SOC 1, 2 und 3-Berichte

Microsoft-Clouddienste erfüllen die Service Organization Controls Standards für die Betriebssicherheit.

Microsoft und SOC 1-, 2-und 3-Berichte

Die von Microsoft abgedeckten Clouddienste werden mindestens einmal jährlich anhand des SOC-Berichtsrahmenwerks von Prüfern unabhängiger Drittparteien geprüft. Die Prüfung für Microsoft Cloud Services deckt Kontrollen für Datensicherheit, Verfügbarkeit, Integritätsverarbeitung und Vertraulichkeit ab, je nach Anwendbarkeit auf im Umfang enthaltene Vertrauensprinzipien für jeden Dienst.

Microsoft hat SOC 1 Typ 2-, SOC 2 Typ 2- und SOC 3-Berichte erhalten. Im Allgemeinen ist die Verfügbarkeit von SOC 1- und SOC 2-Berichten auf Kunden beschränkt, die Geheimhaltungsvereinbarungen mit Microsoft unterzeichnet haben. Der SOC 3-Bericht ist öffentlich verfügbar.

Erfahren Sie mehr über die Vorteile von SOC 1, 2, 3 für die Microsoft Cloud.

Hintergrundinformationen für SoC 1 und SOC 2 Typ 2-Berichte herunterladen

Microsoft-Clouddienste im Leistungsumfang

Alle erweitern

  • Azure, Azure Government und Azure Deutschland Detaillierte Liste
  • Cloud App Security
  • Dynamics 365 und Dynamics 365 U.S. Government Detaillierte Liste
  • Graph
  • Intune
  • Microsoft Flow-Clouddienst als eigenständiger Dienst oder in einem firmenspezifischen Office 365- oder Dynamics 365-Plan oder einer -Anwendungssuite enthalten
  • Office 365, Office 365 U.S. Government und Office 365 U.S. Government Defense Detaillierte Liste. Yammer hat einen SOC 1 Typ 1-Bericht erhalten.
  • Office 365 Deutschland
  • PowerApps-Clouddienst als eigenständiger Dienst oder in einem firmenspezifischen Office 365- oder Dynamics 365-Plan oder einer -Anwendungssuite enthalten
  • Power BI-Clouddienst als eigenständiger Dienst oder in einem firmenspezifischen Office 365-Plan oder einer -Anwendungssuite enthalten
  • Stream
  • Azure DevOps Services

  • Azure, Azure Government und Azure Deutschland Detaillierte Liste
  • Cloud App Security
  • Graph
  • Intune
  • Microsoft Flow-Clouddienst als eigenständiger Dienst oder in einem firmenspezifischen Office 365- oder Dynamics 365-Plan oder einer -Anwendungssuite enthalten
  • PowerApps-Clouddienst als eigenständiger Dienst oder in einem firmenspezifischen Office 365- oder Dynamics 365-Plan oder einer -Anwendungssuite enthalten
  • Power BI
  • Stream

SOC 1, 2 und 3-Berichte – Übersicht

Unternehmen lagern grundlegende Funktionen wie Datenspeicherung und Zugriff auf Anwendungen zunehmend an Anbieter von Cloud Services (Cloud Service Provider, CSP) und andere Organisationen aus. Als Reaktion darauf hat das American Institute of Certified Public Accountants (AICPA) den Service Organization Controls (SOC) Framework entwickelt, einen Standard für Kontrollen, die die Vertraulichkeit und den Schutz von Informationen, die in der Cloud gespeichert und verarbeitet werden, wahrt. Dieses Rahmenwerk ist mit dem International Standard on Assurance Engagements (ISAE) konform, dem Berichtsstandard für internationale Dienstorganisationen.

Dienstprüfungen basierend auf dem SOC-Rahmenwerk fallen in zwei Kategorien – SOC 1 und SOC 2 –, die für im Umfang enthaltene Microsoft Cloud Services gelten.

Eine SOC 1-Prüfung ist für CPA-Firmen bestimmt, die Bilanzprüfungen ausführen. Bei dieser Prüfung wird die Effektivität der internen Kontrollen eines CSP bewertet, die sich auf die Finanzberichte eines Kunden auswirken, der die Cloud Services des Anbieters verwendet. Das Statement on Standards for Attestation Engagements (SSAE 18) und die International Standards for Assurance Engagements No. 3402 (ISAE 3402) stellen die Standards dar, nach denen die Prüfung durchgeführt wird. Sie bilden die Basis des SOC 1-Berichts.

Eine SOC 2-Prüfung misst die Effektivität des Systems eines CSP basierend auf den AICPA Trust Service Principles and Criteria. Ein Attest Engagement under Attestation Standards (AT) Section 101 bildet die Grundlage für die SOC 2- und SOC 3-Berichte.

Am Ende einer SOC 1- oder SOC 2-Prüfung gibt der Wirtschaftsprüfer einen Bestätigungsvermerk in einem SOC 1 Typ 2- oder SOC 2 Typ 2-Bericht ab, der das System des CSP beschreibt und die Zuverlässigkeit der Beschreibung der Kontrollen durch den CSP bewertet. Außerdem wird bewertet, ob die Kontrollen des CSP ordnungsgemäß gestaltet sind, ob sie an einem bestimmten Datum in Betrieb waren und ob sie in einem bestimmten Zeitraum effektiv funktionierten.

Prüfer können auch einen SOC 3-Bericht erstellen – eine gekürzte Version des SOC 2 Typ 2-Prüfberichts – für Benutzer, die Sicherheit im Hinblick auf die Kontrollen des CSP möchten, jedoch keinen vollständigen SOC 2-Bericht benötigen. Ein SOC 3-Bericht kann nur erstellt werden, wenn der CSP einen uneingeschränkten Bestätigungsvermerk für SOC 2 erhalten hat.

Zentrales Compliance-Management

Führen Sie kontinuierliche Risikobewertungen durch, nutzen Sie aussagekräftige Insights, und vereinfachen Sie Ihren Complianceprozess bei der Verwendung von Microsoft-Clouddiensten mit dem Compliance Manager.

Compliance Manager jetzt testenBlog zu Sicherheit, Datenschutz und Compliance lesen

Häufig gestellte Fragen

Alle erweitern

Die Berichte unterstützen Ihre Auditoren dabei, die Ergebnisse der Microsoft Cloud Services mit Ihren eigenen gesetzlichen und aufsichtsrechtlichen Anforderungen zu vergleichen.

  • Sie können alle SOC-Berichte über die Service Trust Platform aufrufen.
  • Azure DevOps Services-Kunden, die keinen Zugriff auf die Service Trust Platform haben, können SOC 1- und SOC 2-Berichte per E-Mail von Azure DevOps anfordern. Auf diese Weise lassen sich jedoch nur SOC-Berichte von Azure DevOps anfordern.

SOC-Berichte für Azure, Cloud App Security, Flow, Graph, Intune, Power BI, PowerApps, Stream und Microsoft Datacenter werden über einen Zeitraum von 12 Monaten (Prüfungszeitraum) erstellt. Neue Berichte erscheinen quartalsweise. Die häufigere Überprüfung ermöglicht eine pünktlichere Abdeckung der Prüfzeiträume durch einen SOC-Bericht, der bessere Sicherheit als ein Bridge Letter bietet, da ein externer Prüfer involviert ist. Kunden können die neuesten Berichte im Service Trust Portal herunterladen.

Nein. Microsoft gibt die unabhängigen Prüfberichte und Zertifizierungen für Kunden frei, sodass sie die Compliance von Microsoft mit seinen Verpflichtungen zur Sicherheit verifizieren können.

Ja. Wenn Sie Ihre Anwendungen und Daten zu im Umfang enthaltenen Microsoft Cloud Services migrieren, können Sie auf den Prüfungen und Zertifizierungen aufbauen, die Microsoft erhalten hat. Die unabhängigen Prüfberichte weisen die Wirksamkeit der Kontrollen nach, die Microsoft implementiert hat, um die Sicherheit und den Schutz Ihrer Daten zu gewährleisten.

Das SOC Toolkit for Service Organizations ist eine nützliche Ressource, um die SOC-Berichterstellungsprozesse zu verstehen und deren Einsatz in Ihrer Organisation zu fördern.