Соответствие требованиям SOC 2 указывает на то, что организация поддерживает высокий уровень информационной безопасности. Строгие требования к соответствию (проверенные в ходе выездных аудитов) могут помочь обеспечить ответственное обращение с конфиденциальной информацией.
Соблюдение SOC 2 обеспечивает:
- Улучшенные методы обеспечения информационной безопасности – благодаря руководящим принципам SOC 2 организация может лучше защищаться от кибератак и предотвращать нарушения.
- Конкурентное преимущество – потому что клиенты предпочитают работать с поставщиками услуг, которые могут доказать, что у них есть надежные методы обеспечения информационной безопасности, особенно в области ИТ и облачных сервисов.
Кто может проводить аудит SOC?
Аудит SOC может проводиться независимыми компаниями с сертификатами.
AICPA установила профессиональные стандарты, призванные регулировать работу аудиторов SOC. Кроме того, необходимо соблюдать определенные руководящие принципы, касающиеся планирования, проведения аудита и надзора за ним. Все аудиты AICPA должны проходить экспертную оценку.
Если аудит SOC пройдет успешно, обслуживающая организация может добавить логотип AICPA на свой веб-сайт.
Критерий безопасности SOC 2: контрольный список из 4 шагов
Безопасность является основой соответствия SOC 2 и представляет собой широкий стандарт, общий для всех пяти критериев доверительного обслуживания.
Принципы безопасности SOC 2 направлены на предотвращение несанкционированного использования активов и данных, обрабатываемых организацией. Этот принцип требует от организаций внедрять средства контроля доступа для предотвращения вредоносных атак, несанкционированного удаления данных, неправильного использования, несанкционированного изменения или раскрытия информации о компании.
Вот базовый контрольный список соответствия SOC 2, который включает элементы управления, охватывающие стандарты безопасности:
- Контроль доступа — логические и физические ограничения на активы для предотвращения доступа неавторизованного персонала.
- Управление изменениями — контролируемый процесс управления изменениями в ИТ-системах и методы предотвращения несанкционированных изменений.
- Системные операции — элементы управления, которые могут отслеживать текущие операции, обнаруживать и устранять любые отклонения от организационных процедур.
- Снижение рисков — методы и мероприятия, которые позволяют организации выявлять риски, а также реагировать на них и смягчать их при решении любых последующих бизнес-задач.
Имейте в виду, что критерии SOC 2 не предписывают точно, что должна делать организация — они открыты для интерпретации. Компании несут ответственность за выбор и внедрение мер контроля, охватывающих каждый принцип.
Требования к соответствию SOC 2: Другие критерии
Безопасность охватывает основы. Однако, если ваша организация работает в финансовой или банковской сфере или в отрасли, где конфиденциальность имеет первостепенное значение, вам может потребоваться соответствовать более высоким стандартам соответствия.
Клиенты предпочитают поставщиков услуг, которые полностью соответствуют всем пяти принципам SOC 2. Это показывает, что ваша организация строго придерживается принципов информационной безопасности.
В дополнение к основным принципам безопасности, вот как соблюдать другие принципы SOC 2:
- Доступность — может ли клиент получить доступ к системе в соответствии с согласованными условиями использования и уровнями обслуживания?
- Целостность обработки — если компания предлагает финансовые транзакции или транзакции электронной коммерции, аудиторский отчет должен включать административные детали, предназначенные для защиты транзакции. Например, зашифрована ли передача? Если компания предоставляет ИТ-услуги, такие как хостинг и хранение данных, как поддерживается целостность данных в рамках этих услуг?
- Конфиденциальность — существуют ли какие-либо ограничения на способ обмена данными? Например, если у вашей компании есть конкретные инструкции по обработке информации, позволяющей установить личность (PII), или защищенной медицинской информации (PHI), это должно быть включено в аудиторский документ. В документе должны быть указаны методы и процедуры хранения, передачи и доступа к данным в соответствии с политикой конфиденциальности, такой как процедуры для сотрудников.
- Конфиденциальность — как организация собирает и использует информацию о клиентах? Политика конфиденциальности компании должна соответствовать фактическим операционным процедурам. Например, если компания утверждает, что предупреждает клиентов каждый раз, когда собирает данные, в документе аудита должно быть точно описано, как предупреждения предоставляются на веб-сайте компании или по другому каналу.