SOC 2, også kendt som Serviceorganisationskontrol 2, er et kriterium og revisionsprocedure rettet mod teknologivirksomheder og udbydere, der opbevarer fortrolige kundedata i skyen.
SOC 2 er et sæt retningslinjer for compliance-krav for virksomheder, der bruger cloud-baseret lagring af kundedata. SOC 2 er en væsentlig komponent i din organisations lovgivningsmæssige tilsyn, leverandørstyringsprogrammer og styring.
SOC 2 er en teknisk audit, og den kræver omfattende informationssikkerhedspolitikker og procedurer, der skal skrives og følges.
Oprettet af Auditing Standards Board for American Institute of Certified Public Accountants (AICPA), SOC 2 er udtrykkeligt designet til tjenesteudbydere, der gemmer kundedata i skyen. Det betyder, at SOC 2 gælder for næsten alle SaaS-virksomheder, såvel som enhver virksomhed, der bruger cloud til at gemme kundedata og deres kunders information.
Formålet med en SOC 2-rapport er at evaluere en organisationens informationssystemer vedrørende deres sikkerhed, tilgængelighed, behandlingsintegritet, fortrolighed og privatliv.
Før 2014 var det kun virksomheder, der leverede tjenester i skyen, der skulle opfylde SOC 1-kravene. I øjeblikket skal enhver virksomhed, der lagrer kundedata i skyen, opfylde SOC 2-kravene for at minimere risiko og eksponering for disse data.
Vi er så glade for, at vi fandt denne løsning, den gjorde det nemmere at passe sammen.
At vælge at beskytte mod databrud er ikke kun en defensiv strategi. Det kan også hjælpe din virksomhed med at vokse, hvilket du kan gøre ved at bestå en SOC 2-revision for at sikre kunder og kundeemner, at deres data er sikre mod ondsindede trusler som skadelige brud!
SOC 2-overholdelse kan styrke en virksomheds omdømme ved at dokumentere, evaluere og forbedre dens interne kontroller.
Type 2-certificering er ikke den eneste SOC-rapport virksomheder kan opnå, men det er en af de mest robuste.
SOC 2 Type 2-certificering kan gavne organisationer på følgende måder:
En SOC 1-rapport fokuserer på udførelsen af outsourcing-tjenester af organisationer, der er relevante for en virksomheds finansielle rapportering.
En SOC 2-rapport adresserer risici af outsourcing til tredjepartsudbydere på områder, der ikke er finansiel rapportering. Disse rapporter er afhængige af Kriterier for tillidstjenester, der dækker fem kategorier: sikkerhed, tilgængelighed, behandlingsintegritet, fortrolighed og privatliv.
SOC 3-rapporter ligner SOC 2-rapporter. Det er rapporter til generel brug, som serviceorganisationen kan bruge som et marketingværktøj og levere til potentielle kunder.
SOC 2-rapporter attesterer effektiviteten af en serviceorganisations interne kontroller, der er relevante for fem Tillidsservicekategorier (tidligere kendt som principper for tillidstjenester) etableret af AICPA.
Organisationer vil med jævne mellemrum evaluere effektiviteten af deres politikker og procedurer for uautoriseret adgang til information og tage passende skridt, når der opstår et brud.
Informationen og systemerne i en organisationens behov at være både tilgængelig til brug og operationel for at opfylde enhedens mål.
Systemet behandler transaktionen præcist, til tiden og med autorisation.
Hvis data anses for fortrolige, skal adgang og videregivelse begrænses til et bestemt sæt personer. Eksempler inkluderer virksomhedens personale, forretningsplaner, intellektuel ejendomsret og andre følsomme finansielle oplysninger.
Personligt identificerbare oplysninger (PII) skal indsamles, bruges, afsløres og bortskaffes på en sikker måde. Beskyttelse af kunde- og klientoplysninger mod uautoriseret adgang er en topprioritet for serviceorganisationer, der behandler, opbevarer eller transmitterer data, der tilhører eksterne klienter.
Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo
SOC 2 er en revisionsprocedure, der sikrer, at dine tjenesteudbydere administrerer dine data sikkert for at beskytte dine og din organisations interesser. SOC 2-overholdelse er et minimalt krav for sikkerhedsbevidste virksomheder, når de overvejer en SaaS-udbyder.
SOC 2 er ikke en præskriptiv liste over kontroller, værktøjer eller processer. I stedet giver det de kriterier, der skal være på plads til opretholde robust informationssikkerhed. Dette lader hver virksomhed vedtage praksis og procedurer, der er relevante for dets mål og operationer.
ISMS.online kan give dig en platform til at hjælpe dig på vej til at opnå SOC 2-overensstemmelse. Hvert afsnit af SOC 2 er detaljeret i den sikre platform, hvilket gør det nemt at følge. Dette skærer ned på din arbejdsbyrde, omkostninger og stresset ved ikke at vide, om du har gjort alt rigtigt.
Adskillige fordele ved SOC 2-overholdelse inkluderer:
Vi er omkostningseffektive og hurtige
En SOC 2-revision kan kun udføres af en revisor med tilladelse fra Certified Public Accountant (CPA) firma med speciale i informationssikkerhed.
Revisorer, der udfører SOC-revisioner, er reguleret af og skal overholde reglerne fastsat af AICPA.
Derudover skal en revision følge specifik vejledning i forbindelse med planlægning og udførelse af procedurer. AICPA-medlemmer skal også gennemgå en peer review for at sikre, at de revisioner, de udfører, udføres i overensstemmelse med acceptable revisionsstandarder.
En SOC 2-rapport forsikrer serviceorganisationens kunder, ledelse og brugerenheder om egnetheden og effektiviteten af sikkerhedsrelevante kontroller.
SOC 2-revisionen omfatter generelt følgende:
Mens SOC 2 refererer til et sæt af revisionsrapporter, ISO 27001 er en standard, der opstiller krav til et Information Security Management System (ISMS).
Spørgsmålet burde heller ikke være ISO 27001 eller SOC 2, fordi SOC 2 er en revisionsrapport og ISO 27001 er en standard for etablering af informationssikkerhedsstyringssystemer. Det kan ses som et af de output, der kan leveres af en ISMS-implementering.
ISO 27001 certificering er ikke obligatorisk for at oprette en SOC 2-rapport, men en ISO 27001 ISMS kan give et solidt grundlag for at udarbejde dette dokument uden større ekstra omkostninger og indsats. Dette vil øge kundernes tillid til, at organisationen kan beskytte deres oplysninger.
| - | ISO / IEC 27001 | SOC2 |
|---|---|---|
| Struktur | International standard | Attestation Standard |
| Lokation | Worldwide | USA baseret |
| Hvad er revideret? | Designet og driftseffektiviteten af dit Information Security Management System (ISMS) på et tidspunkt | Type 1: Designet af kontroller på et tidspunkt. Type 2: Udformningen og driftseffektiviteten af kontroller over en periode |
| Resultat | Der udleveres en revisionsrapport til den nævnte organisation og et ISO-certifikat - hvis certificering er givet | SOC 2 Attestrapport – SOC 2 er ikke en certificering |
| Udløb | 3 Years | 1 År |
| Kriterier for betroet service | ISO/IEC 27001 Kontrol og krav |
|---|---|
| TSC – SIKKERHED | A.6.1.5 (Informationssikkerhed i projektledelse – 1 kontrol) |
| A.6 (Mobile enheder og fjernarbejde – 2 kontroller) | |
| A.8.1.3 (Acceptabel brug af aktiver – 1 kontrol) | |
| A.11.2 (Udstyr – 9 kontroller) | |
| A.13 (Kommunikationssikkerhed – 7 kontroller) | |
| TSC – FORTROLIGHED | A.8.2 (Informationsklassificering – 3 kontroller) |
| A.13.2 (Informationsoverførsel – 3 kontroller) | |
| A.9.1 (Forretningskrav til adgangskontrol – 2 kontroller) | |
| A.9.2 (Administration af brugeradgang – 6 kontroller) | |
| A.9.4 (System- og applikationsadgangskontrol – 5 kontroller) | |
| TSC – BEHANDLING INTEGRITET | A.14 (Systemanskaffelse, udvikling og vedligeholdelse – 13 kontroller) |
| TSC – TILGÆNGELIGHED | A.17 (Informationssikkerhedsaspekter af forretningskontinuitetsstyring – 4 kontroller) |
| TSC – FORTROLIGHED | A.18.11 (Identifikation af gældende lovgivning og kontraktlige krav – 1 kontrol) |
| A.18.1.4 (Privatliv og beskyttelse af personligt identificerbare oplysninger – 1 kontrol) |
Jeg vil bestemt anbefale ISMS.online, det gør opsætning og administration af dit ISMS så nemt som det kan blive.
Download vores gratis guide til hurtig og bæredygtig certificering
Både Type I og II SOC 2-rapporterne giver en uafhængig vurdering af serviceorganisationen, herunder deres beskrivelse af kontroller og ekspertudtalelser om ledelsesrepræsentation. Disse to rapporttyper har også ens procedurer for vurdering af egnethed blandt systemdesigns.
Den største forskel mellem en SOC 1 og SOC 2 er, at SOC 1 fokuserer på en organisations interne kontroller, der kan påvirke kundernes regnskaber. I modsætning hertil fokuserer SOC 2 på operationelle kontroller skitseret af AICPA's Trust Services Criteria.
Arbejdet udført af servicerevisoren for SOC 2- og SOC 3-rapporter er meget ens. Begge rapporterer til AICPA-standarder, så de identificerede og testede kontroller er typisk de samme for begge rapporter. Den vigtigste forskel mellem disse to udsagn er i deres rapportering. En SOC 3 er altid en Type II og har ikke mulighed for Type I. Derudover er SOC 2-rapporter begrænset brug – designet til at blive brugt af ledelsen, kunder og deres kunders revisorer.
SOC 3-rapporter er mindre detaljerede end SOC 1 & 2-rapporter, fordi de indeholder få eller ingen fortrolige oplysninger. Serviceorganisationen kan distribuere dem frit og er mere egnede til almindelige dokumenter med få detaljer.
Denne rapport går ikke meget i detaljer om systemet og hvordan det fungerer, hvilke kontroller der blev testet og resultaterne af disse tests. SOC 3 er en fantastisk måde at markedsføre dig selv over for potentielle kunder, men i sig selv ville SOC 3 typisk ikke tilfredsstille nuværende kundebehov eller deres revisorer.
