SOC 1, 2 und 3-Berichte

SOC 1, 2 und 3-Berichte

Unternehmen lagern grundlegende Funktionen wie Datenspeicherung und Zugriff auf Anwendungen zunehmend an Anbieter von Cloud Services (Cloud Service Provider, CSP) und andere Organisationen aus. Als Reaktion darauf hat das American Institute of Certified Public Accountants (AICPA) den Service Organization Controls (SOC) Framework entwickelt, einen Standard für Kontrollen, die die Vertraulichkeit und den Schutz von Informationen, die in der Cloud gespeichert und verarbeitet werden, wahrt. Dieses Rahmenwerk ist mit dem International Standard on Assurance Engagements (ISAE) konform, dem Berichtsstandard für internationale Dienstorganisationen.

Dienstprüfungen basierend auf dem SOC-Rahmenwerk fallen in zwei Kategorien – SOC 1 und SOC 2 –, die für im Umfang enthaltene Microsoft Cloud Services gelten.

Eine SOC 1-Prüfung ist für CPA-Firmen bestimmt, die Bilanzprüfungen ausführen. Bei dieser Prüfung wird die Effektivität der internen Kontrollen eines CSP bewertet, die sich auf die Finanzberichte eines Kunden auswirken, der die Cloud Services des Anbieters verwendet. Das Statement on Standards for Attestation Engagements (SSAE 18) und die International Standards for Assurance Engagements No. 3402 (ISAE 3402) stellen die Standards dar, nach denen die Prüfung durchgeführt wird. Sie bilden die Basis des SOC 1-Berichts.

Eine SOC 2-Prüfung misst die Effektivität des Systems eines CSP basierend auf den AICPA Trust Service Principles and Criteria. Ein Attest Engagement under Attestation Standards (AT) Section 101 bildet die Grundlage für die SOC 2- und SOC 3-Berichte.

Am Ende einer SOC 1- oder SOC 2-Prüfung gibt der Wirtschaftsprüfer einen Bestätigungsvermerk in einem SOC 1 Typ 2- oder SOC 2 Typ 2-Bericht ab, der das System des CSP beschreibt und die Zuverlässigkeit der Beschreibung der Kontrollen durch den CSP bewertet. Außerdem wird bewertet, ob die Kontrollen des CSP ordnungsgemäß gestaltet sind, ob sie an einem bestimmten Datum in Betrieb waren und ob sie in einem bestimmten Zeitraum effektiv funktionierten.

Prüfer können auch einen SOC 3-Bericht erstellen – eine gekürzte Version des SOC 2 Typ 2-Prüfberichts – für Benutzer, die Sicherheit im Hinblick auf die Kontrollen des CSP möchten, jedoch keinen vollständigen SOC 2-Bericht benötigen. Ein SOC 3-Bericht kann nur erstellt werden, wenn der CSP einen uneingeschränkten Bestätigungsvermerk für SOC 2 erhalten hat.

Die von Microsoft abgedeckten Clouddienste werden mindestens einmal jährlich anhand des SOC-Berichtsrahmenwerks von Prüfern unabhängiger Drittparteien geprüft. Die Prüfung für Microsoft Cloud Services deckt Kontrollen für Datensicherheit, Verfügbarkeit, Integritätsverarbeitung und Vertraulichkeit ab, je nach Anwendbarkeit auf im Umfang enthaltene Vertrauensprinzipien für jeden Dienst.

Microsoft hat SOC 1 Typ 2-, SOC 2 Typ 2- und SOC 3-Berichte erhalten. Im Allgemeinen ist die Verfügbarkeit von SOC 1- und SOC 2-Berichten auf Kunden beschränkt, die Geheimhaltungsvereinbarungen mit Microsoft unterzeichnet haben. Der SOC 3-Bericht ist öffentlich verfügbar.

Häufig gestellte Fragen

Alle erweitern

Anhand der Berichte können Ihre Prüfer die Ergebnisse der Microsoft Business Cloud Services mit Ihren eigenen gesetzlichen Anforderungen vergleichen.

  • Sie können alle SOC-Berichte mit Ausnahme der Berichte für Visual Studio Team Services über die Service Trust Platform einsehen.
  • Kunden von Visual Studio Team Services, die Geheimhaltungsvereinbarungen unterzeichnet haben, können die SOC 1- und SOC 2-Berichte per E-Mail unter Team Services anfordern. Beachten Sie, dass sich diese E-Mail-Nachricht nur an Visual Studio Team Services richtet.

SOC-Berichte für Azure, Cloud App Security, Flow, Graph, Intune, Power BI, PowerApps, Stream und Microsoft Datacenter werden über einen Zeitraum von 12 Monaten (Prüfungszeitraum) erstellt. Neue Berichte erscheinen quartalsweise. Die häufigere Überprüfung ermöglicht eine pünktlichere Abdeckung der Prüfzeiträume durch einen SOC-Bericht, der bessere Sicherheit als ein Bridge Letter bietet, da ein externer Prüfer involviert ist. Kunden können die neuesten Berichte im Service Trust Portal herunterladen.

Nein. Microsoft gibt die unabhängigen Prüfberichte und Zertifizierungen für Kunden frei, sodass sie die Compliance von Microsoft mit seinen Verpflichtungen zur Sicherheit verifizieren können.

Ja. Wenn Sie Ihre Anwendungen und Daten zu im Umfang enthaltenen Microsoft Cloud Services migrieren, können Sie auf den Prüfungen und Zertifizierungen aufbauen, die Microsoft erhalten hat. Die unabhängigen Prüfberichte weisen die Wirksamkeit der Kontrollen nach, die Microsoft implementiert hat, um die Sicherheit und den Schutz Ihrer Daten zu gewährleisten.

Das SOC Toolkit for Service Organizations ist eine nützliche Ressource, um die SOC-Berichterstellungsprozesse zu verstehen und deren Einsatz in Ihrer Organisation zu fördern.

Microsoft-Clouddienste im Leistungsumfang

Die folgenden Dienste sind im Umfang von SOC 1 und SOC 2 enthalten:

  • Azure, Azure Government und Deutschland Detaillierte Liste
  • Cloud App Security
  • Dynamics 365 und Dynamics 365 U.S. Government detaillierte Liste
  • Graph
  • Intune
  • Microsoft Flow-Clouddienst entweder als eigenständiger Dienst oder in einem firmenspezifischen Office 365- oder Dynamics 365-Plan oder einer -Anwendungssuite enthalten
  • Office 365, Office 365 U.S. Government und Office 365 U.S. Government Defense detaillierte Liste. Yammer hat einen SOC 1 Typ 1-Bericht erhalten.
  • PowerApps-Clouddienst entweder als eigenständiger Dienst oder in einem firmenspezifischen Office 365- oder Dynamics 365-Plan oder einer -Anwendungssuite enthalten
  • Power BI-Clouddienst entweder als eigenständiger Dienst oder in einem firmenspezifischen Office 365-Plan oder einer -Anwendungssuite enthalten
  • Stream
  • Visual Studio Team Services

Die folgenden Dienste sind im Umfang von SOC 3 enthalten:

  • Azure, Azure Government und Deutschland Detaillierte Liste
  • Cloud App Security
  • Graph
  • Intune
  • Microsoft Flow-Clouddienst entweder als eigenständiger Dienst oder in einem firmenspezifischen Office 365- oder Dynamics 365-Plan oder einer -Anwendungssuite enthalten
  • PowerApps-Clouddienst entweder als eigenständiger Dienst oder in einem firmenspezifischen Office 365- oder Dynamics 365-Plan oder einer -Anwendungssuite enthalten
  • Power BI
  • Stream

Kontakt via Trust Center

Benötigen Sie Unterstützung bei der Evaluierung unserer Produkte? Können Sie die benötigten Informationen nicht finden?

Benötigen Sie allgemeine technische Unterstützung?

Microsoft-Support kontaktieren