraulichkeit (Optional)
Fuer Schutz sensibler Daten:
- C1.1-C1.2: Datenklassifizierung und -entsorgung
Datenschutz (Optional)
Fuer den Umgang mit personenbezogenen Daten:
- P1-P8: Datenschutzprinzipien
Erste Schritte
1. Framework aktivieren
- Gehen Sie zu GRC → Frameworks
- Klicken Sie auf Registrieren bei SOC 2 Type II
- Waehlen Sie anwendbare Kriterien
- Klicken Sie auf Aktivieren
2. Baseline-Bewertung
- Fuehren Sie einen Compliance-Scan durch
- Pruefen Sie die Lueckenanalyse
- Priorisieren Sie die Behebung
3. Kontrollen implementieren
Verwenden Sie die Kontrollbibliothek von CyberOrigen:
- Gehen Sie zu GRC → Kontrollbibliothek
- Filtern Sie nach SOC 2
- Aktualisieren Sie den Implementierungsstatus
- Weisen Sie Kontrollverantwortliche zu
Schluesselkontrollen
CC6 - Logische Zugriffskontrolle
Am haeufigsten getestete Kontrollen:
| Kontrolle | Anforderung | CyberOrigen-Funktion |
|---|---|---|
| CC6.1 | Zugangskontrollen | Scan auf Zugriffsprobleme |
| CC6.2 | Benutzerregistrierung | Zugriffsueberpruefungsberichte |
| CC6.6 | Zugriffsueberpruefung | Automatisierte Zugriffsaudits |
| CC6.7 | Verschluesselung | TLS/Verschluesselungs-Scanning |
CC7 - Systembetrieb
| Kontrolle | Anforderung | CyberOrigen-Funktion |
|---|---|---|
| CC7.1 | Schwachstellenmanagement | Kontinuierliches Scanning |
| CC7.2 | Incident Response | Behebungs-Workflow |
| CC7.4 | Backup/Wiederherstellung | Konfigurationspruefungen |
Nachweissammlung
Automatisierte Nachweise
CyberOrigen generiert automatisch:
- Schwachstellen-Scan-Berichte
- Zugriffskonfigurationspruefungen
- Verschluesselungsverifizierung
- Patch-Statusberichte
Manuelle Nachweise
Laden Sie diese Dokumente hoch:
- Richtlinien und Verfahren
- Vorstandssitzungsprotokolle
- Schulungsunterlagen
- Vorfall-Logs
Nachweiszuordnung
- Gehen Sie zu GRC → Nachweise
- Laden Sie Nachweise hoch oder verknuepfen Sie sie
- Ordnen Sie sie relevanten Kontrollen zu
- Verfolgen Sie den Sammlungsstatus
Auditvorbereitung
Pre-Audit-Checkliste
3 Monate vorher:
- [ ] Alle Kontrollen implementiert
- [ ] Nachweissammlung abgeschlossen
- [ ] Interne Tests durchgefuehrt
- [ ] Luecken behoben
1 Monat vorher:
- [ ] Nachweise geprueft
- [ ] Verantwortliche zugewiesen
- [ ] Auditor-Zugang konfiguriert
Auditor-Zugang
Professional-Funktion
Das Auditor-Portal erfordert den Professional- oder Enterprise-Plan.
Gewaehren Sie dem Auditor Nur-Lese-Zugriff:
- Gehen Sie zu GRC → Audit-Engagements
- Erstellen Sie ein Engagement
- Laden Sie den Auditor ein
- Setzen Sie Zugriffsberechtigungen
Berichts-Builder
Generieren Sie audit-fertige Pakete:
- Gehen Sie zu GRC → Berichts-Builder
- Waehlen Sie das SOC 2-Framework
- Waehlen Sie den Berichtstyp
- Exportieren Sie als PDF
Kontinuierliche Compliance
Nach der Zertifizierung pflegen Sie die Compliance:
- Woechentliche Schwachstellen-Scans
- Vierteljaehrliche Zugriffsueberpruefungen
- Jaehrliche Richtlinienueberpruefungen
- Kontinuierliche Nachweissammlung
Monitoring
CyberOrigen verfolgt:
- Kontrollstatusaenderungen
- Nachweisablauf
- Compliance-Score-Trends
- Finding-Behebung
Alarme
Konfigurieren Sie Alarme fuer:
- Compliance-Score-Rueckgaenge
- Kontrollfehler
- Nachweisablauf
- Audit-Zeitraum-Erinnerungen
Haeufige Luecken
| Kontrolle | Haeufiges Problem | Loesung |
|---|---|---|
| CC6.1 | Kein MFA | MFA ueberall aktivieren |
| CC6.6 | Keine Zugriffsueberpruefungen | Vierteljaehrliche Reviews planen |
| CC7.1 | Ungepatchte Systeme | Automatisiertes Patching |
| CC8.1 | Keine Aenderungskontrolle | Formeller Aenderungsprozess |