SOC 2 コンプライアンスが重要な理由
SOC 2 要件への準拠は、組織が高レベルの情報セキュリティを維持していることを示します。 厳格なコンプライアンス要件(オンサイト監査でテスト済み)は、機密情報が責任を持って取り扱われることを保証するのに役立ちます。
SOC 2 に準拠すると、次のことが可能になります。
- 情報セキュリティプラクティスの改善 – SOC 2 ガイドラインにより、組織はサイバー攻撃に対する防御を強化し、侵害を防止できます。
- 競争上の優位性 – 顧客は、特にITおよびクラウドサービスにおいて、確固たる情報セキュリティ慣行を持っていることを証明できるサービスプロバイダーとの協力を好むためです。
SOC監査を実施できるのは誰ですか?
SOC監査は、独立した公認会計士(公認会計士)または会計事務所のみが実施できます。
AICPAは、SOC監査人の作業を規制するための専門的基準を確立しています。 さらに、監査の計画、実行、監督に関連する特定のガイドラインに従う必要があります。 すべてのAICPA監査は、ピアレビューを受ける必要があります。
公認会計士組織は、SOC監査の準備のために、関連する情報技術(IT)およびセキュリティスキルを持つ公認会計士以外の専門家を雇うことができますが、最終報告書は公認会計士によって提供され、開示されなければなりません。
公認会計士が実施したSOC監査が成功した場合、サービス組織はAICPAロゴをWebサイトに追加できます。
SOC 2 セキュリティ基準: 4 段階のチェックリスト
セキュリティは SOC 2 コンプライアンスの基礎であり、5 つのトラスト サービス基準すべてに共通する広範な標準です。
SOC 2 セキュリティ原則は、組織が処理する資産とデータの不正使用を防ぐことに重点を置いています。 この原則により、組織は、悪意のある攻撃、データの不正な削除、誤用、企業情報の不正な変更または開示を防ぐためにアクセス制御を実装する必要があります。
以下は、安全基準をカバーするコントロールを含む基本的なSOC 2コンプライアンスチェックリストです。
- アクセス制御 - 権限のない人物によるアクセスを防止するための、資産に対する論理的および物理的な制限。
- 変更管理 - IT システムへの変更を管理するための制御されたプロセスと、不正な変更を防止する方法。
- システム運用 - 進行中の運用を監視し、組織の手順からの逸脱を検出して解決できるコントロール。
- リスクの軽減 - 組織がリスクを特定し、リスクに対応および軽減しながら、その後のビジネスに対処できるようにする方法と活動。
SOC 2 基準は、組織が何をすべきかを正確に規定しているわけではなく、解釈の余地があることに注意してください。 企業は、各原則をカバーする管理手段を選択し、実施する責任があります。
SOC 2 コンプライアンス要件: その他の基準
セキュリティは基本をカバーしています。 ただし、組織が金融業界や銀行業界、またはプライバシーと機密性が最優先される業界で事業を展開している場合は、より高いコンプライアンス基準を満たす必要がある場合があります。
顧客は、SOC 2 の 5 つの原則すべてに完全に準拠しているサービス プロバイダーを好みます。 これは、組織が情報セキュリティの実践に強く取り組んでいることを示しています。
基本的なセキュリティ原則に加えて、他の SOC 2 原則に準拠する方法は次のとおりです。
- 可用性:お客様は、合意された使用条件とサービス・レベルに従ってシステムにアクセスできますか。
- 処理の整合性 — 企業が金融取引や電子商取引を提供している場合、監査レポートには、取引を保護するための管理上の詳細を含める必要があります。 たとえば、送信は暗号化されていますか? 企業がホスティングやデータストレージなどのITサービスを提供している場合、それらのサービス内でデータの整合性はどのように維持されますか?
- 機密性 - データの共有方法に制限はありますか。 たとえば、個人を特定できる情報 (PII) または保護された医療情報 (PHI) を処理するための特定の指示が会社にある場合は、監査ドキュメントに含める必要があります。 この文書では、従業員の手順などのプライバシーポリシーに準拠するために、データの保存、転送、およびアクセスの方法と手順を明記する必要があります。
- プライバシー - 組織は顧客情報をどのように収集し、使用するか。 会社のプライバシーポリシーは、実際の運用手順と一致している必要があります。 たとえば、企業がデータを収集するたびに顧客に警告すると主張している場合、監査文書には、会社のWebサイトやその他のチャネルで警告がどのように提供されるかを正確に説明する必要があります。 個人データ管理は、少なくとも AICPAのプライバシー管理フレームワーク (PMF)に従う必要があります。
SOC 1 と SOC 2 の比較
SOC 1 と SOC 2 は、目標が異なる 2 つの異なるコンプライアンス基準であり、どちらも AICPA によって規制されています。 SOC 2 は SOC 1 の "アップグレード" ではありません。 以下の表は、SOC 1 と SOC 2 の違いを示しています。
|
SOCの1 |
SOC 2 |
| 目的 |
サービス組織が、顧客の財務諸表に関連する内部統制について報告するのに役立ちます。 |
サービス組織が、5 つのトラストサービス基準に関連する顧客データを保護する内部統制について報告するのに役立ちます。 |
| 統制目標 |
SOC 1 監査は、ビジネス プロセスと IT プロセス全体にわたる顧客情報の処理と保護を対象としています。 |
SOC 2 監査は、5 つの原則のすべての組み合わせを対象としています。 たとえば、セキュリティと可用性を扱うサービス組織もあれば、運用の性質や規制要件により、5 つの原則をすべて実装するサービス組織もあります。 |
| 監査対象 |
監査対象組織のマネージャー、外部監査人、ユーザーエンティティ(監査対象サービス組織の顧客)、および財務諸表を監査する公認会計士の公認会計士。 |
被監査組織の役員、ビジネスパートナー、見込み客、コンプライアンス責任者、外部監査人 |
| 監査の用途 |
ユーザー エンティティが、サービス組織の統制が財務諸表に与える影響を理解するのに役立ちます。 |
サービス組織、サプライヤー管理計画、社内のコーポレートガバナンスとリスク管理プロセス、および規制の監督。 |
チェック・ポイントによるSOC 2コンプライアンス
チェック・ポイントの多くの製品は、CloudGuardポスチャー管理、CloudGuard Connect、Harmony Products、Infinityポータルなど、SOC 2コンプライアンスに適用されるトラストサービス基準を満たしています。 完全なリストを参照してください 詳細を見る 。
Feedback