Service Organization Controls (SOC)Service Organization Controls (SOC)

02.12.2020
5 Minuten Lesedauer

Berichte SOC 1, 2 und 3 – ÜbersichtSOC 1, 2, and 3 Reports overview

Unternehmen lagern grundlegende Funktionen wie Datenspeicherung und Zugriff auf Anwendungen zunehmend an Clouddienstanbieter (CSPs) und andere Dienstorganisationen aus.Increasingly, businesses outsource basic functions such as data storage and access to applications to cloud service providers (CSPs) and other service organizations. Als Reaktion darauf hat das American Institute of Certified Public Accountants (AICPA) den Service Organization Controls (SOC) Framework entwickelt, einen Standard für Kontrollen, welche die Vertraulichkeit und den Schutz von Informationen, die in der Cloud gespeichert und verarbeitet werden, wahrt.In response, the American Institute of Certified Public Accountants (AICPA) has developed the Service Organization Controls (SOC) framework, a standard for controls that safeguard the confidentiality and privacy of information stored and processed in the cloud. Dieses Rahmenwerk ist mit dem International Standard on Assurance Engagements (ISAE) konform, dem Berichtsstandard für internationale Dienstorganisationen.This aligns with the International Standard on Assurance Engagements (ISAE), the reporting standard for international service organizations.

Dienstprüfungen basierend auf dem SOC-Rahmenwerk fallen in zwei Kategorien – SOC 1 und SOC 2 –, die für im Umfang enthaltene Microsoft Cloud Services gelten.Service audits based on the SOC framework fall into two categories — SOC 1 and SOC 2 — that apply to in-scope Microsoft cloud services.

Eine SOC 1-Prüfung ist für CPA-Firmen bestimmt, die Bilanzprüfungen ausführen. Bei dieser Prüfung wird die Effektivität der internen Kontrollen eines CSP bewertet, die sich auf die Finanzberichte eines Kunden auswirken, der die Cloud Services des Anbieters verwendet.A SOC 1 audit, intended for CPA firms that audit financial statements, evaluates the effectiveness of a CSP's internal controls that affect the financial reports of a customer using the provider's cloud services. Das Statement on Standards for Attestation Engagements (SSAE 18) und die International Standards for Assurance Engagements No.The Statement on Standards for Attestation Engagements (SSAE 18) and the International Standards for Assurance Engagements No. 3402 (ISAE 3402) sind die Standards, nach denen die Prüfung durchgeführt wird, und bilden die Grundlage für den SOC 1-Bericht.3402 (ISAE 3402) are the standards under which the audit is performed, and is the basis of the SOC 1 report.

Eine SOC 2-Prüfung misst die Effektivität des Systems eines CSP basierend auf den AICPA Trust Service Principles and Criteria.A SOC 2 audit gauges the effectiveness of a CSP's system based on the AICPA Trust Service Principles and Criteria. Ein Attest Engagement under Attestation Standards (AT) Section 101 bildet die Grundlage für die SOC 2- und SOC 3-Berichte.An Attest Engagement under Attestation Standards (AT) Section 101 is the basis of SOC 2 and SOC 3 reports.

Am Ende einer SOC 1- oder SOC 2-Prüfung gibt der Wirtschaftsprüfer einen Bestätigungsvermerk in einem SOC 1 Typ 2- oder SOC 2 Typ 2-Bericht ab, der das System des CSP beschreibt und die Zuverlässigkeit der Beschreibung der Kontrollen durch den CSP bewertet.At the conclusion of a SOC 1 or SOC 2 audit, the service auditor renders an opinion in a SOC 1 Type 2 or SOC 2 Type 2 report, which describes the CSP's system and assesses the fairness of the CSP's description of its controls. Außerdem wird bewertet, ob die Kontrollen des CSP ordnungsgemäß gestaltet sind, ob sie an einem bestimmten Datum in Betrieb waren und ob sie in einem bestimmten Zeitraum effektiv funktionierten.It also evaluates whether the CSP's controls are designed appropriately, were in operation on a specified date, and were operating effectively over a specified time period.

Prüfer können auch einen SOC 3-Bericht erstellen – eine gekürzte Version des SOC 2 Typ 2-Prüfberichts – für Benutzer, die Sicherheit im Hinblick auf die Kontrollen des CSP möchten, jedoch keinen vollständigen SOC 2-Bericht benötigen.Auditors can also create a SOC 3 report — an abbreviated version of the SOC 2 Type 2 audit report — for users who want assurance about the CSP's controls but don't need a full SOC 2 report. Ein SOC 3-Bericht kann nur erstellt werden, wenn der CSP einen uneingeschränkten Bestätigungsvermerk für SOC 2 erhalten hat.A SOC 3 report can be conferred only if the CSP has an unqualified audit opinion for SOC 2.

Microsoft und Berichte SOC 1, 2 und 3Microsoft and SOC 1, 2, and 3 Reports

Die von Microsoft abgedeckten Clouddienste werden mindestens einmal jährlich anhand des SOC-Berichtsrahmenwerks von Prüfern unabhängiger Drittparteien geprüft.Microsoft covered cloud services are audited at least annually against the SOC reporting framework by independent third-party auditors. Die Prüfung für Microsoft Cloud Services deckt Kontrollen für Datensicherheit, Verfügbarkeit, Integritätsverarbeitung und Vertraulichkeit ab, je nach Anwendbarkeit auf im Umfang enthaltene Vertrauensprinzipien für jeden Dienst.The audit for Microsoft cloud services covers controls for data security, availability, processing integrity, and confidentiality as applicable to in-scope trust principles for each service.

Microsoft hat SOC 1 Typ 2-, SOC 2 Typ 2- und SOC 3-Berichte erhalten.Microsoft has achieved SOC 1 Type 2, SOC 2 Type 2, and SOC 3 reports. Im Allgemeinen ist die Verfügbarkeit von SOC 1- und SOC 2-Berichten auf Kunden beschränkt, die Geheimaltungsvereinbarungen mit Microsoft unterzeichnet haben. Der SOC 3-Bericht ist öffentlich verfügbar.In general, the availability of SOC 1 and SOC 2 reports is restricted to customers who have signed nondisclosure agreements with Microsoft; the SOC 3 report is publicly available.

Microsoft-Clouddienste im LeistungsumfangMicrosoft in-scope cloud services

Im Umfang von SOC 1 und SOC 2 enthaltene DiensteCovered services for SOC 1 and SOC 2

Azure und Azure Government und Azure DeutschlandAzure, Azure Government, and Azure Germany
Microsoft Cloud App-SicherheitMicrosoft Cloud App Security
Dynamics 365 und Dynamics 365 U.S. GovernmentDynamics 365 and Dynamics 365 U.S. Government
Microsoft GraphMicrosoft Graph
IntuneIntune
Microsoft Managed DesktopMicrosoft Managed Desktop
Power Automate-Clouddienst (ehemals Microsoft Flow) als eigenständiger Dienst oder in einem Office 365- oder Dynamics 365-Plan bzw. -Anwendungssuite enthaltenPower Automate (formerly Microsoft Flow) cloud service either as a standalone service or as included in an Office 365 or Dynamics 365 branded plan or suite
Office 365, Office 365 U.S. Government, Office 365 U.S. Government DefenseOffice 365, Office 365 U.S. Government, and Office 365 U.S. Government Defense
PowerApps-Clouddienst als eigenständiger Dienst oder in einem firmenspezifischen Office 365- oder Dynamics 365-Plan oder einer -Anwendungssuite enthaltenPowerApps cloud service either as a standalone service or as included in an Office 365 or Dynamics 365 branded plan or suite
Power BI-Clouddienst als eigenständiger Dienst oder in einem firmenspezifischen Office 365-Plan oder einer -Anwendungssuite enthaltenPower BI cloud service either as a standalone service or as included in an Office 365 branded plan or suite
Microsoft StreamMicrosoft Stream
Azure DevOps ServicesAzure DevOps Services

Im Umfang von SOC 3 enthaltene DiensteCovered services for SOC 3

Azure und Azure Government und Azure DeutschlandAzure, Azure Government, and Azure Germany
Microsoft Cloud App-SicherheitMicrosoft Cloud App Security
Microsoft GraphMicrosoft Graph
IntuneIntune
Microsoft Managed DesktopMicrosoft Managed Desktop
Power Automate-Clouddienst (ehemals Microsoft Flow) als eigenständiger Dienst oder in einem Office 365- oder Dynamics 365-Plan bzw. -Anwendungssuite enthaltenPower Automate (formerly Microsoft Flow) cloud service either as a standalone service or as included in an Office 365 or Dynamics 365 branded plan or suite
PowerApps-Clouddienst als eigenständiger Dienst oder in einem firmenspezifischen Office 365- oder Dynamics 365-Plan oder einer -Anwendungssuite enthaltenPowerApps cloud service either as a standalone service or as included in an Office 365 or Dynamics 365 branded plan or suite
Office 365, Office 365 U.S. Government, Office 365 U.S. Government DefenseOffice 365, Office 365 U.S. Government, and Office 365 U.S. Government Defense
Power BIPower BI
Microsoft StreamMicrosoft Stream

Prüfungen, Berichte und ZertifikateAudits, reports, and certificates

PrüfzyklusAudit cycle

Microsoft Cloud Services werden mindestens jährlich anhand der Standards SOC 1 (SSAE18, ISAE 3402), SOC 2 (AT Section 101) und SOC 3 überprüft.Microsoft cloud services are audited at least annually against SOC 1 (SSAE18, ISAE 3402), SOC 2 (AT Section 101), and SOC 3 standards.

Azure, Dynamics 365, Microsoft Cloud App-Sicherheit, Flow, Microsoft Graph, Intune, Power BI, PowerApps, Microsoft Stream und Microsoft RechenzentrenAzure, Dynamics 365, Microsoft Cloud App Security, Flow, Microsoft Graph, Intune, Power BI, PowerApps, Microsoft Stream, and Microsoft Datacenters

Office 365Office 365

Häufig gestellte FragenFrequently asked questions

Wie erhalte ich Kopien von SOC-Berichten?How can I get copies of the SOC reports?

Anhand der Berichte können Ihre Prüfer die Ergebnisse der Microsoft-Clouddienste für Unternehmen mit Ihren eigenen gesetzlichen Anforderungen vergleichen.With the reports, your auditors can compare Microsoft business cloud services results with your own legal and regulatory requirements.

Sie können alle SOC-Berichte über die Service Trust Platform.You can see all SOC reports through the Service Trust Platform.
Azure DevOps Service-Kunden, die keinen Zugriff auf die Service Trust Plattform haben, können Azure DevOps für ihre SOC 1- und SOC 2-Berichte per E-Mail kontaktieren.Azure DevOps Service customers that can't access Service Trust Platform can email Azure DevOps for its SOC 1 and SOC 2 reports. Diese E-Mail soll nur Azure DevOps SOC-Berichte anfordern.This email is to request Azure DevOps SOC reports only.

Wie oft werden Azure SOC-Berichte erstellt?How often are Azure SOC reports issued?

SOC-Berichte für Azure, Microsoft Cloud App-Sicherheit, Flow, Microsoft Graph, Intune, Power BI, PowerApps, Microsoft Stream und Microsoft Rechenzentren werden über einen Zeitraum von 12 Monaten (Prüfungszeitraum) erstellt. Neue Berichte werden halbjährlich (jeweils zum 31. März und 30. September) erstellt.SOC reports for Azure, Microsoft Cloud App Security, Flow, Microsoft Graph, Intune, Power BI, PowerApps, Microsoft Stream, and Microsoft Datacenters are based on a rolling 12-month run window (audit period) with new reports issued semi-annually (period ends are March 31 and September 30). Bridge Letter werden jedes Quartal für die vorherigen drei Monate herausgegeben.Bridge letters are issued each quarter to cover the prior three month period. Beispielsweise umfasst der January Letter den Zeitraum 1.10.–31.12., der April Letter 1.1.–31.3., der July Letter 1.4.–30.6. und der October Letter 1.7.–30.9..For example, the January letter covers 10/1-12/31, the April letter covers 1/1-3/31, the July letter covers 4/1-6/30, and the October letter covers 7/1-9/30. Kunden können die neuesten Berichte im Service Trust Portal herunterladen.Customers can download the latest reports from the Service Trust Portal.

Muss ich eine eigene Prüfung der Microsoft-Datencenter durchführen?Do I need to conduct my own audit of Microsoft datacenters?

Nein.No. Microsoft gibt die unabhängigen Prüfberichte und Zertifizierungen für Kunden frei, sodass sie die Compliance von Microsoft mit seinen Verpflichtungen zur Sicherheit verifizieren können.Microsoft shares the independent audit reports and certifications with customers so that they can verify Microsoft compliance with its security commitments.

Kann ich die Compliance von Microsoft für den Zertifizierungsprozess meiner Organisation verwenden?Can I use Microsoft's compliance in my organization's certification process?

Ja.Yes. Wenn Sie Ihre Anwendungen und Daten zu im Umfang enthaltenen Microsoft Cloud Services migrieren, können Sie auf den Prüfungen und Zertifizierungen aufbauen, die Microsoft erhalten hat.When you migrate your applications and data to covered Microsoft cloud services, you can build on the audits and certifications that Microsoft holds. Die unabhängigen Berichte weisen die Wirksamkeit der Kontrollen nach, die Microsoft implementiert hat, um die Sicherheit und den Schutz Ihrer Daten zu gewährleisten.The independent reports attest to the effectiveness of controls that Microsoft has implemented to help maintain the security and privacy of your data.

Wo beginne ich mit dem Complianceprozess für meine eigene Organisation?Where do I start with my organization's own compliance effort?

Das SOC-Toolkit für Dienstorganisationen ist eine nützliche Ressource, um die SOC-Berichterstellungsprozesse zu verstehen und ihren Einsatz in Ihrer Organisation zu fördern.The SOC Toolkit for Service Organizations is a helpful resource for understanding SOC reporting processes and promoting your organization's use of them.

Verwenden von Microsoft Compliance-Manager zur Einschätzung des RisikosUse Microsoft Compliance Manager to assess your risk

Microsoft Compliance Manager ist eine Funktion im Microsoft 365 Compliance Center, die Ihnen hilft, die Compliance-Position Ihres Unternehmens zu verstehen und Maßnahmen zu ergreifen, um Risiken zu reduzieren.Microsoft Compliance Manager is a feature in the Microsoft 365 compliance center to help you understand your organization's compliance posture and take actions to help reduce risks. Compliance Manager bietet eine Premiumvorlage für die Erstellung einer Bewertung für diese Verordnung.Compliance Manager offers a premium template for building an assessment for this regulation. Suchen Sie die Vorlage auf der Seite Bewertungsvorlagen im Compliance Manager.Find the template in the assessment templates page in Compliance Manager. Erfahren Sie, wie Sie Bewertungen in Compliance Manager erstellen.Learn how to build assessments in Compliance Manager.