Startseite Standards Branchen ✦ KI-Bewertung Angebot anfordern →
StartseiteStandards → SOC 2

SOC 2 Type I & II — Service Organisation Controls

Der De-facto-Sicherheitsstandard für SaaS-, Cloud- und Technologie-Dienstleister, die US-Unternehmenskunden bedienen. BALTUM liefert SOC 2-Bereitschaftsprogramme und koordiniert die Durchführung von Type I- und Type II-Audits mit AICPA-akkreditierten CPA-Firmen weltweit.

SOC 2 Type ISOC 2 Type IIAICPA TSCTrust Services Criteria

Was ist SOC 2?

SOC 2 (System and Organisation Controls 2) ist ein Prüfungsstandard, der vom American Institute of Certified Public Accountants (AICPA) entwickelt wurde. Er bewertet die Kontrollen einer Dienstleistungsorganisation in Bezug auf die Trust Services Criteria (TSC): Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz. Sicherheit (Common Criteria) ist verpflichtend; die übrigen vier sind je nach Geschäftskontext optional.

SOC 2 Type I vs. Type II

  • Type I — Zeitpunktbezogene Bewertung, die bestätigt, dass Kontrollen angemessen gestaltet sind. Typischer Zeitrahmen: 2–3 Monate. Nützlich als Übergangsbericht auf dem Weg zu Type II.
  • Type II — Bewertung über einen Beobachtungszeitraum (typischerweise 6–12 Monate), die bestätigt, dass Kontrollen während des gesamten Zeitraums wirksam funktioniert haben. Von den meisten Unternehmens- und Fortune-500-Einkäufern gefordert.

Wer benötigt SOC 2?

  • SaaS- und Cloud-Softwareunternehmen mit US-Unternehmenskunden
  • Cloud-Infrastruktur-, Hosting- und Rechenzentrumsanbieter
  • Managed Security- und IT-Dienstleister
  • Anbieter von HR-, Lohn- und Sozialleistungsplattformen
  • Jeder Technologieanbieter, der Sicherheitsfragebögen von Unternehmen beantwortet

Trust Services Criteria — Übersicht Common Criteria

  • CC1 — Kontrollumgebung (Governance, Verantwortlichkeit)
  • CC2 — Kommunikation und Information
  • CC3 — Risikobewertung
  • CC4 — Überwachung der Kontrollen
  • CC5 — Kontrollaktivitäten (Richtlinien und Verfahren)
  • CC6 — Logische und physische Zugriffskontrollen
  • CC7 — Systembetrieb (Anomalieerkennung, Incident Response)
  • CC8 — Änderungsmanagement
  • CC9 — Risikominderung

BALTUM SOC 2-Engagement

  • Bereitschaftsbewertung gegenüber allen anwendbaren Trust Services Criteria
  • Lückenregister und Behebungsfahrplan
  • Richtlinien- und Verfahrensdokumentation gemäß TSC-Anforderungen
  • GRC-Plattformimplementierung (Vanta, Drata, Sprinto oder ähnlich)
  • CPA-Firmenkoordination für Type I- und Type II-Audits
  • Laufende Compliance-Pflege und jährliche Audit-Unterstützung

SOC 2 + ISO 27001 Integration

Das einheitliche Nachweisrahmenwerk von BALTUM ordnet die SOC 2 Trust Services Criteria den ISO 27001:2022 Annex A-Kontrollen zu — so ist eine gleichzeitige SOC 2 + ISO 27001-Zertifizierung mit einer einzigen Richtlinienbibliothek, einem einzigen Risikobewertungsprozess und erheblich reduzierter Auditdoppelarbeit möglich.