Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
SOC 1, Typ 2 Überblick
System- und Organisationskontrollen (System and Organization Control, SOC) für Dienstleistungsorganisationen sind interne Kontrollberichte, die von AICPA (American Institute of Certified Public Accountants) erstellt wurden. Sie sind so konzipiert, dass von einem Dienst bereitgestellte Dienste organization untersucht werden, sodass Endbenutzer das mit einem ausgelagerten Dienst verbundene Risiko bewerten und beheben können.
Eine SOC 1, Typ 2-Bescheinigung wird durchgeführt unter:
- SSAE Nr. 18, Nachweisstandards: Klarstellung und Reodifizierung, einschließlich AT-C Abschnitt 320, Bericht über eine Prüfung von Kontrollen bei einer Dienstorganisation, die für die interne Kontrolle der Finanzberichterstattung von Benutzerentitäten relevant ist (AICPA, Professional Standards).
- SOC 1-Berichterstellung über eine Untersuchung von Kontrollen bei einer Dienstleistungsorganisation, relevant für das interne Kontrollsystem für die Finanzberichterstattung der Benutzerentitäten (AICPA-Handbuch).
Abgesehen von der AICPA Statement on Standards for Attestation Engagements 18 (SSAE 18) wird das Microsoft 365 SOC 1 Type 2-Audit in Übereinstimmung mit dem International Standard on Assurance Engagements Nr. 3402 (ISAE 3402) durchgeführt. Der SOC 1-Nachweis ersetzt SAS 70 und eignet sich für die Berichterstattung über Kontrollen bei einem Dienst organization relevant für interne Kontrollen der Finanzberichterstattung von Benutzerentitäten. Ein Typ 2-Bericht enthält das Urteil des Prüfers über die Wirksamkeit der Kontrolle zur Erreichung der entsprechenden Kontrollziele während des festgelegten Überwachungszeitraums.
In-Scope-Cloudplattformen und -Dienste von Microsoft
Der Azure SOC 1 Type 2-Nachweisbericht zeigt Microsoft Onlinedienste im Bereich an:
- Azure (ausführliche Informationen finden Sie unter Microsoft Azure Complianceangebote)
- Azure DevOps (siehe separater Azure DevOps SOC 1 Type 2-Nachweisbericht)
- Dynamics 365 (ausführliche Informationen finden Sie unter Azure SOC 1 Type 2-Nachweisbericht)
- Microsoft Defender XDR
- Microsoft Defender for Cloud Apps
- Microsoft Defender für Endpunkt
- Microsoft Defender for Identity
- Microsoft Intune
- Microsoft Managed Desktop
- Microsoft Stream
- Microsoft-Bedrohungsexperten
- Nominierungsportal
- Power Apps
- Power Automate
- Power BI
- Power Virtual Agents
- Update-Compliance
Die folgenden Microsoft Onlinedienste befinden sich im Bereich des Microsoft 365 SOC 1 Type 2-Nachweisberichts.
Azure, Dynamics 365 und SOC 1
Weitere Informationen zur Compliance mit Azure, Dynamics 365 und anderen Onlinediensten finden Sie im Azure SOC 1-Angebot.
Microsoft 365 und SOC 1
Microsoft 365-Umgebungen
Microsoft Office 365 ist eine mehrinstanzenfähige Hyperscale-Cloudplattform und eine integrierte Oberfläche für Apps und Dienste, die Kunden in mehreren Regionen weltweit zur Verfügung steht. Die meisten Office 365-Dienste ermöglichen es Kunden, die Region anzugeben, in der sich ihre Kundendaten befinden. Microsoft kann Kundendaten aus Gründen der Datenresilienz in andere Regionen innerhalb desselben geografischen Gebiets (z. B. die USA) replizieren, Microsoft repliziert jedoch keine Kundendaten außerhalb des ausgewählten geografischen Bereichs.
In diesem Abschnitt werden die folgenden Office 365 Umgebungen behandelt:
- Clientsoftware (Client): Kommerzielle Clientsoftware, die auf Kundengeräten ausgeführt wird.
- Office 365 (Kommerziell): Der kommerzielle öffentliche Office 365-Clouddienst, der global verfügbar ist.
- Office 365 Government Community Cloud (GCC): Der Office 365 GCC-Clouddienst ist für Bundes-, Landes-, Kommunal- und Stammesregierungen der Vereinigten Staaten sowie für Auftragnehmer verfügbar, die Daten im Auftrag der US-Regierung speichern oder verarbeiten.
- Office 365 Government Community Cloud – High (GCC High): Der Office 365 GCC-High-Clouddienst wurde gemäß den Sicherheitsanforderungen der Richtlinien des Verteidigungsministeriums (DoD) Level 4 entwickelt und unterstützt streng regulierte Bundes- und Verteidigungsinformationen. Diese Umgebung wird von Bundesbehörden, der Defense Industrial Base (DIBs) und staatlichen Auftragnehmern verwendet.
- Office 365 DoD (DoD): Der Office 365 DoD-Clouddienst wurde gemäß den DoD-Sicherheitsanforderungen der Stufe 5 entwickelt und unterstützt strenge Bundes- und Verteidigungsvorschriften. Diese Umgebung ist für die ausschließliche Verwendung durch das US-Verteidigungsministerium bestimmt.
Verwenden Sie diesen Abschnitt, um Ihre Complianceverpflichtungen in regulierten Branchen und globalen Märkten zu erfüllen. Informationen dazu, welche Dienste in welchen Regionen verfügbar sind, finden Sie in den Informationen zur internationalen Verfügbarkeit und im Artikel Wo Ihre Microsoft 365 Kundendaten gespeichert werden. Weitere Informationen zur Office 365 Government-Cloudumgebung finden Sie im Artikel Office 365 Government-Cloud.
Ihre Organisation ist vollständig dafür verantwortlich, die Einhaltung aller geltenden Gesetze und Bestimmungen sicherzustellen. Die in diesem Abschnitt bereitgestellten Informationen stellen keine rechtliche Beratung dar und Sie sollten sich bei Fragen zur Einhaltung gesetzlicher Bestimmungen für Ihre Organisation an Rechtsberater wenden.
Anwendbarkeits- und Bereichsbezogene Dienste von Microsoft 365
Verwenden Sie die folgende Tabelle, um die Anwendbarkeit für Ihre Microsoft 365-Dienste und Ihr Abonnement zu bestimmen:
| Anwendbarkeit | Im Leistungsumfang enthaltene Dienste |
|---|---|
| Kommerziell | Bing Teams (einschließlich ObjectStore, Enterprise News – One Service und Semantic Fabric), Kunden-Lockbox, Education Services (einschließlich Insights, Microsoft LMS Gateway, OneDrive LTI, Lesefortschritt/Aufgaben, School Data Sync, Mathematische Erkennung/Solver und Recherche-Coach), Exchange Online, Exchange Online Protection, IDEAs-Personalisierungslaufzeitdienst, Loki, M365-Nutzungsberichte, Microsoft Defender for Cloud Apps (App-Governance), Microsoft Defender für Office 365 (einschließlich erweiterter Suche, Angriffssimulation und Training und Schutz vor einem Cyberendpunkt), Microsoft Forms, Microsoft Planner, Microsoft Priva, Microsoft Purview (einschließlich Überwachung, Kommunikationscompliance, Compliance-Manager, Data Lifecycle Management, Records Manager, Verhinderung von Datenverlust, eDiscovery, Information Protection, Unified Feedback Platform, Insider-Risikomanagement, Datenklassifizierungsdienste, exakte Datenabgleiche und ML-Rückschlüsse), Microsoft Sway, Microsoft Teams, Office Collaboration, Office für das Web (früher als "Office Online" bezeichnet), OneNote Services, Outlook-Webanwendung, PowerPoint Online-Dokumentdienst, Dienstverschlüsselung mit Kundenschlüssel, Abfrageanmerkungsdienst, Echtzeitkanal, Remotehilfe, Search Content Service, SharePoint Online (einschließlich OneDrive, Microsoft 365-Backup, Project Online, Viva Topics und Viva Connections), Tasks Business Scenario Service, Viva Glint, Viva Goals, Viva Insights (einschließlich Personal Insights, Manager und Leader Insights und Advance Insights), Viva Learning, Viva Pulse, Whiteboard und Windows 365 |
| GCC | Bing Teams (einschließlich ObjectStore), Kunden-Lockbox, Exchange Online, Exchange Online Protection, IDEAs Personalization Runtime Service, Loki, M365-Nutzungsberichte, Microsoft Defender for Cloud Apps (App Governance), Microsoft Defender für Office 365 (einschließlich erweiterter Jagd, Angriffssimulation und -training und Schutz vor einem Cyberendpunkt), Microsoft Forms, Microsoft Planner, Microsoft Priva, Microsoft Purview (einschließlich Überwachung, Kommunikationscompliance, Compliance-Manager, Data Lifecycle Management, Records Manager, Verhinderung von Datenverlust, eDiscovery, Information Protection, Unified Feedback Platform, Insider-Risikomanagement, Datenklassifizierungsdienste, genaue Datenübereinstimmung und ML-Rückschluss), Microsoft Teams, Office Collaboration, Office für das Web (früher als "Office Online" bezeichnet), OneNote Services, Outlook Web Anwendung, PowerPoint Online-Dokumentdienst, Dienstverschlüsselung mit Kundenschlüssel, Abfrageanmerkungsdienst, Echtzeitkanal, Remotehilfe, Suchinhaltsdienst, SharePoint Online (einschließlich OneDrive, Microsoft 365-Backup, Project Online, Viva Topics und Viva Connections), Tasks Business Scenario Service, Viva Insights (einschließlich Persönlicher Erkenntnisse), Whiteboard und Windows 365 |
| GCC High | Bing Teams (einschließlich ObjectStore), Kunden-Lockbox, Exchange Online, Exchange Online Protection, Loki, M365-Nutzungsberichte, Microsoft Defender for Cloud Apps (App Governance), Microsoft Defender für Office 365 (einschließlich Advanced Hunting, Angriffssimulation und Training und Schutz vor einem Cyberendpunkt), Microsoft Forms, Microsoft Planner, Microsoft Priva, Microsoft Purview (einschließlich Überwachung, Kommunikationscompliance, Compliance-Manager, Data Lifecycle Management, Records Manager, Verhinderung von Datenverlust, eDiscovery, Information Protection, Unified Feedback Platform, Insider-Risikomanagement, Datenklassifizierungsdienste, genaue Datenabgleiche und ML-Rückschlüsse), Microsoft Teams, Office Collaboration, Office für das Web (früher als "Office Online" bezeichnet), OneNote Services, Outlook Web Application, PowerPoint Online Document Service, Dienstverschlüsselung mit Kundenschlüssel, Abfrageanmerkungsdienst, Echtzeitkanal, SharePoint Online (einschließlich OneDrive, Microsoft 365-Backup, Project Online, Viva Topics und Viva Connections), Tasks Business Scenario Service, Viva Insights (einschließlich persönlicher Erkenntnisse), Whiteboard und Windows 365 |
| DoD | Bing Teams (einschließlich ObjectStore), Kunden-Lockbox, Exchange Online, Exchange Online Protection, Loki, M365-Nutzungsberichte, Microsoft Defender for Cloud Apps (App Governance), Microsoft Defender für Office 365 (einschließlich Advanced Hunting, Angriffssimulation und Training und Schutz vor einem Cyberendpunkt), Microsoft Forms, Microsoft Planner, Microsoft Priva, Microsoft Purview (einschließlich Überwachung, Kommunikationscompliance, Compliance-Manager, Data Lifecycle Management, Records Manager, Verhinderung von Datenverlust, eDiscovery, Information Protection, Unified Feedback Platform, Insider-Risikomanagement, Datenklassifizierungsdienste, genaue Datenabgleiche und ML-Rückschlüsse), Microsoft Teams, Office Collaboration, Office für das Web (früher als "Office Online" bezeichnet), OneNote Services, Outlook Web Application, PowerPoint Online Document Service, Dienstverschlüsselung mit Kundenschlüssel, Abfrageanmerkungsdienst, Echtzeitkanal, SharePoint Online (einschließlich OneDrive, Microsoft 365-Backup, Project Online, Viva Topics und Viva Connections), Tasks Business Scenario Service, Viva Insights (einschließlich persönlicher Erkenntnisse) und Whiteboard |
Microsoft 365-Überwachungsberichte
- Kunden können die Microsoft 365 SOC 1 Type 2-Berichte für Zentrale und Microservices über das Service Trust Portal herunterladen.
- Das Service Trust Portal bietet auch Brückenbriefe und zusätzliche Überwachungsberichte.
Um SOC 1- und SOC 2-Nachweisberichte und alle Brückenbriefe herunterzuladen, benötigen Sie ein vorhandenes Abonnement oder ein kostenloses Testkonto in Microsoft 365 oder Microsoft 365 US Government.
Häufig gestellte Fragen
Wie oft werden Microsoft 365 SOC-Berichte ausgegeben?
Microsoft gibt jährlich eine vollständige SOC 1 Typ 2- und SOC 2 Typ 2-Prüfung von Office 365 in Auftrag. Die Prüferberichte zu diesen Prüfungen (auch als Audits bezeichnet) werden erstellt, sobald sie nach der Prüfung bereit sind. Der SOC 3-Bericht, der auf der SOC 2-Prüfung basiert, wird gleichzeitig herausgegeben.
Da Microsoft weder den Untersuchungsbereich der Prüfung noch den Zeitrahmen des Abschlusses des Prüfers kontrolliert, gibt es keinen festgelegten Zeitrahmen für die Ausgabe dieser Berichte. Die Berichte werden in der Regel einige Monate nach Ablauf des Prüfungszeitraums ausgegeben. Microsoft lässt keine Lücken in den aufeinanderfolgenden Prüfungszeiträumen von einer Prüfung zur nächsten zu.
Microsoft gibt auch eine SOC 1 Typ 1- und SOC 2 Typ 1-Prüfung von Microsoft 365 für neue Microsoft-Dienste in Auftrag, die seit der letzten SOC Typ 2-Prüfung ausgestellt werden. Typ 1-Überwachungen blicken nicht über einen Bestimmten Zeitraum der Leistung zurück.
Aufgrund der komplexen Natur der Office 365 ist der Dienstumfang groß, wenn er als Ganzes betrachtet wird. Dieser große Umfang kann zu Verzögerungen beim Abschluss der Prüfung führen. Microsoft organisiert alle zuvor beschriebenen Prüfungen in zwei Kategorien: Kerndienste und Microservices. Microsoft gibt einen Bericht aus, der auf jede Prüfung ausgerichtet ist.
SOC-Prüfungen vom Typ 2 untersuchen ein fortlaufendes 12-monatiges Ausführungsfenster (auch als Prüfungszeitraum oder formalerErfüllungszeitraum bezeichnet) mit Jährlich durchgeführten Prüfungen für den Zeitraum 1. Oktober bis 30. September des nächsten Kalenderjahres. Die Prüfung beginnt unverzüglich nach Abschluss der Leistungsperiode.
Microsoft gibt auch Brückenbuchstaben (auch als Lückenbuchstaben bezeichnet) aus. Diese Selbstbestätigungen von Microsoft sind keine Berichte, die auf Prüfungen des Prüfers basieren. Microsoft stellt während des aktuellen Leistungszeitraums Brückenbriefe aus, die noch nicht abgeschlossen und für die Prüfung bereit sind. Microsoft gibt am Ende jedes Quartals Brückenbriefe aus, um die Leistung während des vorherigen Dreimonatszeitraums zu bestätigen. Aufgrund der Leistungsdauer für die SOC Typ 2-Audits werden die Brückenbriefe in der Regel im Dezember, März, Juni und September der aktuellen Betriebsperiode ausgestellt.
Wie können Kunden vom Microsoft 365 SOC 1 Type 2-Nachweis profitieren?
Kunden können den Microsoft 365 SOC 1 Type 2-Nachweis verwenden, wenn sie ihre eigenen finanzbranchenspezifischen Complianceanforderungen wie Sarbanes-Oxley (SOX), Federal Financial Institutions Examination Council (FFIEC), Gramm-Leach-Bliley Act (GLBA) und andere verfolgen.
Wo erhalte ich die Microsoft 365 SOC-Überwachungsdokumentation einschließlich der Brückenbriefe von Microsoft?
Links zur Überwachungsdokumentation finden Sie im Abschnitt "Überwachungsbericht" des Service Trust Portals. Sie müssen über ein vorhandenes Abonnement oder ein kostenloses Testkonto in Microsoft 365 oder Microsoft 365 US Government verfügen, um sich anmelden zu können. Sie können dann Prüfzertifikate, Bewertungsberichte und andere anwendbare Dokumente herunterladen, die Ihnen bei Ihren eigenen regulatorischen Anforderungen helfen.
Wo kann ich Management-Antworten auf vermerkte Ausnahmen sehen?
Die meisten Untersuchungen enthalten einige Beobachtungen zu einer oder mehreren der untersuchten spezifischen Kontrollen. Einige Beobachtungen sind zu erwarten. Verwaltungsantworten auf Ausnahmen befinden sich gegen Ende des SOC-Nachweisberichts. Suchen Sie im Dokument nach "Management Response".
Wo kann ich die Verantwortlichkeiten von Benutzerentitäten sehen?
Verantwortlichkeiten von Benutzerentitäten sind Ihre Kontrollaufgaben, die erforderlich sind, wenn das System als Ganzes den SOC 2-Kontrollstandards entspricht. Diese Zuständigkeiten befinden sich ganz am Ende des SOC-Nachweisberichts. Suchen Sie im Dokument nach "Zuständigkeiten der Benutzerentität".
Verwenden von Microsoft Purview Compliance Manager zum Bewerten Ihres Risikos
Microsoft Purview Compliance Manager ist ein Feature im Microsoft Purview-Portal, mit dem Sie den Compliancestatus Ihrer organization verstehen und Maßnahmen ergreifen können, um Risiken zu reduzieren. Compliance Manager bietet eine Premiumvorlage für die Erstellung einer Bewertung für diese Verordnung. Suchen Sie die Vorlage auf der Seite Bewertungsvorlagen im Compliance Manager. Erfahren Sie, wie Sie Bewertungen im Compliance-Manager erstellen.
Ressourcen
- Service Trust Portal-Prüfberichte
- SSAE Nr. 18, Standards für Bescheinigung: Klarstellung und Umkodierung
- SOC 1-Berichterstellung über eine Untersuchung von Kontrollen in einer Dienstleistungsorganisation, relevant für das interne Kontrollsystem für die Finanzberichterstattung der Benutzerentitäten (AICPA-Leitfaden) (zum Kauf verfügbar)