SOC 2, også kjent som Tjenesteorganisasjonskontroll 2, er et kriterium og revisjonsprosedyre rettet mot teknologiselskaper og leverandører som lagrer konfidensiell kundedata i skyen.
SOC 2 er et sett med retningslinjer for samsvarskrav for selskaper som bruker skybasert lagring av kundedata. SOC 2 er en viktig komponent i organisasjonens regulatoriske tilsyn, leverandørstyringsprogrammer og styring.
SOC 2 er en teknisk revisjon, og den krever omfattende informasjonssikkerhetspolicyer og prosedyrer som skal skrives og følges.
Opprettet av Auditing Standards Board ved American Institute of Certified Public Accountants (AICPA), SOC 2 er uttrykkelig designet for tjenesteleverandører som lagrer kundedata i skyen. Dette betyr at SOC 2 gjelder for nesten alle SaaS-selskaper, så vel som alle selskaper som bruker sky for å lagre kundedata og kundenes informasjon.
Formålet med en SOC 2-rapport er å evaluere en organisasjonens informasjonssystemer om deres sikkerhet, tilgjengelighet, behandlingsintegritet, konfidensialitet og personvern.
Før 2014 var det bare selskaper som leverte tjenester i skyen som var pålagt å oppfylle SOC 1-kravene. Foreløpig må ethvert selskap som lagrer kundedata i skyen oppfylle SOC 2-kravene for å minimere risiko og eksponering for disse dataene.
Vi er så glade for at vi fant denne løsningen, den gjorde at alt passet sammen lettere.
Velger å beskytte mot datainnbrudd er ikke bare en defensiv strategi. Det kan også hjelpe bedriften din å vokse, noe du kan gjøre ved å bestå en SOC 2-revisjon for å forsikre kunder og potensielle kunder om at dataene deres er trygge mot ondsinnede trusler som skadelige brudd!
SOC 2-overholdelse kan styrke et selskaps omdømme ved å dokumentere, evaluere og forbedre internkontrollene.
Type 2-sertifisering er ikke den eneste SOC-rapporten selskaper kan tjene, men den er en av de mest robuste.
SOC 2 Type 2-sertifisering kan være til nytte for organisasjoner på følgende måter:
En SOC 1-rapport fokuserer på ytelsen til outsourcingtjenester av organisasjoner som er relevante for et selskaps økonomiske rapportering.
En SOC 2-rapport adresserer risikoene av outsourcing til tredjepartsleverandører på områder som ikke er finansiell rapportering. Disse rapportene er avhengige av Kriterier for tillitstjenester, som dekker fem kategorier: sikkerhet, tilgjengelighet, behandlingsintegritet, konfidensialitet og personvern.
SOC 3-rapporter ligner på SOC 2-rapporter. De er rapporter for generell bruk som serviceorganisasjonen kan bruke som et markedsføringsverktøy og gi til potensielle kunder.
SOC 2-rapporter vitner om effektiviteten til en serviceorganisasjons interne kontroller som er relevante for fem Trust Services-kategorier (tidligere kjent som prinsipper for tillitstjenester) etablert av AICPA.
Organisasjoner vil med jevne mellomrom evaluere effektiviteten av deres retningslinjer og prosedyrer som styrer uautorisert tilgang til informasjon og ta passende skritt når et brudd oppstår.
Informasjonen og systemene i en organisasjonens behov å være både tilgjengelig for bruk og operasjonell for å oppfylle enhetens mål.
Systemet behandler transaksjonen nøyaktig, i tide og med autorisasjon.
Hvis data anses som konfidensielle, må tilgang og utlevering begrenses til et spesifisert sett med personer. Eksempler inkluderer bedriftens personell, forretningsplaner, intellektuell eiendom og annen sensitiv finansiell informasjon.
Personlig identifiserbar informasjon (PII) må samles inn, brukes, avsløres og deponeres på en sikker måte. Beskyttelse av kunde- og klientinformasjon mot uautorisert tilgang er en toppprioritet for serviceorganisasjoner som behandler, lagrer eller overfører data som tilhører eksterne kunder.
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din
SOC 2 er en revisjonsprosedyre som sørger for at tjenesteleverandørene dine administrerer dataene dine på en sikker måte for å beskytte interessene til deg og din organisasjon. SOC 2-samsvar er et minimumskrav for sikkerhetsbevisste virksomheter når de vurderer en SaaS-leverandør.
SOC 2 er ikke en foreskrivende liste over kontroller, verktøy eller prosesser. I stedet gir den kriteriene som må være på plass for å opprettholde robust informasjonssikkerhet. Dette lar hvert selskap ta i bruk praksis og prosedyrer som er relevante for dets mål og operasjoner.
ISMS.online kan gi deg en plattform for å hjelpe deg med å oppnå SOC 2-samsvar. Hver del av SOC 2 er detaljert i den sikre plattformen, noe som gjør det enkelt å følge. Dette reduserer arbeidsmengden, kostnadene og stresset ved å ikke vite om du har gjort alt riktig.
Mange fordeler med SOC 2-overholdelse inkluderer:
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din
En SOC 2-revisjon kan kun utføres av en revisor med lisens fra Sertifisert Revisor (CPA) firma som spesialiserer seg på informasjonssikkerhet.
Revisorer som utfører SOC-revisjoner er regulert av og må følge reglene fastsatt av AICPA.
I tillegg skal en revisjon følge spesifikke retningslinjer knyttet til planlegging og gjennomføring av prosedyrer. AICPA-medlemmer må også gjennomgå en fagfellevurdering for å sikre at revisjonene de utfører blir utført i henhold til akseptable revisjonsstandarder.
En SOC 2-rapport forsikrer serviceorganisasjonens kunder, ledelse og brukerenheter om egnetheten og effektiviteten til sikkerhetsrelevante kontroller.
SOC 2-revisjonen inkluderer generelt følgende:
Mens SOC 2 refererer til et sett med revisjonsrapporter, ISO 27001 er en standard som fastsetter krav til et Information Security Management System (ISMS).
Spørsmålet burde heller ikke være ISO 27001 eller SOC 2, fordi SOC 2 er en revisjonsrapport og ISO 27001 er en standard for etablering av styringssystemer for informasjonssikkerhet. Det kan sees på som en av utgangene som kan leveres av en ISMS-implementering.
ISO 27001-sertifisering er ikke obligatorisk for å lage en SOC 2-rapport, men en ISO 27001 ISMS kan gi et solid grunnlag for å utarbeide dette dokumentet uten store ekstra kostnader og innsats. Dette vil øke kundenes tillit til at organisasjonen kan beskytte informasjonen deres.
| - | ISO / IEC 27001 | SOC 2 |
|---|---|---|
| Structure | Internasjonal standard | Attestasjon Standard |
| Sted | Worldwide | USA basert |
| Hva er revidert? | Utformingen og driftseffektiviteten til informasjonssikkerhetsstyringssystemet (ISMS) på et tidspunkt | Type 1: Utformingen av kontroller på et tidspunkt. Type 2: Utformingen og driftseffektiviteten til kontroller over en tidsperiode |
| Resultat | En revisjonsrapport leveres til nevnte organisasjon og et ISO-sertifikat - hvis sertifisering er gitt | SOC 2 Attestasjonsrapport – SOC 2 er ikke en sertifisering |
| Utløp | 3 år | 1 År |
| Kriterier for pålitelige tjenester | ISO/IEC 27001 Kontroll og krav |
|---|---|
| TSC – SIKKERHET | A.6.1.5 (Informasjonssikkerhet i prosjektledelse – 1 kontroll) |
| A.6 (Mobile enheter og fjernarbeid – 2 kontroller) | |
| A.8.1.3 (Akseptabel bruk av eiendeler – 1 kontroll) | |
| A.11.2 (Utstyr – 9 kontroller) | |
| A.13 (kommunikasjonssikkerhet – 7 kontroller) | |
| TSC – KONFIDENSIALITET | A.8.2 (Informasjonsklassifisering – 3 kontroller) |
| A.13.2 (Informasjonsoverføring – 3 kontroller) | |
| A.9.1 (Bedriftskrav til tilgangskontroll – 2 kontroller) | |
| A.9.2 (Administrasjon av brukertilgang – 6 kontroller) | |
| A.9.4 (System- og applikasjonstilgangskontroll – 5 kontroller) | |
| TSC – PROSESSERING INTEGRITET | A.14 (Systemanskaffelse, utvikling og vedlikehold – 13 kontroller) |
| TSC – TILGJENGELIGHET | A.17 (Informasjonssikkerhetsaspekter ved forretningskontinuitetsstyring – 4 kontroller) |
| TSC – PERSONVERN | A.18.11 (Identifisering av gjeldende lovgivning og kontraktskrav – 1 kontroll) |
| A.18.1.4 (Personvern og beskyttelse av personlig identifiserbar informasjon – 1 kontroll) |
Jeg vil absolutt anbefale ISMS.online, det gjør oppsett og administrasjon av ISMS så enkelt som det kan bli.
Last ned vår gratis guide til rask og bærekraftig sertifisering
Både Type I og II SOC 2-rapportene gir en uavhengig vurdering av tjenesteorganisasjonen, inkludert beskrivelse av kontroller og ekspertuttalelser om ledelsesrepresentasjon. Disse to rapporttypene har også like prosedyrer for å vurdere egnethet blant systemdesign.
Hovedforskjellen mellom en SOC 1 og SOC 2 er at SOC 1 fokuserer på en organisasjons interne kontroller som kan påvirke kundenes regnskap. Derimot fokuserer SOC 2 på operasjonelle kontroller skissert av AICPAs Trust Services Criteria.
Arbeidet utført av tjenesterevisor for SOC 2- og SOC 3-rapporter er svært likt. Begge rapporterer til AICPA-standarder, så kontrollene som er identifisert og testet er vanligvis de samme for begge rapportene. Den viktigste forskjellen mellom disse to uttalelsene er i deres rapportering. En SOC 3 er alltid en Type II og har ikke muligheten for Type I. I tillegg er SOC 2-rapporter begrenset bruk – designet for å brukes av ledelsen, kunder og deres kunders revisorer.
SOC 3-rapporter er mindre detaljerte enn SOC 1 & 2-rapporter fordi de inneholder lite eller ingen konfidensiell informasjon. Serviceorganisasjonen kan distribuere dem fritt og er mer hensiktsmessige for generell bruk dokumenter med lite detaljer.
Denne rapporten går ikke mye i detalj om systemet og hvordan det fungerer, hvilke kontroller som ble testet og resultatene av disse testene. SOC 3 er en fin måte å markedsføre deg selv på overfor potensielle kunder, men i seg selv vil SOC 3 vanligvis ikke tilfredsstille nåværende kundebehov eller deres revisorer.
