SOC 2, הידוע גם בשם בקרת ארגון שירות 2, הוא קריטריון ו הליך ביקורת מיועד לחברות טכנולוגיה וספקים המאחסנים נתוני לקוחות חסויים בענן.
SOC 2 הוא אוסף של קווים מנחים לדרישות תאימות לחברות המשתמשות באחסון מבוסס ענן של נתוני לקוחות. SOC 2 הוא מרכיב חיוני בפיקוח הרגולטורי של הארגון שלך, תוכניות ניהול ספקים וממשל.
SOC 2 הוא ביקורת טכנית, והיא מחייבת מדיניות אבטחת מידע מקיפה ונהלים שיש לכתוב ולפעול לפיהם.
נוצר על ידי מועצת תקני הביקורת של המכון האמריקאי לרואי חשבון (AICPA), SOC 2 תוכנן במפורש לספקי שירות המאחסנים נתוני לקוחות בענן. המשמעות היא ש-SOC 2 חל על כמעט כל חברת SaaS, כמו גם על כל חברה שמשתמשת ב- ענן לאחסון נתוני לקוחות ופרטי הלקוחות שלהם.
מטרת דו"ח SOC 2 היא להעריך מערכות המידע של הארגון בנוגע לאבטחתם, זמינות, שלמות עיבוד, סודיות ופרטיות.
לפני 2014, רק חברות המספקות שירותים בענן נדרשו לעמוד בדרישות התאימות של SOC 1. נכון לעכשיו, כל חברה המאחסנת נתוני לקוחות בענן חייבת לעמוד בדרישות SOC 2 כדי למזער סיכונים וחשיפה לנתונים אלו.
אנחנו כל כך שמחים שמצאנו את הפתרון הזה, זה גרם להכל להתאים בקלות רבה יותר.
בחירה ל להגן מפני פרצות מידע זה לא רק אסטרטגיה הגנתית. זה גם יכול לעזור לחברה שלך לצמוח, מה שאתה יכול לעשות על ידי העברת ביקורת SOC 2 כדי להבטיח ללקוחות וללקוחות פוטנציאליים שהנתונים שלהם בטוחים מאיומים זדוניים כמו הפרות מזיקות!
תאימות ל-SOC 2 יכולה לחזק את המוניטין של חברה על ידי תיעוד, הערכה ושיפור הבקרות הפנימיות שלה.
הסמכה מסוג 2 אינה היחידה שחברות דוחות SOC יכולות לזכות בהן, אבל היא אחת החזקות ביותר.
הסמכת SOC 2 Type 2 יכולה להועיל לארגונים בדרכים הבאות:
דוח SOC 1 מתמקד בביצועים של שירותי מיקור חוץ על ידי ארגונים הרלוונטיים לדיווח הכספי של החברה.
דו"ח SOC 2 מטפל בסיכונים של מיקור חוץ לספקי צד שלישי בתחומים שאינם דיווח כספי. דיווחים אלה מסתמכים על קריטריונים לשירותי אמון, המכסה חמש קטגוריות: אבטחה, זמינות, שלמות עיבוד, סודיות ופרטיות.
דוחות SOC 3 דומים לדוחות SOC 2. אלו דוחות לשימוש כללי שארגון השירות יכול להשתמש בהם ככלי שיווקי ולספק ללקוחות פוטנציאליים.
דוחות SOC 2 מעידים על יעילותן של בקרות פנימיות של ארגון שירותים הרלוונטיות לחמישה קטגוריות שירותי אמון (שנודע בעבר כעקרונות שירותי אמון) שהוקמה על ידי AICPA.
ארגונים יעריכו מעת לעת את האפקטיביות שלהם מדיניות ונהלים המסדירים גישה לא מורשית למידע ולנקוט בצעדים מתאימים כאשר מתרחשת הפרה.
המידע והמערכות ב- an צורך בארגון להיות גם זמין לשימוש וגם תפעולי כדי לעמוד ביעדי הישות.
המערכת מעבדת את העסקה בצורה מדויקת, בזמן ובאישור.
אם הנתונים נחשבים חסויים, יש להגביל את הגישה והחשיפה לקבוצה מוגדרת של אנשים. דוגמאות כוללות אנשי חברה, תוכניות עסקיות, קניין רוחני ומידע פיננסי רגיש אחר.
מידע אישי מזהה (PII) יש לאסוף, להשתמש, לחשוף ולהיפטר בצורה מאובטחת. הגנה על מידע לקוחות ולקוחות מפני גישה בלתי מורשית היא בעדיפות עליונה עבור ארגוני שירות המעבדים, מאחסנים או מעבירים נתונים השייכים ללקוחות חיצוניים.
SOC 2 הוא הליך ביקורת המוודא שספקי השירות שלך מנהלים בצורה מאובטחת את הנתונים שלך כדי להגן על האינטרסים שלך ושל הארגון שלך. תאימות ל-SOC 2 היא דרישה מינימלית לעסקים המודעים לאבטחה כאשר בוחנים ספק SaaS.
SOC 2 אינו רשימה מחייבת של בקרות, כלים או תהליכים. במקום זאת, הוא נותן את הקריטריונים שחייבים להיות במקום לשמור על אבטחת מידע חזקה. זה מאפשר לכל חברה לאמץ שיטות עבודה ו נהלים הרלוונטיים למטרותיה ולפעולותיה.
ISMS.online יכול לספק לך פלטפורמה שתקדם אותך בדרך להשגת תאימות ל-SOC 2. כל חלק של SOC 2 מפורט בפלטפורמה המאובטחת, מה שמקל על המעקב אחריו. זה מצמצם את עומס העבודה, העלויות והלחץ של חוסר הידיעה אם עשית הכל נכון.
יתרונות רבים של תאימות SOC 2 כוללים:
ביקורת SOC 2 יכולה להתבצע רק על ידי מבקר בעל רישיון מה- רואה חשבון מוסמך (CPA) חברה המתמחה באבטחת מידע.
מבקרים המבצעים ביקורת SOC מוסדרים וחייבים לציית לכללים שנקבעו על ידי ה-AICPA.
בנוסף, ביקורת חייבת לעקוב אחר הנחיות ספציפיות הקשורות לתכנון וביצוע נהלים. חברי AICPA חייבים גם לעבור ביקורת עמיתים כדי להבטיח שהביקורות שהם עורכים נעשות על פי תקני ביקורת מקובלים.
דוח SOC 2 מבטיח ללקוחות ארגון השירות, להנהלה ולישויות המשתמשים את ההתאמה והיעילות של בקרות הרלוונטיות לאבטחה.
ביקורת SOC 2 כוללת בדרך כלל את הדברים הבאים:
בעוד SOC 2 מתייחס לסט של דוחות ביקורת, ISO 27001 הוא תקן הקובע דרישות למערכת ניהול אבטחת מידע (ISMS).
גם השאלה לא צריכה להיות ISO 27001 או SOC 2, כי SOC 2 הוא דוח ביקורת ו-ISO 27001 הוא תקן להקמת מערכות ניהול אבטחת מידע. ניתן לראות את זה כאחת התפוקות שניתן לספק על ידי מימוש ISMS.
ISO 27001 הסמכה לא חובה ליצור דוח SOC 2, אך ISO 27001 ISMS יכול לספק בסיס מוצק להכנת מסמך זה ללא עלות ומאמץ נוספים. זה יגביר את הביטחון של הלקוחות שהארגון יכול להגן על המידע שלהם.
- | ISO / IEC 27001 | SOC 2 |
---|---|---|
מִבְנֶה | תקן בינלאומי | תקן אישור |
מקום | ברחבי העולם | מבוסס ארה"ב |
מה מבוקר? | העיצוב והתפעול של מערכת ניהול אבטחת המידע שלך (ISMS) בנקודת זמן | סוג 1: עיצוב הפקדים בנקודת זמן. סוג 2: יעילות התכנון והתפעול של בקרות לאורך תקופה |
תוֹצָאָה | דוח ביקורת מסופק לארגון האמור ותעודת ISO - אם ניתנת הסמכה | דוח אישור SOC 2 - SOC 2 אינו הסמכה |
פקיעה | 3 שנים | 1 שנה |
קריטריוני שירות מהימן | ISO/IEC 27001 בקרה ודרישה |
---|---|
TSC - אבטחה | A.6.1.5 (אבטחת מידע בניהול פרויקטים – בקרה 1) |
A.6 (מכשירים ניידים ועבודה מרחוק - 2 פקדים) | |
A.8.1.3 (שימוש מקובל בנכסים - שליטה אחת) | |
A.11.2 (ציוד – 9 בקרות) | |
A.13 (אבטחת תקשורת – 7 בקרות) | |
TSC – סודיות | A.8.2 (סיווג מידע – 3 בקרות) |
A.13.2 (העברת מידע – 3 בקרות) | |
A.9.1 (דרישות עסקיות של בקרת גישה – 2 בקרות) | |
A.9.2 (ניהול גישת משתמשים - 6 פקדים) | |
A.9.4 (בקרת גישה למערכת ואפליקציות – 5 פקדים) | |
TSC – שלמות עיבוד | A.14 (רכישת מערכת, פיתוח ותחזוקה – 13 בקרות) |
TSC – זמינות | A.17 (היבטי אבטחת מידע של ניהול המשכיות עסקית – 4 בקרות) |
TSC - פרטיות | A.18.11 (זיהוי החקיקה החלה והדרישות החוזיות - שליטה אחת) |
A.18.1.4 (פרטיות והגנה על מידע אישי מזהה - שליטה אחת) |
אני בהחלט ממליץ על ISMS.online, זה מקל על ההגדרה והניהול של ה-ISMS שלך.
גם הדוחות Type I ו- II SOC 2 מספקים הערכה עצמאית של ארגון השירות, כולל תיאור הבקרות וחוות דעת מומחים לגבי ייצוג ההנהלה. לשני סוגי הדוחות הללו יש גם נהלים שווים להערכת ההתאמה בין תכנוני המערכת.
ההבדל העיקרי בין SOC 1 ל-SOC 2 הוא ש-SOC 1 מתמקד בבקרה הפנימית של ארגון שיכולה להשפיע על הדוחות הכספיים של הלקוחות. לעומת זאת, SOC 2 מתמקד בבקרה תפעולית המתוארת על ידי קריטריוני שירותי האמון של AICPA.
העבודה שבוצעה על ידי מבקר השירות עבור דוחות SOC 2 ו- SOC 3 דומה מאוד. שניהם מדווחים לתקני AICPA, כך שהבקרות שזוהו ונבדקו בדרך כלל זהות עבור שני הדוחות. ההבדל העיקרי בין שתי ההצהרות הללו הוא בדיווח שלהן. SOC 3 הוא תמיד סוג II ואין לו אפשרות לסוג I. בנוסף, דוחות SOC 2 הם שימוש מוגבל - מיועדים לשימוש על ידי ההנהלה, הלקוחות והמבקרים של הלקוחות שלהם.
דוחות SOC 3 פחות מפורטים מדוחות SOC 1 ו-2 מכיוון שהם מכילים מעט מידע סודי עד לא. ארגון השירות יכול להפיץ אותם באופן חופשי והם מתאימים יותר למסמכים לשימוש כללי עם מעט פרטים.
דוח זה אינו מפרט יותר מדי את המערכת וכיצד היא פועלת, אילו בקרות נבדקו והתוצאות של הבדיקות הללו. SOC 3 הוא דרך מצוינת לשווק את עצמך ללקוחות פוטנציאליים, אבל, כשלעצמו, SOC 3 בדרך כלל לא יספק את צרכי הלקוחות הנוכחיים או את המבקרים שלהם.