SOC 2, ook bekend as Diensorganisasiebeheer 2, is 'n maatstaf en ouditprosedure gerig op tegnologiemaatskappye en verskaffers wat vertroulike klantdata in die wolk stoor.
SOC 2 is 'n stel riglyne vir voldoeningsvereistes vir maatskappye wat wolkgebaseerde berging van klantdata gebruik. SOC 2 is 'n noodsaaklike komponent van jou organisasie se regulatoriese toesig, verskafferbestuursprogramme en bestuur.
SOC 2 is 'n tegniese oudit, en dit vereis omvattende inligtingsekuriteitsbeleide en prosedures wat geskryf en gevolg moet word.
Gemaak deur die Ouditstandaarderaad van die American Institute of Certified Public Accountants (AICPA), SOC 2 is uitdruklik ontwerp vir diensverskaffers wat klantdata in die wolk stoor. Dit beteken dat SOC 2 van toepassing is op byna elke SaaS-maatskappy, sowel as enige maatskappy wat die wolk om kliëntedata en hul kliënte se inligting te stoor.
Die doel van 'n SOC 2-verslag is om 'n organisasie se inligtingstelsels rakende hul sekuriteit, beskikbaarheid, verwerkingsintegriteit, vertroulikheid en privaatheid.
Voor 2014 was slegs maatskappye wat dienste in die wolk verskaf, vereis om aan SOC 1 voldoeningsvereistes te voldoen. Tans moet enige maatskappy wat klantdata in die wolk stoor, aan SOC 2-vereistes voldoen om risiko en blootstelling aan daardie data te minimaliseer.
Ons is so bly dat ons hierdie oplossing gevind het, dit het alles makliker inmekaar laat pas.
Keuse aan beskerm teen data-oortredings is nie net 'n verdedigingstrategie nie. Dit kan ook jou maatskappy help groei, wat jy kan doen deur 'n SOC 2-oudit te slaag om kliënte en vooruitsigte te verseker dat hul data veilig is teen kwaadwillige bedreigings soos skadelike oortredings!
SOC 2-nakoming kan 'n maatskappy se reputasie versterk deur sy interne beheermaatreëls te dokumenteer, te evalueer en te verbeter.
Tipe 2-sertifisering is nie die enigste SOC-verslag wat maatskappye kan verdien nie, maar dit is een van die sterkste.
SOC 2 Tipe 2-sertifisering kan organisasies op die volgende maniere bevoordeel:
'n SOC 1-verslag fokus op die prestasie van uitkontrakteringsdienste deur organisasies wat relevant is tot 'n maatskappy se finansiële verslagdoening.
'n SOC 2-verslag spreek die risiko's aan van uitkontraktering aan derdeparty-verskaffers in gebiede wat nie finansiële verslagdoening is nie. Hierdie verslae maak staat op Trustdienste-kriteria, wat vyf kategorieë dek: sekuriteit, beskikbaarheid, verwerkingsintegriteit, vertroulikheid en privaatheid.
SOC 3-verslae is soortgelyk aan SOC 2-verslae. Dit is verslae vir algemene gebruik wat die diensorganisasie as 'n bemarkingsinstrument kan gebruik en aan voornemende kliënte kan verskaf.
SOC 2-verslae getuig van die doeltreffendheid van 'n diensorganisasie se interne beheermaatreëls met betrekking tot vyf Trust Dienste Kategorieë (voorheen bekend as trustdienstebeginsels) wat deur AICPA ingestel is.
Organisasies sal periodiek die doeltreffendheid van hul evalueer beleide en prosedures wat ongemagtigde toegang tot inligting beheer en neem gepaste stappe wanneer 'n oortreding plaasvind.
Die inligting en stelsels in 'n organisasie behoefte om beide beskikbaar vir gebruik en operasioneel te wees om die entiteit se doelwitte te bereik.
Die stelsel verwerk die transaksie akkuraat, betyds en met magtiging.
As data as vertroulik beskou word, moet toegang en openbaarmaking tot 'n bepaalde stel mense beperk word. Voorbeelde sluit in maatskappypersoneel, sakeplanne, intellektuele eiendom en ander sensitiewe finansiële inligting.
Persoonlik identifiseerbare inligting (PII) moet op 'n veilige manier versamel, gebruik, openbaar gemaak en weggedoen word. Die beskerming van kliënt- en kliëntinligting teen ongemagtigde toegang is 'n topprioriteit vir diensorganisasies wat data wat aan eksterne kliënte behoort, verwerk, berg of oordra.
Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo
SOC 2 is 'n ouditprosedure wat seker maak dat jou diensverskaffers jou data veilig bestuur om die belange van jou en jou organisasie te beskerm. SOC 2-nakoming is 'n minimale vereiste vir sekuriteitsbewuste besighede wanneer 'n SaaS-verskaffer oorweeg word.
SOC 2 is nie 'n voorskriftelike lys van kontroles, gereedskap of prosesse nie. In plaas daarvan gee dit die kriteria wat in plek moet wees om handhaaf robuuste inligtingsekuriteit. Dit laat elke maatskappy praktyke aanneem en prosedures wat verband hou met sy doelwitte en werksaamhede.
ISMS.online kan jou 'n platform bied om jou op pad te kry om SOC 2-voldoening te bereik. Elke afdeling van SOC 2 word in die veilige platform uiteengesit, wat dit maklik maak om te volg. Dit verminder jou werklading, koste en die stres om nie te weet of jy alles reg gedoen het nie.
Talle voordele van SOC 2-nakoming sluit in:
Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo
'n SOC 2 oudit kan slegs uitgevoer word deur 'n ouditeur met 'n lisensie van die Gesertifiseerde Openbare Rekenmeester (CPA) firma, wat spesialiseer in inligtingsekuriteit.
Ouditeure wat SOC-oudits uitvoer, word gereguleer deur en moet voldoen aan die reëls wat deur die AICPA gestel word.
Daarbenewens moet 'n oudit spesifieke leiding volg wat verband hou met beplanning en uitvoering van prosedures. AICPA-lede moet ook 'n portuurbeoordeling ondergaan om te verseker dat die oudits wat hulle uitvoer volgens aanvaarbare ouditstandaarde gedoen word.
'n SOC 2-verslag verseker diensorganisasie-kliënte, bestuur en gebruikersentiteite van die geskiktheid en doeltreffendheid van sekuriteitsrelevante beheermaatreëls.
Die SOC 2-oudit sluit gewoonlik die volgende in:
Terwyl SOC 2 verwys na 'n stel van ouditverslae, ISO 27001 is 'n standaard wat vereistes vir 'n inligtingsekuriteitbestuurstelsel (ISMS) daarstel.
Die vraag behoort ook nie te wees nie ISO 27001 of SOC 2, want SOC 2 is 'n ouditverslag en ISO 27001 is 'n standaard vir die daarstelling van inligtingsekuriteitbestuurstelsels. Dit kan beskou word as een van die uitsette wat deur 'n ISMS-implementering gelewer kan word.
ISO 27001 sertifisering is nie verpligtend om 'n SOC 2-verslag te skep nie, maar 'n ISO 27001 ISMS kan 'n stewige basis bied vir die voorbereiding van hierdie dokument sonder groot bykomende koste en moeite. Dit sal kliënte se vertroue verhoog dat die organisasie hul inligting kan beskerm.
| - | ISO / IEC 27001 | SOC 2 |
|---|---|---|
| struktuur | Internasionale standaard | Attestasiestandaard |
| Ligging | wêreldwyd | VSA gebaseer |
| Wat is geoudit? | Die ontwerp en bedryfseffektiwiteit van jou Inligtingsekuriteitbestuurstelsel (ISMS) op 'n tydstip | Tipe 1: Die ontwerp van kontroles op 'n tydstip. Tipe 2: Die ontwerp en bedryfseffektiwiteit van kontroles oor 'n tydperk |
| Gevolg | 'n Ouditverslag word aan die genoemde organisasie verskaf en 'n ISO-sertifikaat – indien sertifisering toegestaan word | SOC 2 Attestverslag – SOC 2 is nie 'n sertifisering nie |
| verstryking | 3 Jare | 1 Jaar |
| Betroubare dienskriteria | ISO/IEC 27001 Beheer en vereiste |
|---|---|
| TSC – SEKURITEIT | A.6.1.5 (Inligtingsekerheid in projekbestuur – 1 beheer) |
| A.6 (Mobiele toestelle en telewerk – 2 kontroles) | |
| A.8.1.3 (Aanvaarbare gebruik van bates – 1 beheer) | |
| A.11.2 (Toerusting – 9 kontroles) | |
| A.13 (Kommunikasie sekuriteit – 7 kontroles) | |
| TSC – VERTROULIKHEID | A.8.2 (Inligtingklassifikasie – 3 kontroles) |
| A.13.2 (Inligtingoordrag – 3 kontroles) | |
| A.9.1 (Besigheidsvereistes van toegangsbeheer – 2 kontroles) | |
| A.9.2 (Gebruikertoegangbestuur – 6 kontroles) | |
| A.9.4 (Stelsel- en toepassingtoegangsbeheer – 5 kontroles) | |
| TSC – VERWERKING INTEGRITEIT | A.14 (Stelselverkryging, ontwikkeling en instandhouding – 13 kontroles) |
| TSC – BESKIKBAARHEID | A.17 (Inligtingsekuriteitsaspekte van besigheidskontinuïteitsbestuur – 4 kontroles) |
| TSC – PRIVAATHEID | A.18.11 (Identifisering van toepaslike wetgewing en kontraktuele vereistes – 1 beheer) |
| A.18.1.4 (Privaatheid en beskerming van persoonlik identifiseerbare inligting – 1 beheer) |
Ek sal beslis ISMS.online aanbeveel, dit maak die opstel en bestuur van jou ISMS so maklik as wat dit kan kry.
Laai ons gratis gids vir vinnige en volhoubare sertifisering af
Beide die Tipe I en II SOC 2-verslae verskaf 'n onafhanklike beoordeling van die diensorganisasie, insluitend hul beskrywing van beheermaatreëls en deskundige menings oor bestuursverteenwoordiging. Hierdie twee tipes verslag het ook gelyke prosedures vir die beoordeling van geskiktheid onder stelselontwerpe.
Die belangrikste verskil tussen 'n SOC 1 en SOC 2 is dat SOC 1 fokus op 'n organisasie se interne beheermaatreëls wat kliënte se finansiële state kan beïnvloed. Daarteenoor fokus SOC 2 op operasionele beheermaatreëls soos uiteengesit deur die AICPA se Trustdienste-kriteria.
Werk wat deur die diensouditeur vir SOC 2- en SOC 3-verslae uitgevoer word, stem baie ooreen. Albei rapporteer aan AICPA-standaarde, so die kontroles wat geïdentifiseer en getoets word, is tipies dieselfde vir beide verslae. Die belangrikste verskil tussen hierdie twee stellings is in hul verslagdoening. 'n SOC 3 is altyd 'n Tipe II en het nie die opsie vir Tipe I nie. Boonop is SOC 2-verslae beperkte gebruik – ontwerp om deur bestuur, kliënte en hul klante se ouditeure gebruik te word.
SOC 3 verslae is minder gedetailleerd as SOC 1 & 2 verslae omdat dit min of geen vertroulike inligting bevat nie. Die diensorganisasie kan dit vrylik versprei en is meer geskik vir algemene gebruik dokumente met min detail.
Hierdie verslag gaan nie veel in detail oor die stelsel en hoe dit werk, watter kontroles getoets is en die resultate van daardie toetse nie. SOC 3 is 'n goeie manier om jouself aan voornemende kliënte te bemark, maar op sy eie sal SOC 3 tipies nie aan huidige klantbehoeftes of hul ouditeure voldoen nie.
