SOC 2, även känd som Serviceorganisationskontroll 2, är ett kriterium och revisionsförfarande inriktad på teknikföretag och leverantörer som lagrar konfidentiell kunddata i molnet.
SOC 2 är en uppsättning riktlinjer för efterlevnadskrav för företag som använder molnbaserad lagring av kunddata. SOC 2 är en viktig komponent i din organisations regulatoriska tillsyn, leverantörshanteringsprogram och styrning.
SOC 2 är en teknisk revision, och den kräver omfattande informationssäkerhetspolicyer och procedurer som ska skrivas och följas.
Skapat av Auditing Standards Board vid American Institute of Certified Public Accountants (AICPA), SOC 2 är uttryckligen utformad för tjänsteleverantörer som lagrar kunddata i molnet. Detta innebär att SOC 2 gäller för nästan alla SaaS-företag, såväl som alla företag som använder moln för att lagra kunddata och deras kunders information.
Syftet med en SOC 2-rapport är att utvärdera en organisationens informationssystem om deras säkerhet, tillgänglighet, bearbetningsintegritet, konfidentialitet och integritet.
Före 2014 var det bara företag som tillhandahåller tjänster i molnet som var skyldiga att uppfylla SOC 1-kraven. För närvarande måste alla företag som lagrar kunddata i molnet uppfylla SOC 2-kraven för att minimera risker och exponering för denna data.
Vi är så glada att vi hittade den här lösningen, den fick allt att passa ihop enklare.
Att välja att skydda mot dataintrång är inte bara en defensiv strategi. Det kan också hjälpa ditt företag att växa, vilket du kan göra genom att klara en SOC 2-revision för att försäkra kunder och potentiella kunder att deras data är säker från skadliga hot som skadliga intrång!
SOC 2-efterlevnad kan stärka ett företags rykte genom att dokumentera, utvärdera och förbättra dess interna kontroller.
Typ 2-certifiering är inte den enda SOC-rapport företag kan tjäna, men det är en av de mest robusta.
SOC 2 Typ 2-certifiering kan gynna organisationer på följande sätt:
En SOC 1-rapport fokuserar på utförandet av outsourcingtjänster av organisationer som är relevanta för ett företags finansiella rapportering.
En SOC 2-rapport hanterar riskerna av outsourcing till tredjepartsleverantörer inom områden som inte är finansiell rapportering. Dessa rapporter förlitar sig på Kriterier för förtroendetjänster, som täcker fem kategorier: säkerhet, tillgänglighet, bearbetningsintegritet, konfidentialitet och integritet.
SOC 3-rapporter liknar SOC 2-rapporter. De är rapporter för allmän användning som serviceorganisationen kan använda som ett marknadsföringsverktyg och tillhandahålla till potentiella kunder.
SOC 2-rapporter vittnar om effektiviteten hos en serviceorganisations interna kontroller som är relevanta för fem Trust Services-kategorier (tidigare kända som principer för förtroendetjänster) fastställda av AICPA.
Organisationer kommer med jämna mellanrum att utvärdera effektiviteten av deras policyer och procedurer som styr obehörig åtkomst till information och vidta lämpliga åtgärder när ett brott inträffar.
Informationen och systemen i en organisationens behov att vara både tillgänglig för användning och operativ för att uppfylla enhetens mål.
Systemet behandlar transaktionen korrekt, i tid och med auktorisation.
Om data anses vara konfidentiella måste åtkomst och avslöjande begränsas till en viss uppsättning personer. Exempel inkluderar företagspersonal, affärsplaner, immateriella rättigheter och annan känslig finansiell information.
Personligt identifierbar information (PII) måste samlas in, användas, avslöjas och kasseras på ett säkert sätt. Att skydda kund- och kundinformation från obehörig åtkomst är en högsta prioritet för serviceorganisationer som behandlar, lagrar eller överför data som tillhör externa kunder.
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo
SOC 2 är ett revisionsförfarande som säkerställer att dina tjänsteleverantörer säkert hanterar dina data för att skydda dig och din organisations intressen. SOC 2-efterlevnad är ett minimalt krav för säkerhetsmedvetna företag när de överväger en SaaS-leverantör.
SOC 2 är inte en föreskrivande lista över kontroller, verktyg eller processer. Istället ger den de kriterier som måste finnas för att upprätthålla en robust informationssäkerhet. Detta låter varje företag anta praxis och förfaranden som är relevanta för dess mål och verksamhet.
ISMS.online kan ge dig en plattform för att ta dig på vägen mot att uppnå SOC 2-efterlevnad. Varje avsnitt av SOC 2 är detaljerat i den säkra plattformen, vilket gör det enkelt att följa. Detta minskar din arbetsbelastning, kostnader och stressen av att inte veta om du har gjort allt rätt.
Många fördelar med SOC 2-efterlevnad inkluderar:
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo
En SOC 2-revision kan endast utföras av en revisor med en licens från Certifierad revisor (CPA) företag, specialiserat på informationssäkerhet.
Revisorer som utför SOC-revisioner regleras av och måste följa reglerna som fastställts av AICPA.
Dessutom måste en revision följa specifika riktlinjer relaterade till planering och genomförande av rutiner. AICPA-medlemmar måste också genomgå en kollegial granskning för att säkerställa att de revisioner de genomför görs enligt acceptabla revisionsstandarder.
En SOC 2-rapport försäkrar serviceorganisationens kunder, ledning och användarenheter om lämpligheten och effektiviteten hos säkerhetsrelevanta kontroller.
SOC 2-revisionen inkluderar i allmänhet följande:
Medan SOC 2 hänvisar till en uppsättning av revisionsrapporter, ISO 27001 är en standard som ställer krav på ett Information Security Management System (ISMS).
Frågan borde inte vara det heller ISO 27001 eller SOC 2, eftersom SOC 2 är en revisionsrapport och ISO 27001 är en standard för att upprätta ledningssystem för informationssäkerhet. Det kan ses som en av de utdata som kan levereras av en ISMS-implementering.
ISO 27001-certifiering är inte obligatoriskt för att skapa en SOC 2-rapport, men en ISO 27001 ISMS kan ge en solid grund för att förbereda detta dokument utan större extra kostnader och ansträngning. Detta kommer att öka kundernas förtroende för att organisationen kan skydda deras information.
| - | ISO / IEC 27001 | SOC 2 |
|---|---|---|
| Structure | Internationell standard | Atteststandard |
| Plats | Världen över | USA baserat |
| Vad är granskat? | Utformningen och effektiviteten av ditt informationssäkerhetshanteringssystem (ISMS) vid en tidpunkt | Typ 1: Utformningen av kontroller vid en tidpunkt. Typ 2: Konstruktion och funktionseffektivitet för kontroller över en tidsperiod |
| Resultat | En revisionsrapport tillhandahålls till nämnda organisation och ett ISO-certifikat – om certifiering beviljas | SOC 2 Attestation Report – SOC 2 är inte en certifiering |
| Utgångsdatum | 3 Years | 1 år |
| Kriterier för betrodd tjänst | ISO/IEC 27001 Kontroll och krav |
|---|---|
| TSC – SÄKERHET | A.6.1.5 (Informationssäkerhet i projektledning – 1 kontroll) |
| A.6 (Mobila enheter och distansarbete – 2 kontroller) | |
| A.8.1.3 (Acceptabel användning av tillgångar – 1 kontroll) | |
| A.11.2 (Utrustning – 9 kontroller) | |
| A.13 (Kommunikationssäkerhet – 7 kontroller) | |
| TSC – KONFIDENTIALITET | A.8.2 (Informationsklassificering – 3 kontroller) |
| A.13.2 (Informationsöverföring – 3 kontroller) | |
| A.9.1 (Affärskrav för åtkomstkontroll – 2 kontroller) | |
| A.9.2 (hantering av användaråtkomst – 6 kontroller) | |
| A.9.4 (System- och programåtkomstkontroll – 5 kontroller) | |
| TSC – PROCESSING INTEGRITY | A.14 (Systemförvärv, utveckling och underhåll – 13 kontroller) |
| TSC – TILLGÄNGLIGHET | A.17 (Informationssäkerhetsaspekter av affärskontinuitetshantering – 4 kontroller) |
| TSC – SEKRETESS | A.18.11 (Identifiering av tillämplig lagstiftning och avtalskrav – 1 kontroll) |
| A.18.1.4 (Sekretess och skydd av personligt identifierbar information – 1 kontroll) |
Jag skulle verkligen rekommendera ISMS.online, det gör att konfigurera och hantera ditt ISMS så enkelt som det kan bli.
Ladda ner vår gratis guide till snabb och hållbar certifiering
Både Typ I och II SOC 2-rapporterna ger en oberoende bedömning av serviceorganisationen, inklusive deras beskrivning av kontroller och expertutlåtanden om ledningens representation. Dessa två rapporttyper har också likvärdiga rutiner för att bedöma lämplighet bland systemdesigner.
Den största skillnaden mellan en SOC 1 och SOC 2 är att SOC 1 fokuserar på en organisations interna kontroller som kan påverka kundernas finansiella rapporter. Däremot fokuserar SOC 2 på operativa kontroller som beskrivs av AICPA:s Trust Services Criteria.
Arbetet som utförs av servicerevisorn för SOC 2- och SOC 3-rapporter är mycket lika. Båda rapporterar till AICPA-standarder, så kontrollerna som identifieras och testas är vanligtvis desamma för båda rapporterna. Den viktigaste skillnaden mellan dessa två uttalanden ligger i deras rapportering. En SOC 3 är alltid en typ II och har inte alternativet för typ I. Dessutom är SOC 2-rapporter begränsad användning – utformade för att användas av ledning, kunder och deras kunders revisorer.
SOC 3-rapporter är mindre detaljerade än SOC 1 & 2-rapporter eftersom de innehåller lite eller ingen konfidentiell information. Serviceorganisationen kan distribuera dem fritt och är mer lämpliga för allmänt använda dokument med små detaljer.
Den här rapporten går inte mycket i detalj om systemet och hur det fungerar, vilka kontroller som testades och resultaten av dessa tester. SOC 3 är ett utmärkt sätt att marknadsföra dig själv mot potentiella kunder, men i sig själv skulle SOC 3 vanligtvis inte tillfredsställa nuvarande kundbehov eller deras revisorer.
